2012年5月1日 星期二

S小魚仔S Server 2008 R2 與 Server 2003 AD Trust (信任關係)

某天 與「同事」吃飯,突然間討論一個問題,「Server 2003」與「Server 2008 R2」可以做 「AD Trust」嗎? 
這時候,引發我的「好奇心」,就這樣,此篇文章,就誕生了。
玩過「AD」的「各位高手」,應該都知到,「AD Trust」三部曲
第一部「DNS-條件轉寄站
第二部「AD 網域及信任
第三部「看看你心裡有我,我心裡有沒有你 (單向信任 與 雙向信任)」。
由於建置「AD」基礎環境,並非這次「重點」,所以就「省略


請看下面「基礎環境建置圖
PS.「DG」可以省略,不用理會..



~「條件轉寄站」設定 ~

AD.book.com


使用「MMC」加入「管理項目


點選「新增

加入「使用者及電腦」、「站台及服務」、「網域及信任」、「DNS
PS. 為了方便快速,您可以只加入「DNS」、「網域及信任」即可

設定「AD.book.com」的「條件轉寄站

指向「coolwe.com」的「IP

使用「Ping」測試「網域」能不能「


Dc.coolwe.com


設定「DC.coolwe.com」的「條件轉寄站」,指向「book.com」的「IP


使用「Ping」測試「網域」能不能「



~「信任關係」設定 ~


AD.book.com
PS. 建議由「Server 2003 SP2」去建立「信任」,您也可以 使用「Server 2008 R2」建立「信任


點選「內容

點選「新增信任

輸入「對方」的「網域」名稱

選擇「雙向

點選「同時建立這個網域和指定網域

輸入「coolwe.com」「最高權限」的「使用者帳戶

確認「信任清單

確認「信任清單

選擇「連出信任


選擇「連入信任

點選「完成

檢查「雙向信任」狀態


檢查「Dc.coolwe.com」會自動建立「雙向信任


~「Windows 7」驗證 ~
PS.「使用者」的「帳戶」,必須具備 「網域」 內「administrators」群組的「權限」才能跨「網域」查詢到「內部資源



選擇「book.com」網域,瀏覽 網域」內部「資源


 選擇「coolwe.com」網域 

瀏覽 該「網域」內部「資源

終於完成了


PS. 
心得重點,在做「Lab」中發現「Server 2008 R2」建立「網域」會自動開啟「網域」所需「防火牆」規則,然而「Server 2003 SP2」則不會,所以建議將「Server 2003 SP2」「防火牆」關閉,不然就依據「參考資料」開啟「AD」需要的「連接埠


參考資料:
「Microsoft - Technet」-「Active Directory 和 Active Directory 網域服務連接埠需求

6 則留言:

  1. 很簡單易懂的教學: ) 謝謝您

    回覆刪除
  2. 技術就是這樣,原理能通,就不難。
    困難的是,技術如何「吸收」並「納為己用」。

    回覆刪除
  3. 2021年了...終於找到一篇2003和2008建立網絡信任的文章...
    小弟不才, 是剛學AD/DC的新手, 不過我跟隨了本文所有布驟最後出了RPC的error, 查了兩者內置防火牆已關, 自家防火牆也設了any any的規則還是RPC error, 請問小魚仔你會不會有頭緒會是關於什麼問題, 雙方能用IP和FQDN互ping, 能檢查的場方都查了, 百思不得其解阿

    回覆刪除
  4. 很抱歉幫不上您太多忙自從來到中國大陸就沒碰過 Windows AD 產品。

    回覆刪除
  5. 剛剛才想起自己在這問了問題XD, 謝謝你的回答, 我最後找到了解決方面, 就是2008的一方要重啟一次
    原因我也不知為什麼, 但重啟一次後就成功了

    回覆刪除