Eu sei que esses são tópicos importantes, mas tenho apenas algumas perguntas que desejo esclarecer.
q1) os domínios DNS da Internet e os domínios do Active Directory referem-se à mesma coisa ou estão relacionados?
O motivo da pergunta acima é que, se eu tiver dois pequenos escritórios em redes separadas e tiver comprado dois nomes de domínio diferentes devido à sua natureza comercial diferente.
por exemplo
company1.com -- office 1
company2.com -- office 2
Eu queria que cada escritório tivesse seu próprio DC, mas compartilhasse o mesmo banco de dados do AD.
dc1.company1.com
dc1.company2.com
As estações de trabalho em ambas as redes ainda podem ingressar no mesmo domínio do Active Directory, apesar de terem nomes de domínio de rede diferentes (empresa1.com, empresa2.com)
workstations in office 1 ---> dc1.company1.com ==\
--- join to the same AD domain
workstations in office 2 ---> dc2.company2.com ==/
Portanto, voltando à pergunta original, o domínio da Internet e o domínio do Active Directory se referem à mesma coisa? são apenas nomenclaturas lógicas para agrupar coisas?
Atenciosamente, Noob
Responder1
Estou surpreso que ninguém tenha respondido à sua pergunta.
No que diz respeito à ligação entre os nomes de domínio do Active Directory e o espaço de nomes de domínio que você compra de uma empresa de hospedagem na web, sim, os dois estão relacionados. Eles são apenas nomes lógicos para agrupar coisas, mas com o AD você também pode usar um espaço de nome de domínio que não está disponível publicamente para uso. Por exemplo, servidor.local.
Nomes de host de dispositivos de rede que terminam com .local são frequentemente empregados em redes privadas, onde são resolvidos por meio do serviço de nomes de domínio multicast (mDNS) ou de servidores locais de Sistema de Nomes de Domínio (DNS). No entanto, a implementação de ambas as abordagens na mesma rede pode ser problemática, pelo que a resolução de tais nomes através de servidores DNS “unicast” caiu em desuso à medida que computadores, impressoras e outros dispositivos que suportam redes de configuração zero (zeroconf) se tornaram cada vez mais comuns.
A IETF designou o namespace .local para não estar disponível para compra e ser usado apenas para redes locais. Portanto, a principal diferença entre nomes de domínio no AD e nomes de domínio na Internet pública é que os nomes de domínio do AD não são necessariamente acessíveis pelo nome do host na Internet pública. É possível usar um nome de host acessível pela Internet (como você está planejando fazer), mas não é obrigatório (e às vezes até desaprovado)
Resumindo, sim, é possível ter dois espaços de nomes de domínio separados (empresa1.com, empresa2.com) e vinculá-los por meio de um link WAN.
A relação entre os dois domínios é chamada de confiança transitiva. O que se segue é do TechNet e embora as informações se refiram ao funcionamento do Server 2003, os mesmos princípios se aplicam ao Server 2012.
Da Microsoft:
A transitividade determina se uma confiança pode ser estendida para fora dos dois domínios com os quais foi formada. Uma confiança transitiva pode ser usada para estender relações de confiança com outros domínios; uma confiança não transitiva pode ser usada para negar relações de confiança com outros domínios.
Cada vez que você cria um novo domínio em uma floresta, uma relação de confiança transitiva e bidirecional é criada automaticamente entre o novo domínio e seu domínio pai. Se domínios filhos forem adicionados ao novo domínio, o caminho de confiança fluirá para cima através da hierarquia do domínio, estendendo o caminho de confiança inicial criado entre o novo domínio e seu domínio pai. As relações de confiança transitivas fluem para cima através de uma árvore de domínio à medida que ela é formada, criando relações de confiança transitivas entre todos os domínios da árvore de domínio.
As solicitações de autenticação seguem esses caminhos confiáveis, de modo que contas de qualquer domínio da floresta possam ser autenticadas por qualquer outro domínio da floresta. Com um único processo de logon, as contas com as permissões adequadas podem acessar recursos em qualquer domínio da floresta. A figura a seguir mostra que todos os domínios na Árvore 1 e na Árvore 2 têm relações de confiança transitivas por padrão. Como resultado, os usuários na Árvore 1 podem acessar recursos em domínios na Árvore 2 e os usuários na Árvore 1 podem acessar recursos na Árvore 2, quando as permissões adequadas são atribuídas ao recurso.
Além das relações de confiança transitivas padrão estabelecidas em uma floresta do Windows Server 2003, usando o Assistente de Nova Confiança você pode criar manualmente as relações de confiança transitivas a seguir. Confiança de atalho. Uma confiança transitiva entre domínios na mesma árvore de domínio ou floresta que é usada para encurtar o caminho de confiança em uma árvore ou floresta de domínio grande e complexa.
- Confiança florestal.Uma confiança transitiva entre um domínio raiz de floresta e outro domínio raiz de floresta.
- Confiança no reino. Uma confiança transitiva entre um domínio do Active Directory e um domínio Kerberos V5.
Uma confiança não transitiva é restrita aos dois domínios no relacionamento de confiança e não flui para nenhum outro domínio na floresta. Uma confiança não transitiva pode ser uma confiança bidirecional ou uma confiança unilateral. As relações de confiança não transitivas são unidirecionais por padrão, embora você também possa criar um relacionamento bidirecional criando duas relações de confiança unidirecionais. As relações de confiança de domínio não transitivas são a única forma de relação de confiança possível entre: Um domínio do Windows Server 2003 e um domínio do Windows NT
Um domínio do Windows Server 2003 em uma floresta e um domínio em outra floresta (quando não unido por uma floresta confiável)
Usando o Assistente de Nova Confiança, você pode criar manualmente as seguintes relações de confiança não transitivas:
- Confiança externa. Uma relação de confiança não transitiva criada entre um domínio do Windows Server 2003 e um domínio do Windows NT, Windows 2000 ou Windows Server 2003 em outra floresta. Quando você atualiza um domínio do Windows NT para um domínio do Windows Server 2003, todas as relações de confiança existentes do Windows NT são preservadas intactas. Todas as relações de confiança entre domínios do Windows Server 2003 e domínios do Windows NT são não transitivas.
- Confiança no reino.Uma confiança não transitiva entre um domínio do Active Directory e um domínio Kerberos V5.
Tipos de confiança Embora todos os trusts permitam acesso autenticado aos recursos, os trusts podem ter características diferentes. Os tipos de domínios incluídos na relação de confiança afetam o tipo de confiança criada. Por exemplo, uma relação de confiança entre dois domínios filho em florestas diferentes é sempre uma relação de confiança externa, mas as relações de confiança entre dois domínios raiz de floresta do Windows Server 2003 podem ser relações de confiança externas ou relações de confiança de floresta.
Dois tipos de relações de confiança são criados automaticamente quando você usa o Assistente de Instalação do Active Directory. Quatro outros tipos de relações de confiança podem ser criados manualmente usando o Assistente de Nova Confiança ou a ferramenta de linha de comando Netdom.
Relações de confiança automáticas Por padrão, relações de confiança transitivas bidirecionais são criadas automaticamente quando um novo domínio é adicionado a uma árvore de domínio ou a um domínio raiz de floresta usando o Assistente de Instalação do Active Directory. Os dois tipos de confiança padrão são relações de confiança pai-filho e relações de confiança raiz de árvore.
Confiança entre pais e filhos Uma relação de confiança pai-filho é estabelecida sempre que um novo domínio é criado em uma árvore. O processo de instalação do Active Directory cria automaticamente uma relação de confiança entre o novo domínio e o domínio que o precede imediatamente na hierarquia de namespace (por exemplo, corp.tailspintoys.com é criado como filho de tailspintoys.com). O relacionamento de confiança pai-filho tem as seguintes características: Só pode existir entre dois domínios na mesma árvore e namespace.
O domínio pai é sempre confiável para o domínio filho.
Deve ser transitivo e bidirecional. A natureza bidirecional das relações de confiança transitivas permite que as informações do diretório global no Active Directory sejam replicadas em toda a hierarquia.
Confiança na raiz da árvore Uma confiança raiz de árvore é estabelecida quando você adiciona uma nova árvore de domínio a uma floresta. O processo de instalação do Active Directory cria automaticamente uma relação de confiança entre o domínio que você está criando (a nova raiz da árvore) e o domínio raiz da floresta. Uma relação de confiança árvore-raiz tem as seguintes restrições: Só pode ser estabelecida entre as raízes de duas árvores na mesma floresta.
Deve ser transitivo e bidirecional.
Relações de confiança manuais No Windows Server 2003, existem quatro tipos de confiança que devem ser criados manualmente: as relações de confiança de atalho são usadas para otimização entre árvores de domínio na mesma floresta; trusts externos, de domínio e de floresta ajudam a fornecer interoperabilidade com domínios fora da floresta, com outras florestas ou com domínios. Esses tipos de confiança devem ser criados usando o Assistente de Nova Confiança ou a ferramenta de linha de comando Netdom.
Confianças de atalho As relações de confiança de atalho são relações de confiança transitivas unidirecionais ou bidirecionais que podem ser usadas quando os administradores precisam otimizar o processo de autenticação. As solicitações de autenticação devem inicialmente percorrer um caminho confiável entre árvores de domínio. Um caminho confiável é a série de relacionamentos confiáveis de domínio que devem ser percorridos para passar solicitações de autenticação entre dois domínios quaisquer. Numa floresta complexa, o tempo necessário para percorrer o caminho de confiança pode afetar o desempenho. Você pode reduzir significativamente esse tempo usando relações de confiança de atalho. As relações de confiança de atalho aceleram os tempos de logon e acesso a recursos em um domínio que está profundamente dentro da hierarquia de outra árvore de domínio. A figura a seguir ilustra relações de confiança entre duas árvores em uma floresta do Windows Server 2003.
--recorte--
Para ler mais, verifique os seguintes links no TechNet