多域間的概念

當一個林中存在多個域，域和域之間要訪問，我們就稱為多域之間的訪問， 一個林中可能存在以下的域：

名稱作用

子域	繼續(xù)向任何一個域中添加域控制器叫做子域（子域的后綴名和父域相同）
域樹	由一個或者多個具有連續(xù)名稱的子域組成 （父域為baidu.com,子域a.baidu.com,b.baidu.com 那么這兩個子域就是baidu.com的樹域）
域林	由一個或者多個不具有連續(xù)名稱的域樹組成，但是域樹和域樹之間還是存在連續(xù) （如域樹baidu.com 和 域樹 uu.com 就是兩個名稱不同的域樹，這樣就構(gòu)成了域林）DNS需指向第一個在林中創(chuàng)建的DC

三者的創(chuàng)建方法如下

測試環(huán)境

主機IP地址

DC1 （a.com）	192.168.1.10
DC2 （b.com）	192.168.1.20
客戶端 （屬于 a.com）	192.168.1.50

環(huán)境搭建

DC1的搭建（a.com）
搭建展示如下一張截圖即可，省略部分截圖

DC2的搭建（b.com）
注意，這一臺的DNS要指向DC1,否則這里驗證不成功

客戶端加入a.com域
DNS需指向DC1

林中域之間的信任
默認狀態(tài)下，只要創(chuàng)建了子域以及樹域，都會自動創(chuàng)建信任關(guān)系，信任是域以及林之間建立關(guān)系的首要條件，如果沒有信任關(guān)系，那么域和域之間是不能夠進行訪問的，因為我們這里創(chuàng)建的是域樹，所有信任類型為樹根信任，還有父子信任等
單向信任不可傳遞
雙向信任可傳遞
如：A信任B，B信任C，針對于單向信任，那么不能夠得出A信任C。針對于雙向信任，可以得出A信任C

以上就是本次實驗所需的測試環(huán)境，記得拍攝快照

跨域訪問共享文件夾實驗

實驗要求

1.在b.com 域控上創(chuàng)建一個共享文件夾（需提前將共享文件夾的user權(quán)限去掉，防止其他用戶通過IP地址就能夠訪問到該共享文件夾） 2.然后使用AGDLP規(guī)則讓Windows 7 客戶端能夠訪問到該共享文件夾

搭建過程如下

DNS轉(zhuǎn)發(fā)器的配置（DC1，DC2都需要執(zhí)行 操作一致）
注意：DC2的DNS域要寫為a.com IP地址為192.168.1.10

在b.com域控上新建共享文件夾 （DC2執(zhí)行即可）
注意：這里需要將user的權(quán)限去掉，否則其他用戶可以通過輸入IP地址訪問到該文件夾，這樣我們的這個實驗就沒有效果了

AGDLP規(guī)則創(chuàng)建

AGDLP規(guī)則概述： 1.將A用戶加入到全局組G當中 2.將全局組G加入到本地域組DL中 3.將本地域組DL賦予權(quán)限P用戶和全局組在訪問端創(chuàng)建，本地域組和權(quán)限在被訪問端創(chuàng)建

創(chuàng)建用戶usera（用于訪問共享文件夾的用戶）

創(chuàng)建全局組（a.com上進行）

將用戶usera加入到該全局組里面（a.com 上進行）

創(chuàng)建本地域組（b.com上進行）

然后將a.com上的全局組加入到b.com上本地域組即可 （在b.com上進行）

給共享文件夾賦予權(quán)限

Windows 7 客戶端使用usera用戶登錄測試

訪問測試

注意，可以訪問的用戶只能夠是a.com上屬于全局組里面的用戶才能夠訪問，不是全局組里面的用戶，都不能夠進行訪問

補充：只要兩個域之間建立了信任關(guān)系，那么計算在哪一個域上創(chuàng)建用戶，都可以實現(xiàn)跨域登錄

跨林訪問共享文件夾實驗

上面那個實驗是在林中進行的，是域和域之間的訪問，接下來的實驗我們是在林和林之間進行訪問

林之間的信任關(guān)系

外部信任（不可傳遞）的分類： 單向：單向內(nèi)傳和單向外傳（只能夠一邊傳） 雙向：兩邊都可以互傳 不可傳遞：比如：A信任B，B信任C,那么不能夠得出A信任C林信任（可傳遞） 單向：單向內(nèi)傳和單向外傳（只能夠一邊傳） 雙向：兩邊都可以互傳 可傳遞：比如：A信任B，B信任C,那么能夠得出A信任C單向內(nèi)傳：在訪問端進行（訪問共享文件夾端） 單向外傳：在被訪問端進行（設置共享文件夾端） 雙向傳遞可以在任何一臺DC上進行配置

測試環(huán)境

測試環(huán)境，我們基于上面的來，a.com 和 Windows 7 恢復快照，然后我們重新創(chuàng)建一個b.com

DC2 （b.com）
DNS無需指向DC1了，指向本地即可，然后我們這里選擇添加新林

實驗要求

a.com域中的windows 7能夠訪問b.com上的共享文件夾，兩個林之間創(chuàng)建外部信任關(guān)系，只允許a.com域中的主機訪問b.com ，不允許b.com訪問a.com

DNS轉(zhuǎn)發(fā)的設置（DC1 DC2 都要執(zhí)行 操作一致）

然后在uu.com上創(chuàng)建共享文件夾
這里一樣去掉user的權(quán)限

建立信任關(guān)系 （在 b.com上進行 ）
默認狀態(tài)下，兩個林之間是沒有任何信任關(guān)系的

點擊下一步
這里輸入a.com域的名稱

點擊下一步
這里選擇外部信任

這里選擇單向外傳（因為我們在b.com上設置的，如果在a.com上設置就需要設置為單向內(nèi)傳）

我們這里選擇第二個選項：
只是這個域：如果選擇了這個，那這一臺創(chuàng)建完成以后，我們還需要對方上在來執(zhí)行一遍這個操作
選擇此域和指定域：如果選擇了這個，那么代表這里創(chuàng)建了之后，對方就會自動創(chuàng)建，我們就不需要去對方在執(zhí)行一遍上面的操作了

輸入a.com管理員密碼進行驗證

然后默認點下去即可，創(chuàng)建完成以后就是如下的樣子了

在a.com上查看

AGDLP規(guī)則的創(chuàng)建

在a.com上創(chuàng)建用戶userb以及全局組

創(chuàng)建全局組

然后將用戶userb 加入到該全局組里面去即可

在b.com上創(chuàng)建本地域組以及賦予共享文件權(quán)限

然后將a.com上的全局組加入到b.com上的本地域組里面
我們在查找的時候，需要輸入對方管理員密碼進行驗證

添加完成以后是這樣的

然后將共享文件夾的權(quán)限賦予本地域組

Windows 7 客戶端訪問測試

整個實驗搭建完成，效果達到

總結(jié)

以上是生活随笔為你收集整理的Windows Server 2016 实现跨域、跨林之间的访问的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。