我正在努力实现以下;
环境是具有根域和x2子域的单个森林,如下所示:
root.net
child1.root.net
child2.root.net
child1和child2之间将不存在逻辑或物理访问权限,因为一个是生产域,另一个是开发域。
这两个域都需要完全独立的证书服务机构才能在其自己的域内分发和pipe理内部证书。 这两个域都将拥有自己的独立脱机根CA.
有没有这个设置的任何问题(任何AD注册问题等),还是有一个更好的方式来部署这个,记住AD设置不能改变? (必须保留单个森林和x2子域模型)。
有一点要明白:ADCS是全方位的服务。 也就是说,一旦安装了企业CA,就会在Active Direcotry,configuration命名上下文中进行注册。 正如您可能知道(至less应该知道)该configuration命名上下文在林中的所有域控制器之间复制。
最近,我们在TechNet论坛上进行了类似的讨论,我和Mark B. Cooper解释了这种情况下的所有困难: https : //social.technet.microsoft.com/Forums/zh-CN/0594d63c-bfc3-4868-b173- 1163cc0e997a / CA-查询?论坛= winserversecurity
总之,这是可行的,但是这将需要额外的pipe理开销并且不提供真正的隔离。 在这种情况下,将域分割为单独的森林是合理的(也不是简单的任务)。
那么会有两个脱机根,一个专用于每个子域?
考虑到你想要的访问限制,看起来离线的根目录在子域中会更有意义 – 因为它们无论如何都是离线的,并不像你失去了任何安全性。
假设使用脱机根目录,他们将是独立的,而不是企业,所以你将手动部署这些证书的信任到每个子域? 让它们在根域中增加了不必要的复杂性。