可以使用 Active Directory 域和信任关系管理单元查看和修改名称后缀的路由状态。

名称后缀路由是一种机制,可以用于管理如何在相互具有林信任关系的 Windows Server 2008 或 Windows Server 2008 R2 林之间路由身份验证请求。为了简化对身份验证请求的管理,默认情况下,创建林信任时将路由所有唯一的名称后缀。唯一名称后缀是林中的名称后缀,例如,用户主体名称 (UPN) 后缀、服务主体名称 (SPN) 后缀或不从属于任何其他名称后缀的域名称系统 (DNS) 林或域树名称。

Domain AdminsEnterprise Admins 中的成员身份或等效身份是完成此过程所需的最低要求。 查看有关使用适当帐户和组成员关系的详细信息,请访问 https://go.microsoft.com/fwlink/?LinkId=83477(可能为英文链接)。

更改名称后缀的路由状态的步骤
  1. 打开“Active Directory 域和信任关系”。若要打开“Active Directory 域和信任关系”,请依次单击“开始”“管理工具”“Active Directory 域和信任关系”

  2. 在控制台树中,右键单击要管理的域的域节点,然后单击“属性”

  3. “信任”选项卡的“受此域信任的域(外向信任)”“信任此域的域(内向信任)”下,单击要管理的林信任,然后单击“属性”

  4. “名称后缀路由”选项卡的“x.x 林中的名称后缀”下,单击要修改路由状态的后缀,然后单击“编辑”

  5. “x.x 中现有名称后缀”中,单击要修改的后缀,然后单击“启用”“禁用”

其他注意事项

  • 若要执行此过程,您必须是 Active Directory 域服务 (AD DS) 中 Domain Admins 组或 Enterprise Admins 组的成员,或者您必须被委派了适当的权限。如果计算机已加入某个域,则 Domain Admins 组的成员可能会执行该过程。作为安全性最佳操作,请考虑使用“运行身份”来执行此过程。有关详细信息,请在“帮助和支持”中搜索“使用运行身份”。

  • 无法启用具有冲突的名称后缀。如果与本地 UPN 名称后缀发生冲突,则必须删除本地 UPN 名称后缀才能启用路由名称。如果由另一个信任合作伙伴声明的名称发生冲突,您必须在其他信任中禁用此名称才能为此信任启用此名称。

  • 若要查看名称后缀、DNS 名称、NetBIOS 名称以及与此信任相关联的状态的日志,请单击“另存为”。此日志可以帮助您对身份验证的问题进行疑难解答。

其他参考