Windows域信任關係建立全攻略
作業環境:windows 2000的兩個獨立域AA.com與BB.com(域已經建立好了)。
AA.com的網段為192.168.0.x,AA.com域管理伺服器所在的IP為192.168.0.1,機器名為aa。
BB.com的網段為192.168.3.x,BB.com域管理伺服器所在的IP為192.168.3.1,機器名為bb。
兩個域用VPN建立好串連,可互相ping通。
操作目的:建立互相信任的關係(單向信任關係也可參考,基本相同)。
操作過程:
1、建立DNS。DNS必須使用伺服器的,而不能使用公網的,因為要對域進行解析。由於在AA.com和BB.com上的步驟相同,故只以AA.com為例。
在192.168.0.1上開啟管理工具->DNS->串連到電腦->這台電腦(做為小公司,一般網域服務器也用於DNS的解析)。 在其正向搜尋地區裡建立地區->Active Directory整合的地區,輸入aa.com,地區檔案就叫aa.com.dns好了,然後完成。
右擊建立的aa.com,選擇屬性->常規,把允許動態更新改變為是。
然後在正向搜尋地區裡建立地區->標準次要區域,輸入bb.com,IP地址輸入192.168.3.1,然後完成。
右擊建立的bb.com,選擇從主伺服器傳輸。
在反向搜尋地區裡建立地區->Directory整合的地區,輸入網路ID192.168.0,然後完成。
右擊建立的192.168.0.x Subnet,選擇屬性->常規,把允許動態更新改變為是。
現在aa.com的DNS已經建立好了,bb.com的也按此建立。
在192.168.0.1上進行測試,注意:DNS的傳輸可能需要一定的時間,最好在半個小時到一個小時後進行測試。
(1)測試網域名稱解析:ping aa.com
正常的為
Pinging aa.com [192.168.0.1] with 32 bytes of data:
Reply from 192.168.0.1: bytes=32 time<1ms TTL=64
Reply from 192.168.0.1: bytes=32 time<1ms TTL=64
Reply from 192.168.0.1: bytes=32 time<1ms TTL=64
Reply from 192.168.0.1: bytes=32 time<1ms TTL=64
Ping statistics for 192.168.0.1:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
這說明aa.com域已經解析好,如果ping bb.com也能得到類似的響應,說明bb.com的解析也完成。
(2)測試反向搜尋:nslookup 192.168.0.1
正常的為
Server: aa.aa.com
Address: 192.168.0.1
Name: aa.aa.com
Address: 192.168.0.1
如果在bb.com的網域服務器上也測試成功,則可以建立域信任關係了。
2、建立域信任關係
在aa機器上管理工具->Active Directory 域和信任關係裡可以看到自己的域aa.com,在它上面屬性->信任裡,受此域信任的域和信任此域的域裡添加bb.com。
現在就大功告成了。
注意:如果伺服器裡有兩塊網卡,其中有一塊不用的,最好將此網卡禁用了。
如果有做它用,請用route -p來明確路由方向。