第 1 部分涉及以下主題：

域?qū)蛹?jí) Windows 2000 和 Windows Server 2003 域 域樹(shù)林 信任關(guān)系 可傳遞信任 單向信任 交叉鏈接信任 第 2 部分涉及以下主題：管理邊界 域 組織單位 Active Directory 交互 模擬域?qū)蛹?jí) 編錄域（目錄分區(qū)） 分區(qū)目錄 獲取有關(guān)其他域中的對(duì)象的信息 分發(fā)目錄復(fù)制目錄 編錄企業(yè)（全局編錄） 結(jié)束語(yǔ) 此信息摘自 Active Directory Services for Microsoft Windows 2000 Technical Reference （《Microsoft Windows 2000 的 Active Directory 服務(wù)技術(shù)參考》）一書(shū)的第 3 章：Active Directory Services and Windows 2000 Domains（Active Directory 服務(wù)和 Windows 2000 域）。進(jìn)一步了解 Active Directory Services for Microsoft Windows 2000 Technical Reference（《Microsoft Windows 2000 的 Active Directory 服務(wù)技術(shù)參考》） 。該書(shū)已得到更新，以包含有關(guān) Microsoft Windows Server 2003 的信息。 更多信息 Microsoft Windows 2000 或 Windows Server 2003 域結(jié)構(gòu)及其相關(guān)聯(lián)的對(duì)象與它們的 Windows NT 4 前身有顯著的不同，反映了 Active Directory 服務(wù)在 Windows 2000 或 Windows Server 2003 中的核心角色，以及使其成為可伸縮、面向企業(yè)的目錄服務(wù)的設(shè)計(jì)要求。其中有些方面的改動(dòng)很明顯，如轉(zhuǎn)為采用可傳遞信任關(guān)系模型；而有些方面則改動(dòng)很小，如引入組織單位。無(wú)論改動(dòng)是否明顯，要理解 Windows 2000 或 Windows Server 2003 域與 Active Directory 服務(wù)之間的交互及依賴關(guān)系，對(duì)它們進(jìn)行說(shuō)明都是極其重要的。Active Directory 模擬 Windows 2000 和 Windows Server 2003 域模型；反之亦然（如果您要反過(guò)來(lái)看的話）。無(wú)論如何，Windows 2000 或 Windows Server 2003 域和 Active Directory 都互相依賴，甚至由對(duì)方的特性定義。要理解 Windows 2000 或 Windows Server 2003 域和 Active Directory 服務(wù)之間這種密不可分的關(guān)系，就需要說(shuō)明 Windows 2000 或 Windows Server 2003 域模型，以及它與 Active Directory 服務(wù)交互的方式。因此，本章將首先講述 Windows 2000 和 Windows Server 2003 域模型，并探討該模型為何與 Windows NT 域模型大相徑庭。 Windows 2000 和 Windows Server 2003 域 Windows NT 4 域的伸縮性不好。雖然有很多粉飾這一事實(shí)的辯解，但簡(jiǎn)單的事實(shí)擺在面前：Windows NT 4 域模型采用單向非傳遞信任，在大型企業(yè)中實(shí)現(xiàn)需要大量管理開(kāi)銷(xiāo)。Windows 2000 或 Windows Server 2003 及其域模型就不存在這一缺陷，主要是因?yàn)椴捎昧诵碌男湃畏椒ǎ惨驗(yàn)檎麄€(gè)域概念得到了改進(jìn)，以符合輕量目錄訪問(wèn)協(xié)議 (LDAP) 和域名服務(wù) (DNS) 等行業(yè)標(biāo)準(zhǔn)。 域?qū)蛹?jí) 在 Windows 2000 和 Windows Server 2003 網(wǎng)絡(luò)中，用層級(jí)組織域。通過(guò)域采用這種新的層級(jí)方式，就誕生了林和樹(shù)的概念。這些新概念，加上現(xiàn)有的域概念，可幫助組織更高效地管理 Windows 2000 和 Windows Server 2003 網(wǎng)絡(luò)結(jié)構(gòu)。 域 Windows 2000 和 Windows Server 2003 域模型的基本單位未變，仍舊是域。域是一種管理邊界，在 Windows 2000 和 Windows Server 2003 中，域代表與 DNS 域?qū)?yīng)的名稱空間（將在第 4 章中討論）。有關(guān) Active Directory 服務(wù)如何與 DNS 交互的更多信息，請(qǐng)參閱第 6 章“Active Directory Services and DNS”（Active Directory 服務(wù)和 DNS）。 Windows 2000 或 Windows Server 2003 部署中創(chuàng)建的第一個(gè)域稱為根域，顧名思義，它是域樹(shù)中創(chuàng)建的所有其他域的根。（域樹(shù)將在下一節(jié)講述。）由于 Windows 2000 和 Windows Server 2003 域的結(jié)構(gòu)與 DNS 域?qū)蛹?jí)有緊密聯(lián)系，因此 Windows 2000 和 Windows Server 2003 域與我們所熟悉的 DNS 域?qū)蛹?jí)的結(jié)構(gòu)類似。根域是類似于 microsoft.com 或 iseminger.com 這樣的域；它們是其 DNS 層級(jí)的根，也是 Windows 2000 和 Windows Server 2003 域結(jié)構(gòu)的根。 給定的 Windows 2000 和 Windows Server 2003 域?qū)蛹?jí)中后續(xù)創(chuàng)建的域?qū)⒊蔀楦虻淖佑颉＠纾绻?msdn 是 microsoft.com 的子域，msdn 域?qū)⒊蔀?msdn.microsoft.com。 正如您所看到的，Windows 2000 和 Windows Server 2003 要求域不是層級(jí)中的根域，就是子域。Windows 2000 和 Windows Server 2003 還要求在給定的父級(jí)域中，域名是唯一的；例如，根域 microsoft.com 不能有兩個(gè)名為 msdn 的直接子域。但是，在整個(gè)域?qū)蛹?jí)中，可以有兩個(gè)名為 msdn 的域。例如，可以有 msdn.microsoft.com 和 msdn.devprods.microsoft.com；microsoft.com 名稱空間只有一個(gè)名為 msdn 的子域，而 devprods.microsoft.com 名稱空間也只有一個(gè)名為 msdn 的子域。 域背后的概念是邏輯分區(qū)。大多數(shù)組織規(guī)模大到需要多個(gè) Windows 2000 或 Windows Server 2003 域時(shí)，都具有區(qū)分職能或工作重點(diǎn)的邏輯結(jié)構(gòu)。通過(guò)將組織劃分為多個(gè)單位（在美國(guó)企業(yè)中，有時(shí)成為部門(mén)），可以更容易地對(duì)組織進(jìn)行管理。實(shí)際上，對(duì)組織被進(jìn)行分區(qū)是為了提供更符合邏輯的結(jié)構(gòu)，使得在組織的不同部門(mén)之間分配工作成為可能。換個(gè)角度看，當(dāng)邏輯業(yè)務(wù)單位（部門(mén)）合并在一個(gè)更大實(shí)體（可能是一個(gè)企業(yè)）的保護(hù)傘下時(shí)，這些在邏輯上不同的部門(mén)就構(gòu)建了一個(gè)更大的實(shí)體。雖然不同部門(mén)中的工作可能互相獨(dú)立且互不相同，但是這些部門(mén)總體上構(gòu)成了一個(gè)更大但邏輯周密的實(shí)體。在將 Windows 2000 和 Windows Server 2003 域組合為一個(gè)更大的連續(xù)名稱空間實(shí)體（稱為樹(shù)）時(shí)，這一概念也適用。樹(shù) 樹(shù)有時(shí)也稱為域樹(shù)，是 Windows 2000 和 Windows Server 2003 域的集合，構(gòu)成了連續(xù)名稱空間。在創(chuàng)建子域并將其與給定的根域相關(guān)聯(lián)的同時(shí)，構(gòu)建了域樹(shù)。就技術(shù)定義來(lái)說(shuō)，樹(shù)是一個(gè)連續(xù)的 DNS 命名層級(jí)；從概念圖看，域樹(shù)的外觀類似于倒置樹(shù)（根域位于頂部），分支（子域）在下方展開(kāi)。 通過(guò)創(chuàng)建域樹(shù)，組織能夠在自己的組織內(nèi)部創(chuàng)建一個(gè)域的邏輯結(jié)構(gòu)，并使域符合并反映 DNS 名稱空間。例如，David Iseminger 和 Company 可以有一個(gè)名為 micromingers.iseminger.com 的 DNS 域，并且公司內(nèi)部可能有多個(gè)邏輯部門(mén)，如銷(xiāo)售、財(cái)會(huì)、生產(chǎn)等部門(mén)。這種情況下，域樹(shù)的外觀為如圖 3-1 中所示。 圖 3-1. micromingers.iseminger.com 的域樹(shù) 注意 ：閱讀到此處，您可能會(huì)注意到處都有 iseminger.com 的字眼。這不是因?yàn)樽髡叩囊鈭D，而是出于出版商所堅(jiān)持的法律方面的考慮。“請(qǐng)不要使用可能會(huì)引起爭(zhēng)議的域”，出版商說(shuō)，“請(qǐng)只使用作者所有的域，或者沒(méi)有實(shí)際意義的域。”作者的網(wǎng)址為 www.iseminger.com，所以只好在本書(shū)中到處使用這個(gè)域名。我有一些更新穎的名稱，但是沒(méi)辦法，還是不要招惹律師為好。 這種公司內(nèi)的邏輯部門(mén)組織非常適用于有一個(gè) DNS 域的公司，但是對(duì)于有多個(gè)“公司”的大型企業(yè)來(lái)說(shuō)，可能需要解決多個(gè)公司問(wèn)題。這一問(wèn)題可以通過(guò)使用 Windows 2000 和 Windows Server 2003 林得到解決。林 有些組織可能有多個(gè)根域，如 iseminger.com 和 microsoft.com 等；但該組織本身是一個(gè)單個(gè)實(shí)體，如本例中虛構(gòu)的 David Iseminger 和 Company。這種情況下，這些多個(gè)域樹(shù)可以構(gòu)成一個(gè)非連續(xù)的名稱空間，稱為林。林是構(gòu)成給定的企業(yè)的一個(gè)或多個(gè)連續(xù)的域樹(shù)層級(jí)。邏輯上講，這也意味著其域樹(shù)中僅有一個(gè)域的組織也可以被看作一個(gè)林。在本章后面討論 Active Directory 與 Windows 2000 或 Windows Server 2003 域和林交互的方式時(shí)，這種區(qū)分將更為重要。 林模型使得未構(gòu)成連續(xù)名稱空間的組織能夠在其合并的域結(jié)構(gòu)中維護(hù)組織范圍的連續(xù)性。例如，如果 David Iseminger 和 Company（即 iseminger.com）能夠共同融資購(gòu)買(mǎi)另一家稱為 Microsoft 且擁有自己的目錄結(jié)構(gòu)的公司，這兩個(gè)實(shí)體的域結(jié)構(gòu)將可以合并到一個(gè)林中。使用單個(gè)林有三個(gè)主要優(yōu)點(diǎn)。首先，信任關(guān)系的管理更易管理（使一個(gè)域樹(shù)中的用戶能夠訪問(wèn)另一個(gè)樹(shù)中的資源）。其次，全局編錄集合了整個(gè)林的對(duì)象信息，這使得整個(gè)企業(yè)搜索成為可能。第三，Active Directory 架構(gòu)適用于整個(gè)林。（有關(guān)架構(gòu)的技術(shù)信息，請(qǐng)參閱第 10 章。）圖 3-2 闡述了 iseminger.com 和 Microsoft 域結(jié)構(gòu)的合并，它們的根域之間有一條連線，表明它們之間存在 Kerberos 信任并建立了林。（第 8 章將詳細(xì)講述 Kerberos 協(xié)議。） 雖然一個(gè)林可以包含多個(gè)域樹(shù)，但是它代表一個(gè)企業(yè)。通過(guò)創(chuàng)建林，所有的成員域都可以共享信息（通過(guò)使用全局編錄）。您可能想問(wèn)：如何建立林內(nèi)的域樹(shù)，使得整個(gè)企業(yè)（由林表示）能夠作為一個(gè)單位運(yùn)作。這個(gè)問(wèn)題問(wèn)得好，下面將通過(guò)講述信任關(guān)系來(lái)盡量回答這個(gè)問(wèn)題。 信任關(guān)系 Windows NT 4 域和 Windows 2000 或 Windows Server 2003 域之間最重要的區(qū)別可能就是：同一個(gè)組織的域之間信任關(guān)系的應(yīng)用和配置。Windows 2000 和 Windows Server 2003 中沒(méi)有像 Windows NT 4 中那樣建立單向信任網(wǎng)，而是實(shí)現(xiàn)了可以在整個(gè)（新）域樹(shù)結(jié)構(gòu)中上下流動(dòng)的可傳遞信任。這一模型簡(jiǎn)化了 Windows 網(wǎng)絡(luò)的管理，我將通過(guò)一個(gè)數(shù)字示例來(lái)進(jìn)行闡述。下面的兩個(gè)等式（注意：以下等式僅供說(shuō)明，不用記）舉例說(shuō)明了每一方法所產(chǎn)生的管理開(kāi)銷(xiāo)；等式表示每個(gè)域信任方法所需要的信任關(guān)系的數(shù)量，其中 n 表示域的數(shù)目：

Windows NT 4 域--( n * ( n -1)) Windows 2000 或 Windows Server 2003 域--( n -1)

僅用于演示，我們以一個(gè)有幾個(gè)域的網(wǎng)絡(luò)為例，來(lái)對(duì)以下不同的域模型方法進(jìn)行比較。（假定網(wǎng)絡(luò)中有 5 個(gè)域，即以下公式中 n = 5。）

Windows NT 4 域：(5 * (5-1)) = 20 個(gè)信任關(guān)系 Windows 2000 或 Windows Server 2003 域：(5 - 1) = 4 個(gè)信任關(guān)系

圖 3-2. Iseminger.com 和 Microsoft 的域樹(shù)的合并 必須管理的信任關(guān)系數(shù)量之間有顯著的差異，但這甚至不是新的域方法最主要的優(yōu)點(diǎn)。對(duì)于 Windows 2000 和 Windows Server 2003 域，默認(rèn)情況下會(huì)創(chuàng)建和實(shí)現(xiàn)信任。管理員僅只需安裝域控制器，就可以使用信任了。信任關(guān)系的自動(dòng)創(chuàng)建基于以下事實(shí)：即 Windows 2000 和 Windows Server 2003 域（與 Windows NT 4 域不同）通過(guò)層級(jí)形式創(chuàng)建；也就是說(shuō)，在給定的域樹(shù)中，只有一個(gè)根域和若干子域。這就使得 Windows 2000 和 Windows Server 2003 能夠自動(dòng)了解給定域樹(shù)中包含哪些域，以及根域之間何時(shí)建立了信任關(guān)系；還能夠自動(dòng)了解林中包含哪些域樹(shù)。 與此相反，在 Windows NT 域之間，管理員必須創(chuàng)建（并隨后管理）信任關(guān)系，并且他們必須記住信任關(guān)系的流向（以及對(duì)任一域中的用戶權(quán)限的影響）。區(qū)別非常明顯：管理開(kāi)銷(xiāo)被削減為很小的一部分，而這樣的信任的實(shí)現(xiàn)也更為直觀，所有這些優(yōu)點(diǎn)都是因?yàn)椴捎昧诵碌男湃文Ｐ鸵约坝蚝陀驑?shù)的層級(jí)方法。 在 Windows 2000 和 Windows Server 2003 中，有三種類型的信任關(guān)系，分別滿足域結(jié)構(gòu)中的某一需要。向 Windows 2000 和 Windows Server 2003 域提供的信任關(guān)系如下： 可傳遞信任 單向信任 交叉鏈接信任 可傳遞信任 可傳遞信任在兩個(gè)域之間建立一種信任關(guān)系，這種信任關(guān)系可以流動(dòng)到其他域，例如，如果域 A 信任域 B，域 B 信任 C，則域 A 必然信任域 C，反之亦然，如圖 3-3 所示。 圖 3-3. 三個(gè)域之間的可傳遞信任 由于不再需要管理單向非傳遞信任網(wǎng)，因此可傳遞信任可以極大地減少有關(guān)維護(hù)域之間的信任關(guān)系的管理開(kāi)銷(xiāo)。在 Windows 2000 和 Windows Server 2003 中，每當(dāng)在域樹(shù)中創(chuàng)建新域時(shí)，都會(huì)自動(dòng)建立父級(jí)和子級(jí)域之間的可傳遞信任關(guān)系。可傳遞信任限于 Windows 2000 或 Windows Server 2003 域，并僅限于同一域樹(shù)或林中的域；不能與低級(jí)（Windows NT 4 和更早版本）域建立可傳遞信任關(guān)系，不能在位于不同林中的兩個(gè) Windows 2000 或兩個(gè) Windows Server 2003 域之間建立可傳遞信任。單向信任 單向信任不可傳遞，因此它們僅可以定義所涉及的域之間的信任關(guān)系，并且這些域不是雙向的。不過(guò)，您可以創(chuàng)建兩個(gè)單獨(dú)的單向信任關(guān)系（一個(gè)方向一個(gè)）來(lái)創(chuàng)建雙向信任關(guān)系，就像在純 Windows NT 4 環(huán)境中一樣。不過(guò)，請(qǐng)注意，即使是可互換的單向信任也不能等效于可傳遞信任；單向信任中的信任關(guān)系僅在所涉及的兩個(gè)域之間有效。Windows 2000 和 Windows Server 2003 中的單向信任與 Windows NT 4 中的單向信任完全相同，在有些情況下，Windows 2000 或 Windows Server 2003 中會(huì)使用單向信任。下面介紹了其中幾種最常見(jiàn)的情況。 首先，單向信任常用于必須與低級(jí)域（如 Windows NT 4 域）建立新的信任關(guān)系的情況。由于低級(jí)域不能加入 Windows 2000 和 Windows Server 2003 可傳遞信任環(huán)境（如樹(shù)或林），因此必須建立單向信任，才能在 Windows 2000 或 Windows Server 2003 域與低級(jí) Windows NT 域之間產(chǎn)生信任關(guān)系。 注意 ：這種單向信任情形不適用于遷移過(guò)程（如將現(xiàn)有的 Windows NT 4 域模型升級(jí)到 Windows 2000 或 Windows Server 2003 域/樹(shù)/林模型）。在從 Windows NT 4 升級(jí)到 Windows 2000 或 Windows Server 2003 的整個(gè)過(guò)程中，您所建立的信任關(guān)系在遷移過(guò)程接近結(jié)束，即直到所有的域都為 Windows 2000 或 Windows Server 2003 并且建立了可傳遞信任環(huán)境時(shí)，才會(huì)得到實(shí)現(xiàn)。有關(guān)遷移過(guò)程的更詳細(xì)說(shuō)明，請(qǐng)見(jiàn)第 11 章“Migrating to Active Directory Services”（遷移到 Active Directory 服務(wù)）。 其次，如果必須在不屬于同一 Windows 2000 或 Windows Server 2003 林的域之間建立信任關(guān)系，可以使用單向信任。您可以在屬于不同的 Windows 2000 或 Windows Server 2003 林的域之間使用單向信任關(guān)系，以隔離與之建立并維護(hù)信任關(guān)系的域的信任關(guān)系，而不是創(chuàng)建影響整個(gè)林的信任關(guān)系。讓我來(lái)用一個(gè)示例來(lái)闡明。 假定您的組織有一個(gè)生產(chǎn)部和一個(gè)銷(xiāo)售部。生產(chǎn)部想要與某個(gè)標(biāo)準(zhǔn)機(jī)構(gòu)共享一些它的一部分處理信息（存儲(chǔ)在位于其 Windows 2000 或 Windows Server 2003 域中的服務(wù)器上）。不過(guò)，銷(xiāo)售部希望使存儲(chǔ)在其域中的服務(wù)器上的敏感銷(xiāo)售和營(yíng)銷(xiāo)信息對(duì)該標(biāo)準(zhǔn)機(jī)構(gòu)保密。（或許，他們的銷(xiāo)售業(yè)績(jī)好到了那個(gè)標(biāo)準(zhǔn)機(jī)構(gòu)想要通過(guò)聲稱其“壟斷”來(lái)打擊他們！）使用單向信任就可以確保銷(xiāo)售信息的安全。要為標(biāo)準(zhǔn)機(jī)構(gòu)提供必要的訪問(wèn)，可在生產(chǎn)部門(mén)域與標(biāo)準(zhǔn)機(jī)構(gòu)的域之間建立單向信任，由于單向信任是不可傳遞的，因此僅在所涉及的兩個(gè)域之間建立了信任關(guān)系。此外，由于信任域是生產(chǎn)部門(mén)域，因此生產(chǎn)部門(mén)域中的用戶將無(wú)法使用標(biāo)準(zhǔn)機(jī)構(gòu)域中的任何資源。 當(dāng)然，在上面提到的任一單向信任方案中，都可以使用兩個(gè)單獨(dú)的單向信任關(guān)系來(lái)創(chuàng)建雙向信任。交叉鏈接信任 交叉鏈接信任用于提高性能。使用交叉鏈接信任，可在樹(shù)或林層級(jí)內(nèi)建立一個(gè)虛擬信任驗(yàn)證橋，從而能夠更快地進(jìn)行信任關(guān)系確認(rèn)（或拒絕）。上述說(shuō)明使您有了大致了解。但要真正理解如何及為什么使用交叉鏈接信任，首先需要理解 Windows 2000 和 Windows Server 2003 中如何處理域間身份驗(yàn)證。 當(dāng) Windows 2000 或 Windows Server 2003 域需要對(duì)不屬于自己域中的資源驗(yàn)證用戶（或以其他方式驗(yàn)證身份驗(yàn)證請(qǐng)求）時(shí)，它會(huì)以類似的方式對(duì) DNS 查詢進(jìn)行驗(yàn)證。Windows 2000 和 Windows Server 2003 首先確定資源是否位于發(fā)出請(qǐng)求的域中。如果資源不在本地域中，域控制器（具體說(shuō)來(lái)，是域控制器上的密鑰分發(fā)服務(wù) [KDC]）會(huì)將客戶端轉(zhuǎn)交給層級(jí)中（上層或下層，視具體情況）的下一個(gè)域中的域控制器的引用。下一個(gè)域控制器繼續(xù)執(zhí)行這種“本地資源”檢查，直到到達(dá)資源所在的域。（第 8 章對(duì)這一轉(zhuǎn)交過(guò)程進(jìn)行了詳細(xì)說(shuō)明。） 雖然這種“遍歷域樹(shù)”效果不錯(cuò)，但是虛擬遍歷域?qū)蛹?jí)耗費(fèi)時(shí)間，耗費(fèi)時(shí)間就會(huì)負(fù)面影響查詢響應(yīng)性能。為了便于您理解，請(qǐng)看以下緊急情況： 您在具有兩條登機(jī)道構(gòu)成 V 形的機(jī)場(chǎng)。登機(jī)道 A 位于 V 形的左側(cè)，登機(jī)道 B 位于右側(cè)。登機(jī)口按一定順序編號(hào)，登機(jī)道 A 和登機(jī)道 B 的 1 號(hào)登機(jī)口都接近 V 形的底部（即兩個(gè)登機(jī)道的交匯處），兩者的 15 號(hào)登機(jī)口都位于 V 形的頂端。所有的登機(jī)口都連接到 V 形內(nèi)。您匆忙地來(lái)趕飛機(jī)，到了登機(jī)道 A 的 15 號(hào)登機(jī)口（位于 V 形的頂端），但此時(shí)您想起班機(jī)實(shí)際上從登機(jī)道 B 起飛。您可以透過(guò)窗戶看到登機(jī)道 B 15 號(hào)登機(jī)口處的班機(jī)，但是為了到達(dá)該登機(jī)口，您必須一直沿登機(jī)道 A 走到（跑到）V 形的底部，然后沿登機(jī)道 B 小跑到它的 15 號(hào)登機(jī)口（此時(shí)，您已經(jīng)氣喘吁吁了），但到達(dá)時(shí)剛好看到飛機(jī)離您而去。您坐在候機(jī)廳里，等待兩小時(shí)后的下一趟班機(jī)，目光掃過(guò) V 形登機(jī)道，移到登機(jī)道 A，也就是您原以為飛機(jī)起飛的位置，這時(shí)您突然想到一個(gè)好主意：在登機(jī)道的兩端修建一座天橋，這樣像您這樣的乘客就能夠快速地從登機(jī)道 A 的 15 號(hào)登機(jī)口到達(dá)登機(jī)道 B 的 15 號(hào)登機(jī)口。這主意不是很好嗎？只有登機(jī)道的 15 號(hào)登機(jī)口之間的客流量很大時(shí)，這一想法才可行。 類似地，交叉鏈接信任可以充當(dāng)域或樹(shù)層級(jí)中邏輯距離較遠(yuǎn)，并且兩者之間具有大量驗(yàn)證通信量的域之間的身份驗(yàn)證橋。多大的數(shù)量可以稱為是大量驗(yàn)證通信量？以 Windows 2000 或 Windows Server 2003 域樹(shù)的兩個(gè)分支為例。第一個(gè)分支由域 A、B、C 和 D 組成。A 是 B 的父級(jí)，B 是 C 的父級(jí)，C 是 D 的父級(jí)。第二個(gè)分支由域 A、M、N 和 P 組成。A 是 M 的父級(jí)，M 是 N 的父級(jí)，N 是 P 的父級(jí)。聽(tīng)上去有點(diǎn)復(fù)雜，可參見(jiàn)圖 3-4 中此結(jié)構(gòu)的圖示。 圖 3-4. 域?qū)蛹?jí)示例 現(xiàn)在假定域 D 中的用戶經(jīng)常（無(wú)論出于什么原因）使用域 P 中的資源。當(dāng)域 D 中的用戶想要使用域 P 中的資源時(shí)，Windows 2000 和 Windows Server 2003 將解析該請(qǐng)求，方法是遍歷一個(gè)引用路徑，爬回樹(shù)的根（本例中為域 A），然后沿域樹(shù)的適當(dāng)分支遍歷，直到到達(dá)域 P。如果同時(shí)進(jìn)行這些身份驗(yàn)證，此方法會(huì)產(chǎn)生大量的通信量。更好的方法是在域 D 和 P 之間創(chuàng)建一個(gè)交叉鏈接信任，這樣，在兩個(gè)域之間進(jìn)行身份驗(yàn)證時(shí)就無(wú)需從域樹(shù)遍歷到根（即樹(shù)分支開(kāi)叉的底部域）。結(jié)果，就身份驗(yàn)證而言，性能會(huì)更好。