ドメインとレルムの違いは何ですか

個別に、「ドメイン」と「レルム」という用語はほぼ同じことを意味しますが、システムが異なります。レルムとレルム名はKerberos認証プロトコルに由来し、ドメインおよびドメイン名と実質的に同じ目的を果たします。厳密に言えば、それらには直接の関係はありませんが、実際には、ほとんどすべてのKerberosレルムは、対応するDNSドメインにちなんで名付けられています。

Active Directory内では、AD「ドメイン」はDNS、LDAP、Kerberos、およびその他のさまざまなコンポーネントの統合システムです。 ADドメイン使用サーバー検索用のDNSドメインであり、DNSドメイン名はユーザーアカウントの名前空間として機能します。一般に、ADドメインコントローラーは、対応するDNSドメインのDNSサーバーとしても機能します。

たとえば、ユーザーアカウントには[email protected]などのUPNがあり、大文字と小文字を区別しないDNSドメイン名が付いたプレーンなユーザー名（またはいくつかのカスタム "UPNサフィックス"の選択肢）から作成されます。サービスSPNも同じ方法で形成されます。

ただし、内部的にはこれらの名前は同等の「Kerberosプリンシパル名」に変換されます。これは、形式が似ており、[email protected]のように見えます。 Kerberosレルム名は常に大文字と小文字が区別され、慣例により常に大文字です。各Active Directoryドメインacts as Kerberosレルムであり、レルム名は1つだけです（複数のUPNサフィックスが設定されている場合でも）。すべてのADドメインコントローラーは、対応するKerberosレルムのKerberos KDCとしても機能します。

（通常、Kerberosレルムが直接表示されるのは、Linuxサーバー用にSSOを構成するなど、ユーザー認証を操作する場合のみです。）

アカウントには、EXAMPLE\fredなどのNT4ドメイン名が前に付いたレガシーNT4スタイルの名前もあり、NT4ドメイン名も大文字ですが、ドットは含まれていません。これをKerberosレルム名と混同しないでください。

それでは、ADドメイン、DNSドメイン、およびKerberosレルムの関係は何でしょうか。

• 各ADドメインはKerberosレルムであり、各ADアカウントはKerberosプリンシパルです。したがって、KerberosレルムはADドメインのサブセットです。 （ただし、KerberosはADなしでスタンドアロンで使用することもできます。）
• 各ADドメインはDNSドメインに依存していますが、どちらも他のサブセットではありません（DNSはADの外部に存在する場合があります）。
• KerberosはDNSを使用します（ただし必須ではありません）。 Kerberosレルムは通常DNSドメインに従って名前が付けられますが、それ以外はどちらも他のサブセットではありません。