任何一个网络中都可能存在两台甚至多台域控制器，对于企业网络更是如此，因此域和域之间的访问安全自然就成了主要问题。Windows Server 2008的活动目录为用户提供了信任关系功能，可以很好地解决这些问题。

1.信任关系

信任关系是两个域控制器之间实现资源互访的重要前提，任何一个Windows Server 2008域被加入到域目录树后，这个域都会自动信任父域，同时父域也会自动信任这个新域，而且这些信任关系具备双向传递性。由于这个信任关系的功能是通过Kerberos安全协议完成的，因此有时也被称为Kerberos信任。有时候信任关系并不是由加入域目录树或用户创建产生的，而是由彼此之间的传递得到的，这种信任关系也被称为隐含的信任关系。

2.创建信任关系

当网络中有多个不同的域，又想要让每个用户都可以自由访问网络中的每台服务器（不管用户是否属于这个域）时，域之间需要创建信任关系。在前面的章节中，已创建了一个cninfo.com域，主域计算机名为Win2008，TCP/IP地址为192.168.1.27，现在再创建一个information.com域，主域计算机名为Win2008-N，TCP/IP地址为192.168.1.32。

下面就以这两个域为例，介绍信任关系的创建。创建信任关系时，首先在计算机Win2008-N上进行操作，具体的操作步骤如下。

1）单击“开始”→“管理工具”→“Active Directory域和信任关系”，在主窗口中使用鼠标右键单击information.com域名，从弹出的菜单中选择“属性”，打开如图4-54所示“cninfo.com属性”对话框。单击“信任”标签，打开“信任”选项卡。由于当前域尚未与其他任何域建立信任关系，所以此时域列表为空。

2）单击“新建信任”按钮，打开“新建信任向导”对话框，单击“下一步”按钮，进入如图4-55所示“信任名称”界面，在“名称”文本框中输入要与之建立信任关系的NetBIOS名称或者DNS名称，本例为“cninfo.com”。

图4-54 “cninfo.com属性”对话框

图4-55 “信任名称”界面

3）单击“下一步”按钮，进入如图4-56所示“信任方向”界面，选择信任关系的方向，可以是“双向”、“单向：内传”、“单向：外传”。双向的信任关系实际上是由两个单向的信任关系组成的，因此也可以通过分别建立两个单向的信任关系来建立双向的信任关系。这里为了方便，选择“双向”单选按钮，然后单击“下一步”按钮。

4）如图4-57所示，由于信任关系要在一方建立传入，在另一方建立传出，为了方便，可以选择“此域和指定的域”单选按钮，同时创建传入和传出信任，然后单击“下一步”按钮，否则必须在cninfo.com域上重复以上的步骤。

(www.daowen.com)

图4-56 “信任方向”界面

图4-57 “信任方”界面

5）在如图4-58所示的界面中输入cninfo.com域中管理员的账户用户名和密码，单击“下一步”按钮。

6）在如图4-59所示的界面选择“是，确认传出信任”单选按钮，即确认information.com域信任cninfo.com域，单击“下一步”按钮。

图4-58 “用户名和密码”界面

图4-59 “确认传出信任”界面

7）在如图4-60所示的界面选择“是，确认传入信任”单选按钮，即确认cninfo.com域信任information.com域，单击“下一步”按钮，信任关系成功创建，如图4-61所示。此时在“受此域信任的域”和“信任此域的域”列表框中均可看到刚才创建的信任关系。

图4-60 “确信传入信任”界面

图4-61 新创建的信任关系