windows server 2012域信任關係windows
一、父子域 abc.com 與 sales.abc.com
服務器
二、兩個不一樣域 abc.com與bcd.comdom
父子域的信任關係是雙向的,信任好之後,雙方的資源能夠互相訪問,子域的管理員只能管理子域,父域管理員可以管理自身和子域.ide
不一樣域的信任關係能夠是雙向的能夠是單向的。工具
實驗:abc.com與bcd.com見創建信任關係,使得abc.com的帳戶可以在bcd.com的計算機登錄,反之不行.server
實驗環境:dns
ip
ip
srv1.abc.com 192.168.1.1
資源
srv2.bcd.com 192.168.2.2路由
srv3 192.169.1.3 192.168.2.3 路由服務器,.
client1.bcd.com 192.168.2.100
用戶 user1@abc.com
同一個網段的虛擬網卡查同一個虛擬交換機上。
1.srv1 搭建abc.com,併成爲dc
2.srv2 搭建bcd.com,併成爲dc
3.srv3搭建路由服務器,配置lan
4.srv1 ping srv2 ip 通配置成功
5 在本地dns上解析對方域的域名地址
srv1.abc.com的dns server上設置條件轉發器
dns管理器--srv1.abc.com--條件轉發器,右鍵(新建條件轉發器)
dns域 名稱 bcd.com ip 192.168.2.2
驗證 ping bcd.com 正常解析192.168.2.2
srv2.abc.com的dns server上設置條件轉發器
dns管理器--srv2.bcd.com--條件轉發器,右鍵(新建條件轉發器)
dns域 名稱 abc.com ip 192.168.1.1
驗證 ping abc.com 正常解析192.168.1.1
6.bcd.com 信任 abc.com
srv2.bcd.com
工具--ad 域與信任關係--bcd.com--右鍵屬性--點信任項--點新建信任--開啓新建信任嚮導
新建信任名稱 abc.com --
信任類型 打勾 外部信任 --
信任方向 打勾 單向外 (trust)--
信任方 打勾 只是這個域--
傳出信任身份驗證界別 打勾 全域型身份驗證--
信任密碼 隨便設置,最後與abc.com一樣位置的密碼一致就能夠
確認傳出信任 打勾 確認傳出信任
7 abc.com 容許bcd.com信任
srv1.abc.com
工具--ad 域與信任關係--abc.com--右鍵屬性--點信任項--點新建信任--開啓新建信任嚮導
新建信任名稱 bcd.com --
信任類型 打勾 外部信任 --
信任方向 打勾 單向內傳(trusted 或者 容許 trust)--
信任方 打勾 只是這個域--
信任密碼 隨便設置,最後與bcd.com一樣位置的密碼一致就能夠確認傳入信任 打勾 否 (打狗 是 也能夠 單是須要bcd的管理員帳號密碼)
8.把客戶端client1加入bcd.com
9.在srv1.abc.com創建domain users 組帳戶user@abc.com
10.用user@abc.com登錄client1.bcd.com 成功登錄