Windows域信任关系建立全攻略

操作环境：windows 2000的两个独立域AA.com与BB.com（域已经建立好了）。
　　　　　 AA.com的网段为192.168.0.x，AA.com域治理服务器所在的IP为192.168.0.1，机器名为aa。
　　　　　 BB.com的网段为192.168.3.x，BB.com域治理服务器所在的IP为192.168.3.1，机器名为bb。
　　　　　两个域用VPN建立好连接，可互相ping通。
操作目的：建立互相信任的关系（单向信任关系也可参考，基本相同）。

操作过程：

1、建立DNS。DNS必须使用服务器的，而不能使用公网的，因为要对域进行解析。由于在AA.com和BB.com上的步骤相同，故只以AA.com为例。
在192.168.0.1上打开治理工具->DNS->连接到计算机->这台计算机（做为小公司，一般域服务器也用于DNS的解析）。在其正向搜索区域里新建区域->Active Directory集成的区域，输入aa.com，区域文件就叫aa.com.dns好了，然后完成。
右击新建的aa.com，选择属性->常规，把答应动态更新改变为是。
然后在正向搜索区域里新建区域->标准辅助区域，输入bb.com，IP地址输入192.168.3.1，然后完成。
右击新建的bb.com，选择从主服务器传输。
在反向搜索区域里新建区域->Directory集成的区域，输入网络ID192.168.0，然后完成。
右击新建的192.168.0.x Subnet，选择属性->常规，把答应动态更新改变为是。
现在aa.com的DNS已经建立好了，bb.com的也按此建立。
在192.168.0.1上进行测试，注重：DNS的传输可能需要一定的时间，最好在半个小时到一个小时后进行测试。
（1）测试域名解析：ping aa.com
正常的为　

Pinging aa.com [192.168.0.1] with 32 bytes of data:

Reply from 192.168.0.1: bytes=32 time<1ms TTL=64
Reply from 192.168.0.1: bytes=32 time<1ms TTL=64
Reply from 192.168.0.1: bytes=32 time<1ms TTL=64
Reply from 192.168.0.1: bytes=32 time<1ms TTL=64
Ping statistics for 192.168.0.1:

　 Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

　 Minimum = 0ms, Maximum = 0ms, Average = 0ms

这说明aa.com域已经解析好，假如ping bb.com也能得到类似的响应，说明bb.com的解析也完成。

　（2）测试反向搜索：nslookup 192.168.0.1

正常的为
Server:　 aa.aa.com
Address:　 192.168.0.1

Name:　　 aa.aa.com
Address:　 192.168.0.1

假如在bb.com的域服务器上也测试成功，则可以建立域信任关系了。

2、建立域信任关系
在aa机器上治理工具->Active Directory 域和信任关系里可以看到自己的域aa.com，在它上面属性->信任里，受此域信任的域和信任此域的域里添加bb.com。

现在就大功告成了。

注重：假如服务器里有两块网卡，其中有一块不用的，最好将此网卡禁用了。
假如有做它用，请用route -p来明确路由方向。