Chinaunix首页 | 论坛 | 博客
  • 博客访问: 2114223
  • 博文数量: 433
  • 博客积分: 4775
  • 博客等级: 上校
  • 技术积分: 8054
  • 用 户 组: 普通用户
  • 注册时间: 2009-10-19 16:15
文章存档

2014年(9)

2013年(20)

2012年(77)

2011年(323)

2009年(4)

分类: 系统运维

2011-10-19 23:37:30

通过前面的学习我们知道了,Windows Server 2003域网络的林信任也是可传递的,但是它必须确保信任双方的林所有域控制器及子域都必须是Windows Server 2003域功能级别模式,而双方的林都已是Windows Server 2003林功能级别模式(只有在林中所有域控制器都是Windows Server 2003域功能级别模式,才能把林提升为Windows Server 2003林功能级别模式)。

域控制器的域功能级别模式可以在对应DC“Active Directory用户和计算机管理单元,或者“Active Directory域和信任关系管理单元中提升。这方面已在本系列认证教材——《金牌网管师——中小型企业网络组建、配置与管理》一书中作了详细介绍,在此不再赘述。在此仅介绍林功能级别模式的提升方法。

1. 林功能级别提升

本实验中要在lycb.localgrfw.com两个林中建立双向可传递信任。

1)分别在它们的其中一个DC“Active Directory域和信任关系管理单元控制台根节点“Active Directory域和信任关系上单击右键,在弹菜单中选择提升林功能级别选项,打开对应的林的提升林功能级别对话框。如图2-80lycb.local林的提升林功能级别对话框,如图2-81grfw.com林的提升林功能级别对话框。从中可以看出,默认情况下Windows Server 2003林的功能级别是“Windows 2000”模式。

2-80 lycb.local林的默认林功能级别


2-81 grfw.com林的默认林功能级别

2)分别在下面的选择一个可用的林功能级别下拉列表中选择“Windows Server 2003”选项,然后单击提升按钮开始林功能级别提升。首先弹出的是如图2-82所示的警告提示框,提示说林功能级别的提升将影响整个林,且不可还原。提升成功后都会弹出如图2-83所示的提示框。

2-82  林功能级别提升警告提示框

2-83 林功能级别提升成功的提示框

3)再打开两个林的提升林功能级别对话框就可以发现当前的林功能级别已改为了“Windows Server 2003”了(已是Windows Server 2003域网络中最高的林功能级别了,所以下面不再有选择一个可用的林功能级别下拉列表),分别如图2-84和图2-85所示。

2-84 提升后的lycb.local林功能级别

2-85提升后的grfw.com林功能级别

2. 可传递的双向林信任创建

林功能级别提升后就可正式创建可传递的林信任了。在此也以在grfw.comDC“Active Directory域和信任关系管理单元控制台中同时在信任双方创建信任为例进行介绍(这时你先需要拥有两个林的管理凭据)。

1)在grfw.comDC“Active Directory域和信任关系管理单元控制台的grfw.com根域上(参见图2-58)单击右键,在弹出菜单中选择属性选项,在打开的对话框中选择信任选项卡,参见图2-59

2)单击新建信任按钮,打开如图2-27所示的新建信任向导首页对话框。

3)单击下一步按钮,打开如图2-86所示对话框。在这里要输入对方林名称lycb.local(必须是DNS名称,不能是NetBIOS名称)。

2-86  信任名称对话框

4)单击下一步按钮,打开如图2-87所示对话框。在这里有两种选择,如果是作为两个林中的不同域间建立信任,则要选择外部信任单选项;而本实验中要建立林信任,所以要选择林信任单选项

【注意】只要在两个林都是windows Server 2003功能级别,且是在林根域上建立信任,才桶出现这个对话框,否则直接进入到下一步如图2-88所示的对话框,只能创建外部信任。

2-87  信任类型对话框

5)单击下一步按钮,打开如图2-88所示对话框。因为本实验采用的是同时创建信任的方式来为信任双方创建信任,所以在此要选择这个域和指定域单选项。

6)单击下一步按钮,打开如图2-89所示对话框。在这里要输入对方林根域的管理凭据,以验证你有权在对方林中具有信任创建权限。直接输入对方林根域管理员帐户即可。

2-88  信任方对话框

2-89  用户名和密码对话框

7)单击下一步按钮,打开如图2-90所示对话框。在这里要选择本地林对另一林中的用户进行传出信任身份验证的方式。与域信任中的本地域信任传出身份验证(参见图2-64)类似,也有两种可选项:全林性身份验证、选择性身份验证。在此要选择本地林信任传出的身份验证。当两个林属于同一集团公司时,可选择全林性身份验证,否则选择选择性身份验证。在此以选择全林性身份验证为例进行介绍。

8)单击下一步按钮,打开如图2-91所示对话框。在这里要选择信任的另一林对本地林中的用户进行传出信任身份验证的方式。选择规则与上一步的本地林传出身份验证选择一样。同样,在此以选择全林性身份验证为例进行介绍。

9)单击下一步按钮,打开如图2-92所示对话框。在这里显示的是本次信任创建的设置摘要。其中显示了本次创建的信任是双向可传递的林信任。

10)单击下一步按钮,系统开始在信任双方林上创建信任,创建成功后打开如图2-92所示对话框。在其中显示信任创建成功提示,以及信任状态的改变。

11)单击下一步按钮,打开如图2-93所示对话框。在这里要确认是否立即传出信任。因为是同时创建信任的,所以双方都已创建了信任,可以正式进行信任的传入和传出了。选择是,确认传出信任单选项。把信任关系发送给对方林。

12)单击下一步按钮,打开如图2-93所示对话框。在这里要确认是否立即传入信任。与上一步同样的原因,在此要选择是,确认传入信任,把对林中的信任关系传入到本地林中。

2-90  传出信任身份验证级别本地林对话框

2-91  传出信任身份验证级别提定林对话框

2-92  选择信任完毕对话框

2-93  信任创建完毕对话框

2-94  确认传出信任对话框

2-95  确认传入信任对话框

13)单击下一步按钮,打开如图2-71所示的向导完成对话框。此时我们可以在双方林中见到所创建的双向可传递林信任,分别如图2-96和图2-97所示。

 

2-96 grfw.com林中创建的双向可传递林信任  2-97  lycb.local林中创建的双向可传递林信任

本文摘自《(金牌网管师——大中型企业网络组建》第二章

阅读(2509) | 评论(0) | 转发(1) |
给主人留下些什么吧!~~