服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 你什么时候需要一个新的AD森林,你什么时候需要一棵新的树?
Intereting Posts
手动创build用户 – FOSWiki 2.1.2 如何删除Oracle下游目标的ALOG 如何将驱动器arrays连接到冗余主板? 如何在Mac上刻录ISO映像? 如何查看Fedora包中包含哪些文件? Ansible – 有很多include_tasks的服务器重启 通过另一台服务器连接到远程PostgreSQL数据库 iproute:禁用“tc”命令 在Ubuntu 10.10上查找(或启用?!)php.ini Apache +内存不足 – 像nginx这样的caching服务器可以提高性能吗? 如何自动启动SQL Server群集主动节点上的perfmon 如何configurationlinux路由通过他们收到的相同接口发送数据包? Apacheconfiguration不能使用服务器function AWS保留的实例AZ匹配云arraysAZ 当RDS可用内存用完时会发生什么情况?

你什么时候需要一个新的AD森林,你什么时候需要一棵新的树?

我是新来的AD和Windows服务器,这听起来应该是非常明显的,但我似乎无法弄清楚树和森林之间的区别。

根据我正在阅读的书: Active Directory For Dummies

简而言之,只有在需要使用多个名称空间的情况下才能创build一个林。 如果因为需要多个命名结构而需要多个命名空间,则需要为每个命名空间规划一个额外的树。

这本书还提供了这个图表:

在这里输入图像说明

我不完全理解这个陈述,但是根据图表,如果你有Corp.comNewcorp.com ,你应该在同一个森林里有两棵树,而不是两个不同的森林。 但是根据这个:

Windows Active Directory命名最佳实践?

主要推荐的方式命名你的“广告”,我认为他们的意思是森林,是:

  • 您公开使用的域中未使用的子域。 例如,如果您的公开networking存在是example.com您的内部AD可能会被命名为ad.example.cominternal.example.com

使用推荐的方式,如果您将活动目录命名为ad.Corp.com,并且以后需要将ad.Newcorp.com添加到您的目录林中,那么看起来这将会非常奇怪,因为ad.Newcorp.com将会成为名为ad.Corp.com的森林中的一棵树。

我在这里错过了什么?

编辑:

根据https://www.youtube.com/watch?v=Whh3kPS0FdA ,如果您符合以下条件,您几乎只需要一个新的森林:

  • 与另一家公司的AD森林有不同的架构
  • 正在testing对模式进行更改的应用程序,并且不希望它影响生产模式

我最大的问题是:你会怎样命名你的森林,这样即使你以后添加了不同的DNS命名空间(比如添加NewCorp.com),你也不会得到一个名为Corp.com的森林,其中有一棵名为NewCorp.com的树,还是更怪的东西? 如果一个森林可以包含多个DNS名称空间,为什么build议将它命名为ad.example.com而不是某种通用名称?

编辑2:

同一本书build议使用像AD.LOCAL这样的通用名称作为森林根域的名称,这是有道理的,因为这样可以让您拥有多个DNS名称空间。 然而,使用SOMETHING.LOCAL不再被视为森林根域的好名字,那么新build议的命名约定如何处理不同的DNS名称空间呢?

.local从来不是一个好主意,从来没有推荐过。 我会怀疑那本书中的其他材料。

在绝大多数情况下,您的问题并不重要,因为多个域林几乎不再是必需的。

当您需要安全边界时,您需要一个新的森林。 森林是安全的边界。 如果出于法律或合规的原因需要分离资源,森林将实现这一目标。

你需要一个新的子域或树根,好吧….真的永远不会。 它曾经是针对不同的密码策略,或者为了减lesspipe理的目的而减less复制,但是真正在现代的AD域中,这一切都可以在一个域的情况下实现。

您的问题过于宽泛,但回答其中的一部分,corp.com和newcorp.com名称空间可能存在于同一个林中。 这是一个“树根信任”,在现有森林中创build一个新的域时会出现这种情况,而不是更常见的“父子信任”场景,其中一个新域添加到现有树中,并且是一个子域一个顶级的根。 两种信任types都是双向的,可传递的。

信任types
https://technet.microsoft.com/en-us/library/cc775736%28v=ws.10%29.aspx

要回答这个问题:

我最大的问题是:你会怎样命名你的森林,这样即使你以后添加了不同的DNS命名空间(比如添加NewCorp.com),你也不会得到一个名为Corp.com的森林,其中有一棵名为NewCorp.com的树,还是更怪的东西?

那么,不要使用森林根域的TLD。 而不是contoso.com,使用contosoad.contoso.com或类似的AD森林根名称空间。

至于多森林的一般原因:

  • testing环境(如您已经提到的)非常适合单独的森林。 生产森林不应该信任试验森林。

  • 如果贵公司的某一部分受到特定的法律或法规要求的约束。 您可能不希望整个公司的基础设施服从这些要求(或者您的企业可能在多个地理区域有不同的或相互冲突的要求),所以将公司的这个组成部分放在一个单独的基础设施中,包括单独的基础设施活动目录森林。

  • “影子”森林在SharePoint,Lync,Office 365等产品中颇受欢迎。可能有多个驱动程序。 您不想更新主生产林中的模式。 出于安全原因,您不希望与主生产林同步帐户。

  • 森林恢复scheme。 尽pipe大型分布式AD森林拓扑很less,但是如果有的话,完整的森林恢复scheme可能会成为问题。 如果它是全球分布的,而且networking带宽缓慢或不可靠,并且数据库很大,则这变得尤其严重。

  • 专用的行政森林。 在大型,高安全性的环境中,build立一个单独的森林来保护高度特权的pipe理帐户,以减less散列攻击的风险是明智的。 有关更多信息,请参阅附录中的“专用pipe理林”

减轻通过哈希和其他证件盗窃v2