社区
windows网络管理与配置
帖子详情
关于域信任的问题
arrowfly
2003-08-23 10:59:01
我们的局域网本来建立了一个domain域,现在增加一个新的域XX,现在需要两个域的用户互访,所以,需要建立与的信任连接,各位,怎样做?
...全文
128
2
打赏
收藏
关于域信任的问题
我们的局域网本来建立了一个domain域,现在增加一个新的域XX,现在需要两个域的用户互访,所以,需要建立与的信任连接,各位,怎样做?
复制链接
扫一扫
分享
转发到动态
举报
写回复
配置赞助广告
用AI写文章
2 条
回复
切换为时间正序
请发表友善的回复…
发表回复
打赏红包
jy2004
2003-08-23
打赏
举报
回复
详细
smallrascal
2003-08-23
打赏
举报
回复
在Windows NT域和Windows 2000域之间建立信任关系
创建Windows 2000域时,通常会发现系统中已经存在一个或多个Windows NT域,它们需要与新建的Windows 2000域交互。通过在两个不同的域之间建立信任关系,可以方便地实现系统信息共享,而不必大规模迁移到Windows 2000。本文将介绍如何在NT 4和Windows 2000域中建立信任关系。
几点考虑
要在NT和Windows 2000网络之间建立域信任关系,必须保证两个网络是在一个物理连接上,或者至少是由高速链路连接的。这主要是考虑到安全性以及在两个域之间传递的信息类型。
如果两个网络不在同一位置,需要执行下面两个处理方式之一:
● 直接用专用线路连接
● 建立VPN连接(通过Internet)
这是由于在信任域的通信过程中需要使用远程方法调用(RPC)。RPC不能通过Internet。即使它能够通过Internet,你也不希望在不安全的连接上传递这类信息。
如果你的Windows 2000网络中未使用WINS,现在最好启用它。Windows 2000不一定需要WINS;然而,当我在NT 4网络和Windows 2000网络之间建立域信任关系时,我就此咨询了微软公司。微软的回答是在这种情况下需要WINS。如果你安装Windows 2000时未安装WINS,现在需要安装。
类似地,如果你的NT 4网络未使用WINS,在准备建立域信任关系之前要启用它。简而言之:在PDC上启动WINS服务。或者,在BDC上启动WINS服务,在PDC的TCP/IP属性窗口的WINS服务器项中输入BDC的IP地址。
从Windows 2000建立域信任关系
在Windows 2000服务器上打开命令行。Ping要建立信任关系的NT 4服务器。(这种方法能够迅速检查两个域之间的通信链路是否顺畅。如果不能ping通NT 4服务器,你首先要解决链路问题。)
验证通信链路之后,点击开始|程序|管理工具|Active Directory Domains And Trusts。点击Windows 2000服务器所在的域。右击域名,选择属性菜单项。
在域属性窗口中(在Windows 2000中,它类似于yourdomain.local),点击Trusts标签,然后点击添加按钮。在Trusted Domain Input字段中输入要建立信任关系的NT 4域的名称。在Domain Trust Password字段中输入密码。(你可以根据自己的习惯设置密码,只需保证NT 4域中也使用同样的密码即可。)在Confirm Password字段中输入相同的密码,点击确定。如果找不到其他控制器,可能存在WINS问题。在继续设置之前需要先解决这个问题。如果一切正常,点击确定按钮。此时,域属性窗口的Trusts标签中将显示信任域。
点击Domains That Trust This Domain选项旁的添加按钮。输入在Trusting Domain字段中填写的NT 4域名。在Password和Confirm Password字段中输入域信任密码。点击确定按钮。此时,域属性窗口将显示你创建的域信任关系。Windows 2000设置完毕后,在NT 4上重复同样的过程。
利用WINS检查效果
在两侧建立信任关系之后,要启动从一个网络到另一个网络的WINS复制过程——但是不必建立双向复制。为此,在Windows 2000侧,启动WINS管理器。从左边的窗格中选择服务器名称。从Actions菜单中选择Start Pull Replication,这意味着从Windows NT服务器获取WINS信息。相反地,也可以选择Push Replication。
执行完毕后(这一过程短则10分钟,长则几小时,这主要取决于网络大小),在Windows 2000 WINS管理器中点击Active Registrations。从Actions菜单中选择Find By Name。在Find Names Beginning With字段中输入两个网络中任意服务器名的首字母,就可以查看WINS服务器保存的关于该服务器的信息。然而,如果在短时间内屏幕上什么都没显示也不要惊奇。因为显示信息可能要花费几小时,它主要取决于网络上的活动以及网络间的带宽。
在你的定期维护任务列表(或者预防性维护任务列表)中增加一项,定期检查域信任关系的可用性。为此需要在两端进行设置,在Windows 2000网络中使用创建域信任关系的Active Directory Domains And Trust程序,在NT 4网络中使用服务器管理器。遗憾的是,实际上并不存在修复域故障的工具,因此一旦出现问题,要从网络两端清除域信任设置,然后重新创建。
结论
显然,建立域信任关系并不很困难。然而,它需要足够的时间和精力。记住,在开始配置之前,要保证两个网络中都运行了WINS,这样能够避免在建立域信任关系时可能出现的许多问题
域
信任
关系
域
信任
是为了解决多
域
环境中的跨
域
资源共享
问题
而诞生的。
域
信任
作为一种机制,允许另一个
域
的用户在通过身份验证后访问本
域
中的资源。同时,
域
信任
利用DNS服务器定位两个不同子
域
的
域
控制器,如果两个
域
中的
域
控制器都无法找到另一个
域
,那么也就不存在通过
域
信任
关系进行跨
域
资源共享了。
域
信任
关系分为单向
信任
和双向
信任
: 单向
信任
是指在两个
域
之间创建单向的
信任
路径,即在一个方向上是
信任
流,在另一个方向上是访问流。在受
信任
域
和
信任
域
之间的单向
信任
中,受
信任
域
内的用户或计算机可以访问
信任
域
中的资源,但
信任
域
内的用户却
域
and
信任
关系
域
是安全边界,若无
信任
关系,
域
用户账户只能在本
域
内使用,
信任
关系是连接两个
域
的桥梁,使得
域
用户可以跨
域
使用.
信任
关系分为:可传递和不可传递如果A
域
和B
域
之间的
信任
是可传递的,B
域
和C
域
之间的
信任
也是可传递的,那么A
域
和C
域
之间则会自动创建
信任
关系.如果A
域
和B
域
之间的
信任
是不可传递的,或者B
域
和C
域
之间的
信任
是不可传递的,那么A
域
和C
域
之间不会自动创建了
信任
关系.
域
信任
关系攻击指南
距离我上一次发表关于Action Directory
域
信任
相关的博客已经差不多过去两年了。我发现我之前的文章中有些关于
信任
关系和组成员的误解。结合去年PowerView做出的改动,最终使我更新了枚举和攻击
域
信任
关系的文章。这将是我最后一篇讲解关于
域
信任
关系攻击的文章,大概有8000字,读起来并不轻松。通常情况下,我不会仅仅写出我的操作笔记----我尽量详细描述,以期我的文章可以作为大家的一份全面...
实战详解
域
信任
关系,Active Directory系列之十七
实战详解
域
信任
关系 上篇博文中我们对
域
信任
关系作了一下概述,本文中我们将通过一个实例为大家介绍如何创建
域
信任
关系。拓扑如下图所示,当前网络中有两个
域
,一个
域
是ITET.COM,另一个
域
是HOMEWAY.COM。两个
域
内各有一个
域
控制器,分别是Florence和Firenze,我们让两个
域
使用了同一个DNS服务器。 创建
域
信任
关系要注意DNS服务器的
域
信任
这两天在讲
域
信任
关系的东西特意把
域
信任
概念和相关实验实验写出来和大家分享。在同一个
域
内,成员服务器根据Active Directory中的用户账号,可以很容易地把资源分配给
域
内的用户。但一个
域
的作用范围毕竟有限,有些企业会用到多个
域
,那么在多
域
环境下,我们该如何进行资源的跨
域
分配呢?也就是说,我们该如何把A
域
的资源分配给B
域
的用户呢?一般来说,我们有两种选择,一种是使用镜像账户。也就是说,我们可以
windows网络管理与配置
6,185
社区成员
60,364
社区内容
发帖
与我相关
我的任务
windows网络管理与配置
windows网络管理与配置
复制链接
扫一扫
分享
社区描述
windows网络管理与配置
社区管理员
加入社区
获取链接或二维码
近7日
近30日
至今
加载中
查看更多榜单
社区公告
暂无公告
试试用AI创作助手写篇文章吧
+ 用AI写文章