建立可傳遞的林信任，Active Directory系列之二十

建立可傳遞的林信任

         在實戰詳解域信任關係中，咱們介紹瞭如何創在兩個域之間建立域信任關係。實戰的結果是咱們在itet.com和homeway.com之間成功建立了信任關係，達到了預期目的。但咱們打開域控制器上的Active Directory域和信任工具，能夠從下圖中發現，itet.com和homeway.com之間的信任關係是不可傳遞的！這個要引發咱們的關注。

 

         若是域之間的信任關係是能夠傳遞的，那咱們就能夠推論只要A信任B，B信任C，那麼A必然信任C。可是域信任關係若是是不可傳遞的，那就會致使A和C之間沒有任何信任關係，必須手工建立A和C之間的信任關係。顯然，在多域的條件下，若是域的數量較多，信任關係的不可傳遞會給咱們帶來不少效率上的麻煩。例如咱們能夠計算一下，若是有20個域，每兩個域之間都要建立雙向信任關係，那咱們就至少要建立20*19/2=190次信任關係，這顯然也太囉嗦了！

         微軟對域信任關係的不可傳遞也給出了相應的解決方法，從Win2000開始，微軟推出了域樹和域林的概念。凡是在同一域樹內的域，都會自動建立出雙向可傳遞的信任關係。同一個域林內的域，也會自動建立雙向可傳遞的信任關係。當微軟發佈Win2003時，微軟又推出了林信任的概念，也就是說能夠在兩個林之間建立可傳遞的信任關係，把可傳遞的信任關係從一個林推廣到了多個林。

         咱們看到這兒時，要回憶一下實戰詳解域信任關係這篇文章中的拓撲圖。拓撲以下圖所示，咱們會突然意識到itet.com和homeway.com就是分別在一個單獨的域林內，他們之間是域林間的關係，那咱們爲何不能在這兩個域之間建立可傳遞的林信任呢？回憶一下建立信任關係的過程，沒有發現能夠建立可傳遞的林信任啊，爲何呢？

 

         其實問題很簡單，因爲可傳遞的林信任只有Win2003才能夠支持，所以咱們必須把林功能級別和域功能級別都提高到Win2003，這樣才能夠使用可傳遞的林信任這個高級特性。咱們在Florence上爲你們介紹如何提高域功能級別和林功能級別，在Florence上打開Active Directory域和信任關係，以下圖所示，右鍵點擊itet.com，選擇「提高域功能級別」。

 

當前的域功能級別是Win2000，咱們選擇把域功能級別提高到最高的Win2003。

 

而後右鍵點擊「Active Directory域和信任關係」，選擇「提高林功能級別」。

 

以下圖所示，咱們選擇把林功能級別從Win2000提高到Win2003，這樣咱們在itet.com上就完成了域功能級別和林功能級別的提高，而後咱們在firenze上也對homeway.com進行一樣的操做就能夠了。

 

域功能級別和林功能級別提高完畢後，咱們在Florence上打開Active Directory域和信任關係，以下圖所示，點擊「新建信任」。

 

輸入信任域的名稱homeway.com。

 

以下圖所示，咱們看到嚮導提示是建立外部信任仍是林信任，外部信任是不可傳遞的信任關係，咱們要選擇建立林信任。看到這個提示，說明咱們以前提高域功能級別和林功能級別成功了。

 

選擇建立雙向信任關係。

 

咱們選擇同時在兩個域控制器上進行信任關係的建立，這樣效率更高一些，固然，你必須知道另外一個域的管理員口令。

 

以下圖所示，咱們輸入了homeway.com的域管理員口令進行身份驗證。

 

咱們選擇身份驗證的範圍是「全林性身份驗證」。

 

確認從itet.com傳出信任關係。

 

而後從itet.com再傳入信任關係。

 

以下圖所示，林信任信任關係建立完畢，建立的過程其實並不複雜。

 

再次打開Active Directory域和信任關係，咱們能夠發現兩個域林之間已經有了雙向可建立的信任關係，實驗成功！