在現實的業務場景中，有時為了更好的管理域用戶和服務。我們往往會創建多個分散式的域，每個域的Administrator專注于維護特定域中的用戶和資源，Administrator也可以定義安全策略，比如賬號策略等。

場景介紹

現有如下場景，一個二層拓撲的SharePoint Farm包含一臺SharePoint Server，DB Server，AD（假設Contoso.com） ，毫無疑問AD Contoso.com承載了SharePoint的身份認證。現需要再加入一臺AD（假設為Mintcode.Local），如下圖所示：

如上圖所示那樣，contoso.com與mintcode.local之間建立了單向（One-Way）的外傳信任關系，即Contoso.com信任Mintcode.Local。這樣Mintcode.local域中用戶能被Contoso.com域驗證，但Contoso.com域中用戶不能被mintcode.local域認證。

理清了業務場景后，接下來就是怎樣去實現了。

準備工作

回顧下上述的拓撲圖，有如下兩臺AD域服務器：

Contoso.com的IP 地址：192.168.123.14

Mintcode.local的IP 地址：192.168.16.7

好了，磨刀不誤砍柴工，讓我們開始實現吧，首先需準備如下工作——

• 域服務器之間必須有同樣的域功能級別（Domain Functional Level），因為承載了SharePoint 身份認證的域服務器已經是域控了，那么另一臺AD也必須提升域功能級別為域控。

打開Active Directory域和信任關系à選中Domainà提升域功能級別

• DNS或者NETBIOS能夠互相被解析，即 Ping 域名可以解析成對應的IP 地址或者nslookup域名也可以成功診斷DNS結構信息。要實現這個有3種方式——

1.DNS指向

設置IP地址，使其DNS指向目標服務器，如下所示：

記得刷新DNS解析緩存

2.建立條件轉發器

在Contoso.com DNS中新建條件轉發器，記得刷新

3.建立輔助區域

3.1.打開mintcode.local（192.168.16.7）DNS

3.2.選中mintcode.localà屬性à允許區域傳送à只允許到下列服務器

3.3.打開contoso.com（192.168.123.14）DNS

3.4.新建輔助區域

3.5.指定主服務器IP地址

上述3中實現方式，采用任意一種實現方式都行。不管怎樣實現，最總的目的都是相同的，能將域名解析成IP地址，如下所示：

建立域之間的信任關系

怎樣建立域之間的信任關系，One-Way、Two-Way，微軟給了詳細的操作步驟（http://technet.microsoft.com/zh-cn/library/cc816837(v=WS.10).aspx）。

按照上述的拓撲圖，需要Mintcode.local中的用戶能夠在Contoso.com域中認證，為此我需要建立一種One-Way的信任，即Contoso.com信任Mintcode.local。

有了上述的準備工作后，讓我們來實現One-Way Trust吧，當然你也可以Two-Way，只不過在我的場景中One-Way足矣了。

• 打開Active Directory域和信任關系à屬性à信任選項卡à新建信任

• 指定信任名稱

• 信任類型為外部信任

• 信任方向為單向：外傳，即指定域的用戶可以在這個域中得到身份驗證

• 確定下信任方

• 輸入mintcode.local的用戶名和密碼

• 選擇身份驗證范圍

• 成功創建信任關系

• 信任創建完畢

• 確認傳出信任

• 成功創建好了信任關系

• 創建成功后，在信任選項卡中已成功創建了外向信任mintcode.local

• 登陸mintcode.local（192.168.16.7），檢查下是否已經自動創建了內向信任（contoso.com）

自定義SharePoint PeoplePicker

結束了嗎，當然沒，可以做的更好，對人員選擇器進行搜索的定制，使其在指定的域中抓取人員信息。

在SharePoint Server上鍵入如下命令行：

微軟也給了很好的解釋，詳見http://technet.microsoft.com/en-us/library/gg602075(v=office.15).aspx

最后記得同步下User Profile Service，在Populate Containers把mintcode.local包含進來（怎樣配置UPS，這是個繁瑣的事，詳見后續文章）

小結

根據不同的場景，你可以選擇一個或者多個AD域服務器，優勢利弊，不做過多分析，根據實際的需求來即可。

?

轉載于:https://www.cnblogs.com/OceanEyes/p/how-to-set-domain-trust-in-sharepoint-farm.html

《新程序員》：云原生和全面數字化實踐50位技術專家共同創作，文字、視頻、音頻交互閱讀

總結

以上是生活随笔為你收集整理的SharePoint 2010、2013多个域之间互信（Domain Trust）的设计与实施的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。