微软AD域控建立林之间的DNS条件转发器、域信任、时间同步，最终实现跨域 林之间相互通讯、文件共享等。

AD域控不同域名和不同林之间的条件转发器和域信任操作方法 最终实现不同域控之间通信和文件共享操作方案

检查时间同步：
检查时间 w32tm /query /status （两边时间误差 小于< 5分钟）
强制同步w32tm /resync （强制公司的域控（例如 192.168.1.250）立即和它的时间源同步）

建立AD域控之间的条件转发器方法及验证
步骤一：
添加条件转发器

在test DNS服务器上 新建DNS条件转发器：
步骤一：
1、点击DNS条件转发器-新建条件转发器
2、DNS域：填写对方域名（如域名：test.com）
主服务器ip地址：填写对方DNSiP地址（如：10.10.0.250（主域） 10.10.10.251（辅域））
勾选在AD中存储此条件转发器，并按如下方式复制他选择：此林中的所有DNS服务器（一定要勾选）

步骤二：清缓存（必须）
在CMD命令行执行一下命令清楚DNS缓存及重启DNS服务
1、ipconfig /flushdns
2、dnscmd /clearcache
3、net stop dns && net start dns

步骤三：验证（非常关键）Test.com为域名，验证其他域名更换即可。
1、nslookup test.com 验证“域名本身（根域）解析是否正常，验证是否显示对方名称及DNS服务器名称，如果出现外网地址证明有做外网域名解析一般网站使用 正常。
2、nslookup test.com 10.10.10.250 测试指定DNS域控信息解析
3、nslookup -type=SRV _ldap._tcp.dc._msdcs.test.com 验证 AD 是否能找到域控（DC发现机制），AD靠这个找到域控，这是最关键的一条命令，AD关键SRV记录 返回结果为对方域名信息。
4、nslookup iTs-ad.test.com 验证具体主机（DC）的A记录，确认域控IP是否正确，
返回结果为对方AD域控域名和ip信息。
5、 nltest /dsgetdc:test.com 验证“系统能不能真正找到并使用对方域控”，这是最终验证：系统级别是否真的能用对方域，测试域控制器发现的命令，验证 DNS 解析和网络连通性，检查信任状态。

建立不同AD域控之间的域信任方法（建立信任之前需要先做条件转发器）
1、点击AD域和信任关系-选择域控-点击属性-点击信任。
2、点击新建信任
3、输入对端域控域名（如Test.com）
4、信任类型：选择与一个windows域建立信任-下一步选择林信任
5、信任方向选择：双向
6、信任方选择：此域和指定的域
7、输入需要建立信任的域控管理员账号密码
8、传出信任身份验证级别--本地林选择：全林性身份验证（允许对端域控林中的所有用户自动访问本地域控林中的所有资源）
9、传出信任身份验证级别--指定林选择：全林身份验证
10、确认传出信任选择：是，确认传出信任。
11、确认传入信任选择：是，确认传入信任。 完成。
12、验证信任关系命令：nltest /domain_trusts （显示对方域控信息正常）
13、验证安全通道命令：nltest /sc_verify:test.com （test.com为对方域名，信任验证Status显示Success为正常）完成。