在本实验中，将用到三台虚拟机。相关设置如下图：

其中域控制器DCSRV上安装了根CA；计算机ROUTER有两块网卡，充当路由器。

部署过程：

1、在计算机Router上安装“路由和远程访问服务“，确认此计算机具备路由器功能。

即服务器DCSRV和DCSRVB能互相PING通。（设置过程略）

2、确保DCSRV和DCSRVB能相互解析。我们可以通过“转发器”或者建立辅助区域来完成。

以下是通过建立辅助区域来完成，分别在两个森的DNS建立另外一个林的辅助区域。

下图是在DCSRV上建立辅助域Hbyc.net过程。

设置Hbsycsrsj.com区域传送到Hbyc.net的DNS服务器。

设置Hbyc.Net区域传送到Hbsycsrsj.Com的DNS服务器

3、建立森信任关系。

在DCSRV打开”活动目录域和信任关系“，右击”Hbsycsrsj.COM”,选择”属性“、”信任“、”新建

信任“。过程如下图

4、在DCSRV上运行

certutil -setreg Policy\EditFlags +EDITF_ENABLELDAPREFERRALS  启用Ldap引用。

运行Net Stop CertSVC && Net Start CertSvc重启CA服务

见Windows 2008 R2之三十六ADCS实现跨森林注册（二）

本文转自ycrsjxy51CTO博客，原文链接：http://blog.51cto.com/ycrsjxy/1039811，如需转载请自行联系原作者