实战详解域信任关系,Active Directory系列之十七

拓扑如下图所示,当前网络中有两个域,一个域是ITET.COM,另一个域是HOMEWAY.COM。两个域内各有一个域控制器,分别是Florence和Firenze,我们让两个域使用了同一个DNS服务器。


创建域信任关系要注意DNS服务器的设置,因为DNS服务器要负责定位域控制器,关键之处在于域控制器使用的DNS服务器要能够把两个域的域控制器都定位出来。我们在实验中规划让两个域使用同一个DNS服务器,显然是出于这个考虑。如果两个域都使用域控制器作DNS,那么要使用辅助区域,转发器等技术才能保证DNS服务器可以把两个域的域控制器都解析出来。如下图所示,我们可以看到两个域的区域数据都在同一个DNS服务器上。

时间: 2024-09-17 04:53:17

实战详解域信任关系,Active Directory系列之十七的相关文章

创建可传递的林信任,Active Directory系列之二十

在实战详解域信任关系中,我们介绍了如何创在两个域之间创建域信任关系.实战的结果是我们在itet.com和homeway.com之间成功创建了信任关系,达到了预期目的.但我们打开域控制器上的Active Directory域和信任工具,可以从下图中发现,itet.com和homeway.com之间的信任关系是不可传递的!这个要引起我们的关注. 如果域之间的信任关系是可以传递的,那我们就可以推论只要A信任B,B信任C,那么A必然信任C.但是域信任关系如果是不可传递的,那就会导致A和C之间没有任何信任

实战域树部署,Active Directory系列之十九

域树是Active Directory针对NT4的传统域模型所进行的重要改进.在NT4时代的域模型中,每个域都要使用没有层次结构的NETBIOS名称,而且域和域之间缺少关联,只能创建不能传递的域信任关系.这会在企业管理方面造成诸多不利因素,首先域和域之间很难根据域名判断彼此间的隶属关系,例如beijing域和shanghai域:其次由于域之间的信任关系不可传递,在域数量较多时光是创建域之间的完全信任就要耗费大量时间.假定有10个域,那我们在10个域之间要建立45次信任关系才能让这些域相互之间都完

为什么我们需要域?Active Directory系列之一

对很多刚开始钻研微软技术的朋友来说,域是一个让他们感到很头疼的对象.域的重要性毋庸置疑,微软的重量级服务产品基本上都需要域的支持,很多公司招聘工程师的要求中也都明确要求应聘者熟悉或精通Active Directory.但域对初学者来说显得复杂了一些,众多的技术术语,例如Active Directory,站点,组策略,复制拓扑,操作主机角色,全局编录-.很多初学者容易陷入这些技术细节而缺少了对全局的把握.从今天开始,我们将推出Active Directory系列博文,希望对广大学习AD的朋友有所帮

理解域信任关系,Active Directory系列之十六

在同一个域内,成员服务器根据Active Directory中的用户账号,可以很容易地把资源分配给域内的用户.但一个域的作用范围毕竟有限,有些企业会用到多个域,那么在多域环境下,我们该如何进行资源的跨域分配呢?也就是说,我们该如何把A域的资源分配给B域的用户呢?一般来说,我们有两种选择,一种是使用镜像账户.也就是说,我们可以在A域和B域内各自创建一个用户名和口令都完全相同的用户账户,然后在B域把资源分配给这个账户后,A域内的镜像账户就可以访问B域内的资源了. 镜像账户的方法显然不是一个好的选择,

创建Win2003域和Win2008域之间的信任关系,Active Directory系列之十八

今天我们更换一个实验场景,拓扑如下图所示.一个是Win2003域,另一个是Win2008域.两个域都使用各自的域控制器提供DNS解析,而且Win2008域的功能级别是Win2003,我们将为大家演示如何在这两个域之间创建信任关系. 这个实验的关键是DNS!操作系统的差异并不重要,Win2008域可以和Win2003域,甚至可以和Win2000域创建信任关系.我们要注意的是DNS的设置,每个域控制器要确保自己使用的DNS服务器不但可以解析本域的SRV记录,还可以解析与自己有信任关系域的SRV记录,

详解操作主机角色,Active Directory系列之九

而且修改后的结果会被其他的域控制器所承认.从这个角度讲,域控制器之间的地位是平等的,但我们决不能认为域控制器之间是没有区别的!事实上,域中的第一个域控制器往往比其他的域控制器承担了更多的任务. 有些企业中部署了多个域控制器之后,就开始忽略第一个域控制器的作用,有时甚至可能会一不经意间把第一个域控制器给处理掉了.但这些企业的用户很快就会发现域中会出现一些异常现象,例如无法创建域用户账号,无法安装Exchange,无法部署子域等等.原因很简单,第一个域控制器承担的任务并没有被转嫁到其他的域控制器上,

Windows 2003及Active Directory系列文章--序言

      这些天一直在研究Windows 2003的安全事件以及Active Directory的使用,其中遇到了不少问题,也积累了一些简单的经验.在接下来的内容将把自己的所得分享出来,其实大部分问题的都是来源于网上的分享,我只是拿来使用罢了.       这一系列文章大概包括以下几个方面:     1.Active Directory的安装      2.Active Directory的用户管理      3.Active Directory的信任关系     4.Active Direc

Active Directory的复制拓扑,Active Directory系列之八

在前面的博文中我们在域中部署了额外域控制器,而且我们已经知道每个域控制器都有一个内容相同的Active Directory数据库,今天我们要讨论一下额外域控制器在进行Active Directory复制时所使用复制拓扑. 在NT4的时代,域控制器被分为两类,PDC和BDC.PDC是主域控制器的缩写,BDC是备份域控制器的缩写.每个域中只能有一个PDC,BDC可以有多个,BDC的目录数据是从PDC复制而来.只有PDC才可以更改域中的用户账号,计算机账号等目录数据,BDC的内容是只读的!这种复制模型

活动目录的介绍:深入浅出Active Directory系列(一)

一,活动目录的介绍 Active Directory(活动目录)是Windows Server 2003域环境中提供目录服务的组件.目录服务在微软平台上从Windows Server 2000开始引入,所以我们可以理解为活动目录是目录服务在微软平台的一种实现方式.当然目录服务在非微软平台上都有相应的实现. Windows Server 2003有两种网络环境:工作组和域,默认是工作组网络环境.如下图 工作组网络也称为"对等式"的网络,因为网络中每台计算机的地位都是平等的,它们的资源以及