Windows域信任关系建立

操作环境：windows 2000的两个独立域AA.com与BB.com（域已经建立好了）。
AA.com的网段为192.168.0.x，AA.com域管理服务器所在的IP为192.168.0.1，机器名为aa。
BB.com的网段为192.168.3.x，BB.com域管理服务器所在的IP为192.168.3.1，机器名为bb。
两个域用VPN建立好连接，可互相ping通。
操作目的：建立互相信任的关系（单向信任关系也可参考，基本相同）。

操作过程：

1、建立DNS。DNS必须使用服务器的，而不能使用公网的，因为要对域进行解析。由于在AA.com和BB.com上的步骤相同，故只以AA.com为例。
在192.168.0.1上打开管理工具-> DNS-> 连接到计算机-> 这台计算机（做为小公司，一般域服务器也用于DNS的解析）。在其正向搜索区域里新建区域-> Active Directory集成的区域，输入aa.com，区域文件就叫aa.com.dns好了，然后完成。
右击新建的aa.com，选择属性-> 常规，把允许动态更新改变为是。
然后在正向搜索区域里新建区域-> 标准辅助区域，输入bb.com，IP地址输入192.168.3.1，然后完成。
右击新建的bb.com，选择从主服务器传输。
在反向搜索区域里新建区域-> Directory集成的区域，输入网络ID192.168.0，然后完成。
右击新建的192.168.0.x Subnet，选择属性-> 常规，把允许动态更新改变为是。
现在aa.com的DNS已经建立好了，bb.com的也按此建立。
在192.168.0.1上进行测试，注意：DNS的传输可能需要一定的时间，最好在半个小时到一个小时后进行测试。
（1）测试域名解析：

ping aa.com 能够得到响应，确认aa.com域已经解析好，如果ping bb.com也能得到响应，说明bb.com的解析也完成。

（2）测试反向搜索：

nslookup 192.168.0.1，如果在bb.com的域服务器上也测试成功，则可以建立域信任关系了。

2、建立域信任关系
在aa机器上管理工具-> Active Directory 域和信任关系里可以看到自己的域aa.com，在它上面属性-> 信任里，受此域信任的域和信任此域的域里添加bb.com。

注意：如果服务器里有两块网卡，其中有一块不用的，最好将此网卡禁用了。
如果有做它用，请用route add -p来明确路由方向。