首先,单向信任常用于必须与低级域(如 Windows NT 4 域)建立新的信任关系的情况 。由于低级域不能加入 Windows 2000 和 Windows Server 2003 可传递信任环境(如树或林),因此必须建立单向信任,才能在 Windows 2000 或 Windows Server 2003 域与低级 Windows NT 域之间产生信任关系 。
注意 :这种单向信任情形不适用于迁移过程(如将现有的 Windows NT 4 域模型升级到 Windows 2000 或 Windows Server 2003 域/树/林模型) 。在从 Windows NT 4 升级到 Windows 2000 或 Windows Server 2003 的整个过程中,您所建立的信任关系在迁移过程接近结束,即直到所有的域都为 Windows 2000 或 Windows Server 2003 并且建立了可传递信任环境时,才会得到实现 。有关迁移过程的更详细说明,请见第 11 章“Migrating to Active Directory Services”(迁移到 Active Directory 服务) 。
其次,如果必须在不属于同一 Windows 2000 或 Windows Server 2003 林的域之间建立信任关系,可以使用单向信任 。您可以在属于不同的 Windows 2000 或 Windows Server 2003 林的域之间使用单向信任关系,以隔离与之建立并维护信任关系的域的信任关系,而不是创建影响整个林的信任关系 。让我来用一个示例来阐明 。
假定您的组织有一个生产部和一个销售部 。生产部想要与某个标准机构共享一些它的一部分处理信息(存储在位于其 Windows 2000 或 Windows Server 2003 域中的服务器上) 。不过,销售部希望使存储在其域中的服务器上的敏感销售和营销信息对该标准机构保密 。(或许,他们的销售业绩好到了那个标准机构想要通过声称其“垄断”来打击他们!)使用单向信任就可以确保销售信息的安全 。要为标准机构提供必要的访问,可在生产部门域与标准机构的域之间建立单向信任,由于单向信任是不可传递的,因此仅在所涉及的两个域之间建立了信任关系 。此外,由于信任域是生产部门域,因此生产部门域中的用户将无法使用标准机构域中的任何资源 。
当然,在上面提到的任一单向信任方案中,都可以使用两个单独的单向信任关系来创建双向信任 。交叉链接信任 交叉链接信任用于提高性能 。使用交叉链接信任,可在树或林层级内建立一个虚拟信任验证桥,从而能够更快地进行信任关系确认(或拒绝) 。上述说明使您有了大致了解 。但要真正理解如何及为什么使用交叉链接信任,首先需要理解 Windows 2000 和 Windows Server 2003 中如何处理域间身份验证 。
当 Windows 2000 或 Windows Server 2003 域需要对不属于自己域中的资源验证用户(或以其他方式验证身份验证请求)时,它会以类似的方式对 DNS 查询进行验证 。Windows 2000 和 Windows Server 2003 首先确定资源是否位于发出请求的域中 。如果资源不在本地域中,域控制器(具体说来,是域控制器上的密钥分发服务 [KDC])会将客户端转交给层级中(上层或下层,视具体情况)的下一个域中的域控制器的引用 。下一个域控制器继续执行这种“本地资源”检查,直到到达资源所在的域 。(第 8 章对这一转交过程进行了详细说明 。)
虽然这种“遍历域树”效果不错,但是虚拟遍历域层级耗费时间,耗费时间就会负面影响查询响应性能 。为了便于您理解,请看以下紧急情况:
您在具有两条登机道构成 V 形的机场 。登机道 A 位于 V 形的左侧,登机道 B 位于右侧 。登机口按一定顺序编号,登机道 A 和登机道 B 的 1 号登机口都接近 V 形的底部(即两个登机道的交汇处),两者的 15 号登机口都位于 V 形的顶端 。所有的登机口都连接到 V 形内 。您匆忙地来赶飞机,到了登机道 A 的 15 号登机口(位于 V 形的顶端),但此时您想起班机实际上从登机道 B 起飞 。您可以透过窗户看到登机道 B 15 号登机口处的班机,但是为了到达该登机口,您必须一直沿登机道 A 走到(跑到)V 形的底部,然后沿登机道 B 小跑到它的 15 号登机口(此时,您已经气喘吁吁了),但到达时刚好看到飞机离您而去 。您坐在候机厅里,等待两小时后的下一趟班机,目光扫过 V 形登机道,移到登机道 A,也就是您原以为飞机起飞的位置,这时您突然想到一个好主意:在登机道的两端修建一座天桥,这样像您这样的乘客就能够快速地从登机道 A 的 15 号登机口到达登机道 B 的 15 号登机口 。这主意不是很好吗?只有登机道的 15 号登机口之间的客流量很大时,这一想法才可行 。
推荐阅读
- 上 windows 2K安装与服务器配置
- 漫游是什么意思服务
- 创建 Active Directory
- 如何配置windows 2003的DNS服务器
- 在windows 2003中为SMTP服务配置本地域
- 新浪博客停止服务以前的文怎么看
- windows 2003中搭建视频服务器
- 用windows 2003配置邮件服务器
- 当NetBIOS在运行Windows Server 2003的服务器上关闭时,配置TCP/IP
- 在windows 2003中配置NAT服务器