Windows域信任关系建立全攻略

   操作环境：windows 2000的两个独立域AA.com与BB.com（域已经建立好了）。

   AA.com的网段为192.168.0.x，AA.com域管理服务器所在的IP为192.168.0.1，机器名为aa。

   BB.com的网段为192.168.3.x，BB.com域管理服务器所在的IP为192.168.3.1，机器名为bb。

   两个域用VPN建立好连接，可互相ping通。

   操作目的：建立互相信任的关系（单向信任关系也可参考，基本相同）。

   操作过程：

   1、建立DNS。DNS必须使用服务器的，而不能使用公网的，因为要对域进行解析。由于在AA.com和BB.com上的步骤相同，故只以AA.com为例。

   在192.168.0.1上打开管理工具->DNS->连接到计算机->这台计算机（做为小公司，一般域服务器也用于DNS的解析）。在其正向搜索区域里新建区域->Active Directory集成的区域，输入aa.com，区域文件就叫aa.com.dns好了，然后完成。

   右击新建的aa.com，选择属性->常规，把允许动态更新改变为是。

   然后在正向搜索区域里新建区域->标准辅助区域，输入bb.com，IP地址输入192.168.3.1，然后完成。

   右击新建的bb.com，选择从主服务器传输。

   在反向搜索区域里新建区域->Directory集成的区域，输入网络ID192.168.0，然后完成。

   右击新建的192.168.0.x Subnet，选择属性->常规，把允许动态更新改变为是。

   现在aa.com的DNS已经建立好了，bb.com的也按此建立。

   在192.168.0.1上进行测试，注意：DNS的传输可能需要一定的时间，最好在半个小时到一个小时后进行测试。

   （1）测试域名解析：ping aa.com

   正常的为

   Pinging aa.com [192.168.0.1] with 32 bytes of data:

   Reply from 192.168.0.1: bytes=32 time<1ms TTL=64

   Reply from 192.168.0.1: bytes=32 time<1ms TTL=64

   Reply from 192.168.0.1: bytes=32 time<1ms TTL=64

   Reply from 192.168.0.1: bytes=32 time<1ms TTL=64

   Ping statistics for 192.168.0.1:

   Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

   Approximate round trip times in milli-seconds:

   Minimum = 0ms, Maximum = 0ms, Average = 0ms

   这说明aa.com域已经解析好，如果ping bb.com也能得到类似的响应，说明bb.com的解析也完成。

   （2）测试反向搜索：nslookup 192.168.0.1

   正常的为

   Server:aa.aa.com

   Address:192.168.0.1

   Name:aa.aa.com

   Address:192.168.0.1

   如果在bb.com的域服务器上也测试成功，则可以建立域信任关系了。

   2、建立域信任关系

   在aa机器上管理工具->Active Directory 域和信任关系里可以看到自己的域aa.com，在它上面属性->信任里，受此域信任的域和信任此域的域里添加bb.com。

   现在就大功告成了。

   注意：如果服务器里有两块网卡，其中有一块不用的，最好将此网卡禁用了。

   如果有做它用，请用route -p来明确路由方向。