Windows 2000使公司可以將不同的商業單元集成到一個統一的結構中,這個結構就是活動目錄森林,這在Windows NT 4.0中是不可能的。許多在NT 4.0域中不能共存的商業單元現在可以在活動目錄的組織單元(OUs)或域中和平共處。但是正如一些使用單 森林結構的人所說,也存在一些商業單元不能共處的場合。有時商業需求或政治原因要求您實現分離的森林。在許多情況下,分離森林中的用戶仍然需要訪問中心森林中的資源。因此,你需要在中心森林和其他森林之間建立信任關系。Windows 2003在不同森林域之間建立信任關系的方法與NT 4.0一致。但是Windows Server 2003新的森林信任功能使其變得更簡單。
多森林范例
從信息安全的角度觀察,域不僅是安全邊界,而且還是復制與管理的邊界。根域管理員組、域管理員組和企業管理員組的成員可以輕易地訪問森林中的任何機器。將資源真正隔離的唯一辦法就是將它們放入分離的森林中。
我們不需要放棄只建立單森林的想法,但我們需要改變一下,即:將森林數量控制在最小,並且只在必需時增加森林。關於如何確定是否創建森林的標准,參見微軟白皮書“Design Considerations for Delegation of Administration in Active Directory”(http://www.microsoft.com/windows2000/techinfo/planning/activedirectory/addeladmin.asp)。這個白皮書清晰地說明了OU、域和森林之間的安全邊界,並說明了如何確定是否將商業單元放入分離森林的過程。
什麼時候需要分離的森林呢?這在幾種情形下需要。最常見的情形是需要保證管理自治(相當於“我不信任您”)。另一種情形是主體的商業單元自己運行Windows 2000森林,並且不能立即更新,由於這個森林還需要一段時間,因此你需要找到與它共存的方法。還有一種情形與森林架構有關,請記住架構(例如AD結構定義)在整個森林中共享,如果你要頻繁更改架構,你應該在分離的森林中做這些事情,這樣只在需要時更改中心森林架構。
資源分離是另一個建立分離森林的重要原因。例如,法律代理部門的信息需要分離,受保護的合同也需要分離。一些像銀行這樣的產業,如果將客戶信息共享會受到處罰。
在Windows 2000的一個森林內,Kerberos安全協議自動建立域間信任關系。Kerberos的一個重要功能是支持信任傳遞。如果A域信任B域,B域信任C域,則A域自動信任C域。記憶信任傳遞的簡單辦法就是記住“你的朋友就是我的朋友”。這個功能使域樹的概念成為可能,Kerberos票據自動傳遞使森林中的一個域可以自動信任其他域。Kerberos在森林中的雙向信任也叫“內部信任”。若要更多了解Windows 2000的Kerberos技術,參見微軟白皮書“Windows 2000 Kerberos Authentication”(http://www.microsoft.com/windows2000/techinfo/howitworks/security/kerberos.asp)。
Windows 2000的森林間信任
森林之外的信任關系更原始一些。在Windows 2000中,Kerberos無法建立跨森林的信任。NT LAN Manager(NTLM)將建立與其他森林的NT 4.0域和Windows 2000域之間的信任關系。這些信任稱為“外部信任”(第三種信任,即“快捷信任”,使用Kerberos直接連接兩個域樹的子域,以提高性能)。
外部信任與NT 4.0信任有相同的限制:外部信任不如Kerberos信任安全,並且不能傳遞。因此,你很快會陷入和NT 4.0一樣的境地,你必須在每個森林的每個域維護信任。
Windows 2003的森林信任
森林信任是連接兩個森林根域的一種信任。森林信任使您可以用簡單輕松的方式將友好森林綁到一起,比NTLM信任更快、更靈活。由於森林信任用Kerberos替代了NTLM,兩個森林之間的信任是可傳遞的。例如,如果森林A信任森林B,則森林A中的所有域也信任森林B中的所有域。然而,這種信任不在森林間傳遞,如果森林A信任森林B,森林B信任森林C,森林A並不能自動信任森林C。這和NTLM信任的規則一樣,但是它被放大到適合於域森林,和NTLM信任一樣,你可以建立單向或雙向信任。
森林信任的優點
森林信任的兩個優點是跨森林認證和授權。跨森林認證使被信任森林中的用戶可以登錄到信任森林的機器上,而不用重復創建賬號。跨森林授權同樣使你可以對被信任森林的用戶分配權限,以便他們訪問信任森林的資源,同樣無需重復賬號。這個行為不會危害森林安全邊界。
盡管你可以在森林間建立外部信任,但使用基於Kerberos的森林信任極大地減少了森林間所需信任的數量。如果在兩個森林的所有域之間建立信任關系,你可以用下面的公式計算所需外部信任的數量。外部信任總數=(1單向信任或2雙向信任)×(森林A中的域數)×(森林B中的域數)。
例如,假設你有一個包含三個域的開發森林(DEV)和一個包含四個域的生產森林(PROD),你希望跨森林建立所有域之間的雙向信任關系。則你需要建立24個信任,既2×3×4。這個數量雖然不便卻還可以忍受,但是如果你決定加入一個包含四個域的集成森林(INT),信任拓撲將更為復雜。你現在有三組信任關系:DEV到PROD,DEV到INT,PROD到INT。這樣需維護的信任總數將達到80。
森林信任讓你可以實現的一個重要策略就是賬號森林配置。一個賬號森林本質上是NT 4.0中賬號域或資源域配置的放大。要建立賬號森林,首先要確保所有賬號在主要森林中,然後建立從其他資源森林到主要森林的單向信任(關於建立單向信任的信息,參見附文“輕松創建單向信任”)。用戶可以使用主要森林的賬號登錄到任何聯盟森林中。你甚至可以將建立信任的管理權委派給不屬於企業管理組的用戶。
用Windows 2003配置一個森林信任
要構建森林信任,必須確保兩個森林都處於Windows 2003的森林功能級別上。兩個森林的每一個DC都必須運行Windows 2003,每個域都必須升級到Windows 2003的域功能級別,並且兩個森林也必須升級到Windows 2003的森林功能級別。要了解關於功能級別的更多信息,參見“What's New and What's Improved in Windows。NET Server?”(http://www.winnetmag.com,InstantDoc ID 24316)。
接下來,兩個森林的根域必須可以通過DNS相互查找。如果你在企業Intranet環境下,並且兩個森林都已經與公司的DNS集成,則森林的根域可能已經能夠互相查找。若要進行檢查,請在一個森林的服務器上打開命令提示窗口,運行Nslookup。鍵入:
set type=ns
然後鍵入其他森林根域的域名全稱(例如forestb。mycompany。com)。如果服務器能夠解析這個FQDN,Nslookup會返回該域的授權DC列表。
如果你現有的DNS配置不能解析其它森林,則你需要為每個森林的DNS服務器配置轉發條件。為一個森林根域到其他森林增加一個或多個轉發器。轉發服務器告訴本地DNS,當接收一個對特定域的請求時,將請求轉發到指定的IP地址。例如,你要在ForestA。com和ForestB。com之間建立森林信任。在微軟管理控制台(MMC)的DNS管理單元,在森林A的DNS服務器上點右鍵並選擇“屬性”。選擇“轉發器”並輸入要轉發請求的DNS服務器IP地址,它將處理對森林B的請求。在森林B中重復這個過程以解析對森林A的請求。
記住你使用的轉發服務器依據的是手工輸入的IP地址。如果這些地址發生改變,則轉發器列表也必須更新,否則信任可能失敗。
可以解析森林後,使用MMC的活動目錄域和信任管理單元的信任向導建立你所期望的信任類型。讓我們在兩個森林之間一步一步地設置一個雙向信任。
從管理工具菜單中選擇“Active Directory Domains and Trusts”,或者在“運行”或命令行鍵入:
domain。msc
在根域點右鍵,選擇“屬性”,然後選擇信任屬性,再選擇“新信任”啟動信任向導。
這個新信任向導是Windows 2003新增的。這個向導指引你創建各種類型的信任,有四種目標類型:一個Windows 2003或Windows 2000域、一個NT 4.0域、一個Kerberos 5.0領域以及其他森林。這個向導的幫助功能提供了關於信任、功能級別以及用戶首選名(UPNs)的附加信息。
盡管你使用向導設置信任操作,你還是應該留意如何設置信任,並且在建立信任之前回顧一下確認屏幕。設置信任存在多種可能性,向導也不會推薦某種類型。如果你粗心犯錯,你可能得到一個外部信任類型而不是森林信任。例如,如果你選擇了一個子域而不是根域的屬性,則建立森林信任不會成為選項。
向導的第一步是輸入被信任森林的DNS或NetBIOS名。正確完成後,下一個對話框將要求你選擇外部信任或森林信任。如果森林信任沒有出現,應返回到第一步並使用幫助按鈕來確定是什麼東西沒有正確設置。
我們的例子是要設置雙向信任。當你具有另一個森林的管理權時,新信任向導可使你創建兩個單向信任來組成雙向信任。
接下來兩個對話框讓你選擇是否允許目標森林的所有用戶在訪問本地森林時自動認證。如果你選擇“Allow authentication only for selected resources in the local forest”,Windows 2003不會自動將信任森林的認證用戶SID加到被信任森林用戶的令牌上;你必須為訪問資源分別授權。這個功能稱為“選擇性認證”。選擇性認證更安全,但管理工作量也更大,因為你必須為每個域和服務器單獨配置權限,以使其他森林的用戶可以訪問。
信任選擇完成對話框讓你在執行前回顧你的選擇。在建立信任之後你將看到這個對話框。向導最後的步驟提供了另一個有用的功能。由於你已經提供了另一個森林的遠程憑證,你可以確認雙方的信任,無需額外步驟。森林信任成功建立後,向導將關閉,屬性簿會在信任類型下顯示“forest”,而不是“child”或“external”。
盡管實現森林信任是直截了當的,但是在多森林環境下,一個錯誤會導致嚴重後果。因此在實現森林信任之前,應該進行試驗練習。
森林信任的限制
森林信任對用戶不是完全透明的。如果一個森林不包含一個用戶的賬號,則該用戶在這個森林的一台機器登錄時,用戶在登錄對話框中看不到他的賬號域列表,他需要輸入他的UPN(例如jimbob@bigtex。net)。微軟使用這個設計是因為在多森林環境下,域之間有時可能存在NetBIOS名稱沖突。例如,假設forest1。bigtex。net和forest2。bigtex。net在相同的地域,盡管FQDN(namerica。forest1。bigtex。net和namerica。forest2。bigtex。net)是唯一的,但如果森林沒有使用相同的WINS名稱空間,它們也許都具有一個NetBIOS名為NAMERICA的域。同樣,如果你的森林用戶不是登錄到Windows 2003 server或Windows XP Service Pack 2(SP2)上,則當用戶為本地森林資源增加跨森林用戶或組時,將看不到用戶或組列表。作為替代,必須輸入資源的UPN。圖7顯示了森林A某資源的ACL,其中加入了森林B的用戶。訪問控制入口(ACE)使用UPN,而不是傳統的域\賬號格式。
另一個與UPN相關的重要考慮是森林名稱空間沖突。默認情況下,用戶的UPN格式為account@FQDN。例如,Jim Bob在子域lubbock。bigtex。net中有一個賬號,它默認的UPN為jimbob@lubbock。bigtex。net。你可以使用根域UPN,即jimbob@bigtex。net。許多公司使用根域的UPN,這樣UPN與用戶的email地址一致。這在該賬號只存在於一個森林中時可以工作,但是如果你在兩個以上森林中具有相同賬號時會如何呢?公司的每個成員都有一個bigtex。net郵件地址,但在一個森林使用了這個UPN後綴之後,其他森林不能再使用。對於內部,你必須為用戶選擇唯一的UPN後綴(例如f1。bigtex。net,f2。bigtex。net)。對於外部,你可以為郵件使用bigtex。net。
森林信任是Windows 2003的一個重要新功能,它去除了Windows 2000的許多限制。對於那些需要將分離森林集合到一起的公司,森林信任功能可以降低從Windows 2000升級到Windows 2003的花銷。
輕松創建單向信任
一個常見的需要管理員權限的管理工作是建立從資源域到賬號域之間的單向信任。這使你可以將用戶賬號保留在一個中心位置(即被信任域),然後為信任域中的資源分配權限。Windows Server 2003有一個稱為“Incoming Forest Trust Builders”的新組。這個組的成員可以建立指向本地森林的單向信任關系,並且不需要內置的管理員權利。由於這個功能委派了向內信任的過程,因此對於那些希望由其他組分擔創建信任工作的組織很有用處。
