在Windows Server2003中林之间的信任关系分为:外部信任关系和林信任关系,其中林信任是Windows Server2003中所独有的一种信任机制。
如果在两上林中建立外部信任关系,如果A信任B域(A--->B),则B域中的帐户就可以在A域中使用并访问资源(A<---B),而且他们是没有可传递性的,也就是不会将信任传递给下面的子域,那么如果想让信任关系传递给子域那么我们就需要创建林信任关系。
林信任关系的应用场景:
企业由于公司兼并,或与业务伙伴的合作,在其网络环境中常常会有两个林或更多。这时建立适当的信任关系将极大地方便用户的访问,而不必去记那么多的用户名和密码了。
企业由于公司兼并,或与业务伙伴的合作,在其网络环境中常常会有两个林或更多。这时建立适当的信任关系将极大地方便用户的访问,而不必去记那么多的用户名和密码了。
案例:
现有两个公司的将要合并,分别是soft.com和qq.com域,并且均为AD的林根域,现在需要创建soft.com信任qq.com的林信任关系。
现有两个公司的将要合并,分别是soft.com和qq.com域,并且均为AD的林根域,现在需要创建soft.com信任qq.com的林信任关系。
具体操作过程如下所示:
一、配置DNS之间相互转发,并且实现DNS域名之间互相通讯,此项必须操作,否则后过
一、配置DNS之间相互转发,并且实现DNS域名之间互相通讯,此项必须操作,否则后过
程无法继续;
二、提升soft.com和qq.com域和林功能级别;
二、提升soft.com和qq.com域和林功能级别;
![](https://i-blog.csdnimg.cn/blog_migrate/a180cc99de33c3a9e34a51f676b73916.jpeg)
soft.com域的模式提升,打开"Acitve Directory域信任关系"如下图所示
![](https://i-blog.csdnimg.cn/blog_migrate/12e400901f9b65c3d11f0556d8d45803.gif)
Windows Server 2003域级别提升成功,如下图所示.
![](https://i-blog.csdnimg.cn/blog_migrate/922b4e151fa43dfcdaa28d1abc1f223c.gif)
![](https://i-blog.csdnimg.cn/blog_migrate/6ba6cf9b3a582169cd3e84f2c261f27c.gif)
选择"Windows Server 2003"模式,如下图所示.
![](https://i-blog.csdnimg.cn/blog_migrate/d04d9cf43bcd7b825fd7656e2713d172.gif)
选择"确定"继续,提示林或域的模式的提升均为不可逆的,如下图所示
![](https://i-blog.csdnimg.cn/blog_migrate/71ea5e05a230f2f8c2c0e39954fba734.gif)
致此,通过上面的操作己经完成了对soft.com的域级别和林级别的提升,用同样的方法对qq.com的域模式及林模式进行提升.
三、在soft.com上面创建林信任关系
在soft.com中创建信任关系,指定要信任的域,如图所示指定被信任的域为qq.com,下图所示
![](https://i-blog.csdnimg.cn/blog_migrate/eda29f82e7ebb174b7721f3d7a4c4b3d.gif)
信任类型中选择“林信任”,如图所示
![](https://i-blog.csdnimg.cn/blog_migrate/e1f8f1b40108bc7da572a4085d721f63.gif)
信任方向中选择“单向,外传”,如图所示
![](https://i-blog.csdnimg.cn/blog_migrate/9acec0f34cfd278ecd8caf6c128038bb.gif)
在信任方中选择“这个域和指定的域”,如图所示
![](https://i-blog.csdnimg.cn/blog_migrate/7b0a6a6173750c0916970141b97d9a26.gif)
在下图中输入qq.com域的用户和密码
![](https://i-blog.csdnimg.cn/blog_migrate/8aa86807e3f624c382cdd960f98c0fb4.gif)
传出信任身份验证级---林级别中,选择“全林性身份验证”,如下图所示
![](https://i-blog.csdnimg.cn/blog_migrate/4facd87a64dddea1a3a0bcc2a71043de.gif)
接下来是选择信任关系完毕和信任创建完毕,如图所示
![](https://i-blog.csdnimg.cn/blog_migrate/f9c1369b75c80089d2320c415a4316c9.gif)
选择“是,确认传入信任”单选按钮,如图所示
![](https://i-blog.csdnimg.cn/blog_migrate/64a71c7e2bb593a6f0e6abbe99fadf9e.gif)
信任关系创建成功,单击“完成”按钮,如下图所示
![](https://i-blog.csdnimg.cn/blog_migrate/efbcdc8f20d21e1cb565a07b25fb8069.gif)
在soft.com中创建完林信任后,在林中可以看到如图所示,林信任并且具有可传递性,如下图所示
![](https://i-blog.csdnimg.cn/blog_migrate/eeb9d54341c920e4d28acfbd3355144e.gif)
那么在QQ.com域的信任关系中可以看到时信任的成功创建,如图所示
![](https://i-blog.csdnimg.cn/blog_migrate/ad5ab81f4c066c2a84ec4fc4bc1232a0.gif)
四、最后验证信任关系,如下图所示为在soft.com域的成员登陆的界面中可以看到使用QQ.com域中的帐户登陆。
![](https://i-blog.csdnimg.cn/blog_migrate/ece5a895a0fe466aa922974e25a535c5.gif)
原创时间:2007.7.14 午
转载于:https://blog.51cto.com/jankie/34067