В организации может существовать несколько деревьев доменов, которым необходимо совместно использовать определенные ресурсы. Для решения этой проблемы имеет смысл объединить деревья доменов для создания леса доменов.
Лес (forest) — это набор деревьев, которые не обязательно формируют непрерывное пространство имен (хотя каждое дерево обязательно должно иметь непрерывное пространство имен в индивидуальном порядке). Подобный подход представляет интерес в том случае, если у компании есть несколько корневых адресов DNS.
Представим, что два корневых домена связаны двусторонней схемой доверительных отношений Kerberos (схема весьма напоминает взаимоотношения между родителем и потомком). Лес всегда содержит все дерево доменов, поэтому создать лес, который содержит фрагмент дерева доменов, невозможно.
При повышении сервера до контроллера домена с помощью утилиты DCPROMO можно выбрать создание нового леса.
Существует возможность добавлять в лес любое количество деревьев доменов. Все домены в лесу предоставляют доступ к объектам любому пользователю леса. Таким образом, администратор освобождается от рутинной работы по ручному управлению схемы доверительных отношений.
Создание леса доменов имеет следующие преимущества.
· Все деревья доменов имеют общий глобальный каталог, который содержит конкретную информацию о каждом объекте в пределах леса.
· Все деревья имеют общую схему. Компания Microsoft не предоставляет информации о том, что произойдет при слиянии в лес двух деревьев с различной схемой, поскольку такое слияние запрещено (хотя в Windows 2003 Server подобные деревья можно объединять с помощью схем доверительных отношений). Остается надеяться, что в последующих версиях операционной системы Windows данная проблема будет решена (например, путем слияния изменений схемы).
· Поиск данных в лесу инициирует тщательный поиск в дереве домена, в котором запрашивается поиск, а для поиска в остальных доменах дерева применяются записи глобального каталога.
Иногда вместо слияния деревьев в лес стоит создать обычные доверительные отношения между отдельными деревьями доменов.