;Windows 2000使公司可以將不同的商業(yè)單元集成到一個(gè)統(tǒng)一的結(jié)構(gòu)中，這個(gè)結(jié)構(gòu)就是活動(dòng)目錄森林，這在Windows NT 4.0中是不可能的。許多在NT 4.0域中不能共存的商業(yè)單元現(xiàn)在可以在活動(dòng)目錄的組織單元(OUs)或域中和平共處。但是正如一些使用單 森林結(jié)構(gòu)的人所說，也存在一些商業(yè)單元不能共處的場(chǎng)合。有時(shí)商業(yè)需求或政治原因要求您實(shí)現(xiàn)分離的森林。在許多情況下，分離森林中的用戶仍然需要訪問中心森林中的資源。因此，你需要在中心森林和其他森林之間建立信任關(guān)系。Windows 2003在不同森林域之間建立信任關(guān)系的方法與NT 4.0一致。但是Windows Server 2003新的森林信任功能使其變得更簡(jiǎn)單。

多森林范例

從信息安全的角度觀察，域不僅是安全邊界，而且還是復(fù)制與管理的邊界。根域管理員組、域管理員組和企業(yè)管理員組的成員可以輕易地訪問森林中的任何機(jī)器。將資源真正隔離的唯一辦法就是將它們放入分離的森林中。

我們不需要放棄只建立單森林的想法，但我們需要改變一下，即：將森林?jǐn)?shù)量控制在最小，并且只在必需時(shí)增加森林。關(guān)于如何確定是否創(chuàng)建森林的標(biāo)準(zhǔn)，參見微軟白皮書“Design Considerations for Delegation of Administration in Active Directory”(http：／／www.microsoft.com／Windows2000／techinfo／planning／activedirectory／addeladmin.asp)。這個(gè)白皮書清晰地說明了OU、域和森林之間的安全邊界，并說明了如何確定是否將商業(yè)單元放入分離森林的過程。

什么時(shí)候需要分離的森林呢？這在幾種情形下需要。最常見的情形是需要保證管理自治(相當(dāng)于“我不信任您”)。另一種情形是主體的商業(yè)單元自己運(yùn)行Windows 2000森林，并且不能立即更新，由于這個(gè)森林還需要一段時(shí)間，因此你需要找到與它共存的方法。還有一種情形與森林架構(gòu)有關(guān)，請(qǐng)記住架構(gòu)(例如AD結(jié)構(gòu)定義)在整個(gè)森林中共享，如果你要頻繁更改架構(gòu)，你應(yīng)該在分離的森林中做這些事情，這樣只在需要時(shí)更改中心森林架構(gòu)。

資源分離是另一個(gè)建立分離森林的重要原因。例如，法律代理部門的信息需要分離，受保護(hù)的合同也需要分離。一些像銀行這樣的產(chǎn)業(yè)，如果將客戶信息共享會(huì)受到處罰。

Windows 2000的森林內(nèi)信任

在Windows 2000的一個(gè)森林內(nèi)，Kerberos安全協(xié)議自動(dòng)建立域間信任關(guān)系。Kerberos的一個(gè)重要功能是支持信任傳遞。如果A域信任B域，B域信任C域，則A域自動(dòng)信任C域。記憶信任傳遞的簡(jiǎn)單辦法就是記住“你的朋友就是我的朋友”。這個(gè)功能使域樹的概念成為可能，Kerberos票據(jù)自動(dòng)傳遞使森林中的一個(gè)域可以自動(dòng)信任其他域。Kerberos在森林中的雙向信任也叫“內(nèi)部信任”。若要更多了解Windows 2000的Kerberos技術(shù)，參見微軟白皮書“Windows 2000 Kerberos Authentication”(http：／／www.microsoft.com／windows2000／techinfo／howitworks／security／kerberos.asp)。

Windows 2000的森林間信任

森林之外的信任關(guān)系更原始一些。在Windows 2000中，Kerberos無法建立跨森林的信任。NT LAN Manager(NTLM)將建立與其他森林的NT 4.0域和Windows 2000域之間的信任關(guān)系。這些信任稱為“外部信任”(第三種信任，即“快捷信任”，使用Kerberos直接連接兩個(gè)域樹的子域，以提高性能)。

外部信任與NT 4.0信任有相同的限制：外部信任不如Kerberos信任安全，并且不能傳遞。因此，你很快會(huì)陷入和NT 4.0一樣的境地，你必須在每個(gè)森林的每個(gè)域維護(hù)信任。

Windows 2003的森林信任

森林信任是連接兩個(gè)森林根域的一種信任。森林信任使您可以用簡(jiǎn)單輕松的方式將友好森林綁到一起，比NTLM信任更快、更靈活。由于森林信任用Kerberos替代了NTLM，兩個(gè)森林之間的信任是可傳遞的。例如，如果森林A信任森林B，則森林A中的所有域也信任森林B中的所有域。然而，這種信任不在森林間傳遞，如果森林A信任森林B，森林B信任森林C，森林A并不能自動(dòng)信任森林C。這和NTLM信任的規(guī)則一樣，但是它被放大到適合于域森林，和NTLM信任一樣，你可以建立單向或雙向信任。

森林信任的優(yōu)點(diǎn)

森林信任的兩個(gè)優(yōu)點(diǎn)是跨森林認(rèn)證和授權(quán)。跨森林認(rèn)證使被信任森林中的用戶可以登錄到信任森林的機(jī)器上，而不用重復(fù)創(chuàng)建賬號(hào)。跨森林授權(quán)同樣使你可以對(duì)被信任森林的用戶分配權(quán)限，以便他們?cè)L問信任森林的資源，同樣無需重復(fù)賬號(hào)。這個(gè)行為不會(huì)危害森林安全邊界。

盡管你可以在森林間建立外部信任，但使用基于Kerberos的森林信任極大地減少了森林間所需信任的數(shù)量。如果在兩個(gè)森林的所有域之間建立信任關(guān)系，你可以用下面的公式計(jì)算所需外部信任的數(shù)量。外部信任總數(shù)＝(1單向信任或2雙向信任)×（森林A中的域數(shù))×（森林B中的域數(shù))。

例如，假設(shè)你有一個(gè)包含三個(gè)域的開發(fā)森林(DEV)和一個(gè)包含四個(gè)域的生產(chǎn)森林(PROD)，你希望跨森林建立所有域之間的雙向信任關(guān)系。則你需要建立24個(gè)信任，既2×3×4。這個(gè)數(shù)量雖然不便卻還可以忍受，但是如果你決定加入一個(gè)包含四個(gè)域的集成森林(INT)，信任拓?fù)鋵⒏鼮閺?fù)雜。你現(xiàn)在有三組信任關(guān)系：DEV到PROD，DEV到INT，PROD到INT。這樣需維護(hù)的信任總數(shù)將達(dá)到80。

森林信任讓你可以實(shí)現(xiàn)的一個(gè)重要策略就是賬號(hào)森林配置。一個(gè)賬號(hào)森林本質(zhì)上是NT 4.0中賬號(hào)域或資源域配置的放大。要建立賬號(hào)森林，首先要確保所有賬號(hào)在主要森林中，然后建立從其他資源森林到主要森林的單向信任(關(guān)于建立單向信任的信息，參見附文“輕松創(chuàng)建單向信任”)。用戶可以使用主要森林的賬號(hào)登錄到任何聯(lián)盟森林中。你甚至可以將建立信任的管理權(quán)委派給不屬于企業(yè)管理組的用戶。

你也許奇怪，為何Windows 2003的森林信任可以包含其他森林，而Windows 2000的外部信任卻不能。在Windows 2003中，信任域?qū)ο?TDO)描述了外部信任和森林信任的基本信息。在森林信任中，TDO包含一個(gè)稱為“森林信任信息”的附加屬性。這個(gè)屬性包含遠(yuǎn)程森林內(nèi)所有域的信息，樹名稱以及可選名稱后綴。這個(gè)信息對(duì)于路由認(rèn)證和查詢遠(yuǎn)程森林是必要的。全局目錄(GC)存儲(chǔ)這些信息，因此所有域控制器(DC)都可以查詢這些信息。

用Windows 2003配置一個(gè)森林信任

要構(gòu)建森林信任，必須確保兩個(gè)森林都處于Windows 2003的森林功能級(jí)別上。兩個(gè)森林的每一個(gè)DC都必須運(yùn)行Windows 2003，每個(gè)域都必須升級(jí)到Windows 2003的域功能級(jí)別，并且兩個(gè)森林也必須升級(jí)到Windows 2003的森林功能級(jí)別。要了解關(guān)于功能級(jí)別的更多信息，參見“What's New and What's Improved in Windows。NET Server？”(http：／／www.winnetmag.com，InstantDoc ID 24316)。

接下來，兩個(gè)森林的根域必須可以通過DNS相互查找。如果你在企業(yè)Intranet環(huán)境下，并且兩個(gè)森林都已經(jīng)與公司的DNS集成，則森林的根域可能已經(jīng)能夠互相查找。若要進(jìn)行檢查，請(qǐng)?jiān)谝粋€(gè)森林的服務(wù)器上打開命令提示窗口，運(yùn)行Nslookup。鍵入：

set type＝ns

然后鍵入其他森林根域的域名全稱(例如forestb。mycompany。com)。如果服務(wù)器能夠解析這個(gè)FQDN，Nslookup會(huì)返回該域的授權(quán)DC列表。

如果你現(xiàn)有的DNS配置不能解析其它森林，則你需要為每個(gè)森林的DNS服務(wù)器配置轉(zhuǎn)發(fā)條件。為一個(gè)森林根域到其他森林增加一個(gè)或多個(gè)轉(zhuǎn)發(fā)器。轉(zhuǎn)發(fā)服務(wù)器告訴本地DNS，當(dāng)接收一個(gè)對(duì)特定域的請(qǐng)求時(shí)，將請(qǐng)求轉(zhuǎn)發(fā)到指定的IP地址。例如，你要在ForestA。com和ForestB。com之間建立森林信任。在微軟管理控制臺(tái)(MMC)的DNS管理單元，在森林A的DNS服務(wù)器上點(diǎn)右鍵并選擇“屬性”。選擇“轉(zhuǎn)發(fā)器”并輸入要轉(zhuǎn)發(fā)請(qǐng)求的DNS服務(wù)器IP地址，它將處理對(duì)森林B的請(qǐng)求。在森林B中重復(fù)這個(gè)過程以解析對(duì)森林A的請(qǐng)求。

記住你使用的轉(zhuǎn)發(fā)服務(wù)器依據(jù)的是手工輸入的IP地址。如果這些地址發(fā)生改變，則轉(zhuǎn)發(fā)器列表也必須更新，否則信任可能失敗。

可以解析森林后，使用MMC的活動(dòng)目錄域和信任管理單元的信任向?qū)Ы⒛闼谕男湃晤愋汀Ｗ屛覀冊(cè)趦蓚€(gè)森林之間一步一步地設(shè)置一個(gè)雙向信任。

從管理工具菜單中選擇“Active Directory Domains and Trusts”，或者在“運(yùn)行”或命令行鍵入：

domain。msc

在根域點(diǎn)右鍵，選擇“屬性”，然后選擇信任屬性，再選擇“新信任”啟動(dòng)信任向?qū)А?/P>

這個(gè)新信任向?qū)荳indows 2003新增的。這個(gè)向?qū)е敢銊?chuàng)建各種類型的信任，有四種目標(biāo)類型：一個(gè)Windows 2003或Windows 2000域、一個(gè)NT 4.0域、一個(gè)Kerberos 5.0領(lǐng)域以及其他森林。這個(gè)向?qū)У膸椭δ芴峁┝岁P(guān)于信任、功能級(jí)別以及用戶首選名(UPNs)的附加信息。

盡管你使用向?qū)гO(shè)置信任操作，你還是應(yīng)該留意如何設(shè)置信任，并且在建立信任之前回顧一下確認(rèn)屏幕。設(shè)置信任存在多種可能性，向?qū)б膊粫?huì)推薦某種類型。如果你粗心犯錯(cuò)，你可能得到一個(gè)外部信任類型而不是森林信任。例如，如果你選擇了一個(gè)子域而不是根域的屬性，則建立森林信任不會(huì)成為選項(xiàng)。

向?qū)У牡谝徊绞禽斎氡恍湃紊值腄NS或NetBIOS名。正確完成后，下一個(gè)對(duì)話框?qū)⒁竽氵x擇外部信任或森林信任。如果森林信任沒有出現(xiàn)，應(yīng)返回到第一步并使用幫助按鈕來確定是什么東西沒有正確設(shè)置。

我們的例子是要設(shè)置雙向信任。當(dāng)你具有另一個(gè)森林的管理權(quán)時(shí)，新信任向?qū)Э墒鼓銊?chuàng)建兩個(gè)單向信任來組成雙向信任。

接下來兩個(gè)對(duì)話框讓你選擇是否允許目標(biāo)森林的所有用戶在訪問本地森林時(shí)自動(dòng)認(rèn)證。如果你選擇“Allow authentication only for selected resources in the local forest”，Windows 2003不會(huì)自動(dòng)將信任森林的認(rèn)證用戶SID加到被信任森林用戶的令牌上；你必須為訪問資源分別授權(quán)。這個(gè)功能稱為“選擇性認(rèn)證”。選擇性認(rèn)證更安全，但管理工作量也更大，因?yàn)槟惚仨殲槊總€(gè)域和服務(wù)器單獨(dú)配置權(quán)限，以使其他森林的用戶可以訪問。

信任選擇完成對(duì)話框讓你在執(zhí)行前回顧你的選擇。在建立信任之后你將看到這個(gè)對(duì)話框。向?qū)ё詈蟮牟襟E提供了另一個(gè)有用的功能。由于你已經(jīng)提供了另一個(gè)森林的遠(yuǎn)程憑證，你可以確認(rèn)雙方的信任，無需額外步驟。森林信任成功建立后，向?qū)㈥P(guān)閉，屬性簿會(huì)在信任類型下顯示“forest”，而不是“child”或“external”。

盡管實(shí)現(xiàn)森林信任是直截了當(dāng)?shù)模窃诙嗌汁h(huán)境下，一個(gè)錯(cuò)誤會(huì)導(dǎo)致嚴(yán)重后果。因此在實(shí)現(xiàn)森林信任之前，應(yīng)該進(jìn)行試驗(yàn)練習(xí)。

森林信任的限制

森林信任對(duì)用戶不是完全透明的。如果一個(gè)森林不包含一個(gè)用戶的賬號(hào)，則該用戶在這個(gè)森林的一臺(tái)機(jī)器登錄時(shí)，用戶在登錄對(duì)話框中看不到他的賬號(hào)域列表，他需要輸入他的UPN(例如jimbob＠bigtex。net)。微軟使用這個(gè)設(shè)計(jì)是因?yàn)樵诙嗌汁h(huán)境下，域之間有時(shí)可能存在NetBIOS名稱沖突。例如，假設(shè)forest1。bigtex。net和forest2。bigtex。net在相同的地域，盡管FQDN(namerica。forest1。bigtex。net和namerica。forest2。bigtex。net)是唯一的，但如果森林沒有使用相同的WINS名稱空間，它們也許都具有一個(gè)NetBIOS名為NAMERICA的域。同樣，如果你的森林用戶不是登錄到Windows 2003 server或Windows XP Service Pack 2(SP2)上，則當(dāng)用戶為本地森林資源增加跨森林用戶或組時(shí)，將看不到用戶或組列表。作為替代，必須輸入資源的UPN。圖7顯示了森林A某資源的ACL，其中加入了森林B的用戶。訪問控制入口(ACE)使用UPN，而不是傳統(tǒng)的域＼賬號(hào)格式。

另一個(gè)與UPN相關(guān)的重要考慮是森林名稱空間沖突。默認(rèn)情況下，用戶的UPN格式為account＠FQDN。例如，Jim Bob在子域lubbock。bigtex。net中有一個(gè)賬號(hào)，它默認(rèn)的UPN為jimbob＠lubbock。bigtex。net。你可以使用根域UPN，即jimbob＠bigtex。net。許多公司使用根域的UPN，這樣UPN與用戶的email地址一致。這在該賬號(hào)只存在于一個(gè)森林中時(shí)可以工作，但是如果你在兩個(gè)以上森林中具有相同賬號(hào)時(shí)會(huì)如何呢？公司的每個(gè)成員都有一個(gè)bigtex。net郵件地址，但在一個(gè)森林使用了這個(gè)UPN后綴之后，其他森林不能再使用。對(duì)于內(nèi)部，你必須為用戶選擇唯一的UPN后綴(例如f1。bigtex。net，f2。bigtex。net)。對(duì)于外部，你可以為郵件使用bigtex。net。

森林信任是Windows 2003的一個(gè)重要新功能，它去除了Windows 2000的許多限制。對(duì)于那些需要將分離森林集合到一起的公司，森林信任功能可以降低從Windows 2000升級(jí)到Windows 2003的花銷。

輕松創(chuàng)建單向信任

一個(gè)常見的需要管理員權(quán)限的管理工作是建立從資源域到賬號(hào)域之間的單向信任。這使你可以將用戶賬號(hào)保留在一個(gè)中心位置(即被信任域)，然后為信任域中的資源分配權(quán)限。Windows Server 2003有一個(gè)稱為“Incoming Forest Trust Builders”的新組。這個(gè)組的成員可以建立指向本地森林的單向信任關(guān)系，并且不需要內(nèi)置的管理員權(quán)利。由于這個(gè)功能委派了向內(nèi)信任的過程，因此對(duì)于那些希望由其他組分擔(dān)創(chuàng)建信任工作的組織很有用處。