什么时候需要新的 AD 林,什么时候需要新的树?

tag-icon tag-icon domain-name-system active-directory
什么时候需要新的 AD 林,什么时候需要新的树?

我是 AD 和 Windows Server 的新手,这听起来应该很明显,但我似乎无法弄清楚树和森林之间的区别。

根据我正在读的书Active Directory For Dummies::

简单来说,只有当您需要使用多个命名空间时,才需要创建一个森林。如果您因为需要多个命名结构而需要多个命名空间,则需要为每个命名空间规划一棵额外的树。

书中还提供了这张图表:

在此处输入图片描述

我不完全理解这个说法,但根据图表,如果你有Corp.comNewcorp.com,你应该在同一个森林中有 2 棵树,而不是 2 个不同的森林。然而根据这个:

Windows Active Directory 命名最佳实践?

命名“AD”的主要推荐方式(我认为它们的意思是森林)是:

  • 您公开使用的域的未使用子域。例如,如果您的公共网络存在是example.com您的内网 AD,则可能将其命名为ad.example.cominternal.example.com

使用推荐的方式,如果你将活动目录命名为 ad.Corp.com,稍后需要将 ad.Newcorp.com 作为一棵新树添加到你的林中,这似乎会很奇怪,因为 ad.Newcorp.com 将是名为 ad.Corp.com 的林中的一棵树。

我在这里遗漏了什么?

编辑:

根据https://www.youtube.com/watch?v=Whh3kPS0FdA,如果您符合以下情况,则通常仅需要一片新森林:

  • 与另一家公司合并,该公司的 AD 林与你的架构不同
  • 正在测试对架构进行更改的应用程序,并且您不希望它影响您的生产架构

我最大的问题是:你会如何命名你的森林,以便即使你以后添加不同的 DNS 命名空间(例如添加 NewCorp.com),你也不会得到一个名为 Corp.com 的森林,而树名为 NewCorp.com,或者更奇怪的名称?如果一个森林可以包含多个 DNS 命名空间,为什么建议将其命名为 ad.example.com 而不是通用名称?

编辑2:

同一本书建议使用 AD.LOCAL 等通用名称作为森林根域的名称,这很有意义,因为这将允许您拥有多个 DNS 命名空间。然而,使用 SOMETHING.LOCAL 不再被视为森林根域的好名称,那么新建议的命名约定如何处理不同的 DNS 命名空间?

答案1

.local 从来都不是一个好主意,也从不被推荐。我对那本书中的其他内容持怀疑态度。

在绝大多数情况下,你的问题并不重要,因为多个域林几乎不再需要了。

当你需要安全边界时,你需要一个新的森林。森林就是安全边界。如果你出于法律或合规原因需要隔离资源,森林将实现这一点。

您需要一个新的子域或树根,嗯……真的永远不会。它曾经用于不同的密码策略或减少复制开销或用于管理目的,但实际上在现代 AD 域中,这一切都可以在单个域场景中实现。

答案2

您的问题过于宽泛,但要回答其中的一部分,corp.com 和 newcorp.com 命名空间可能存在于同一林中。这是一种“树根信任”,在创建新域时发生在现有林中,而不是更常见的“父子信任”场景,其中新域被添加到现有树中,并且是顶级根的子域。这两种信任类型都是双向和可传递的。

信托类型
https://technet.microsoft.com/en-us/library/cc775736%28v=ws.10%29.aspx

回答这个问题:

我最大的问题是:您将如何命名您的森林,以便即使您稍后添加不同的 DNS 命名空间(例如添加 NewCorp.com),您也不会最终得到一个名为 Corp.com 的森林和一个名为 NewCorp.com 的树,或者甚至更奇怪的东西?

好吧,不要将 TLD 用于林根域。不要将 contoso.com 用于 AD 林根命名空间,而要使用 contosoad.contoso.com 或类似的名称。

拥有多个森林的一般原因如下:

  • 测试环境(正如您之前提到的)非常适合单独的林。生产林永远不应该信任测试林。

  • 如果您公司的某个部门受特定法律或监管要求的约束。您可能不希望整个公司基础架构都受这些要求的约束(或者您的业务可能在多个地理区域运营,这些区域有不同的或相互冲突的要求),因此将公司的该部分放在单独的基础架构中可能更为实际,包括单独的 Active Directory 林。

  • “影子”林在 SharePoint、Lync、Office 365 等产品中颇受欢迎。可能有多种驱动因素。您不想在主生产林中更新架构。出于安全原因,您不想与主生产林同步帐户。

  • 森林恢复方案。虽然大型分布式 AD 森林拓扑很少见,但如果您有一个,那么完整的森林恢复方案可能会成为问题。如果它分布在全球,网络带宽缓慢或不可靠,并且数据库很大,这种情况会变得尤为严重。

  • 专用管理林。在大型、高安全性环境中,建议创建一个单独的林来保护高权限管理帐户,以减轻传递哈希攻击的风险。有关详细信息,请参阅以下位置的附录“专用管理林”:

缓解传递哈希和其他凭证盗窃 v2

相关内容