域和领域有什么区别

Question 1

单独来看，“域”和“领域”这两个术语的含义几乎相同，但适用于不同的系统。领域和领域名称来自 Kerberos 身份验证协议，它们的作用实际上与域和域名相同。严格来说，它们没有直接关系，但实际上几乎所有的 Kerberos 领域都以相应的 DNS 域命名。

在 Active Directory 中，AD“域”是 DNS、LDAP、Kerberos 和各种其他组件的集成系统。AD 域用途用于服务器查找的 DNS 域，DNS 域名作为用户帐户的命名空间。通常，AD 域控制器也充当相应 DNS 域的 DNS 服务器。

例如，用户帐户具有 UPN，例如[email protected]，它由纯用户名加上不区分大小写的 DNS 域名后缀（或多个自定义“UPN 后缀”的选择）组成。服务 SPN 以相同的方式形成。

但在内部，这些名称将转换为等效的“Kerberos 主体名称”，其格式类似，如下所示[email protected]。Kerberos 领域名称是始终区分大小写，并且按照惯例始终大写。每个 Active Directory 域充当一个 Kerberos 领域，并且只有一个领域名称（即使配置了多个 UPN 后缀）。每个 AD 域控制器还充当相应 Kerberos 领域的 Kerberos KDC。

（通常，只有在进行用户身份验证时才会直接看到 Kerberos 领域，例如为 Linux 服务器配置 SSO。）

帐户还具有传统的 NT 样式名称，例如EXAMPLE\fred，以“NT 域”或“NetBIOS 域”名称作为前缀，该名称也是大写，但中间没有任何点。不要将其与 Kerberos 领域名称混淆。

那么 AD 域、DNS 域和 Kerberos 领域之间有什么关系？

每个 AD 域都会自动拥有一个 Kerberos 领域，每个 AD 帐户都有一个 Kerberos 主体。因此，Kerberos 领域是 AD 域的一个子集。（但是，Kerberos 也可以独立使用，无需 AD。）
每个 AD 域都依赖于一个 DNS 域，但它们都不是另一个域的子集（DNS 当然可能存在于 AD 之外）。
Kerberos 使用（但不需要）DNS。Kerberos领域是通常根据 DNS 域命名，但除此之外，两者都不是对方的子集。Kerberos 客户端可以选择使用 DNS SRV 记录来发现 KDC（如果领域名称是基于 DNS 的）。

Answer

单独来看，“域”和“领域”这两个术语的含义几乎相同，但适用于不同的系统。领域和领域名称来自 Kerberos 身份验证协议，它们的作用实际上与域和域名相同。严格来说，它们没有直接关系，但实际上几乎所有的 Kerberos 领域都以相应的 DNS 域命名。

在 Active Directory 中，AD“域”是 DNS、LDAP、Kerberos 和各种其他组件的集成系统。AD 域用途用于服务器查找的 DNS 域，DNS 域名作为用户帐户的命名空间。通常，AD 域控制器也充当相应 DNS 域的 DNS 服务器。

例如，用户帐户具有 UPN，例如[email protected]，它由纯用户名加上不区分大小写的 DNS 域名后缀（或多个自定义“UPN 后缀”的选择）组成。服务 SPN 以相同的方式形成。

但在内部，这些名称将转换为等效的“Kerberos 主体名称”，其格式类似，如下所示[email protected]。Kerberos 领域名称是始终区分大小写，并且按照惯例始终大写。每个 Active Directory 域充当一个 Kerberos 领域，并且只有一个领域名称（即使配置了多个 UPN 后缀）。每个 AD 域控制器还充当相应 Kerberos 领域的 Kerberos KDC。

（通常，只有在进行用户身份验证时才会直接看到 Kerberos 领域，例如为 Linux 服务器配置 SSO。）

帐户还具有传统的 NT 样式名称，例如EXAMPLE\fred，以“NT 域”或“NetBIOS 域”名称作为前缀，该名称也是大写，但中间没有任何点。不要将其与 Kerberos 领域名称混淆。

那么 AD 域、DNS 域和 Kerberos 领域之间有什么关系？

每个 AD 域都会自动拥有一个 Kerberos 领域，每个 AD 帐户都有一个 Kerberos 主体。因此，Kerberos 领域是 AD 域的一个子集。（但是，Kerberos 也可以独立使用，无需 AD。）
每个 AD 域都依赖于一个 DNS 域，但它们都不是另一个域的子集（DNS 当然可能存在于 AD 之外）。
Kerberos 使用（但不需要）DNS。Kerberos领域是通常根据 DNS 域命名，但除此之外，两者都不是对方的子集。Kerberos 客户端可以选择使用 DNS SRV 记录来发现 KDC（如果领域名称是基于 DNS 的）。

Question 2

Kerberos 主体名称的结构格式为

service/hostname@REALM.

https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/system-level_authentication_guide/using_trusts

Kerberos 领域是 Kerberos 身份验证服务器有权对用户、主机或服务进行身份验证的域。领域名称通常是（但并非总是）其所管理的 DNS 域名的大写版本。2015 年 10 月 21 日

域到 Kerberos 领域的映射 | Citrix 博客 https://www.roguelynn.com/words/explain-like-im-5-kerberos/ 这是Windows Server 2003上的屏幕。解释以该屏幕为例。 http://en.faq.buffalo-global.com/app/answers/detail/a_id/12992/p/31,33

Answer