下面是小编为大家推荐的活动目录系列之六:多域环境的实现(多站点),本文共7篇,欢迎大家分享。本文原稿由网友“yj5685”提供。
篇1:活动目录系列之三:多域环境的实现(单站点)
在这里我只讨论单站点的情况,有关多站点下次专题再讨论,所谓单站点,只的整个森林结构在一个 地理位置,如在北京。内部相连都是高速线路如100M等。默认的站点名字是default-first-site-name.可 以通过“AD站点和服务”组件来查看。
一、在一个林中创建多个域的原因?
1.部门(或分公司)之间有不同的密码要求,可以针对部门(或分公司)创建域。
2.有大量的活动目录对象,可以分解成多个域,使每个域活动目录对象较少。
3.分散的网络管理,而不是由一个域管理员管理,多个域意味着有多个域管理员。
4.对复制进行更多的控制。
二、创建子域
先完成公司的第一个域,利用dcpromo完成搭建工作。具体搭建情况请参考活动目录系列之二:单域环 境的实现(单站点) 。下面我来谈子域的搭建:这里是实现步骤。
1.先设置欲做为子域DC的计算机的DNS的IP地址指向林根DNS。
2.运行Dcpromo安装完毕。
**如果想让做为子域的DC自己来做DNS,完成本域内计算机的解析工作,需要在父域的DNS上进行子域 委派。具体操作如下:
打开根DC的DNS组件,删除子域,然后新建“子域委派”,并指定委派的FQDN和相应的IP地 址。
在子域的DC上安装DNS服务,并新建相应的DNS区域,然后将本机的DNS指向自己,
重启netlogon服务。
设置子域DNS作条件转发指向林根DNS。
注:子域的客户机DNS指向子域自己的DNS.
**如果让父域DNS兼作子域的名字解析工作,可以不用作上面的操作。
在子域内也最好安排多台DC作冗余。
总结:在林根DNS上作子域委派,在子域DNS上条件转发指向林根DNS。
三、创建树
1. 先设置欲做为树的计算机的DNS的IP地址指向林根DNS。
下面分两种情况:
如果树下面的客户机的解析由林根DNS负责,由事先在林根DNS上新建树区域。
如果想让树自己解析本域的客户机,则不必要事先建此区域。
注:如果是第一种情况,运行dcpromo安装完毕就结束了。
如果是第二种情况如下再继续:
2. 运行dcpromo安装结束。
3. 修改本机的DNS指向自己,重新生成SRV记录。
4. 运行dnsmgmt.msc,设置DNS转发(条件转发IP地址是林根DNS的IP),然后再设置“区域复制 ”
5. 打开林根的DNS服务器,新建“辅助区域”。并执行“从主服务器复制”。
注:树的客户机的DNS指向树的DNS。
总结:在林根DNS作树区域的辅助区域,在树DNS上允许“区域复制”,并作条件转发到林 根DNS。
四、完成森林的逻辑结构后的优点?
1.可以实现整个森林范围内资源的访问,无需要输入密码。
2.任一域用户(不管是哪个域的)都可以在任意域的客户机上登录到自己的域。
篇2:活动目录系列之六:多域环境的实现(多站点)
通过前面几期的学习,我们学习了单域单站点和多站点的设计,也学习了多域单站点的设计,今天我 们来学习一下多域多站点的设计,
场景:总部在北京,上海和广东各有一个分公司,要求进行活动目录设计。林功能级别是windows 模式。
一、分析:
根据公司的实际情况,我们设计三个域,北京是根域,上海和广东分别是两个子域,这是逻辑结构, 在物理结构上我们设计三个站点。有关站点的具体含义,大家可参考前面的教程。
子网设计:由于每个站点必须采用不同的子网,故对于北京站点我们使用10.1.1.0/24和10.2.1.0/24 两个子网,上海站点使用172.16.1.0/24子网,广东站点使用192.168.1.0/24子网。
GC的设计:解决用户的登录问题,我们无非有两种办法,一种是在每个站点都设计GC,第二种办法可 以在本站点内不安排GC,但要为该站点启用“通用组成员关系缓存”功能。我们可以根据实际 情况来实施,至于如何实施,请大家参考前面的教程。
二、设计过程:
1. 根域的设计:在北京的DC上运行dcpromo,完成AD的安装,
如果有必要可以安装第二台或第三台DC 。并设计好DNS,如果多台DC,建议都设计为同时做DNS服务器。
2. 站点的创建:在北京的DC上打开dssite.msc,创建另外两个站点,并创建相应的子网,并把相应的 子网和站点结合,一定不要搞错哟!把Default-first-site-name改名为beijing。
3. 两个子域的设计:在北京DC上做AD数据库的备份,并把其备份还原到上海和广东的一台服务器的一 个特定目录下,在相应的服务器运行dcpromo /adv完成两个子域DC的搭建。(当然相应的子网等一定要设 计正确)。这样做完后,打开dssite.msc后你就发现相应的站点内就有对应的DC。
4. GC的规则:根据情况,你可以在每个站点设计GC,或启用“通用组成员关系缓存”。我 想具体实现我就不用说了吧,参考前面的教程即可。
5. 子域委派:最后进行DNS的子域委派工作。这个过程请参考“活动目录系列之三:多域环境的 实现(单站点)”。
三、小结:
在这个方案的设计过程中,最容易忽视的就是GC的设计。如果这里想着的话也就没有太多的问题的。
整个设计过程很简单,就不再一步步的图示解决了。有什么问题大家可以留言。
篇3:活动目录系列之五:单域环境的实现(多站点)下优化
通过上次活动目录系列之四:单域环境的实现(多站点)--基..的学习,我们已经完成了跨地区活动 目录环境的实现,基本上也可以充分利用站点的优点,对用户登录和AD数据库的复制进行很好的管理,下 面我描述一个场景,大家看如何解决?
场景:根据上次我们已经完成不同地区单域环境的搭建,在北京/上海/广东分别创建了三个站点,并 在每个站点布置了一台DC(根据公司实际情况也可以放置多台DC),试问,如果上海和广东站点无法联系 北京站点,此时用户登录是否会出问题?
分两种情况分析:
情况一:如果域的功能级别是windows mixed模式,上述案例不用再做任何优化,不会出任何问题 ,
情况二:如果域的功能级别是windows 2000 native模式下,上述案例用户登录会出问题,甚至会出现 登录不了的情况。如何操作,可参考 《再谈域环境下用户不能登录问题!!(缓存故障)》有详细的解 决方式。即如下有两种方法。
法一,分别在上海和广东的站点找一台DC作为GC,默认下北京站点的DC已经是GC了。设置方法如下图 所示:
法二,分别为上海和广东的站点启用“通用组成员关系缓存(来自北京站点),如下图所示:
这样,优化工作就完成了。至于为什么,我会在下篇为大家讲一下有关域用户登录过程!大家就明白 。这里的两篇文章我会在后面陆续推出!!
篇4:活动目录系列之四:单域环境的实现(多站点)基本配置
在上期我们学习了活动目录系列之二:单域环境的实现(单站点) ,当时我们实现的是在一个站点的 情况下,下面我们来看这样一个场景:
**一个企业总部在北京,在上海和广东各有其办公区域, 要求实现活动目录域环境。**
一、分析:
对于此企业的现状,在逻辑结构上可以采用多域 和单域,比如我们先采用单域(这要取决于你是准备集中管理还是分散管理,在这里我采用集中管理,下 个专题我来讲多域多站点的情况)。
如果不采用站点,上海和广东的域用户在客户端登录到域的 过程会比较慢(不管你在上海和广东是否放置了DC,都一样),原因是客户端会通过DNS查询本域内的DC ,而查到的DC也可能就是北京的(如果是多DC会动态定位),这样就通过WAN连到北京的DC上进行身份验 证。此外如果你在每个地区都有DC的话,DC之间的复制也是不可控的,会产生很大流量(关于复制问题, 我会在后面的专题来讲解)。兼于此,我们必须划分站点。
划分站点的好处:
1.优化客户 端的登录。当域用户在上海或广东的客户端上登录时,DNS会替客户端找本站点内的DC,这样就加快了身 份验证过程。
2.优化AD的复制。每个DC之间要同步AD数据库,如果不划分站点,这个同步无时无 刻都在进行,而且数据是不压缩的。如果划分了站点这个过程变的可控,特别是在多站点的情况下,优越 性更加突出,我会在后面的专题中详细讨论。
附:关于何为站点,实际上就是从物理位置上来区 分的,一组高速可靠的一个子网或多个子网。即两点:首先物理位置不同(在一个区域内且高速相连), 其次不同站点必须采用相对应的不同子网,即北京是一个子网,上海是另一个子网,广东是第三个子网, 当然也可以在北京有多个子网。具体AD的概念请阅读活动目录系列之一:基本概念 。
二、搭建过 程:
事先规划好各个子网,比如北京子网10.1.1.0/24,上海子网172.16.1.0/24,广东子网: 192.168.1.0/24.
(一)首先在北京把单域创建好,这个过程请参考活动目录系列之二:单域 环境的实现(单站点)。
(二)在上海和广东利用dcpromo /adv 完成第二/三台DC的搭建,(关 于此参数的使用,请参考活动目录系列之二:单域环境的实现(单站点))。注意此时在默认站点下完成 安装。
(三)完成站点的划分和设置:
打开“AD站点和服务”管理工具(或利 用命令dssite.msc),如下图所示展开:在default-first-site-name(默认站点)下有三台服务器,当前 都在同一个站点。(N1--北京,N2--上海,N3--广东)
利用如下四个操作完 成配置过程:
1.新建站点:
新建两个站点shanghai和guangzhou(北京站点用那个默认的 ,过后改一下名字就可以了),注意在新建站点时必须选中一个叫“站点连接”的东西,先选 择,后面再说其作用,
如下图所示,在sites上右击选“新站点”,输入名字,并选择 defaultipsitelink,单击确定。如下面两图:
建完上海和广东两个 站点后,把default-first-site-name改名为beijing.
2.新建子网:
新建对应的子网, 注意选择相对应的站点。一定不要搞错!!!!
具体操作需要在subnets上右击先“新建子 网”,如下图所示:
最后完成如下图所示 :有三个子网,分别对应相应的站点。
3.移动DC:
把 相应的DC移动到相应的站点。一定不要搞错!!!!
这个操作就不用做了吧,直接拖动对应的服 务器(DC),拽到相应的站点下的servers下就可以了。最后如图所示:
说明:在上图的最右 侧,大家看见了标注为<自动生成的>两个“连接对象”,这个东西就实现了DC之间的相 互复制,它是由每个DC上叫KCC的进程自动产生的。
4.作相应的其它配置或检查。
新建 “站点连接”,即根据你的区域之间的实际物理链路来完成,默认有一个defaultipsitelink (好像记得是这个名字)。目前这个站点链接包含了三个站点,你可以自定义。
下面说一下有关 站点连接的含义。
站点链接:启用站点之间的复制传输,反映了站点之间的物理连接。
如 果没有站点链接,则两个站点之间不会复制,故两边里面的所有DC只会在站点内相互复制。
**一 个站点链接是两个站点或多个站点之间的一种物理连接。有了站点连接,在站点内才会由KCC自动生成 “连接对象”,完成站点内DC之间的复制。
如下图所示:
然后在下图输入相应 的名字,这是北京和上海之间的站点连接。选择对并单击“添加”,这样就建好一个站点连接 。如下所示:
用类似的方法 完成北京和广东/广东和上海之间的站点连接,这假设你在物理上真实存在相应的链路,如果没有就不要 创建了。
在下图我们编辑任一个站点连接的属性,可以设置开销值(实际物理链路带宽越高其值 越小,代表线路越优先)和复制频率。这里的复制计划说明你可以让你的站点在不同的时间进行复制,如 在夜间等,此处就不多说了。
最终站点的结构如下图 所示:
这样部署下来,我们就实现了上述所说的各项优点!!!
不知各位学的如何,看明白了吗?好累 ,连写代搭环境,近两个小时!希望大家顶一下!!有问题可直接留言!!!
注:如何各位想做 实验,可以利用VPC或VMware自己搭建环境,不过需要用做路由器,如果要完整做下来,也包括客户 端的话,需要6台虚拟机。哈哈,够强吧,其实各位做时可以搭建两个站点就可以了,需要4台虚机即可。
篇5:活动目录系列之二:单域环境的实现(单站点)
一、安装前提条件:
*安装者必须具有本地管理员权限
*操作系统版本必须满足条件
*本地磁盘至少有一个分区是NTFS文件系统
*有TCP/IP设置(IP地址、子网掩码等、DNS指向)
*有相应的DNS服务器支持(SRV记录)
*有足够的可用空间250M
二、安装:dcpromo直接运行完成安装
*注意:一般在一个域内最好要放置多台DC,做到冗余备份,故下面我们来看一看如何安装第二台DC,
1. 先设置欲做为附加DC的计算机的DNS的IP地址指向第一台DC的DNS。
2. 运行Dcpromo安装结束。
为了实现 DNS的冗余,还要进行如下设置:
3. 在第二台DC上安装DNS组件,
稍等一会就会自动的把第一台DNS的相关区域和记录复制过来。(要求 第一台DNS必须和第一台DC集成在一起,必须是AD集成的DNS并允许安全的动态更新)
4. 设置两台DC和所有的客户机的DNS分别指向两个DNS,即首选DNS和备用DNS。
此时实现了DNS的冗余和备份功能。
案例:如果主DC在北京,而附加DC在上海,如果安装?
不可能在上海直接安装,因为这样复制流量会很大,WAN线路不可能这么做吧,那怎么办呢?
首先在北京的父域上做AD的备份(利用ntbackup来备份系统状态),把备份还原到上海一台服务器上 (位置选择备用位置),再在这台服务器上搭建第二台DC。
如:北京的DC:ntbackupDDDD备份“system State” 文件名:bakup.bkf,到上海的 一台服务器:恢复备份到一个文件夹,然后开始运行dcpromo /adv 找恢复目录,即可安装成功。
具体的操作,我想各位应该没有太大问题吧,自己多试几次也就OK了。
篇6:VB6实现局域网多站点互连手册
这里对Winsock控件的属性、方法和事件的介绍限于篇幅就不介绍了,下面以最简单的C/S模式下一台服务器和一台客户机的连接来说明其整个连接过程,
首先运行服务器端的程序,使TcpServer处于监听状态,然后运行客户机端的程序,单击【连接服务器】按钮后,客户机端调用Connect方法呼叫服务器(根据RemoteHostIP远程计算机IP地址和RemotePort远程计算机端口号两个参数),然后客户机便处于正在连接服务器状态,等待服务器的响应。客户机调用Connect方法触发了服务器ConnectRequest事件,这时服务器端可以在此事件中判断是否要接受客户机的请求,如要就调用Accept方法,并置标志位说明已成功连接客户机,
服务器端调用Accept方法后又触发了客户机端Connect事件,说明服务器端接受客户端的请求,双方已经建立连接了,这时再置客户机端的标志位,这就是一个完整的连接过程。当服务器或客户机调用Close方法关闭连接时,都会触发对方的Close事件,使其关闭连接。另外建立连接后发送数据的情况是客户机通过调用SendData方法发送数据给服务器,会触发服务器端的DataArrival事件,在这个事件中,服务器端可以调用GetData或PeekData方法把客户机发来的数据保存起来。服务器给客户机发信息同理。要注意一点的是,在服务器的Close事件中应该加上继续监听的代码,这样客户机才可以继续呼叫服务器。
篇7:Windows网络服务架构系列课程详解(七) windows域环境多区域间访问
实验背景:
一个企业如果没有分公司,在单域环境下是可以实现大部分的用户需求的;但是,当公司的规模越来越多,在多个地区都建立了自己的分公司,用户账户和各种资源比较多,不同的分总司对用户的要求不一样(比如说密码策略,访问权限的设置等等),大量的活动目录给管理造成了一定的麻烦,域之间的复制负担过重等等,而公司又需要统一管理,这在单域环境下是很难完成的,维护起来也是相当的困难,因此,多域环境便应运而生,大型企业通过多个区域管理企业内部的用户和资源,而各个区域之间又存在上下级之间的关系,相当于总公司和分公司之间的关系,这样更有利于层次规划管理,从而提高了企业整体办公效率。总公司和分公司之间通过建立树根信任或者父子信任关系,进行单向或者双向的网络资源互访,不同两个公司之间可以通过建立外不信任或者林信任进行单向或者双向的网络资源互访,最终实现多个企业之间的网络互连和资源共享。
实验目的:
1、理解区域之间的上下级关系
2、掌握林、域树和子域的部署过程
3、掌握林中的信任关系(父子信任和树根信任)
4、掌握林之间的信任关系(外部信任和林信任)
5、掌握AGDLP规则,并利用其规则进行区域间资源的访问
实验环境:
本实验搭建了两个独立的林(两家独立的公司),其中一个林(企业—1)里建有一棵域树(也称之为一个林),通过根域和子域构成;根域和子域之间通过父子信任进行互访;另一个林(企业—2)里建有两棵域树(也称之为一个林),域树之间通过树根信任进行互访;另外两个林(企业—1与企业—2)之间通过外部信任或林信任进行互访。
实验网络拓扑:
实验步骤
1. 准备实验环境,并创建林、子域和域树。
1.1、首先,将Srv 1和Srv3分别升级为域控制器,升级过程中选择“新林中的域”,做为两个企业的根域,并将Srv 2加入到Srv 1域中,Srv 4加入到Srv 3中,加入域之后,在各自的根域DNS中会默认添加相应的主机记录。如下图Srv 1中DNS的记录
1.2、添加用户xiaonuo和danuo分别到域beijing.com和guangzhou.com中,并将它们都加入各自的Enterprise Admins组中,通过这两个用户分别对各自的林的修改进行管理,也避免了管理员密码的多次使用造成泄露。在根域中存在两个全局安全组,分别为Enterprise Admins和Schema Admins,其他域是没有的。(以beijing.com为例)
Enterprise Admins:企业管理组,可以对活动目录中整个林作修改,例如添加子域(Domain admins组中的成员也可以添加子域)。
Schema Admins:架构管理组:可以对活动目录整个林做架构修改,也就是用户或组的一些属性选项卡之类的架构,比如说Windows server 2003 R2和Windows server 2003 SP1的架构信息默认就不相同,如果SP1为根域,那么R2是不能够新建一个独立的域树的,原因是架构信息不一样造成的。
1.3、在Srv 2上创建现有域树beijing.com中的一个子域
Srv 1上已经创建好了域根,也称之为一棵域树,也可以称之为一个林。向域树中添加的新域叫做子域(xiaonuo.beijing.com),名称是由子域本身的名称和父域域名结合而成的DNS名,子域上层的域是父域(beijing.com)。
在beijing.com存在且在线的情况下,在Srv 2上运行“dcpromo”选择“在现有域树中的子域”即可
键入网络凭据,键入具有beijing.com域的管理权限的账户和密码(administrator或者xiaonuo,也就是该账户必须是Enterprise Admins或者Domain Admins成员)
输入父域(beijing.com),然后输入添加子域的NETBIOS名称(xiaonuo),最终形成的域名为xiaonuo.beijing.com(域名必须符合DNS的命名规则)
输入域的NetBIOS名称,默认为域名的最前部分,到这一步的时候,安装向导会在同一网段检查是否有重名,如果有重名,会在默认NetBIOS后面加上1,也可以更改成其它NetBIOS名称,客户端在登陆域的时候,只显示域的NetBIOS名称;客户端在加入域的时候,如果没有填写DNS,输入NetBIOS名称是可以加入到域的,使用的是NetBIOS协议,不过,前提是加入域的用户必须和域在同一个网段。
配置完成之后,可以通过下一步进行域信息的复查,如果配置错误,可以单击“上一步”继续配置。确定无误之后,向导便开始安装域环境,首先会从以前加入的域(beijing.com)中脱离出来,然后,创建新的域。DNS中也会将此用户的记录删除。
1.4、在Srv 4上创建现有的林guangzhou.com中的域树tianjing.com
假如您不想使新域成为现有域的子域,想拥有属于自己的一个域名,可以建立一个与现有树分开的、新的域树,它和域根之间通过建立树根信任进行互相通信,单个域树(只有一台DC)或多棵域树构成一个林。
键入网络凭据,键入具有beijing.com域的管理权限的账户和密码(administrator或者danuo,也就是该账户必须是Enterprise Admins或者Domain Admins成员)
输入与guangzhou.com不同的域名,此域名没有父域和子域之间的关系,只要符合DNS的域名命名标准就可以,输入完成之后,开始检查tianjing.com的NetBIOS名称tianjing是否在同一网段中使用,如果没有,默认域的NetBIOS名就为tianjing。
创建子域和创建域树的一个重要区别就是,子域是通过父域的DNS进行名称解析的,而另外一棵域树是通过自己搭建的DNS进行名称解析的,当然,子域也可以搭建自己的DNS,一般在公司里,子域用于一些部门,而域树用于一些分公司,管理的范围大小不同。所以,子域是没有必要搭建一 立的DNS,而域树需要搭建一 立的DNS服务器进行本域树以及所有子域的名称解析。
本实验搭建如果出现一下问题,说明您的两台域控制器版本不一样,比如说windows server 2003 SP1和windows server 2003 R2之间由于版本不一样,所以搭建的域架构信息也不一样。
2. 林中的信任关系
2.1、查看林中的信任关系
林中的信任关系默认在安装域控制器时自动创建,父域和子域之间形成父子信任,如beijing.com和xiaonuo.beijing.com之间的信任;域树和域树之间形成树根信任,如guangzhou.coom和tianjing.com之间的信任。
林中信任关系的特点是自动创建;而且可以传递信任,也就是说域A直接信任域B,域B直接信任域C,那么域A直接信任域C;还可以双向信任,两个域之间可以互相信任,处于平等地位,
打开“Active Directory 域和信任关系”右击域的属性,可以查看域在林中的信任关系
2.2、使用ADGLP规则实现林中跨域访问
林中的所有域之间的信任关系时自动创建的,而且时双向的和棵传递的信任关系,这会不会造成林中的任何账户都能轻易访问其他域的资源呢?答案是否定的。信任关系的建立仅仅只为跨域访问资源提供了前提条件,但是要成功访问资源还必须设置要访问文件夹的共享和安全权限。
AGDLP规则:首先将具有相同访问权限的用户加入的全局组,然后,将所有具有相同性质的全局组加入到一个本地域组,然后给本地域组赋予权限即可。
现在存在这样一个环境,域beijing.com全局组quanjuzu里的一个用户ceshi想访问域xiaonuo.beijing.com中的共享资源。
首先,在域bingjing.com上创建一个用户ceshi,然后创建一个全局组quanjuzu,将ceshi加入到quanjuzu中,而实际应用中,quanjuzu中应该有多个具有同样性质的用户,然后,在子域xiaonuo.beijing.com上创建一个本地域组bendiyuzu,并将域beijing.com中全局组quanjuzu加入到子域xiaonuo.beijing.com中的本地域组bendiyuzu中。
注意:加入的时候,需要修改查找位置,将当前位置改为beijing.com
然后在子域xiaonuo.beijing.com上新建一个文件夹,命名为ceshi,并设置其共享权限为bendiyuzu读取,NSFS权限为bendiyuzu读取和运行,最终的权限为两者的叠加,即为读取权限。
然后在加入域beijing.com的机器上使用用户ceshi登陆到域beijing.com上,通过UNC路径访问域xiaonuo.beijing.com上的共享文件。
注意:上面只是其中的一种访问方法,另外一种是可以到加入域xiaonuo.beijing.com的机器上登陆到域beijing.com,然后进行共享资源的访问。
3. 林之间的信任之一:外部信任
外部信任是指在不同林的域之间创建的不可传递的信任,外部信任在windows 2000混合模式、windows 2000 纯模式或者windows 2003上都可以做。
假如现在有这样一个环境,域bejing.com里的用户ceshi想访问guangzhou.com中资源,而域guangzhou.com中的用户不能够访问域beijing.com中资源。
3.1、配置各自根域DNS的转发器指向对方的DNS上。
要使两个根域的计算机互相解析出对方的DNS域名,需要将各自在DNS上配置“转发器”,互相指向对方。例如,下面是将Srv 1上DNS的“转发器”指向Srv 3的DNS上。
注意:配置完成之后,一定要在各自的DNS服务器上解析一些对方的域名,看是否能够解析成功。
打开域beijing.com的属性窗口,并选择“新建信任”
输入将要信任或者被信任的域guangzhou.com
选择“单向:内传”也就是说这个域bejing.com中的用户可以到域guangzhou.com中得到身份验证。
由于信任关系是在两个域之间建立的,如果在域beijing.com建立一个“单向:内传”信任,则需要在域guangzhou.com上必须建立一个“单向:外传”信任。如下图所示,选择第二项,可以在对方域中自动创建一个“单向:外传”的信任。
接下来键入指定域guangzhou.com中具有管理权限的账户名称和密码,输入用户administrator和danuo都可以。只要是Enterprise admins组中用户都可以。
联系到域guangzhou.com之后,便显示了信任的基本设置,确认无误之后,选择“下一步”建立信任关系。
在这一步的时候,一定要选择“是,确定传入信任”,否则,刚做的操作都实现不了了。
创建完成之后,可以通过打开“Active Directory”在beijing.com或者guangzhou.com的属性选项卡上进行查看,然后以利用AGDLP规则进行测试。
注意:如果两个林域根建立的外部信任之后,林中的每个域都可以和另外一个林中其中的一个域建立信任关系,这个叫快捷信任。
4. 林之间的信任之一:外部信任
4.1、搭建林信任之间的必须条件
林信任是windows server 2003林特有的信任,是windows server 2003林根域之间建立的信任。在两个windows server 2003林之间创建林信任棵为任一林内的各个域之间提供一种单向或双向的可传递信任关系。它的传递性区别于外部信任。
林信任适用于应用程序服务提供商、正在经历合并或收购的公司、合作企业Extranet以及寻求管理自治解决方案的公司。
创建林信任和创建外部信任类似,不同的是创建林信任之前要升级为林功能级别为windows server 2003,这是创建林信任的前提条件。升级林功能级别之前,需要将林中所有域的域功能级别设置为windows 2000纯模式或windows server 2003
打开“Active Directory 域和信任关系”,将所有的域提升为windows 2000纯模式。
提升完域控制器之后,右击“Active Directory 域和信任关系”,选择“提升林功能级别”,然后提升为windows server 2003,注意,如果域控制器没有提升为windows 2000 纯模式或者windows 2003,那么提升域功能级别就会报一个警告。
4.2、创建林信任
打开域bejing.com的属性,选择“信任”,然后选择“新建信任”输入被信任或者将要信任的域guangzhou.com
然后,选择“林信任”
创建一个双向信任,也可以创建单向(内传,外传)信任,根据具体情况而定。
选择第二项,域guangzhou.com上同时创建双向的林信任关系。
接下来键入指定域guangzhou.com中具有管理权限的账户名称和密码,输入用户administrator和danuo都可以,前提必须是Enterprise admins组中用户。
选择“全林性身份验证”,windows 将自动对指定林(guangzhou.com)的所有用户使用本地林(beijing.com)的所有资源进行身份验证。
建立好林信任之后,可以通过在“Active Directory 域和信任关系”选择域beijing.com或者域guangzhou.com进行查看,从下图可以看出,林信任是具有传递性的。
出处:dreamfire.blog.51cto.com/418026/144361
