创建Win2003域和Win2008域之间的信任关系，Active Directory系列之十八

创建 Win2003 域和 Win2008 域之间的信任关系

我们在上一篇文章中创建了域信任关系，这个信任关系发生在两个 Win2003 域之间，而且两个域使用了同一个 DNS 服务器。今天我们更换一个实验场景，拓扑如下图所示。一个是 Win2003 域，另一个是 Win2008 域。两个域都使用各自的域控制器提供 DNS 解析，而且 Win2008 域的功能级别是 Win2003 ，我们将为大家演示如何在这两个域之间创建信任关系。

这个实验的关键是 DNS ！操作系统的差异并不重要， Win2008 域可以和 Win2003 域，甚至可以和 Win2000 域创建信任关系。我们要注意的是 DNS 的设置，每个域控制器要确保自己使用的 DNS 服务器不但可以解析本域的 SRV 记录，还可以解析与自己有信任关系域的 SRV 记录，也就是说 DNS 服务器要对信任域和被信任域的 SRV 记录都能进行解析。如何让每个 DNS 服务器都能解析两个域的 SRV 记录呢？我们有多种技术可以选择，例如辅助区域，存根区域，私有根或者转发器。在本次实验中我们使用辅助区域来解决这个问题，在每个 DNS 服务器上创建一个对方域的辅助区域，这样 DNS 服务器就可以对两个域进行解析了。

我们为大家演示如何创建 itet.com 的辅助区域。首先我们要在 Server1 负责的 itet.com 区域中进行设置，允许 Server2 创建 itet.com 的辅助区域。在 Server1 上打开 DNS 管理器，如下图所示，右键点击 itet.com 区域，选择“属性”。

在区域属性中切换到“区域传送”标签，如下图所示，勾选“允许区域传送”，选择“只允许到下列服务器”，点击“编辑”按钮。

点击编辑按钮后，如下图所示，我们添加了 Server2 的地址 192.168.1.102 ，点击确定。

如下图所示，我们已经设定了允许 192.168.1.102 复制 itet.com 的区域数据，其实就是允许 192.168.1.102 成为 itet.com 的辅助 DNS 服务器。

Itet.com 区域既然已经允许 Server2 成为辅助服务器了，那我们接下来就开始在 Server2 上创建辅助区域了。在 Server2 上打开 DNS 管理器，如下图所示，选择“新建区域”。

区域类型设置为辅助区域。

区域的名称设置为 itet.com 。

接下来需要设置 itet.com 的主服务器，显然， itet.com 的主服务器是 server1 ，也就是 192.168.1.101 。

如下图所示，点击“完成”按钮完成 itet.com 区域的创建。

我们在 Server2 的 DNS 管理器中可以看到， itet.com 的区域记录已经被复制到 Server2 上， Server2 已经成功地成为了 Server2 的辅助服务器。

接下来我们要如法炮制，在 Server2 上允许 Server1 成为 contoso.com 的辅助服务器，然后在 Server1 上创建 contoso.com 辅助区域，把 contoso.com 的区域数据复制到 Server1 上。如下图所示，我们看到 Server1 上也已经成功地把 contoso.com 的区域数据复制过来了。