在配置域信任关系前,首先要掌握域信任关系的概念以及他们的特点,可以参考我上一篇文章

域信任关系的知识分享

这次我们要做的是2个独立域之间如何建立信任关系,并实现用户跨域登录及文件共享,最终实现效果如下:

1、ylxqblog.cn域中的san.zhang用户能访问ylxq.cn域中的共享文件夹,ylxq.cn域中的si.li用户也能访问ylxqblog.cn域中的共享文件夹

2、zhangsanPC上面可以登录si.li,lisaPC上面可以登录san.zhang

此次实验DC和文件服务器部署在同一个机器,废话不多说,直接开搞,下面是此次试验的拓扑图

首先我们准备好4台虚拟机,ylxqblog.cn、ylxq.cn、zhangsanPC、lisiPC,确保网络互通,配置信息如下,关于如何配置域环境可以参考我另一篇文章,Windows Server 2016部署域控制器

计算机名称

IP地址

说明

dc01.ylxqblog.cn

172.16.1.10

域控+文件服务器

dc02.ylxq.cn

172.16.1.20

域控+文件服务器

zhangsanPC

172.16.1.100

ylxqblog.cn域客户端

lisiPC

172.16.1.200

ylxq.cn域客户端

建立域信任关系之前,我们要确保2个域之间能够相互解析,需要在双方的DNS服务器上面做相应的设置,需要创建双方的DNS区域的副本

首先在dc01.ylxqblog.cn上面打开DNS

右击ylxqblog.cn属性,将区域传送设置为允许

然后我再新建一个ylxq.cn的副本

下一步,完成,然后需要将区域传输过来,右键新建的ylxq.cn,点击从主服务器传输(如果前面的允许区域传送的选项没有勾选,则改步骤会失败)

可以看到信息已成功传输

接下来我们在dc02.ylxq.cn上面做相同的设置,允许区域传送,再把ylxqblog.cn的DNS区域副本同步过来,操作类似,同步完成后如下

设置完成后分别在2台DC上面ping下对方的域名,验证下解析是否正确

正常通讯,说明解析工作完成,接下来我们配置域信任关系,打开活动目录域和信任关系

右击ylxqblog.cn属性

切换到信任选项,点击新建信任

输入需要信任的域名,如果解析关系没有设置正确,这一步将显示无法找到对应的域名

这里我们选择林信任

选择双向信任

设置信任密码,信任双方设置需要保持一致

这里我们先选择否,后面再统一验证

完成后点击确认

同样的,我们在dc2.ylxq.cn上面做相同的设置,这里截几个关键的步骤

输入信任域的管理员账户信息

完成后我们需要验证下信任关系是否创建成功,重新进入属性界面,

点击验证

验证成功

分别在2台DC上面新建2个共享文件夹,并设置权限(设置共享文件及权限步骤略)

至此,服务器配置已经完成,客户端zhangsanPC已经提前加入ylxqblog.cn域,下面我们打开客户端zhangsanPC,登录验证是否能打开ylxq.cn共享文件

打开并编辑dc2.ylxq.cn的共享

成功编辑保存

我们在另一台lisiPC也做相同的验证,测试成功

我们再使用lisi的账户在zhangsanPC上面登录

成功登录,并能够编辑保存2个DC上面的共享文件

至此,实验完成

注意点:

1、2台DC的计算机名称不能相同,否则会出现如下错误(之前我使用的是同一个名称,结果一直报错,后来搜索了一个下午,终于搜到微软的相关帖子,为什么计算机名称相同就不行了呢,实际环境中很有可能2家企业的dc会重名,我想这应该是微软的一个bug吧)

2、虚拟机环境网络在同一个网段,不需要过多设置,真实环境一般会使用专线做解析,要确保路由可达。

后面通过搜索查到说两台DC不能重名,汗!

欢迎大家留言讨论!

加客服微信:qiushu0517,开通VIP下载权限!