Когда вам нужен новый лес AD, а когда - новое дерево?
Я новичок в AD и Windows Server, и это звучит так, как будто это должно быть довольно очевидно, но я не могу понять разницу между деревом и лесом.
Согласно книге, которую я читаю: Active Directory For Dummies:
Проще говоря, вы создаете лес только в том случае, если вам нужно использовать более одного пространства имен. Если вам требуется более одного пространства имен, потому что вам требуется более одной структуры имен, вам необходимо спланировать дополнительное дерево для каждого пространства имен.
В книге также есть такая диаграмма:
Я не совсем понимаю утверждение, но согласно схеме, если у вас Corp.com и Newcorp.com, у вас должно быть 2 дерева в одном лесу, а не 2 разных леса. Однако согласно этому:
Лучшие практики именования Windows Active Directory?
основной рекомендуемый способ наименования вашего "AD", под которым, как я полагаю, подразумевается лес, это:
- Неиспользуемый субдомен домена, который вы используете публично. Например, если ваше публичное присутствие в Интернете
example.comваш внутренний AD может называться примерно такad.example.comилиinternal.example.com.
Используя рекомендуемый способ, если вы назовете свой активный каталог ad.Corp.com, а позже вам потребуется добавить ad.Newcorp.com в свой лес в качестве нового дерева, это будет довольно странно, поскольку ad.Newcorp.com будет быть деревом в лесу по имени ad.Corp.com.
Что мне здесь не хватает?
Редактировать:
В соответствии с https://www.youtube.com/watch?v=Whh3kPS0FdA, в большинстве случаев вам понадобится новый лес, только если вы:
- Слияние с другой компанией, чей лес AD имеет другую схему, чем ваша.
- Тестируете приложение, которое вносит изменения в схему, и вы не хотите, чтобы это влияло на вашу производственную схему.
Моя самая большая проблема заключается в следующем: как бы вы назвали свой лес, чтобы даже если вы позже добавите другие пространства имен DNS (например, добавление NewCorp.com), вы не получите лес с именем Corp.com с деревом с именем NewCorp.com или что-то еще более странное? И если лес может содержать несколько пространств имен DNS, почему рекомендуется называть его как-то вроде ad.example.com вместо чего-то общего?
Изменить 2:
В той же книге предлагается использовать что-то общее, например AD.LOCAL, в качестве имени корневого домена леса, что имеет смысл, поскольку это позволит вам иметь несколько пространств имен DNS. Однако использование SOMETHING.LOCAL больше не считается хорошим именем для корневого домена леса, так как же новое предлагаемое соглашение об именах обрабатывает разные пространства имен DNS?
.local никогда не был хорошей идеей и никогда не рекомендовался. Я бы заподозрил другой материал в этой книге.
В подавляющем большинстве ситуаций ваш вопрос не имеет значения, потому что несколько лесов доменов почти больше никогда не нужно.
Вам нужен новый лес, когда вам нужна граница безопасности. Лес - это граница безопасности. Если вам требуется изоляция ресурсов по причинам, связанным с законом или соблюдением нормативных требований, лес выполнит это.
Вам нужен новый дочерний домен или корень дерева, ну… никогда. Раньше это использовалось для разных политик паролей или для уменьшения количества подслушиваемых репликаций или для целей управления, но на самом деле в современных доменах AD это все может быть достигнуто в сценарии одного домена.
Ваш вопрос слишком широкий, но, чтобы ответить на одну его часть, пространства имен corp.com и newcorp.com могут существовать в одном лесу. Это «доверие корня дерева», которое возникает при создании нового домена. дерево в существующем лесу, в отличие от более распространенного сценария «родительско-дочернее доверие», когда новый домен добавляется к существующему дереву и является дочерним доменом корня верхнего уровня. Оба типа доверия являются двусторонними и транзитивными.
Типы доверия
https://technet.microsoft.com/en-us/library/cc775736%28v=ws.10%29.aspx
Чтобы ответить на этот вопрос:
Моя самая большая проблема заключается в следующем: как бы вы назвали свой лес, чтобы даже если вы позже добавите другие пространства имен DNS (например, добавление NewCorp.com), вы не получите лес с именем Corp.com с деревом с именем NewCorp.com или что-то еще более странное?
Что ж, не используйте TLD для корневого домена леса. Вместо contoso.com используйте contosoad.contoso.com или что-то подобное для корневого пространства имен леса AD.
Что касается общих причин наличия нескольких лесов:
Тестовые среды (как вы уже сказали) идеально подходят для отдельного леса. Производственные леса никогда не должны доверять тестовым лесам.
Если одна часть вашей компании подчиняется определенным юридическим или нормативным требованиям. Возможно, вы не хотите, чтобы вся инфраструктура компании подчинялась этим требованиям (или ваш бизнес может работать в нескольких географических регионах с разными или противоречивыми требованиями), поэтому может быть более практичным иметь этот компонент компании в отдельной инфраструктуре, включая отдельный Лес Active Directory.
«Теневые» леса довольно популярны для таких продуктов, как SharePoint, Lync, Office 365. Для этого может быть несколько драйверов. Вы не хотите обновлять схему в основном производственном лесу. Вы не хотите синхронизировать учетные записи с основным производственным лесом из соображений безопасности.
Сценарий восстановления леса. Хотя большие топологии распределенных лесов AD встречаются редко, при их наличии сценарий полного восстановления леса может стать проблемой. Это становится особенно острым, если он распределен глобально, пропускная способность сети низкая или ненадежная, а база данных большая.
Выделенный административный лес. В больших средах с высоким уровнем безопасности может быть целесообразно создать отдельный лес для защиты административных учетных записей с высокими привилегиями, чтобы снизить риск атак с передачей хэша. Для получения дополнительной информации см. Приложение «Выделенные административные леса» в:
Защита от передачи хэша и других краж учетных данных, версия 2