Risposte:
Individualmente, i termini "dominio" e "regno" significano quasi la stessa cosa, ma per sistemi diversi. I regni e i nomi dei regni provengono dal protocollo di autenticazione Kerberos, dove hanno praticamente lo stesso scopo di domini e nomi di dominio. Non hanno una relazione diretta, a rigor di termini, ma in pratica quasi tutti i regni Kerberos prendono il nome dal dominio DNS corrispondente.
All'interno di Active Directory, i "domini" di Active Directory sono un sistema integrato di DNS, LDAP, Kerberos e vari altri componenti. Un dominio AD utilizza un dominio DNS per le ricerche del server e il nome del dominio DNS funge da spazio dei nomi per gli account utente. In genere, un controller di dominio AD funge anche da server DNS per il dominio DNS corrispondente.
Ad esempio, gli account utente hanno UPN come fred@ad.example.com, che sono fatti dal semplice nome utente con il suffisso del nome di dominio DNS senza distinzione tra maiuscole e minuscole (o una scelta di diversi "suffissi UPN" personalizzati). Gli SPN di servizio sono formati allo stesso modo.
Ma internamente questi nomi vengono convertiti nel "nome principale Kerberos" equivalente, che ha un formato simile e sembra fred@AD.EXAMPLE.COM. Il nome del realm Kerberos fa sempre distinzione tra maiuscole e minuscole e per convenzione sempre maiuscolo. Ogni dominio di Active Directory funge da dominio di Kerberos e ha esattamente un nome di dominio (anche se sono configurati più suffissi UPN). Ogni controller di dominio AD funge anche da KDC Kerberos per il regno Kerberos corrispondente.
(Normalmente, l'unica volta che vedrai direttamente i regni Kerberos è quando si lavora con l'autenticazione utente, ad esempio la configurazione di SSO per un server Linux.)
Gli account hanno anche nomi legacy in stile NT4, ad esempio EXAMPLE\fred, preceduti dal nome di dominio NT4 che è anche in maiuscolo ma senza punti. Non confondere questo con un nome del regno Kerberos.
Quindi qual è la relazione tra domini AD, domini DNS e regni Kerberos?