先来理解下概念,看下面图片吧

[原创]windows server 2012 AD架构试验系列 – 18管理域和林信任_windows

域信任关系是有方向性的,如果A域信任B域,那么A域的资源可以分配给B域的用户;但B域的资源并不能分配给A域的用户,如果想达到这个目的,需要让B域信任A域才可以。

如果A域信任了B域,那么A域的域控制器将把B域的用户账号复制到自己的Active Directory中,这样A域内的资源就可以分配给B域的用户了。从这个过程来看,A域信任B域首先需要征得B域的同意,因为A域信任B域需要先从B域索取资源。这点和我们习惯性的理解不同,信任关系的主动权掌握在被信任域手中而不是信任域
A域信任B域,意味着A域的资源有分配给B域用户的可能性,但并非必然性!如果不进行资源分配,B域的用户无法获得任何资源!

信任的种类:

1父子信任(Parent-Child Trust),具有转移性,双向信任

2-根信任(Tree-Root Trust),双向具有转移性

快捷方式信任 (ShortCut Trust),可以缩短验证用户身份的时间

比如在我们的试验环境中,我们可以让fuyulong.comfuyufei.com建立一个快捷方式信任。

快捷方式信任仅仅有部分转移性,也就是只会向下扩展,不会向上扩展.

4林信任(forest Trust)

如果两个林创建了信任关系,则林中所有的域都相互信任,看上去林信任具有双向转移性

但两个林之间的信任关系无法自动扩展到其他第3个林上,所以林具有部分转移性,但只是针对林中的域.

5外部信任

什么时候用到外部信任位于两个林内的域之间可以通过外部信任来创建信任关系,但外部信任不具有转移性

6领域信任

ADDS域可以和非windows系统的Kerberos领域之间创建信任

<建立删除和管理信任关系,可以用netdom trust来管理>

父子信任和树-根信任都是在创建子域或树域时候自动创建的

其他4种就必须手工创建了.

创建快捷信任:

fuyulong 域和 fuyufei 域创建快捷信任(fuyulong.com  <----(快捷信任)----fuyufei.com)

那么fuyulong域需要创建一个传入信任,lab.com域需要创建一个传出信任.

操作权限:domain admins  enterprise admins

DC2 fuyulong.com上创建传入信任





[原创]windows server 2012 AD架构试验系列 – 18管理域和林信任_AD_02

[原创]windows server 2012 AD架构试验系列 – 18管理域和林信任_server 2012_03

[原创]windows server 2012 AD架构试验系列 – 18管理域和林信任_域信任_04

[原创]windows server 2012 AD架构试验系列 – 18管理域和林信任_windows_05

[原创]windows server 2012 AD架构试验系列 – 18管理域和林信任_server 2012_06

输入fuyufei管理员账号,直到下一步完成

这个过程指fuyulong可以复制fuyufei的账号到fuyulong ADDS,

fuyufei的账号可以访问fuyulong的域资源,但由于我选择了 此域和指定域 和 确认传入信任。

可以看两边都已经相互成了信任域。

 


[原创]windows server 2012 AD架构试验系列 – 18管理域和林信任_server 2012_07

[原创]windows server 2012 AD架构试验系列 – 18管理域和林信任_AD_08

创建林信任

创建fuyi.comlab.com 的信任关系,这次我门只创建lab.com信任fuyi.com

我们现在DC7上创建DNS转发器,避免出现dns引起的问题

[原创]windows server 2012 AD架构试验系列 – 18管理域和林信任_域信任_09

lab.com上新建立信任

[原创]windows server 2012 AD架构试验系列 – 18管理域和林信任_林信任_10

 

[原创]windows server 2012 AD架构试验系列 – 18管理域和林信任_windows_11

[原创]windows server 2012 AD架构试验系列 – 18管理域和林信任_AD_12


选林信任,单向传入

[原创]windows server 2012 AD架构试验系列 – 18管理域和林信任_windows_13

[原创]windows server 2012 AD架构试验系列 – 18管理域和林信任_server 2012_14

[原创]windows server 2012 AD架构试验系列 – 18管理域和林信任_server 2012_15

[原创]windows server 2012 AD架构试验系列 – 18管理域和林信任_林信任_16

[原创]windows server 2012 AD架构试验系列 – 18管理域和林信任_server 2012_17

[原创]windows server 2012 AD架构试验系列 – 18管理域和林信任_server 2012_18


 

我们同理在fuyi.com域上来创建传入信任关系

现在我们还没有看到lab.com的信任关系


[原创]windows server 2012 AD架构试验系列 – 18管理域和林信任_server 2012_19

[原创]windows server 2012 AD架构试验系列 – 18管理域和林信任_AD_20

输入信任密码,点 确认传出信任。

[原创]windows server 2012 AD架构试验系列 – 18管理域和林信任_AD_21

再看下fuyi.com的信任关系

[原创]windows server 2012 AD架构试验系列 – 18管理域和林信任_windows_22

我们在dc1上随便建立一个文件夹,看看资源可不可以调用lab.com的用户


[原创]windows server 2012 AD架构试验系列 – 18管理域和林信任_AD_23

[原创]windows server 2012 AD架构试验系列 – 18管理域和林信任_windows_24

同理:外部信任也一样,只是它没有传递性。

到底是创建林信任还是创建外部信任看这两个域是不是属于同一个组织.

管理和删除信任

1-常规

你可以选择keberos AES加密

如果重新确认对方域或者林之间的信任关系是否有效,你可以点下验证.

[原创]windows server 2012 AD架构试验系列 – 18管理域和林信任_林信任_25

2-名称后缀路由

用户的UPN后缀来决定由哪个林的域控来验证.

 

[原创]windows server 2012 AD架构试验系列 – 18管理域和林信任_域信任_26

3-验证方法

[原创]windows server 2012 AD架构试验系列 – 18管理域和林信任_windows_27

一般来说我们都选择全林性身份验证,但如果选择“选择性身份验证”的话,则你需要在本林内的计算机上将允许身份验证 权限给授予另外一个林内的用户或者组。

假设DC55 share文件夹,我们在AD管理中心,把lab1这个用户标记为允许身份验证

 [原创]windows server 2012 AD架构试验系列 – 18管理域和林信任_AD_28

另外:父子和根-域信任是没办法删除的