|
aku1 发表于 2006-6-14 15:50:31 |
来自中文technet
跨林路由名称后缀
名称后缀路由机制可用于管理如何跨越通过林信任连接在一起的 Windows Server 2003 林路由身份验证请求。为简化身份验证请求的管理,最初创建林信任时,默认情况下将路由所有唯一名称后缀。唯一名称后缀是林内不从属于任何其他名称后缀的名称后缀,例如用户主体名称 (UPN) 后缀、服务主体名称 (SPN) 后缀,以及 DNS 林或域树名称。例如,DNS 林名称 microsoft.com 是 microsoft.com 林内的唯一名称后缀。
林可以包含多个唯一名称后缀,并且将隐式路由唯一名称后缀的所有子项。因此,在“Active Directory 域和信任关系”中,每个名称后缀的开头都显示一个星号 (*)。例如,如果您的林使用 *.microsoft.com 作为唯一名称后缀,那么将路由 microsoft.com 的所有子项 (*.child.microsoft.com) 的身份验证请求,因为其子域是 microsoft.com 名称后缀的一部分。
如果在两个林之间存在林信任关系,那么可使用一个林中不存在的名称后缀将身份验证请求路由到第二个林中。当新的子名称后缀 (*.child.widgets.com) 添加到唯一名称后缀 (*.widgets.com) 中时,子名称后缀将继承其所属的唯一名称后缀的路由配置。当您验证了信任关系后,建立林信任之后创建的任何新的唯一名称后缀都会显示在林信任“属性”对话框中。但是,在默认情况下将禁用对这些新的唯一名称后缀的路由。有关如何验证信任的详细信息,请参阅验证信任。
当检测到重复的名称后缀时,默认情况下会禁用最新的名称后缀的路由。有关如何路由名称后缀的详细信息,请参阅从路由启用或禁用现有的名称后缀。管理员可以使用林信任“属性”对话框手动阻止特定名称后缀的身份验证请求被路由到林中。
注意
| • |
请不要将“@”符号添加到 UPN 后缀或用户名称中。当身份验证请求被路由到某个受信任林时,第一个“@”符号之前的所有字符都被解释为用户名,而第一个“@”符号之后的所有内容都被解释为 UPN 后缀。 |
| • |
如果 UPN 后缀不是有效的 DNS 名称,那么本地安全机构 (LSA) 将阻止向该 UPN 后缀的路由。例如,在 UPN 后缀中添加“@”符号将导致它被自动禁用。 |
冲突检测
当两个 Windows Server 2003 林通过林信任链接起来时,就可能发生一个林中的唯一名称后缀与第二个林中的唯一名称后缀相冲突的情况。冲突检测可保证每个名称后缀只路由到单个林。
“Active Directory 域和信任关系”将在以下情况检测名称后缀冲突:
| • |
已经使用了相同的域名系统 (DNS) 名称。 |
| • |
已经使用了相同的 NetBIOS 名称。 |
| • |
域安全 ID (SID) 与另一个名称后缀 SID 冲突。 |
当某个林中的名称后缀与新的林信任伙伴相冲突,或者某个现有林信任中的名称后缀与新的林信任伙伴相冲突时,在新的信任中将禁用此名称。例如,如果一个林的名称为 widgets.com,而第二个林的名称为 sales.widgets.com,就会发生冲突。尽管名称后缀冲突,但对于第二个林中的任何其他唯一名称后缀,路由仍然有效。
再比如,假定 msn.com 林需要与 widgets.com 林建立双向林信任。msn.com 和 widgets.com 都有相同的 UPN 后缀,即 microsoft.com。在此双向林信任的创建过程中,“新建信任向导”将检测并显示两个 UPN 名称后缀之间的冲突,然后创建林信任。
如果“Active Directory 域和信任关系”检测到某个名称后缀与信任伙伴域相冲突,则可能会拒绝从林外对该域的访问。但是,从林内对冲突域的访问仍可正常进行。
例如,如果 msn.com 和 microsoft.com 林中都存在 widgets.com 域,那么 msn.com 林内的用户将能够访问位于 msn.com 林中的 widgets.com 域的资源。但是,msn.com 林内的用户将不能访问位于 microsoft.com 林中的 widgets.com 域的资源。
冲突将在“Active Directory 域和信任关系”中“名称后缀路由”选项卡上的林信任“属性”对话框中列出。如果在林信任的创建过程中检测到名称后缀冲突,那么“新建信任向导”将提示您保存冲突的日志文件。您也可以在创建信任之后再保存日志文件。有关如何保存此日志文件的详细信息,请参阅更改名称后缀的路由状态。
如果存在 NetBIOS 或域 SID 冲突,则“Active Directory 域和信任关系”将名称后缀路由状态适当地标识为已启用或已禁用(有异常)。日志文件中将列出冲突所在的具体位置。
还可以使用 Netdom 命令行工具列出所有路由的名称,以及启用和禁用 NetBIOS 名称和 SID 的路由。例如,microsoft.com 林有一个与 widgets.com 的林信任,还需要添加一个与 msn.com 的林信任。widgets.com 和 msn.com 都有 NetBIOS 名称为 SALES 的子域(其 DNS 名称分别为 USsales.widgets.com 和 sales.msn.com)。
当您创建与 msn.com 的新信任之后,到 msn.com 中 SALES 域名的路由将被禁用。如果您需要使用名称 SALES 路由到 msn.com 林,但不需要用它路由到 widgets.com 林,则可使用 Netdom 在 widgets.com 中禁用 SALES,然后在 msn.com 中启用它。
有关 Netdom 的详细信息,请参阅 Active Directory 支持工具。
| 
