如何在域和域之间建立信任域？关键是配置域和域之间的DNS服务器

最新推荐文章于 2023-10-13 21:00:32 发布

Lw_198x

最新推荐文章于 2023-10-13 21:00:32 发布

阅读量1.1w

点赞数 1

CC 4.0 BY-SA版权

分类专栏： Window Server 文章标签： dns服务器服务器 tools server 工具

本文链接：https://blog.youkuaiyun.com/Lw_198x/article/details/7343875

在设置域和域之间的信任关系时，主要挑战在于配置DNS服务器。以2008 R2为例，涉及步骤包括连接到DNS服务器，允许区域传送，创建辅助区域，以及在A.com和B.com之间建立双向外部信任。确保DNS设置正确是成功建立信任的关键。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

我们在配置域之间的信任关系的时候，往往难点都不会出现添加信任域之间，而是出现在配置域之间的DNS服务器上

下面我以2008 R2为例开始：

首先我有2台域控，一台是A.com的域控（IP为IP_A），一台是B.com的域控（IP为IP_B），它们各自配有DNS

1.配置DNS

登录A.com的域控

开始 -> Administrative Tools 管理工具 -> DNS

右键DNS 选择连接到一台DNS服务器

选择The following computer另外的一台DNS 服务器，然后输入IP_B，OK，IP_B的DNS服务器出现。

a）

点开IP_B域控的DNS，点开“Forward Lookup Zones 正向搜索区域” ，在b.com上右键选择属性，Zone Transfers区域传送 -> 勾上允许区域传送，To any server 对任何一台服务器或者指定A.com的域控.

对a.com的域控做同样a操作。（最后指向b.com哦）

b）

点开a.com域控的DNS，在“Forward Lookup Zones 正向搜索区域” 上右键 “New Zone....新建区域”

Next 下一步 -> 选择Second（辅助区域）默认&n

最低0.47元/天解锁文章

200万优质内容无限畅学

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

Lw_198x

关注关注

1
点赞
踩
1

收藏

觉得还不错? 一键收藏
1
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

2、深入理解Active Directory的森林、域和信任

weixin_35762258的博客

05-23

本文深入探讨了Active Directory中的森林、域和信任等核心概念，并详细介绍了它们的管理和配置方法，包括使用ADPrep工具准备域或森林、提升功能级别以及创建不同类型的信任关系。通过这些内容，读者可以更好地理解和管理Active Directory环境，确保其安全性和高效性。

[ 内网渗透实战篇-2 ] 父域子域架构的搭建与安装&域环境判断&域控定位&组策略&域森林架构配置&信任关系

qq_51577576的博客

11-07

1042

[ 内网渗透实战篇-2 ] 父域子域架构的搭建与安装&域环境判断&域控定位&组策略&域森林架构配置&信任关系 1、学习如何搭建父子域架构 2、了解域森林架构以及与单域、父子域的不同 3、掌握如何判断主机是否在单域内 4、掌握如何判断主机是否在父子域内 5、掌握如何定位当前域控DC 6、掌握如何获取当前其他信息其他信息：用户及组，网络架构等、手工工具：常见命令，工具插件等、角色信息

1 条评论您还未登录，请先登录后发表或查看评论

AD域服务器的搭建（2）--AD域信任关系和域组策略

✍千里之行，始于足下 ^,^

05-05

7120

问题在同一个域内，成员服务器根据Active Directory中的用户账号，可以很容易地把资源分配给域内的用户。但一个域的作用范围毕竟有限，有些企业会用到多个域，那么在多域环境下，我们该如何进行资源的跨域分配呢？解决方法１.镜像账户如何把A域的资源分配给B域的用户呢？方法：在A域和B域内各自创建一个用户名和口令都完全相同的用户账户，然后在B域把资源分配给这个账户后，A域内的镜像账户...

如何创建两个域之间的信任

paoling2010的专栏

07-20

3799

如何创建两个域之间的信任 DC1的操作设置DNS 转发器. 1.从“开始”菜单-》控制面板-》管理工具-》DNS 启动DNS控制台。 2.在Server 上右击选择属性,然后单击＂转发器＂ 3.选择->新建->添加lcmcom4.local(添加你要信任的域的域名),单击确定。 4.从DNS域列表选择你刚添加的域名lcmcom4.local,并且在

在Windows Server 2003域中创建信任关系--理解DNS转发器

weixin_34198583的博客

11-25

271

在我的网络中，原来的Active Directory域名labs.yijiao，域控制器IP地址是172.30.5.3、172.30.5.15。因为这个Active Directory创建的比较早（2004年创建后一直使用），期间又做过很多实验，也跑着很多的应用，像SMS、SPS、LCS、Exchange、ISA、WSUS等，一直在测试和使用。另外，Windows 2003经过多次升级（从Wind...

如何在两个域中建立信任关系

热门推荐

wangxiaofei2006的专栏

10-09

1万+

如何在两个域中建立信任关系外部信任是不可传递的信任，用于对位于 Microsoft Windows NT 4.0 域或 Active Directory 域（这两种域都位于没有加入林信任的单独的林中）上的资源提供访问权限。不可传递的信任是一种信任关系，只限于在两个域中使用，可以是单向信任，也可以是双向信任。创建外部信任1. 单击“开始”，指向“管理工具”，然后单击“Acti

配置域从DNS服务器以及缓存DNS服务器

lingshengxiyou的博客

08-12

1245

配置一个域的从服务器一般是为了进行备份以及负载均衡使用，例如在生产环境中，我们给一个域配置的主DNS服务器崩溃了或者被恶意攻击了，那么这个时候如果没有配置从DNS服务器的话，我们的DNS服务器就不能提供DNS服务了，也就无法解析服务器上配置的域名了，或者说主服务器的访问量特别大，此时我们配置从服务器来达到负载均衡的效果，因此我们通常在配置了一个主DNS服务器以后，还需要为其配置多个从DNS服务器。我们看到，我们的域名都能正常的解析成功，说明我们的从DNS服务器的配置就成功了。......

windows_server_2012_创建域和域中的用户.pdf

05-06

下面我们将详细介绍如何创建域控服务器和在域中的用户。一、创建域控服务器 创建域控服务器需要添加 Active Directory 域服务和 DNS 服务器角色。首先，在服务器管理器中选择添加角色和功能，然后选择 Active ...

如何建立域信任关系

weixin_33736832的博客

08-15

1390

声明：本文转载自gnaw0725.blogbus.com，更新网址：http://gnaw0725.blog.51cto.com。 2个不同域, 如何建立信任关系, 是否需要修改那些设置? 请提供详细步骤. 另外, 完成后多长时间生效, 是否需要重启哪些服务? 回答：根据您的描述，我对您提出的问题的理解是：您想知道如何在两个不同域之间建立信任。如果两个域都是属于...

域信任

kepa520的博客

07-25

1572

这两天在讲域信任关系的东西特意把域信任概念和相关实验实验写出来和大家分享。在同一个域内，成员服务器根据Active Directory中的用户账号，可以很容易地把资源分配给域内的用户。但一个域的作用范围毕竟有限，有些企业会用到多个域，那么在多域环境下，我们该如何进行资源的跨域分配呢？也就是说，我们该如何把A域的资源分配给B域的用户呢？一般来说，我们有两种选择，一种是使用镜像账户。也就是说，我们可以

配置两个域之间的域信任，方便域下的SharePoint站点访问

weixin_30852367的博客

05-04

390

场景描述：企业存在很多如下现象，子公司里存在单独的域，而在集团公司里是总域，在子公司中员工里要访问集团公司域下的SharePoint站点，在访问时由于帐户没有在集团域里所以就没有办法访问了，这时可以通过域信任的机制来解决问题。 服务器1：机器名：portal OS：Windows Server 2008 R2 x64 域:lng.com (window...

Windows林环境的搭建和dns服务器的配置

weixin_45486362的博客

04-13

483

林环境的搭建前提条件： 1.网络可以ping通 2.DNS指向要注意 3.域名的命名规则父与子的关系： DNS指向父域配置DNS: 在正向查找区域中新建dns查询在dns管理器中对着正向查找区域右键新建区域 image 然后2个下一步后(这2个下一步没啥太多重要内容基本上默认选项就可以了而且那选项那写着很清楚就不明说了) 在区域名称里输入要解析的区域(一般输入根区域) ...

Windows活动目录系列---配置AD域服务的信任(2)

weixin_34062329的博客

12-01

584

下面对AD DS信任的一些高级配置进行介绍：在某些时候，信任会引起一些安全性的问题。如果你配置了不恰当的信任关系，那么一些不该拥有权限的用户将会有权限访问你的某些资源，这就给你的资源带来了安全性上的风险。为了解决这个问题，我们可以运用几种技术来帮助你管理控制信任的安全性。SID筛选当你建立一个林或者域的时候，会默认启用域隔离，这也被称作SID筛选。当一个用户在一个受信任的域中...

域and信任关系

weixin_46079471的博客

10-13

1468

域是安全边界,若无信任关系,域用户账户只能在本域内使用,信任关系是连接两个域的桥梁,使得域用户可以跨域使用.信任关系分为:可传递和不可传递如果A域和B域之间的信任是可传递的,B域和C域之间的信任也是可传递的,那么A域和C域之间则会自动创建信任关系.如果A域和B域之间的信任是不可传递的,或者B域和C域之间的信任是不可传递的,那么A域和C域之间不会自动创建了信任关系.

server2003-多域间林之间信任配置方法详解(附图）

weixin_34320724的博客

10-27

421

多域间林之间信任配置方法详解 -----冯刚 DATA：20091018 实验拓朴：实验环境描述： MICHAEL公司日常办使用的域是“michael.com.cn”(林1)，工程部最近做了一项工程，搭建一个域为“fung.com.cn”(林2)，此域存放了这次项目的工作文档，存储在一个共享文件夹“michael”中。供林1域中的工程部员工访问，如何...

不同林之间的信任关系

weixin_33691817的博客

01-12

464

不同林之间的信任关系1.在2003以后存在林信任,林信任是一种可传递得信任.2.外部信任不可传递分为外部和内部信任用A林和B林举例A林上设置内传则A林可以访问B林资源A林上设置外传则B林可以访问A林资源设置信任之前要使用 dns 转发器转发IP地址输入的IP地址是需要信任域的IP地址做完转发器用 ping命令去测试是否可以通根据自己需要,建立信任转载于:https:/...

DNS主从+Windows服务器配置

hdyebd的博客

11-22

9495

一、DNS理论知识 1.DNS服务器概念 DNS全称为Domain Name System，即域名系统，其作用就是将域名解析为IP地址。 2. DNS相关概念分层式管理结构。DNS利用树形目录结构，将主机名的管理分配给不同的层级，这样可以实现更加快速的完成主机名的查找，修改主机名解析时也更加方便。域： TLD：Top Level Domain （顶级域名）组织域：.com, .org, ....

实战详解域信任关系，Active Directory系列之十七

weixin_34242509的博客

07-13

740

实战详解域信任关系上篇博文中我们对域信任关系作了一下概述，本文中我们将通过一个实例为大家介绍如何创建域信任关系。拓扑如下图所示，当前网络中有两个域，一个域是ITET.COM，另一个域是HOMEWAY.COM。两个域内各有一个域控制器，分别是Florence和Firenze，我们让两个域使用了同一个DNS服务器。创建域信任关系要注意DNS服务器的设置，...

MSSQL安装部署中创建域用户和域用户服务器

最新发布

04-01

<think>好的，我现在需要帮用户解答关于在MSSQL安装部署中创建域用户和域用户服务器的问题。首先，我得回忆一下相关知识，确保信息准确。用户可能是在企业环境中部署SQL Server，需要加入域，使用域账户来运行服务，这样更安全，也便于管理。首先，应该分步骤说明创建域用户的流程。可能需要先确认AD环境是否就绪，比如域控制器是否已经存在。然后是在Active Directory用户和计算机中创建用户，设置密码，并确保密码永不过期，可能还需要添加到适当的组，比如SQLServerServices组，或者直接赋予必要的权限。接下来是域用户服务器的部分，这里可能指的是将服务器加入域，并配置SQL Server服务使用域账户。需要提醒用户将服务器加入域的步骤，比如修改计算机的域成员身份，重启等。然后是在安装SQL Server时选择使用域账户作为服务账户，或者安装后通过配置管理器修改服务账户。还要注意权限问题，域用户需要哪些具体权限，比如对数据库文件目录的访问权限，SQL Server实例的权限，可能包括锁定页、执行卷维护任务等高级权限，这些可以通过本地安全策略或组策略来分配。另外，要考虑可能出现的常见问题，比如域账户权限不足导致服务启动失败，或者DNS配置不正确导致无法加入域。需要提醒用户检查这些点，确保网络连通性，域控制器可访问，DNS设置正确。可能还需要提到安全最佳实践，比如最小权限原则，避免使用高权限账户，定期更换密码等。同时，如果在安装后更改服务账户，必须使用SQL Server配置管理器，而不是直接改服务属性，否则可能导致权限问题。需要确保步骤清晰，逻辑顺畅，用户能一步步跟随操作。同时，使用中文，避免术语混淆，必要时解释术语，比如域控制器、Active Directory等。最后，检查是否符合用户给的系统级指令，数学公式是否正确，但这个问题可能不涉及数学公式，所以可能不需要用到LaTeX，但还是要确保其他格式正确，比如步骤编号，代码块等。</think>在MSSQL安装部署中，创建域用户和配置域用户服务器是确保数据库服务安全运行的关键步骤。以下是具体操作流程： --- ### **一、创建域用户（需域管理员权限）** 1. **准备Active Directory环境** - 确认域控制器(Domain Controller)已正常运行 - 使用**服务器管理器**或**Active Directory用户和计算机**工具 2. **新建域用户** - 右键目标组织单位(OU) → 新建 → 用户 - 设置用户名（如`SQLSvcAccount`）和登录名（遵循命名规范如`sql_svc@contoso.com`） - 密码策略： ```plaintext 密码永不过期 ✅ 用户不能更改密码 ✅ ``` 3. **分配权限组** - 将用户加入`SQLServerServices`自定义组（或直接分配权限） - 建议遵循最小权限原则 --- ### **二、配置域用户服务器** 1. **将服务器加入域** - 打开服务器系统的`控制面板` → `系统` → `更改设置` - 在`计算机名`标签页点击`更改` → 选择`域`并输入域名（如`contoso.com`） - 重启服务器生效 2. **验证域连接** ```powershell Test-ComputerSecureChannel -Server 域控制器名称 -Repair ``` --- ### **三、MSSQL服务账户配置** 1. **安装时配置** - 在SQL Server安装向导的`服务器配置`步骤 - 将所有服务账户设置为`域用户账户`格式： ```plaintext 账户名：CONTOSO\SQLSvcAccount 密码：****** ``` 2. **安装后修改** - 使用`SQL Server配置管理器` - 右键服务 → `属性` → `登录`标签页修改账户 --- ### **四、关键权限配置** 1. **文件系统权限** - 授予域用户对以下路径的`完全控制`权限： ```plaintext SQL数据文件目录（如D:\SQLData） SQL日志文件目录 ``` 2. **Windows特权分配** - 通过`本地安全策略(gpedit.msc)`分配： ```plaintext 锁定内存页 (Lock Pages in Memory) 执行卷维护任务 (Perform Volume Maintenance Tasks) 以服务身份登录 (Log on as a service) ``` --- ### **五、验证与故障排查** 1. **基础验证** ```powershell # 检查服务运行身份 Get-WmiObject Win32_Service | Where-Object {$_.Name -like "*SQL*"} | Select Name, StartName ``` 2. **常见问题** - **错误1053**：检查密码策略和账户锁定状态 - **网络名称不存在**：确认DNS解析正常，能连通域控制器 - **权限拒绝**：验证文件系统权限和Windows特权分配 --- ### **最佳实践建议** 1. 为不同SQL服务（如Database Engine, Agent）使用独立域账户 2. 定期轮换密码并通过组策略管理 3. 通过组策略(GPO)统一分配权限通过以上步骤，可实现MSSQL服务在域环境中的安全、标准化部署。