DNS 域、Active Directory 域和域控制器

DNS 域、Active Directory 域和域控制器

我知道这些都是大话题,但我只是想澄清几个问题。

q1)DNS互联网域和活动目录域指的是同一件事还是相关的?

询问上述问题的原因是,如果我在不同的网络中有 2 个小办公室,并且由于它们的业务性质不同,我购买了 2 个不同的域名。

例如

company1.com -- office 1
company2.com -- office 2

我希望每个办公室都有自己的 DC 但共享同一个 AD 数据库。

dc1.company1.com
dc1.company2.com

尽管网络域名不同(company1.com,company2.com),两个网络中的工作站是否仍可以加入同一个活动目录域?

workstations in office 1 ---> dc1.company1.com ==\
                                                 --- join to the same AD domain
workstations in office 2 ---> dc2.company2.com ==/

因此回到最初的问题,互联网域和活动目录域指的是同一件事吗?它们只是将事物分组在一起的逻辑命名吗?

问候,Noob

答案1

我很惊讶没有人回答你的问题。

关于 Active Directory 域名和您从 Web 托管公司购买的域名空间之间的联系,是的,这两者是相关的。它们只是将事物组合在一起的逻辑命名,但使用 AD,您还可以使用不公开使用的域名空间。例如,server.local。

以 .local 结尾的网络设备主机名通常用于私有网络,它们通过多播域名服务 (mDNS) 或本地域名系统 (DNS) 服务器进行解析。然而,在同一网络上同时实施这两种方法可能会出现问题,因此,随着支持零配置网络 (zeroconf) 的计算机、打印机和其他设备变得越来越普遍,通过“单播”DNS 服务器解析此类名称已不再受欢迎。

IETF 已指定 .local 命名空间不可购买,仅用于局域网。因此,AD 中的域名与公共互联网上的域名之间的主要区别在于,AD 域名不一定可以通过公共互联网上的主机名访问。可以使用互联网可访问的主机名(就像您计划的那样),但这不是必需的(有时甚至不受欢迎)

简而言之,是的,可以拥有两个独立的域名空间(company1.com,company2.com)并通过 WAN 链接将它们链接在一起。

两个域之间的关系就是所谓的可传递信任。以下内容来自 TechNet,尽管信息涉及 Server 2003 的运行方式,但相同的原理也适用于 Server 2012。

来自微软:

传递性决定了信任是否可以扩展到建立信任的两个域之外。传递性信任可用于扩展与其他域的信任关系;非传递性信任可用于拒绝与其他域的信任关系。

每次在林中创建新域时,都会在新域与其父域之间自动创建双向可传递信任关系。如果将子域添加到新域,信任路径将通过域层次结构向上流动,从而扩展在新域与其父域之间创建的初始信任路径。传递信任关系在域树形成时向上流动,从而在域树中的所有域之间创建可传递信任。

身份验证请求遵循这些信任路径,因此林中任何域的帐户都可以由林中的任何其他域进行身份验证。通过单一登录过程,具有适当权限的帐户可以访问林中任何域中的资源。下图显示树 1 和树 2 中的所有域默认具有可传递信任关系。因此,当在资源上分配了适当的权限时,树 1 中的用户可以访问树 2 中域中的资源,树 1 中的用户可以访问树 2 中的资源。

在此处输入图片描述

除了在 Windows Server 2003 林中建立的默认传递信任之外,您还可以使用新建信任向导手动创建以下传递信任。快捷信任。同一域树或林中的域之间的传递信任,用于缩短大型复杂域树或林中的信任路径。

  • 森林信托。一个林根域与另一个林根域之间的可传递信任。
  • 领域信任. Active Directory 域和 Kerberos V5 领域之间的传递信任。

非传递信任仅限于信任关系中的两个域,不会流向林中的任何其他域。非传递信任可以是双向信任或单向信任。非传递信任默认为单向信任,但您也可以通过创建两个单向信任来创建双向关系。非传递域信任是以下域之间唯一可能的信任关系形式:Windows Server 2003 域和 Windows NT 域

一个林中的 Windows Server 2003 域和另一个林中的域(未加入林信任时)

通过使用新建信任向导,您可以手动创建以下非传递信任:

  • 外部信任。在 Windows Server 2003 域与另一个林中的 Windows NT、Windows 2000 或 Windows Server 2003 域之间创建的不可传递信任。将 Windows NT 域升级到 Windows Server 2003 域时,所有现有的 Windows NT 信任均会保留原样。Windows Server 2003 域与 Windows NT 域之间的所有信任关系都是不可传递的。
  • 领域信任。Active Directory 域和 Kerberos V5 领域之间的非传递信任。

信托类型 尽管所有信任都支持对资源进行身份验证的访问,但信任可以具有不同的特征。信任关系中包含的域类型会影响创建的信任类型。例如,不同林中的两个子域之间的信任始终是外部信任,但两个 Windows Server 2003 林根域之间的信任可以是外部信任或林信任。

使用 Active Directory 安装向导时会自动创建两种类型的信任。可以使用新建信任向导或 Netdom 命令行工具手动创建其他四种类型的信任。

自动信托 默认情况下,使用 Active Directory 安装向导将新域添加到域树或林根域时,会自动创建双向传递信任。两种默认信任类型是父子信任和树根信任。

亲子信托 每当在树中创建新域时,就会建立父子信任关系。Active Directory 安装过程会自动在新域和命名空间层次结构中紧接在其之前的域之间创建信任关系(例如,corp.tailspintoys.com 被创建为 tailspintoys.com 的子域)。父子信任关系具有以下特征:它只能存在于同一树和命名空间中的两个域之间。

父域始终受到子域的信任。

它必须是可传递的和双向的。可传递信任关系的双向性允许 Active Directory 中的全局目录信息在整个层次结构中复制。

树根信任 当您向林中添加新的域树时,就会建立树根信任。Active Directory 安装过程会自动在您正在创建的域(新树根)和林根域之间创建信任关系。树根信任关系具有以下限制:它只能在同一林中的两棵树的根之间建立。

它必须是传递性的和双向的。

手动信托 在 Windows Server 2003 中,有四种信任类型必须手动创建:快捷信任用于优化同一林中的域树;外部信任、领域信任和林信任有助于提供与林外域、其他林或领域的互操作性。这些信任类型必须使用新建信任向导或 Netdom 命令行工具创建。

快捷信任 快捷信任是单向或双向可传递信任,可在管理员需要优化身份验证过程时使用。身份验证请求必须首先通过域树之间的信任路径。信任路径是一系列域信任关系,必须遍历这些关系才能在任意两个域之间传递身份验证请求。在复杂的林中,遍历信任路径所需的时间会影响性能。您可以使用快捷信任显著减少此时间。快捷信任可加快登录和访问位于另一个域树层次结构深处的域中的资源的时间。下图说明了 Windows Server 2003 林中两棵树之间的信任关系。

--剪辑--

如需进一步了解,请查看 TechNet 上的以下链接

相关内容