實戰(zhàn)詳解域信任關系上篇博文中我們對域信任關系作了一下概述，本文中我們將通過一個實例為大家介紹如何創(chuàng)建域信任關系。拓撲如下圖所示，當前網(wǎng)絡中有兩個域，一個域是ITET.COM ，另一個域是HOMEWAY

實戰(zhàn)詳解域信任關系

上篇博文中我們對域信任關系作了一下概述，

本文中我們將通過一個實例為大家介紹如何創(chuàng)建域信任關系。拓撲如下圖所示，當前網(wǎng)絡中有兩個域，一個域是ITET.COM ，另一個域是HOMEWAY.COM 。兩個域內各有一個域控制器，分別是Florence 和Firenze ，我們讓兩個域使用了同一個DNS 服務器。

創(chuàng)建域信任關系要注意DNS 服務器的設置，因為DNS 服務器要負責定位域控制器，關鍵之處在于域控制器使用的DNS 服務器要能夠把兩個域的域控制器都定位出來。我們在實驗中規(guī)劃讓兩個域使用同一個DNS 服務器，顯然是出于這個考慮。如果兩個域都使用域控制器作DNS ，那么要使用輔助區(qū)域，轉發(fā)器等技術才能保證DNS 服務器可以把兩個域的域控制器都解析出來。如下圖所示，我們可以看到兩個域的區(qū)域數(shù)據(jù)都在同一個DNS 服務器上。

我們準備構建一個單向信任關系，讓ITET.COM 域信任

HOMEWAY.COM 域，

根據(jù)之前的分析，ITET 想信任HOMEWAY ，必須征得被信任域的同意，因此我們先在HOMEWAY.COM 域上進行操作。在HOMEWAY.COM 的域控制器Firenze 上打開管理工作中的域和信任關系，如下圖所示，右鍵點擊HOMEWAY.COM 域，選擇“屬性”。

在域的屬性中切換到信任標簽，如下圖所示，點擊“新建信任”。

如下圖所示，出現(xiàn)信任信任向導，點擊“下一步”繼續(xù)。

輸入有信任關系域的名稱，如下圖所示，我們輸入域名為ITET.COM 。

選擇信任方向，內傳指的是被其他域信任，外傳則是信任其他域。由于ITET.COM 信任HOMEWAY.COM ，因此Firenze 的信任方向應該選擇單向內傳。

接下來我們要選擇是在兩個域控制器上分別設置信任關系還是同時設置信任關系，為了更清晰地展示這個過程，我們選擇在兩個域控制器上分別進行信任關系的設置。如果對域信任關系已經(jīng)熟練掌握，完全可以選擇在兩個域控制器上同時進行操作。

如下圖所示，為了保證不被其他域惡意信任，HOMEWAY.COM 設置了一個信任口令，只有信任域能回答出這個口令，信任關系才可以建立。

如下圖所示，信任向導已經(jīng)做好準備，點擊下一步繼續(xù)。

信任關系已經(jīng)創(chuàng)建成功，HOMEWAY.COM 已經(jīng)允許ITET.COM 信任自己了。

接下來要選擇是否確認傳入信任關系，

由于我們還沒有在ITET.COM 域中進行設置，因此我們先選擇“否，不確認傳入信任”。

如下圖所示，信任關系創(chuàng)建成功，點擊完成結束HOMEWAY.COM 域的設置工作。

HOMEWAY.COM

允許被ITET.COM 信任后，我們接下來就可以在ITET.COM 的域控制器Florence 上設置信任關系，讓ITET.COM 主動信任HOMEWAY.COM 。我們在Florence 的管理工具中打開域和信任關系，在域的屬性中切換到信任標簽，如下圖所示，點擊“新建信任”。

出現(xiàn)新建信任向導，點擊“下一步”繼續(xù)。

信任域的名稱為HOMEWAY.COM 。

對ITET.COM 來說，信任方向應該是單向外傳。

我們選擇只是在

ITET.COM 域進行信任關系的設置，并不涉及HOMEWAY.COM 域。

接下來我們要選擇用戶身份驗證的范圍，我們選擇全域性身份驗證，這樣分配資源時會更加靈活。

接下來要輸入域信任口令，我們輸入homeway.com 設置的信任口令。

如下圖所示，域信任向導已經(jīng)做好了準備，點擊下一步繼續(xù)。