创建可传递的林信任，Active Directory系列之二十

核心提示：在实战详解域信任关系中，我们介绍了如何创在两个域之间创建域信任关系，创建可传递的林信任，Active Directory系列之二十，实战的结果是我们在itet.com和homeway.com之间成功创建了信任关系，达到了预期目的，他们之间是域林间的关系，那我们为什么不能在这两个域之间创建可传递的林信任呢？回忆一下创建信

在实战详解域信任关系中，我们介绍了如何创在两个域之间创建域信任关系。实战的结果是我们在itet.com和homeway.com之间成功创建了信任关系，达到了预期目的。但我们打开域控制器上的Active Directory域和信任工具，可以从下图中发现，itet.com和homeway.com之间的信任关系是不可传递的！这个要引起我们的关注。

如果域之间的信任关系是可以传递的，那我们就可以推论只要A信任B，B信任C，那么A必然信任C。但是域信任关系如果是不可传递的，那就会导致A和C之间没有任何信任关系，必须手工创建A和C之间的信任关系。显然，在多域的条件下，如果域的数量较多，信任关系的不可传递会给我们带来很多效率上的麻烦。例如我们可以计算一下，如果有20个域，每两个域之间都要创建双向信任关系，那我们就至少要创建20*19/2=190次信任关系，这显然也太啰嗦了！

微软对域信任关系的不可传递也给出了相应的解决方法，从Win2000开始，微软推出了域树和域林的概念。凡是在同一域树内的域，都会自动创建出双向可传递的信任关系。同一个域林内的域，也会自动创建双向可传递的信任关系。当微软发布Win2003时，微软又推出了林信任的概念，也就是说可以在两个林之间创建可传递的信任关系，把可传递的信任关系从一个林推广到了多个林。

我们看到这儿时，要回忆一下实战详解域信任关系这篇文章中的拓扑图。拓扑如下图所示，我们会忽然意识到itet.com和homeway.com就是分别在一个单独的域林内，他们之间是域林间的关系，那我们为什么不能在这两个域之间创建可传递的林信任呢？回忆一下创建信任关系的过程，没有发现可以创建可传递的林信任啊，为什么呢？