何时创建林信任

您只能在一个 Windows Server 2008 或 Windows Server 2008 R2 林中的林根域和另一个 Windows Server 2008 或 Windows Server 2008 R2 林中的林根域之间创建林信任。在两个 Windows Server 2008 或 Windows Server 2008 R2 林之间创建林信任，可以为驻留在每个林中的每个域之间提供单向或双向可传递的信任关系。林信任对于应用程序服务提供商、正在进行合并或收购的组织、协作业务 Extranet 和寻求管理自治解决方案的组织都非常有用。

有关创建林信任的详细信息，请参阅创建林信任。

 

使用单向林信任

两个林之间的单向林信任允许受信任林的成员使用位于信任林中的资源。但是，这种信任仅可向一个方向操作。例如，在林 A（受信任林）和林 B（信任林）之间创建单向林信任时，使用同一信任，林 A 的成员可以访问位于林 B 中的资源，但是林 B 的成员无法访问位于林 A 中的资源。

 

使用双向林信任

两个林之间的双向林信任允许每个林的成员使用另一个林中及其隐含的各个林信任域的域中的资源。例如，在林 A 和林 B 之间建立双向林信任时，使用同一信任，林 A 的成员可以访问位于林 B 中的资源，林 B 的成员也可以访问林 A 中的资源。

 

本试验用Microsoft Virtual PC 虚拟机来实现！（2003 Server）

 

实验前期准备篇：

1、创建两个不同林的DNS区域，可以在一台主机上建，也可在是两台是建！（两个林之间可以共用同一台DNS主机，笔者用的是两台！）注：用两台DNS主机需要在每个DNS里创建“辅助区域”来解析对方，另外还要在区域属性里添加允许复制的主机IP！（切记）

2、创建两个不同的林

 

准备就绪后就可以开始了：（我们先来创建辅助区域！）

一、在创建辅助区域之前我们需要先在当前的区域的“区域复制”里添加允许复制的主机IP；方法很简单，在当前区域上右击选择属性，然后点“区域复制”选项，输入允许复制主机的IP地址，点添加就OK了！（如下图：）

 

然后开始创建辅助区域：打开准备好的DNS主机，在“正向查询区域”右击选择“创建区域”；然后选择“辅助区域”下一步：

 

这里输入DNS主机的名称，（如果你在第一个DNS主机上创建，就输入第二个DNS主机的名称）

 

这里输入另一个DNS主机的IP，点添加，然后下一步；创建完成！

然后再去创建另一个DNS的辅助区域（同上，这里就不做介绍了！）

 

二、辅助区域创建完成后我们就可以添加林之间的信任关系了，在添加之前需要提升域和林的功能级别！方法如下：

打开Active Directory域和信任关系，右击当前域选择提升域功能级别；在弹出的框中选择W indows Server 2003 模式，点击提升；

 

提升后，再到Active Directory域和信任关系上面右击选择“提升到林功能级别”；

 

提升完成后，再另一个域内执行以上的操作后就可以建立信任关系了！

提过后我们打开始建立信任关系；打开Active Directory域和信任关系，右击选择属性，切换到信任选项卡上；这里我们可以看到是空的，目前没有任何可信任的关系！

 

在这里我们点击新建信任，来创建一个信任关系！

 

这里输入被信任域的名称；单击下一步！

 

这里我们选择“林信任”，单击下一步；在Windows server 2000 模式下面不会有此选项，此时基本可以证明我们已经创建成功了!

 

这里是信任方向，我们选择“双向”后单击下一步！

 

我们选择同时在两个域控制器上进行信任关系的创建，这样效率更高一些，当然，你必须知道另一个域的管理员口令。（自己做试验，当然知道了，呵呵！）单击下一步；

 

这里要输入另一个域的管理员用户名和密码！

 

身份验证我们在这里选择全林身份验证；然后单击下一步！

 

这里选择“是，确认传出信任域！”下一步；

 

是否传入信任？ 这里选择“是，确认传入信任！”

 

至此，我们的信任就创建完成了！

 

在来看看，现在的传递类型是：林；并且可以传递！

哈哈，这样以后我们就可以轻松访问另一个林内的资源了！