Я пытаюсь добиться следующего;
Среда - это единый лес с корневым доменом и дочерними доменами x2, как показано ниже;
root.net
child1.root.net
child2.root.net
Между child1 и child2 не будет логического или физического доступа, так как один будет производственным доменом, а другой - доменом разработки.
Оба домена требуют полностью отдельных центров сертификации для распространения и управления внутренними сертификатами только в пределах их собственного домена. Оба домена будут иметь свои отдельные автономные корневые центры сертификации.
Есть ли проблемы с этой настройкой (любые проблемы с регистрацией AD и т. Д.) Или есть лучший способ развернуть это, учитывая, что настройка AD не может измениться? (Необходимо сохранить модель единого леса и x2 дочернего домена).
Значит, будет два автономных корня, по одному для каждого дочернего домена?
Учитывая ограничения доступа, которые вы хотите, кажется, что было бы разумнее иметь автономные корни в дочерних доменах - поскольку они все равно отключены, это не значит, что вы теряете из-за этого какую-либо безопасность.
Предположительно, с автономным корневым каталогом они будут автономными, а не корпоративными, поэтому вы будете вручную развертывать доверие этих сертификатов в каждом дочернем домене? Их наличие в корневом домене только добавляет ненужной сложности.
Следует понимать одно: ADCS - это служба на уровне всего леса. То есть, после установки Enterprise CA он регистрируется в Active Direcotry, контексте именования конфигурации. Как вы, возможно, знаете (по крайней мере, должны знать), что контекст именования конфигурации реплицируется между все контроллеры домена в лесу.
Недавно у нас было подобное обсуждение на форумах TechNet, где я и Марк Б. Купер объяснили все трудности с этим сценарием: https://social.technet.microsoft.com/Forums/en-US/0594d63c-bfc3-4868-b173-1163cc0e997a/ca-query?forum=winserversecurity
Короче говоря, это выполнимо, однако это потребует дополнительных затрат на управление и не обеспечивает истинной изоляции. В этом случае разумно разделить домены на отдельные леса (тоже непростая задача).