你什么时候需要一个新的AD森林,你什么时候需要一棵新的树?

我是新来的AD和Windows服务器,这听起来应该是非常明显的,但我似乎无法弄清楚树和森林之间的区别。

根据我正在阅读的书: Active Directory For Dummies

简而言之,只有在需要使用多个名称空间的情况下才能创build一个林。 如果因为需要多个命名结构而需要多个命名空间,则需要为每个命名空间规划一个额外的树。

这本书还提供了这个图表:

在这里输入图像说明

我不完全理解这个陈述,但是根据图表,如果你有Corp.comNewcorp.com ,你应该在同一个森林里有两棵树,而不是两个不同的森林。 但是根据这个:

Windows Active Directory命名最佳实践?

主要推荐的方式命名你的“广告”,我认为他们的意思是森林,是:

  • 您公开使用的域中未使用的子域。 例如,如果您的公开networking存在是example.com您的内部AD可能会被命名为ad.example.cominternal.example.com

使用推荐的方式,如果您将活动目录命名为ad.Corp.com,并且以后需要将ad.Newcorp.com添加到您的目录林中,那么看起来这将会非常奇怪,因为ad.Newcorp.com将会成为名为ad.Corp.com的森林中的一棵树。

我在这里错过了什么?

编辑:

根据https://www.youtube.com/watch?v=Whh3kPS0FdA ,如果您符合以下条件,您几乎只需要一个新的森林:

  • 与另一家公司的AD森林有不同的架构
  • 正在testing对模式进行更改的应用程序,并且不希望它影响生产模式

我最大的问题是:你会怎样命名你的森林,这样即使你以后添加了不同的DNS命名空间(比如添加NewCorp.com),你也不会得到一个名为Corp.com的森林,其中有一棵名为NewCorp.com的树,还是更怪的东西? 如果一个森林可以包含多个DNS名称空间,为什么build议将它命名为ad.example.com而不是某种通用名称?

编辑2:

同一本书build议使用像AD.LOCAL这样的通用名称作为森林根域的名称,这是有道理的,因为这样可以让您拥有多个DNS名称空间。 然而,使用SOMETHING.LOCAL不再被视为森林根域的好名字,那么新build议的命名约定如何处理不同的DNS名称空间呢?

  • 从无效的Windows域控制器中获取FSMOangular色
  • Windows域复制监视工具
  • 漫游configuration文件权限和迁移
  • AD的实际限制?
  • 如何删除没有访问域(控制器)的组策略?
  • 如何在Windows Active Directory中显示networking连接的打印机?
  • 2 Solutions collect form web for “你什么时候需要一个新的AD森林,你什么时候需要一棵新的树?”

    .local从来不是一个好主意,从来没有推荐过。 我会怀疑那本书中的其他材料。

    在绝大多数情况下,您的问题并不重要,因为多个域林几乎不再是必需的。

    当您需要安全边界时,您需要一个新的森林。 森林是安全的边界。 如果出于法律或合规的原因需要分离资源,森林将实现这一目标。

    你需要一个新的子域或树根,好吧….真的永远不会。 它曾经是针对不同的密码策略,或者为了减lesspipe理的目的而减less复制,但是真正在现代的AD域中,这一切都可以在一个域的情况下实现。

    您的问题过于宽泛,但回答其中的一部分,corp.com和newcorp.com名称空间可能存在于同一个林中。 这是一个“树根信任”,在现有森林中创build一个新的域时会出现这种情况,而不是更常见的“父子信任”场景,其中一个新域添加到现有树中,并且是一个子域一个顶级的根。 两种信任types都是双向的,可传递的。

    信任types
    https://technet.microsoft.com/en-us/library/cc775736%28v=ws.10%29.aspx

    要回答这个问题:

    我最大的问题是:你会怎样命名你的森林,这样即使你以后添加了不同的DNS命名空间(比如添加NewCorp.com),你也不会得到一个名为Corp.com的森林,其中有一棵名为NewCorp.com的树,还是更怪的东西?

    那么,不要使用森林根域的TLD。 而不是contoso.com,使用contosoad.contoso.com或类似的AD森林根名称空间。

    至于多森林的一般原因:

    • testing环境(如您已经提到的)非常适合单独的森林。 生产森林不应该信任试验森林。

    • 如果贵公司的某一部分受到特定的法律或法规要求的约束。 您可能不希望整个公司的基础设施服从这些要求(或者您的企业可能在多个地理区域有不同的或相互冲突的要求),所以将公司的这个组成部分放在一个单独的基础设施中,包括单独的基础设施活动目录森林。

    • “影子”森林在SharePoint,Lync,Office 365等产品中颇受欢迎。可能有多个驱动程序。 您不想更新主生产林中的模式。 出于安全原因,您不希望与主生产林同步帐户。

    • 森林恢复scheme。 尽pipe大型分布式AD森林拓扑很less,但是如果有的话,完整的森林恢复scheme可能会成为问题。 如果它是全球分布的,而且networking带宽缓慢或不可靠,并且数据库很大,则这变得尤其严重。

    • 专用的行政森林。 在大型,高安全性的环境中,build立一个单独的森林来保护高度特权的pipe理帐户,以减less散列攻击的风险是明智的。 有关更多信息,请参阅附录中的“专用pipe理林”

    减轻通过哈希和其他证件盗窃v2

    服务器问题集锦,包括 Linux(Ubuntu, Centos,Debian等)和Windows Server服务器.