本文將逐步告訴您如何建立 Microsoft Windows NT 4.0 網域與 Windows Server
2003 網域之間的信任關係。
在 Windows Server 2003 環境中建立對 Windows NT 網域的信任時,會使用
Windows NT 信任模式。Windows NT 信任是「信任」網域與「受信任」網域之間的單向信任。例如,您 Windows Server 2003
網域的使用者想要存取 Windows NT 網域中所儲存的資源,便須建立信任關係,讓 Windows NT 網域信任來自 Windows Server
2003 網域的使用者。在這種情況下,Windows NT 網域就是信任網域,而 Windows Server 2003
網域則是受信任網域。
注意 您必須使用 NetBIOS 名稱解析啟用這兩個網域之間的信任關係。
如何建立信任關係
您可以對 Windows NT 網域與 Windows Server 2003 網域之間建立下列其中一種單向信任關係:
- Windows NT 信任 Windows Server 2003
- Windows Server 2003 信任 Windows NT
您也可以建立雙向信任關係,讓兩個網域彼此信任。
您必須使用系統管理員帳戶登入這兩個網域的網域控制站,才可建立信任關係。當您建立單向信任關係時,請先建立信任網域的信任,然後再建立受信任網域的信任。
Windows NT 信任 Windows Server 2003
如果要建立由 Windows NT 網域信任 Windows Server 2003 網域的信任關係:
- 在 Windows NT 主要網域控制站 (PDC) 上:
- 按一下 [開始],並依序指向 [程式集] 及 [系統管理工具],然後按一下 [網域使用者管理員]。
- 在 [原則] 功能表上,按一下 [信任關係]。
- 按一下對應於 [受信任的網域] 方塊的 [新增] 按鈕。[新增受信任的網域] 對話方塊會出現。
- 在 [網域] 方塊中,輸入 Windows Server 2003 網域名稱,但無需輸入網域名稱中的 .com 部分。例如,如果 Windows
Server 2003 網域名稱是 Example.com,便只要輸入 Example。
- 在 [密碼] 方塊中,輸入信任的密碼。
注意 在受信任網域的網域控制站及信任網域的網域控制站上,必須使用相同的信任密碼。 - 按一下 [確定]。下列訊息會隨即出現,其中 Windows Server 2003-based domain
name 是 Windows Server 2003 網域的名稱,而 Windows NT-based
domain name 則是 Windows NT 網域的名稱:
此時無法驗證信任關係。如發現未建立此關係,請連絡 Windows Server 2003-based domain
name 網域的系統管理員,以確認其信任網域清單中含有 Windows NT-based domain
name。
- 按一下 [確定]。請注意,Windows Server 2003 網域會列在 [受信任的網域] 清單中。
- 在 [信任關係] 對話方塊中,按一下 [關閉]。
- 在 Windows Server 2003 網域控制站上:
- 按一下 [開始],並指向 [系統管理工具],再按兩下 [Active Directory 網域及信任]。
- 在 Active Directory 網域及信任嵌入式管理單元中,用滑鼠右鍵按一下您要的網域,再按一下 [內容]。
- 按一下 [信任] 索引標籤,再按一下 [新增信任]。
- 新增信任精靈便會出現。按一下 [下一步],以繼續進行。
- 輸入此信任之 Windows NT 網域的 NetBIOS 名稱。例如,輸入
supplier01-int,然後按一下 [下一步]。
- 在 [信任方向] 視窗中,按一下 [單向:連入
在這個網域中的使用者可以在指定網域、樹系或領域中進行存取]。 - 按一下 [下一步],然後在 [信任密碼] 方塊中輸入您在 Windows NT 網域控制站上所使用的信任密碼。在
[確認信任密碼] 方塊中再次輸入密碼。
- 按一下 [下一步] 複查設定,再按一下 [下一步]。
- 這時會出現類似於下的訊息:
信任關係已成功建立。
指定的網域:supplier01-int
方向:
連入:本機網域的使用者可以在指定網域中進行驗證。
信任類型:外部
Windows
將驗證來自指定網域的使用者在本機網域的所有資源。
可轉移:否
信任方:只有為這個網域建立信任。
- 輸入指定網域中,具有系統管理員權限之帳戶的使用者名稱及密碼,然後按一下 [下一步]。這時會出現類似於下的訊息:
完成新增信任精靈
您已成功完成新增信任精靈。
變更狀態:
已成功建立及確認信任關係。
- 按一下 [完成] 關閉精靈,再按一下 [確定],以關閉網域內容對話方塊。
- 結束 [Active Directory 網域及信任]。
信任關係已成功建立。Windows NT 網域會信任來自 Windows Server 2003
網域的帳戶。但這是單向信任關係。Windows Server 2003 網域不會信任 Windows NT 網域的帳戶。
Windows Server 2003 信任 Windows NT
如果要建立 Windows Server 2003 網域會信任 Windows NT 網域的信任關係:
- 在 Windows Server 2003 網域控制站上:
- 按一下 [開始],並指向 [系統管理工具],再按兩下 [Active Directory 網域及信任]。
- 在 Active Directory 網域及信任嵌入式管理單元中,用滑鼠右鍵按一下您要的網域,再按一下 [內容]。
- 按一下 [信任] 索引標籤,再按一下 [新增信任]。
- 新增信任精靈便會出現。按一下 [下一步],以繼續進行。
- 輸入此信任之 Windows NT 網域的 NetBIOS 名稱。例如,輸入
supplier01-int,然後按一下 [下一步]。
- 在 [信任方向] 視窗中,按一下 [單向:連出
指定網域、樹系或領域中的使用者可以在這個網域中進行存取]。 - 按一下 [下一步],再按下列其中一項,以選取 Windows NT 網域使用者的驗證範圍:
- 允許驗證本機網域的所有資源
Windows
將驗證來自指定網域的使用者在本機網域的所有資源。當兩個網域皆屬於相同的組織時,最好使用此選項。 - 允許只驗證本機網域的選定資源
Windows
不會自動驗證來自指定網域的使用者在本機網域的所有資源。完成此精靈之後,請授與使用者每一部伺服器的存取權,以供指定網域中的使用者使用。當兩個網域屬於不同的組織時,最好使用此選項。
- 按一下 [下一步],然後在 [信任密碼]
方塊中輸入此信任的密碼。當您在指定網域中建立此信任關係時,必須使用相同的密碼。建立信任之後,Active Directory
會基於安全的考量而定期更新信任密碼。在 [確認信任密碼] 方塊中再次輸入密碼,然後按一下 [下一步]。?
- 複查設定,然後按一下 [下一步]。
- 這時會出現類似於下的訊息:
信任關係已成功建立。
指定的網域:supplier01-int
方向:
連出:指定網域的使用者可以在本機網域進行驗證。
信任類型:外部
Windows 將驗證來自指定網域的使用者在本機網域的所有資源。
可轉移:否
信任方:只有為這個網域建立信任。
- 按一下 [完成] 關閉精靈,再按一下 [確定],以關閉網域內容對話方塊。
- 結束 [Active Directory 網域及信任]。
- 在 Windows NT PDC 上:
- 按一下 [開始],並依序指向 [程式集] 及 [系統管理工具],然後按一下 [網域使用者管理員]。
- 在 [原則] 功能表上,按一下 [信任關係]。
- 按一下對應於 [受信任的網域] 方塊的 [新增] 按鈕。[新增受信任的網域] 對話方塊會出現。
- 在 [受信任網域] 方塊中,輸入 Windows Server 2003 網域名稱,但無需輸入網域名稱中的 .com 部分。例如,如果 Windows
Server 2003 網域名稱是 Example.com,便只要輸入 Example。
- 在 [初始密碼] 方塊中,輸入您在 Windows Server 2003 網域控制站上用於信任的密碼。
注意 在信任網域的網域控制站及受信任網域的網域控制站上,必須使用相同的信任密碼。 - 在 [確認密碼] 方塊中再次輸入密碼,並確認目前是以系統管理員身分登入 Windows NT 網域控制站與 Windows Server 2003
網域控制站,然後按一下 [確定]。Windows Server 2003 網域會列在 [受信任網域] 清單中。
- 在 [信任關係] 對話方塊中,按一下 [關閉]。
信任關係已成功建立。Windows Server 2003 網域會信任來自 Windows NT 網域的帳戶。
建立雙向信任關係
如果要建立雙向信任關係,讓兩個網域彼此信任:
- 在 Windows Server 2003 網域控制站上:
- 按一下 [開始],並指向 [系統管理工具],再按兩下 [Active Directory 網域及信任]。
- 在 Active Directory 網域及信任嵌入式管理單元中,用滑鼠右鍵按一下您要的網域,再按一下 [內容]。
- 按一下 [信任] 索引標籤,再按一下 [新增信任]。
- 新增信任精靈便會出現。按一下 [下一步],以繼續進行。
- 輸入此信任之 Windows NT 網域的 NetBIOS 名稱。例如,輸入
supplier01-int,然後按一下 [下一步]。
- 在 [信任方向] 視窗中,按一下 [雙向:
在這個網域中的使用者可以在指定的網域、樹系或領域中進行存取。在指定網域、樹系或領域中的使用者也可以在這個網域中進行存取]。 - 按一下 [下一步],再按下列其中一項,以選取 Windows NT 網域使用者的驗證範圍:
- 允許驗證本機網域的所有資源
Windows
將驗證來自指定網域的使用者在本機網域的所有資源。當兩個網域皆屬於相同的組織時,最好使用此選項。 - 允許只驗證本機網域的選定資源
Windows
不會自動驗證來自指定網域的使用者在本機網域的所有資源。完成此精靈之後,請授與使用者每一部伺服器的存取權,以供指定網域中的使用者使用。當兩個網域屬於不同的組織時,最好使用此選項。
- 按一下 [下一步],然後在 [信任密碼]
方塊中輸入此信任的密碼。當您在指定網域中建立此信任關係時,必須使用相同的密碼。建立信任之後,Active Directory
會基於安全的考量而定期更新信任密碼。在 [確認信任密碼] 方塊中再次輸入密碼,然後按一下 [下一步]。
- 複查設定,然後按一下 [下一步]。
- 這時會出現類似於下的訊息:
信任關係已成功建立。
指定的網域:supplier01-int
方向:
雙向:本機網域的使用者可以在指定網域進行驗證,且指定網域的使用者也可以在本機網域進行驗證。
信任類型:外部
Windows
將驗證來自指定網域的使用者在本機網域的所有資源。
可轉移:否
信任方:只有為這個網域建立信任。
- 按一下 [下一步],再按一下 [是,確認連出信任]。
- 按一下
[是,我要確認連入信任],並輸入指定網域中,具有系統管理員權限之帳戶的使用者名稱及密碼,然後按一下 [下一步]。這時會出現類似於下的訊息:
完成新增信任精靈
您已成功完成新增信任精靈,但會因為下列因素而無法確認這個新建的信任關係:
連入信任驗證因發生下列錯誤而失敗:
目標系統
supplier01-int 不支援 NetLogon 信任密碼驗證。
將嘗試重設安全性通道。
安全性通道重設失敗,錯誤 1355:指定的網域可能不存在或無法連線。
連出信任驗證因發生下列錯誤而失敗:
信任密碼驗證失敗,錯誤 1787:伺服器上的安全性資料庫不具備此工作站信任關係的電腦帳戶。
將嘗試重設安全性通道。
安全性通道重設失敗,錯誤 1787:伺服器上的安全性資料庫不具備此工作站信任關係的電腦帳戶。
此外,還須在其他網域建立此信任,其才能夠正常運作。請確定兩個網域皆是使用相同的信任密碼。
- 按一下 [完成] 關閉精靈,再按一下 [確定],以關閉網域內容對話方塊。
- 結束 [Active Directory 網域及信任]。
- 在 Windows NT PDC 上:
- 按一下 [開始],並依序指向 [程式集] 及 [系統管理工具],然後按一下 [網域使用者管理員]。
- 在 [原則] 功能表上,按一下 [信任關係]。
- 按一下對應於 [受信任的網域] 方塊的 [新增] 按鈕。[新增受信任的網域] 對話方塊會出現。
- 在 [網域] 方塊中,輸入 Windows Server 2003 網域名稱,但無需輸入網域名稱中的 .com 部分。例如,如果 Windows
Server 2003 網域名稱是 Example.com,便只要輸入 Example。
- 在 [密碼] 方塊中,輸入信任的密碼。
注意 在受信任網域的網域控制站及信任網域的網域控制站上,必須使用相同的信任密碼。 - 按一下 [確定]。請注意,Windows Server 2003 網域會列在 [受信任的網域] 清單中。
- 按一下對應於 [受信任的網域] 方塊的 [新增] 按鈕。[新增受信任的網域] 對話方塊會出現。
- 在 [受信任網域] 方塊中,輸入 Windows Server 2003 網域名稱,但無需輸入網域名稱中的 .com 部分。
- 在 [密碼] 方塊中,輸入您在 Windows Server 2003 網域控制站上用於信任的密碼,然後按一下 [確定]。Windows Server 2003 網域會列在 [受信任網域] 清單中。
- 在 [信任關係] 對話方塊中,按一下 [關閉]。
如此即完成雙向信任的建立。Windows NT 網域會信任來自 Windows Server 2003 網域的帳戶,而
Windows Server 2003 網域亦會信任來自 Windows NT 網域的帳戶。驗證信任
如果要驗證信任關係的運作正常與否,請在 Windows Server 2003 網域控制站上依照下列步驟執行:
- 按一下 [開始],並依序指向 [所有程式] 及 [系統管理工具],然後按一下 [Active Directory 網域及信任]。
- 在主控台樹狀目錄中,用滑鼠右鍵按一下內含您要驗證信任的網域,再按一下 [內容]。
- 按一下 [信任] 索引標籤,然後在 [被這個網域所信任的網域 (連出信任)] 或
[信任這個網域的網域 (連入信任)] 下,按一下您要驗證的信任,再按 [內容]。
- 按一下 [確認]。
疑難排解
嘗試在網域之間建立信任時,可能會收到下列錯誤訊息:
導致這個錯誤訊息的可能原因如下:
- 網路問題
請確定兩部電腦皆是使用 TCP/IP,且您可以使用 Ping.exe
一類的網路公用程式連線到其他電腦。 - 名稱解析問題
請確定 Windows NT 網域控制站可以解析 Windows Server 2003
網域控制站的主機名稱,且 Windows Server 2003 網域控制站亦可解析 Windows NT 網域控制站的 NetBIOS 名稱。您如果無法解析
NetBIOS 和主機名稱,請在每一部網域控制站的 Lmhosts 檔案中建立指定其他控制站位置的項目。
如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:102725?
(http://support.microsoft.com/kb/102725/
)
LMHOSTS File Information and Predefined Keywords
- 信任問題
在執行原始發行版本之 Windows Server 2003 的電腦上,可能須將
RestrictAnonymous
登錄子機碼的值設定為 0 才可建立信任。
如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft
知識庫」中的文件:246261?
(http://support.microsoft.com/kb/246261/
)
如何使用 Windows 2000 中的 RestrictAnonymous 登錄值
在執行 Windows Server 2003 Service Pack 1 (SP1)
的電腦上,可能須將 RestrictAnonymous
登錄子機碼的值設定為 0,並將
RestrictNullSessAccess
登錄子機碼的值設定為 FALSE 才可建立信任。
如果要將 RestrictNullSessAccess
登錄子機碼的值設定為
FALSE,請依照下列步驟執行:
- 依序按一下 [開始] 與 [執行],再輸入
regedit,然後按一下 [確定],以開啟 [登錄編輯程式]。
- 找出下列登錄子機碼:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
- 用滑鼠右鍵按一下該登錄子機碼,並指向 [新增],然後按一下
[DWORD 值]。
- 輸入 RestrictNullSessAccess,然後按下
ENTER。
- 按兩下
RestrictNullSessAccess
,並在
[數值資料] 方塊中輸入 0,然後按一下
[確定]。 - 結束 [登錄編輯程式]。
- 重新啟動電腦。
如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
139410?
(http://support.microsoft.com/kb/139410/
)
Err Msg: There are Currently No Logon Servers Available...
175025?
(http://support.microsoft.com/kb/175025/
)
How to Build and Reset a Trust Relationship from a Command Line
255551?
(http://support.microsoft.com/kb/255551/
)
Cannot Set Up Trust in Window 2000 Domain from Windows NT 4.0
Windows Live
Facebook
Twitter
Linkedin
Digg it
Yahoo
Delicious
StumbleUpon
Yammer
Reddit
Technorati
FriendFeed
Email
回此頁最上方
