Windows Server 2003操作系统允许把两个不完全独立的域组成一个统一的结构,但它不是一个标准的树型结构,因为它们具备完全不同的名字,不能按照子域命名规则来统一部署。
最终形成的结构是将这个查域树组成一个域林。域林是由多棵树组成的。
域树和域林必须一起建立。在建立企业的第一个根域的时候,默认建立一个域林,域树必须建立在域林下,一个域林可以有多棵域树。已经存在的域不能加入一个树中,也不能将一个已经存在的域树加入到一个域林中,如果一定要把一个域加入到一个域树中,或则要把一个域树加入到一个域林中,唯一可行的方法就是从零开始建立新的AD系统。
企业已经拥有了不同的域、域树、域林,希望同现有的域、域树、域林结合起来,最好的方法就是使用AD的双向信任关系连接起来。如果可以在任何一组域、域树、域林之间建立具有可传递的双向信任关系,那么就可以建立任何形式的AD结构。
Windows Server 2003默认的域功能级别是Windows 2000纯模式,如果要实现林间的信任,需要将林功能级别提升到Windows Server 2003功能级别,同时需要将域功能级别提升到Windows Server 2003域模式。
对于AD双向信任建立的域林这种模式对于标准的AD名称空间结构来说,它是不完整的,那就是没有顶级根。
对于存在企业兼并的大型公司来说建议的做法是建立一个顶级根。首先创建一个真正的林根域控制器(顶级根),搭建的域控制器要正常运行,这个域在实际工作中几乎不用,但它又实际存在,给它命名一个特殊的名字,创建一个新的企业系统管理员,并添加到企业管理员组中。然后在这个林根下建立需要的域树,从而形成完整的域名空间。