По отдельности термины «домен» и «область» означают почти одно и то же, но для разных систем. Области и имена областей происходят из протокола аутентификации Kerberos, где они служат практически той же цели, что и домены и доменные имена. Строго говоря, они не имеют прямого отношения, но на практике почти все области Kerberos названы в честь соответствующего домена DNS.
В Active Directory «домены» AD представляют собой интегрированную систему DNS, LDAP, Kerberos и различных других компонентов. Домен AD использует домен DNS для поиска на сервере, а имя домена DNS выступает в качестве пространства имен для учетных записей пользователей. Как правило, контроллер домена AD также выступает в качестве DNS-сервера для соответствующего домена DNS.
Например, учетные записи пользователей имеют такие UPN, как fred@ad.example.com, например, которые сделаны из простого имени пользователя с суффиксом без учета регистра имени домена DNS (или на выбор нескольких пользовательских «суффиксов UPN»). Сервисные SPN формируются аналогичным образом.
Но внутренне эти имена преобразуются в эквивалентное «основное имя Kerberos», которое имеет похожий формат и выглядит так fred@AD.EXAMPLE.COM. Имя области Kerberos это всегда чувствительны к регистру и по соглашению всегда ЗАГЛАВНОЕ. Каждый домен Active Directory действует как область Kerberos и имеет ровно одно имя области (даже если настроено несколько суффиксов UPN). Каждый контроллер домена AD также действует как Kerberos KDC для соответствующей области Kerberos.
(Обычно единственный раз, когда вы непосредственно видите области Kerberos, это когда вы работаете с аутентификацией пользователя, например, настройкой единого входа для сервера Linux.)
Учетные записи также имеют устаревшие имена в стиле NT4, например EXAMPLE\fred, с префиксом имени домена NT4, которое также является прописным, но без точек в нем. Не путайте это с именем области Kerberos.
Так какова связь между доменами AD, доменами DNS и областями Kerberos?
- Каждый домен AD является областью Kerberos, а каждая учетная запись AD является принципалом Kerberos. Таким образом, область Kerberos является подмножеством домена AD. (Тем не менее, Kerberos также может использоваться автономно без AD.)
- Каждый домен AD зависит от домена DNS, но ни один из них не является подмножеством другого (DNS может существовать вне AD).
- Kerberos использует (но не требует) DNS. Области Kerberos обычно именуются в соответствии с доменами DNS, но в остальном ни одна из них не является подмножеством другой.