建立可傳遞的林信任，Active Directory系列之二十

<b>建立可傳遞的林信任</b><b></b>

         如果域之間的信任關系是可以傳遞的，那我們就可以推論隻要A信任B，B信任C，那麼A必然信任C。但是域信任關系如果是不可傳遞的，那就會導緻A和C之間沒有任何信任關系，必須手工建立A和C之間的信任關系。顯然，在多域的條件下，如果域的數量較多，信任關系的不可傳遞會給我們帶來很多效率上的麻煩。例如我們可以計算一下，如果有20個域，每兩個域之間都要建立雙向信任關系，那我們就至少要建立20*19/2=190次信任關系，這顯然也太啰嗦了！

         微軟對域信任關系的不可傳遞也給出了相應的解決方法，從Win2000開始，微軟推出了域樹和域林的概念。凡是在同一域樹内的域，都會自動建立出雙向可傳遞的信任關系。同一個域林内的域，也會自動建立雙向可傳遞的信任關系。當微軟釋出Win2003時，微軟又推出了林信任的概念，也就是說可以在兩個林之間建立可傳遞的信任關系，把可傳遞的信任關系從一個林推廣到了多個林。

         其實問題很簡單，由于可傳遞的林信任隻有Win2003才可以支援，是以我們必須把林功能級别和域功能級别都提升到Win2003，這樣才可以使用可傳遞的林信任這個進階特性。我們在Florence上為大家介紹如何提升域功能級别和林功能級别，在Florence上打開Active Directory域和信任關系，如下圖所示，右鍵點選itet.com，選擇“提升域功能級别”。

目前的域功能級别是Win2000，我們選擇把域功能級别提升到最高的Win2003。

然後右鍵點選“Active Directory域和信任關系”，選擇“提升林功能級别”。

如下圖所示，我們選擇把林功能級别從Win2000提升到Win2003，這樣我們在itet.com上就完成了域功能級别和林功能級别的提升，然後我們在firenze上也對homeway.com進行同樣的操作就可以了。

域功能級别和林功能級别提升完畢後，我們在Florence上打開Active Directory域和信任關系，如下圖所示，點選“建立信任”。

輸入信任域的名稱homeway.com。

如下圖所示，我們看到向導提示是建立外部信任還是林信任，外部信任是不可傳遞的信任關系，我們要選擇建立林信任。看到這個提示，說明我們之前提升域功能級别和林功能級别成功了。

選擇建立雙向信任關系。

我們選擇同時在兩個域控制器上進行信任關系的建立，這樣效率更高一些，當然，你必須知道另一個域的管理者密碼。

如下圖所示，我們輸入了homeway.com的域管理者密碼進行身份驗證。

我們選擇身份驗證的範圍是“全林性身份驗證”。

确認從itet.com傳出信任關系。

然後從itet.com再傳入信任關系。

如下圖所示，林信任信任關系建立完畢，建立的過程其實并不複雜。

再次打開Active Directory域和信任關系，我們可以發現兩個域林之間已經有了雙向可建立的信任關系，實驗成功！

本文轉自yuelei51CTO部落格，原文連結：http://blog.51cto.com/yuelei/209233，如需轉載請自行聯系原作者