通过前面的学习我们知道了，Windows Server 2003域网络的林信任也是可传递的，但是它必须确保信任双方的林所有域控制器及子域都必须是Windows Server 2003域功能级别模式，而双方的林都已是Windows Server 2003林功能级别模式（只有在林中所有域控制器都是Windows Server 2003域功能级别模式，才能把林提升为Windows Server 2003林功能级别模式）。

域控制器的域功能级别模式可以在对应DC的“Active Directory用户和计算机”管理单元，或者“Active Directory域和信任关系”管理单元中提升。这方面已在本系列认证教材——《金牌网管师——中小型企业网络组建、配置与管理》一书中作了详细介绍，在此不再赘述。在此仅介绍林功能级别模式的提升方法。

1. 林功能级别提升

本实验中要在lycb.local与grfw.com两个林中建立双向可传递信任。

（1）分别在它们的其中一个DC的“Active Directory域和信任关系”管理单元控制台根节点“Active Directory域和信任关系”上单击右键，在弹菜单中选择“提升林功能级别”选项，打开对应的林的“提升林功能级别”对话框。如图2-80是lycb.local林的“提升林功能级别”对话框，如图2-81是grfw.com林的“提升林功能级别”对话框。从中可以看出，默认情况下Windows Server 2003林的功能级别是“Windows 2000”模式。

图2-80 lycb.local林的默认林功能级别

图2-81 grfw.com林的默认林功能级别

（2）分别在下面的“选择一个可用的林功能级别”下拉列表中选择“Windows Server 2003”选项，然后单击“提升”按钮开始林功能级别提升。首先弹出的是如图2-82所示的警告提示框，提示说林功能级别的提升将影响整个林，且不可还原。提升成功后都会弹出如图2-83所示的提示框。

图2-82  林功能级别提升警告提示框

图2-83 林功能级别提升成功的提示框

（3）再打开两个林的“提升林功能级别”对话框就可以发现当前的林功能级别已改为了“Windows Server 2003”了（已是Windows Server 2003域网络中最高的林功能级别了，所以下面不再有“选择一个可用的林功能级别”下拉列表），分别如图2-84和图2-85所示。

图2-84 提升后的lycb.local林功能级别

图2-85提升后的grfw.com林功能级别

2. 可传递的双向林信任创建

林功能级别提升后就可正式创建可传递的林信任了。在此也以在grfw.com林DC的“Active Directory域和信任关系”管理单元控制台中同时在信任双方创建信任为例进行介绍（这时你先需要拥有两个林的管理凭据）。

（1）在grfw.com林DC的“Active Directory域和信任关系”管理单元控制台的grfw.com根域上（参见图2-58）单击右键，在弹出菜单中选择“属性”选项，在打开的对话框中选择“信任”选项卡，参见图2-59。

（2）单击“新建信任”按钮，打开如图2-27所示的新建信任向导首页对话框。

（3）单击“下一步”按钮，打开如图2-86所示对话框。在这里要输入对方林名称lycb.local（必须是DNS名称，不能是NetBIOS名称）。

图2-86  “信任名称”对话框

（4）单击“下一步”按钮，打开如图2-87所示对话框。在这里有两种选择，如果是作为两个林中的不同域间建立信任，则要选择“外部信任”单选项；而本实验中要建立林信任，所以要选择“林信任”单选项

【注意】只要在两个林都是windows Server 2003功能级别，且是在林根域上建立信任，才桶出现这个对话框，否则直接进入到下一步如图2-88所示的对话框，只能创建外部信任。

图2-87  “信任类型”对话框

（5）单击“下一步”按钮，打开如图2-88所示对话框。因为本实验采用的是同时创建信任的方式来为信任双方创建信任，所以在此要选择“这个域和指定域”单选项。

（6）单击“下一步”按钮，打开如图2-89所示对话框。在这里要输入对方林根域的管理凭据，以验证你有权在对方林中具有信任创建权限。直接输入对方林根域管理员帐户即可。

图2-88  “信任方”对话框

图2-89  “用户名和密码”对话框

（7）单击“下一步”按钮，打开如图2-90所示对话框。在这里要选择本地林对另一林中的用户进行传出信任身份验证的方式。与域信任中的本地域信任传出身份验证（参见图2-64）类似，也有两种可选项：全林性身份验证、选择性身份验证。在此要选择本地林信任传出的身份验证。当两个林属于同一集团公司时，可选择“全林性身份验证”，否则选择“选择性身份验证”。在此以选择“全林性身份验证”为例进行介绍。

（8）单击“下一步”按钮，打开如图2-91所示对话框。在这里要选择信任的另一林对本地林中的用户进行传出信任身份验证的方式。选择规则与上一步的本地林传出身份验证选择一样。同样，在此以选择“全林性身份验证”为例进行介绍。

（9）单击“下一步”按钮，打开如图2-92所示对话框。在这里显示的是本次信任创建的设置摘要。其中显示了本次创建的信任是双向可传递的林信任。

（10）单击“下一步”按钮，系统开始在信任双方林上创建信任，创建成功后打开如图2-92所示对话框。在其中显示信任创建成功提示，以及信任状态的改变。

（11）单击“下一步”按钮，打开如图2-93所示对话框。在这里要确认是否立即传出信任。因为是同时创建信任的，所以双方都已创建了信任，可以正式进行信任的传入和传出了。选择“是，确认传出信任”单选项。把信任关系发送给对方林。

（12）单击“下一步”按钮，打开如图2-93所示对话框。在这里要确认是否立即传入信任。与上一步同样的原因，在此要选择“是，确认传入信任”，把对林中的信任关系传入到本地林中。

图2-90  “传出信任身份验证级别—本地林”对话框

图2-91  “传出信任身份验证级别—提定林”对话框

图2-92  “选择信任完毕”对话框

图2-93  “信任创建完毕”对话框

图2-94  “确认传出信任”对话框

图2-95  “确认传入信任”对话框

（13）单击“下一步”按钮，打开如图2-71所示的向导完成对话框。此时我们可以在双方林中见到所创建的双向可传递林信任，分别如图2-96和图2-97所示。

图2-96 在grfw.com林中创建的双向可传递林信任  图2-97  在lycb.local林中创建的双向可传递林信任

本文摘自《（金牌网管师——大中型企业网络组建》第二章