Windows system 2000使公司能夠將不同的業務單元集成到壹個統壹的結構中,這就是活動目錄林,這在Windows system NT 4.0中是不可能的。很多不能存儲在NT 4.0域中的業務單元,目前都可以存儲在active directory的ou或域中。但是,正如壹些使用單林結構的人所說,也有壹些商業單位不能* * *的場合。有時,業務需求或政治原因要求您實現單獨的目錄林。在許多情況下,獨立林中的用戶仍然需要訪問中央林中的資源。因此,您需要在中央林和其他林之間建立信任關系。Windows 2003中不同林域之間建立信任關系的方法與NT 4.0壹致。但是,Windows Server 2003新的林信任功能使這變得更容易。
多森林範例
從信息安全的角度來看,域不僅是安全邊界,也是復制和管理的邊界。根域管理員組、域管理員組和企業管理員組的成員可以輕松訪問林中的所有機器。真正隔離資源的唯壹方法是將它們放在單獨的森林中。
我們不必放棄建立單壹森林的想法,但我們需要改變它,即保持森林的數量在最低限度,只在必要時增加森林。有關如何確定是否創建林的標準,請參閱Microsoft白皮書“刪除active directory中的管理的設計考慮事項”(/windows 2000/tech info/planning/active directory/addel admin . ASP)。這份白皮書清楚地解釋了OU、域和森林之間的安全邊界,並解釋了如何確定是否將商業單位放入分離森林的過程中。
什麽時候需要單獨的森林?這在幾種情況下是必需的。最常見的情況是需要保證管理自主權(相當於“我不信任妳”)。另壹種情況是主體的業務單元自己運行Windows 2000林,不能立即更新。因為這片森林需要壹段時間,妳需要想辦法和他壹起拯救。另壹種情況與森林建築有關。請記住,架構(如AD結構定義)是在整個林中共享的。如果要經常更改架構,應該在單獨的林中執行這些操作,這樣就可以只在必要時更改中心林架構。
資源分離是建立分離森林的另壹個重要原因。比如法定代理機構的信息需要分離,受保護的合同也需要分離。壹些像銀行這樣的行業,如果共享客戶信息會受到懲罰。
Windows 2000林中的信任
在Windows 2000的林中,Kerberos安全協議自動建立域間信任關系。Kerberos的壹個重要功能是支持信任轉移。如果域A信任域B,而域B信任域C,則域A會自動信任域C..轉移記憶信任的簡單方法就是記住“妳的朋友就是我的朋友”。該功能使域樹的概念成為可能,Kerberos票證的自動交付使林中的壹個域能夠自動信任其他域。Kerberos在林中的雙向信任也稱為“內部信任”。要了解更多關於Windows 2000的Kerberos技術,請參考微軟白皮書“Windows 2000的Kerberos身份驗證”(/Windows 2000/tech info/how networks/Security/Kerberos . ASP)。
Windows 2000中目錄林之間的信任
森林之外的信任更原始。在Windows 2000中,Kerberos無法建立跨林信任。NT局域網管理器(NTLM)將與其他林的NT 4.0域和Windows 2000域建立信任關系。這些信任被稱為“外部信任”(第三種信任,即“快速信任”,使用Kerberos直接連接兩個域樹的子域以提高性能)。
外部信任與NT 4.0信任有相同的限制:外部信任不如Kerberos信任安全,不能通過。所以妳很快就會陷入和NT 4.0壹樣的境地,妳必須在每壹個林的每壹個域中保持信任。
Windows 2003中的林信任
林信任是壹種連接兩個林根域的信任。森林信任使您能夠以壹種簡單和容易的方式將友好的森林聯系在壹起,這比NTLM信任更快更靈活。因為林信任用Kerberos替換了NTLM,所以兩個林之間的信任是可傳遞的。例如,如果林A信任林B,林A中的所有域也會信任林B中的所有域..但是,這種信任不會在林之間傳遞。如果林A信任林B,林B信任林C,林A不能自動信任林C..這與NTLM信任的規則相同,但是它被放大以適合域林。像NTLM信托,妳可以建立單向或雙向的信任。
森林信托的好處
林信任的兩個好處是跨林認證和授權。跨林身份驗證使受信任林中的用戶能夠登錄到信任林的計算機,而無需重復創建帳戶。跨林授權還使您能夠向受信任林的用戶分配權限,以便他們可以訪問受信任林的資源,並且不需要重復帳戶。這種行為不會危及森林安全邊界。
雖然您可以在林之間建立外部信任,但是使用基於Kerberos的林信任可以大大減少林之間所需的信任量。如果在兩個林中的所有域之間建立了信任關系,您可以使用下面的公式來計算所需的外部信任量。總外部信任= (1單向信任或2雙向信任)×(林A中的域數量)×(林B中的域數量)。
例如,假設您有壹個包含三個域的研發林(DEV)和壹個包含四個域的生產林(PROD ),您希望在跨林的所有域之間建立雙向信任關系。那麽妳需要建立24個信托,也就是2×3×4。雖然這個數字不方便,但是可以忍受,但是如果決定加入壹個有四個域的集成林(INT),信任拓撲會更復雜。您目前有三組信任關系:DEV到PROD、DEV到INT和PROD到INT。這將使信托總數達到80個。
林信任使您能夠實現的壹個重要策略是帳戶林設置。帳戶林本質上是NT 4.0中帳戶域或資源域設置的擴大。要建立壹個帳戶林,首先要保證所有的帳戶都在主林中,然後建立從其他資源林到主林的單向信任(關於建立單向信任的信息,請參見附件“輕松創建單向信任”)。用戶可以使用主林的帳戶登錄所有聯盟林。您甚至可以將建立信任的管理權限委托給不屬於企業管理組的用戶。
您可能想知道為什麽Windows 2003的林信任可以包括其他林,而Windows 2000的外部信任卻不能。在Windows 2003中,信任域對象(TDO)描述外部信任和林信任的基本信息。在森林信任中,TDO包含壹個稱為“森林信任信息”的附加屬性。此屬性包含有關遠程林中所有域、樹名稱和可選名稱後綴的信息。此信息對於路由身份驗證和查詢遠程林是必需的。全局編錄(GC)存儲此信息,因此所有域控制器(DC)都可以查詢此信息。
用Windows 2003設置林信任
要建立林信任,我們必須確保兩個林都在Windows 2003的林功能級別。兩個林的每個DC必須運行Windows 2003,每個域必須升級到Windows 2003的域功能級別,兩個林也必須升級到Windows 2003的林功能級別。有關函數級別的更多信息,請參見“窗口系統的新增功能和改進功能”。NET服務器?(,InstantDoc ID 24316).
接下來,兩個林的根域必須能夠通過DNS找到彼此。如果您在企業內部網環境中,並且兩個目錄林都已經與公司的DNS集成,則目錄林的根域可能已經能夠找到彼此。要進行檢查,請在林中的服務器上打開命令提示符窗口,並運行Nslookup。類型:
設置類型=ns
然後鍵入另壹個林根域的全名(例如,forestb。我的公司.com).如果服務器可以解析此FQDN,Nslookup將返回該域的授權DC列表。
如果您現有的DNS設置無法解析其他林,您需要為每個林的DNS服務器設置轉發條件。將壹個林根區域的壹個或多個中繼器添加到其他林。當接收到對特定域的請求時,轉發服務器告訴本地DNS將請求轉發到指定的IP地址。比如妳要在福雷斯塔。Com和ForestB。在com之間建立林信任。在Microsoft管理控制臺(MMC)的DNS管理單元中,右鍵單擊林A中的DNS服務器並選擇屬性。選擇“轉發器”並輸入DNS服務器的IP地址來轉發請求,它將處理林B的請求..這個過程在林b中重復,以解決對林a的請求。
請記住,您使用的轉發服務器基於手動輸入的IP地址。如果這些地址被更改,轉發器列表也必須更新,否則信任可能會失敗。
解析林後,使用MMC的active directory域和信任管理單元的信任向導來建立您期望的信任類型。讓我們壹步壹步建立兩個森林之間的雙向信任。
從“管理工具”菜單中選擇“active directory域和信任”,或鍵入:
域.人力服務委員會
右鍵單擊根域,選擇屬性,選擇信任屬性,然後選擇新建信任以啟動信任向導。
這個新的信任向導是在Windows 2003中添加的。這個向導將引導您創建各種類型的信任。有四種目標類型:Windows 2003或Windows 2000域、NT 4.0域、Kerberos 5.0域和其他林。該向導的幫助功能提供了有關信任、功能級別和用戶最佳選擇名稱(UPNs)的附加信息。
雖然您使用向導來設置信任操作,但是您應該註意如何設置信任,並在建立信任之前查看確認屏幕。建立信任有很多種可能,向導不會推薦某壹種類型。如果您犯了壹個粗心的錯誤,您可能會得到壹個外部信任類型,而不是林信任。例如,如果您選擇子域而不是根域的屬性,建立林信任將不是壹個選項。
向導的第壹步是輸入受信任林的DNS或NetBIOS名稱。正確完成後,下壹個對話框將要求您選擇外部信任或林信任。如果林信任沒有出現,您應該返回到第壹步,使用“幫助”按鈕來確定哪些設置不正確。
我們的例子是建立雙向信任。當您有另壹個林的管理權限時,新建信任向導允許您創建兩個單向信任來形成壹個雙向信任。
接下來的兩個對話框讓您選擇是否允許目標林的所有用戶在訪問本地林時自動進行身份驗證。如果選擇“只允許對本地林中選定的資源進行身份驗證”,Windows 2003不會自動將受信任林的已驗證用戶SID添加到受信任林用戶的令牌中。您必須單獨授權對資源的訪問。這個功能被稱為“選擇性認證”。選擇性身份驗證更安全,但管理工作量也更大,因為您必須為每個域和服務器單獨設置權限,以便其他林中的用戶可以訪問它。
“信任選擇完成”對話框允許您在執行前檢查您的選擇。建立信任後,您會看到此對話框。向導的最後壹步提供了另壹個有用的功能。因為您已經提供了另壹個林的遠程證書,所以您可以確認雙方的信任,而不需要額外的步驟。成功建立林信任後,向導將關閉,並且屬性簿將在信任類型下顯示“林”,而不是“子”或“外部”。
雖然實現林信任很簡單,但是在多林環境中,壹個錯誤會導致嚴重的後果。因此,在實現森林信任之前,應該進行實驗練習。
森林信托的局限性
林信任對用戶來說不是完全透明的。如果壹個林不包含用戶的帳戶,當用戶登錄到這個林中的機器時,用戶在登錄對話框中看不到他的帳戶域列表,他需要輸入他的UPN(例如,jimbob@bigtex)。網).Microsoft使用這種設計是因為在多目錄林環境中,域之間有時可能會有NetBIOS名稱沖突。例如,假設forest1。bigtex .Net和forest2。bigtex .Net在同壹地區,雖然FQDN(美國。森林1 .bigtex .Net和namerica。森林2 .bigtex .Net)是唯壹的,但是如果林不使用相同的WINS命名空間,它們可能都有壹個名為NAMERICA的NetBIOS域。同樣,如果您的林用戶沒有登錄到Windows 2003 server或Windows XP Service Pack 2(SP2 ),當用戶將跨林用戶或組添加到本地林資源時,他們將看不到用戶或組列表。相反,您必須輸入資源的UPN。圖7顯示了林A中資源的ACL,其中添加了林B中的用戶。訪問控制入口(ACE)使用UPN,而不是傳統的域\帳戶格式。
與UPN相關的另壹個重要考慮是林命名空間的沖突。默認情況下,用戶的UPN格式是account@FQDN。例如,Jim Bob在子域lubbock中。bigtex .Net,他默認的UPN是jimbob@lubbock。bigtex .凈.您可以使用根域UPN,即jimbob@bigtex。凈.許多公司使用根域的UPN,以便UPN與用戶的電子郵件地址壹致。當帳戶只存在於壹個目錄林中時,這是可行的,但是如果您在兩個以上的目錄林中擁有相同的帳戶,該怎麽辦呢?公司的每個成員都有壹個bigtex。Net電子郵件地址,但在壹個林使用此UPN後綴後,其他林就不能再使用它了。對於內部,您必須為用戶選擇唯壹的UPN後綴(例如,f1。bigtex .凈f2 .bigtex .網).對於外部,您可以使用bigtex發送郵件。凈.
森林信任是Windows 2003的壹個重要新功能,它消除了Windows 2000的許多限制。對於那些需要將分離的目錄林聚集在壹起的公司,目錄林信任功能可以降低從Windows 2000升級到Windows 2003的成本。
輕松建立單向信任
壹個需要管理員權限的常見管理任務是建立從資源域到帳戶域的單向信任。這允許您將用戶帳戶保存在壹個中心位置(即受信任域),然後向受信任域中的資源分配權限。Windows Server 2003有壹個名為“傳入林信任生成器”的新組。該組的成員可以在沒有內置管理員權限的情況下建立到本地林的單向信任關系。因為該功能委托了向內信任的過程,所以對於想要與其他組共享信任創建工作的組織來說,它非常有用。