利用windows service 2003來建立多域間訪問的搭建與架設（一）

實驗環境：

西安淩雲高科技系統整合由限公司在日常辦公之中使用的域是benet.Com（一個林）；由於工程部最近接到了一個項目；搭建了一個網域名稱為“project.com”（是另一個林）。然後在該域中一個共用資料夾讓benet.com中的工程部的員工來訪問來達到不同域中的員工互相討論；如何讓不同的域之間的工程部的員工互訪？如何讓不同的域來達到網路的相互信任？如何完成上面的需求？下面我們具體的來一步一步的做？

實驗目的：

理解信任關係的概念；

理解跨域間訪問的配置方法；

利用AGDLP規則實驗外部信任的互訪；

實驗拓撲：

實驗步驟：

一、理解信任關係的概念：

首先我們要知道為什麼域之間要建立信任的關係？

我們來看一個執行個體：西安淩雲高科技的網域名稱為“angeldevil.com”而廣州分公司的網域名稱為“gz.angeldevil.com”；如果總公司的員工需要訪問分公司域中的資源，訪問資源就需要帳戶的身分識別驗證，而一個域中的DC只能驗證本域的帳戶身份，不能驗證其他域的帳戶。而這時候就需要在域之間建立信任關係，使資源所在的域（資源網域或信任域）信任帳戶所在的域（賬戶域，被信任域）。

在一般的情況下，林中的預設信任域關係的特點一般有3個特點：

自動建立：林中的域之間的信任關係是在建立子域或者域樹時自動建立的；

傳遞信任：林中的域的信任關係是可傳遞的：就像“張三”信任“李四”，“李四”信任“王二”，而“張三”又信任“王二”。

雙向信任：雙向信任是指在兩個域之間有兩個方向上的兩條信任：就像“張三”相信“李四”，“李四”相信“張三”一樣；

信任的類型：林中的信任、林之間的信任；

林中的信任分為：樹根信任和父子信任；林之間的信任是自動建立的，而且是雙向的可傳遞的信任關係；雖然信任關係的建立為跨訪問資源提供了前提條件，但是成功訪問還是必須設定許可權：這就需要AGDLP規則。

樹根信任：在同一個林中的兩個域樹之間的存在；

父子信任：在同一個域樹中父域和子域之間的存在；

林之間的信任分為：外部信任和樹系信任。

外部信任是指在不同林的域之間建立的不可信任的傳遞；樹系信任是在windows service 2003林中特有的信任；是windows service 2003林根域之間的建立的信任，在兩個windows service 2003 林之間建立樹系信任可為任一林內的各個域之間提供一種單項或者雙向的可傳遞的信任關係。

二、配置外部信任；

為了方便我們實驗的配置，我們在這裡已經建立好了域benet.Com和“project.com”我們只是來瞭解外部信任怎麼來建立：

2.1.0在配置外部信任之前我們首先來配置“轉寄站”。（配置轉寄站其實是讓兩個DNS互相能夠訪問），選擇DNS屬性—轉寄站，然後填寫對端的DNS的IP地址；如圖是在windows sp1上的設定；

當然在配置外部信任的時候雙發必須要配置，在windows r2上配置和在sp1的方法一樣；