domaines DNS, domaines Active Directory et contrôleur de domaine

2

Je sais que ce sont des sujets importants, mais je souhaite simplement clarifier plusieurs questions.

q1) Les domaines Internet DNS et Active Directory font-ils référence à la même chose ou sont-ils liés?

La raison pour demander ce qui précède est que si j'ai 2 petits bureaux dans des réseaux distincts et que j'ai acheté 2 noms de domaine différents en raison de leur nature différente.

par exemple.

company1.com -- office 1
company2.com -- office 2

Je voulais que chaque bureau ait son propre CD mais partagerait la même base de données AD.

dc1.company1.com
dc1.company2.com

Les postes de travail des deux réseaux peuvent-ils toujours rejoindre le même domaine Active Directory malgré des noms de domaine réseau différents (company1.com, company2.com)

workstations in office 1 ---> dc1.company1.com ==\
                                                 --- join to the same AD domain
workstations in office 2 ---> dc2.company2.com ==/

Revenons donc à la question initiale: le domaine Internet et le domaine Active Directory font-ils référence à la même chose? S'agit-il simplement de noms logiques pour regrouper des éléments?

Cordialement, Noob

Noob
la source

Réponses:

1

Je suis surpris que personne n'ait répondu à votre question.

En ce qui concerne le lien entre les noms de domaine Active Directory et l’espace de noms de domaine que vous achetez auprès d’une société d’hébergement Web, les deux sont liés. Ce ne sont que des noms logiques pour regrouper des éléments, mais avec AD, vous pouvez également utiliser un espace de nom de domaine qui n’est pas publiquement disponible. Par exemple, server.local.

Les noms d'hôte de périphérique réseau se terminant par .local sont souvent utilisés dans des réseaux privés, où ils sont résolus via le service de nom de domaine de multidiffusion (mDNS) ou des serveurs DNS (Domain Name System) locaux. Cependant, la mise en œuvre des deux approches sur le même réseau peut poser problème. Par conséquent, la résolution de tels noms via des serveurs DNS «unicast» est devenue un problème car les ordinateurs, imprimantes et autres périphériques prenant en charge la mise en réseau sans configuration (zeroconf) sont de plus en plus courants.

L’IETF a indiqué que l’espace de noms .local n’est pas disponible à l’achat et n’est utilisé que pour les réseaux locaux. Ainsi, la principale différence entre les noms de domaine dans AD et les noms de domaine sur l'Internet public est que les noms de domaine AD ne sont pas nécessairement accessibles par nom d'hôte sur Internet. Il est possible d'utiliser un nom d'hôte accessible sur Internet (comme vous le souhaitez), mais non obligatoire (et parfois même mal vu).

En bref, oui, il est possible d’avoir deux espaces de nom de domaine distincts (company1.com, company2.com) et de les relier entre eux via un lien WAN.

La relation entre les deux domaines est ce qu'on appelle une confiance transitive. Ce qui suit provient de TechNet et bien que les informations se rapportent au fonctionnement de Server 2003, les mêmes principes s'appliquent à Server 2012.

De Microsoft:

La transitivité détermine si une confiance peut être étendue en dehors des deux domaines avec lesquels elle a été formée. Une confiance transitive peut être utilisée pour étendre les relations de confiance avec d'autres domaines. une confiance non transitive peut être utilisée pour refuser des relations de confiance avec d'autres domaines.

Chaque fois que vous créez un nouveau domaine dans une forêt, une relation d'approbation transitive à double sens est automatiquement créée entre le nouveau domaine et son domaine parent. Si des domaines enfants sont ajoutés au nouveau domaine, le chemin de confiance circule vers le haut dans la hiérarchie du domaine, ce qui étend le chemin de confiance initial créé entre le nouveau domaine et son domaine parent. Les relations d'approbation transitive remontent dans une arborescence de domaines au fur et à mesure de sa formation, créant des approbations transitives entre tous les domaines de cette arborescence.

Les demandes d'authentification suivent ces chemins de confiance. Ainsi, les comptes de n'importe quel domaine de la forêt peuvent être authentifiés par n'importe quel autre domaine de la forêt. Avec un processus d'ouverture de session unique, les comptes disposant des autorisations appropriées peuvent accéder aux ressources de n'importe quel domaine de la forêt. La figure suivante montre que tous les domaines des arbres 1 et 2 ont des relations d'approbation transitives par défaut. Par conséquent, les utilisateurs de l'arborescence 1 peuvent accéder aux ressources des domaines de l'arborescence 2 et les utilisateurs de l'arborescence 1 peuvent accéder aux ressources de l'arborescence 2 lorsque les autorisations appropriées sont attribuées sur la ressource.

enter image description here

Outre les approbations transitives établies par défaut dans une forêt Windows Server 2003, l'Assistant Nouvelle approbation permet de créer manuellement les approbations transitives suivantes. Raccourci confiance. Une approbation transitive entre des domaines de la même arborescence ou de la même forêt de domaines utilisée pour raccourcir le chemin de confiance dans une arborescence ou une forêt de domaine vaste et complexe.

  • Confiance de la forêt. Une approbation transitive entre un domaine racine de forêt et un autre domaine racine de forêt.
  • La confiance du royaume . Une approbation transitive entre un domaine Active Directory et un domaine Kerberos V5.

Une approbation non transitive est limitée aux deux domaines de la relation d'approbation et ne se transmet à aucun autre domaine de la forêt. Une confiance non transitive peut être une confiance à double sens ou à sens unique. Les approbations non transcriptives sont à sens unique par défaut, bien que vous puissiez également créer une relation à double sens en créant deux approbations à sens unique. Les approbations de domaine non transcriptibles sont la seule forme de relation de confiance possible entre: Un domaine Windows Server 2003 et un domaine Windows NT

Un domaine Windows Server 2003 dans une forêt et un domaine dans une autre forêt (lorsqu'il n'est pas associé à une approbation de forêt)

À l'aide de l'Assistant Nouvelle approbation, vous pouvez créer manuellement les approbations non transcriptibles suivantes:

  • Confiance externe . Une approbation non transitive créée entre un domaine Windows Server 2003 et un domaine Windows NT, Windows 2000 ou Windows Server 2003 dans une autre forêt. Lorsque vous mettez à niveau un domaine Windows NT vers un domaine Windows Server 2003, toutes les approbations Windows NT existantes sont conservées intactes. Toutes les relations de confiance entre les domaines Windows Server 2003 et Windows NT ne sont pas transitives.
  • La confiance du royaume. Une approbation non transitive entre un domaine Active Directory et un domaine Kerberos V5.

Types de confiance Bien que toutes les approbations permettent un accès authentifié aux ressources, les approbations peuvent avoir des caractéristiques différentes. Les types de domaines inclus dans la relation d'approbation affectent le type d'approbation créé. Par exemple, une approbation entre deux domaines enfants de différentes forêts est toujours une approbation externe, mais les approbations entre deux domaines racine de la forêt Windows Server 2003 peuvent être des approbations externes ou des approbations de forêt.

Deux types d'approbations sont créés automatiquement lorsque vous utilisez l'Assistant Installation de Active Directory. Quatre autres types d'approbations peuvent être créés manuellement à l'aide de l'Assistant Nouvelle approbation ou de l'outil de ligne de commande Netdom.

Trusts automatiques Par défaut, des approbations transitives bidirectionnelles sont automatiquement créées lorsqu'un nouveau domaine est ajouté à une arborescence de domaine ou à un domaine racine de forêt à l'aide de l'Assistant Installation de Active Directory. Les deux types d'approbation par défaut sont les approbations parent-enfant et les approbations racine.

Confiance parent-enfant Une relation de confiance parent-enfant est établie chaque fois qu'un nouveau domaine est créé dans une arborescence. Le processus d'installation d'Active Directory crée automatiquement une relation de confiance entre le nouveau domaine et le domaine qui le précède immédiatement dans la hiérarchie des espaces de noms (par exemple, corp.tailspintoys.com est créé en tant qu'enfant de tailspintoys.com). La relation de confiance parent-enfant présente les caractéristiques suivantes: Il ne peut exister qu'entre deux domaines du même arbre et du même espace de noms.

Le domaine parent est toujours approuvé par le domaine enfant.

Il doit être transitif et bidirectionnel. La nature bidirectionnelle des relations de confiance transitives permet aux informations de l'annuaire global dans Active Directory de se répliquer dans toute la hiérarchie.

Confiance de racine d'arbre Une approbation d'arborescence est établie lorsque vous ajoutez une nouvelle arborescence de domaine à une forêt. Le processus d'installation d'Active Directory crée automatiquement une relation de confiance entre le domaine que vous créez (la nouvelle racine de l'arborescence) et le domaine racine de la forêt. Une relation de confiance racine-arbre a les restrictions suivantes: Il ne peut être établi qu'entre les racines de deux arbres dans la même forêt.

Il doit être transitif et bidirectionnel.

Trusts manuels Dans Windows Server 2003, quatre types d'approbation doivent être créés manuellement: les approbations par raccourci sont utilisées pour l'optimisation entre les arborescences de domaines de la même forêt; Les approbations externes, de domaine et de forêt permettent une interopérabilité avec des domaines situés en dehors de la forêt, avec d'autres forêts ou avec des domaines. Ces types d'approbation doivent être créés à l'aide de l'Assistant Nouvelle approbation ou de l'outil de ligne de commande Netdom.

Approbations de raccourci Les approbations de raccourci sont des approbations transitives unidirectionnelles ou bidirectionnelles pouvant être utilisées lorsque les administrateurs doivent optimiser le processus d'authentification. Les demandes d'authentification doivent initialement parcourir un chemin de confiance entre les arborescences de domaines. Un chemin de confiance est la série de relations de confiance de domaine qui doivent être traversées afin de transmettre des demandes d'authentification entre deux domaines quelconques. Dans une forêt complexe, le temps requis pour parcourir le chemin de confiance peut avoir une incidence sur les performances. Vous pouvez réduire considérablement ce temps en utilisant des raccourcis. Les raccourcis clavier accélèrent les temps de connexion et d’accès aux ressources d’un domaine situé dans la hiérarchie d’une autre arborescence de domaines. La figure suivante illustre les relations de confiance entre deux arbres dans une forêt Windows Server 2003.

--couper--

Pour en savoir plus, consultez les liens suivants sur TechNet.

Richie086
la source