創建可傳遞的林信任
在實戰詳解域信任關係中,我們介紹瞭如何創在兩個域之間創建域信任關係。實戰的結果是我們在itet.com和homeway.com之間成功創建了信任關係,達到了預期目的。但我們打開域控制器上的Active Directory域和信任工具,可以從下圖中發現,itet.com和homeway.com之間的信任關係是不可傳遞的!這個要引起我們的關注。
如果域之間的信任關係是可以傳遞的,那我們就可以推論只要A信任B,B信任C,那麼A必然信任C。但是域信任關係如果是不可傳遞的,那就會導致A和C之間沒有任何信任關係,必須手工創建A和C之間的信任關係。顯然,在多域的條件下,如果域的數量較多,信任關係的不可傳遞會給我們帶來很多效率上的麻煩。例如我們可以計算一下,如果有20個域,每兩個域之間都要創建雙向信任關係,那我們就至少要創建20*19/2=190次信任關係,這顯然也太囉嗦了!
微軟對域信任關係的不可傳遞也給出了相應的解決方法,從Win2000開始,微軟推出了域樹和域林的概念。凡是在同一域樹內的域,都會自動創建出雙向可傳遞的信任關係。同一個域林內的域,也會自動創建雙向可傳遞的信任關係。當微軟發佈Win2003時,微軟又推出了林信任的概念,也就是說可以在兩個林之間創建可傳遞的信任關係,把可傳遞的信任關係從一個林推廣到了多個林。
我們看到這兒時,要回憶一下實戰詳解域信任關係這篇文章中的拓撲圖。拓撲如下圖所示,我們會忽然意識到itet.com和homeway.com就是分別在一個單獨的域林內,他們之間是域林間的關係,那我們爲什麼不能在這兩個域之間創建可傳遞的林信任呢?回憶一下創建信任關係的過程,沒有發現可以創建可傳遞的林信任啊,爲什麼呢?
其實問題很簡單,由於可傳遞的林信任只有Win2003纔可以支持,因此我們必須把林功能級別和域功能級別都提升到Win2003,這樣纔可以使用可傳遞的林信任這個高級特性。我們在Florence上爲大家介紹如何提升域功能級別和林功能級別,在Florence上打開Active Directory域和信任關係,如下圖所示,右鍵點擊itet.com,選擇“提升域功能級別”。
當前的域功能級別是Win2000,我們選擇把域功能級別提升到最高的Win2003。
然後右鍵點擊“Active Directory域和信任關係”,選擇“提升林功能級別”。
如下圖所示,我們選擇把林功能級別從Win2000提升到Win2003,這樣我們在itet.com上就完成了域功能級別和林功能級別的提升,然後我們在firenze上也對homeway.com進行同樣的操作就可以了。
域功能級別和林功能級別提升完畢後,我們在Florence上打開Active Directory域和信任關係,如下圖所示,點擊“新建信任”。
輸入信任域的名稱homeway.com。
如下圖所示,我們看到嚮導提示是創建外部信任還是林信任,外部信任是不可傳遞的信任關係,我們要選擇創建林信任。看到這個提示,說明我們之前提升域功能級別和林功能級別成功了。
選擇創建雙向信任關係。
我們選擇同時在兩個域控制器上進行信任關係的創建,這樣效率更高一些,當然,你必須知道另一個域的管理員口令。
如下圖所示,我們輸入了homeway.com的域管理員口令進行身份驗證。
我們選擇身份驗證的範圍是“全林性身份驗證”。
確認從itet.com傳出信任關係。
然後從itet.com再傳入信任關係。
如下圖所示,林信任信任關係創建完畢,創建的過程其實並不複雜。
再次打開Active Directory域和信任關係,我們可以發現兩個域林之間已經有了雙向可創建的信任關係,實驗成功!
本文出自 “嶽雷的微軟網絡課堂” 博客,請務必保留此出處http://yuelei.blog.51cto.com/202879/209233