我知道這些都是大話題,但我只是想澄清幾個問題。
q1) DNS 網域和活動目錄網域是指同一件事還是相關?
提出上述問題的原因是,如果我在不同的網路中有 2 個小型辦公室,並且由於業務性質不同,我購買了 2 個不同的網域。
例如
company1.com -- office 1
company2.com -- office 2
我希望每個辦公室都有自己的 DC,但共享相同的 AD 資料庫。
dc1.company1.com
dc1.company2.com
儘管網路網域名稱不同(company1.com、company2.com),兩個網路中的工作站是否仍可加入相同 Active Directory 網域
workstations in office 1 ---> dc1.company1.com ==\
--- join to the same AD domain
workstations in office 2 ---> dc2.company2.com ==/
因此回到最初的問題,網際網路域和活動目錄域是指同一件事嗎?它們只是將事物組合在一起的邏輯命名嗎?
問候,菜鳥
答案1
我很驚訝沒有人回答你的問題。
關於活動目錄域名和您從網絡託管公司購買的域名空間之間的鏈接,是的,兩者是相關的。它們只是將事物分組在一起的邏輯命名,但透過 AD,您也可以使用不公開使用的網域空間。例如,server.local。
以 .local 結尾的網路設備主機名稱通常用於專用網絡,透過多播網域名稱服務 (mDNS) 或本地網域名稱系統 (DNS) 伺服器進行解析。然而,在同一網路上實施這兩種方法可能會出現問題,因此隨著支援零配置網路(zeroconf) 的電腦、印表機和其他裝置變得越來越普遍,透過「單播」DNS 伺服器解析此類名稱已不再受歡迎。
IETF 已指定 .local 命名空間不可購買,僅用於區域網路。因此,AD 中的網域名稱與公共網際網路上的網域名稱之間的主要區別是 AD 網域不一定可以透過公共網際網路上的主機名稱存取。可以使用互聯網可存取的主機名稱(就像您計劃做的那樣),但不是必需的(有時甚至不受歡迎)
簡而言之,是的,可以擁有兩個獨立的網域空間(company1.com、company2.com)並透過 WAN 連結將它們連結在一起。
兩個域之間的關係稱為傳遞信任。以下內容來自 TechNet,儘管這些資訊涉及 Server 2003 的功能,但相同的原理也適用於 Server 2012。
來自微軟:
傳遞性決定了信任是否可以擴展到其形成的兩個領域之外。傳遞信任可用於擴展與其他領域的信任關係;不可傳遞信任可用於拒絕與其他領域的信任關係。
每次在林中建立新網域時,都會在新網域與其父域之間自動建立雙向可傳遞信任關係。如果將子網域新增至新網域,則信任路徑向上流動會透過域層次結構,擴展在新網域與其父域之間所建立的初始信任路徑。傳遞信任關係在域樹形成時向上流動,從而在域樹中的所有域之間創建傳遞信任。
身份驗證請求遵循這些信任路徑,因此林中任何網域的帳戶都可以由林中任何其他網域進行身份驗證。透過單一登入過程,具有適當權限的帳戶可以存取林中任何網域中的資源。如下圖所示,Tree 1和Tree 2中的所有網域預設都具有可傳遞的信任關係。因此,當在資源上分配了適當的權限時,樹 1 中的使用者可以存取樹 2 中的網域中的資源,樹 1 中的使用者也可以存取樹 2 中的資源。
除了在 Windows Server 2003 林中建立的預設傳遞信任之外,透過使用新信任嚮導,您還可以手動建立下列傳遞信任。信任的捷徑。同一域樹或林中的域之間的可傳遞信任,用於縮短大型且複雜的域樹或林中的信任路徑。
- 森林信任。一個林根域與另一個林根域之間的傳遞信任。
- 領域信任。 Active Directory 網域和 Kerberos V5 領域之間的可傳遞信任。
非傳遞信任僅限於信任關係中的兩個領域,並且不會流向林中的任何其他領域。非傳遞信任可以是雙向信任或單向信任。預設情況下,非傳遞信任是單向的,儘管您也可以透過建立兩個單向信任來建立雙向關係。非傳遞網域信任是 Windows Server 2003 網域和 Windows NT 網域之間唯一可能的信任關係形式
一個林中的 Windows Server 2003 網域和另一林中的網域(未透過林信任加入時)
透過使用新建信任嚮導,您可以手動建立以下非傳遞信任:
- 外部信任。在 Windows Server 2003 網域與另一個林中的 Windows NT、Windows 2000 或 Windows Server 2003 網域之間建立的非傳遞信任。當您將 Windows NT 網域升級到 Windows Server 2003 網域時,所有現有的 Windows NT 信任都會完整保留。 Windows Server 2003 網域和 Windows NT 網域之間的所有信任關係都是不可傳遞的。
- 境界信任。Active Directory 網域和 Kerberos V5 領域之間的非傳遞信任。
信託類型 儘管所有信任都支援對資源進行身份驗證的訪問,但信任可以具有不同的特徵。信任關係中包含的網域類型會影響所建立的信任類型。例如,不同林中的兩個子網域之間的信任始終是外部信任,但兩個 Windows Server 2003 林根網域之間的信任可以是外部信任,也可以是林信任。
使用 Active Directory 安裝精靈時,會自動建立兩種類型的信任。可以使用新信任精靈或 Netdom 命令列工具手動建立四種其他類型的信任。
自動信託 預設情況下,當使用 Active Directory 安裝精靈將新網域新增至網域樹或林根網域時,會自動建立雙向傳遞信任。兩種預設信任類型是父子信任和樹根信任。
親子信任 每當在樹中建立新網域時,就會建立父子信任關係。 Active Directory 安裝過程會自動在新網域和命名空間層次結構中緊鄰該網域之前的網域之間建立信任關係(例如,corp.tailspintoys.com 建立為 tailspintoys.com 的子網域)。父子信任關係有以下特點: 只能存在於同一樹和命名空間中的兩個領域之間。
父域始終受到子網域的信任。
它必須是傳遞性的和雙向的。可傳遞信任關係的雙向性質允許 Active Directory 中的全域目錄資訊在整個層次結構中進行複製。
樹根信任 當您將新的網域樹加入林中時,就會建立樹根信任。 Active Directory 安裝程序會自動在您正在建立的網域(新樹根)和林根網域之間建立信任關係。樹根信任關係有以下限制: 只能在同一森林中的兩棵樹的根之間建立。
它必須是傳遞性的和雙向的。
手動信託 在 Windows Server 2003 中,有四種必須手動建立的信任類型: 捷徑信任用於同一林中的網域樹之間的最佳化;外部、領域和林信任有助於提供與林外域、其他林或領域的互通性。這些信任類型必須使用新信任精靈或 Netdom 命令列工具建立。
快速信託 快捷信任是一種單向或雙向傳遞信任,可以在管理員需要優化身份驗證過程時使用。身份驗證請求最初必須通過網域樹之間的信任路徑。信任路徑是為了在任兩個網域之間傳遞身分驗證要求而必須遍歷的一系列網域信任關係。在複雜的森林中,遍歷信任路徑所需的時間可能會影響效能。您可以透過使用快捷方式信任來大幅減少此時間。快速信任可加快位於另一個網域樹層次結構深處的網域中的資源的登入和存取時間。下圖說明了 Windows Server 2003 林中兩棵樹之間的信任關係。
--剪斷--
如需進一步閱讀,請查看 TechNet 上的以下鏈接