使用Win 2003轻松建立森林间信任
2006-03-29 11:59:39 来源:WEB开发网用Windows 2003配置一个森林信任
要构建森林信任,必须确保两个森林都处于Windows 2003的森林功能级别上。两个森林的每一个DC都必须运行Windows 2003,每个域都必须升级到Windows 2003的域功能级别,并且两个森林也必须升级到Windows 2003的森林功能级别。要了解关于功能级别的更多信息,参见“What's New and What's Improved in Windows。NET Server?”(http://www.winnetmag.com,InstantDoc ID 24316)。
接下来,两个森林的根域必须可以通过DNS相互查找。如果你在企业Intranet环境下,并且两个森林都已经与公司的DNS集成,则森林的根域可能已经能够互相查找。若要进行检查,请在一个森林的服务器上打开命令提示窗口,运行Nslookup。键入:
set type=ns
然后键入其他森林根域的域名全称(例如forestb。mycompany。com)。如果服务器能够解析这个FQDN,Nslookup会返回该域的授权DC列表。
如果你现有的DNS配置不能解析其它森林,则你需要为每个森林的DNS服务器配置转发条件。为一个森林根域到其他森林增加一个或多个转发器。转发服务器告诉本地DNS,当接收一个对特定域的请求时,将请求转发到指定的IP地址。例如,你要在ForestA。com和ForestB。com之间建立森林信任。在微软管理控制台(MMC)的DNS管理单元,在森林A的DNS服务器上点右键并选择“属性”。选择“转发器”并输入要转发请求的DNS服务器IP地址,它将处理对森林B的请求。在森林B中重复这个过程以解析对森林A的请求。
记住你使用的转发服务器依据的是手工输入的IP地址。如果这些地址发生改变,则转发器列表也必须更新,否则信任可能失败。
可以解析森林后,使用MMC的活动目录域和信任管理单元的信任向导建立你所期望的信任类型。让我们在两个森林之间一步一步地设置一个双向信任。
更多精彩
赞助商链接