當(dāng)你的活動(dòng)目錄林只包含兩個(gè)域時(shí)，作為一名管理員，你一定覺得生活無限美好：很少有錯(cuò)誤出現(xiàn)，客戶端接收快速的回應(yīng)，且一般情況下事情按本應(yīng)該的方式正常運(yùn)作。

但是隨著越來越多的域上線，尤其是當(dāng)你擴(kuò)大成不同的林來進(jìn)一步規(guī)定安全界線，這樣的情況需要更多的管理，尤其是當(dāng)你開始指望信任關(guān)系來無縫地承擔(dān)所有事情之時(shí)。下面將提供一些管理信任關(guān)系的***實(shí)踐，它們讓認(rèn)證可用，也讓AD基礎(chǔ)設(shè)施的管理更容易。

運(yùn)用快捷信任來消除延遲。當(dāng)你的活動(dòng)目錄林中有很多樹包含多個(gè)子域時(shí)，延遲就悄悄降臨了。當(dāng)你發(fā)現(xiàn)該客戶端花長(zhǎng)時(shí)間認(rèn)證，尤其是在這些子域間時(shí)，***方案是在每個(gè)樹層級(jí)中創(chuàng)建到中級(jí)域的快捷信任，如果可行的話。這些快捷信任本質(zhì)上是雙向傳遞的信任關(guān)系，它們有效地減少了認(rèn)證路經(jīng)途徑的長(zhǎng)度，該認(rèn)證發(fā)生在位于兩個(gè)不同樹上的域與域之間。

創(chuàng)建這些快捷信任需要:

打開活動(dòng)目錄域及信任，在左邊的窗口中右擊你想要與其建立快捷信任的域的域節(jié)點(diǎn)，然后點(diǎn)擊屬性。

在信任標(biāo)簽上，點(diǎn)擊新信任關(guān)系，然后點(diǎn)擊下一步。

在信任名稱頁面，輸入該域的DNS名稱（或NetBIOS名稱），然后點(diǎn)擊下一步。

在信任方面頁面，選擇創(chuàng)建雙向的快捷信任（點(diǎn)擊雙向），或者如果你需要限制相互性的話選擇其中一個(gè)單向選項(xiàng)。

接下來是完成導(dǎo)航。

保持你林中所有信任關(guān)系的現(xiàn)有列表。這種方式，在你管理任務(wù)期間，你不須要弄明白為什么有些認(rèn)證在工作而別的沒有，或者什么域單向信任另一個(gè)域而不是其它的等等。這在大型林或有多個(gè)林的企業(yè)中是常見的問題，因?yàn)楹芏喙芾韱T創(chuàng)建信任時(shí)并沒有為自己的工作創(chuàng)建足夠的文檔。有個(gè)微軟的工具叫NLTest，在其它有用的事情中，為所有域查詢信任狀態(tài)并顯示一個(gè)給定域信任的其它域。

舉例來說，要查看域中已建立的信任關(guān)系，使用nltest /domain_trusts。你看到的結(jié)果會(huì)像下方所示：

List of domain trusts:
0: testdomain.com testdomain.com (NT 5) (Forest Tree Root) (Primary Domain)
The command completed successfully

執(zhí)行一個(gè)好的備份并總是測(cè)試來保證你具有恢復(fù)能力。由于信任在其失去的事件中，要正確搭建它很復(fù)雜且很難恢復(fù)。為了保護(hù)你自己，確保所有林中每個(gè)域里的所有域控制器都有一個(gè)當(dāng)前經(jīng)過測(cè)試的系統(tǒng)狀態(tài)備份。系統(tǒng)狀態(tài)備份包含系統(tǒng)中任意時(shí)間點(diǎn)存儲(chǔ)的活動(dòng)目錄信任數(shù)據(jù)。在恢復(fù)期間，域控制器進(jìn)入到特殊模式中，這個(gè)模式允許它在所有其它在線域控制器上返回到復(fù)制過程：包括復(fù)制適當(dāng)?shù)男湃涡畔?，且不?huì)產(chǎn)生或遭遇完整性錯(cuò)誤。內(nèi)置的Windows Server Backup產(chǎn)品包含合適的工具來引導(dǎo)這些系統(tǒng)狀態(tài)備份，但是其它已經(jīng)在保護(hù)你數(shù)據(jù)中心的第三方產(chǎn)品也具有這些功能。

【編輯推薦】

1. 活動(dòng)目錄在云環(huán)境中扮演什么樣的角色
2. 系統(tǒng)管理自測(cè)32問之29：書面安全性規(guī)章制度
3. 如何讓我們的活動(dòng)目錄保持整潔？
4. 升級(jí)Server 2008 R2活動(dòng)目錄林功能級(jí)別
5. IBM允許員工使用智能手機(jī)和平板電腦完成任務(wù)