单向外部域信任关系的创建与验证示例

单向外部域信任关系的创建与验证示例

本节介绍的是不同林中两个Windows Server 2003域之间的单向外部信任关系的创建，因为在同一林中的Windows Server 2003各域之间是默认建立起了双向可传递信任了的，所以无需另外创建，但可以删除它们之间的默认信任关系。

下面以创建一个林中的根域单向信任位于lycb.local林下的BeiJing.lycb.local子域的单向信任创建为例进行介绍。前面介绍到，信任关系的创建可以在信任域与被信任域双方各运行一次信任创建向导，各自创建自己一方的信任（在各域管理员只拥有自己域适当管理凭据时），也可以只在任意一方运行向导一次，同时创建双方的信任（在你同时拥有双方域适当管理凭据时）。本节先以在信任域与被信任域双方各运行一次信任创建向导为例进行介绍。具体创建步骤如下：

【经验之谈】要创建两个域间的信任，必须在一个DNS服务器上为两个域创建不同区域，或者在两个域的不同DNS服务器属性对话框中配置指向对方的转发器，如图2-23和图2-24所示；如果两个域中的DNS区域分属于不同DNS服务器时，则还可以在各自的DNS服务器上为对方域创建辅助DNS区域，以便能相互解析（注意，创建辅助DNS区域与配置转发器，只能选择一种）。有关辅助DNS区域的创建方法参见本系列中级认证教材——《金牌网管师——中小型企业网络组建、配置与管理》一书。

图2-23 BeiJing.lycb.local域DNS服务器配置的转发器图2-24 域DNS服务器配置的转发器

1. 在BeiJing.lycb.local子域（被信任方）上创建单向信任关系

在本示例中，信任域是，被信任域是BeiJing.lycb.local。因为本节假设要在介绍在双方各运行一次信任创建向导的信任创建方式，可以在信任的任意一方先进行信任关系创建，只是要注意不同方的信任方向选择不同。在此以先在被信任域的DC创建上信任关系为例进行介绍。

（1）在BeiJing.lycb.local子域的一个DC上（本示例为

BeiJinglycb-dc.BeiJing.lycb.local）执行【开始】→【管理工具】→【Active Directory 域和信任关系】菜单操作，打开如图2-25所示“Active Directory域和信任关系”

管理单元控制台。

图2-25 “Active Directory域和信任关系”管理单元控制台

（2）在BeiJing.lycb.local节点上单击右键，在弹出菜单中选择“属性”选项，在打开的对话框中选择“信任”选项卡，如图2-26所示。从中可以看到，在BeiJing.lycb.local子域中默认是建立起了与父域lycb.local的双向可传递信任关系的。

（3）单击“新建信任”按钮，打开如图2-27所示新建信任向导首页对话框。其中显示了利用此向导可以新建的信任类型，也就是前面介绍的非默认的三种信任。我们这里所建的是第一种信任。

图2-26 BeiJing.lycb.local子域属性对话框“信任”选项卡图2-27 “欢迎使用新建信任向导”对话框

（4）单击“下一步”按钮，打开如图2-28所示对话框。在其中输入要建立信任的信任方域名，可以是NetBIOS域名，也可以是DNS域名。但如果是林间的信任关系建立，则必须输入的是DNS林名称。在这时里要输入（或者grfw）名称。如果在输入DNS域名时显示如图2-29所示错误提示，说不是有效的Windows域名，则基本上是因为对方DNS服务器上没有正确配置对应DNS服务器的的SRV记录。这方面与在工作站加入域时只能输入NetBIOS名称，不能输入DNS域名时原理是一样的。具体在《金牌网管师——中小型企业网络组建、配置与管理》一书中已有介绍，不再赘述。

（5）在图2-28所示对话框中单击“下一步”按钮，打开如图2-30所示对话框。因为此处所创建的信任的目的是要让域（信任域）信任此处操作的BeiJing.lycb.local子域（被信任域）用户，也就是把外部的信任传入到本地BeiJing.lycb.local子域，所以在此要选择“单向：内传”单选项。信任方向是由BeiJing.lycb.local域→域。

图2-28 “信任名称”对话框

图2-29 因对方DNS服务器SRV记录配置不正确时出现的错误提示

图2-30 “信任方向”对话框

（6）单击“下一步”按钮，打开如图2-31所示对话框。在这里因为要以在信任双方各自创建信任为例进行介绍，所以要选择“只是这个域”单选项（当你只有本地域的适当管理凭据时），如果要以运行一次向导同时创建双方的信任，则要选择“这个域和指定的域”单选项，当然这时你必须同时拥有双方域的适当管理凭据。同时创建双方信任的示例将在下节介绍。

（7）单击“下一步”按钮，打开如图2-32所示对话框。在这里配置一个用于确定信任关系的初始密码。这个密码在后面会由Active Directory定期动态更新，以确保信任安全。但在信任双方创建信任关系时所输入的密码必须完全一样。这里的密码不受帐户密码复杂性策略影响。

（8）单击“下一步”按钮，打开如图2-33所示信任创建设置摘要对话框。在其中显示了本次信任创建的设置摘要。如果发现某项设置不妥时，可通过单击“上一步”按钮返回到相应步骤重新设置。在这里要注意的是“传递”属性中显示的是“否”，那是因为这里所创建的是外部信任，不具有可传递性。

（9）单击“下一步”按钮，开始创建信任，成功后会打开如图2-34所示对话框。其中显示创建信任成功及信任的状态及设置。

（10）单击“下一步”按钮，打开如图2-35所示对话框。在这里要选择是否要立即传入（由信任域向被信任域传入信任关系）信任关系。由于本节采用的是双方中单独信任创建方式，对方还没有创建该信任，没有确认该信任，所以也就没有信任关系传入，在此选择“否，不确认传入信任”单选项。

（11）单击“下一步”按钮，打开如图2-36所示信任向导完成对话框，提示必须在另一个域中创建此信任才能起作用。单击“完成”按钮，在被信任域

BeiJing.lycb.local的信任关系中可以见到已新建了信任此域的传入信任关系。信