windows server 2012 域信任關係

windows server 2012域信任關係

一、父子域   abc.com 與 sales.abc.com

二、兩個不一樣域    abc.com與bcd.com

父子域的信任關係是雙向的，信任好之後，雙方的資源能夠互相訪問，子域的管理員只能管理子域，父域管理員可以管理自身和子域.

不一樣域的信任關係能夠是雙向的能夠是單向的。

實驗：abc.com與bcd.com見創建信任關係，使得abc.com的帳戶可以在bcd.com的計算機登錄，反之不行.

實驗環境：

                   ip            

srv1.abc.com       192.168.1.1          

srv2.bcd.com       192.168.2.2

srv3               192.169.1.3     192.168.2.3  路由服務器，.

client1.bcd.com    192.168.2.100

用戶 user1@abc.com

同一個網段的虛擬網卡查同一個虛擬交換機上。

1.srv1 搭建abc.com，併成爲dc    

2.srv2 搭建bcd.com，併成爲dc

3.srv3搭建路由服務器，配置lan

4.srv1 ping srv2 ip 通配置成功

5 在本地dns上解析對方域的域名地址

   srv1.abc.com的dns server上設置條件轉發器

   dns管理器--srv1.abc.com--條件轉發器，右鍵（新建條件轉發器）

   dns域   名稱 bcd.com  ip 192.168.2.2

   驗證 ping bcd.com 正常解析192.168.2.2

   srv2.abc.com的dns server上設置條件轉發器

   dns管理器--srv2.bcd.com--條件轉發器，右鍵（新建條件轉發器）

   dns域   名稱 abc.com  ip 192.168.1.1

   驗證 ping abc.com 正常解析192.168.1.1

6.bcd.com 信任 abc.com

   

   srv2.bcd.com

   工具--ad 域與信任關係--bcd.com--右鍵屬性--點信任項--點新建信任--開啓新建信任嚮導

   新建信任名稱 abc.com --

    信任類型 打勾 外部信任 --

   信任方向 打勾  單向外 （trust）--

   信任方  打勾  只是這個域--

   傳出信任身份驗證界別  打勾 全域型身份驗證--

   信任密碼  隨便設置，最後與abc.com一樣位置的密碼一致就能夠

   確認傳出信任  打勾 確認傳出信任

7  abc.com 容許bcd.com信任  

   srv1.abc.com

       工具--ad 域與信任關係--abc.com--右鍵屬性--點信任項--點新建信任--開啓新建信任嚮導

   新建信任名稱 bcd.com --

    信任類型 打勾 外部信任 --

   信任方向 打勾  單向內傳（trusted  或者 容許 trust）--

   信任方  打勾  只是這個域--

   信任密碼  隨便設置，最後與bcd.com一樣位置的密碼一致就能夠

   確認傳入信任  打勾 否 （打狗 是 也能夠 單是須要bcd的管理員帳號密碼）

8.把客戶端client1加入bcd.com

9.在srv1.abc.com創建domain users 組帳戶user@abc.com

10.用user@abc.com登錄client1.bcd.com 成功登錄