Выбор корневого домена леса
Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Первый домен, развернутый в лесу Active Directory, называется корневым доменом леса. Этот домен остается корневым доменом леса для жизненного цикла развертывания AD DS.
Корневой домен леса содержит группы корпоративных Администратор и Администратор схем. Эти группы администраторов служб используются для управления операциями на уровне леса, такими как добавление и удаление доменов и реализация изменений в схеме.
Выбор корневого домена леса включает определение того, может ли один из доменов Active Directory в структуре домена функционировать в качестве корневого домена леса или если необходимо развернуть выделенный корневой домен леса.
Сведения о развертывании корневого домена леса см. в разделе "Развертывание корневого домена леса Windows Server 2008".
Выбор регионального или выделенного корневого домена леса
При применении одной модели домена один домен работает в качестве корневого домена леса. При применении нескольких моделей домена можно выбрать развертывание выделенного корневого домена леса или выбрать региональный домен для работы в качестве корневого домена леса.
Корневой домен выделенного леса
Выделенный корневой домен леса — это домен, созданный специально для работы в качестве корневого леса. Он не содержит учетных записей пользователей, отличных от учетных записей администратора службы для корневого домена леса. Кроме того, он не представляет ни одного географического региона в структуре домена. Все остальные домены в лесу являются дочерними элементами выделенного корневого домена леса.
Использование выделенного корневого леса обеспечивает следующие преимущества:
- Оперативное разделение администраторов служб леса от администраторов доменной службы. В одной среде домена члены доменных Администратор и встроенных групп Администратор istrator могут использовать стандартные средства и процедуры, чтобы сделать себя членами групп корпоративных Администратор и схем Администратор. В лесу, использующего выделенный корневой домен леса, члены доменных Администратор и встроенные группы Администратор istrators в региональных доменах не могут сделать себя членами групп администраторов служб уровня леса с помощью стандартных средств и процедур.
- Защита от операционных изменений в других доменах. Выделенный корневой домен леса не представляет определенный географический регион в структуре домена. По этой причине это не влияет на реорганизации или другие изменения, которые приводят к переименованию или реструктуризации доменов.
- Служит нейтральным корнем, чтобы ни одна страна или регион, как представляется, не подчинялись другому региону. Некоторые организации могут предпочесть избежать появления того, что одна страна или регион подчинена другой стране или региону в пространстве имен. При использовании корневого домена выделенного леса все региональные домены могут быть однорангами в иерархии доменов.
В среде с несколькими регионами, в которой используется выделенный корень леса, реплика от корневого домена леса оказывает минимальное влияние на сетевую инфраструктуру. Это связано с тем, что корневой каталог леса размещает только учетные записи администратора службы. Большинство учетных записей пользователей в лесу и других данных, относящихся к домену, хранятся в региональных доменах.
Одним из недостатков использования корневого домена выделенного леса является создание дополнительных затрат на управление для поддержки дополнительного домена.
Региональный домен в качестве корневого домена леса
Если вы решили не развертывать корневой домен выделенного леса, необходимо выбрать региональный домен для работы в качестве корневого домена леса. Этот домен является родительским доменом всех других региональных доменов и будет первым развернутым доменом. Корневой домен леса содержит учетные записи пользователей и управляется таким же образом, как и другие региональные домены. Основное различие заключается в том, что он также включает группы корпоративных Администратор и схем Администратор.
Преимущество выбора регионального домена для работы в качестве корневого домена леса заключается в том, что он не создает дополнительные затраты на управление, которые поддерживают создание дополнительного домена. Выберите соответствующий региональный домен, чтобы быть корнем леса, например доменом, который представляет вашу штаб-квартиру или регион с самыми быстрыми сетевыми подключениями. Если вашей организации трудно выбрать региональный домен для корневого домена леса, вместо этого можно использовать выделенную корневую модель леса.
Назначение корневого доменного имени леса
Имя корневого домена леса также является именем леса. Корневое имя леса — это dns-имя, состоящее из префикса и суффикса в виде префикса.суффикса. Например, у организации может быть корневое имя леса corp.contoso.com. В этом примере corp является префиксом и contoso.com является суффиксом.
Выберите суффикс из списка существующих имен в сети. Для префикса выберите новое имя, которое ранее не использовалось в вашей сети. При присоединении нового префикса к существующему суффиксу создается уникальное пространство имен. Создание нового пространства имен для служб домен Active Directory (AD DS) гарантирует, что для размещения AD DS не требуется изменять имеющуюся инфраструктуру DNS.
Выбор суффикса
Чтобы выбрать суффикс для корневого домена леса, выполните следующие действия.
Обратитесь к владельцу DNS для организации, чтобы получить список зарегистрированных DNS-суффиксов, которые используются в сети, где будут размещаться доменные службы AD DS. Обратите внимание, что суффиксы, используемые во внутренней сети, могут отличаться от суффиксов, используемых внешним образом. Например, организация может использовать contosopharma.com в Интернете и contoso.com в внутренней корпоративной сети.
Обратитесь к владельцу DNS, чтобы выбрать суффикс для использования с AD DS. Если подходящие суффиксы отсутствуют, зарегистрируйте новое имя с помощью центра именования Интернета.
Рекомендуется использовать DNS-имена, зарегистрированные в интернет-центре в пространстве имен Active Directory. Только зарегистрированные имена гарантированно будут глобально уникальными. Если другая организация позже регистрирует то же доменное имя DNS (или если ваша организация объединяется с, приобретает или приобретается другой компанией, используюющей одно и то же DNS-имя), две инфраструктуры не могут взаимодействовать друг с другом.
Внимание
Не используйте dns-имена с одной меткой. Дополнительные сведения см. в разделе "Развертывание и операция доменов Active Directory", настроенных с помощью имен DNS с одной меткой. Кроме того, не рекомендуется использовать незарегистрированные суффиксы, например local.
Выбор префикса
Если вы выбрали зарегистрированный суффикс, который уже используется в сети, выберите префикс для имени корневого домена леса с помощью правил префикса в таблице ниже. Добавьте префикс, который в настоящее время не используется для создания нового подчиненного имени. Например, если корневое имя DNS contoso.com, можно создать корневое доменное имя леса Active Directory concorp.contoso.com, если пространство имен concorp.contoso.com еще не используется в сети. Эта новая ветвь пространства имен будет выделена AD DS и может быть легко интегрирована с существующей реализацией DNS.
Если вы выбрали региональный домен для работы в качестве корневого домена леса, может потребоваться выбрать новый префикс для домена. Так как корневое доменное имя леса влияет на все другие доменные имена в лесу, возможно, не подходит имя на основе региона. Если вы используете новый суффикс, который в настоящее время не используется в сети, его можно использовать в качестве корневого доменного имени леса без выбора дополнительного префикса.
В следующей таблице перечислены правила выбора префикса для зарегистрированного DNS-имени.
| Правило | Описание |
|---|---|
| Выберите префикс, который, скорее всего, не станет устаревшим. | Избегайте таких имен, как линия продукта или операционная система, которые могут измениться в будущем. Мы рекомендуем использовать универсальные имена, такие как corp или ds. |
| Выберите префикс, содержащий только стандартные символы Интернета. | A-Z, a-z, 0-9 и (-), но не совсем числовые. |
| Включите в префикс 15 символов или меньше. | Если выбрать длину префикса в 15 символов или меньше, имя NetBIOS совпадает с префиксом. |
Важно, чтобы владелец DNS Active Directory работал с владельцем DNS для организации, чтобы получить владение именем, которое будет использоваться для пространства имен Active Directory. Дополнительные сведения о разработке инфраструктуры DNS для поддержки AD DS см. в разделе "Создание структуры инфраструктуры DNS".
Документирование корневого доменного имени леса
Задокументируйте префикс DNS и суффикс, который выбран для корневого домена леса. На этом этапе определите, какой домен будет корневым лесом. Вы можете добавить сведения о корневом домене леса на лист "Планирование домена", который вы создали для документирования плана для новых и обновленных доменов и доменных имен. Чтобы открыть его, скачайте Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip из пакета развертывания Для Windows Server 2003 и откройте раздел "Планирование домена" (DSSLOGI_5.doc).