可以使用 Active Directory 域和信任关系管理单元排除名称后缀,避免将其路由到本地林。
名称后缀路由是一种机制,可以用于管理如何在相互具有林信任关系的 Windows Server 2008 或 Windows Server 2008 R2 林之间路由身份验证请求。为了简化对身份验证请求的管理,默认情况下,创建林信任时将路由所有唯一的名称后缀。唯一名称后缀是林中的名称后缀,例如,用户主体名称 (UPN) 后缀、服务主体名称 (SPN) 后缀或不从属于任何其他名称后缀的域名称系统 (DNS) 林或域树名称。
Domain Admins 或 Enterprise Admins 中的成员身份或等效身份是完成此过程所需的最低要求。 查看有关使用适当帐户和组成员关系的详细信息,请访问
避免将名称后缀路由到本地林的步骤 |
打开“Active Directory 域和信任关系”。若要打开“Active Directory 域和信任关系”,请依次单击“开始”、“管理工具”和“Active Directory 域和信任关系”。
在控制台树中,右键单击要管理的域的域节点,然后单击“属性”。
在“信任”选项卡的“受此域信任的域(外向信任)”或“信任此域的域(内向信任)”下,单击要管理的林信任,然后单击“属性”。
单击“名称后缀路由”选项卡。在“x.x. 林中的名称后缀”下,单击要排除路由状态的唯一名称后缀,然后单击“编辑”。
在“不路由到 x.x 的名称后缀”中,单击“添加”,键入从属于唯一名称后缀的 DNS 名称后缀,然后单击“确定”。
其他注意事项
-
若要执行此过程,您必须是 Active Directory 域服务 (AD DS) 中 Domain Admins 组或 Enterprise Admins 组的成员,或者您必须被委派了适当的权限。作为安全性最佳操作,请考虑使用“运行身份”来执行此过程。有关详细信息,请在“帮助和支持”中搜索“使用运行身份”。
-
排除名称后缀时,DNS 名称的所有子名称也将被排除。
-
若要查看名称后缀、DNS 名称、NetBIOS 名称以及与此信任相关联的状态的日志,请单击“另存为”。此日志可以帮助您对身份验证的问题进行疑难解答。