domain-name-system – 什么时候需要新的AD林,何时需要新树?

前端之家收集整理的这篇文章主要介绍了domain-name-system – 什么时候需要新的AD林,何时需要新树?前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我是AD和 Windows Server的新手,这听起来应该很明显,但我似乎无法弄清楚树和森林之间的区别.

根据我正在阅读的书:Active Directory For Dummies:

To put it simply,you create a forest only if you need to use more
than one namespace. If you require more than one namespace because you
require more than one naming structure,you need to plan an additional
tree for each namespace.

书中还提供了这个图:

我不完全理解这个陈述,但根据图表,如果你有Corp.com和Newcorp.com,你应该在同一个森林中有2棵树而不是2个不同的森林.但是根据这个:

Windows Active Directory naming best practices?

命名你的“AD”的主要推荐方式,我认为它们意味着森林,是:

  • An unused sub-domain of a domain that you use publicly. For
    example,if your public web presence is example.com your internal AD
    might be named something like ad.example.com or
    internal.example.com.

使用推荐的方式,如果您将活动目录命名为ad.Corp.com,稍后需要将ad.Newcorp.com添加到您的林中作为新树,看起来它会非常奇怪,因为ad.Newcorp.com将是一个名为ad.Corp.com的森林中的一棵树.

我在这里想念的是什么?

编辑:

根据https://www.youtube.com/watch?v=Whh3kPS0FdA,如果你:你大多只需要一个新的森林:

>与另一家公司合并,其AD模式与您的模式不同
>正在测试对架构进行更改的应用程序,并且您不希望它影响生产架构

我最大的问题是:你将森林命名为什么,以便即使你以后添加不同的DNS命名空间(如添加NewCorp.com),你也不会得到一个名为Corp.com的森林,其中一棵树名为NewCorp.com,甚至更奇怪的东西?如果一个森林可以包含多个DNS命名空间,为什么建议将其命名为ad.example.com而不是通用名称

编辑2:

同一本书建议使用像AD.LOCAL这样的通用名称作为林根域名,这是有道理的,因为这将允许您拥有多个DNS名称空间.但是,使用SOMETHING.LOCAL不再被视为林根域的良好名称,那么新建议的命名约定如何处理不同的DNS命名空间?

解决方法

.local从来都不是一个好主意,从未被推荐过.我怀疑那本书中的其他材料.

在绝大多数情况下,您的问题无关紧要,因为几乎不再需要多个域林.

当您需要安全边界时,您需要一个新的林.森林是一个安全边界.如果出于法律或合规性原因需要隔离资源,林会实现这一目标.

你需要一个新的子域或树根,好吧….真的从来没有.它曾经用于不同的密码策略或减少复制的无意中或用于管理目的,但实际上在现代AD域中,这可以在单个域方案中实现.

猜你在找的HTML相关文章