配置两个域之间的域信任，方便域下的SharePoint站点访问

 场景描述：

 

企业存在很多如下现象，子公司里存在单独的域，而在集团公司里是总域， 在子公司中员工里要访问集团公司域下的SharePoint站点，在访问时由于帐户没有在集团域里所以就没有办法访问了，这时可以通过域信任的机制来解决问题。

 

服务器1：

 

机器名：portal

OS：Windows Server 2008 R2 x64

域:lng.com (windows server 2008 r2)

ip:192.168.0.150

SharePoint: SharePoint 2010

 

服务器2：

 

机器名：petrochina

OS: Windows Server 2003 sp2 x32

域：cnpc.com (Windows Server 2003)

ip:192.168.0.152

SharePoint: SharePoint 2007

 

lng.com域里的用户可以在cnpc.com域中得到身份验证，而反过来则不行，是单向的

 

一、配置过程：

 

1、保证两台不同林域的服务器是互相能ping通的

 

2、在portal服务器上，创建cnpc.com域的辅助区域

 

打开DNS-->在正向查找区域-->右键新建区域-->按提示在区域类型处时选择“辅助区域”-->区域名称处输入“cnpc.com”-->在主DNS服务器处输入petrochina服务器的IP地址-->下一步

 

3、在petrochina服务上，创建lng.com域的辅助区域

 

打开DNS-->在正向查找区域-->右键新建区域-->按提示在区域类型处时选择“辅助区域”-->区域名称处输入“lng.com”-->在主DNS服务器处输入portal服务器的IP地址-->下一步

 

4、各配置完DNS后，这时域之间就是可以互通解析的

 

5、配置portal服务器上域信任

 

打开“Active Directory域和信任关系”-->选择lng.com右击属性--信任-->新建信任-->在信任名称处输入cnpc.com，在信任方向处选择“单向，内传”，在最后“确认传出信任”处时选择“否，不要确认传出信任”，下一步

 

6、配置petrochina服务器上域信息

 

打开“Active Directory域和信任关系”-->选择lng.com右击属性--信任-->新建信任-->在信任名称处输入lng.com，在信任方向处选择“单向，外传”，在最后“确认传出信任”处时选择“是，确认传出信任”，下一步

 

完成如上几步后就配置好域信任了

 

二、验证域信任

 

由于前面的域信任场景是lng.com域里的用户可以在cnpc.com域中得到身份验证，而反过来则不行，是单向的，所以在cnpc.com域所在的petrochina服务器上验证

 

在服务器上随便找个文件-->属性-->安全-->添加用户-->位置，可以看到多了个lng.com域-->选择lng.com域位置-->高级-->立即查找，这时可以将lng.com域中用户查找出来，这时就表示域信任成功了

 

三、域信任-SharePoint之间访问验证

 

在portal服务器上访问在petrochina服务器上的moss2007，默认情况下是用lng.com域用户是登录不了的，由于做了域信任这时就可以访问了且显示的登录用户也是lng.com域用户信息

 

验证过程：

 

1、打开petrochina服务器上的Moss2007站点，打开“人员和组”添加lng.com域中用户并赋予权限

 

2、在portal服务器上访问moss2007站点时，这时用lng.com域用户就可以访问了