如何删除林内不必要的信任

在功能级别是2003的林内，信任关系是不用手工建立的，而且信任关系还是双向可传递的并且不能删除，对于多域的公司给管理员省了不少事，设想一下如果林内的某个域的DC（非根域）发生了物理故障并且没有备份可以用来恢复，如可手工删掉它与其他域的信任关系呢？今天就模拟这个场景来设计一个试验，试验场景如下：

假设子域域控制器Berlin发生了物理故障，我们在FLORENCE上手工删掉与Berlin的信任关系，试验过程中我们需要几个工具，在windows2003安装光盘SUPPORT\TOOLS\目录下的supportools.msi，这里面有许多工具我们只需要用其中的几个。 试验环境搭建好了，默认情况下父域与子域之间的信任是双向可传递的，而且关系是不能直接删除



接下来我们就用这条命令来查看域之间的信任关系

域刚搭建好的时候用这条命令查看父域是不信任子域的状态是UNTRUSTED，等一会儿就好了。 接下来我们假设Berlin这台域控制器坏掉了，我们用netdom命令删除父域与子域之间的信任关系，先来看一下这条命令的格式

Trusting_domain_name 应该是子域的域名, /domain: 是固定的 trusted_domain_name 应该是父域的域名, /remove 删除，/force 强制

执行一下，没有成功，提示我们这是一个父域与子域的信任，不能删除，明显当运行这条命令的时候它会去联系子域的域控制器，如果存在关系不能删除

这一次我让Berlin离线，在执行一遍，敲完ENTER后大概有几秒钟的等待，它还会去找子域的DC，在这个过程中抓包可以看出来

询问192.168.20.2还Keep-Alive 吗？接下来又发出几个广播包 重新使用这条命令点击是

信任关系删除了

接下来手工删掉默认站点中的Berlin，

在DC上重新启动Net Logon 服务，这样dns中有关子域的记录会消失（只剩下A记录了），手工删除它就可以了

本文出自 “Fight For Free & Union” 博客，请务必保留此出处http://renpeng.blog.51cto.com/623897/156464