本节以在lycb.local林下的ShangHai.lycb.local子域上创建与grfw.com林根域grfw.com一个双向外部信任关系为例进行介绍。首先需要在双方的DNS服务器（假设信任双方都有自己的DNS服务器时）上设置指向对方DNS服务器的转发器，或者在双方的DNS服务器上为对方创建一个辅助DNS区域，对应的主要区域是对方的DNS服务器上创建的主要DNS区域（以上两种方式只能选择其中一种）。在此以设置转发器为例进行介绍。双方的DNS转发器设置分别如图2-56和图2-57所示。具体的创建步骤如下（以在grfw.com域上同时创建双方的双向信任为例）：

图2-56  ShangHai.lycb.local子域DNS服务器上的转发器设置对话框

 图2-57  grfw.com域DNS服务器上的转发器设置对话框

（1）在grfw.com域DC（grfw-dc.grfw.com）上执行【开始】→【管理工具】→【Active Directory域和信任关系】菜单操作，打开如图2-58所示的的“Active Directory域和信任关系”管理单元控制台。

图2-58  grfw.com域的“Active Directory域和信任关系”管理单元控制台

（2）在grfw.com节点上单击右键，在弹出菜单中选择“属性”选项，在打开的对话框中选择“信任”选项卡（如图2-59所示），从中可以见到上节已为该域创建的与BeiJing.lycb.local子域的单向外部传出信任。

（3）单击“新建信任”按钮，打开如图2-27所示新建信任向导首页对话框。

（4）单击“下一步”按钮，打开如图2-60所示对话框。在其中要输入信任域的DNS域名（本示例为ShangHai.lycb.local）或者NetBIOS域名（本示例为ShangHai）。

（5）单击“下一步”按钮，打开如图2-61所示对话框。在这里要选择所创建的信任方向，在此要选择“双向”单选项，以创建双向信任。

（6）单击“下一步”按钮，打开如图2-62所示对话框。在这里因为采用的是同时在双方创建这个双向信任的方式，所以要选择“这个域和指定的域”单选项。

（7）单击“下一步”按钮，打开如图2-63所示对话框。在这里要键入你在对方域（本示例为ShangHai.lycb.local）上具有创建信任的管理凭据。一般为对应域的域管理员组成员即可，也可以是委派了对应权限的其他用户。

（8）单击“下一步”按钮，打开如图2-64所示对话框。在这里要选择本地域对对方域用户进行身份验证的方式。如果是同一个公司的不同林中的域，则通常是选择“全域性身份验证”单选项，这样被信任域就可以自动对被信任域访问本地域中所有资源按照管理设置进行身份验证；如果两个域是不同的公司，则出于安全考虑，则需要手动设置允许被信任域用户访问的资源了。这时就要选择“选择性身份验证”单选项，以限制被信任域用户访问某些资源。在此选择“全域性身份验证”单选项。

图2-59  grfw.com当前已创建的信任关系  

图2-60  “信任名称”对话框

图2-61  “信任方向”对话框

图2-62  “信任方”对话框

图2-63  “用户名和密码”对话框

图2-64  “传出信任身份验证级别—本地域”对话框

（9）单击“下一步”按钮，打开如图2-65所示对话框。在这里要选择本地域用户访问对方域资源所采用的身份验证方式。在此同样以选择“全域性身份验证”单选项为例进行介绍。

图2-65  “传出信任身份验证级别—指定域”对话框

（10）单击“下一步”按钮，打开如图2-66所示对话框。在这里显示了本次信任创建的设置摘要。如果觉得有不妥设置项，通过单击“上一步”按钮返回到对应步骤重新设置。此后的步骤不可返回的。

图2-66  “选择信任完毕”对话框

（11）单击“下一步”按钮，系统开始创建这个双向信任，成功后打开如图2-67所示对话框。在其中显示信任创建成功的提示及对应的信任状态改动摘要。

图2-67  “信任创建完毕”对话框

（12）单击“下一步”按钮，打开如图2-68所示对话框。在这里要选择是否立即传出信任。“传出信任”是指把本地域信任对方域的信息向对方域发布，让对方域了解。因为这里采取的是在双方同时创建信任的方式，所以要选择“是，确认传出信任”单选项。

【经验之谈】对话框中提示要在确认对方也创建了该信任后再确认传出这个信任，对于同时在双方创建信任的方式其实不必考虑的，因为在上一步已提示在双方都已成功创建信任。当然也可以在对方域（本示例为ShangHai.lycb.local）的“Active Directory域和信任关系”管理单元控制台对应域属性对话框，“信任”选项卡中查看是否已成功创建了该信任。如图2-69显示了本示例已在对方域（ShangHai.lycb.local）上创建了与grfw.com域的双向信任关系。

（13）单击“下一步”按钮，打开如图2-70所示对话框。在这里要选择是否要立即传入信任关系。同样由于此时对方已创建好这个信任关系，所以在此要选择“是，确认传入信任”单选项。“传信信任”是指传入对方域信任本域用户的信息，以便本域了解。

图2-68  “确认传出信任”对话框 

图2-69 在对方域上已创建的双向信任关系

图2-70 “确认传入信任”对话框

（14）单击“下一步”按钮，打开如图2-71所示信任向导完成对话框。单击“完成”按钮，打开如图2-46所示的系统提示框。此时在grfw.com信任域的信任关系中可以见到已新建了与ShangHai.lycb.local域的双向外部信任关系，如图2-72所示。在ShangHai.lycb.local子域上新建的双向信任参见图2-69。这样就一次性在信任双方创建好了相应的信任关系。

【经验之谈】从以上同时在信任双方创建双向信任的过程中可以看出，整个过程中都没有像上节在信任双方各自单独创建信任过程配置信任密码的步骤，这是因为在同时创建信任的过程中信任密码是由活动目录自动生成了。但是经过实验，在用虚拟网络做实验时，经常会出现如图2-73所示的错误提示，说确认传入信任失败。究其原因是由于虚拟网络中，服务器太忙，致使Kerberos验证在服务器上因超时而无法通过。在实际网络中，笔者多次实验，均没有出现这种现象。

当出现如图2-73所示的错误提示时，就需要在信任双的传入信任属性对话框中进行手工确认验证，验证的方法是在如图2-74所示的传入信任属性对话框中单击“验证”按钮，然后在打开的如图2-75所示对话框中选择“是，验证传入信任”单选项，再在下面输入对方域的管理凭据。单击“确定按钮，验证成功时会有如图2-76所示的提示框的。如果仍显示如图2-77所示的“没有可用的服务器处理登录请求”，则先选择“重设信任密码”单选项再试一次，实在不行建议重启双方DC，然后再试。在虚拟网络中最好采用单独创建信任方式进行。另一方按同样的方法对传入信任进行验证即可。

图2-71  “正在完成新建信任向导”对话框 

图2-72  在grfw.com域中新建的与ShangHai.lycb.local的双向外部信任 

图2-73  同时为信任双方创建信任时的典型故障 

图2-74 传入信任属性对话框

图2-75   信任传入方管理凭据指定对话框 

图2-76  信任成功验证的提示框

图2-77 传入信任不能成功验证的错误提示框

2. 双向信任验证

验证双向信任的方法与上节介绍的单向信任验一样也有三种：在信任域的NTFS文件夹或者文件权限配置中验证；在信任属性对话框中验证；在信任域的用户登录界面中验证。在此仅介绍前一种验证方式，后两种验证的方法参见上节对应的验证方法。

首先验证信任关系是否已成功建立，可在图2-69和图2-72所示对话框中查看。然后可以在信任双方的任何主机NTFS文件夹或者文件“安全”选项卡中单击“添加”按钮，打开如图2-48所示对话框。然后单击“位置”按钮，打开“位置”对话框中查看是否已添加了对方的域。如图2-78所示的是在ShangHai.lycb.local子域中的“位置”对话框，其中已显示了它信任的域grfw.com；而在如图2-79所示的是在grfw.com域中的“位置”对话框，其中已显示了它信任的域ShangHai.lycb.local。此时就足以证明，ShangHai.lycb.local子域与grfw.com域双向信任已建立起来了。

图2-78 在ShangHai.lycb.local子域中的“位置”对话框

图2-79  在grfw.com域中的“位置”对话框

本文摘自《（金牌网管师——大中型企业网络组建》第二章