各位好!今天我们来学习一下如何在森林之间实现信任。通过活动目录系列之七:信任(上)的学习,我们知道了信任的含义,也知道在森林内部存在两种不可删除的信任:父子信任、树根信任。这就是之所以我们可以在森林范围内可以无障碍的访问资源和使用资源的原因。但两个不同的森林之间如何能实现上述的这种情况呢?这就是我们今天的话题。

    场景:两个森林,一个是net.com域,有子域sub.net.com是父子域,一个是blogcn.com域。我们要实现blogcn.com域信任 net.com域,这样net.com域内的用户可以无需输密码即可访问blogcn.com域的资源,也可以在blogcn.com域内客户机上登录到自己的域。这种情况常出现在两个公司有合作的时候。上述可以分成两种情况:
    1. blogcn.com域和子域sub.net.com域存在某种信任关系。-->外部信任
    2. blogcn.com森林和net.com森林存在某种信任关系。 ----->林信任

一、blogcn.com域和子域sub.net.com域存在某种信任关系。-->外部信任
    这种信任关系只在指定的这两个域之间存在这种信任关系,不会传递到其它域。我们可以直接在二者之间做“外部信任”。
    假设blogcn.com----->sub.net.com (即前者信任后者)
    完成这种信任后:sub.net.com域内的用户可以在blogcn.com域上登录到自己的域,同时sub.net.com域内的用户可以无需输密码即可访问blogcn.com域的资源。
   
    操作:
    我们直接在blogcn.com做单向外传(箭头向外),也可以在sub.net.com上做单向内传(箭头向内)。
    1. 在两个域的DNS上作DNS转发,相互指向对应的DNSIP即可。此处就不用再赘述了吧。自己做就可以了。
    2. 打开blogcn.com域的“AD域和信任关系”,在blogcn.com域上右击选属性,单击“信任”--新建信任--在信任名称处填写“sub.net.com”,单击下一步,如图所示:


选“单向:外传”,在下一步图中选“这个域和指定的域”,继续,输入sub.net.com域的管理员及密码,再次单击,如下所示汇总信息:



这次做的是外部信任,单击下一步,并选择“是,确认传出信任”,创建成功后,如下图所示:

做好后,我们来验证一下,访问资源和登录问题。
我们在sub.net.com的DC上利用UNC形式访问\\n3.blogcn.com,如下图所示:没有输密码就打开了。

登录验证:把blogcn.com域的DC注销重新登录,会发现sub这个域,选择sub,并输入相应的该域的用户名和密码就可以登录进去了。当然你如果在blogcn.com域的DC上去验证还要修改相应的策略,总之这个实验我们已经成功了。


(二)blogcn.com森林和net.com森林存在某种信任关系。 ----->林信任
    我们这次实现两个森林相互信任,我们希望任意域的用户都可随意访问任意林任意域的资源等,怎么做呢?下面我们开始。
    操作:
    1. 首先在两个林的根DNS上做相互的DNS条件转发。此处自己解决吧。
    2. 提升两个森林的功能级别全部是2003林功能级别。如下所示:对于net.com林,可以先提升sub.net.com子域和net.com域的域功能级别到windows 2003模式,再提升林功能级别是windows 2003。至于如何提升,不用讲了吧,不会的话请留言。懒得写了。
    3. 这次我们在net.com林根上来做。打开domain.msc后,在net.com上右击--属性如下图所示:

单击信任,你会发现默认的存在“父子信任”,而且不可删除,可传递的。
“新建信任”--输入blogcn.com这个域,再次单击下一步,出现如下图所示:


注:如果不提升林功能级别是不会出现这个提示的。
选择“林信任”,下一步,出现如下图所示:


选择“双向”,下一步,选择“这个域和指定的域”,下一步,输入blogcn.com域的管理员和密码,下一步,如下图所示:

为了简单,我们选择“全林性身份验证”,最后结果总述如下:

后面一定选择“是,传出信任”,最后完成后如下图所示:


其实在blogcn.com的DC上的domain.msc上也可以看到。至于验证就不用了。这样两个森林做到了相互信任,资源访问没有任何问题了,如果想删除信任关系,直接在上图中选中后,单击“删除”就可以了。

终于写完了,一边写一边做实验带截图,真有些麻烦。好了,下次再见了。