Auswählen der Stammdomäne der Gesamtstruktur

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Die erste Domäne, die Sie in einer Active Directory-Gesamtstruktur bereitstellen, wird als Stammdomäne der Gesamtstruktur bezeichnet. Diese Domäne bleibt über den Lebenszyklus der AD DS-Bereitstellung die Stammdomäne der Gesamtstruktur.

Die Stammdomäne enthält die Gruppen „Organisations-Admins“ und „Schema-Admins“. Diese Dienstadministratorengruppen werden zur Verwaltung von Vorgängen auf Gesamtstrukturebene verwendet, z. B. Hinzufügen und Entfernen von Domänen und Implementierung von Änderungen am Schema.

Zum Auswählen der Gesamtstruktur-Stammdomäne muss ermittelt werden, ob eine der Active Directory-Domänen in Ihrem Domänenentwurf als Stammdomäne fungieren kann oder eine dedizierte Stammdomäne für die Gesamtstruktur bereitgestellt werden muss.

Informationen zum Bereitstellen einer Stammdomäne für eine Gesamtstruktur finden Sie unter Bereitstellen einer Windows Server 2008-Gesamtstruktur-Stammdomäne.

Auswählen einer regionalen oder dedizierten Gesamtstruktur-Stammdomäne

Wenn Sie ein Modell mit einer einzelnen Domäne anwenden, fungiert diese Domäne als Stammdomäne der Gesamtstruktur. Wenn Sie ein Modell mit mehreren Domänen anwenden, können Sie eine dedizierte Gesamtstruktur-Stammdomäne bereitstellen oder eine regionale Domäne auswählen, die als Gesamtstruktur-Stammdomäne fungiert.

Dedizierte Gesamtstruktur-Stammdomäne

Eine dedizierte Gesamtstruktur-Stammdomäne ist eine Domäne, die speziell für die Funktion als Gesamtstrukturstamm erstellt wird. Sie enthält keine anderen Benutzerkonten als die Dienstadministratorkonten für die Gesamtstruktur-Stammdomäne. Außerdem stellt sie keine geografische Region in Ihrer Domänenstruktur dar. Alle weiteren Domänen in der Gesamtstruktur sind untergeordnete Domänen der dedizierten Gesamtstruktur-Stammdomäne.

Die Verwendung eines dedizierten Gesamtstrukturstamms bietet die folgenden Vorteile:

  • Operative Trennung von Gesamtstruktur-Dienstadministrator*innen und Domänendienstadministrator*innen. In einer Umgebung mit einer einzigen Domäne können sich Mitglieder der Gruppe „Domänenadministratoren“ und der integrierten Gruppe „Administratoren“ über Standardtools und -verfahren selbst zu Mitgliedern der Gruppen „Organisations-Admins“ und „Schema-Admins“ machen. In einer Gesamtstruktur mit dedizierter Gesamtstruktur-Stammdomäne können Mitglieder der Gruppe „Domänenadministratoren“ und der integrierten Gruppe „Administratoren“ in den regionalen Domänen nicht mithilfe von Standardverfahren Mitglieder der Dienstadministratorengruppen auf Gesamtstrukturebene werden.
  • Schutz vor betrieblichen Änderungen in anderen Domänen. Eine dedizierte Gesamtstruktur-Stammdomäne stellt keine bestimmte geografische Region in Ihrer Domänenstruktur dar. Daher ist sie nicht von Umstrukturierungen oder sonstigen Änderungen betroffen, die zur Umbenennung oder Umstrukturierung von Domänen führen.
  • Sie dient als neutraler Stamm, sodass kein Land und keine Region einer anderen Region untergeordnet erscheint. Einige Organisationen möchten Anschein vermeiden, dass ein Land oder eine Region einem anderen Land oder einer anderen Region im Namespace untergeordnet ist. Wenn Sie eine dedizierte Gesamtstruktur-Stammdomäne verwenden, können alle regionalen Domänen in der Domänenhierarchie gleichberechtigt sein.

In einer Umgebung mit mehreren regionalen Domänen und einem dedizierten Gesamtstrukturstamm hat die Replikation der Gesamtstruktur-Stammdomäne minimale Auswirkungen auf die Netzwerkinfrastruktur. Dies liegt daran, dass auf dem Gesamtstrukturstamm nur die Dienstadministratorkonten gehostet werden. Die meisten Benutzerkonten in der Gesamtstruktur und andere domänenspezifische Daten werden in den regionalen Domänen gespeichert.

Ein Nachteil bei der Verwendung einer dedizierten Gesamtstruktur-Stammdomäne besteht im zusätzlichen Verwaltungsaufwand für die Unterstützung der zusätzlichen Domäne.

Regionale Domäne als Gesamtstruktur-Stammdomäne

Wenn Sie keine dedizierte Gesamtstruktur-Stammdomäne bereitstellen möchten, müssen Sie eine regionale Domäne als Stammdomäne auswählen. Diese ist die allen anderen regionalen Domänen übergeordnet und die erste bereitgestellte Domäne. Die Gesamtstruktur-Stammdomäne enthält Benutzerkonten und wird genau wie die anderen regionalen Domänen verwaltet. Der Hauptunterschied besteht darin, dass sie auch die Gruppen „Organisations-Admins“ und „Schema-Admins“ enthält.

Der Vorteil der Auswahl einer regionalen Domäne als Gesamtstruktur-Stammdomäne besteht darin, dass sie nicht den zusätzlichen Verwaltungsaufwand für das Verwalten einer zusätzlichen Domäne erzeugt. Wählen Sie eine geeignete regionale Domäne als Gesamtstrukturstamm aus, z. B. die Domäne Ihres Hauptsitzes oder die Region mit den schnellsten Netzwerkverbindungen. Wenn Ihrer Organisation die Auswahl einer regionalen Domäne als Gesamtstruktur-Stammdomäne schwer fällt, können Sie stattdessen ein Modell mit dediziertem Gesamtstrukturstamm verwenden.

Zuweisen des Namens für die Gesamtstruktur-Stammdomäne

Der Name der Gesamtstruktur-Stammdomäne ist auch der Name der Gesamtstruktur. Der Name des Gesamtstrukturstamms ist ein DNS-Name (Domain Name System), der sich aus einem Präfix und einem Suffix in der Form „Präfix.Suffix“ zusammensetzt. Beispielsweise kann eine Organisation den Gesamtstruktur-Stammnamen „corp.contoso.com“ aufweisen. In diesem Beispiel ist „corp“ das Präfix und „contoso.com“ das Suffix.

Wählen Sie das Suffix in einer Liste vorhandener Namen in Ihrem Netzwerk aus. Wählen Sie als Präfix einen neuen Namen aus, der noch nicht in Ihrem Netzwerk verwendet wurde. Durch Anfügen eines neuen Präfixes an ein vorhandenes Suffix erstellen Sie einen eindeutigen Namespace. Durch das Erstellen eines neuen Namespace für Active Directory Domain Services (AD DS) wird sichergestellt, dass keine vorhandene DNS-Infrastruktur für AD DS geändert werden muss.

Auswählen eines Suffix

So wählen Sie ein Suffix für die Gesamtstruktur-Stammdomäne aus

  1. Wenden Sie sich an den DNS-Besitzer der Organisation, um eine Liste der registrierten DNS-Suffixe zu erhalten, die in dem Netzwerk für AD DS verwendet werden. Beachten Sie, dass sich die im internen Netzwerk verwendeten Suffixe möglicherweise von den extern verwendeten Suffixen unterscheiden. Beispielsweise kann eine Organisation „contosopharma.com“ im Internet und „contoso.com“ im internen Unternehmensnetzwerk verwenden.

  2. Wenden Sie sich an den DNS-Besitzer, um ein Suffix für die Verwendung mit AD DS auszuwählen. Wenn keine geeigneten Suffixe vorhanden sind, registrieren Sie einen neuen Namen bei einer Internet-Namensvergabestelle.

Es wird empfohlen, im Active Directory-Namespace DNS-Namen zu verwenden, die bei einer Internetstelle registriert sind. Nur registrierte Namen sind garantiert global eindeutig. Wenn eine andere Organisation später denselben DNS-Domänennamen registriert (oder wenn Ihre Organisation mit einem anderen Unternehmen, das denselben DNS-Namen verwendet, zusammengeführt wird), können die beiden Infrastrukturen nicht miteinander interagieren.

Achtung

Verwenden Sie keine DNS-Namen mit einfacher Bezeichnung. Weitere Informationen finden Sie unter Bereitstellung und Betrieb von Active Directory-Domänen, die mithilfe von DNS-Namen mit einfacher Bezeichnung konfiguriert werden. Außerdem wird die Verwendung nicht registrierter Suffixe wie „.local“ nicht empfohlen.

Auswählen eines Präfix

Wenn Sie ein registriertes Suffix ausgewählt haben, das bereits im Netzwerk verwendet wird, wählen Sie für den Namen der Gesamtstruktur-Stammdomäne ein Präfix gemäß den Präfixregeln in der folgenden Tabelle aus. Fügen Sie ein Präfix hinzu, das derzeit nicht verwendet wird, um einen neuen untergeordneten Namen zu erstellen. Wenn Ihr DNS-Stammname beispielsweise „contoso.com“ lautet, können Sie für die Active Directory-Gesamtstruktur den Stammdomänennamen „concorp.contoso.com“ erstellen, sofern der Namespace „concorp.contoso.com“ noch nicht im Netzwerk verwendet wird. Dieser neue Zweig des Namespace wird für AD DS dediziert und kann problemlos in die vorhandene DNS-Implementierung integriert werden.

Wenn Sie eine regionale Domäne als Gesamtstruktur-Stammdomäne ausgewählt haben, müssen Sie möglicherweise ein neues Präfix für die Domäne auswählen. Da sich der Name der Gesamtstruktur-Stammdomäne auf alle anderen Domänennamen in der Gesamtstruktur auswirkt, ist ein regional basierter Name möglicherweise nicht geeignet. Wenn Sie ein neues Suffix verwenden, das derzeit nicht im Netzwerk verwendet wird, können Sie es als Namen der Gesamtstruktur-Stammdomäne verwenden, ohne ein zusätzliches Präfix auszuwählen.

In der folgenden Tabelle sind die Regeln für die Auswahl eines Präfix für einen registrierten DNS-Namen aufgeführt.

Regel Erklärung
Wählen Sie ein Präfix aus, das wahrscheinlich aktuell bleibt. Vermeiden Sie Namen wie eine Produktlinie oder ein Betriebssystem, die sich in Zukunft ändern könnten. Es wird empfohlen, generische Namen wie „corp“ oder „ds“ zu verwenden.
Wählen Sie ein Präfix aus, das nur Internetstandardzeichen enthält. Zulässig sind A-Z, a-z, 0-9 und (-), jedoch nicht ausschließlich Ziffern.
Fügen Sie höchstens 15 Zeichen in das Präfix ein. Wenn Sie eine Präfixlänge von höchstens 15 Zeichen auswählen, ist der NetBIOS-Name mit dem Präfix identisch.

Für den Active Directory-DNS-Besitzer ist es wichtig, mit dem DNS-Besitzer der Organisation zusammenzuarbeiten, um den Besitz des Namens für den Active Directory-Namespace abzurufen. Weitere Informationen zum Entwerfen einer DNS-Infrastruktur zur Unterstützung von AD DS finden Sie unter Erstellen eines Entwurfs der DNS-Infrastruktur.

Dokumentieren des Namens für die Gesamtstruktur-Stammdomäne

Dokumentieren Sie das DNS-Präfix und das Suffix, die Sie für die Gesamtstruktur-Stammdomäne auswählen. Identifizieren Sie zu diesem Zeitpunkt, welche Domäne der Gesamtstrukturstamm sein soll. Sie können die Stammdomänennamen der Gesamtstruktur dem Arbeitsblatt „Domänenplanung“ hinzufügen, das Sie für die Dokumentation Ihres Plans für neue und aktualisierte Domänen und Ihre Domänennamen erstellt haben. Laden Sie zum Öffnen „Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip“ unter Job Aids for Windows Server 2003 Deployment Kit (Auftragshilfen für das Windows Server 2003 Deployment Kit) herunter, und öffnen Sie die Domänenplanung („DSSLOGI_5.doc“).