Я знаю, что это большие темы, но мне бы хотелось прояснить несколько вопросов.
q1) DNS-домены Интернета и домены Active Directory относятся к одному и тому же или связаны между собой?
Причина, по которой я задаю этот вопрос, заключается в том, что у меня есть два небольших офиса в отдельных сетях, и я купил два разных доменных имени из-за разного характера их бизнеса.
например
company1.com -- office 1
company2.com -- office 2
Я хотел, чтобы у каждого офиса был свой собственный центр обработки данных, но при этом использовалась общая база данных AD.
dc1.company1.com
dc1.company2.com
Могут ли рабочие станции в обеих сетях по-прежнему подключаться к одному и тому же домену Active Directory, несмотря на то, что у них разные сетевые доменные имена (company1.com, company2.com)?
workstations in office 1 ---> dc1.company1.com ==\
--- join to the same AD domain
workstations in office 2 ---> dc2.company2.com ==/
Итак, возвращаясь к первоначальному вопросу, относятся ли домен Интернета и домен Active Directory к одному и тому же? Это просто логические наименования для группировки вещей?
С уважением, Нуб
решение1
Я удивлен, что никто не ответил на ваш вопрос.
Что касается связи между доменными именами Active Directory и пространством доменных имен, которое вы покупаете у компании веб-хостинга, да, эти два понятия связаны. Это просто логическое именование для группировки вещей, но с помощью AD вы также можете использовать пространство доменных имен, которое не является общедоступным для использования. Например, server.local.
Имена хостов сетевых устройств, заканчивающиеся на .local, часто используются в частных сетях, где они разрешаются либо через многоадресную службу доменных имен (mDNS), либо через локальные серверы системы доменных имен (DNS). Однако реализация обоих подходов в одной сети может быть проблематичной, поэтому разрешение таких имен через «одноадресные» DNS-серверы впало в немилость, поскольку компьютеры, принтеры и другие устройства, поддерживающие сетевое взаимодействие с нулевой конфигурацией (zeroconf), становятся все более распространенными.
IETF определил пространство имен .local как недоступное для покупки и используемое только для локальных сетей. Таким образом, основное различие между доменными именами в AD и доменными именами в публичном Интернете заключается в том, что доменные имена AD не обязательно доступны по имени хоста через публичный Интернет. Можно использовать доступное в Интернете имя хоста (как вы планируете сделать), но это не обязательно (и иногда даже не приветствуется)
Короче говоря, да, можно иметь два отдельных пространства доменных имен (company1.com, company2.com) и соединить их вместе через WAN-соединение.
Связь между двумя доменами называется транзитивным доверием. Нижеследующее взято из TechNet, и хотя информация относится к тому, как функционирует Server 2003, те же принципы применимы и к Server 2012.
От Майкрософт:
Транзитивность определяет, может ли траст быть расширен за пределы двух доменов, с которыми он был сформирован. Транзитивный траст может использоваться для расширения доверительных отношений с другими доменами; нетранзитивный траст может использоваться для отказа в доверительных отношениях с другими доменами.
Каждый раз, когда вы создаете новый домен в лесу, между новым доменом и его родительским доменом автоматически создается двустороннее транзитивное доверительное отношение. Если к новому домену добавляются дочерние домены, доверительный путь течет вверх по иерархии доменов, расширяя первоначальный доверительный путь, созданный между новым доменом и его родительским доменом. Транзитивные доверительные отношения текут вверх по дереву доменов по мере его формирования, создавая транзитивные доверительные отношения между всеми доменами в дереве доменов.
Запросы аутентификации следуют этим путям доверия, поэтому учетные записи из любого домена в лесу могут быть аутентифицированы любым другим доменом в лесу. С помощью одного процесса входа в систему учетные записи с соответствующими разрешениями могут получить доступ к ресурсам в любом домене в лесу. На следующем рисунке показано, что все домены в Дереве 1 и Дереве 2 имеют транзитивные доверительные отношения по умолчанию. В результате пользователи в Дереве 1 могут получить доступ к ресурсам в доменах в Дереве 2, а пользователи в Дереве 1 могут получить доступ к ресурсам в Дереве 2, когда на ресурсе назначены соответствующие разрешения.
В дополнение к транзитивным доверительным отношениям по умолчанию, установленным в лесу Windows Server 2003, с помощью мастера New Trust Wizard можно вручную создать следующие транзитивные доверительные отношения. Сокращенное доверие. Транзитивное доверие между доменами в одном доменном дереве или лесу, которое используется для сокращения пути доверия в большом и сложном доменном дереве или лесу.
- Лесное доверие.Транзитивное доверие между одним корневым доменом леса и другим корневым доменом леса.
- Доверие к сфере. Транзитивное доверие между доменом Active Directory и областью Kerberos V5.
Нетранзитивное доверие ограничено двумя доменами в доверительных отношениях и не распространяется ни на какие другие домены в лесу. Нетранзитивное доверие может быть двусторонним или односторонним. Нетранзитивные доверия являются односторонними по умолчанию, хотя вы также можете создать двусторонние отношения, создав два односторонних доверия. Нетранзитивные доменные доверия являются единственной формой доверительных отношений, возможной между: доменом Windows Server 2003 и доменом Windows NT
Домен Windows Server 2003 в одном лесу и домен в другом лесу (если они не присоединены к доверию леса)
Используя мастер создания новых трастов, вы можете вручную создать следующие нетранзитивные трастовые отношения:
- Внешнее доверие. Нетранзитивное доверие, созданное между доменом Windows Server 2003 и доменом Windows NT, Windows 2000 или Windows Server 2003 в другом лесу. При обновлении домена Windows NT до домена Windows Server 2003 все существующие доверительные отношения Windows NT сохраняются нетронутыми. Все доверительные отношения между доменами Windows Server 2003 и доменами Windows NT являются нетранзитивными.
- Доверие к сфере.Нетранзитивное доверие между доменом Active Directory и областью Kerberos V5.
Типы доверия Хотя все доверительные отношения обеспечивают аутентифицированный доступ к ресурсам, доверительные отношения могут иметь разные характеристики. Типы доменов, включенных в доверительные отношения, влияют на тип создаваемого доверия. Например, доверие между двумя дочерними доменами в разных лесах всегда является внешним доверием, но доверие между двумя корневыми доменами леса Windows Server 2003 может быть как внешним доверием, так и доверием леса.
Два типа доверительных отношений создаются автоматически при использовании мастера установки Active Directory. Четыре других типа доверительных отношений могут быть созданы вручную с помощью мастера создания новых доверительных отношений или инструмента командной строки Netdom.
Автоматические трасты По умолчанию двусторонние транзитивные доверительные отношения автоматически создаются при добавлении нового домена в дерево доменов или корневой домен леса с помощью мастера установки Active Directory. Два типа доверительных отношений по умолчанию — родительско-дочерние доверительные отношения и дерево-корень доверительных отношений.
Доверие между родителями и детьми Доверительные отношения родитель-потомок устанавливаются всякий раз, когда в дереве создается новый домен. Процесс установки Active Directory автоматически создает доверительные отношения между новым доменом и доменом, который непосредственно предшествует ему в иерархии пространства имен (например, corp.tailspintoys.com создается как дочерний для tailspintoys.com). Доверительные отношения родитель-потомок имеют следующие характеристики: Они могут существовать только между двумя доменами в одном дереве и пространстве имен.
Родительский домен всегда пользуется доверием дочернего домена.
Он должен быть транзитивным и двусторонним. Двунаправленная природа транзитивных доверительных отношений позволяет глобальной информации каталога в Active Directory реплицироваться по всей иерархии.
Доверие корня дерева Доверие «дерево-корень» устанавливается при добавлении нового дерева доменов в лес. Процесс установки Active Directory автоматически создает доверительные отношения между создаваемым вами доменом (новый корень дерева) и корневым доменом леса. Доверительные отношения «дерево-корень» имеют следующие ограничения: они могут быть установлены только между корнями двух деревьев в одном лесу.
Он должен быть транзитивным и двусторонним.
Ручные трасты В Windows Server 2003 есть четыре типа доверия, которые должны быть созданы вручную: короткие доверия используются для оптимизации между деревьями доменов в одном лесу; внешние, области и леса доверия помогают обеспечить взаимодействие с доменами вне леса, с другими лесами или с областями. Эти типы доверия должны быть созданы с помощью мастера New Trust или инструмента командной строки Netdom.
Сокращенные трасты Shortcut trusts — это односторонние или двусторонние транзитивные доверительные отношения, которые можно использовать, когда администраторам необходимо оптимизировать процесс аутентификации. Запросы аутентификации должны изначально проходить по пути доверия между деревьями доменов. Путь доверия — это ряд отношений доверия доменов, которые необходимо пройти для передачи запросов аутентификации между любыми двумя доменами. В сложном лесу время, необходимое для прохождения пути доверия, может повлиять на производительность. Вы можете значительно сократить это время, используя shortcut trusts. Shortcut trusts ускоряют вход в систему и время доступа к ресурсам в домене, который находится глубоко в иерархии другого дерева доменов. На следующем рисунке показаны отношения доверия между двумя деревьями в лесу Windows Server 2003.
--отрезок--
Для дальнейшего чтения ознакомьтесь со следующими ссылками на TechNet