windows2003和windows2008建立林信任                          


   假如我们有2个域hq.com和test.com,但是我们只想使用一个域,简化管理和权限分配,而各个域中又有不同的账户和权限等,我们就可以使用微软提供的ADMT工具把一个域的用户和计算机等资源权限迁移到另一个域。ADMT的最佳实践和ADMT的一些详细信息请看technet

http://technet.microsoft.com/zh-cn/library/cc974332(v=ws.10).aspx


我们第一步先建立2个林的信任

第二步安装ADMT 工具

第三步 就可以迁移账户和计算机了。

(注在迁移之前请先做好各个域的备份)



2个林,其中HQ林的根域控(win2003 林级别是win2003)是pshqdc01.hq.comTEST林的根域(win2008 r2 林级别是win2008)是pstestdc.test.com

pshqdc01.hq.com域控,ip地址10.9.36.2DNS 10.9.36.2

152239328.png

pstestdc.test.com域控 ip地址 10.9.36.145dns10.9.36.145

151923722.png

2个林的根域控网络是相同的,各自用各自的DNS,所以连FQDN开始都是解析不了的。2个林建立信任(网上看的一般都是同样的林功能级别做信任没有看过不同的林功能级别做信任)首先需要能够互相解析DNS名称,这里有2中方法可以实现2个不同的林的DNS互相解析一种是分别建立条件转发二是分别建立DNS辅助区域(有资料说微软官方文档建议是建辅助区域,我没有去看官网相应的文档不清楚,不过这个实验我确实建立辅助区域)。

建立辅助区域

HQ域的DNS上设置允许区域复制到pstestdc首先要设置区域复制如下:



151926343.png

151928611.png

(也可以用如下配置方式配置区域传送:我只是有点不确定这样配会不会影响本域中DNS的复制,网上有的文档是这样配置的,这样配置是可以建立辅助区域的,我测试过


151930307.png


需要在test域的DNS中添加辅助区域


151932956.png

151934212.png

151937909.png


同样在TEST域的dns上设置区域传送


151939925.png


HQ域的DNS上建立test的辅助区域


151941713.png


如下2个林的域控都可以互相解析了:


151943745.png


下面就可以建立信任关系了,我们建立双向的信任。

创建林的双向信任关系,选择在任意一个域的DC上创建林范围的双向信任关系。

打开AD域和信任关系,鼠标右键域,如下图


151945697.png


属性-信任标签


151947293.png

在左下角点新建信任,如下图


151949766.png

151951586.png

151954897.png

151956950.png

151958796.png

152000991.png

152002832.png

152004243.png

152006811.png

152008260.png

152011704.png

152013373.png

测试:利用HQ的用户登陆加入TEST域的计算机如下,会有建立信任的域的选项(只能登陆相应的域中)


152015956.png


虽然有几个错误好像没有影响信任的建立,错误的原因没有弄明白,我还专门删除信任装了一次,还是这样不知道为什么,但是好像没有影响。(但是第二天的时候发现信任的域HQ联系不了,然后删除信任后在08的域控上重新建立的信任就没有报错,解决问题了。)经过后来的折腾发现2003域和2008域建立的信任有问题,可能跟建立信任的时候报的错有关或者无关,后来的测试的时候直接把03的域升级到08了,后来的22008域之间的信任就是正常的了。


所以我有怀疑2003的AD 和2008的AD 建立信任会有问题出现,没有找到什么原因,之前好像有见过有人说2003 AD 和2008 AD 有部分数据走的端口不一样不知道是不是这样的。

反正最后我 如果2个林的功能级别不一样,最好的操作是先升级低的到跟高级别的一样  再建立信任。 以上仅供参考!欢迎批评指正!