当一些区域被隔离起来的时候，如何build立一个单向的信任？

您只需要AD域名本身的DNSparsing，而不是区域中的特定区域或RR。 您需要将问题隔离到名称parsing问题（DNS）或通信问题（防火墙）。

build议的configuration不是使用主机文件，而是为对方域的DNS服务器中的每个域设置条件转发器（domainA中的DNS服务器A具有针对domainB的DNS服务器B的条件转发器）。

从每个域运行nslookup并查询其他域（domain.tld）。 Nslookup应该返回该域的DNS服务器的IPv4和IPv6 IP地址（这可能也是该域的域名服务器，除非你将DNSangular色从域名服务器中分离出来）。 如果nslookup工作，然后DNSparsing是好的，你应该看看防火墙作为可能的罪魁祸首。

你有点不清楚，但是区议会需要能够沟通才能有一个信任。 如果必须的话，build立一个VPN。

你还提到一些有关hosts文件的内容。 不要这样做，这是不好的。 改为使用有条件的DNS转发器到目标域。

您的防火墙将需要在每个林中的域控制器之间允许LDAP和DNS通信。 你至less需要1个，但是最好是2个。 您不需要为每个域控制器创build防火墙规则。

LDAP：389,636（SSL）LDAP全局编录查找：3268,3269（SSL）DNS：53

您还需要在每个域中设置条件转发器。 在林A中的DC / DNS服务器上，为林B创build一个条件转发器，指向林B中的1或2个DNS服务器。然后，在林B中，为林A创build一个指向1或2个DNS服务器的条件转发器森林A.

当我们的DC之间有类似DMZ的networking区域时，我们使用IPSEC连接。 我们这样做纯粹是为了使我们的通信团队的规则基础变得更小，更容易pipe理 – 一个端口比较多。

IPsec的好处在于，它允许所有发往彼此的stream量（不pipe源端口和types）被封装起来。

所以DNS，信任等相关的stream量都正常工作。