实战详解域信任关系

实战详解域信任关系上篇博文中我们对域信任关系作了一下概述，本文中我们将通过一个实例为大家介绍如何创建域信任关系。拓扑如下图所示，当前网络中有两个域，一个域是ITET.COM ，另一个域是HOMEWAY

实战详解域信任关系

上篇博文中我们对域信任关系作了一下概述，

本文中我们将通过一个实例为大家介绍如何创建域信任关系。拓扑如下图所示，当前网络中有两个域，一个域是ITET.COM ，另一个域是HOMEWAY.COM 。两个域内各有一个域控制器，分别是Florence 和Firenze ，我们让两个域使用了同一个DNS 服务器。

创建域信任关系要注意DNS 服务器的设置，因为DNS 服务器要负责定位域控制器，关键之处在于域控制器使用的DNS 服务器要能够把两个域的域控制器都定位出来。我们在实验中规划让两个域使用同一个DNS 服务器，显然是出于这个考虑。如果两个域都使用域控制器作DNS ，那么要使用辅助区域，转发器等技术才能保证DNS 服务器可以把两个域的域控制器都解析出来。如下图所示，我们可以看到两个域的区域数据都在同一个DNS 服务器上。

我们准备构建一个单向信任关系，让ITET.COM 域信任

HOMEWAY.COM 域，

根据之前的分析，ITET 想信任HOMEWAY ，必须征得被信任域的同意，因此我们先在HOMEWAY.COM 域上进行操作。在HOMEWAY.COM 的域控制器Firenze 上打开管理工作中的域和信任关系，如下图所示，右键点击HOMEWAY.COM 域，选择“属性”。

在域的属性中切换到信任标签，如下图所示，点击“新建信任”。

如下图所示，出现信任信任向导，点击“下一步”继续。

输入有信任关系域的名称，如下图所示，我们输入域名为ITET.COM 。

选择信任方向，内传指的是被其他域信任，外传则是信任其他域。由于ITET.COM 信任HOMEWAY.COM ，因此Firenze 的信任方向应该选择单向内传。

接下来我们要选择是在两个域控制器上分别设置信任关系还是同时设置信任关系，为了更清晰地展示这个过程，我们选择在两个域控制器上分别进行信任关系的设置。如果对域信任关系已经熟练掌握，完全可以选择在两个域控制器上同时进行操作。

如下图所示，为了保证不被其他域恶意信任，HOMEWAY.COM 设置了一个信任口令，只有信任域能回答出这个口令，信任关系才可以建立。

如下图所示，信任向导已经做好准备，点击下一步继续。

信任关系已经创建成功，HOMEWAY.COM 已经允许ITET.COM 信任自己了。

接下来要选择是否确认传入信任关系，

由于我们还没有在ITET.COM 域中进行设置，因此我们先选择“否，不确认传入信任”。

如下图所示，信任关系创建成功，点击完成结束HOMEWAY.COM 域的设置工作。

HOMEWAY.COM

允许被ITET.COM 信任后，我们接下来就可以在ITET.COM 的域控制器Florence 上设置信任关系，让ITET.COM 主动信任HOMEWAY.COM 。我们在Florence 的管理工具中打开域和信任关系，在域的属性中切换到信任标签，如下图所示，点击“新建信任”。

出现新建信任向导，点击“下一步”继续。

信任域的名称为HOMEWAY.COM 。

对ITET.COM 来说，信任方向应该是单向外传。

我们选择只是在

ITET.COM 域进行信任关系的设置，并不涉及HOMEWAY.COM 域。

接下来我们要选择用户身份验证的范围，我们选择全域性身份验证，这样分配资源时会更加灵活。

接下来要输入域信任口令，我们输入homeway.com 设置的信任口令。

如下图所示，域信任向导已经做好了准备，点击下一步继续。