创建双向信任域

双向信任域

注意:此文档搭建的是external类型信任域，如果想搭建Forest类型的信任域，需要将2个DC的域级别和林级别都提升到Windows 2003 Native Mode。然后在按照此方法配置信任域。

1.修改两个域所在机器的DNS互为对方的IP，即域A的DNS为域B所在机器的IP，域

B的DNS为域A所在机器的IP。

2.Start->Administrative Tools->Active Directory Domain and Trusts

3.弹出Active Directory Domain and Trusts界面中鼠标点击域名，右键，属性

4.弹出域属性界面中点击T ab键Trusts，点击button：New Trust

5.新界面中点击button：Next

6.新界面中填写域B，，点击button：Next

7.新界面中选择Two-way前的radio，点击button：Next

8.新界面中选择Both this domain and the specified domain前的radio，点击button：

Next

9.新界面中填写user name（administrator）和password（域B机器密码）

10.新界面中点击button：Next

11.新界面中点击button：Next

12.新界面中选择Yes，confirm the outgoing trust前的radio，点击button：Next

13.新界面中选择Yes，confirm the incoming trust前的radio，点击button：Next

14.新界面中点击button：Finish

15.域B机器中Start->Administrative Tools->Active Directory Domain and Trusts，

弹出Active Directory Domain and Trusts界面中鼠标点击域名，右键，属性，弹出域属性界面中点击T ab键Trusts，查看是否已经同域A建立起双向信任关系

16.注销域A、B所在机器，重新登入时，注意查看域列表中增加了信任域，但是这个时候

我们还不可以登入到该信任域，是因为我们并没有该信任域中的用户赋予登入到本机器的权限。【注：有时可能需要重启电脑】

17.点击Start->Administrator Tools->Active Directory Users and Computers，进到

Active Directory Users and Computers界面，展开本域，点击Builtin，双击Administrators，点击Tab键Members，点击button：Add…

18.新界面Select Users，Contacts，Computers，or Groups中，点击填写信任域

\administrator，点击button：Check Names，通过后点击button：OK。此时，我们已经添加了信任域的user到本机，注销后，可以使用该user登入到信任域中。