我们目前有物理上独立的域控制器
dc1.国家1.公司.com dc2.国家1.公司.com
dc1.国家2.公司.com dc2.国家2.公司.com
共4台机器。
现在,存在许多权限问题,但由于我对 AD 一点都不在行,我只能怀疑这两个域实际上并不知道它们位于同一个 company.com 林中。此外,我们所有用户都必须根据服务所在的位置维护 2 个帐户 country1\user 和 country2\user。
我所能找到的只是“AD 域和信任”控制台中经过验证的条目,其中域 countryX.company.com 信任另一个 countryY.company.com(基本上是相互信任,尽管我不确定其效果)。
请问如何确认两个域是否不在同一林下?确认后如何设置到一个林中?
我查看了“AD 站点和服务”,它似乎是设置 DC 关系的地方,但似乎需要一个单独的物理服务器作为 company.com 的 DC。是这样吗,还是我只能按逻辑进行设置?否则,我可能必须将这两个站点视为单独的林,并研究它们之间的完全信任。
答案1
如果您的森林根域实际上是“company.com”,那么这些域将位于同一个森林中。在这种情况下,您的根将是“company.com”,然后您将拥有两个子域“country1”和“country2”。如果不是,那么它们将位于两个独立的森林中。森林一将是“country1.company.com”,森林二将是“country2.company.com”。
您可以通过将以下内容复制到记事本并将其保存为 .vbs 文件来找到哪个域是林根。
Set objSysInfo = CreateObject("ADSystemInfo")
Wscript.Echo "Forest DNS Name: " & objSysInfo.ForestDNSName
在命令提示符窗口中导航到保存文件的目录,然后使用以下命令运行 .vbs 文件cscript <file>.vbs
此外,为了创建新的林/域,您将需要一台新服务器作为该域的域控制器。它可以是虚拟的或物理的,但您不能让一台服务器充当两个域的域控制器。