windows server 2008外部域信任关系

环境为：树系 ，网域，树系和网域为同一主机 AD：172.16.10.210Exchange ：172.16.10.230 AD ：172.18.10.210Exchange ：172.18.10.220主域的windows 2008+Exchange2010安装好后，开始建设信任子域一、在主域DNS的正向区域与反向区域上设置“区域传送”。

二、信任子域的windows2008安装好后，开始增加角色，只需要增加“DNS伺服器”、“应用程序伺服器”即可三、角色增加完之后打开DNS服务，增加正向的次要区域四、增加反向的次要区域五、然后设置主机的DNS IP地址为主域的DNS服务器的IP六、开始架设AD ，在命令行内输入“dcpromo”，选中画面中“使用进阶模式安装”七、在接下来的部署设定里，选择“建立新的网域……而不是新的子网域”八、输入树系的域名 ，并且进行网络认证，如果此认证不通过为DNS设置不九、认证过后输入要架设的域名十、十一、十二、此处选择“是”即可十三、十四、安装完成后重开机十五、重开后在AD主机的DNS服务上，看见已经建好了的主要正向区域，设置其“区域传送”十六、并且设置其主要的反向区域十七、在主域的DNS服务器上增加的次要正向区域和次要反向区域十八、上面设置完成后，在的AD主机上打开“Active Directory使用者和电脑”然后在“Users”里面的Enterprise Admins和Schema Admins群组内增加成员\Administrator以上工作完成后开始架设的exchange服务器十九、安装好windows2008的系统后，加入域中。

（1）增加角色“IIS”与“应用程序”（2）安装Microsoft Filter Pack（3）开启服务net.tcp posharing service（4）在命令行内输入ServerManagerCmd -i RSAT-ADDS二十、开始安装exchange2010当出现如下警告时关闭安装程式，在命令行输入D:\setup /PD，然后从上一画面重新开始。

信任关系不同域之间要能互访，需要域之间存在信任关系。

信任关系分为可传递信任和非可传递信任。

可传递信任：任何一个域被加入到域目录树后，这个域都会自动信任父域，同时父域也会自动信任这个新域，而且这些信任关系具备双向传递性。

为了解决用户跨域访问资源的问题，可以在域之间引入信任，有了信任关系，域A的用户想要访问B域中的资源，让域B信任域A就行了。

信任关系分为单向和双向，如图所示。

图中①是单向的信任关系，箭头指向被信任的域，即域A信任域B，域A称为信任域，域B被称为被信任域，因此域B的用户可以访问域A中的资源。

图中②是双向的信任关系，域A信任域B的同时域B也信任域A，因此域A的用户可以访问域B的资源，反之亦然。

在域树中，父域和子域的信任关系是双向可传递的，因此域树中的一个域隐含地信任域树中所有的域。

另一种可传递信任不是默认的，可以通过在不同林根域之间建立信任关系来实现，如P53图2-71。

在域之间建立信任关系时，注意信任传递带来的隐含信任，如图2-72。

非可传递信任：非可传递信任的域之间必须通过手动创建信任，才能实现域间资源访问。

可以创建的有：●Server 2003/2008域与NT域●Server 2003/2008域与另一个林中的Server 2003/2008域（当两个林之间没有林信任关系时）●Server 2003/2008域与2000域●Active Directory域与Kerberos V5域操作：为两个域创建信任关系（TrustRelationship.exe）。

在两域间创建信任关系，需要满足能对两域进行解析。

所以首先在DNS服务器上进行区域的创建，并允许区域传送。

参考P55设置信任关系。

通过对域间资源访问进行验证。

Windows域信任关系建立全攻略操作环境：windows 2000的两个独立域 与。

的网段为192.168.0.x， 域管理所在的IP为192.168.0.1，机器名为aa。

的网段为192.168.3.x，域管理所在的IP为192.168.3.1，机器名为bb。

两个域用VPN建立好连接，可互相ping通。

操作目的：建立互相信任的关系。

操作过程：1、建立DNS。

DNS必须使用的，而不能使用公网的，因为要对域进行解析。

由于在和 上的步骤相同，故只以为例。

在192.168.0.1上打开管理工具- DNS- 连接到计算机- 这台计算机。

在其正向搜索区域里新建区域- Active Directory集成的区域，输入，区域文件就叫.dns好了，然后完成。

右击新建的，选择属性- 常规，把允许动态更新改变为是。

然后在正向搜索区域里新建区域- 标准辅助区域，输入，IP地址输入192.168.3.1，然后完成。

右击新建的，选择从主传输。

在反向搜索区域里新建区域- Directory集成的区域，输入网络ID192.168.0，然后完成。

右击新建的192.168.0.x Subnet，选择属性- 常规，把允许动态更新改变为是。

现在的DNS已经建立好了，的也按此建立。

在192.168.0.1上进行测试，注意：DNS的传输可能需要一定的时间，最好在半个小时到一个小时后进行测试。

测试域名解析：ping 正常的为Pinging [192.168.0.1] with 32 bytes of data: Reply from 192.168.0.1: bytes=32 time 1ms TTL=64 Reply from 192.168.0.1: bytes=32 time 1ms TTL=64 Reply from 192.168.0.1: bytes=32 time 1ms TTL=64 Reply from 192.168.0.1: bytes=32 time 1ms TTL=64 Ping statistics for 192.168.0.1:Packets: Sent = 4, Received = 4, Lost = 0 ,Approximate round trip times in milli-seconds:Minimum = 0ms, Maximum = 0ms, Average = 0ms 这说明域已经解析好，如果ping 也能得到类似的响应，说明的解析也完成。

维护活动目录维护活动目录议程：维护活动目录介绍备份活动目录数据库恢复活动目录数据库一、维护活动目录介绍二、备份活动目录数据库1、活动目录数据库备份操作为了避免活动目录数据库失效而引起的错误，因此当活动目录正常工作时，需要对活动目录进行备份。

不能对活动目录单独备份，只能通过备份系统状态对活动目录进行备份。

系统状态组件组件描述活动目录活动目录信息，只存在于DC的系统状态数据中系统启动文件Windows server 2003操作系统启动时使用com+类注册数据库类注册数据库是关于组件服务应用程序的数据库注册表存储了该计算机的配置信息SYSVOL有关组策略模板和日志命令的共享文件夹信息认证服务数据库当Windows server 2003计算机是认证服务器时用来验证用户身份的信息2、备份活动目录数据库时的注意事项注意事项如下：# 须具有备份权限。

默认情况下，管理员组、备份操作员组和服务器操作员组具有备份的权限。

# 活动目录不能单独备份，只能作为系统状态的一部分进行备份，而且只有DC上的系统状态才包括活动目录数据。

# 在DC联机时执行活动目录备份。

3、恢复ad数据库# 修改目录服务还原模式的administrator密码# 执行常规恢复# 执行授权恢复（1）要想恢复活动目录必须重新启动DC，在启动过程中按F8键进入高级选项菜单，然后选择“目录服务还原模式”。

在目录服务还原模式下活动目录是不能被使用的，因此可以对其进行恢复。

（2）修改目录服务还原模式的administrator密码进入目录服务还原模式后，只有administrator帐号才可以登录。

此时需要提供在安装活动目录过程中指定的目录服务还原模式的administrator的密码。

而不是正常登录时的密码。

这个密码如果忘记怎么办？2003平台支持对该密码的修改，在2000中就回天无力了DEMO1：如何修改目录服务还原模式下的密码：三、恢复活动目录的方法1、常规恢复利用常规恢复方式可以把活动目录恢复到备份之前的状态，恢复完成后再与网络中现有的DC执行活动利用常规恢复方式可以把活动目录恢复到备份之前的状态，恢复完成后再与网络中现有的DC执行活动目录的复制，进行数据更新。

域网络的搭建目前很多公司的网络中的PC数量均超过10台:按照微软的说法，一般网络中的PC数目低于10台，则建议采对等网的工作模式，而如果超过10台，则建议采用域的管理模式，因为域可以提供一种集中式的管理，这相比于对等网的分散管理有非常多的好处，那么如何把一台成员服务器提升为域控?我们现在就动手实践一下:本篇文章中所有的成员服务器均采用微软的Windows Server 2008，客户端则采用Windows7系统。

第一步首先，当然是在成员服务器上安装上Windows Server 2008，安装成功后进入系统，我们要做的第一件事就是给这台成员服务器指定一个固定的IP，在这里指定情况如下: 注意：网络设置使用静态ip机器名:ServerIP:192.168.0.59子网掩码:255.255.255.0默认网关:192.168.0.1DNS:192.168.0.59(因为我要把这台机器配置成DNS服务器) dns的安装就不做介绍了第二步安装完DNS以后，就可以进行提升操作了，先点击“开始—运行”，输入“Dcpromo”，然后回车就可以看到“Active Directory安装向导”在这里直接点击“下一步”: 这里是一个兼容性的要求，选择windows2008及以上的操作系统来做为客户端。

然后点击“下一步”: 在这里由于这是第一台域控制器，所以选择第一项:“新域的域控制器”，然后点“下一步”:既然是第一台域控，那么当然也是选择“在新林中的域”: 在这里我们要指定一个域名，我在这里指定的是，这里是指定NetBIOS名，注意千万别和下面的客户端冲突，也就是说整个网络里不能再有一台PC的计算机名叫“FM”，虽然这里可以修改，但个人建议还是采用默认的好，省得以后麻烦。

在这里要指定AD数据库和日志的存放位置，如果不是C盘的空间有问题的话，建议采用默认。

这里是指定SYSVOL文件夹的位置，还是那句话，没有特殊情况，不建议修改:第一次部署时总会出现上面那个DNS注册诊断出错的画面，主要是因为虽然安装了DNS，但由于并没有配置它，网络上还没有可用的DNS服务器，所以才会出现响应超时的现像，所以在这里要选择:“在这台计算机上安装并配置DNS，并将这台DNS服务器设为这台计算机的首选DNS服务器”。

Windowsserver2008服务器配置知识点总结1. 系统内部使⽤安全标识符来识别⽤户的⾝份。

（SID）2. 系统内置账户Administartor 管理⽤户和来宾⽤户（Guest）3. 账户类型分为本地⽤户，域⽤户，组账户。

根据服务器⼯作模式分为⼯作组和域。

4. ⼯作组模式下，本地⽤户的账户信息存储在SAM中。

域模式下，⽤户账户存储在DC中。

5. 活动⽬录中，组按照能够接受的范围分为本地域组，全局组和通⽤组。

6. ⼯作组（计算机之间是平等的，⼯作组可以跨⼯作组访问）和域环境（必须有DC）本地⽤户和域⽤户。

7. Win2008的三种⾓⾊域控制器，成员服务器，独⽴服务器。

安装win2008内存不低于512MB，硬盘可⽤空间不低于10GB，只⽀持64位版本。

8. AD是活动⽬录，域（逻辑单位）就是共享同⼀份AD数据库（DC（域控制器）⾥边）的计算机所组成的集合。

AD数据库⽂件保存在%systemRoot%中。

9. AD数据库中包含⽤户账户，⽤户密码，计算机账户，权限设定。

10. 每⼀个window域都需要⼀个唯⼀的域名与之对应。

（DNS域名和LDAP域名两种格式）DNS服务器是⽤来解析DNS域名。

域名空间连续的称为⼀个域树，两个域树形成域森林。

信任关系：双向可传递的。

11. 站点代表⽹络的物理结构或拓扑，是⼀组有效连接的⼦⽹，站点和域不同，站点代表⽹络的物理结构，⽽域代表组织的逻辑结构。

12. Ou组织单位也是⼀个容器，⽐喻⼩⼀个规模的容器。

⼀个⽤户账号只能属于⼀个Ou⽽⽤户账号可以加⼊多个组中，所以OU是管理模型，⽽组是权限和权⼒的划分。

13. OU是活动⽬录的⼀种对象，可以将安全策略应⽤域OU，ou是AD的容器，在其中存放⽤户,组，计算机和其他OU14. 特殊规则：读，写，取得所有权。

15. 拒绝优先，组规则⽆冲突时，执⾏累加规则。

16. ⽂件移动复制规则继承：同⼀磁盘移动将会保留⽂件原有权限，其它都是随着⽬标地址的规则⽽改变。

可以通过添加信任策略，让 AD RMS 可以处理由不同的 AD RMS 群集进行权限保护的内容的授权请求。

ADRMS信任策略包括以下几种：1、受信任的用户域。

如果用户的权限帐户证书 (RAC) 是由不同的 AD RMS 根群集颁发的，则通过添加可信用户域，AD RMS 根群集可以处理这些用户的客户端许可方证书或使用许可证请求。

通过导入要信任的AD RMS 群集的服务器许可方证书，可添加可信用户域。

2、受信任的发布域。

通过添加受信任的发布域，一个 AD RMS 群集可以根据由不同的 AD RMS 群集颁发的发布许可证来颁发使用许可证。

通过导入要信任的服务器的服务器许可方证书和私钥，可添加受信任的发布域。

3、Windows Live ID。

通过设置与 Microsoft 的联机 RMS 服务的信任关系，AD RMS 用户可以将受权限保护的内容发送到具有 Windows Live ID 的用户。

Windows Live ID 用户将能够使用来自已信任 Microsof t 的联机 RMS 服务的 AD RMS 群集的受权限保护内容，但是 Windows Live ID 用户不能创建由 AD RMS 群集进行权限保护的内容。

4、联合信任。

使用 Active Directory 联合身份验证服务，可以在两个林之间建立联合信任。

当一个林没有安装 AD RMS，但它的用户需要使用另一个林的受权限保护的内容时，这将非常有用。

以下通过实验介绍前两种信任的建立方法。

实验环境：林,服务器R2ADRMSServer,DC,已部署好AD RMS。

林,服务器YCRSRMSServer,DC,已部署好AD RMS。

在进行信任策略部署之前，分别在以上两台计算机建立了两个受保护文档hbycrsj.docx,ycrs.docx。

权限为EveryONE读取。

实验部署：一、部署可信任用户域：允许其它RMS体系结构中的用户向本地RMS服务器申请UL（用户许可）。

网络操作系统（windows server 2008)练习题2014-05-28 11:29：09｜分类：试题|举报｜字号订阅下载LOFTER客户端网络操作系统(Windows Server 2008）练习题一、名词解释：1. 活动目录2. 域3. OU4。

NTFS5. 动态磁盘6。

基本磁盘二、填空题：1. 操作系用是_____与计算机之间的接口，网络操作系统可以理解为_____与计算机之间的接口。

2.网络通信是网络最基本的功能，其任务是在_____和____之间实现无差错的数据传输.3。

Web服务、大型数据库服务等都是典型的_____模式。

4.基于微软NT技术构建的操作系统现在已经发展了4代_____、_____、_____、_____5.Windows Server 2003的4各版本是_______、_______、_______、_______。

6。

Windows Server 2008操作系统发行版本主要有9个，即_______、_______、_______、_______、_______、_______、_______、_______、_______、7.windows Server 2008 R2 版本共有6个，每个windows Server 2008 R2都提供了关键功能，这6个版本是：____、____、_____、_____、_____、_____。

8。

windows Server 2008 所支持的文件系统包括____、_____、_____。

Windows Server 2008系统只能安装在____文件系统分区.9。

windows Server 2008 有多种安装方式,分别适用于不同的环境，选择合适的安装方式,可以提高工作效率.除了常规的使用DVD启动安装方式以外，还有_____、______及_____.10. 安装Windows Server 2008 R2时，内存至少不低于____，硬盘的可用个、空间不低于____。