Windows Server 是否可以在不成为域控制器的情况下连接到 Active Directory 域?以下是场景:
我想使用 Windows Server 2012 运行多个虚拟机,以便在各种环境中测试我们的 Web 应用程序。我们有一个企业域,我想在每个虚拟机上使用企业登录名(或至少是通用登录名),而不必让 IT 在企业域上设置每个虚拟机。此外,我需要服务器本身能够验证域登录名(应用程序使用域登录信息让用户登录)。但是,我绝对不希望它是企业网络上的 DC。
因此,我的问题是:
- Windows Server 是否可以不作为 DC 连接到 Active Directory 域?
- Windows Server 是否可以在不属于另一个域的情况下对该域上的用户进行身份验证?
- Windows Server 是否可以作为小型网络(仅由服务器及其本身组成)中的域控制器,并使用企业域的 Active Directory 对服务器、Web 应用程序和虚拟机的用户登录进行身份验证?
答案1
因此,只是为了清楚起见,这是对您的问题的准确描述吗?
- 您有一个应用程序,想要在几个虚拟机中测试。
- 此应用程序支持 Active Directory 集成身份验证。
- 您希望在某个地方有一个域,可以用来测试该身份验证机制。
如果这是真的,那么您肯定不希望任何这些机器成为您公司域的成员。
您应该有一个单独的测试域来测试您的应用程序。该域可以托管在虚拟机(域控制器)上。
您可以将此域设置为信任您的真实公司域。然后将 realCorporateDomain\Users 添加到 testDomain\Users 组。这将允许您登录到测试域中的计算机。
答案2
更新:根据你最近的评论,答案是不。
在这种情况下,管理员通常会为开发人员提供一个独立于公司网络的测试域。他们(通常)对测试域拥有更多的访问权限,以便在将应用程序部署到生产环境之前对其进行记录和测试。
Windows Server 是否可以不作为 DC 而连接到 NT 域?
为了回答这个问题,我假设您交替使用 Active Directory 和 NT 域。以下所有答案都假设 AD 域具有(至少)Windows 2003 域控制器。
是的。这称为成员服务器。除非是拥有 1-2 台服务器的小型商店,否则您永远不会看到每台服务器都是 DC 的组织。
Windows Server 是否可以在不属于另一个域的情况下对该域上的用户进行身份验证?
您可以设置类似 AD LDS 的东西,它为您提供 LDAP 前端,而无需成为域控制器。
Windows Server 可以充当“微域”的域控制器并使用企业域的 Active Directory 进行身份验证吗?
是的。听起来您肯定想将服务器加入您的公司域(在管理员的许可下)并考虑安装和配置 AD LDS。
答案3
Windows Server 是否可以不作为 DC 而连接到 NT 域?
是的。
Windows Server 是否可以在不属于另一个域的情况下对该域上的用户进行身份验证?
视情况而定。例如,如果双方的用户名和密码相同,则无需提示即可访问 SMB 共享。
Windows Server 可以充当“微域”的域控制器并使用企业域的 Active Directory 进行身份验证吗?
上面您说您有一个 NT 域。NT 域不运行 Active Directory,并且现代 Windows 服务器不能成为 NT 域中的 DC。
答案4
如果“NT 域”指的是由实际的 Windows NT 4.0 PDC 管理的域,那么您不能再将最新的 Microsoft 操作系统加入 NT 域:http://technet.microsoft.com/it-it/library/ee681706(v=ws.10).aspx。
如果您指的是 Active Directory 域,那么请这样称呼它 :-) 是的,您可以安全地将 Windows Server 2012 计算机加入任何 AD 域,而无需它成为域控制器。
如果您希望您的服务器成为域控制器(用于它自己的“微域”),那么您就不能将其加入到任何其他域,因为根据定义,计算机只能是单个域的成员,而 DC 需要是它所管理的域的成员。