Angelo Lee's Blog
This is my kingdom .If i don't fight for it ,who will ?
创建可传递的林信任
         实战详解域信任关系 ,我们介绍了如何创在两个域之间创建域信任关系。实战的结果是我们在 itet.com homeway.com 之间成功创建了信任关系,达到了预期目的。但我们打开域控制器上的 Active Directory 域和信任工具,可以从下图中发现, itet.com homeway.com 之间的信任关系是不可传递的!这个要引起我们的关注。
 
         如果域之间的信任关系是可以传递的,那我们就可以推论只要 A 信任 B B 信任 C ,那么 A 必然信任 C 。但是域信任关系如果是不可传递的,那就会导致 A C 之间没有任何信任关系,必须手工创建 A C 之间的信任关系。显然,在多域的条件下,如果域的数量较多,信任关系的不可传递会给我们带来很多效率上的麻烦。例如我们可以计算一下,如果有 20 个域,每两个域之间都要创建双向信任关系,那我们就至少要创建 20*19/2=190 次信任关系,这显然也太啰嗦了!
         微软对域信任关系的不可传递也给出了相应的解决方法,从 Win2000 开始,微软推出了域树和域林的概念。凡是在同一域树内的域,都会自动创建出双向可传递的信任关系。同一个域林内的域,也会自动创建双向可传递的信任关系。当微软发布 Win2003 时,微软又推出了林信任的概念,也就是说可以在两个林之间创建可传递的信任关系,把可传递的信任关系从一个林推广到了多个林。
         我们看到这儿时,要回忆一下 实战详解域信任关系 这篇文章中的拓扑图。 拓扑如下图所示,我们会忽然意识到 itet.com homeway.com 就是分别在一个单独的域林内,他们之间是域林间的关系,那我们为什么不能在这两个域之间创建可传递的林信任呢?回忆一下创建信任关系的过程,没有发现可以创建可传递的林信任啊,为什么呢?
 
         其实问题很简单,由于可传递的林信任只有 Win2003 才可以支持,因此我们必须把林功能级别和域功能级别都提升到 Win2003 ,这样才可以使用可传递的林信任这个高级特性。我们在 Florence 上为大家介绍如何提升域功能级别和林功能级别,在 Florence 上打开 Active Directory 域和信任关系,如下图所示,右键点击 itet.com ,选择“提升域功能级别”。
 
当前的域功能级别是 Win2000 ,我们选择把域功能级别提升到最高的 Win2003
 
然后右键点击“ Active Directory 域和信任关系”,选择“提升林功能级别”。
 
如下图所示,我们选择把林功能级别从 Win2000 提升到 Win2003 ,这样我们在 itet.com 上就完成了域功能级别和林功能级别的提升,然后我们在 firenze 上也对 homeway.com 进行同样的操作就可以了。
 
域功能级别和林功能级别提升完毕后,我们在 Florence 上打开 Active Directory 域和信任关系,如下图所示,点击“新建信任”。
 
输入信任域的名称 homeway.com
 
如下图所示,我们看到向导提示是创建外部信任还是林信任,外部信任是不可传递的信任关系,我们要选择创建林信任。看到这个提示,说明我们之前提升域功能级别和林功能级别成功了。
 
选择创建双向信任关系。
 
我们选择同时在两个域控制器上进行信任关系的创建,这样效率更高一些,当然,你必须知道另一个域的管理员口令。
 
如下图所示,我们输入了 homeway.com 的域管理员口令进行身份验证。
 
我们选择身份验证的范围是“全林性身份验证”。
 
确认从 itet.com 传出信任关系。
 
然后从 itet.com 再传入信任关系。
 
如下图所示,林信任信任关系创建完毕,创建的过程其实并不复杂。
 
再次打开 Active Directory 域和信任关系,我们可以发现两个域林之间已经有了双向可创建的信任关系,实验成功!
 
posted on 2010-03-25 20:49  Angelo Lee  阅读(312)  评论(0编辑  收藏  举报