某天 與「同事」吃飯,突然間討論一個問題,「Server 2003」與「Server 2008 R2」可以做 「AD Trust」嗎?
這時候,引發我的「好奇心」,就這樣,此篇文章,就誕生了。
玩過「AD」的「各位高手」,應該都知到,「AD Trust」三部曲
第一部「DNS-條件轉寄站」
第二部「AD 網域及信任」
第三部「看看你心裡有我,我心裡有沒有你 (單向信任 與 雙向信任)」。
由於建置「AD」基礎環境,並非這次「重點」,所以就「省略」
這時候,引發我的「好奇心」,就這樣,此篇文章,就誕生了。
玩過「AD」的「各位高手」,應該都知到,「AD Trust」三部曲
第一部「DNS-條件轉寄站」
第二部「AD 網域及信任」
第三部「看看你心裡有我,我心裡有沒有你 (單向信任 與 雙向信任)」。
由於建置「AD」基礎環境,並非這次「重點」,所以就「省略」
請看下面「基礎環境建置圖」
PS.「DG」可以省略,不用理會..
~「條件轉寄站」設定 ~
「AD.book.com」
使用「MMC」加入「管理項目」
點選「新增」
加入「使用者及電腦」、「站台及服務」、「網域及信任」、「DNS」
PS. 為了方便快速,您可以只加入「DNS」、「網域及信任」即可
設定「AD.book.com」的「條件轉寄站」
指向「coolwe.com」的「IP」
使用「Ping」測試「網域」能不能「通」
「Dc.coolwe.com」
設定「DC.coolwe.com」的「條件轉寄站」,指向「book.com」的「IP」
使用「Ping」測試「網域」能不能「通」
~「信任關係」設定 ~
「AD.book.com」
PS. 建議由「Server 2003 SP2」去建立「信任」,您也可以 使用「Server 2008 R2」建立「信任」點選「內容」
點選「新增信任」
輸入「對方」的「網域」名稱
選擇「雙向」
點選「同時建立這個網域和指定網域」
輸入「coolwe.com」「最高權限」的「使用者帳戶」
確認「信任清單」
確認「信任清單」
選擇「連出信任」
選擇「連入信任」
點選「完成」
檢查「雙向信任」狀態
檢查「Dc.coolwe.com」會自動建立「雙向信任」
~「Windows 7」驗證 ~
PS.「使用者」的「帳戶」,必須具備 「網域」 內「administrators」群組的「權限」才能跨「網域」查詢到「內部資源」
選擇「book.com」網域,瀏覽 該「網域」內部「資源」
選擇「coolwe.com」網域
瀏覽 該「網域」內部「資源」
PS.
心得重點,在做「Lab」中發現「Server 2008 R2」建立「網域」會自動開啟「網域」所需「防火牆」規則,然而「Server 2003 SP2」則不會,所以建議將「Server 2003 SP2」「防火牆」關閉,不然就依據「參考資料」開啟「AD」需要的「連接埠」
參考資料:
「Microsoft - Technet」-「Active Directory 和 Active Directory 網域服務連接埠需求」