Im Einzelnen bedeuten die Begriffe "Domäne" und "Realm" fast dasselbe, jedoch für verschiedene Systeme. Realms und Realm-Namen stammen vom Kerberos-Authentifizierungsprotokoll ab und dienen dort praktisch dem gleichen Zweck wie Domänen und Domänennamen. Sie haben zwar keine direkte Beziehung, aber praktisch alle Kerberos-Realms sind nach der entsprechenden DNS-Domäne benannt.
In Active Directory sind AD-Domänen ein integriertes System aus DNS, LDAP, Kerberos und verschiedenen anderen Komponenten. Eine AD-Domäne verwendet eine DNS-Domäne für Serversuchen, und der DNS-Domänenname fungiert als Namespace für Benutzerkonten. Im Allgemeinen fungiert ein AD-Domänencontroller auch als DNS-Server für die entsprechende DNS-Domäne.
Beispielsweise haben Benutzerkonten UPNs, wie z. B. die fred@ad.example.com, die aus dem einfachen Benutzernamen mit dem Suffix "Groß- und Kleinschreibung" und dem DNS-Domänennamen (oder einer Auswahl mehrerer benutzerdefinierter "UPN-Suffixe") bestehen. Dienst-SPNs werden auf dieselbe Weise gebildet.
Intern werden diese Namen jedoch in den entsprechenden "Kerberos-Principal-Namen" konvertiert, der ein ähnliches Format hat und aussieht fred@AD.EXAMPLE.COM. Der Name des Kerberos-Bereichs ist immer von Groß- und Kleinschreibung abhängig. Jede Active Directory-Domäne fungiert als Kerberos-Bereich und hat genau einen Bereichsnamen (auch wenn mehrere UPN-Suffixe konfiguriert sind). Jeder AD-Domänencontroller fungiert auch als Kerberos-KDC für den entsprechenden Kerberos-Bereich.
(Normalerweise sehen Sie Kerberos-Realms nur direkt, wenn Sie mit Benutzerauthentifizierung arbeiten, z. B. bei der Konfiguration von SSO für einen Linux-Server.)
Konten verfügen auch über veraltete Namen im NT4-Stil, z. B. vor EXAMPLE\freddem NT4-Domänennamen, der ebenfalls Großbuchstaben ist, jedoch keine Punkte enthält. Verwechseln Sie dies nicht mit einem Kerberos-Realmnamen.
Welche Beziehung besteht also zwischen AD-Domänen, DNS-Domänen und Kerberos-Realms?
- Jede AD-Domäne ist ein Kerberos-Realm und jedes AD-Konto ist ein Kerberos-Principal. Der Kerberos-Bereich ist also eine Teilmenge der AD-Domäne. (Kerberos kann jedoch auch eigenständig ohne AD verwendet werden.)
- Jede AD-Domäne ist auf eine DNS-Domäne angewiesen, aber keine ist eine Teilmenge der anderen (DNS kann außerhalb von AD vorhanden sein).
- Kerberos verwendet (benötigt aber kein) DNS. Kerberos-Realms werden normalerweise nach DNS-Domänen benannt, ansonsten ist jedoch keine Untermenge der anderen.