某天 與「同事」吃飯,突然間討論一個問題,「Server 2003」與「Server 2008 R2」可以做 「AD Trust」嗎?
這時候,引發我的「好奇心」,就這樣,此篇文章,就誕生了。
玩過「AD」的「各位高手」,應該都知到,「AD Trust」三部曲
第一部「DNS-條件轉寄站」
第二部「AD 網域及信任」
第三部「看看你心裡有我,我心裡有沒有你 (單向信任 與 雙向信任)」。
由於建置「AD」基礎環境,並非這次「重點」,所以就「省略」
這時候,引發我的「好奇心」,就這樣,此篇文章,就誕生了。
玩過「AD」的「各位高手」,應該都知到,「AD Trust」三部曲
第一部「DNS-條件轉寄站」
第二部「AD 網域及信任」
第三部「看看你心裡有我,我心裡有沒有你 (單向信任 與 雙向信任)」。
由於建置「AD」基礎環境,並非這次「重點」,所以就「省略」
請看下面「基礎環境建置圖」
PS.「DG」可以省略,不用理會..
~「條件轉寄站」設定 ~
「AD.book.com」
使用「MMC」加入「管理項目」
點選「新增」
加入「使用者及電腦」、「站台及服務」、「網域及信任」、「DNS」
PS. 為了方便快速,您可以只加入「DNS」、「網域及信任」即可
設定「AD.book.com」的「條件轉寄站」
指向「coolwe.com」的「IP」
使用「Ping」測試「網域」能不能「通」
「Dc.coolwe.com」
設定「DC.coolwe.com」的「條件轉寄站」,指向「book.com」的「IP」
使用「Ping」測試「網域」能不能「通」
~「信任關係」設定 ~
「AD.book.com」
PS. 建議由「Server 2003 SP2」去建立「信任」,您也可以 使用「Server 2008 R2」建立「信任」點選「內容」
點選「新增信任」
輸入「對方」的「網域」名稱
選擇「雙向」
點選「同時建立這個網域和指定網域」
輸入「coolwe.com」「最高權限」的「使用者帳戶」
確認「信任清單」
確認「信任清單」
選擇「連出信任」
選擇「連入信任」
點選「完成」
檢查「雙向信任」狀態
檢查「Dc.coolwe.com」會自動建立「雙向信任」
~「Windows 7」驗證 ~
PS.「使用者」的「帳戶」,必須具備 「網域」 內「administrators」群組的「權限」才能跨「網域」查詢到「內部資源」
選擇「book.com」網域,瀏覽 該「網域」內部「資源」
選擇「coolwe.com」網域
瀏覽 該「網域」內部「資源」
PS.
心得重點,在做「Lab」中發現「Server 2008 R2」建立「網域」會自動開啟「網域」所需「防火牆」規則,然而「Server 2003 SP2」則不會,所以建議將「Server 2003 SP2」「防火牆」關閉,不然就依據「參考資料」開啟「AD」需要的「連接埠」
參考資料:
「Microsoft - Technet」-「Active Directory 和 Active Directory 網域服務連接埠需求」
很簡單易懂的教學: ) 謝謝您
回覆刪除技術就是這樣,原理能通,就不難。
回覆刪除困難的是,技術如何「吸收」並「納為己用」。
2021年了...終於找到一篇2003和2008建立網絡信任的文章...
回覆刪除小弟不才, 是剛學AD/DC的新手, 不過我跟隨了本文所有布驟最後出了RPC的error, 查了兩者內置防火牆已關, 自家防火牆也設了any any的規則還是RPC error, 請問小魚仔你會不會有頭緒會是關於什麼問題, 雙方能用IP和FQDN互ping, 能檢查的場方都查了, 百思不得其解阿
很抱歉幫不上您太多忙自從來到中國大陸就沒碰過 Windows AD 產品。
回覆刪除剛剛才想起自己在這問了問題XD, 謝謝你的回答, 我最後找到了解決方面, 就是2008的一方要重啟一次
回覆刪除原因我也不知為什麼, 但重啟一次後就成功了
不客氣
回覆刪除