Я пытаюсь достигнуть следующего;
Среда является Единственным Лесом с Корневым Доменом и x2 дочерними доменами следующим образом;
root.net
child1.root.net
child2.root.net
Не будет никакого логического или физического доступа между child1 и child2, как каждый будет Производственным Доменом и другим Домен Разработки.
Оба Домена требуют, чтобы абсолютно отдельные полномочия Служб сертификации распределили и управляли внутренними сертификатами в своем собственном домене только. Оба Домена будут иметь свой собственный отдельный Офлайновый Корень CA.
Есть ли какие-либо глюки с этой установкой (Какие-либо AD регистрационные проблемы, и т.д.) или есть ли лучший способ развернуть это, принимая во внимание, что AD установка не может измениться? (Должен сохранить Единственный Лес и x2 Дочернюю Модель предметной области).
Следует понять одну вещь: ADCS - это служба на уровне леса. То есть, после установки Enterprise CA он регистрируется в Active Direcotry, контексте именования конфигурации. Как вы, возможно, знаете (по крайней мере, должны знать), что контекст именования конфигурации реплицируется между всеми контроллерами домена в лесу.
Недавно у нас было подобное обсуждение на форумах TechNet, где я и Марк Б. Купер объяснил все трудности с помощью этого сценария: https://social.technet.microsoft.com/Forums/en-US/0594d63c-bfc3-4868-b173-1163cc0e997a/ca-query?forum=winserversecurity
в Короче говоря, это выполнимо, однако это потребует дополнительных затрат на управление и не обеспечивает истинной изоляции. В этом случае разумно разделить домены на отдельные леса (тоже непростая задача).
Значит, будет два автономных корня, по одному для каждого дочернего домена?
Учитывая ограничения доступа, которые вы хотите, кажется, что было бы разумнее разместить автономные корни в дочерних доменах - поскольку они все равно отключены, это не значит, что вы теряете от этого какую-либо безопасность. с автономным корнем они будут автономными, а не корпоративными, поэтому вы будете вручную развертывать доверие этих сертификатов в каждом дочернем домене?Их размещение в корневом домене только добавляет ненужной сложности.