Windows域信任关系建立全攻略
信任关系
•
实验中发现,建立林信任关系后,再 在林中添加域。要想使新的域也获得传递 的林信任关系,需要重新建立林信任关系
•
2、在B林的具体资源(想允许A林用 户访问的部分资源)上,设置相应的访问 权限。 • 至此A林用户仍不能访问B林上的允许 其访问的那部分资源(虽然已设置了相应 权限),否则“选择性身份验证”与“全 林身份验证”就没有什么不同了。此时访 问的出错提示为:
基于计算机帐号设置“允许身份验 证”权利
• (1)开始/程序/管理工具/AD用户和计算机 • (2)选中“查看”标签下的“高级功能” • (3)在相应的OU或域上右键/属性,在 “安全”标签下,添加/位置,选择A林 • (4)输入用户/组名(或点高级/立即查找 后选择),确定。要求输入网络密码,输 入对A林AD有读权的一个普通帐号即可, 不必非得A的林管理员。
•
实现要求(1),利用我们前面的步骤 4:创建林信任关系(全林身份验证)即可; 要想实现要求2,就得用到林信任关系的选 择性身份验证了。具体如下:
•
在信任关系/属性/“身份验证”标签下 的身份验证级别是可修改的。利用这一点, 我们可简化此案例的解决步骤:先创建双 向、全林身份验证的林信任关系,再在 上(上框、下框操作均可以,实际是 同一内容),将对A的信任关系上由“全林 身份验证”改为“选择性身份验证”。
创建两个域之间的信任关系
做的时候一定要慢啊,要不然是不会做成功的,因为全局数据库没有创建完整。还有DNS也很重要哦。
创建两个域之间的信任关系:
1。先在DNS里面新建一个标准的辅助区域,里面的域名是填对方的域名,然后填写对方的IP(配置完成后)。配制完成后会出现一个错误,是因为数据没有同步。你再在创建的域上--右键--从主服务器传送(多刷新几次再等等就好了)。
2。在 directory域和信任关系里面的域--属性--信任,现在才开始配置信任关系顺序一定要是1上(A)2下(A)3上(B)4下(B)(你填写的密码是什么,那么一会儿对方也要填写你设置的密码)(A和B分别表示密码)
3。你设置NTFS许可的时候就在安全那里选择其他的域(!!!注意,一定要慢慢做,因为全局目录正在建立数据库,不然你就没有办法设置NTFS权限)一般在开机的时候等15分钟,开了机再等15分钟。。注意啊!!!!
4。2000里面的全局目录很容易坏,但是2000又不知道用活动目录去验证,所以要备份。2003里面做了修改。
域的设置方法
域的设置方法
依次操作,右键点击我的电脑-属性-计算机名,如下图:
点击更改,在弹出的窗口中选择域,在输入框中输入lan,确定。
点击确定后会弹出如下图的窗口,输入个人用户名和密码确定。
此步可能会需要耐心等待一会儿。
成功后会有如下提示:
确定,再确定,会弹出如下对话框:
点击“是”重启计算机。
由于加入了域,计算机的登录方式会改变,首先会出现如下窗口:
同时按下Ctrl+Alt+Delete 三个键,出现如下登录窗口:
点击“选项”后,在“登录到”选择LAN,输入个人用户名和密码,确定。
第一次用域的方式登录会出现如下窗口:
登录成功,初始化完毕,出现桌面:
此时,用户名显示的是Ray Rao。
访问文件服务器在资源管理器或浏览器里输入\\192.168.1.5,访问过程中不需
要再输入用户名和密码。
注意,此时登录后,并不是管理员权限。
需要在本计算机将此账户提升为管理员级别。
首先注销当前登录的用户,在登录时输入管理员的账户和密码,并在“登录到”选择“本机”,确定。
登录后,依次点击开始,控制面板,用户帐户:
点击添加,输入个人用户名及域 下一步
选择其它,并在列表中选择Administrators
完成,确定。
注销,此时再次用域帐户登录,记得要在“登录到”选择LAN。
如果有其它技术问题,请联系IT部技术人员。
windows_域
windows域域的含义域英文叫DOMAIN——域(Domain)是Windows网络中独立运行的单位,域之间相互访问则需要建立信任关系(即Trust Relation)。
信任关系是连接在域与域之间的桥梁。
当一个域与其他域建立了信任关系后,2个域之间不但可以按需要相互进行管理,还可以跨网分配文件和打印机等设备资源,使不同的域之间实现网络资源的共享与管理。
域既是Windows 网络操作系统的逻辑组织单元,也是Internet的逻辑组织单元,在Windows 网络操作系统中,域是安全边界。
域管理员只能管理域的内部,除非其他的域显式地赋予他管理权限,他才能够访问或者管理其他的域,每个域都有自己的安全策略,以及它与其他域的安全信任关系。
域的原理其实可以把域和工作组联系起来理解,在工作组上你一切的设置在本机上进行包括各种策略,用户登陆也是登陆在本机的,密码是放在本机的数据库来验证的。
而如果你的计算机加入域的话,各种策略是域控制器统一设定,用户名和密码也是放到域控制器去验证,也就是说你的账号密码可以在同一域的任何一台计算机登陆.如果说工作组是“免费的旅店”那么域(Domain)就是“星级的宾馆”;工作组可以随便出出进进,而域则需要严格控制。
“域”的真正含义指的是服务器控制网络上的计算机能否加入的计算机组合。
一提到组合,势必需要严格的控制。
所以实行严格的管理对网络安全是非常必要的。
在对等网模式下,任何一台电脑只要接入网络,其他机器就都可以访问共享资源,如共享上网等。
尽管对等网络上的共享文件可以加访问密码,但是非常容易被破解。
在由Windows 9x构成的对等网中,数据的传输是非常不安全的。
不过在“域”模式下,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器(Domain Controller,简写为DC)”。
域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。
windows server 2008外部域信任关系
外部信任关系实验中域控的操作系统均为windows server 2008 R2 Enterprise。
域和林的级别均为windows 2003,或者以上。
两个林,一个林根域为,一个林根域为int.internal。
域的DNS服务器FQDN为:,IP为:192.168.1.10,DNS指向自己127.0.0.1。
int.internal域的DNS服务器FQDN为:WINDC.int.internal。
IP 为:192.168.1.100,DNS指向自己127.0.0.1或者192.168.1.100建立域信任int.internal域,即中的资源可以共享给int.interanl域成员查看,即在域的文件夹属性——安全选项中可以添加int.intnal域的成员,而Int.internal域文件夹属性——安全选项中不可以添加域成员在这里是信任域Int.internal是被信任域建立域的信任关系,首先要使对方的DNS能解析本地的DNS,方法有很多,如在对方的DNS上建立本地域的辅助DNS,也可以使用条件转发器。
在这里我们使用条件转发器。
在真实生产环境中两个林或域之间不能通信,分属不同的公司,对于两个林或域之间的通信,可请网络管理员设置路由信息。
一、建立DNS条件转发器在这里DNS区域和AD目录集成在一起。
打开域的一台域控,在管理工具中打开DNS管理器,在左侧找到“条件转发器”,右击新建条件转发器,在弹出的对话框中输入要转发解析的对方DNS域名,这里输入被信任域“int.internal”和对方的DNS服务器的IP:192.168.1.100,点击确定,条件转发器建立成功。
真实环境中解析对方时间要长一些。
如下图:在int.internal域的DNS服务器上设置也如此步骤,在条件转发器上输入域和DNS的IP:192.168.1.10,这里不再贴图。
二、建立信任在域的一台域控上打开“Active Directory域和信任关系”,右击“”选择“属性”——“信任”选项卡,点击左下方的“新建信任”弹出“新建信任向导”对话框,如下图:上图点击下一步,在出现对话框中输入要信任的域即被信任域int.internal,点击下一步,选择“外部信任”,外部信任是林内的域需要与不属于该林的其他域之间创建信任关系,不同于快捷信任关系,快捷信任关系是指林内的任何域信任其他林内的任何域的林信任关系。
windows高级应用AD_03_信任关系
User User User Accounts Accounts Accounts
Global Global Domain Local Global Domain Local Local Groups Groups Groups Groups Groups
Permissions Permissions Permissions
A
A
User Accounts
G
G
Global Groups
U
U DL
DL
P
Permissions
Local Groups
Group strategies:
DL G AGP A DL P DL A GLDL P A G U DL P A GP P L P P
A A
A P
A
G
G G L
18
委派管理
19
11
域组的作用域
从组的作用域来看,Windows Server 2003域内 从组的作用域来看, 2003域内 的组分为以下3 的组分为以下3种:
通用组(universal group) 全局组(global group) 域本地组(domain local group)
12
通用组:可以指派所有域 中的访问权限,其成员能够包含整个域目 录林这任何一个域内的用户、通用组、全局组。但不能包含任何一个 域内的本地域组。可以访问任何一个域中的资源。在所有域(域功能 级别必须是2000纯模式或是server2003)可以设置使用权限。可以 被换成域本地组或是全局组(只要该组内成员不包含通用组) 全局组:主要用来组织用户。其成员能够包含与该组相同域中的用户 和全局组。可以访问任何一个域中的资源。可以在所有域里设置使用 权限。可以被换成通用组(只要些组不属于任何一个全局组) 域本地组:主要用来指派在其所属域内的访问权限。能够包含任何一 个域内的用户、通用组、全局组;还能够包含同一个域内的本地域组; 但是,它无法包含其他域内的本地域组。只能够访问同一个域内的资 源,无法访问其他不同域内的资源。只能在所属内设置使用权限。可 以被换成通用组(只要此组内成员不含域本地组)
windows域
windows域域的含义域英文叫DOMAIN——域(Domain)是Windows网络中独立运行的单位,域之间相互访问则需要建立信任关系(即Trust Relation)。
信任关系是连接在域与域之间的桥梁。
当一个域与其他域建立了信任关系后,2个域之间不但可以按需要相互进行管理,还可以跨网分配文件和打印机等设备资源,使不同的域之间实现网络资源的共享与管理。
域既是Windows 网络操作系统的逻辑组织单元,也是Internet的逻辑组织单元,在Windows 网络操作系统中,域是安全边界。
域管理员只能管理域的内部,除非其他的域显式地赋予他管理权限,他才能够访问或者管理其他的域;每个域都有自己的安全策略,以及它与其他域的安全信任关系。
域的原理其实上可以把域和工作组联系起来理解,在工作组上你一切的设置在本机上进行包括各种策略,用户登陆也是登陆在本机的,密码是放在本机的数据库来验证的。
而如果你的计算机加入域的话,各种策略是域控制器统一设定,用户名和密码也是放到域控制器去验证,也就是说你的账号密码可以在同一域的任何一台计算机登陆. 如果说工作组是“免费的旅店”那么域(Domain)就是“星级的宾馆”;工作组可以随便出出进进,而域则需要严格控制。
“域”的真正含义指的是服务器控制网络上的计算机能否加入的计算机组合。
一提到组合,势必需要严格的控制。
所以实行严格的管理对网络安全是非常必要的。
在对等网模式下,任何一台电脑只要接入网络,其他机器就都可以访问共享资源,如共享上网等。
尽管对等网络上的共享文件可以加访问密码,但是非常容易被破解。
在由Windows 9x构成的对等网中,数据的传输是非常不安全的。
不过在“域”模式下,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器(Domain Controller,简写为DC)”。
域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。
教你如何验证两个域之间信任
简介
信任是两个域之间沟通的桥梁,只要两个域之间相互信任,双方的用户即可访问对方域内的资源或者用对方域的计算机登录。
当建立了信任关系之后,如何来验证信任呢?
方法/步骤
操作步骤如下:
执行【开始】丨【程序】丨【管理工具】丨【Active Directory域和倍任关系】命令,打开【Active Directory域和信任关系】窗口,如图1所示。
图1 【Active Directory域和信任关系】窗口
在控制台树中,右击要验证的信任关系所涉及到的域,执行【属性】命令,弹出【属性】对话框,如图2所示。
图2 【属性】对话框
在【属性】对话框中选择【信任】选项卡,在【受此域信任的域】或【值任此域的域】列表框中选择要验证的信任关系,然后单击【属性】按钮,在弹出的对话框中单击【验证】按钮,如图3所示。
图3 验证信任
本文源自大优网。
域的信任关系
域的信任关系域的信任关系什么是信任关系信任关系是用于确保一个域的用户可以访问和使用另一个域中的资源的安全机制。
根据传递性分,信任关系可分为可传递信任关系和不可传递信任关系。
根据域之间关系分,WINDOWS信任关系可分为四种。
1.双向可传递父子信任关系2.树与树之间的双向可传递信任关系3.同一个森林两个域之间的快捷方式信任关系4.外部信任关系,建立不同的域或者不同的森林。
WINDOWS 域和非WINDOWS域,NT域2000域。
一般都是不可传递的单向信任关系。
5.森林信任,2000的森林信任关系是不可传递的。
信任仅仅存在与森林根域之间。
2003的信任是双向可传递的信任关系。
只要在根域创建了森林信任。
域里面的所有用户都建立了信任关系。
创建信任关系的考虑,1.域中有一定量用户要求长期访问某个域中的资源。
2.由于安全理由,区分了资源域和账号域3.部分信任关系默认存在。
4.处于减少上层域DC/GC压力,可创建快捷方式信任关系站点简介◆站点是一个物理概念◆定义处于同一个物理区域的一个或多个子网中的用户对象。
◆优化用户登陆,访问◆优化AD复制站点连接站点内用更新宣告的方式来获取更新,传输是非压缩的传输,占用的带宽和数据量比较大。
站点之间使用站点连接器进行复制,可以设置复制时间和复制间隔,占用多少带宽和采用什么样的协议等。
可以设置开销和复制时间,值越小,优先级别越高。
部署站点的最佳实践。
根据复制需求来定制站点间的复制间隔和复制时间。
对于大环境,建议关闭ITSG,手动配制复制链接AD排错工具Enable NDSI diagnostics log获取详细的底层信息修改注册表MACHINE\system\current conti \services\ntds\diagnostcs 取值范围:0——3调整目录服务日志的大小,以便存放产生的日志其他工具DCDIAG分析域控制器的状态针对域控制器特定的功能执行测试NETDOM管理和检查信任关系确认数据库复制是否正常NETDIAG进行网络功能的诊断NETDIAG /VNETDIAG /DEBUG >netdag.txt输出详细的网络信息到TXT文件然后用NETPAD (纪事本)打开DNS与AD活动目录DNS服务器在AD中,除了提供名称格式的支持服务。
域树_域林
域和林信任关系的设计考虑(一)信任关系基础在大型网络中,通常存在多个域,甚至多个林,在具体配置这些域和林之前,先要了解它们之间的默认和可配置的信任关系,以便恰当地配置各级域,以及各个林之间的信任关系。
这也是域、林之间安全、有效访问的基础。
1.什么是信任信任是域或林之间建立的关系,它可使一个域(或林)中的用户由处在另一个域(或林) 中的域控制器来进行验证。
Windows NT中的信任关系与Windows 2000和Windows Server 2003操作系统中的信任关系不同。
(1)Windows NT中的信任在Windows NT 4.0及其以前版本中,信任仅限于两个域之间,而且信任关系是单向和不可传递的。
如图5—8所示,指向受信任域的直箭头显示了非传递的、单向信任。
(2)Windows Server 2003和Windows 2000 Server操作系统中的信任Windows 2000 Server和Windows Server 2003林中的所有信任都是可传递的、双向信任。
因此,信任关系中的两个域都是受信任的。
如图5—9所示,如果域A信任域B,且域B信任域C,则域C中的用户(授予适当权限时)可以访问域A 中的资源。
只有Domain Admins 组的成员可以管理信任关系。
2.信任类型域和域之间的通信是通过信任发生的。
信任是为了使一个域中的用户访问另一个域中的资源而必须存在的身份验证管道。
使用“Active Directory安装向导"时,将会创建两个默认信任,而使用“新建信任向导"或Netdom命令行工具可创建另外4种类型的信任。
(1)默认信任在默认情况下,当使用“Active Directory安装向导"在域树或林根域中添加新域时,系统会自动创建双向的可传递信任。
表5-3中定义了两种默认信任类型。
表5—3 两种默认信任(2)其他信任在使用“新建信任向导”或Netdom命令行工具时,可创建其他4种类型的信任:外部信任、领域信任、林信任和快捷信任。
信任域配置文档
本信息如下表所示:
机器名 IP 信息
子网
掩码
网关
DNS
预装 角色
其他 备注
Test1 10.10.1
24
10.10.1 10.10.10.10 AD,DN Window2008R
0.100
0.1
0
S
2
域:
Test3 10.10.1
24
10.10.1 10.10.10.12 AD,DN Window2008R
4 输入另一域的 DNS 地址
(本文中即 Citrix 域的
AD
地
址
10.10.10.200)
5 在 域服务器
上重复步骤 1-4
6 登陆到 citrix 域服务器,
在开始->管理工具中定 位到 DNS 并打开
7 依次展开 DNS->机器
名,右键选择正向查询区 域,并选择新建区域
1. Windows2003 和 windows2008 之间的信任域搭 建步骤
1.1 环境准备
由于条件限制本文主要采用了两台虚拟机做相关的实验,如果两个 AD 所在的子网
丌同,请务必保证他们能相互 ping 通,并在本次实验中关闭 windows 自带防火墙,基
本信息如下表所示:
机器名 IP 信息
9 在 的域
服务器上,定位到开始 ->管理工具,并打开 a、 Active Directory 域和 信任关系
10 鼠 标 右 键 点 击
并 选 择 属性
11 定位到信任属性框,点击
新建信任
12 根据向导配置信任域
13 至此,信任域搭建完成 信任域是否搭建完成的测试方法: 在任意一个域服务器上()新建一个文件夹,并共享, 并赋予 t1@ 读写权限
第08章 多域间访问 windows server 2003-各种常见服务搭建
配置多域间访问
实验说明:本实验用于配置多域间访问
实验人员:陈学增
实验名称:配置WINDOWS 多域间访问
涉及课程章节:《WINDOWS网络服务》第八章
实验目的:熟练了解林,域,子域以及信任关系
实验设备:windows server 2003 VM 二台
实验描述:实验一:配置外部信任
实验二:配置林信任
实验步骤:
实验环境的搭建:
1:使用两台服务器,一台为,一台为。
2:说明:鉴于两台服务器同在一个林下,信任自动传递,多以就没有配置。
实验:配置信任
1:首先要在两台服务器上添加DNS转发器-服务器之一
服务器之二
2:选择“AD域和信任关系”
3:右击域名称,选择“提升域功能级别”(这个是用在设置林准备的时候,提前设置好是为了后面实验的顺利进行。
)
选择“windows server 2003 模式”
4:同样在另外一台服务器做同样的设置
5:建立信任关系,右击选择属性
选择信任选项卡,单击“新建信任“选择下一步
6:输入要建立信任的域名称
7:选择信任的类型:(外部信任还是林信任)
8:选择信任的方向
9:选择信任方
10:输入制定域的管理员账号和密码
11:选择身份验证模式-传出方,分两种
12:选择身份验证模式-指定方,分两种
13:确认信息,分两种
14:确认信息,分两种
15:确认是否传出和传入信任,分两种
16:配置OK。
Windows域(AD)迁移方案
域迁移方案一、事前准备:先分别建立两个位于不同林的域,内建Server若干,结构如下:ADC02 172.16.1.2/24EXS01 172.16.1.101/24ADC01172.16.1.1/24其中:Demo。
com:ADC01作为Demo。
com主域控制器,操作系统为Windows Server 2008 R2,并安装有DHCP服务,作用域范围为172.16.1.100/24——172。
16。
1。
200/24.ADC02作为的辅助域控制器,操作系统为Windows Server 2008 R2Exs01为的Mail服务器,操作系统为Windows Server 2003SP2,Exchange 版本为2003TMG01为防火墙,加入到网域,操作系统为Windows Server 2008 R2,Forefront TMG为2010Client为加入到此网域的客户端PC,由DHCP Server分配IP:Ad—cntse为Cntse。
com的域控制器,操作系统为Windows Server 2008 R2,为了网域的迁移安装有ADMT以及SQL Server Express 2005 SP2Exs-centse作为的Mail Server,操作系统为Windows Server 2003SP2,Exchange 版本为2003.备注:所有的Server均处在同一个网段172。
16.1。
x/24二、Demo。
com的User结构:如图,其中红色圈中部分为自建组别,OA User为普通办公人员组别,拥有Mail账号,admins为管理员群组,Terminal User为终端机用户组别,均没有Mail 账号。
以上三组别均建立有相应的GPO限制其权限。
其他Users保持默认设定三、设定域信任关系:1、设定DNS转发器:在域控制器Ad-cntse的DNS管理器设定把demo。
com的解析交给demo。
计算机域图文教程(全集)
Active Directory 高级应用1.新建域控制器首先,先安装一个全新的windows server 2003 企业版,用管理员登陆装域之前我们先看一下机器的配置情况,先查看一下计算机名,鼠标右键我的电脑-属性,打开系统属性选项卡,点击计算机名标签,这里计算机名为dc,环境是工作组WORKGROUP,因为还没有加入域,所以这里显示的是工作组我们再来查看一下计算机的IP设置情况,鼠标右键网上邻居-属性,打开网络连接窗口,鼠标右键本地连接-属性,打开本地连接属性,选择Internet协议(tcp/ip)点属性,打开Internet协议(tcp/ip)属性选项卡,这里我们把IP设置为192.168.2.1,子网掩码255.255.0.0,DNS设置为192.168.2.1好了,准备工作已经做好了,现在我们开始安装AD拉,还有一点要注意,安装AD时会用到系统安装光盘,所以我们现在把系统盘装入光驱,现在开始装DC,点击开始-运行,输入dcpromo,确定这是欢迎向导界面,点击下一步这是操作系统兼容性,点击下一步这里是选择域控制器类型,因为我们这里是域中的第一台域控制器,所以我们选新域的域控制器,点击下一步我们选在新林中的域,点击下一步这里让我们添入新的域名,我们在新域的DNS全名里写入,点击下一步这里让我们添写域的NetBIOS域名,直接默认就好了,点击下一步这里让我们选择数据库文件夹和日志文件夹的安装目录,默认就好了,当然这里我们也能够更改,如果C盘够大直接默认就好拉,这里我就不修改了,点击下一步这里让我们选择共享的系统卷的保存位置,默认好拉,点击下一步这里已经运行了一次DNS注册诊断,因为我们之前没有安装DNS服务器,所以诊断结果是没有在超时间隔以内响应,这里我们选择第2项,在这台计算机上安装并配置DNS 服务器,并讲这台DNS服务器设为这台计算机的首先DNS服务器,这也是我们在安装AD之前配置IP时为什么把DNS添写自己的IP,点击下一步这里让我们选择操作系统的兼容权限,如果我们的客户机都是2000版本以上我们选择第2项,只与windows 2000或windows server 2003操作系统兼容的权限,点击下一步这里让我们输入目录服务还原模式的管理员密码,如果AD意外损坏了,我们需要还原AD,还原是需要密码的,这里我们输入一个密码,这里的密码不用与管理员的密码相同,只是作为AD还原使用,密码不要忘了,要不万一需要还原时我们还原不了拉,点击下一步这里显示了之前我们配置的相关信息,点击下一步开始安装了,我们稍等几分钟就会安装完成AD安装完成拉,我们点击完成这里问我们是否立即重新启动,我们选择立即重新启动这是重新启动之后登陆界面,我们点击选项会看到多出来个登陆到,这里我们选择zhen,输入管理员密码,点击确定,登陆计算机登陆后我们鼠标右键我的电脑-属性-计算机名,查看一下,完整的计算机名已经变为,工作组也换成了域。
AD域信任关系
实验名称:域信任关系实验目标:通过本实验,应掌握以下技能:建立快捷信任建立林信任建立外部信任实验任务:1) 建立一个林中两个域的快捷信任; 2)建立林和林的林信任;3)建立域和的外部信任实验拓扑:实验前的准备:1. 建立域的信任,需要是Domain Admins 或Enterprise Admins组的成员任务一建立一个林中两个域的快捷信任建立林中两个域和的快捷信任1.在域的域控制器计算机上,打开“开始”“程序”“管理工具”“Active Directory 域和信任关系”2.在控制台树中,展开 ,右键单击要建立快捷信任的域的域节点,然后单击“属性”。
3.单击“信任”选项卡上的“新建信任”,然后单击“下一步”。
4.在弹出的“新建信任向导”中,单击“下一步”按钮,在“信任名称”页,键入域的 DNS 名()或 NetBIOS 名称(sale),然后单击“下一步”。
5. 在“信任方向”页面,选择“双向”,表示两个域中的用户可以相互访问对方的资源,单击“下一步”按钮。
6.选择“这个域和指定的域”,表示同时在两个域中建立信任关系,但需要有指定域的,单击“下一步”按钮。
7. 输入指定域中有信任创建特权的用户名和密码。
单击“下一步”按钮。
8. 显示已创建好的信任关系,单击“下一步”按钮。
9. 信任创建成功,单击“下一步”按钮。
10. 询问是否要确认传出信任和传出信任,选取后单击“下一步”按钮。
11. 完成新建信任的创建,单击“完成”按钮。
12. 可以在属性的“信任”选项卡中看到刚创建的信任。
13. 同样可以在属性的“信任”选项卡中看到刚创建的信任。
任务二建立和的林信任创建林信任前的准备:1.两个林之间可以通过DNS服务器来找到另一方林根域的控制器。
如果两个林根域不共享同一台DNS服务器,可以通过“条件转发器”的方式来实现。
2.确定两个林中所有的域功能级别是windows 2000纯模式或windows2003模式,“林功能级别”都升级为“Windows Server2003”1.在域的域控制器计算机上,打开“开始”“程序”“管理工具”“Active Directory 域和信任关系”2.在控制台树中,右键单击林根域的域节点,然后单击“属性”。
如何将软件设在杀毒软件信任区
如何将软件设在杀毒软件信任区360安全卫士:
桌面右下角找到360安全卫士图标,打开;桌面会弹出260安全卫士界面,点
住木马查杀,
在窗口的左下角点信任区,
然后点下方的添加文件选择资料软件安装程序
点打开,
点确定,这样就添加好安装程序了,
下一步再进行安装目录的添加,点,选择软件安装目录
点确定,这样就把软件安装目录添加进来了!!
电脑管家的添加方法:
点住软件安装程序点右键扫描病毒(电脑管家)进入电脑管家杀毒窗口;
在左上角找到信任区,
添加方法和360安全卫士的添加方法一样!
用户朋友您在升级9.57版的时候请注意,您在安装新程序前得先备份工程,卸载软件后再进行新程序的安装,这样你将得到全新的资料软件模板,您的电脑上如果有杀毒软件,在安装或运行时请把软件添加到杀毒软件的信任区。
备份工程:桌面海盛软件的图标点右键---属性---查找目标---进入安装目录,在安装目录下将“工程文件”“工程备份”“SYS”“施工日记”四个文件夹复制、粘贴到桌面上。
这样就备份了工程。
模板文件删除:桌面海盛软件的图标点右键---属性---查找目标---进入安装目录,在安装目录下将“模板文件”删除。
资料软件如果提示安装不全:
请重新把资料软件安装,安装的时候把资料软件添加到杀毒软件的信任区域,或是打开软件时点允许所有程序操作,在添加信任区域。
WOC-部署设置--Windows域认证配置
Windows域认证配置帮助文档1.域认证配置的选择此节讲述域认证配置的场景及配置的选择。
1.1.域认证配置的场景●微软网上邻居应用(SMB/SMB2)会话启用了签名。
●微软exchange邮件应用使用了加密的MAPI协议。
1.2.配置的选择1.3.多域场景的支持WOC支持windows多域的场景,如父子信任域、林信任域、树根信任域等。
此时,WOC 需加入其中一个域,且此域与用户所在域、服务器所在域为双向信任。
2.WOC配置策略2.1.自动协商模式的配置步骤●WOC服务端加入域●WOC服务端应用代理启用签名(Exchange解密已启用无需再启用)●WOC服务端应用代理选择自动协商模式●WOC重启加速2.2.委派模式配置步骤●WOC服务端加入域●域控制器(DC)上新建用户,并添加委派所需的权限●WOC服务端配置上一步所添加的用户●设置WOC服务端的时间与域控制器时间一致●WOC服务端应用代理启用签名(Exchange解密已启用无需启用)●WOC服务端应用代理选择委派模式●WOC重启加速2.3.启用NTLMv2配置步骤●WOC服务端应用代理启用NTLMv2提示:●WOC服务端是靠近服务器端的WOC设备●启用NTLMv2为Exchange代理仅有的选择,使用委派模式时,可以选择。
开启此功能,将引入风险,Outlook客户端无法保存用户名密码。
此风险发生条件:(1)使用NTLM/NTLM认证;(2)登录客户端PC与登录OutLook的用户不一致。
●SMB2只能使用委派模式3.详细配置步骤3.1.WOC加入域3.1.1.配置DNS在WOC服务端网关,选择系统->部署设置–>DNS ,设置首选DNS为域所在DNS服务器IP地址。
例如:那么域名为,输入的DNS服务器IP即可。
设置后,选择保存并生效,系统提示“修改后将重启服务,确定吗?”,选择确定。
3.1.2.加入域服务端网关,系统->部署设置->windows域。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Windows域信任关系建立全攻略
操作环境:windows 2000的两个独立域 与。
的网段为192.168.0.x, 域管理所在的IP为192.168.0.1,机器名为aa。
的网段为192.168.3.x,域管理所在的IP为192.168.3.1,机器名为bb。
两个域用VPN建立好连接,可互相ping通。
操作目的:建立互相信任的关系。
操作过程:
1、建立DNS。
DNS必须使用的,而不能使用公网的,因为要对域进行解析。
由于在和 上的步骤相同,故只以为例。
在192.168.0.1上打开管理工具- DNS- 连接到计算机- 这台计算机。
在其正向搜索区域里新建区域- Active Directory集成的区域,输入,区域
文件就叫.dns好了,然后完成。
右击新建的,选择属性- 常规,把允许动态更新改变为是。
然后在正向搜索区域里新建区域- 标准辅助区域,输入,IP地址输入192.168.3.1,然后完成。
右击新建的,选择从主传输。
在反向搜索区域里新建区域- Directory集成的区
域,输入网络ID192.168.0,然后完成。
右击新建的192.168.0.x Subnet,选择属性- 常规,把允许动态更新改变为是。
现在的DNS已经建立好了,的也按此建立。
在192.168.0.1上进行测试,注意:DNS的传输可能需要一定的时间,最好在半个小时到一个小时后进行测试。
测试域名解析:ping
正常的为
Pinging [192.168.0.1] with 32 bytes of data: Reply from 192.168.0.1: bytes=32 time 1ms TTL=64 Reply from 192.168.0.1: bytes=32 time 1ms TTL=64 Reply from 192.168.0.1: bytes=32 time 1ms TTL=64 Reply from 192.168.0.1: bytes=32 time 1ms TTL=64 Ping statistics for 192.168.0.1:
Packets: Sent = 4, Received = 4, Lost = 0 ,
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms 这说明域已经解析好,如果ping 也能得到类似的响应,说明的解析也完成。
测试反向搜索:nslookup 192.168.0.1
正常的为
Server:
Address: 192.168.0.1
Name:
Address: 192.168.0.1
如果在的域上也测试成功,则可以建立域信任关系了。
2、建立域信任关系
在aa机器上管理工具- Active Directory 域和信任关系里可以看到自己的域,在它上面属性-
信任里,受此域信任的域和信任此域的域里添加。
现在就大功告成了。
注意:如果里有两块网卡,其中有一块不用的,最好将此网卡禁用了。
如果有做它用,请用route -p来明确路由方向。
操作環境:windows 2000的兩個獨立域 與。
的網段為192.168.0.x, 域管理所在的IP為192.168.0.1,機器名為aa。
的網段為192.168.3.x,域管理所在的IP為192.168.3.1,機器名為bb。
兩個域用VPN建立好連接,可互相ping通。
操作目的:建立互相信任的關系。
操作過程:
1、建立DNS。
DNS必須使用的,而不能使用公網
的,因為要對域進行解析。
由於在和 上的步驟相同,故隻以為例。
在192.168.0.1上打開管理工具- DNS- 連接到計算機- 這臺計算機。
在其正向搜索區域裡新建區域- Active Directory集成的區域,輸入,區域文件就叫.dns好瞭,然後完成。
右擊新建的,選擇屬性- 常規,把允許動態更新改變為是。
然後在正向搜索區域裡新建區域- 標準輔助區域,輸入,IP地址輸入192.168.3.1,然後
完成。
右擊新建的,選擇從主傳輸。
在反向搜索區域裡新建區域- Directory集成的區域,輸入網絡ID192.168.0,然後完成。
右擊新建的192.168.0.x Subnet,選擇屬性- 常規,把允許動態更新改變為是。
現在的DNS已經建立好瞭,的也按此建立。
在192.168.0.1上進行測試,註意:DNS的傳輸可能需要一定的時間,最好在半個小時到一個小時
後進行測試。
測試域名解析:ping
正常的為
Pinging [192.168.0.1] with 32 bytes of data: Reply from 192.168.0.1: bytes=32 time 1ms TTL=64 Reply from 192.168.0.1: bytes=32 time 1ms TTL=64 Reply from 192.168.0.1: bytes=32 time 1ms TTL=64 Reply from 192.168.0.1: bytes=32 time 1ms TTL=64 Ping statistics for 192.168.0.1:
Packets: Sent = 4, Received = 4, Lost = 0 ,
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms 這說明域已經解析好,如果ping 也能得到類似的響應,說明的解析也完成。
測試反向搜索:nslookup 192.168.0.1
正常的為
Server:
Address: 192.168.0.1
Name:
Address: 192.168.0.1
如果在的域上也測試成功,則可以建立域信任關系瞭。
2、建立域信任關系
在aa機器上管理工具- Active Directory 域和信任關系裡可以看到自己的域,在它上面屬性- 信任裡,受此域信任的域和信任此域的域裡添加。
現在就大功告成瞭。
註意:如果裡有兩塊網卡,其中有一塊不用的,最好將此網卡禁用瞭。
如果有做它用,請用route -p來明確路由方向。