建立可传递的林信任，Active Directory系列之二十

建立可传递的林信任

         在实战详解域信任关系中，咱们介绍了如何创在两个域之间建立域信任关系。实战的结果是咱们在itet.com和homeway.com之间成功建立了信任关系，达到了预期目的。但咱们打开域控制器上的Active Directory域和信任工具，能够从下图中发现，itet.com和homeway.com之间的信任关系是不可传递的！这个要引发咱们的关注。

 

         若是域之间的信任关系是能够传递的，那咱们就能够推论只要A信任B，B信任C，那么A必然信任C。可是域信任关系若是是不可传递的，那就会致使A和C之间没有任何信任关系，必须手工建立A和C之间的信任关系。显然，在多域的条件下，若是域的数量较多，信任关系的不可传递会给咱们带来不少效率上的麻烦。例如咱们能够计算一下，若是有20个域，每两个域之间都要建立双向信任关系，那咱们就至少要建立20*19/2=190次信任关系，这显然也太啰嗦了！

         微软对域信任关系的不可传递也给出了相应的解决方法，从Win2000开始，微软推出了域树和域林的概念。凡是在同一域树内的域，都会自动建立出双向可传递的信任关系。同一个域林内的域，也会自动建立双向可传递的信任关系。当微软发布Win2003时，微软又推出了林信任的概念，也就是说能够在两个林之间建立可传递的信任关系，把可传递的信任关系从一个林推广到了多个林。

         咱们看到这儿时，要回忆一下实战详解域信任关系这篇文章中的拓扑图。拓扑以下图所示，咱们会突然意识到itet.com和homeway.com就是分别在一个单独的域林内，他们之间是域林间的关系，那咱们为何不能在这两个域之间建立可传递的林信任呢？回忆一下建立信任关系的过程，没有发现能够建立可传递的林信任啊，为何呢？

 

         其实问题很简单，因为可传递的林信任只有Win2003才能够支持，所以咱们必须把林功能级别和域功能级别都提高到Win2003，这样才能够使用可传递的林信任这个高级特性。咱们在Florence上为你们介绍如何提高域功能级别和林功能级别，在Florence上打开Active Directory域和信任关系，以下图所示，右键点击itet.com，选择“提高域功能级别”。

 

当前的域功能级别是Win2000，咱们选择把域功能级别提高到最高的Win2003。

 

而后右键点击“Active Directory域和信任关系”，选择“提高林功能级别”。

 

以下图所示，咱们选择把林功能级别从Win2000提高到Win2003，这样咱们在itet.com上就完成了域功能级别和林功能级别的提高，而后咱们在firenze上也对homeway.com进行一样的操做就能够了。

 

域功能级别和林功能级别提高完毕后，咱们在Florence上打开Active Directory域和信任关系，以下图所示，点击“新建信任”。

 

输入信任域的名称homeway.com。

 

以下图所示，咱们看到向导提示是建立外部信任仍是林信任，外部信任是不可传递的信任关系，咱们要选择建立林信任。看到这个提示，说明咱们以前提高域功能级别和林功能级别成功了。

 

选择建立双向信任关系。

 

咱们选择同时在两个域控制器上进行信任关系的建立，这样效率更高一些，固然，你必须知道另外一个域的管理员口令。

 

以下图所示，咱们输入了homeway.com的域管理员口令进行身份验证。

 

咱们选择身份验证的范围是“全林性身份验证”。

 

确认从itet.com传出信任关系。

 

而后从itet.com再传入信任关系。

 

以下图所示，林信任信任关系建立完毕，建立的过程其实并不复杂。

 

再次打开Active Directory域和信任关系，咱们能够发现两个域林之间已经有了双向可建立的信任关系，实验成功！