單向外部域信任關系的創(chuàng)建與驗證示例本節(jié)介紹的是不同林中兩個Windows Server 2003域之間的單向外部信任關系的創(chuàng)建，因為在同一林中的Windows Server 2003各域之間是默認建立

單向外部域信任關系的創(chuàng)建與驗證示例

本節(jié)介紹的是不同林中兩個Windows Server 2003域之間的單向外部信任關系的創(chuàng)建，因為在同一林中的Windows Server 2003各域之間是默認建立起了雙向可傳遞信任了的，所以無需另外創(chuàng)建，但可以刪除它們之間的默認信任關系。 下面以創(chuàng)建一個grfw.com 林中的grfw.com 根域單向信任位于lycb.local 林下的BeiJing.lycb.local 子域的單向信任創(chuàng)建為例進行介紹。前面介紹到，信任關系的創(chuàng)建可以在信任域與被信任域雙方各運行一次信任創(chuàng)建向?qū)?，各自?chuàng)建自己一方的信任（在各域管理員只擁有自己域適當管理憑據(jù)時），也可以只在任意一方運行向?qū)б淮?，同時創(chuàng)建雙方的信任（在你同時擁有雙方域適當管理憑據(jù)時）。本節(jié)先以在信任域與被信任域雙方各運行一次信任創(chuàng)建向?qū)槔M行介紹。具體創(chuàng)建步驟如下：

【經(jīng)驗之談】要創(chuàng)建兩個域間的信任，必須在一個DNS 服務器上為兩個域創(chuàng)建不同區(qū)域，或者在兩個域的不同DNS 服務器屬性對話框中配置指向?qū)Ψ降霓D(zhuǎn)發(fā)器，如圖2-23和圖2-24所示；如果兩個域中的DNS 區(qū)域分屬于不同DNS 服務器時，則還可以在各自的DNS 服務器上為對方域創(chuàng)建輔助DNS 區(qū)域，以便能相互解析（注意，創(chuàng)建輔助DNS 區(qū)域與配置轉(zhuǎn)發(fā)器，只能選擇一種）。有關輔助DNS 區(qū)域的創(chuàng)建方法參見本系列中級認證教材——《金牌網(wǎng)管師——中小型企業(yè)網(wǎng)絡組建、配置與管理》一書。

圖2-23 BeiJing.lycb.local 域DNS 服務器配置的轉(zhuǎn)發(fā)器 圖2-24 grfw.com域DNS 服務器配置的轉(zhuǎn)發(fā)器

1. 在BeiJing.lycb.local 子域（被信任方）上創(chuàng)建單向信任關系

在本示例中，信任域是grfw.com ，被信任域是BeiJing.lycb.local 。因為本節(jié)假設要在介紹在雙方各運行一次信任創(chuàng)建向?qū)У男湃蝿?chuàng)建方式，可以在信任的任意一方先進行信任關系創(chuàng)建，只是要注意不同方的信任方向選擇不同。在此以先在被信任域的DC 創(chuàng)建上信任關系為例進行介紹。

（1）在BeiJing.lycb.local 子域的一個DC 上（本示例為

BeiJinglycb-dc.BeiJing.lycb.local ）執(zhí)行【開始】→【管理工具】→【Active Directory域和信任關系】菜單操作，打開如圖2-25所示“Active Directory域和信任關系”

管理單元控制臺。

圖2-25 “Active Directory域和信任關系”管理單元控制臺

（2）在BeiJing.lycb.local 節(jié)點上單擊右鍵，在彈出菜單中選擇“屬性”選項，在打開的對話框中選擇“信任”選項卡，如圖2-26所示。從中可以看到，在

BeiJing.lycb.local 子域中默認是建立起了與父域lycb.local 的雙向可傳遞信任關系的。

（3）單擊“新建信任”按鈕，打開如圖2-27所示新建信任向?qū)醉搶υ捒?。其中顯示了利用此向?qū)Э梢孕陆ǖ男湃晤愋停簿褪乔懊娼榻B的非默認的三種信任。我們這里所建的是第一種信任。

圖2-26 BeiJing.lycb.local子域?qū)傩詫υ捒?/p>

“信任

”選項卡 圖2-27 “歡迎使用新建信任向?qū)А睂υ捒?/p>

（4）單擊“下一步”按鈕，打開如圖2-28所示對話框。在其中輸入要建立信任的信任方域名，可以是NetBIOS 域名，也可以是DNS 域名。但如果是林間的信任關系建立，則必須輸入的是DNS 林名稱。在這時里要輸入grfw.com （或者grfw ）名稱。如果在輸入DNS 域名時顯示如圖2-29所示錯誤提示，說不是有效的

Windows 域名，則基本上是因為對方DNS 服務器上沒有正確配置對應DNS 服務器的的SRV 記錄。這方面與在工作站加入域時只能輸入NetBIOS 名稱，不能輸入DNS 域名時原理是一樣的。具體在《金牌網(wǎng)管師——中小型企業(yè)網(wǎng)絡組建、配置與管理》一書中已有介紹，不再贅述。

（5）在圖2-28所示對話框中單擊“下一步”按鈕，打開如圖2-30所示對話框。因為此處所創(chuàng)建的信任的目的是要讓grfw.com 域（信任域）信任此處操作的

BeiJing.lycb.local 子域（被信任域）用戶，也就是把外部grfw.com 的信任傳入到本地BeiJing.lycb.local 子域，所以在此要選擇“單向：內(nèi)傳”單選項。信任方向是由BeiJing.lycb.local 域→grfw.com域。

圖2-28 “信任名稱”對話框

圖

2-29 因?qū)Ψ紻NS 服務器SRV 記錄配置不正確時出現(xiàn)的錯誤提示

圖2-30 “信任方向”對話框

（6）單擊“下一步”按鈕，打開如圖2-31所示對話框。在這里因為要以在信任雙方各自創(chuàng)建信任為例進行介紹，所以要選擇“只是這個域”單選項（當你只有本地域的適當管理憑據(jù)時），如果要以運行一次向?qū)瑫r創(chuàng)建雙方的信任，則要選擇“這個域和指定的域”單選項，當然這時你必須同時擁有雙方域的適當管理憑據(jù)。同時創(chuàng)建雙方信任的示例將在下節(jié)介紹。

（7）單擊“下一步”按鈕，打開如圖2-32所示對話框。在這里配置一個用于確定信任關系的初始密碼。這個密碼在后面會由Active Directory定期動態(tài)更新，以確保信任安全。但在信任雙方創(chuàng)建信任關系時所輸入的密碼必須完全一樣。這里的密碼不受帳戶密碼復雜性策略影響。

（8）單擊“下一步”按鈕，打開如圖2-33所示信任創(chuàng)建設置摘要對話框。在其中顯示了本次信任創(chuàng)建的設置摘要。如果發(fā)現(xiàn)某項設置不妥時，可通過單擊“上一步”按鈕返回到相應步驟重新設置。在這里要注意的是“傳遞”屬性中顯示的是“否”，那是因為這里所創(chuàng)建的是外部信任，不具有可傳遞性。

（9）單擊“下一步”按鈕，開始創(chuàng)建信任，成功后會打開如圖2-34所示對話框。其中顯示創(chuàng)建信任成功及信任的狀態(tài)及設置。

（10）單擊“下一步”按鈕，打開如圖2-35所示對話框。在這里要選擇是否要立即傳入（由信任域向被信任域傳入信任關系）信任關系。由于本節(jié)采用的是雙方中單獨信任創(chuàng)建方式，對方還沒有創(chuàng)建該信任，沒有確認該信任，所以也就沒有信任關系傳入，在此選擇“否，不確認傳入信任”單選項。

（11）單擊“下一步”按鈕，打開如圖2-36所示信任向?qū)瓿蓪υ捒?，提示必須在另一個域中創(chuàng)建此信任才能起作用。單擊“完成”按鈕，在被信任域

BeiJing.lycb.local 的信任關系中可以見到已新建了信任此域的傳入信任關系。信

任域是

grfw.com ，如圖

2-37所示。

圖2-31 “信任方”對話框

圖2-32 “信任密碼”對話框

圖

2-33

“

選擇信任完畢”對話框

圖2-34 “信任創(chuàng)建完畢”對話框

圖2-35 “確認傳入信任”對話框

圖

2-36

“正在完成新建信任向?qū)А睂υ捒?/p>

圖2-37 在被信任域BeiJing.lycb.local 中創(chuàng)建的單向信任

2. 在grfw.com 域（信任方）上創(chuàng)建單向信任關系

在被信任方創(chuàng)建好單向信任后，接下來還需要在信任方創(chuàng)建同樣的單向信任（因為七節(jié)采用的是單獨信任創(chuàng)建方式）。下面是具體的步驟（在信任域grfw.com 的DC 上進行操作）。

（1）在grfw.com 的一個DC 的“Active Directory域和信任關系”管理單元的

grfw.com 節(jié)點上單擊右，在彈出菜單中選擇“屬性”選項，然后在打開的對話框中選擇“信任”選項卡，從中可以看出，此時該域上沒有創(chuàng)建任何信任關系。這也證明了雙方單獨創(chuàng)建信任的真正含義，那就是那次只在本地域上創(chuàng)建沒有確認的信任，在對方域上不同時創(chuàng)建該信任，需要在對方域上單獨運行信任創(chuàng)建向?qū)А?/p>

（2）單擊“新建信任”按鈕，同樣會打開如圖2-27所示新建信任向?qū)醉搶υ捒颉?/p> ,

圖

2-38 grfw.com域?qū)傩詫υ捒颉靶湃巍边x項卡

（3）單擊“下一步”按鈕，打開如圖2-39所示對話框。在其中輸入要建立信任的被信任方域名?？梢允荄NS 域名（本示例為BeiJing.lycb.local ），也可以是NetBIOS 域名（本示例為BeijIng ）。

圖2-39 “信任名稱”對話框

（4）單擊“下一步”按鈕，打開如圖2-40所示對話框。因為此處創(chuàng)建的是單向信任，而且信任方向是由BeiJing.lycb.local 域→grfw.com域，此處創(chuàng)建信任的目的就是由把本地域grfw.com 向外傳出信任到對方域，所以此處要選擇“單向：外傳”單選項。這與在被信任域上操作時的圖2-30是不一樣的（創(chuàng)建的信任關系方向不一樣）。大家注意理解。

（5）單擊“下一步”按鈕，同樣會打開如圖2-31所示對話框。同樣因為采用的是單獨創(chuàng)建信任方式，所以要選擇“只是這個域”單選項。

（6）單擊“下一步”按鈕，打開如圖2-41所示對話框。在這里要選擇信任方對被信任方用戶身份驗證的方式（如果所創(chuàng)建的是單向信任，則只會在信任方創(chuàng)建信任時才會有這個對話框）。如果是同一個公司的不同林中的域，則通常是選擇“全域性身份驗證”單選項，這樣被信任域就可以自動對被信任域訪問本地域中所有資源按照管理設置進行身份驗證；如果兩個域是不同的公司，則出于安全考慮，則需要手動設置允許被信任域用戶訪問的資源了。這時就要選擇“選擇性身份驗證”單選項，以限制被信任域用戶訪問某些資源。在此選擇“全域性身份驗證”單

選項。

圖2-40 “信任方向”對話框

圖2-41 “傳出信任身份驗證”對話框

（7）單擊“下一步”按鈕，同樣會打開如圖2-32所示對話框。在這里要指定一個與在圖2-32所示對話框中一樣設置的的信任密碼。

（8）單擊“下一步”按鈕，同樣會打開如圖2-42所示對話框。在這里顯示了本次信任創(chuàng)建向?qū)е械脑O置摘要。注意與前面的圖2-33進行比較。