本文出自 “叶俊生” 博客,请务必保留此出处http://yejunsheng.blog.51cto.com/793131/175814

管理信任关系:什么是信任关系:信任关系是用于确保一个域的用户可以访问和使用另一个域中资源的安全机制 根据传递性分,信任关系可分为可传递信任关系和不可传递信任关系两种 根据域之间关系分,Windows信任关系则可分为四种  信任关系是如何工作的  创建信任关系  删除信任关系  防止未经授权的用户访问
关于信任关系:父子信任 根信任默认工作  快捷方式信任有肋于提高效率  外部信任关系不可传递  在Windows 2000域与Windows NT 4.0域之间需要创建外部信任关系  Windows 2000域与其他非Windows Kerberos V5区域之间,需要创建外部信任关系  创建信任关系的考虑:域中一定量用户要求长期访问某个域中的资源  由于安全理由,区分了资源域和账号域  部分信任关系默认存在  处于减少上层域DC/GC压力,可创建快捷方式信任关系
win200046
  我现在来到一台计算机名称叫做Guangzhou的计算机  它是一个森林的另一棵域树  它的域名叫做Guangzhou.Contoso.Msft  在两个域构建信任关系之前 我们必需确保这两个域之间它们是能够相互访问的  而且它们必需能够彼此解析到对方的域名和查询到对方的SRV记录   在命令提示符里面输入ping Hangzhou.Subdom.Nwtraders.Msft按回车键  现在可以看到是能够成功地访问到Hangzhou.Subdom.Nwtraders.Msft这个子域的
win200047 我现在来到一台计算机名称叫做Hangzhou的计算机  它是一个森林的子域   它的域名叫做Hangzhou.Subdom.Nwtraders.Msft  首先要在命令提示符里面输入ipconfig /flushdns按回车键去清除一下客户端的DNS查询缓存  否则的话有可能它没直接向对方进行查询 而直接把缓存里面的无效信息提供给用户  在命令提示符里面输入ping Cotoso.Msft按回车键  现在可以看到 已经成功地解析到Contoso.Msft这台DC了   接下来就可以创建信任关系了 
win200048
  我们现在所要创建的信任关系是Subdom.Nwtraders.Msft和Contoso.Msft之间的信任关系 通过开始--程序--管理工具--选择Active Directory域和信任关系  首先对着Subdom.Nwtraders.Msft右键--选择属性  按信任--在受此域信任的域那一项按添加   接下来就输入受信任域  输入Contoso.Msft  下面要求输入密码 这个密码是用来验证这两个域之间相互信任用的  也就是这两密码需要两个域之间的管理员进行协商的  而不是说使用现在创建的管理员密码  按确定的时候它会跟对应的域进行相互联系的    如果这里输入密码 两边的密码都要输入相同的密码  我就不输入密码了
win200049
我现在来到一台计算机名称叫做Guangzhou的计算机  通过开始--程序--管理工具--选择Active Directory域和信任关系 对着Contoso.Msft右键--选择属性   按信任  在信任此域的域那一项  按添加   在信任域里面输入Subdom.Nwtraders.Msft  因为那边没有设置密码所以这里也不输入密码了  按确定   按是就ok了   现在我构建的实际上是属于一个单向的信任关系 也就是说Subdom.Nwtraders.Msft这个域信任Contoso.Msft那个域的  Contoso.Msft这个域里面的用户是能够访问Subdom.Nwtraders.Msft域里面的资源  而Subdom.Nwtraders.Msft这个域里面的用户是不能够访问Contoso.Msft这个域里面的资源的   这个信任关系是快捷方式信任关系 
win200050
我现在来到一台计算机名称叫做Shenzhen的计算机  它是另一个森林  它的域名叫做Xinge.com  它的IP地址是192.168.1.18 通过开始--运行--输入dnsmgmt.msc按确定来打开DNS   对着正向搜索区域右键--选择新建区域   接着下一步   选择标准辅助区域   接着下一步
win200051
  在名称里面输入子域的域名(Subdom.Nwtraders.Msft)  接着下一步   因为那台子域的IP地址是192.168.1.6   所以在IP地址里面输入192.168.1.6按添加   接着下一步   按完成就ok了 
win200052
有些时候区域的复制是需要时间的 我们可能会看到一个红色的X号告诉你区域不是由DNS服务器加载的 这时候问题并不大  等待一下就能够复制成功了
win200053
我现来到一台计算机名称叫做Hangzhou的计算机  它是森林中的字域  通过开始--运行--输入dnsmgmt.msc按确定来打开DNS  对着正向搜索区域右键--选择新建区域    接着下一步  选择标准辅助区域   接着下一步
win200054
  在名称里面输入Xinge.com  接着下一步  在IP地址里面输入192.168.1.18   按添加  接着下一步   按完成就ok了
win200055
我在Hangzhou这台计算机上  通过开始--程序--管理工具--选择Active Directory域和信任关系   对着Subdom.Nwtraders.Msft这个子域右键--选择属性    按信任   在信任此域的域里面--按添加   在信任域里面输入Xinge.com  也就是说我现在设置Xinge.com信任Subdom.Nwtraders.Msft  按确定 Xinge.com是属于外部信任关系 是不可传递的  按Xinge.com-- 按编辑--按验证--输入信任域的用户名和密码  确保这个信任关系是可靠的
win200056
我现在来到Shenzhen这台计算机    通过开始--程序--管理工具--选择Active Directory域和信任关系  对着Xinge.com右键--选择属性   按信任  在受此域信任的域里面按添加  在受信任域里面输入Subdom.Nwtraders.Msft按确定  Subdom.Nwtraders.Msft是属于外部信任关系 是不可传递的
删除信任关系:不再信任一个域或原域将被移除的时候,需要删除已建立的信任关系   验证和删除信任关系:NETDOM TRUST 目标域FQDN /Verify   NETDOM TRUST 目标域FQDN /Domain:本地域FQDN /remove
阻止未经授权的用户访问:何为之未经授权的用户  如何阻止未经授权的用户访问  netdom.exe /flitersids:信任域FQDN
win200057
我们有时候会删除掉信任关系  什么时候删除掉信任关系呢?当我们不再信任一个域  比如说一家公司和另一家公司是处于合作伙伴的关系 关系非常友好  那么有一些资源需要共享  需要创建一个信任关系 但是世界是永恒不变的只有利益  时间长了可能两家公司出现了分离 合作伙伴终止  我们这个时候需要把信任关系马上终止防止对方的用户还能够来我们的公司看资料 比如说我现在想删除掉Xinge.com这个域  打开Active Directory域和信任关系后   对着Subdom.Nwtraders.Msft右键--选择属性   按信任---按Xinge.com按删除就ok了 
 win200060
  通过开始--程序--管理工具--选择Active Directory 站点和服务   对着Sites右键--新建--按站点 比如某些DC是在Shanghai的  站点的名称就叫做Shanghai吧 下面有一个DEFAULTIPSITELINK这个是站点间的复制连接 这个是必需选上的 按DEFAULTIPSITELINK  按确定 
win200061
对着Subnets右键--选择新建--子网    IP地址为192.168.1.2    掩码为255.255.255.255  创建一个这样的子网  按Shanghai 按确定
win200062
  我再来创建一个子网  IP地址为192.168.1.3    掩码为255.255.255.255    按Shanghai  按确定   这两台DC都放在Shanghai这个站点内  当有客户端使用IP地址来访问的时候 它就会默认地到Shanghai这个站点的DC里面去  而不需要去访问DEFAULTIPSITELINK里面的DC  当然DC还需要我们手动移动到Shanghai站点里面   
win200063
  我现在把Beijing  Hangzhou这二台DC都移动到Shanghai这个站点里面  对着DC右键--选择移动  按Shanghai 按确定  那么这个Shanghai站点 它下面就包含两个子网 
win200064
  另外我们也可以创建一个新的站点   名称就叫做Beijing吧    按DEFAULTIPSITELINK   按确定
win200065
现在为Beijing这个站点新建子网 对着Subnets右键--选择新建--子网   IP地址为192.168.1.12   掩码为255.255.255.254  按Beijing  按确定  
win200066
  我现在把Guangzhou这台DC移动到Beijing这个站点里面    对着Guangzhou右键--选择移动   按Beijing   按确定
win200069
我现在来创建一个站点间的传输链接  站点间的传输链接有二种方式  IP链接和SMTP链接  在绝大部分的情况下 我们都会使用IP链接 因为IP链接它更有保证性和效率更高  SMTP链接会用于什么情况呢?SMTP链接它需要使用SMTP服务 那么它通常是使用网络带宽非常小而且网络链接非常不稳定  经常会断 我们需要使用SMTP链接  使这个复制链接能够保证数据的可靠性和可用性  我现在来创建一个IP链接  展开Inter-Site Transports  对着IP右键--选择新站点链接   名称就叫做Beijing to Shanghai吧   把Beijing和Shanghai都添加在此站点链接中的站点里面   按确定 
win200070
双击DEFAULTIPSITELINK这个站点链接  在此站点链接中的站点按Beijing按删除    确保Beijing和Shanghai站点之间就只有我当前所创建的Beijing to Shanghai的站点链接
win200071
对着Beijing to Shanghai这个站点链接右键--选择属性    在常规里面可以看到开销值 默认值是100 它是用来计算两个站点之间复制优先级的 数值越小的优先级越高 在复制的时候优先保证开销值小的先进行  副本复制频率  默认值是180分钟  也就是Beijing站点和Shanghai站点之间是每180分钟才发生一次复制  更关键的是可以更改日程安排  按更改日程安排 我们可以规定每天什么时候进行复制 比如说我们每天早上8点钟到晚上8点钟可能有同事在使用宽带网络 网络的效率没法得到保证 我们就规定从早上8点钟到晚上8点钟之间不可以进行任何AD复制的 选择无法使用复制那一项 只有在晚上8点钟之后到早上8点钟之前才允许AD复制  按确定就ok了 
win200072
   如果Beijing这个站点想和DEFAULTIPSITELINK这个站点进行复制怎么办呢?  当然我们可创建一个新的站点链接  但是创建多个站点链接对你以后的管理不是好事  所以我们就创建一个站点链接桥吧  对着IP右键--选择新站点链接桥 名称就叫做Beijing to Default site吧  那么站点链接桥就把这两个站点链接放在里面了 这样Beijing和DEFAULTIPSITELINK站点之间能够通过Shanghai站点来进行复制  当然这个复制模式是Beijing先复制到Shanghai Shanghai再复制到DEFAULTIPSITELINK  这样能够保证Beijing到Shanghai只有一次复制而不是二次复制 同样也减少了我们日程的维护量  按确定就ok了
部署站点的最佳实践:根据复制需求来订制站点间的复制间隔和复制时间  对于大环境,建议关闭ITSG,手动配置复制链接