域信任

信任关系不同域之间要能互访，需要域之间存在信任关系。

信任关系分为可传递信任和非可传递信任。

可传递信任：任何一个域被加入到域目录树后，这个域都会自动信任父域，同时父域也会自动信任这个新域，而且这些信任关系具备双向传递性。

为了解决用户跨域访问资源的问题，可以在域之间引入信任，有了信任关系，域A的用户想要访问B域中的资源，让域B信任域A就行了。

信任关系分为单向和双向，如图所示。

图中①是单向的信任关系，箭头指向被信任的域，即域A信任域B，域A称为信任域，域B被称为被信任域，因此域B的用户可以访问域A中的资源。

图中②是双向的信任关系，域A信任域B的同时域B也信任域A，因此域A的用户可以访问域B的资源，反之亦然。

在域树中，父域和子域的信任关系是双向可传递的，因此域树中的一个域隐含地信任域树中所有的域。

另一种可传递信任不是默认的，可以通过在不同林根域之间建立信任关系来实现，如P53图2-71。

在域之间建立信任关系时，注意信任传递带来的隐含信任，如图2-72。

非可传递信任：非可传递信任的域之间必须通过手动创建信任，才能实现域间资源访问。

可以创建的有：●Server 2003/2008域与NT域●Server 2003/2008域与另一个林中的Server 2003/2008域（当两个林之间没有林信任关系时）●Server 2003/2008域与2000域●Active Directory域与Kerberos V5域操作：为两个域创建信任关系（TrustRelationship.exe）。

在两域间创建信任关系，需要满足能对两域进行解析。

所以首先在DNS服务器上进行区域的创建，并允许区域传送。

参考P55设置信任关系。

通过对域间资源访问进行验证。

Windows域信任关系建立全攻略操作环境：windows 2000的两个独立域 与。

的网段为192.168.0.x， 域管理所在的IP为192.168.0.1，机器名为aa。

的网段为192.168.3.x，域管理所在的IP为192.168.3.1，机器名为bb。

两个域用VPN建立好连接，可互相ping通。

操作目的：建立互相信任的关系。

操作过程：1、建立DNS。

DNS必须使用的，而不能使用公网的，因为要对域进行解析。

由于在和 上的步骤相同，故只以为例。

在192.168.0.1上打开管理工具- DNS- 连接到计算机- 这台计算机。

在其正向搜索区域里新建区域- Active Directory集成的区域，输入，区域文件就叫.dns好了，然后完成。

右击新建的，选择属性- 常规，把允许动态更新改变为是。

然后在正向搜索区域里新建区域- 标准辅助区域，输入，IP地址输入192.168.3.1，然后完成。

右击新建的，选择从主传输。

在反向搜索区域里新建区域- Directory集成的区域，输入网络ID192.168.0，然后完成。

右击新建的192.168.0.x Subnet，选择属性- 常规，把允许动态更新改变为是。

现在的DNS已经建立好了，的也按此建立。

在192.168.0.1上进行测试，注意：DNS的传输可能需要一定的时间，最好在半个小时到一个小时后进行测试。

测试域名解析：ping 正常的为Pinging [192.168.0.1] with 32 bytes of data: Reply from 192.168.0.1: bytes=32 time 1ms TTL=64 Reply from 192.168.0.1: bytes=32 time 1ms TTL=64 Reply from 192.168.0.1: bytes=32 time 1ms TTL=64 Reply from 192.168.0.1: bytes=32 time 1ms TTL=64 Ping statistics for 192.168.0.1:Packets: Sent = 4, Received = 4, Lost = 0 ,Approximate round trip times in milli-seconds:Minimum = 0ms, Maximum = 0ms, Average = 0ms 这说明域已经解析好，如果ping 也能得到类似的响应，说明的解析也完成。

维护活动目录维护活动目录议程：维护活动目录介绍备份活动目录数据库恢复活动目录数据库一、维护活动目录介绍二、备份活动目录数据库1、活动目录数据库备份操作为了避免活动目录数据库失效而引起的错误，因此当活动目录正常工作时，需要对活动目录进行备份。

不能对活动目录单独备份，只能通过备份系统状态对活动目录进行备份。

系统状态组件组件描述活动目录活动目录信息，只存在于DC的系统状态数据中系统启动文件Windows server 2003操作系统启动时使用com+类注册数据库类注册数据库是关于组件服务应用程序的数据库注册表存储了该计算机的配置信息SYSVOL有关组策略模板和日志命令的共享文件夹信息认证服务数据库当Windows server 2003计算机是认证服务器时用来验证用户身份的信息2、备份活动目录数据库时的注意事项注意事项如下：# 须具有备份权限。

默认情况下，管理员组、备份操作员组和服务器操作员组具有备份的权限。

# 活动目录不能单独备份，只能作为系统状态的一部分进行备份，而且只有DC上的系统状态才包括活动目录数据。

# 在DC联机时执行活动目录备份。

3、恢复ad数据库# 修改目录服务还原模式的administrator密码# 执行常规恢复# 执行授权恢复（1）要想恢复活动目录必须重新启动DC，在启动过程中按F8键进入高级选项菜单，然后选择“目录服务还原模式”。

在目录服务还原模式下活动目录是不能被使用的，因此可以对其进行恢复。

（2）修改目录服务还原模式的administrator密码进入目录服务还原模式后，只有administrator帐号才可以登录。

此时需要提供在安装活动目录过程中指定的目录服务还原模式的administrator的密码。

而不是正常登录时的密码。

这个密码如果忘记怎么办？2003平台支持对该密码的修改，在2000中就回天无力了DEMO1：如何修改目录服务还原模式下的密码：三、恢复活动目录的方法1、常规恢复利用常规恢复方式可以把活动目录恢复到备份之前的状态，恢复完成后再与网络中现有的DC执行活动利用常规恢复方式可以把活动目录恢复到备份之前的状态，恢复完成后再与网络中现有的DC执行活动目录的复制，进行数据更新。

外部信任关系实验中域控的操作系统均为windows server 2008 R2 Enterprise。

域和林的级别均为windows 2003，或者以上。

两个林，一个林根域为，一个林根域为int.internal。

域的DNS服务器FQDN为：，IP为：192.168.1.10，DNS指向自己127.0.0.1。

int.internal域的DNS服务器FQDN为：WINDC.int.internal。

IP 为：192.168.1.100，DNS指向自己127.0.0.1或者192.168.1.100建立域信任int.internal域，即中的资源可以共享给int.interanl域成员查看，即在域的文件夹属性——安全选项中可以添加int.intnal域的成员，而Int.internal域文件夹属性——安全选项中不可以添加域成员在这里是信任域Int.internal是被信任域建立域的信任关系，首先要使对方的DNS能解析本地的DNS，方法有很多，如在对方的DNS上建立本地域的辅助DNS，也可以使用条件转发器。

在这里我们使用条件转发器。

在真实生产环境中两个林或域之间不能通信，分属不同的公司，对于两个林或域之间的通信，可请网络管理员设置路由信息。

一、建立DNS条件转发器在这里DNS区域和AD目录集成在一起。

打开域的一台域控，在管理工具中打开DNS管理器，在左侧找到“条件转发器”，右击新建条件转发器，在弹出的对话框中输入要转发解析的对方DNS域名，这里输入被信任域“int.internal”和对方的DNS服务器的IP:192.168.1.100，点击确定，条件转发器建立成功。

真实环境中解析对方时间要长一些。

如下图：在int.internal域的DNS服务器上设置也如此步骤，在条件转发器上输入域和DNS的IP:192.168.1.10，这里不再贴图。

二、建立信任在域的一台域控上打开“Active Directory域和信任关系”，右击“”选择“属性”——“信任”选项卡，点击左下方的“新建信任”弹出“新建信任向导”对话框，如下图：上图点击下一步，在出现对话框中输入要信任的域即被信任域int.internal，点击下一步，选择“外部信任”，外部信任是林内的域需要与不属于该林的其他域之间创建信任关系，不同于快捷信任关系，快捷信任关系是指林内的任何域信任其他林内的任何域的林信任关系。

简介
信任是两个域之间沟通的桥梁，只要两个域之间相互信任，双方的用户即可访问对方域内的资源或者用对方域的计算机登录。

当建立了信任关系之后，如何来验证信任呢?
方法/步骤
操作步骤如下：
执行【开始】丨【程序】丨【管理工具】丨【Active Directory域和倍任关系】命令，打开【Active Directory域和信任关系】窗口，如图1所示。

图1 【Active Directory域和信任关系】窗口
在控制台树中，右击要验证的信任关系所涉及到的域，执行【属性】命令，弹出【属性】对话框，如图2所示。

图2 【属性】对话框
在【属性】对话框中选择【信任】选项卡，在【受此域信任的域】或【值任此域的域】列表框中选择要验证的信任关系，然后单击【属性】按钮，在弹出的对话框中单击【验证】按钮，如图3所示。

图3 验证信任
本文源自大优网。

域的信任关系域的信任关系什么是信任关系信任关系是用于确保一个域的用户可以访问和使用另一个域中的资源的安全机制。

根据传递性分，信任关系可分为可传递信任关系和不可传递信任关系。

根据域之间关系分，WINDOWS信任关系可分为四种。

1．双向可传递父子信任关系2．树与树之间的双向可传递信任关系3．同一个森林两个域之间的快捷方式信任关系4．外部信任关系，建立不同的域或者不同的森林。

WINDOWS 域和非WINDOWS域，NT域2000域。

一般都是不可传递的单向信任关系。

5．森林信任，2000的森林信任关系是不可传递的。

信任仅仅存在与森林根域之间。

2003的信任是双向可传递的信任关系。

只要在根域创建了森林信任。

域里面的所有用户都建立了信任关系。

创建信任关系的考虑，1．域中有一定量用户要求长期访问某个域中的资源。

2．由于安全理由，区分了资源域和账号域3．部分信任关系默认存在。

4．处于减少上层域DC/GC压力，可创建快捷方式信任关系站点简介◆站点是一个物理概念◆定义处于同一个物理区域的一个或多个子网中的用户对象。

◆优化用户登陆，访问◆优化AD复制站点连接站点内用更新宣告的方式来获取更新，传输是非压缩的传输，占用的带宽和数据量比较大。

站点之间使用站点连接器进行复制，可以设置复制时间和复制间隔，占用多少带宽和采用什么样的协议等。

可以设置开销和复制时间，值越小，优先级别越高。

部署站点的最佳实践。

根据复制需求来定制站点间的复制间隔和复制时间。

对于大环境，建议关闭ITSG，手动配制复制链接AD排错工具Enable NDSI diagnostics log获取详细的底层信息修改注册表MACHINE\system\current conti \services\ntds\diagnostcs 取值范围：0——3调整目录服务日志的大小，以便存放产生的日志其他工具DCDIAG分析域控制器的状态针对域控制器特定的功能执行测试NETDOM管理和检查信任关系确认数据库复制是否正常NETDIAG进行网络功能的诊断NETDIAG /VNETDIAG /DEBUG >netdag.txt输出详细的网络信息到TXT文件然后用NETPAD （纪事本）打开DNS与AD活动目录DNS服务器在AD中，除了提供名称格式的支持服务。

本文以中文版weblogic10为例，解决两个domain之间互相访问队列的问题，以下操用在进入控制台后进行：
1、修改domain安全身份证明：
a)进入控制台主页，先锁定编辑，在左边【域结构】中点击域名，如aidm_domain；
b)在页面的Tab中选择【安全】，可看到【一般信息】页面；
c)把【□已启用跨域安全】选项选上；
d)点击下方的【高级】，弹出隐藏选项；
e)修改身份证明，两个域中的证明必须一致，例如改为：aidm_weblogic10；
f)在确认中输入上面同样的证明；
g)点击保存，必激活修改；
2、建立跨域用户：
a)点击【域结构】中的【安全领域】，可看到默认安全领域myrealm，点击查看详细；
b)在页面的Tab中选择【用户和组】，弹出用户列表，点击【新建】；
c)填写名称密码，须记下在另一域中使用相同的内容，其中密码要求字母+数字；
d)创建成功，点击该用户，在页面的Tab中选择【组】；
e)把【CrossDomainConnectors】选项选上，点击保存；
3、建立身份证明映射：
a)点击【域结构】中的【安全领域】，可看到默认安全领域myrealm，点击查看详细；
b)在页面Tab中选择【身份证明映射】，点击【新建】；
c)在新页面中选择【□使用跨域协议】；
d)输入另一个需连接的域名，如aidm_domain，下一步；
e)输入另一个域中创建的跨域用户名及密码；
f)点击保存。

4、重启该domain服务。

指使用weblogic/user_projects/domains/aidm_domain/bin目录下的startWeblogic重新启动。

5、在另一个需连接的域中重复以上步骤。

双域互相信任实验：
这是一个单向信任，afopcn 域信任id57demo 的用户，使id57 域内用户可以在 内登陆。

实验拓扑：
<<AD trust.vsd>>
实验目的：windc-2 被信任，客户端可以通过CitrixDDC 使用id57demo 域的账号登陆并使用App。

Tips:两个域要相互能够找到对方，需要在各自的DNS 上建立转发。

实验步骤：
1，windc-2 建立传入信任
打开“AD 域和信任关系”，
选中域，右键，属性，新建信任，下一步
输入，下一步
选择外部信任，下一步
信任方向，选择单向：内传，下一步
——内传的含义根据图中的解释很容易理解，也可以这样理解更容易：该域的账户验证信息发往本域的DC进行验证，所以是内传。

只是这个域，下一步
输入一个信任密码，下一步
两次下一步
确认传入信任，选择否，不确认传入信任。

可以等到 建立好以后再做确认。

2， 建立信任关系
建立过程参照上面的过程：
外传的含义：
外域的验证请求由登录的本域主机向外发出，到外域做验证，所以是外传。

可以直接选择确认传出信任，下一步
完成
确认
查看结果
3，验证
回到 主机，属性，
输入 的管理员密码进行验证。

确认
4，接入测试
Win7客户机是加入 的一台client，尝试使用id57demo 域内用户登录
可以正确登录
测试成功。

###。