DNS-Domänen, Active Directory-Domänen und Domänencontroller

2

Ich weiß, dass dies große Themen sind, aber ich möchte nur einige Fragen klären.

q1) Verweisen DNS-Internetdomains und Active Directory-Domains auf dasselbe oder sind sie verwandt?

Der Grund für die Frage ist, ob ich 2 kleine Büros in separaten Netzwerken habe und 2 verschiedene Domain-Namen aufgrund ihrer unterschiedlichen Geschäftscharakteristik gekauft habe.

z.B.

company1.com -- office 1
company2.com -- office 2

Ich wollte, dass jedes Büro seinen eigenen Domänencontroller hat, aber dieselbe AD-Datenbank verwendet.

dc1.company1.com
dc1.company2.com

Können Arbeitsstationen in beiden Netzwerken trotz unterschiedlicher Netzwerkdomänennamen (company1.com, company2.com) weiterhin derselben Active Directory-Domäne beitreten?

workstations in office 1 ---> dc1.company1.com ==\
                                                 --- join to the same AD domain
workstations in office 2 ---> dc2.company2.com ==/

Zurück zur ursprünglichen Frage: Verweisen Internetdomäne und Active Directory-Domäne auf dasselbe? sind sie nur logische Bezeichnungen, um Dinge zu gruppieren?

Grüße, Anfänger

Noob
quelle

Antworten:

1

Ich bin überrascht, dass niemand Ihre Frage beantwortet hat.

In Bezug auf die Verknüpfung zwischen Active Directory-Domänennamen und dem Domänennamenbereich, den Sie von einem Webhosting-Unternehmen erworben haben, hängen die beiden zusammen. Sie sind nur logische Bezeichnungen, um Dinge zu gruppieren. Mit AD können Sie jedoch auch einen Domain-Name-Space verwenden, der nicht öffentlich verfügbar ist. Zum Beispiel server.local.

Hostnamen von Netzwerkgeräten, die mit .local enden, werden häufig in privaten Netzwerken verwendet, in denen sie entweder über den Multicast Domain Name Service (mDNS) oder über lokale DNS-Server (Domain Name System) aufgelöst werden. Die Implementierung beider Ansätze im selben Netzwerk kann jedoch problematisch sein, sodass das Auflösen solcher Namen über "Unicast" -DNS-Server in Ungnade gefallen ist, da Computer, Drucker und andere Geräte, die Zero-Configuration-Networking (Zeroconf) unterstützen, immer häufiger geworden sind.

Die IETF hat festgelegt, dass der lokale Namespace nicht käuflich zu erwerben ist und nur für lokale Netzwerke verwendet wird. Der Hauptunterschied zwischen AD-Domänennamen und Domänennamen im öffentlichen Internet besteht also darin, dass AD-Domänennamen nicht unbedingt über den Hostnamen über das öffentliche Internet erreichbar sind. Es ist möglich, einen über das Internet erreichbaren Hostnamen zu verwenden (wie Sie es vorhaben), aber nicht erforderlich (und manchmal sogar verpönt).

Kurz gesagt, ja, es ist möglich, zwei separate Domänennamenbereiche (company1.com, company2.com) zu haben und diese über eine WAN-Verbindung miteinander zu verknüpfen.

Die Beziehung zwischen den beiden Domänen wird als transitives Vertrauen bezeichnet. Das Folgende stammt aus TechNet, und obwohl sich die Informationen auf die Funktionsweise von Server 2003 beziehen, gelten für Server 2012 dieselben Prinzipien.

Von Microsoft:

Die Transitivität bestimmt, ob eine Vertrauensstellung außerhalb der beiden Domänen, mit denen sie erstellt wurde, erweitert werden kann. Mit einer transitiven Vertrauensstellung können Vertrauensbeziehungen zu anderen Domänen erweitert werden. Eine nicht transitive Vertrauensstellung kann verwendet werden, um Vertrauensstellungen mit anderen Domänen zu verweigern.

Jedes Mal, wenn Sie eine neue Domäne in einer Gesamtstruktur erstellen, wird automatisch eine bidirektionale transitive Vertrauensstellung zwischen der neuen Domäne und der übergeordneten Domäne erstellt. Wenn der neuen Domäne untergeordnete Domänen hinzugefügt werden, fließt der Vertrauenspfad durch die Domänenhierarchie nach oben und erweitert den anfänglichen Vertrauenspfad, der zwischen der neuen Domäne und der übergeordneten Domäne erstellt wurde. Transitive Vertrauensstellungen werden beim Aufbau einer Domänenstruktur nach oben übertragen, wodurch transitive Vertrauensstellungen zwischen allen Domänen in der Domänenstruktur erstellt werden.

Authentifizierungsanforderungen folgen diesen Vertrauenspfaden, sodass Konten von jeder Domäne in der Gesamtstruktur von jeder anderen Domäne in der Gesamtstruktur authentifiziert werden können. Mit einem einzigen Anmeldevorgang können Konten mit den richtigen Berechtigungen auf Ressourcen in jeder Domäne in der Gesamtstruktur zugreifen. Die folgende Abbildung zeigt, dass alle Domänen in Struktur 1 und Struktur 2 standardmäßig über transitive Vertrauensbeziehungen verfügen. Infolgedessen können Benutzer in Struktur 1 auf Ressourcen in Domänen in Struktur 2 zugreifen und Benutzer in Struktur 1 können auf Ressourcen in Struktur 2 zugreifen, wenn die entsprechenden Berechtigungen für die Ressource zugewiesen wurden.

enter image description here

Zusätzlich zu den in einer Windows Server 2003-Gesamtstruktur eingerichteten transitiven Standardvertrauensstellungen können Sie mithilfe des Assistenten für neue Vertrauensstellungen die folgenden transitiven Vertrauensstellungen manuell erstellen. Shortcut-Vertrauen. Eine transitive Vertrauensstellung zwischen Domänen in derselben Domänenstruktur oder Gesamtstruktur, mit der der Vertrauensstellungspfad in einer großen und komplexen Domänenstruktur oder Gesamtstruktur verkürzt wird.

  • Wald Vertrauen. Eine transitive Vertrauensstellung zwischen einer Gesamtstruktur-Stammdomäne und einer anderen Gesamtstruktur-Stammdomäne.
  • Reich Vertrauen . Eine transitive Vertrauensstellung zwischen einer Active Directory-Domäne und einem Kerberos V5-Bereich.

Eine nicht transitive Vertrauensstellung ist auf die beiden Domänen in der Vertrauensstellung beschränkt und fließt nicht in andere Domänen in der Gesamtstruktur. Eine nichttransitive Vertrauensstellung kann eine bidirektionale Vertrauensstellung oder eine einseitige Vertrauensstellung sein. Nichttransitive Vertrauensstellungen sind standardmäßig in eine Richtung. Sie können jedoch auch eine bidirektionale Beziehung erstellen, indem Sie zwei bidirektionale Vertrauensstellungen erstellen. Nichttransitive Domänenvertrauensstellungen sind die einzige Form der möglichen Vertrauensstellung zwischen: Eine Windows Server 2003-Domäne und eine Windows NT-Domäne

Eine Windows Server 2003-Domäne in einer Gesamtstruktur und eine Domäne in einer anderen Gesamtstruktur (wenn keine Gesamtstrukturvertrauensstellung beitritt)

Mit dem Assistenten für neue Vertrauensstellungen können Sie die folgenden nicht-transitiven Vertrauensstellungen manuell erstellen:

  • Externes Vertrauen . Eine nichttransitive Vertrauensstellung, die zwischen einer Windows Server 2003-Domäne und einer Windows NT-, Windows 2000- oder Windows Server 2003-Domäne in einer anderen Gesamtstruktur erstellt wurde. Wenn Sie eine Windows NT-Domäne auf eine Windows Server 2003-Domäne aktualisieren, bleiben alle vorhandenen Windows NT-Vertrauensstellungen erhalten. Alle Vertrauensstellungen zwischen Windows Server 2003-Domänen und Windows NT-Domänen sind nicht transitiv.
  • Reich Vertrauen. Eine nicht transitive Vertrauensstellung zwischen einer Active Directory-Domäne und einem Kerberos V5-Bereich.

Vertrauensarten Obwohl alle Vertrauensstellungen den authentifizierten Zugriff auf Ressourcen ermöglichen, können Vertrauensstellungen unterschiedliche Merkmale aufweisen. Die in der Vertrauensstellung enthaltenen Domänentypen wirken sich auf den Typ der erstellten Vertrauensstellung aus. Beispielsweise ist eine Vertrauensstellung zwischen zwei untergeordneten Domänen in verschiedenen Gesamtstrukturen immer eine externe Vertrauensstellung. Vertrauensstellungen zwischen zwei Windows Server 2003-Gesamtstruktur-Stammdomänen können jedoch entweder externe Vertrauensstellungen oder Gesamtstrukturvertrauensstellungen sein.

Zwei Arten von Vertrauensstellungen werden automatisch erstellt, wenn Sie den Assistenten zum Installieren von Active Directory verwenden. Vier weitere Arten von Vertrauensstellungen können manuell mithilfe des Assistenten für neue Vertrauensstellungen oder des Netdom-Befehlszeilentools erstellt werden.

Automatische Vertrauensstellungen Standardmäßig werden bidirektionale transitive Vertrauensstellungen automatisch erstellt, wenn einer Domänenstruktur oder Gesamtstruktur-Stammdomäne mithilfe des Assistenten zum Installieren von Active Directory eine neue Domäne hinzugefügt wird. Die beiden Standardvertrauensstellungstypen sind Parent-Child-Vertrauensstellungen und Tree-Root-Vertrauensstellungen.

Eltern-Kind-Vertrauen Eine Eltern-Kind-Vertrauensbeziehung wird immer dann hergestellt, wenn eine neue Domäne in einem Baum erstellt wird. Der Active Directory-Installationsprozess erstellt automatisch eine Vertrauensstellung zwischen der neuen Domäne und der Domäne, die in der Namespace-Hierarchie unmittelbar davor steht (corp.tailspintoys.com wird beispielsweise als untergeordnetes Element von tailspintoys.com erstellt). Die Eltern-Kind-Vertrauensbeziehung weist die folgenden Merkmale auf: Es kann nur zwischen zwei Domänen in derselben Struktur und demselben Namespace existieren.

Die übergeordnete Domäne wird von der untergeordneten Domäne immer als vertrauenswürdig eingestuft.

Es muss transitiv und bidirektional sein. Durch die bidirektionale Natur transitiver Vertrauensstellungen können die globalen Verzeichnisinformationen in Active Directory in der gesamten Hierarchie repliziert werden.

Baumwurzelvertrauen Eine Stammstrukturvertrauensstellung wird eingerichtet, wenn Sie einer Gesamtstruktur eine neue Domänenstruktur hinzufügen. Der Active Directory-Installationsprozess erstellt automatisch eine Vertrauensstellung zwischen der Domäne, die Sie erstellen (dem neuen Baumstamm) und der Gesamtstruktur-Stammdomäne. Eine Tree-Root-Vertrauensstellung unterliegt den folgenden Einschränkungen: Es kann nur zwischen den Wurzeln zweier Bäume im selben Wald festgestellt werden.

Es muss transitiv und bidirektional sein.

Manuelle Vertrauensstellungen In Windows Server 2003 müssen vier Vertrauensstellungstypen manuell erstellt werden: Verknüpfungsvertrauensstellungen werden für die Optimierung zwischen Domänenstrukturen in derselben Gesamtstruktur verwendet. Mithilfe von externen, Bereichs- und Gesamtstrukturvertrauensstellungen kann die Interoperabilität mit Domänen außerhalb der Gesamtstruktur, mit anderen Gesamtstrukturen oder mit Bereichen sichergestellt werden. Diese Vertrauensstellungstypen müssen mithilfe des Assistenten für neue Vertrauensstellungen oder des Netdom-Befehlszeilentools erstellt werden.

Verknüpfungsvertrauensstellungen Verknüpfungsvertrauensstellungen sind transitive Einweg- oder Zweiwegvertrauensstellungen, die verwendet werden können, wenn Administratoren den Authentifizierungsprozess optimieren müssen. Authentifizierungsanforderungen müssen zunächst einen Vertrauenspfad zwischen Domänenstrukturen zurücklegen. Ein Vertrauenspfad ist eine Reihe von Domänenvertrauensbeziehungen, die durchlaufen werden müssen, um Authentifizierungsanforderungen zwischen zwei beliebigen Domänen weiterzuleiten. In einer komplexen Gesamtstruktur kann sich die zum Durchlaufen des Vertrauenspfads erforderliche Zeit auf die Leistung auswirken. Sie können diese Zeit erheblich verkürzen, indem Sie Verknüpfungsvertrauensstellungen verwenden. Verknüpfungsvertrauensstellungen beschleunigen die Anmeldung und die Zugriffszeiten auf Ressourcen in einer Domäne, die sich tief in der Hierarchie einer anderen Domänenstruktur befindet. Die folgende Abbildung zeigt Vertrauensstellungen zwischen zwei Strukturen in einer Windows Server 2003-Gesamtstruktur.

--snip--

Weitere Informationen finden Sie unter den folgenden Links im TechNet

Richie086
quelle