Я не мог получить четкий ответ, поэтому спрашивал на этом форуме. Я хочу знать разницу между доменом и областью. Я пытался найти его в нескольких местах в Интернете. Являются ли они одинаковыми, разными, родственными или подмножеством других?
1 ответ
По отдельности термины «домен» и «область» означают почти одно и то же, но для разных систем. Области и имена областей происходят из протокола аутентификации Kerberos, где они служат практически той же цели, что и домены и доменные имена. Строго говоря, они не имеют прямого отношения, но на практике почти все области Kerberos названы в честь соответствующего домена DNS.
В Active Directory «домены» AD представляют собой интегрированную систему DNS, LDAP, Kerberos и различных других компонентов. Домен AD использует домен DNS для поиска на сервере, а имя домена DNS выступает в качестве пространства имен для учетных записей пользователей. Как правило, контроллер домена AD также выступает в качестве DNS-сервера для соответствующего домена DNS.
Например, учетные записи пользователей имеют UPN, такие как fred@ad.example.com
, которые сделаны из простого имени пользователя с добавлением нечувствительного к регистру имени домена DNS (или нескольких пользовательских "суффиксов UPN"). Сервисные SPN формируются аналогичным образом.
Но внутренне эти имена преобразуются в эквивалентное "имя участника Kerberos", которое имеет аналогичный формат и выглядит как fred@AD.EXAMPLE.COM
. Имя области Kerberos всегда чувствительны к регистру и по соглашению всегда ЗАГЛАВНОЕ. Каждый домен Active Directory действует как область Kerberos и имеет ровно одно имя области (даже если настроено несколько суффиксов UPN). Каждый контроллер домена AD также действует как Kerberos KDC для соответствующей области Kerberos.
(Обычно единственный раз, когда вы непосредственно видите области Kerberos, это когда вы работаете с аутентификацией пользователя, например, настройкой единого входа для сервера Linux.)
Учетные записи также имеют устаревшие имена в стиле NT4, такие как EXAMPLE\fred
, с префиксом доменного имени NT4, которое также является прописным, но без точек в нем. Не путайте это с именем области Kerberos.
Так какова связь между доменами AD, доменами DNS и областями Kerberos?
- Каждый домен AD является областью Kerberos, а каждая учетная запись AD является принципалом Kerberos. Таким образом, область Kerberos является подмножеством домена AD. (Тем не менее, Kerberos также может использоваться автономно без AD.)
- Каждый домен AD зависит от домена DNS, но ни один из них не является подмножеством другого (DNS может существовать вне AD).
- Kerberos использует (но не требует) DNS. Области Kerberos обычно именуются в соответствии с доменами DNS, но в остальном ни одна из них не является подмножеством другой.