保护Windows Server 2003活动目录
2006-07-01 11:56:59 来源:WEB开发网单一森林与多个森林
单一的森林结构比较适用于小型或中型的企业,因为这种结构更易于管理。但是对大型企业来说,每个部门或者办公区域都需要有完整的管理用户和计算机的能力。在这种环境下,各个部门之间更多的是一种不信任的关系。因此一个企业内设立多个森林是比较理想的解决方案,它使得每个部门都能有完全的自主权。
同时,虽然在多个森林的环境中,管理负担被分散了,但是实际上,管理多个森林环境要比管理单一森林的负担重很多,这使得公司的管理成本也相应提升。我个人的观点是,设计Windows Server 2003的AD环境,成本和安全性如何相互权衡是一个问题。
森林间的信任关系
下面我们看看多森林机制下,如何确保公司AD的安全性。首先,每个森林都有自己的AD;各个森林之间没有一个公共的连接关系。因此,我们可以让每个森林都使用同一个通用的DNS服务器。假设这个通用的DNS服务器以及备份DNS服务器受到可靠的管理,那么将它们合并成一个DNS服务器可以部分降低资源成本和管理负担。不过这种方法也有不足的地方,当这个公用的DNS服务器崩溃时,由于网络内没有备用DNS服务器,那么网络可能会无法正常运转。
在Windows Server 2003中设置森林间的信任关系,首先要满足一些前提条件。其中最难满足的条件是令所有参与信任关系设置的森林都以“功能级”模式运行。我们都知道,Windows 2000的AD可以按照混合模式或本机模式运行,而Windows Server 2003的“功能级”模式与此类似。将一个森林设置为Windows Server 2003的“功能级”模式需要森林内的所有域控制器均采用Windows Server 2003操作系统。
要创建森林内部的信任关系,作为管理员,你必须是Enterprise Admins组的成员。同时,你还必须对DNS服务器进行配置,以便它可以解析森林内部所有确立了信任关系的域和服务器。
更多精彩
赞助商链接