配置两个域之间的域信任，方便域下的SharePoint站点访问

zycchen

场景描述：　　
　　企业存在很多如下现象，子公司里存在单独的域，而在集团公司里是总域， 在子公司中员工里要访问集团公司域下的SharePoint站点，在访问时由于帐户没有在集团域里所以就没有办法访问了，这时可以通过域信任的机制来解决问题。
　　
　　服务器1：
　　
　　机器名：portal
　　OS：Windows Server 2008 R2 x64
　　域:lng.com (windows server 2008 r2)
　　ip:192.168.0.150
　　SharePoint: SharePoint 2010
　　
　　服务器2：
　　
　　机器名：petrochina
　　OS: Windows Server 2003 sp2 x32
　　域：cnpc.com (Windows Server 2003)
　　ip:192.168.0.152
　　SharePoint: SharePoint 2007
　　
　　lng.com域里的用户可以在cnpc.com域中得到身份验证，而反过来则不行，是单向的
　　
　　一、配置过程：
　　
　　1、保证两台不同林域的服务器是互相能ping通的
　　
　　2、在portal服务器上，创建cnpc.com域的辅助区域
　　
　　打开DNS-->在正向查找区域-->右键新建区域-->按提示在区域类型处时选择“辅助区域”-->区域名称处输入“cnpc.com”-->在主DNS服务器处输入petrochina服务器的IP地址-->下一步
　　
　　3、在petrochina服务上，创建lng.com域的辅助区域
　　
　　打开DNS-->在正向查找区域-->右键新建区域-->按提示在区域类型处时选择“辅助区域”-->区域名称处输入“lng.com”-->在主DNS服务器处输入portal服务器的IP地址-->下一步
　　
　　4、各配置完DNS后，这时域之间就是可以互通解析的
　　
　　5、配置portal服务器上域信任
　　
　　打开“Active Directory域和信任关系”-->选择lng.com右击属性--信任-->新建信任-->在信任名称处输入cnpc.com，在信任方向处选择“单向，内传”，在最后“确认传出信任”处时选择“否，不要确认传出信任”，下一步
　　
　　6、配置petrochina服务器上域信息
　　
　　打开“Active Directory域和信任关系”-->选择lng.com右击属性--信任-->新建信任-->在信任名称处输入lng.com，在信任方向处选择“单向，外传”，在最后“确认传出信任”处时选择“是，确认传出信任”，下一步
　　
　　完成如上几步后就配置好域信任了
　　
　　二、验证域信任
　　
　　由于前面的域信任场景是lng.com域里的用户可以在cnpc.com域中得到身份验证，而反过来则不行，是单向的，所以在cnpc.com域所在的petrochina服务器上验证
　　
　　在服务器上随便找个文件-->属性-->安全-->添加用户-->位置，可以看到多了个lng.com域-->选择lng.com域位置-->高级-->立即查找，这时可以将lng.com域中用户查找出来，这时就表示域信任成功了
　　
　　三、域信任-SharePoint之间访问验证
　　
　　在portal服务器上访问在petrochina服务器上的moss2007，默认情况下是用lng.com域用户是登录不了的，由于做了域信任这时就可以访问了且显示的登录用户也是lng.com域用户信息
　　
　　验证过程：
　　
　　1、打开petrochina服务器上的Moss2007站点，打开“人员和组”添加lng.com域中用户并赋予权限
　　
　　2、在portal服务器上访问moss2007站点时，这时用lng.com域用户就可以访问了