Windows Server2016 父子域信任关系及域树概念

今天我继续分享微软域架构逻辑架构中的父子域的实验,

实验拓扑如下:

在根域的DC上发现子域的计算机已经加入到了父域的computers项目中,并且状态是正常的。

而且父域中的域和信任关系中会多出子域的一个域名:父子域的逻辑架构明显就看出来了。

而当子域的服务器提升为DC后,根据父子域的逻辑架构,我们发现在父域中的computers中的子域的服务器脱离了父域的状态。

这个可以把这样的关系理解为两个家庭

而且在父域中DNS管理器中会有新增一个子域的DNS记录:

按照拓扑,我将子域的客户端也加入到子域中来:

那么问题来了,父域和子域之间的DC会有数据同步吗?

为了验证这个问题,我站在子域上看下我的容器是否和父域一样?

答案是不一样!父域所建立的组织名称没有同步到子域中来!

父子域明显是两个域!子域中为了实现独立管理,指的是对账号的独立管,如果账号同步就不会实现独立管理,这个实验结果会在后面总结一句话的。

就连在父域中的组策略仅仅只能管理父域,对子域无法实现策略管控!

为了验证对账号的独立管理,我在加入子域的客户端上用父域的账号去登录:

系统提示用户名或密码不正确!

既然父子域之间在管理上是完全独立的两个域,那么为什么要建立父子域,为什么不建立两个独立的域呢?

①核心原因就是信任!验证的信息能够互相传递。

②对域的管理统一化

我先来论证信任

在实际的生产环境中,父域往往中存放了一些总部集团的视频,文件,文档,子域的客户端业务需求需要访问这些文件。

①在父域中创建好共享文档(文档中存放视频,文档资料。)

其中everyone的用户一定是有读取和写入的权限!

②子域客户端通过域名\IP地址模拟远程访问总部集团的共享集团宣传资料:

(已在子域上新建立了一个用户)

通过输入IP地址,访问到了总部集团的共享文件:而且没有弹出身份验证的窗体,这就证明了父子域是互相信任的。

在微软官方定义中:两个域之间必须拥有信任的关系,才可以访问对方域内的资源,而任何一个新的DC加入到域树之后,这个域都会自动信任上一层的父域,同时父域也会自动信任子域,这些信任关系具备双向传递性,负责双向信任的协议是有Kerberos security protocol完成。

再来举例说一下建立父子域好处之二,对域架构的统一管理,核心权限在于福与众企业管理员的权限!所以我们在创建子域的时候,一定要给子域账号Enterprise Admins这个组的权限。

-----------

在大型企业中,系统运维人员在规划企业域架构时,时常会遇到分支机构是建立备份域控还是建立子域的问题。

域的规划很大因素取决于公司业务,跟IT部门决策没有什么大的联系,为什么这样说呢!

选用备份域控或者子域,我们要参考以下因素:

①分支机构是否需要独立管理。

例如以加盟店的形式,在行政上,信息管理方面都是加盟店独立管理;反之如果需要统一化管理,就使用备份域控。

②分支机构是否有专门域的管理团队。

分支机构的建立大多数是三线城市甚至更低,能编制一个helpdesk就已经很不错了,更不要提服务运维人员,因此可以创建备份域控(总部建立什么策略,分分部就可以同步)。

在活动目录数据库主要有三个存储分区:域分区,配置分区、架构分区。

打开adsiedit 也可叫做ADIS编辑器。先大致介绍下三个分区的意义。

域分区:存储着当前这个域中所有的对象。

配置分区:存储着针对当前林的配置信息。

架构分区:存储着当前林的对象的架构。

域分区:

当我打开域分区的文件架构时,发现它和用户和计算机的目录是一样的!

如果两个DC在同一个域中,三个分区都相互同步;如果两个DC在同一个林中,但是不在一个域中,只有配置分区和架构分区一样!

很显然这就应证了我父域中创建的这些账号都是存放在父域中的域分区,子域上是不会同步过来的的道理。

域树Domain Tree(树域)

在微软官方定义中,域树符合DNS域名空间的命名原则,而且是具有连续性,也就是子域的域名包含其父域的域名。

举例来说,集团公司开始多元化业务,有了基金业务,如图所示:

站在fund域的DC上ping通了网关及fengxin.cn的DC后开始加入fengxin域,在配置好路由远程访问(添加网卡,配置自定义服务,LAN路由这里上章节已做分享)

加入到fengxin.cn的域中(用fengxin域管理员账号加入)

当我把这台服务器加入fengxin.cn的域后,在域中可以看到这台服务器已经进入到计算机对象中了:

创建林中域树

创建方法类似于创建子域,先安装域服务然后提升域控制器。

唯一的区别:

提升域控制器时我按照拓扑需求,将新域树,域名填写正确,然后一路下一步就可以安装完成了。

当这个域树建立好之后,我站在fengxin的DC上查看域和信任关系中这几个域的架构:从图中看的出这两个域是平行(顶级域)的关系!而且这两个独立的域里的账号是不会同步到对方的!

注意的是,在服务器运维人员创建好域树,必须要创建一个配置,负责域树无法工作(两个域之间的配置是无法同步!)。

我站在fengxin的DC上去ping fxfund的完整域名会找不到!找不到域名何谈通讯啊!

初学者认为是不是需要调整信任,答案是错的,我们可以在fengxin的DC上查看信任的属性:

故障原因在于是DNS转发!

需要到fengxin.cn上新增一个条件转发器!(必须要在根域上)

配置完成后两个域之间的域名就可以互相访问了

时间关系,下回继续分享活动目录的技术点。O(∩_∩)O谢谢!

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20180530G024A800?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。

扫码关注云+社区

领取腾讯云代金券

玩转腾讯云 有奖征文活动