创建可传递的林信任
在
实战详解域信任关系
中
,我们介绍了如何创在两个域之间创建域信任关系。实战的结果是我们在
itet.com
和
homeway.com
之间成功创建了信任关系,达到了预期目的。但我们打开域控制器上的
Active Directory
域和信任工具,可以从下图中发现,
itet.com
和
homeway.com
之间的信任关系是不可传递的!这个要引起我们的关注。
如果域之间的信任关系是可以传递的,那我们就可以推论只要
A
信任
B
,
B
信任
C
,那么
A
必然信任
C
。但是域信任关系如果是不可传递的,那就会导致
A
和
C
之间没有任何信任关系,必须手工创建
A
和
C
之间的信任关系。显然,在多域的条件下,如果域的数量较多,信任关系的不可传递会给我们带来很多效率上的麻烦。例如我们可以计算一下,如果有
20
个域,每两个域之间都要创建双向信任关系,那我们就至少要创建
20*19/2=190
次信任关系,这显然也太啰嗦了!
微软对域信任关系的不可传递也给出了相应的解决方法,从
Win2000
开始,微软推出了域树和域林的概念。凡是在同一域树内的域,都会自动创建出双向可传递的信任关系。同一个域林内的域,也会自动创建双向可传递的信任关系。当微软发布
Win2003
时,微软又推出了林信任的概念,也就是说可以在两个林之间创建可传递的信任关系,把可传递的信任关系从一个林推广到了多个林。
我们看到这儿时,要回忆一下
实战详解域信任关系
这篇文章中的拓扑图。
拓扑如下图所示,我们会忽然意识到
itet.com
和
homeway.com
就是分别在一个单独的域林内,他们之间是域林间的关系,那我们为什么不能在这两个域之间创建可传递的林信任呢?回忆一下创建信任关系的过程,没有发现可以创建可传递的林信任啊,为什么呢?
其实问题很简单,由于可传递的林信任只有
Win2003
才可以支持,因此我们必须把林功能级别和域功能级别都提升到
Win2003
,这样才可以使用可传递的林信任这个高级特性。我们在
Florence
上为大家介绍如何提升域功能级别和林功能级别,在
Florence
上打开
Active Directory
域和信任关系,如下图所示,右键点击
itet.com
,选择“提升域功能级别”。
当前的域功能级别是
Win2000
,我们选择把域功能级别提升到最高的
Win2003
。
然后右键点击“
Active Directory
域和信任关系”,选择“提升林功能级别”。
如下图所示,我们选择把林功能级别从
Win2000
提升到
Win2003
,这样我们在
itet.com
上就完成了域功能级别和林功能级别的提升,然后我们在
firenze
上也对
homeway.com
进行同样的操作就可以了。
域功能级别和林功能级别提升完毕后,我们在
Florence
上打开
Active Directory
域和信任关系,如下图所示,点击“新建信任”。
输入信任域的名称
homeway.com
。
如下图所示,我们看到向导提示是创建外部信任还是林信任,外部信任是不可传递的信任关系,我们要选择创建林信任。看到这个提示,说明我们之前提升域功能级别和林功能级别成功了。
选择创建双向信任关系。
我们选择同时在两个域控制器上进行信任关系的创建,这样效率更高一些,当然,你必须知道另一个域的管理员口令。
如下图所示,我们输入了
homeway.com
的域管理员口令进行身份验证。
我们选择身份验证的范围是“全林性身份验证”。
确认从
itet.com
传出信任关系。
然后从
itet.com
再传入信任关系。
如下图所示,林信任信任关系创建完毕,创建的过程其实并不复杂。
再次打开
Active Directory
域和信任关系,我们可以发现两个域林之间已经有了双向可创建的信任关系,实验成功!
作者:Angelo Lee
本文版权归作者和博客园共有,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文连接,否则保留追究法律责任的权利.