一、测试环境
domain 1 :tech.local 10.29.1.100 operating system: microsoft windows server 2016 standard
domain2 : test.local 10.29.1.200 operating system: microsoft windows server 2016 standard
二、首先解决DNS的问题我这里用conditional forward zone 来解决,也可以加正向和反向查找来解决但是有点麻烦。用条件查找一条语句就能搞定。如果有多个DC需要在每台上都执行。
1)首先在tech.local 的DC上操作如下(以管理员身份运行powershell->需要有enterprise权限)运行“PS C:\> Add-DnsServerConditionalForwarderZone -Name "test.local" -MasterServers 10.29.1.200 -ReplicationScope Forest”
回到test.local的DC上同样运行上面的命令,只需要更改域名和masterservers IP address就可以了。
需要验证一下就是从各自的DC上ping 对方的域名。
2)双向信任
On domain controller
Control Panel/Administrative Tools /Active Directory Domains and Trusts/ Properties click <new trust>
基本上就是一直点下一步就可以要记住输入凭证的密码,两边都做同样的动作并且密码设置成一样就可以了,这个步骤比较简单就不阐述了。
三、用对方域的账号登录的信任的域计算机中
这个比较有意思,DC和域成员计算机的设置是不一样的。需要更改一些组策略如下
1)两边的DC都要执行的组策略是如下图
Administrative templates\system remote procedure call\ Enable RPC endpoint Mapper Client Authentication Setting must be set to disabled and reboot server.
必须重新启动DC(看来是gpupdate /force不起作用)
2)域成员计算机要执行的策略是
Computer configuration\Policies\Windows Settings\Security Settings\Local policies/security options\Network access\ Network access\Do not allow storage of passwords on credentials for network authentication Setting must be set to disabled
3)
allow log on locally 这里添加进去对方域的账号或者组
经过以上几步对方域的账号就可以登录的信任的域中去