Ich weiß, dass dies große Themen sind, aber ich möchte nur einige Fragen klären.
F1) Beziehen sich DNS-Internetdomänen und Active Directory-Domänen auf dasselbe oder sind sie verwandt?
Der Grund für meine obige Frage ist, dass ich zwei kleine Büros in getrennten Netzwerken habe und aufgrund der unterschiedlichen Geschäftsnatur zwei verschiedene Domänennamen gekauft habe.
z.B
company1.com -- office 1
company2.com -- office 2
Ich wollte, dass jedes Büro seinen eigenen DC hat, aber dieselbe AD-Datenbank gemeinsam nutzt.
dc1.company1.com
dc1.company2.com
Können Arbeitsstationen in beiden Netzwerken weiterhin derselben Active Directory-Domäne beitreten, obwohl sie unterschiedliche Netzwerkdomänennamen haben (company1.com, company2.com)?
workstations in office 1 ---> dc1.company1.com ==\
--- join to the same AD domain
workstations in office 2 ---> dc2.company2.com ==/
Kommen wir also zurück zur ursprünglichen Frage: Beziehen sich Internetdomäne und Active Directory-Domäne auf dasselbe? Sind das bloß logische Benennungen, um Dinge zusammenzufassen?
Grüße, Noob
Antwort1
Ich bin überrascht, dass niemand Ihre Frage beantwortet hat.
Was die Verknüpfung zwischen Active Directory-Domänennamen und dem Domänennamensraum betrifft, den Sie von einem Webhosting-Unternehmen erwerben, so sind die beiden ja verwandt. Es handelt sich lediglich um logische Benennungen, um Dinge zusammenzufassen, aber mit AD können Sie auch einen Domänennamensraum verwenden, der nicht öffentlich verfügbar ist. Zum Beispiel server.local.
Hostnamen von Netzwerkgeräten mit der Endung .local werden häufig in privaten Netzwerken verwendet, wo sie entweder über den Multicast Domain Name Service (mDNS) oder lokale Domain Name System (DNS)-Server aufgelöst werden. Die Implementierung beider Ansätze im selben Netzwerk kann jedoch problematisch sein. Daher ist die Auflösung solcher Namen über „Unicast“-DNS-Server in Ungnade gefallen, da Computer, Drucker und andere Geräte, die Zero-Configuration Networking (Zeroconf) unterstützen, immer häufiger verwendet werden.
Die IETF hat den .local-Namespace so definiert, dass er nicht käuflich zu erwerben ist und nur für lokale Netzwerke verwendet werden kann. Der Hauptunterschied zwischen Domänennamen in AD und Domänennamen im öffentlichen Internet besteht also darin, dass AD-Domänennamen nicht unbedingt über den Hostnamen im öffentlichen Internet erreichbar sind. Es ist möglich, einen über das Internet erreichbaren Hostnamen zu verwenden (wie Sie es vorhaben), aber das ist nicht erforderlich (und wird manchmal sogar missbilligt).
Kurz gesagt: Ja, es ist möglich, zwei separate Domänennamensräume (company1.com, company2.com) zu haben und diese über eine WAN-Verbindung miteinander zu verknüpfen.
Die Beziehung zwischen den beiden Domänen wird als transitives Vertrauen bezeichnet. Die folgenden Informationen stammen aus TechNet. Obwohl sich die Informationen auf die Funktionsweise von Server 2003 beziehen, gelten die gleichen Prinzipien auch für Server 2012.
Von Microsoft:
Die Transitivität bestimmt, ob eine Vertrauensstellung über die beiden Domänen hinaus erweitert werden kann, mit denen sie gebildet wurde. Eine transitive Vertrauensstellung kann verwendet werden, um Vertrauensstellungen mit anderen Domänen zu erweitern; eine nicht transitive Vertrauensstellung kann verwendet werden, um Vertrauensstellungen mit anderen Domänen zu verweigern.
Jedes Mal, wenn Sie eine neue Domäne in einer Gesamtstruktur erstellen, wird automatisch eine bidirektionale, transitive Vertrauensstellung zwischen der neuen Domäne und ihrer übergeordneten Domäne erstellt. Wenn der neuen Domäne untergeordnete Domänen hinzugefügt werden, verläuft der Vertrauenspfad nach oben durch die Domänenhierarchie und erweitert den anfänglichen Vertrauenspfad, der zwischen der neuen Domäne und ihrer übergeordneten Domäne erstellt wurde. Transitive Vertrauensstellungen verlaufen nach oben durch eine Domänenstruktur, während diese erstellt wird, und erstellen transitive Vertrauensstellungen zwischen allen Domänen in der Domänenstruktur.
Authentifizierungsanforderungen folgen diesen Vertrauenspfaden, sodass Konten aus jeder Domäne in der Gesamtstruktur von jeder anderen Domäne in der Gesamtstruktur authentifiziert werden können. Mit einem einzigen Anmeldevorgang können Konten mit den entsprechenden Berechtigungen auf Ressourcen in jeder Domäne in der Gesamtstruktur zugreifen. Die folgende Abbildung zeigt, dass alle Domänen in Baum 1 und Baum 2 standardmäßig transitive Vertrauensbeziehungen haben. Daher können Benutzer in Baum 1 auf Ressourcen in Domänen in Baum 2 zugreifen und Benutzer in Baum 1 können auf Ressourcen in Baum 2 zugreifen, wenn der Ressource die entsprechenden Berechtigungen zugewiesen sind.
Zusätzlich zu den standardmäßigen transitiven Vertrauensstellungen, die in einer Windows Server 2003-Gesamtstruktur eingerichtet werden, können Sie mithilfe des Assistenten zum Erstellen neuer Vertrauensstellungen die folgenden transitiven Vertrauensstellungen manuell erstellen. Verknüpfungsvertrauensstellung. Eine transitive Vertrauensstellung zwischen Domänen in derselben Domänenstruktur oder Gesamtstruktur, die verwendet wird, um den Vertrauenspfad in einer großen und komplexen Domänenstruktur oder Gesamtstruktur zu verkürzen.
- Waldvertrauen.Eine transitive Vertrauensstellung zwischen einer Gesamtstrukturstammdomäne und einer anderen Gesamtstrukturstammdomäne.
- Realm-Vertrauen. Eine transitive Vertrauensstellung zwischen einer Active Directory-Domäne und einem Kerberos V5-Bereich.
Eine nichttransitive Vertrauensstellung ist auf die beiden Domänen in der Vertrauensstellung beschränkt und erstreckt sich nicht auf andere Domänen in der Gesamtstruktur. Eine nichttransitive Vertrauensstellung kann eine bidirektionale oder eine unidirektionale Vertrauensstellung sein. Nichttransitive Vertrauensstellungen sind standardmäßig unidirektional, Sie können jedoch auch eine bidirektionale Beziehung erstellen, indem Sie zwei unidirektionale Vertrauensstellungen erstellen. Nichttransitive Domänenvertrauensstellungen sind die einzige Form einer Vertrauensstellung, die zwischen folgenden Domänen möglich ist: Einer Windows Server 2003-Domäne und einer Windows NT-Domäne
Eine Windows Server 2003-Domäne in einer Gesamtstruktur und eine Domäne in einer anderen Gesamtstruktur (sofern keine Gesamtstrukturvertrauensstellung besteht)
Mithilfe des Assistenten für neue Vertrauensstellungen können Sie die folgenden nicht transitiven Vertrauensstellungen manuell erstellen:
- Externes Vertrauen. Eine nichttransitive Vertrauensstellung, die zwischen einer Windows Server 2003-Domäne und einer Windows NT-, Windows 2000- oder Windows Server 2003-Domäne in einer anderen Gesamtstruktur erstellt wird. Wenn Sie eine Windows NT-Domäne auf eine Windows Server 2003-Domäne aktualisieren, bleiben alle vorhandenen Windows NT-Vertrauensstellungen erhalten. Alle Vertrauensstellungen zwischen Windows Server 2003-Domänen und Windows NT-Domänen sind nichttransitiv.
- Reich des Vertrauens.Eine nicht transitive Vertrauensstellung zwischen einer Active Directory-Domäne und einem Kerberos V5-Bereich.
Vertrauenstypen Obwohl alle Vertrauensstellungen einen authentifizierten Zugriff auf Ressourcen ermöglichen, können Vertrauensstellungen unterschiedliche Merkmale aufweisen. Die in der Vertrauensstellung enthaltenen Domänentypen wirken sich auf die Art der erstellten Vertrauensstellung aus. Eine Vertrauensstellung zwischen zwei untergeordneten Domänen in unterschiedlichen Gesamtstrukturen ist beispielsweise immer eine externe Vertrauensstellung, aber Vertrauensstellungen zwischen zwei Stammdomänen einer Gesamtstruktur unter Windows Server 2003 können entweder externe Vertrauensstellungen oder Gesamtstrukturvertrauensstellungen sein.
Wenn Sie den Active Directory-Installationsassistenten verwenden, werden automatisch zwei Vertrauenstypen erstellt. Vier weitere Vertrauenstypen können manuell erstellt werden, entweder mit dem Assistenten für neue Vertrauensstellungen oder dem Netdom-Befehlszeilentool.
Automatische Vertrauensstellungen Standardmäßig werden bidirektionale transitive Vertrauensstellungen automatisch erstellt, wenn mithilfe des Active Directory-Installationsassistenten eine neue Domäne zu einer Domänenstruktur oder Gesamtstrukturstammdomäne hinzugefügt wird. Die beiden standardmäßigen Vertrauensstellungstypen sind übergeordnete und untergeordnete Vertrauensstellungen und Strukturstammvertrauensstellungen.
Eltern-Kind-Vertrauen Eine übergeordnete/untergeordnete Vertrauensbeziehung wird hergestellt, wenn in einem Baum eine neue Domäne erstellt wird. Der Active Directory-Installationsprozess erstellt automatisch eine Vertrauensbeziehung zwischen der neuen Domäne und der Domäne, die ihr in der Namespacehierarchie unmittelbar vorangeht (beispielsweise wird corp.tailspintoys.com als untergeordnete Domäne von tailspintoys.com erstellt). Die übergeordnete/untergeordnete Vertrauensbeziehung weist die folgenden Merkmale auf: Sie kann nur zwischen zwei Domänen im selben Baum und Namespace bestehen.
Die übergeordnete Domäne wird von der untergeordneten Domäne immer als vertrauenswürdig eingestuft.
Es muss transitiv und bidirektional sein. Die bidirektionale Natur transitiver Vertrauensbeziehungen ermöglicht die Replikation der globalen Verzeichnisinformationen in Active Directory in der gesamten Hierarchie.
Baumwurzelvertrauen Eine Vertrauensstellung zwischen Baumwurzeln wird eingerichtet, wenn Sie einer Gesamtstruktur eine neue Domänenstruktur hinzufügen. Der Active Directory-Installationsprozess erstellt automatisch eine Vertrauensstellung zwischen der Domäne, die Sie erstellen (die neue Baumwurzel), und der Stammdomäne der Gesamtstruktur. Eine Vertrauensstellung zwischen Baumwurzeln unterliegt den folgenden Einschränkungen: Sie kann nur zwischen den Wurzeln zweier Bäume in derselben Gesamtstruktur eingerichtet werden.
Es muss transitiv und wechselseitig sein.
Manuelle Vertrauensstellungen In Windows Server 2003 gibt es vier Vertrauenstypen, die manuell erstellt werden müssen: Shortcut-Vertrauensstellungen werden zur Optimierung zwischen Domänenstrukturen in derselben Gesamtstruktur verwendet; externe, Bereichs- und Gesamtstruktur-Vertrauensstellungen helfen bei der Interoperabilität mit Domänen außerhalb der Gesamtstruktur, mit anderen Gesamtstrukturen oder mit Bereichen. Diese Vertrauenstypen müssen mithilfe des Assistenten für neue Vertrauensstellungen oder des Netdom-Befehlszeilentools erstellt werden.
Abkürzungs-Trusts Shortcut Trusts sind ein- oder zweiseitige transitive Vertrauensstellungen, die verwendet werden können, wenn Administratoren den Authentifizierungsprozess optimieren müssen. Authentifizierungsanforderungen müssen zunächst einen Vertrauenspfad zwischen Domänenstrukturen durchlaufen. Ein Vertrauenspfad ist die Reihe von Domänenvertrauensbeziehungen, die durchlaufen werden müssen, um Authentifizierungsanforderungen zwischen zwei beliebigen Domänen weiterzuleiten. In einer komplexen Gesamtstruktur kann die zum Durchlaufen des Vertrauenspfads benötigte Zeit die Leistung beeinträchtigen. Sie können diese Zeit durch die Verwendung von Shortcut Trusts erheblich verkürzen. Shortcut Trusts beschleunigen die Anmeldung und den Zugriff auf Ressourcen in einer Domäne, die sich tief in der Hierarchie einer anderen Domänenstruktur befindet. Die folgende Abbildung veranschaulicht Vertrauensbeziehungen zwischen zwei Strukturen in einer Windows Server 2003-Gesamtstruktur.
--Schnitt--
Weitere Informationen finden Sie unter den folgenden Links auf TechNet