利用windows service 2003来创建多域间访问的搭建与架设（一）外部信任域的搭建与-阿里云开发者社区

利用windows service 2003来创建多域间访问的搭建与架设（一）外部信任域的搭建与

2017-11-21 1179

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

本文涉及的产品

.cn 域名，1个 12个月

简介：

实验环境：

西安凌云高科技系统集成由限公司在日常办公之中使用的域是benet.Com（一个林）；由于工程部最近接到了一个项目；搭建了一个域名为“project.com”（是另一个林）。然后在该域中一个共享文件夹让benet.com中的工程部的员工来访问来达到不同域中的员工互相讨论；如何让不同的域之间的工程部的员工互访？如何让不同的域来达到网络的相互信任？如何完成上面的需求？下面我们具体的来一步一步的做？

实验目的：

理解信任关系的概念；

理解跨域间访问的配置方法；

利用AGDLP规则实验外部信任的互访；

实验拓扑：

实验步骤：

一、理解信任关系的概念：

首先我们要知道为什么域之间要创建信任的关系？

我们来看一个实例：西安凌云高科技的域名为“angeldevil.com”而广州分公司的域名为“gz.angeldevil.com”；如果总公司的员工需要访问分公司域中的资源，访问资源就需要帐户的身份验证，而一个域中的DC只能验证本域的帐户身份，不能验证其他域的帐户。而这时候就需要在域之间建立信任关系，使资源所在的域（资源域或信任域）信任帐户所在的域（账户域，被信任域）。

在一般的情况下，林中的默认信任域关系的特点一般有3个特点：

自动建立：林中的域之间的信任关系是在创建子域或者域树时自动创建的；

传递信任：林中的域的信任关系是可传递的：就像“张三”信任“李四”，“李四”信任“王二”，而“张三”又信任“王二”。

双向信任：双向信任是指在两个域之间有两个方向上的两条信任：就像“张三”相信“李四”，“李四”相信“张三”一样；

信任的类型：林中的信任、林之间的信任；

林中的信任分为：树根信任和父子信任；林之间的信任是自动建立的，而且是双向的可传递的信任关系；虽然信任关系的建立为跨访问资源提供了前提条件，但是成功访问还是必须设置权限：这就需要AGDLP规则。

树根信任：在同一个林中的两个域树之间的存在；

父子信任：在同一个域树中父域和子域之间的存在；

林之间的信任分为：外部信任和林信任。

外部信任是指在不同林的域之间创建的不可信任的传递；林信任是在windows service 2003林中特有的信任；是windows service 2003林根域之间的建立的信任，在两个windows service 2003 林之间创建林信任可为任一林内的各个域之间提供一种单项或者双向的可传递的信任关系。

二、配置外部信任；

为了方便我们实验的配置，我们在这里已经创建好了域benet.Com和“project.com”我们只是来了解外部信任怎么来创建：

2.1.0在配置外部信任之前我们首先来配置“转发器”。（配置转发器其实是让两个DNS互相能够访问），选择DNS属性—转发器，然后填写对端的DNS的IP地址；如图是在windows sp1上的设置；

当然在配置外部信任的时候双发必须要配置，在windows r2上配置和在sp1的方法一样；

2.1.1在project域DC上打开“域和信任关系的界面”的窗口，然后右击“project.com”的域名，然后在弹出的快捷菜单中选择属性——信任命令，单击新建信任按钮就会出现如图所示的界面：

2.1.2然后在弹出的界面中，输入信任的名，单击下一步。

2.1.3下来我们选择信任的方向为“单向：外传”。在这里我们为什么要选择单向呢？下面我们分别来了解一下这三种选项不同的意义：“双向”：本地域信任指定域。同时指定域信任本地域；“单向：内传”：指定域信任本地域；“单向：外传：”本地域信任指定域。所以在我们在这里我们所选择的是“单向：外传：”，因为我们所采用的是本地的信任指定的。