在配置域信任关系前,首先要掌握域信任关系的概念以及他们的特点,可以参考我上一篇文章
域信任关系的知识分享
这次我们要做的是2个独立域之间如何建立信任关系,并实现用户跨域登录及文件共享,最终实现效果如下:
1、ylxqblog.cn域中的san.zhang用户能访问ylxq.cn域中的共享文件夹,ylxq.cn域中的si.li用户也能访问ylxqblog.cn域中的共享文件夹
2、zhangsanPC上面可以登录si.li,lisaPC上面可以登录san.zhang
此次实验DC和文件服务器部署在同一个机器,废话不多说,直接开搞,下面是此次试验的拓扑图
首先我们准备好4台虚拟机,ylxqblog.cn、ylxq.cn、zhangsanPC、lisiPC,确保网络互通,配置信息如下,关于如何配置域环境可以参考我另一篇文章,Windows Server 2016部署域控制器
|
计算机名称 |
IP地址 |
说明 |
|
dc01.ylxqblog.cn |
172.16.1.10 |
域控+文件服务器 |
|
dc02.ylxq.cn |
172.16.1.20 |
域控+文件服务器 |
|
zhangsanPC |
172.16.1.100 |
ylxqblog.cn域客户端 |
|
lisiPC |
172.16.1.200 |
ylxq.cn域客户端 |
建立域信任关系之前,我们要确保2个域之间能够相互解析,需要在双方的DNS服务器上面做相应的设置,需要创建双方的DNS区域的副本
首先在dc01.ylxqblog.cn上面打开DNS
右击ylxqblog.cn属性,将区域传送设置为允许
然后我再新建一个ylxq.cn的副本
下一步,完成,然后需要将区域传输过来,右键新建的ylxq.cn,点击从主服务器传输(如果前面的允许区域传送的选项没有勾选,则改步骤会失败)
可以看到信息已成功传输
接下来我们在dc02.ylxq.cn上面做相同的设置,允许区域传送,再把ylxqblog.cn的DNS区域副本同步过来,操作类似,同步完成后如下
设置完成后分别在2台DC上面ping下对方的域名,验证下解析是否正确
正常通讯,说明解析工作完成,接下来我们配置域信任关系,打开活动目录域和信任关系
右击ylxqblog.cn属性
切换到信任选项,点击新建信任
输入需要信任的域名,如果解析关系没有设置正确,这一步将显示无法找到对应的域名
这里我们选择林信任
选择双向信任
设置信任密码,信任双方设置需要保持一致
这里我们先选择否,后面再统一验证
完成后点击确认
同样的,我们在dc2.ylxq.cn上面做相同的设置,这里截几个关键的步骤
输入信任域的管理员账户信息
完成后我们需要验证下信任关系是否创建成功,重新进入属性界面,
点击验证
验证成功
分别在2台DC上面新建2个共享文件夹,并设置权限(设置共享文件及权限步骤略)
至此,服务器配置已经完成,客户端zhangsanPC已经提前加入ylxqblog.cn域,下面我们打开客户端zhangsanPC,登录验证是否能打开ylxq.cn共享文件
打开并编辑dc2.ylxq.cn的共享
成功编辑保存
我们在另一台lisiPC也做相同的验证,测试成功
我们再使用lisi的账户在zhangsanPC上面登录
成功登录,并能够编辑保存2个DC上面的共享文件
至此,实验完成
注意点:
1、2台DC的计算机名称不能相同,否则会出现如下错误(之前我使用的是同一个名称,结果一直报错,后来搜索了一个下午,终于搜到微软的相关帖子,为什么计算机名称相同就不行了呢,实际环境中很有可能2家企业的dc会重名,我想这应该是微软的一个bug吧)
2、虚拟机环境网络在同一个网段,不需要过多设置,真实环境一般会使用专线做解析,要确保路由可达。
后面通过搜索查到说两台DC不能重名,汗!
欢迎大家留言讨论!