AD域控不同域名和不同林之间的条件转发器和域信任操作方法 最终实现不同域控之间通信和文件共享操作方案检查时间同步检查时间 w32tm /query /status 两边时间误差 小于 5分钟强制同步w32tm /resync 强制公司的域控例如 192.168.1.250立即和它的时间源同步建立AD域控之间的条件转发器方法及验证步骤一添加条件转发器在test DNS服务器上 新建DNS条件转发器步骤一1、点击DNS条件转发器-新建条件转发器2、DNS域填写对方域名如域名test.com主服务器ip地址填写对方DNSiP地址如10.10.0.250主域 10.10.10.251辅域勾选在AD中存储此条件转发器并按如下方式复制他选择此林中的所有DNS服务器一定要勾选步骤二清缓存必须在CMD命令行执行一下命令清楚DNS缓存及重启DNS服务1、ipconfig /flushdns2、dnscmd /clearcache3、net stop dns net start dns步骤三验证非常关键Test.com为域名验证其他域名更换即可。1、nslookup test.com 验证“域名本身根域解析是否正常验证是否显示对方名称及DNS服务器名称如果出现外网地址证明有做外网域名解析一般网站使用 正常。2、nslookup test.com 10.10.10.250 测试指定DNS域控信息解析3、nslookup -typeSRV _ldap._tcp.dc._msdcs.test.com 验证 AD 是否能找到域控DC发现机制AD靠这个找到域控这是最关键的一条命令AD关键SRV记录 返回结果为对方域名信息。4、nslookup iTs-ad.test.com 验证具体主机DC的A记录确认域控IP是否正确返回结果为对方AD域控域名和ip信息。5、 nltest /dsgetdc:test.com 验证“系统能不能真正找到并使用对方域控”这是最终验证系统级别是否真的能用对方域测试域控制器发现的命令验证 DNS 解析和网络连通性检查信任状态。建立不同AD域控之间的域信任方法建立信任之前需要先做条件转发器1、点击AD域和信任关系-选择域控-点击属性-点击信任。2、点击新建信任3、输入对端域控域名如Test.com4、信任类型选择与一个windows域建立信任-下一步选择林信任5、信任方向选择双向6、信任方选择此域和指定的域7、输入需要建立信任的域控管理员账号密码8、传出信任身份验证级别--本地林选择全林性身份验证允许对端域控林中的所有用户自动访问本地域控林中的所有资源9、传出信任身份验证级别--指定林选择全林身份验证10、确认传出信任选择是确认传出信任。11、确认传入信任选择是确认传入信任。 完成。12、验证信任关系命令nltest /domain_trusts 显示对方域控信息正常13、验证安全通道命令nltest /sc_verify:test.com test.com为对方域名信任验证Status显示Success为正常完成。