Windows 2000使公司可以將不同的商業(yè)單元集成到一個統(tǒng)一的結(jié)構(gòu)中，這個結(jié)構(gòu)就是活動目錄森林，這在Windows NT 4.0中是不可能的。許多在NT 4.0域中不能共存的商業(yè)單元現(xiàn)在可以在活動目錄的組織單元(OUs)或域中和平共處。但是正如一些使用單 森林結(jié)構(gòu)的人所說，也存在一些商業(yè)單元不能共處的場合。有時商業(yè)需求或政治原因要求您實現(xiàn)分離的森林。在許多情況下，分離森林中的用戶仍然需要訪問中心森林中的資源。因此，你需要在中心森林和其他森林之間建立信任關(guān)系。Windows 2003在不同森林域之間建立信任關(guān)系的方法與NT 4.0一致。但是Windows Server 2003新的森林信任功能使其變得更簡單。

多森林范例

從信息安全的角度觀察，域不僅是安全邊界，而且還是復(fù)制與管理的邊界。根域管理員組、域管理員組和企業(yè)管理員組的成員可以輕易地訪問森林中的任何機器。將資源真正隔離的唯一辦法就是將它們放入分離的森林中。

我們不需要放棄只建立單森林的想法，但我們需要改變一下，即：將森林?jǐn)?shù)量控制在最小，并且只在必需時增加森林。關(guān)于如何確定是否創(chuàng)建森林的標(biāo)準(zhǔn)，參見微軟白皮書“Design Considerations for Delegation of Administration in Active Directory”(http：／／www.microsoft.com／Windows2000／techinfo／planning／activedirectory／addeladmin.asp)。這個白皮書清晰地說明了OU、域和森林之間的安全邊界，并說明了如何確定是否將商業(yè)單元放入分離森林的過程。

什么時候需要分離的森林呢？這在幾種情形下需要。最常見的情形是需要保證管理自治(相當(dāng)于“我不信任您”)。另一種情形是主體的商業(yè)單元自己運行Windows 2000森林，并且不能立即更新，由于這個森林還需要一段時間，因此你需要找到與它共存的方法。還有一種情形與森林架構(gòu)有關(guān)，請記住架構(gòu)(例如AD結(jié)構(gòu)定義)在整個森林中共享，如果你要頻繁更改架構(gòu)，你應(yīng)該在分離的森林中做這些事情，這樣只在需要時更改中心森林架構(gòu)。

資源分離是另一個建立分離森林的重要原因。例如，法律代理部門的信息需要分離，受保護的合同也需要分離。一些像銀行這樣的產(chǎn)業(yè)，如果將客戶信息共享會受到處罰。

Windows 2000的森林內(nèi)信任

在Windows 2000的一個森林內(nèi)，Kerberos安全協(xié)議自動建立域間信任關(guān)系。Kerberos的一個重要功能是支持信任傳遞。如果A域信任B域，B域信任C域，則A域自動信任C域。記憶信任傳遞的簡單辦法就是記住“你的朋友就是我的朋友”。這個功能使域樹的概念成為可能，Kerberos票據(jù)自動傳遞使森林中的一個域可以自動信任其他域。Kerberos在森林中的雙向信任也叫“內(nèi)部信任”。若要更多了解Windows 2000的Kerberos技術(shù)，參見微軟白皮書“Windows 2000 Kerberos Authentication”(http：／／www.microsoft.com／windows2000／techinfo／howitworks／security／kerberos.asp)。

Windows 2000的森林間信任

森林之外的信任關(guān)系更原始一些。在Windows 2000中，Kerberos無法建立跨森林的信任。NT LAN Manager(NTLM)將建立與其他森林的NT 4.0域和Windows 2000域之間的信任關(guān)系。這些信任稱為“外部信任”(第三種信任，即“快捷信任”，使用Kerberos直接連接兩個域樹的子域，以提高性能)。

外部信任與NT 4.0信任有相同的限制：外部信任不如Kerberos信任安全，并且不能傳遞。因此，你很快會陷入和NT 4.0一樣的境地，你必須在每個森林的每個域維護信任。

Windows 2003的森林信任

森林信任是連接兩個森林根域的一種信任。森林信任使您可以用簡單輕松的方式將友好森林綁到一起，比NTLM信任更快、更靈活。由于森林信任用Kerberos替代了NTLM，兩個森林之間的信任是可傳遞的。例如，如果森林A信任森林B，則森林A中的所有域也信任森林B中的所有域。然而，這種信任不在森林間傳遞，如果森林A信任森林B，森林B信任森林C，森林A并不能自動信任森林C。這和NTLM信任的規(guī)則一樣，但是它被放大到適合于域森林，和NTLM信任一樣，你可以建立單向或雙向信任。

森林信任的優(yōu)點

森林信任的兩個優(yōu)點是跨森林認(rèn)證和授權(quán)。跨森林認(rèn)證使被信任森林中的用戶可以登錄到信任森林的機器上，而不用重復(fù)創(chuàng)建賬號。跨森林授權(quán)同樣使你可以對被信任森林的用戶分配權(quán)限，以便他們訪問信任森林的資源，同樣無需重復(fù)賬號。這個行為不會危害森林安全邊界。

盡管你可以在森林間建立外部信任，但使用基于Kerberos的森林信任極大地減少了森林間所需信任的數(shù)量。如果在兩個森林的所有域之間建立信任關(guān)系，你可以用下面的公式計算所需外部信任的數(shù)量。外部信任總數(shù)＝(1單向信任或2雙向信任)×（森林A中的域數(shù))×（森林B中的域數(shù))。

例如，假設(shè)你有一個包含三個域的開發(fā)森林(DEV)和一個包含四個域的生產(chǎn)森林(PROD)，你希望跨森林建立所有域之間的雙向信任關(guān)系。則你需要建立24個信任，既2×3×4。這個數(shù)量雖然不便卻還可以忍受，但是如果你決定加入一個包含四個域的集成森林(INT)，信任拓?fù)鋵⒏鼮閺?fù)雜。你現(xiàn)在有三組信任關(guān)系：DEV到PROD，DEV到INT，PROD到INT。這樣需維護的信任總數(shù)將達到80。

森林信任讓你可以實現(xiàn)的一個重要策略就是賬號森林配置。一個賬號森林本質(zhì)上是NT 4.0中賬號域或資源域配置的放大。要建立賬號森林，首先要確保所有賬號在主要森林中，然后建立從其他資源森林到主要森林的單向信任(關(guān)于建立單向信任的信息，參見附文“輕松創(chuàng)建單向信任”)。用戶可以使用主要森林的賬號登錄到任何聯(lián)盟森林中。你甚至可以將建立信任的管理權(quán)委派給不屬于企業(yè)管理組的用戶。

你也許奇怪，為何Windows 2003的森林信任可以包含其他森林，而Windows 2000的外部信任卻不能。在Windows 2003中，信任域?qū)ο?TDO)描述了外部信任和森林信任的基本信息。在森林信任中，TDO包含一個稱為“森林信任信息”的附加屬性。這個屬性包含遠程森林內(nèi)所有域的信息，樹名稱以及可選名稱后綴。這個信息對于路由認(rèn)證和查詢遠程森林是必要的。全局目錄(GC)存儲這些信息，因此所有域控制器(DC)都可以查詢這些信息。

用Windows 2003配置一個森林信任

要構(gòu)建森林信任，必須確保兩個森林都處于Windows 2003的森林功能級別上。兩個森林的每一個DC都必須運行Windows 2003，每個域都必須升級到Windows 2003的域功能級別，并且兩個森林也必須升級到Windows 2003的森林功能級別。要了解關(guān)于功能級別的更多信息，參見“What's New and What's Improved in Windows。NET Server？”(http：／／www.winnetmag.com，InstantDoc ID 24316)。

接下來，兩個森林的根域必須可以通過DNS相互查找。如果你在企業(yè)Intranet環(huán)境下，并且兩個森林都已經(jīng)與公司的DNS集成，則森林的根域可能已經(jīng)能夠互相查找。若要進行檢查，請在一個森林的服務(wù)器上打開命令提示窗口，運行Nslookup。鍵入：

set type＝ns

然后鍵入其他森林根域的域名全稱(例如forestb。mycompany。com)。如果服務(wù)器能夠解析這個FQDN，Nslookup會返回該域的授權(quán)DC列表。

如果你現(xiàn)有的DNS配置不能解析其它森林，則你需要為每個森林的DNS服務(wù)器配置轉(zhuǎn)發(fā)條件。為一個森林根域到其他森林增加一個或多個轉(zhuǎn)發(fā)器。轉(zhuǎn)發(fā)服務(wù)器告訴本地DNS，當(dāng)接收一個對特定域的請求時，將請求轉(zhuǎn)發(fā)到指定的IP地址。例如，你要在ForestA。com和ForestB。com之間建立森林信任。在微軟管理控制臺(MMC)的DNS管理單元，在森林A的DNS服務(wù)器上點右鍵并選擇“屬性”。選擇“轉(zhuǎn)發(fā)器”并輸入要轉(zhuǎn)發(fā)請求的DNS服務(wù)器IP地址，它將處理對森林B的請求。在森林B中重復(fù)這個過程以解析對森林A的請求。

記住你使用的轉(zhuǎn)發(fā)服務(wù)器依據(jù)的是手工輸入的IP地址。如果這些地址發(fā)生改變，則轉(zhuǎn)發(fā)器列表也必須更新，否則信任可能失敗。

可以解析森林后，使用MMC的活動目錄域和信任管理單元的信任向?qū)Ы⒛闼谕男湃晤愋汀Ｗ屛覀冊趦蓚€森林之間一步一步地設(shè)置一個雙向信任。

從管理工具菜單中選擇“Active Directory Domains and Trusts”，或者在“運行”或命令行鍵入：

domain。msc

在根域點右鍵，選擇“屬性”，然后選擇信任屬性，再選擇“新信任”啟動信任向?qū)А?/p>

這個新信任向?qū)荳indows 2003新增的。這個向?qū)е敢銊?chuàng)建各種類型的信任，有四種目標(biāo)類型：一個Windows 2003或Windows 2000域、一個NT 4.0域、一個Kerberos 5.0領(lǐng)域以及其他森林。這個向?qū)У膸椭δ芴峁┝岁P(guān)于信任、功能級別以及用戶首選名(UPNs)的附加信息。

盡管你使用向?qū)гO(shè)置信任操作，你還是應(yīng)該留意如何設(shè)置信任，并且在建立信任之前回顧一下確認(rèn)屏幕。設(shè)置信任存在多種可能性，向?qū)б膊粫扑]某種類型。如果你粗心犯錯，你可能得到一個外部信任類型而不是森林信任。例如，如果你選擇了一個子域而不是根域的屬性，則建立森林信任不會成為選項。

向?qū)У牡谝徊绞禽斎氡恍湃紊值腄NS或NetBIOS名。正確完成后，下一個對話框?qū)⒁竽氵x擇外部信任或森林信任。如果森林信任沒有出現(xiàn)，應(yīng)返回到第一步并使用幫助按鈕來確定是什么東西沒有正確設(shè)置。

我們的例子是要設(shè)置雙向信任。當(dāng)你具有另一個森林的管理權(quán)時，新信任向?qū)Э墒鼓銊?chuàng)建兩個單向信任來組成雙向信任。

接下來兩個對話框讓你選擇是否允許目標(biāo)森林的所有用戶在訪問本地森林時自動認(rèn)證。如果你選擇“Allow authentication only for selected resources in the local forest”，Windows 2003不會自動將信任森林的認(rèn)證用戶SID加到被信任森林用戶的令牌上；你必須為訪問資源分別授權(quán)。這個功能稱為“選擇性認(rèn)證”。選擇性認(rèn)證更安全，但管理工作量也更大，因為你必須為每個域和服務(wù)器單獨配置權(quán)限，以使其他森林的用戶可以訪問。

信任選擇完成對話框讓你在執(zhí)行前回顧你的選擇。在建立信任之后你將看到這個對話框。向?qū)ё詈蟮牟襟E提供了另一個有用的功能。由于你已經(jīng)提供了另一個森林的遠程憑證，你可以確認(rèn)雙方的信任，無需額外步驟。森林信任成功建立后，向?qū)㈥P(guān)閉，屬性簿會在信任類型下顯示“forest”，而不是“child”或“external”。

盡管實現(xiàn)森林信任是直截了當(dāng)?shù)模窃诙嗌汁h(huán)境下，一個錯誤會導(dǎo)致嚴(yán)重后果。因此在實現(xiàn)森林信任之前，應(yīng)該進行試驗練習(xí)。

森林信任的限制

森林信任對用戶不是完全透明的。如果一個森林不包含一個用戶的賬號，則該用戶在這個森林的一臺機器登錄時，用戶在登錄對話框中看不到他的賬號域列表，他需要輸入他的UPN(例如jimbob＠bigtex。net)。微軟使用這個設(shè)計是因為在多森林環(huán)境下，域之間有時可能存在NetBIOS名稱沖突。例如，假設(shè)forest1。bigtex。net和forest2。bigtex。net在相同的地域，盡管FQDN(namerica。forest1。bigtex。net和namerica。forest2。bigtex。net)是唯一的，但如果森林沒有使用相同的WINS名稱空間，它們也許都具有一個NetBIOS名為NAMERICA的域。同樣，如果你的森林用戶不是登錄到Windows 2003 server或Windows XP Service Pack 2(SP2)上，則當(dāng)用戶為本地森林資源增加跨森林用戶或組時，將看不到用戶或組列表。作為替代，必須輸入資源的UPN。圖7顯示了森林A某資源的ACL，其中加入了森林B的用戶。訪問控制入口(ACE)使用UPN，而不是傳統(tǒng)的域＼賬號格式。

另一個與UPN相關(guān)的重要考慮是森林名稱空間沖突。默認(rèn)情況下，用戶的UPN格式為account＠FQDN。例如，Jim Bob在子域lubbock。bigtex。net中有一個賬號，它默認(rèn)的UPN為jimbob＠lubbock。bigtex。net。你可以使用根域UPN，即jimbob＠bigtex。net。許多公司使用根域的UPN，這樣UPN與用戶的email地址一致。這在該賬號只存在于一個森林中時可以工作，但是如果你在兩個以上森林中具有相同賬號時會如何呢？公司的每個成員都有一個bigtex。net郵件地址，但在一個森林使用了這個UPN后綴之后，其他森林不能再使用。對于內(nèi)部，你必須為用戶選擇唯一的UPN后綴(例如f1。bigtex。net，f2。bigtex。net)。對于外部，你可以為郵件使用bigtex。net。

森林信任是Windows 2003的一個重要新功能，它去除了Windows 2000的許多限制。對于那些需要將分離森林集合到一起的公司，森林信任功能可以降低從Windows 2000升級到Windows 2003的花銷。

輕松創(chuàng)建單向信任

一個常見的需要管理員權(quán)限的管理工作是建立從資源域到賬號域之間的單向信任。這使你可以將用戶賬號保留在一個中心位置(即被信任域)，然后為信任域中的資源分配權(quán)限。Windows Server 2003有一個稱為“Incoming Forest Trust Builders”的新組。這個組的成員可以建立指向本地森林的單向信任關(guān)系，并且不需要內(nèi)置的管理員權(quán)利。由于這個功能委派了向內(nèi)信任的過程，因此對于那些希望由其他組分擔(dān)創(chuàng)建信任工作的組織很有用處。