Windows活动目录系列---配置AD域服务的信任(1)

在一个多域的AD林中，AD域之间会自动生成双向传递的信任关系，这样能够在所有的AD域之间有一条信任通道。在林中自动创建的信任都是可传递的信任，这表示如果A域信任B域，B域信任C域，那么A域就会信任C域。

下面列举几种主要的信任关系：

信任类型	传递性	方向	描述
父子信任	传递	双向	当一个新的AD域加入到现有的AD域树中，会自动创建父子信任关系
根树信任	传递	双向	当一个新的AD域树加入到现有的AD林中，根树信任会被自动创建
外部信任	非传递	单向或双向	外部信任能够将资源的访问权限开放给Windows NT 4.0域或者另一个林中的AD域，创建外部信任也为域的迁移提供了一个迁移框架
领域信任	传递或非传递	单向或双向	领域信任在Windows AD域和Kerberos V5领域之间建立了一个信任通道，Kerberos V5的领域使用的是一个非Windows AD的目录服务

信任是如何在单林中工作的？

无论你是在同一个林中，还是不同林中，又或者是与一个外部领域建立信任关系，这些信任的信息都会保存在AD域服务中，这些信息会保存为一个信任域对象。

信任域对象保存与信任相关的信息，例如信任的传递性和类型。无论你的信任是什么时候创建的，都会有一个信任域对象被创建并保存在AD域服务的System容器中。

信任是如何让用户访问林中的资源呢？当域内的用户试图去访问林内另一个域中的资源的时候，用户的计算机首先会连接到本域的DC去请求一个访问资源的会话票据，但是因为资源并非本域的资源，DC就需要去确认目标域和本域之间是否存在信任关系。

DC可以使用信任域对象去验证信任是否存在，但是如果要访问资源，客户端计算机必须能够与信任通道上的每个域的DC进行通信。客户端计算机所属域的DC收到请求后，将客户端计算机提交给信任通道上的下一个域的DC，如果这个域不是资源所在的域，这个域的DC又会将客户端计算机提交给接下来的一个域的DC，直到客户端计算机被提交到资源所在的域的DC，这时候资源所在域的DC会给客户端颁发一个用于访问资源的会话票据。

信任通道是贯穿信任等级的最短的路径。在一个林的环境中只会有默认的信任关系，信任通道会从下层的域树向上伸展到林的根域，然后从根域向下延展到另一个域树，最后从域树到目标域。如果配置了快捷信任，在计算机所在域到资源域的信任通道只需要一个跃点。

信任是如何在林之间工作的？

如果AD域服务的环境中拥有一个以上的林，你可以在林的根域之间建立信任关系。这些林的信任关系可以是林范围的信任或者可选的信任。林信任可以是单向或双向的，它同样具有传递性，可以将信任关系传递给每个林中的域，使林之间的域也拥有信任关系。

林信任关系允许那些通过了林中一个域的验证的用户去访问另一个林中的域的资源，如果林信任是单向的，信任林中的DC可以为受信任林中任意域的用户提供会话票据。林信任比起为林中的每个域之间做单独的信任关系要简单的多，也更加便于维护和管理。

林信任在一些场景是非常有用的，比如跨组织的协作，并购等等，又或者在一个组织中有多个林，这些林都需要独立的AD数据和服务。林信任对服务提供商来说是也很有用的，比如外部的商业协作，或者公司自主管理的解决方案。

总体来说，林信任具有以下的优点：

1. 通过减少访问共享资源时必要的信任关系数量，简化了两个windows2008或更高版本的林之间资源访问的管理

2. 使每个林中的域都拥有双向的信任关系

3. 通过UPN的验证实现跨林访问

4. 使用Kerberos V5协议提升了在林之间传递的授权数据的可信度

5. 每个林都拥有独一无二的管理任务，使得管理更具灵活性

你可以在两个AD DS林中创建林信任，不过林信任不会扩展到第三个林。这表示如果你在Forest1和Forest2之间建立了一个林信任，然后你在Forest2和Forest3之间建立一个林信任，但是Forest1和Forest3之间不会默认互相信任，林信任是不会在多个林之间相互传递的。

你在部署林信任之前必须明确林信任的几个要求，首先你的林功能级别必须是Windows 2003或更高的版本，然后你的林之间的DNS能够互相解析。