Quando você precisa de uma nova floresta AD e quando precisa de uma nova árvore?

4

Sou novo no AD e no Windows Server, e isso parece óbvio, mas não consigo descobrir a diferença entre uma árvore e uma floresta.

De acordo com o livro que estou lendo: Active Directory For Dummies :

To put it simply, you create a forest only if you need to use more than one namespace. If you require more than one namespace because you require more than one naming structure, you need to plan an additional tree for each namespace.

O livro também fornece este diagrama:

Eunãoentendocompletamenteadeclaração,masdeacordocomodiagrama,sevocêtemCorp.comeNewcorp.com,vocêdeveterduasárvoresnamesmaflorestaemoposiçãoaduasflorestasdiferentes.Deacordocomisso,noentanto:

Práticas recomendadas de nomes do Windows Active Directory?

a principal forma recomendada de nomear o seu "AD", pelo qual eu suponho que eles significam floresta, é:

  • An unused sub-domain of a domain that you use publicly. For example, if your public web presence is example.com your internal AD might be named something like ad.example.com or internal.example.com.

Usando a maneira recomendada, se você nomear seu diretório ativo ad.Corp.com e, posteriormente, precisar adicionar ad.Newcorp.com à sua floresta como uma nova árvore, parece que será bem estranho, já que a ad.Newcorp .com será uma árvore em uma floresta chamada ad.Corp.com.

O que estou perdendo aqui?

Editar:

De acordo com o link , você só precisaria de uma nova floresta se:

  • Mesclar com outra empresa cuja floresta do AD tenha um esquema diferente do seu
  • Está testando um aplicativo que faz alterações no esquema e você não quer que ele afete seu esquema de produção

Meu maior problema é este: qual seria o nome da sua floresta para que, mesmo se você adicionar namespaces DNS diferentes posteriormente (como adicionar NewCorp.com), você não acabe com uma floresta chamada Corp.com com uma árvore chamada NewCorp.com, ou algo ainda mais estranho? E se uma floresta puder conter vários namespaces DNS, por que é recomendável nomear algo como ad.example.com em vez de algo genérico?

Editar 2:

O mesmo livro sugere o uso de algo genérico como AD.LOCAL como o nome do domínio raiz da floresta, o que faz sentido, já que isso permitiria que você tivesse vários namespaces DNS. O uso de SOMETHING.LOCAL não é mais considerado um bom nome para um domínio raiz da floresta, portanto, como a nova convenção de nomenclatura sugerida manipula diferentes namespaces DNS?

    
por Tal 11.04.2015 / 23:48

2 respostas

4

.local nunca foi uma boa ideia e nunca foi recomendado. Eu seria suspeito do outro material nesse livro.

Na grande maioria das situações, a sua pergunta não importa, porque as florestas de vários domínios nunca foram quase necessárias.

Você precisa de uma nova floresta quando precisar de um limite de segurança. Uma floresta é um limite de segurança. Se você precisar de isolamento de recursos por motivos legais ou de conformidade, uma floresta conseguirá isso.

Você precisa de um novo domínio filho ou raiz de árvore, bem ... realmente nunca. Costumava ser para políticas de senha diferentes ou para reduzir a replicação ouvida ou para fins de gerenciamento, mas realmente em domínios modernos do AD isso tudo pode ser alcançado em um cenário de domínio único.

    
por 12.04.2015 / 03:38
1

Sua pergunta é muito ampla, mas para responder a uma parte dela, é possível que os namespaces corp.com e newcorp.com existam na mesma floresta. Essa é uma "raiz raiz da árvore" e ocorre ao criar um novo domínio árvore em uma floresta existente, em oposição ao cenário mais comum "confiança pai-filho", em que um novo domínio é adicionado a um existente. tree e é um domínio filho de uma raiz de nível superior. Ambos os tipos de confiança são bidirecionais e transitivos.

Tipos de confiança no link

Para responder a esta pergunta:

My biggest problem is this: What would you name your forest so that even if you add different DNS namespaces later (like adding NewCorp.com), you don't end up with a forest named Corp.com with a tree named NewCorp.com, or something even weirder?

Bem, não use o TLD para o domínio raiz da floresta. Em vez de contoso.com, use contosoad.contoso.com ou algo parecido para o namespace de raiz de floresta do AD.

Quanto às razões gerais para ter várias florestas:

  • Os ambientes de teste (como você já mencionou) são ideais para uma floresta separada. As florestas de produção nunca devem confiar nas florestas de teste.

  • Se uma parte da sua empresa estiver sujeita a requisitos legais ou regulamentares específicos. Você pode não querer que toda a infraestrutura da empresa esteja sujeita a esses requisitos (ou sua empresa pode operar em várias áreas geográficas com requisitos diferentes ou conflitantes), por isso, pode ser mais prático ter esse componente da empresa em uma infraestrutura separada, incluindo um separado Floresta do Active Directory.

  • As florestas "Shadow" são um pouco populares para produtos como o SharePoint, o Lync, o Office 365. Pode haver vários drivers para isso. Você não deseja atualizar o esquema na floresta de produção principal. Você não deseja sincronizar contas com a floresta de produção principal por motivos de segurança.

  • Cenário de recuperação florestal. Embora grandes topologias de floresta distribuídas do AD sejam raras, se você tiver uma, um cenário de recuperação completa da floresta pode ser um problema. Isso se torna particularmente agudo se for distribuído globalmente e a largura de banda da rede for lenta ou não confiável e o banco de dados for grande.

  • Floresta administrativa dedicada. Em ambientes grandes e de alta segurança, pode ser aconselhável criar uma floresta separada para proteger contas administrativas altamente privilegiadas para reduzir o risco de ataques pass-the-hash. Para obter mais informações, consulte o Apêndice "florestas administrativas dedicadas" em:

Atenuando o Pass-the-Hash e Outros Roubos de Credenciais v2

    
por 12.04.2015 / 18:42