?域信任關系是一種建立在域間的關系，它使得一個域中的用戶可以由另一個域中的域控制器進行驗證。在所有域關系中只有兩種域，即信任關系域和被信任關系域。在Windows Server 之間可以建立如下信任關系。

? ?傳遞信任關系。
（1）傳遞信任關系不受關系中兩個域的約束，而是經父域向上傳遞給域目錄樹中的下一個域。傳遞信任關系是雙向的，關系中的兩個域相互信任。默認情況下，域目錄樹或林中的所有信任關系都是傳遞的。
（2）不傳遞信任關系。
不傳遞信任關系受關系中兩個域的約束，并且不經父域向上傳遞給目錄樹中的下一個域。默認情況下，不傳遞信任關系是單向的。
（3）單向信任關系。
單向信任關系是單獨的委托關系，所有單向信任關系都是不傳遞的。默認情況下，所有不傳遞信任關系都是單向的。
（4）雙向信任關系。
雙向信任關系也是一對單獨的委托關系，即域A信任域B，而域B也信任域A，所有傳遞信任關系都是雙向的。為使不傳遞信任關系成為雙向，必須在域間創建兩個單向信任關系。

本次實驗圖如下所示

?

1）一開始所有的服務器都還沒有添加AD服務，所以我我們要將服務器一個個添加AD服務，并升級為域控服務器，首先將192.168.10.2升級為域控（DC）服務器做為林根域，安裝的時候勾選安裝DNS服務，域名為yzy.com，然后我們要構建一個活動目錄域樹，這樣就要在192.168.10.2的DNS服務器上創建委派域，打開DNS管理控制臺--->右擊正向查找區域--->新建委派域指向子域192.168.20.2（這臺為子域），目前還為超時狀態，主要是因為xm.yzy.com還沒有安裝DNS服務。

2）登錄到192.168.20.2添加DNS服務，并升級為DC。先將這臺服務器的首先DNS設置為自己的IP。然后添加DNS角色，然后再升為DC：添加完DNS角色，在DNS管理控制臺上右擊正向查找區域--->新建區域--->主區域-->區域名稱為xm.yzy.com-->允許動態更新-->完成。在反向查找區域也新建區域。然后再新建主機A記錄，名稱為本主機服務器名，IP為本服務器IP（192.168.20.2）。為了讓子域服務器能夠查尋得到父域，所以必須在此服務器的DNS建立條件轉發器，DNS名為：yzy.com,IP地址為192.168.10.2。在屬性上的條件轉發器上添加本地區的電信DNS服務器。然后測試DNS。最后將此臺服務器升級為DC（運行DCPROMO）。注意安裝到域林的時候要填入yzy.com并憑據為yzy.com的管理員。安裝完成后，現兩臺服務器就會自動建立起了信任關系，因為父子域本身就會自動建立雙向信任關系。

?

3）現在要在192.168.30.2構建域林，同樣首先將DNS首選項設為本服務器的IP地址，然后添加DNS角色，然后在DNS上的正、反向查找區域新建區域，再新建主機記錄，指向本臺主機，接著在條件轉發器上新建轉發器指向yzy.com。同樣在192.168.10.2和192.168.20.2上的DNS上的條件轉發器上新建條件轉發器都指向abc.net。將192.168.30.2服務器升級為DC，并且勾選“新建域樹而不是新子域”，憑據為yzy.com新域樹為abc.net且不創建域委派，完成后，和yzy.com的樹根域也會自動建立起來了，如下圖所示：

?

?

?

?

經過上面的建立，可以在各域服務器上的AD域用戶和計算機中建立一些帳戶加入到建立的組中并授權給其它域的用戶權限

4）此實驗中192.168.40.2服務器同樣也是林根域（我們可認為此域為新收購的公司，要與之前的域整合，實現可互相訪問）具體如下：

在xyz.com服務器上的DNS管理器上的條件轉發器新建兩個條件轉發器分別指向yzy.com和abc.net，且編輯到達外部任何域的條件轉發器（右擊DNS服務器---》屬性---》轉發器選項卡---》編輯---》添加本地服務商的DNS地址---》確定），測試DNS解析。然后在反向查找區域新建區域并新建PTR指針記錄，接著在yzy.com\xm.yzy.com\abc.net域服務器上的DNS條件轉發器上分別新建條件轉發器，都指向xyz.com。

5）由于不同林之間是不會自動建立信任關系的，所以我們要手動建立：

在xyz.com上建立與yzy.com的外部信任或林信任，打開xzy.com上的AD域和信任關系---》右擊xyz.com屬性---》信任選項卡---》新建信任---》鍵入yzy.com域名---》可選林信任或外部信任---》信任的方向---》此域和指定的域（知道指定域密碼的情況下可選此項）---》全域性身份驗證---》完成。這樣在這兩臺域之間就可以進行授權了。

6）在林根域下xm.yzy.com和abc.net之間如果有大量的數據傳輸，我們就可以進行快捷方式信任（前提是要有父子域關系的前提下）。只要在xm.yzy.com上進行信任設置就可以了，步驟和第5步差不多，在此所有的信任關系都建立了。

補充：領域信任是在不同的平臺下建立的，如Linux和Windows平臺，大家可以到網上去了解。

轉載于:https://blog.51cto.com/davidchain/817951

總結

以上是生活随笔為你收集整理的活动目录域结构和域信任关系建立实验的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。