域和领域有什么区别

Question

我无法得到任何明确的答案，因此在此论坛上提问。我想知道域和领域之间的区别。我尝试在互联网上的几个地方寻找它。它们是相同的、不同的、相关的还是一个是另一个的子集？

Answer 1

单独来看，术语“域”和“领域”的含义几乎相同，但用于不同的系统。领域和领域名称来自 Kerberos 身份验证协议，它们的用途实际上与域和域名相同。严格来说，它们没有直接关系，但实际上几乎所有 Kerberos 领域都以相应的 DNS 域命名。

在 Active Directory 中，AD“域”是 DNS、LDAP、Kerberos 和各种其他组件的集成系统。AD 域使用DNS 域进行服务器查找，DNS 域名充当用户帐户的命名空间。通常，AD 域控制器还充当相应 DNS 域的 DNS 服务器。

例如，用户帐户具有诸如 的 UPN fred@ad.example.com，这些UPN由后缀不区分大小写的 DNS 域名（或多个自定义“UPN 后缀”的选择）的普通用户名组成。服务 SPN 的形成方式相同。

但在内部，这些名称会转换为等效的“Kerberos 主体名称”，其格式类似，看起来像fred@AD.EXAMPLE.COM. Kerberos领域名称是区分大小写的，并按照约定总是大写的。每个 Active Directory 域都充当Kerberos 领域，并且只有一个领域名称（即使配置了多个 UPN 后缀）。每个 AD 域控制器还充当相应 Kerberos 领域的 Kerberos KDC。

（通常，您唯一能直接看到 Kerberos 领域的时间是在使用用户身份验证时，例如为 Linux 服务器配置 SSO。）

帐户还具有传统的 NT 样式名称，例如EXAMPLE\fred，以“NT 域”或“NetBIOS 域”名称为前缀，该名称也是大写的，但其中没有任何点。不要将其与 Kerberos 领域名称混淆。

那么 AD 域、DNS 域和 Kerberos 域之间的关系是什么？

• 每个 AD 域自动拥有一个 Kerberos 领域，每个 AD 帐户都有一个 Kerberos 主体。所以 Kerberos 领域是 AD 域的一个子集。（但是，Kerberos 也可以在没有 AD 的情况下独立使用。）
• 每个 AD 域都依赖于一个 DNS 域，但都不是另一个域的子集（DNS 当然可能存在于 AD 之外）。
• Kerberos 使用（但不需要）DNS。Kerberos 域通常根据 DNS 域命名，但除此之外，它们都不是另一个域的子集。Kerberos 客户端可以选择使用 DNS SRV 记录来发现 KDC（如果领域名称是基于 DNS 的）。