单向外部域信任关系的创建与验证示例

信息安全管理员-中级工模拟题（附答案）一、单选题（共43题，每题1分，共43分）1.根据南方电网公司信息机房建设技术规范中信息机房可分为（）个级别。

A、四B、三C、二D、一正确答案：B2.信息系统的运行维护工作应由专人负责，重要信息系统需提供（）。

A、管理岗位B、主、备岗位C、主岗位D、备岗位正确答案：B3.以下哪项功能是VMware环境中共享存储的优势？（）A、允许部署HA集群B、能够更有效地查看磁盘C、能够更有效地备份数据D、允许通过一家供应商部署存正确答案：A4.面对面布置的机柜或机架正面之间的距离不应小于（）米。

A、2B、1C、1.5D、1.2正确答案：D5.下面不属于虚拟化平台的是（）。

A、VmwareB、Hyper-vC、CitrixD、DOS正确答案：D6.在计算机机房出入口处或值班室，应设置（）和应急断电装置。

A、报警器B、电视C、电扇D、应急电话正确答案：D7.更换部件或设备工作变更时，全程工作必须至少有（）人以上参加，工作完成后及时做好维修记录。

A、4B、3C、2D、1正确答案：C8.各级（）负责解决由于业务操作不规范、业务规则定义不合理等业务原因导致的数据质量问题，并复核数据质量问题处理结果。

A、数据主题管理部门B、数据录入部门C、信息化领导小组D、信息部门正确答案：B9.Spark诞生于（）年。

A、2010B、2013C、2009D、2012正确答案：C10.故障：指信息系统在没有预先安排的情况下出现的对用户提供服务的（）。

A、通知B、中断C、暂停D、预知正确答案：B11.有关域树的概念的描述不正确的是（）。

A、域树中这些域共享相同的架构和配置信息B、域树是一个或多个域构成C、域树中这些域之间的信任关系是自动创建的，单向，可传递的信任关系D、域树中这些域有着邻接的名字空间正确答案：C12.Http协议默认使用（）端口。

A、443B、445C、80D、139正确答案：C13.差异备份、增量备份、完全备份三种备份策略的备份速度由快到慢依次为（）。

信任关系不同域之间要能互访，需要域之间存在信任关系。

信任关系分为可传递信任和非可传递信任。

可传递信任：任何一个域被加入到域目录树后，这个域都会自动信任父域，同时父域也会自动信任这个新域，而且这些信任关系具备双向传递性。

为了解决用户跨域访问资源的问题，可以在域之间引入信任，有了信任关系，域A的用户想要访问B域中的资源，让域B信任域A就行了。

信任关系分为单向和双向，如图所示。

图中①是单向的信任关系，箭头指向被信任的域，即域A信任域B，域A称为信任域，域B被称为被信任域，因此域B的用户可以访问域A中的资源。

图中②是双向的信任关系，域A信任域B的同时域B也信任域A，因此域A的用户可以访问域B的资源，反之亦然。

在域树中，父域和子域的信任关系是双向可传递的，因此域树中的一个域隐含地信任域树中所有的域。

另一种可传递信任不是默认的，可以通过在不同林根域之间建立信任关系来实现，如P53图2-71。

在域之间建立信任关系时，注意信任传递带来的隐含信任，如图2-72。

非可传递信任：非可传递信任的域之间必须通过手动创建信任，才能实现域间资源访问。

可以创建的有：●Server 2003/2008域与NT域●Server 2003/2008域与另一个林中的Server 2003/2008域（当两个林之间没有林信任关系时）●Server 2003/2008域与2000域●Active Directory域与Kerberos V5域操作：为两个域创建信任关系（TrustRelationship.exe）。

在两域间创建信任关系，需要满足能对两域进行解析。

所以首先在DNS服务器上进行区域的创建，并允许区域传送。

参考P55设置信任关系。

通过对域间资源访问进行验证。

维护活动目录维护活动目录议程：维护活动目录介绍备份活动目录数据库恢复活动目录数据库一、维护活动目录介绍二、备份活动目录数据库1、活动目录数据库备份操作为了避免活动目录数据库失效而引起的错误，因此当活动目录正常工作时，需要对活动目录进行备份。

不能对活动目录单独备份，只能通过备份系统状态对活动目录进行备份。

系统状态组件组件描述活动目录活动目录信息，只存在于DC的系统状态数据中系统启动文件Windows server 2003操作系统启动时使用com+类注册数据库类注册数据库是关于组件服务应用程序的数据库注册表存储了该计算机的配置信息SYSVOL有关组策略模板和日志命令的共享文件夹信息认证服务数据库当Windows server 2003计算机是认证服务器时用来验证用户身份的信息2、备份活动目录数据库时的注意事项注意事项如下：# 须具有备份权限。

默认情况下，管理员组、备份操作员组和服务器操作员组具有备份的权限。

# 活动目录不能单独备份，只能作为系统状态的一部分进行备份，而且只有DC上的系统状态才包括活动目录数据。

# 在DC联机时执行活动目录备份。

3、恢复ad数据库# 修改目录服务还原模式的administrator密码# 执行常规恢复# 执行授权恢复（1）要想恢复活动目录必须重新启动DC，在启动过程中按F8键进入高级选项菜单，然后选择“目录服务还原模式”。

在目录服务还原模式下活动目录是不能被使用的，因此可以对其进行恢复。

（2）修改目录服务还原模式的administrator密码进入目录服务还原模式后，只有administrator帐号才可以登录。

此时需要提供在安装活动目录过程中指定的目录服务还原模式的administrator的密码。

而不是正常登录时的密码。

这个密码如果忘记怎么办？2003平台支持对该密码的修改，在2000中就回天无力了DEMO1：如何修改目录服务还原模式下的密码：三、恢复活动目录的方法1、常规恢复利用常规恢复方式可以把活动目录恢复到备份之前的状态，恢复完成后再与网络中现有的DC执行活动利用常规恢复方式可以把活动目录恢复到备份之前的状态，恢复完成后再与网络中现有的DC执行活动目录的复制，进行数据更新。

ISA练习一、单选在本学期实验平台中，哪台计算机承担了DC的角色（）。

A．DenverB．IStanbulC．BerlinD．wuhanISA Server 2006中最多可以支持的网络数量为（）。

A．1个B．2个C．3个D．3个以上在ISA Server中通过发布规则发布使用SSL保护的网站时，需要开启的端口为（）。

A．80B．8080C．43D．443（A）你是的一位安全管理人。

该网络由一个命名为.的单活动目录域组成。

该网络包含Windows XP Professional客户端电脑和Windows Server 2003组成。

你安装证书服务来为员工签发email加密证书和Web站点认证证书。

当员工离开公司时，你撤销证书。

TestKing e-mail and Web应用采用强证书撤销检查。

需要你减少花费在查找需要撤销的证书和处理撤销的时间。

你还需要减少对网络性能负面影响。

你会怎么做？A．在Certification Authority控制台，打开Revoked Certificates属性。

设置Delta CertificateRevocation List (CRL) publication的时间间隔为一小时。

B．在Certification Authority控制台，打开Revoked Certificates属性。

设置full Certificate Revocation List (CRL) publication的时间间隔为一小时。

C．在Certification Authority控制台，highlight Revoked Certificates，然后在你撤回一个证书之后选择选项：publish a full CRL。

D．在Certification Authority控制台，highlight Revoked Certificates，然后选择Refresh option.。

外部信任关系实验中域控的操作系统均为windows server 2008 R2 Enterprise。

域和林的级别均为windows 2003，或者以上。

两个林，一个林根域为，一个林根域为int.internal。

域的DNS服务器FQDN为：，IP为：192.168.1.10，DNS指向自己127.0.0.1。

int.internal域的DNS服务器FQDN为：WINDC.int.internal。

IP 为：192.168.1.100，DNS指向自己127.0.0.1或者192.168.1.100建立域信任int.internal域，即中的资源可以共享给int.interanl域成员查看，即在域的文件夹属性——安全选项中可以添加int.intnal域的成员，而Int.internal域文件夹属性——安全选项中不可以添加域成员在这里是信任域Int.internal是被信任域建立域的信任关系，首先要使对方的DNS能解析本地的DNS，方法有很多，如在对方的DNS上建立本地域的辅助DNS，也可以使用条件转发器。

在这里我们使用条件转发器。

在真实生产环境中两个林或域之间不能通信，分属不同的公司，对于两个林或域之间的通信，可请网络管理员设置路由信息。

一、建立DNS条件转发器在这里DNS区域和AD目录集成在一起。

打开域的一台域控，在管理工具中打开DNS管理器，在左侧找到“条件转发器”，右击新建条件转发器，在弹出的对话框中输入要转发解析的对方DNS域名，这里输入被信任域“int.internal”和对方的DNS服务器的IP:192.168.1.100，点击确定，条件转发器建立成功。

真实环境中解析对方时间要长一些。

如下图：在int.internal域的DNS服务器上设置也如此步骤，在条件转发器上输入域和DNS的IP:192.168.1.10，这里不再贴图。

二、建立信任在域的一台域控上打开“Active Directory域和信任关系”，右击“”选择“属性”——“信任”选项卡，点击左下方的“新建信任”弹出“新建信任向导”对话框，如下图：上图点击下一步，在出现对话框中输入要信任的域即被信任域int.internal，点击下一步，选择“外部信任”，外部信任是林内的域需要与不属于该林的其他域之间创建信任关系，不同于快捷信任关系，快捷信任关系是指林内的任何域信任其他林内的任何域的林信任关系。

Windows域信任关系建⽴不懂什么是AD域服务信任关系的⼩伙伴先不要着急去上⼿部署建议先看⼀下( •_•)操作环境：windows 2000的两个独⽴域与（域已经建⽴好了）。

的⽹段为192.168.0.x，域管理服务器所在的IP为192.168.0.1，机器名为aa。

的⽹段为192.168.3.x，域管理服务器所在的IP为192.168.3.1，机器名为bb。

两个域⽤VPN建⽴好连接，可互相ping通。

操作⽬的：建⽴互相信任的关系（单向信任关系也可参考，基本相同）。

操作过程：# 1、建⽴DNS。

DNS必须使⽤服务器的，⽽不能使⽤公⽹的，因为要对域进⾏解析。

由于在和上的步骤相同，故只以为例。

在192.168.0.1上打开管理⼯具->DNS->连接到计算机->这台计算机（做为⼩公司，⼀般域服务器也⽤于DNS的解析）。

在其正向搜索区域⾥新建区域->Active Directory集成的区域，输⼊，区域⽂件就叫.dns好了，然后完成。

右击新建的，选择属性->常规，把允许动态更新改变为是。

然后在正向搜索区域⾥新建区域->标准辅助区域，输⼊，IP地址输⼊192.168.3.1，然后完成。

右击新建的，选择从主服务器传输。

在反向搜索区域⾥新建区域->Directory集成的区域，输⼊⽹络ID192.168.0，然后完成。

右击新建的192.168.0.x Subnet，选择属性->常规，把允许动态更新改变为是。

现在的DNS已经建⽴好了，的也按此建⽴。

在192.168.0.1上进⾏测试，注意：DNS的传输可能需要⼀定的时间，最好在半个⼩时到⼀个⼩时后进⾏测试。

（1）测试域名解析：ping 正常的为Pinging [192.168.0.1] with 32 bytes of data:Reply from 192.168.0.1: bytes=32 time<1ms TTL=64Reply from 192.168.0.1: bytes=32 time<1ms TTL=64Reply from 192.168.0.1: bytes=32 time<1ms TTL=64Reply from 192.168.0.1: bytes=32 time<1ms TTL=64Ping statistics for 192.168.0.1:Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),Approximate round trip times in milli-seconds:Minimum = 0ms, Maximum = 0ms, Average = 0ms这说明域已经解析好，如果ping 也能得到类似的响应，说明的解析也完成。

第八章实验报告实验任务： (1)一、安装子域 (1)1．验证DNS (1)2．验证信任关系 (1)二、建立外部单向信任 (1)1．使用AGDLP规则 (1)2．访问共享资源 (2)三、建立林信任 (2)1．使用AGDLP规则 (2)2．访问共享资源 (2)实验要求： (2)1．完成以上实验配置 (2)2．要求截图 (2)实验操作过程： (2)一、安装子域 (2)1．DNS设置 (2)2．安装子域 (3)3．验证 (3)二、建立外部单向信任 (4)1．配置转发器 (4)2．新建信任 (6)3．外部信任查看 (7)4．AGDLP共享设置 (8)5．验证 (10)三、建立林信任 (10)1．提升域功能级别和林功能级别 (10)2．配置转发器 (11)3．新建信任 (11)4．林信任查看 (12)5．AGDLP共享设置 (13)6．验证 (15)实验任务：一、安装子域1．验证DNS2．验证信任关系二、建立外部单向信任1．使用AGDLP规则2．访问共享资源三、建立林信任1．使用AGDLP规则2．访问共享资源实验要求：1．完成以上实验配置2．要求截图实验操作过程：一、安装子域实验环境：1．一台的DC为父域2．另一台子域库实验步骤：1．DNS设置在父域上新主机头，IP指向子域，如图1-1所示：图1-1在父域上新建委派，委派的域为，指定委派的主机“sh”，如图1-2所示：图1-22．安装子域将另一台欲安装子域的计算机加入到域→dcpromo安装子域→新域的域控制器→在现有域树中的子域→父域管理员→输入子域，如图1-3所示：图1-33．验证打开子域的DNS,如图1-4图1-4打开域和信任关系，查看信任关系，如图1-5所示：图1-5二、建立外部单向信任实验环境：1．一台的域，IP地址为192.168.0.1，此域为资源域（信任域）。

2．另一台的域，IP地址为192.168.0.2，此域为帐户域（被信任域）。

实验步骤：分别为丙台DC相互配置转发器1．配置转发器域转发器配置，如图2-1所示：图2-1 域转发器配置，如图2-2所示：图2-22．新建信任新建信任，输入被信任的域，如图2-3所示：图2-3选择“单向外传”，如图2-4所示：图2-4选择“这个域和指定的域”→输入被信任域的管理员和密码→选择“是，确认传出信任”完成配置，如图2-5所示：图2-53．外部信任查看域的信任关系如图2-6所示：图2-6域的信任关系如图2-7所示：图2-74．AGDLP共享设置在帐户域上新建用户“aa”，新建全局组“sales”，并将用户“aa”加入到全局组“sales”中，如图2-8所示：图2-8在资源域上新建本地域组“gob”，将帐户域中的全局组“sales”加入到资源域的本地域组“gob”中，如图2-9所示：图2-9给资源域上的本地域组“gob”赋予访问共享文件夹的权限。

域的信任关系域的信任关系什么是信任关系信任关系是用于确保一个域的用户可以访问和使用另一个域中的资源的安全机制。

根据传递性分，信任关系可分为可传递信任关系和不可传递信任关系。

根据域之间关系分，WINDOWS信任关系可分为四种。

1．双向可传递父子信任关系2．树与树之间的双向可传递信任关系3．同一个森林两个域之间的快捷方式信任关系4．外部信任关系，建立不同的域或者不同的森林。

WINDOWS 域和非WINDOWS域，NT域2000域。

一般都是不可传递的单向信任关系。

5．森林信任，2000的森林信任关系是不可传递的。

信任仅仅存在与森林根域之间。

2003的信任是双向可传递的信任关系。

只要在根域创建了森林信任。

域里面的所有用户都建立了信任关系。

创建信任关系的考虑，1．域中有一定量用户要求长期访问某个域中的资源。

2．由于安全理由，区分了资源域和账号域3．部分信任关系默认存在。

4．处于减少上层域DC/GC压力，可创建快捷方式信任关系站点简介◆站点是一个物理概念◆定义处于同一个物理区域的一个或多个子网中的用户对象。

◆优化用户登陆，访问◆优化AD复制站点连接站点内用更新宣告的方式来获取更新，传输是非压缩的传输，占用的带宽和数据量比较大。

站点之间使用站点连接器进行复制，可以设置复制时间和复制间隔，占用多少带宽和采用什么样的协议等。

可以设置开销和复制时间，值越小，优先级别越高。

部署站点的最佳实践。

根据复制需求来定制站点间的复制间隔和复制时间。

对于大环境，建议关闭ITSG，手动配制复制链接AD排错工具Enable NDSI diagnostics log获取详细的底层信息修改注册表MACHINE\system\current conti \services\ntds\diagnostcs 取值范围：0——3调整目录服务日志的大小，以便存放产生的日志其他工具DCDIAG分析域控制器的状态针对域控制器特定的功能执行测试NETDOM管理和检查信任关系确认数据库复制是否正常NETDIAG进行网络功能的诊断NETDIAG /VNETDIAG /DEBUG >netdag.txt输出详细的网络信息到TXT文件然后用NETPAD （纪事本）打开DNS与AD活动目录DNS服务器在AD中，除了提供名称格式的支持服务。

域控制器相关概念在活动目录安装之后，主要有三个活动目录的微软管理界面（MMC），一个是活动目录用户和计算机管理，主要用于实施对域的管理；一个是活动目录的域和域信任关系的管理，主要用于管理多域的关系；还有一个是活动目录的站点管理，可以把域控制器置于不同的站点。

一般局域网的范围内，为一个站点，站点内的域控制器之间的复制是自动进行的；站点间的域控制器之间的复制，需要管理员设定，以优化复制流量，提高可伸缩性。

域控制器：是使用Active Directory 安装向导配置的运行Windows 2000 Server 的计算机。

域控制器存储着目录数据并管理用户域的交互，其中包括用户登录过程、身份验证和目录搜索。

WIN2K服务器安装成活动目录后，早期版本的SAM数据库里的信息会被转移到这些窗口里，然后，就是开始在AD数据库里建立对像的时候了。

在活动目录用户和计算机管理里，有四个缺省的容器对像：内置容器：这个容器里放着代表你的域里本地安全组的对象，在四个缺省容器里，这是唯一一个不能把缺省容器对象移出去的容器。

计算机容器：里面存放着域里所有的计算机成员的计算机帐号。

域控制器容器：里面存放着域里域控制器的计算机帐号。

用户容器：存放着所有的用户帐号和域里全部安全组。

组织单元（OU）：是一个容器对象，可将用户，组，计算机和其它单位放入其中，组织单元不可以包括来自其它域的对象。

像NT时的工作组。

域：WIN2K网络系统的安全性边界，一个计算机网最基本的单元就是‘域’，这不是WIN2K 所独有的，在AD里可以贯穿一个或多个域。

一个域可以分存在多个物理位置上，每个域都有自己的安全策略及与其它域的信任关系，多个域通过信任关系联接起来后，可以其享活动目录。

域树：域树由多个域组成，这些域共享同一表结构和配置，形成一个连续的名字空间，树的的域通过信任关系连接在一起，域树中的域层次越深，级别越低，一个“.”代表一个层次，如比这个域级别低，因为它有两个层次关系。

双域互相信任实验：
这是一个单向信任，afopcn 域信任id57demo 的用户，使id57 域内用户可以在 内登陆。

实验拓扑：
<<AD trust.vsd>>
实验目的：windc-2 被信任，客户端可以通过CitrixDDC 使用id57demo 域的账号登陆并使用App。

Tips:两个域要相互能够找到对方，需要在各自的DNS 上建立转发。

实验步骤：
1，windc-2 建立传入信任
打开“AD 域和信任关系”，
选中域，右键，属性，新建信任，下一步
输入，下一步
选择外部信任，下一步
信任方向，选择单向：内传，下一步
——内传的含义根据图中的解释很容易理解，也可以这样理解更容易：该域的账户验证信息发往本域的DC进行验证，所以是内传。

只是这个域，下一步
输入一个信任密码，下一步
两次下一步
确认传入信任，选择否，不确认传入信任。

可以等到 建立好以后再做确认。

2， 建立信任关系
建立过程参照上面的过程：
外传的含义：
外域的验证请求由登录的本域主机向外发出，到外域做验证，所以是外传。

可以直接选择确认传出信任，下一步
完成
确认
查看结果
3，验证
回到 主机，属性，
输入 的管理员密码进行验证。

确认
4，接入测试
Win7客户机是加入 的一台client，尝试使用id57demo 域内用户登录
可以正确登录
测试成功。

###。

网络安全管理员初级工考试题及参考答案一、单选题（共41题，每题1分，共41分）1.根据《信息安全等级保护管理办法》,()应当依照相关规范和标准督促、检查、指导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级保护工作。

()_,计算机信息系统受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的()_等因素确定。

()A、信息系统的主管部门B、公安机关C、国家密码管理部门D、国家保密工作部门正确答案：A2.对状态检查技术的优缺点描述有误的是()。

A、采用检测模块监测状态信息B、支持多种协议和应用C、不支持监测RPC和UDP的端口信息D、配置复杂会降低网络的速度正确答案：C3.信息系统管理员在进行业务数据的变更操作前需做好()工作,并在有人监护的情况下严格按照作业指导书开展工作,变更实施过程需做好工作记录。

A、导入B、导出C、可研D、备份正确答案：D4.()是目前最常用的一种数据模型。

A、网状模型B、关系模型C、面向对象模型D、层次模型正确答案：B5.在以太网交换器的总线交换结构中()。

A、便于难叠扩展B、容易监控和管理C、容易实现帧的广播D、以上都是正确答案：D6.云大物移智中的移是指()。

A、移动互联B、中国移动C、中国联通D、中国电信正确答案：A7.激光打印机中显影不均匀与()有关。

A、墨粉供给B、转印电压C、充电电极D、光路清洁正确答案：A8.二类项目内容及成果涉及或影响公司()及以上单位,由公司确定的重点项目,公司负责组织可研编制与批复、组织实施及验收。

A、三个B、两个C、四个D、一个正确答案：B9.主板的一个SATA接口可以连接()个对应设备A、1B、2C、3D、4正确答案：B10.确定作为定级对象的信息系统受到破坏后所侵害的客体时,应首先判断是否侵害国家安全()A、国家安全B、社会秩序或公众利益C、公民、法人和其他组织的合法权益D、本题得分:0分做题时间:2017-08-0910:41:13正确答案：A11.文件夹是只读时,不能对其进行()操作。

网络安全管理员初级工模拟习题+参考答案一、单选题（共40题，每题1分，共40分）1、当一个信息安全事态被确定为重大信息安全事件(根据组织内预先制定的事件严重性衡量尺度)时,应该直接通知响应小组和( )。

A、部门领导B、上级领导C、主管领导D、业务部门正确答案：C2、《计算机软件保护条例》中不受保护的是( )。

A、计算机程序B、程序设计思想C、程序设计说明书D、用户手册正确答案：A3、信息设备的硬件维护操作时必须戴( )。

A、安全帽B、针织手套C、防静电手套D、安全带正确答案：C4、变更管理的目的是保证变更在受控方式下正确评估、批准和实施,( )变更,降低变更风险和对业务的影响。

A、非计划B、计划C、紧急D、减少和杜绝非授权正确答案：D5、在服务器上关闭无用的服务端口是为了( )。

A、延长响应的时间,如果系统被攻破B、减少黑客攻击尝试的目标C、服务需要监控安全威胁D、保持操作系统和进程的简单,以方便管理正确答案：B6、CD-R光盘属于( )。

A、一次性写入可重复读取光盘B、多次写入可重复读取光盘C、不可写入可重复读取光盘D、可以写入不可读取光盘正确答案：A7、下面关于PC机主板的叙述中,正确的有( )。

A、主板上包含芯片组B、主板上包含ROMBIOS和CMOSRAM芯片C、主板上包含CPU插座(或插槽)D、主板的物理尺寸没有标准,各厂家均自行定义正确答案：A8、根据《中国南方电网有限责任公司信息安全防护管理办法》中安全防护管理内容,数据库安全防护包括用身份鉴别、( )、安全审计、资源控制等方面。

A、入侵防范B、恶意代码检测C、服务优化D、访问控制正确答案：D9、在Web上发布的网页,其文件类型大多是( )。

A、TXTB、DOCC、RTFD、HTML正确答案：D10、SATA 2.0接口规范定义的数据传输速率最高为:( )。

A、133MB/sB、150MB/sC、300MB/sD、600MB/s正确答案：C11、配置管理的范围涉及IT环境里的所有配置项,包括服务器、存储设备、网络设备、安全设备、系统软件、应用软件、PC机、( )、重要文档以及配置项之间的重要关联关系等。

域林之间的信任关系使用WIN2003创建的AD(域林)中的各个域之间的信任关系默认就是双向信任可传递的。

那么，如果企业的应用中如果出现了两个林或更多的林时，还要进行相互的资源访问时，我们该怎么办?因为默认只是同在一个域林中才能双向信任可传递，两个域林(AD)间没有这个关系，那么就需要我们手动来配置域林之间的信任关系，从而来保证不同域林中的资源互访。

比如说企业之间的兼并问题，两个公司之前都使用的是MS的AD来管理，那么大家可想而知这两家企业之前肯定是两个域林，那么现在兼并后，如何让这两个域林之间能够建立信任关系吗?都有什么方法呢?那今天我们就来学习一下如何创建域林之间的信任关系! 在一个林中林之间的信任分为外部信任和林信任两种：⑴外部信任是指在不同林的域之间创建的不可传递的信任⑵林信任是Windows Server 2003林根域之间建立的信任，为任一域林内的各个域之间提供一种单向或双向的可传递信任关系。

1. 创建外部信任创建外部信任之前需要设置DNS转发器：在两个林的DC之间的DNS服务器各配置转发器：在域中能解析，在域中能解析⑴首先我们在域的DC上配置DNS服务器设置转发器，把所有域的解析工作都转发到192.168.6.6这台机器上：配置后DNS转发后去PING一下，看是否连通，如果通即可：然后再在另一个域中的DC的DNS服务器也同样设置DNS转发，把的转发到192.168.6.1的机器上来：同样PING一下，看是否能PING通：⑵准备工作做好后，就开始创建外部信任：首先在域的DC上打开"AD域和信任关系"工具，在域的"属性"中的"信任"选项卡：单击"新建信任"：输入信任名称(这里要注意是你这个域要信任的域)：选择"单向：外传"：双向：本地域信任指定域，同时指定域信任本地域单向：内传：指定域信任本地域(换句话说就是，你信任我的关系)单向：外传：本地域信任指定域(例如，域信任域，我信任你的关系)注意：由于信任关系是在两个域之间建立的，如果在域A(本地域)建立一个"单向：外传"信任，则需要在域B(指定域)必须建立一个"单向：内传"信任.但如果选择了"这个域和指定的域"单选按钮，就会在指定域自动建立一个"单向：内传"的信任!输入指定域中有管理权限的用户名和密码：⑶创建完成后，验证方法可以使用：在域的DC上查看信任关系：在域的DC上查看信任关系：还有一种验证方法就是被信任域的用户可以到信任域的计算机上登录，在信任域的计算机上的登录对话框中有被信任域名，说明可以输入被信任域的帐户登录(前提是要赋予该帐户登录的权限)：但是否能登录还是要看权限，因为默认情况下是不能登录到DC的，那么在本地域的"域控制器安全策略"中打开"安全策略-"本地策略"-""用户权限分配"-"允许在本地登录"中添加被信任域的管理员即可!⑷林之间的外部信任的特点：手工建立林之间的信任关系需要手工创建信任关系不可传递林中的域的信任关系是不可传递的例如，域A直接信任域B，域B直接信任域C，不能得出域A信任域C的结论信任方向有单向和双向两种单向分为内传和外传两种内传指指定域信任本地域外传指本地域信任指定域⑸创建好林中的信任关系后可以进行跨域访问资源应用AGDLP规则实现跨域访问具体规则是：①被信任域的帐户加入到本域的全局组②被信任域的全局组加入到信任域的本地域组③给信任域的本地域组设置权限2. 创建林信任外部信任为不同域之间跨域访问资源提供了方法，但如果两个林中有许多域，要跨域访问资源就需要常见很多个外部信任，有没有简单方法呢?当然是有的，那就是只用在林根域之间建立林信任就不需要创建多个外部信任，因为林信任是可传递的。

AD活动⽬录域信任关系图解AD活动⽬录域信任关系图解有时候要给学员们讲解AD活动⽬录域信任关系，所以特地写了这篇⽂章来说明信任是在域之间建⽴的关系。

AD活动⽬录域信任关系就是可以使⼀个域中的⽤户由其他域中域控制器进⾏⾝份验证。

⼀个林中的域之间的所有 Active Directory 信任都是双向的、可传递的信任。

如下图所⽰:域 A 信任域 B，且域 B 信任域 C，则域 C 中的⽤户可以访问域 A 中的资源（如果这些⽤户被分配了适当的权限）.只有 Domain Admins 组中的成员才能管理信任关系.信任协议域控制器使⽤两种协议之⼀对⽤户和应⽤程序进⾏⾝份验证：Kerberos version 5 (V5) 协议或 NTLM。

Kerberos V5 协议是 Active Directory 域中的计算机的默认协议。

如果事务中的任何计算机都不⽀持 Kerberos V5 协议，则使⽤ NTLM 协议.信任⽅向单向信任: 单向信任是在两个域之间创建的单向⾝份验证路径。

这表⽰在域 A 和域 B 之间的单向信任中，域 A 中的⽤户可以访问域 B 中的资源。

但是域 B 中的⽤户⽆法访问域 A 中的资源。

单向信任可以是不可传递信任，也可以是可传递信任，这取决于创建的信任类型。

双向信任: Active Directory 林中的所有域信任都是双向的、可传递的信任。

创建新的⼦域时，系统将在新的⼦域和⽗域之间⾃动创建双向可传递信任。

在双向信任中，域 A 信任域 B，并且域 B 信任域 A。

这表⽰可以在两个域之间双向传递⾝份验证请求。

双向关系可以是不可传递的，也可以是可传递的，这取决于所创建的信任类型。

信任类型包括外部信任(不可传递)、快捷⽅式信任(可传递)、领域信任（可传递或不可传递）、林信任(可传递)。

下⾯以实例讲解配置两个域之间的信任关系。

域A:域B要求域A <—> 域B 两个域相互信任，部分⽤户资源互访。

实验名称：域信任关系实验目标：通过本实验，应掌握以下技能：建立快捷信任建立林信任建立外部信任实验任务:1) 建立一个林中两个域的快捷信任； 2）建立林和林的林信任；3）建立域和的外部信任实验拓扑：实验前的准备：1. 建立域的信任，需要是Domain Admins 或Enterprise Admins组的成员任务一建立一个林中两个域的快捷信任建立林中两个域和的快捷信任1.在域的域控制器计算机上，打开“开始”“程序”“管理工具”“Active Directory 域和信任关系”2.在控制台树中，展开 ,右键单击要建立快捷信任的域的域节点，然后单击“属性”。

3.单击“信任”选项卡上的“新建信任”，然后单击“下一步”。

4.在弹出的“新建信任向导”中，单击“下一步”按钮，在“信任名称”页，键入域的 DNS 名（）或 NetBIOS 名称（sale），然后单击“下一步”。

5. 在“信任方向”页面，选择“双向”，表示两个域中的用户可以相互访问对方的资源，单击“下一步”按钮。

6.选择“这个域和指定的域”，表示同时在两个域中建立信任关系，但需要有指定域的，单击“下一步”按钮。

7. 输入指定域中有信任创建特权的用户名和密码。

单击“下一步”按钮。

8. 显示已创建好的信任关系，单击“下一步”按钮。

9. 信任创建成功，单击“下一步”按钮。

10. 询问是否要确认传出信任和传出信任，选取后单击“下一步”按钮。

11. 完成新建信任的创建,单击“完成”按钮。

12. 可以在属性的“信任”选项卡中看到刚创建的信任。

13. 同样可以在属性的“信任”选项卡中看到刚创建的信任。

任务二建立和的林信任创建林信任前的准备：1.两个林之间可以通过DNS服务器来找到另一方林根域的控制器。

如果两个林根域不共享同一台DNS服务器，可以通过“条件转发器”的方式来实现。

2.确定两个林中所有的域功能级别是windows 2000纯模式或windows2003模式，“林功能级别”都升级为“Windows Server2003”1.在域的域控制器计算机上，打开“开始”“程序”“管理工具”“Active Directory 域和信任关系”2.在控制台树中，右键单击林根域的域节点，然后单击“属性”。