Seleccionar el dominio raíz del bosque
Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 y Windows Server 2012.
El primer dominio que implemente en un bosque de Active Directory se denomina dominio raíz del bosque. Este dominio sigue siendo el dominio raíz del bosque durante todo el ciclo de vida de la implementación de AD DS.
El dominio raíz del bosque contiene los grupos Administradores de empresas y Administradores de esquema. Estos grupos de administradores de servicios se usan para administrar las operaciones de nivel de bosque, como la adición y la eliminación de dominios, así como la implementación de cambios en el esquema.
La selección del dominio raíz del bosque implica determinar si uno de los dominios de Active Directory del diseño correspondiente puede funcionar como dominio raíz del bosque o bien debe implementar un dominio raíz del bosque dedicado.
Para obtener información sobre cómo implementar el dominio raíz del bosque, consulte Implementación de un dominio raíz del bosque de Windows Server 2008.
Elección de un dominio raíz del bosque dedicado o regional
Si va a aplicar un modelo de dominio único, el dominio único funciona como dominio raíz del bosque. Si va a aplicar un modelo de múltiples dominios, puede optar por implementar un dominio raíz del bosque dedicado o seleccionar un dominio regional para que funcione como dominio raíz del bosque.
Dominio raíz del bosque dedicado
Un dominio raíz del bosque dedicado es un dominio que se crea específicamente para funcionar como raíz del bosque. No contiene ninguna cuenta de usuario aparte de las cuentas de administrador de servicios para el dominio raíz del bosque. Además, no representa a ninguna región geográfica de su estructura de dominios. El resto de dominios del bosque son elementos secundarios del dominio raíz del bosque dedicado.
El uso de una raíz de bosque dedicada proporciona las ventajas siguientes:
- Separación operativa entre los administradores de servicios del bosque y los administradores de servicios del dominio. En un entorno de dominio único, los miembros de los grupos Admins. del dominio y Administradores integrados pueden usar herramientas y procedimientos estándar para hacerse miembros de los grupos Administradores de empresas y Administradores de esquema. En un bosque que usa un dominio raíz del bosque dedicado, los miembros de los grupos Admins. del dominio y Administradores integrados de los dominios regionales no se pueden hacer miembros de los grupos de administradores de servicios de nivel de bosque mediante herramientas y procedimientos estándar.
- Protección frente a cambios operativos en otros dominios. Un dominio raíz del bosque dedicado no representa a ninguna región geográfica determinada en la estructura de dominios. Por este motivo, no se ve afectado por las reorganizaciones ni por otros cambios que dan como resultado el cambio de nombre o la reestructuración de los dominios.
- Actúa como una raíz neutra, de forma que ningún país o región parezca estar subordinado a otro. Puede que algunas organizaciones prefieran evitar que parezca que un país o región está subordinado a otro país o región en el espacio de nombres. Cuando se usa un dominio raíz del bosque dedicado, todos los dominios regionales pueden pertenecer al mismo nivel en la jerarquía de dominios.
En un entorno de múltiples dominios regionales en el que se usa una raíz de bosque dedicada, la replicación del dominio raíz del bosque tiene un impacto mínimo en la infraestructura de red. Esto se debe a que la raíz del bosque solo hospeda las cuentas de administrador de servicios. La mayoría de las cuentas de usuario del bosque y otros datos específicos del dominio se almacenan en los dominios regionales.
Una desventaja de usar un dominio raíz del bosque dedicado es que crea una sobrecarga de administración adicional para admitir el dominio adicional.
Dominio regional como dominio raíz del bosque
Si decide no implementar un dominio raíz del bosque dedicado, debe seleccionar un dominio regional para que funcione como dominio raíz del bosque. Este es el dominio primario del resto de dominios regionales y será el primer dominio que implemente. El dominio raíz del bosque contiene cuentas de usuario y se administra de la misma forma que el resto de dominios regionales. La principal diferencia es que también incluye los grupos Administradores de empresas y Administradores de esquema.
La ventaja de seleccionar un dominio regional para que funcione como dominio raíz del bosque es que no crea la sobrecarga de administración adicional que genera el mantenimiento de un dominio adicional. Seleccione un dominio regional adecuado para que sea la raíz del bosque, por ejemplo, el dominio que representa la sede central o la región que tiene las conexiones de red más rápidas. Si es difícil para su organización seleccionar un dominio regional como dominio raíz del bosque, puede optar por usar un modelo de raíz del bosque dedicada en su lugar.
Asignación del nombre del dominio raíz del bosque
El nombre del dominio raíz del bosque también es el nombre del bosque. El nombre raíz del bosque es un nombre de sistema de nombres de dominio (DNS) que consta de un prefijo y un sufijo con el formato prefijo.sufijo. Por ejemplo, una organización puede tener el nombre de raíz del bosque corp.contoso.com. En este ejemplo, corp es el prefijo y contoso.com es el sufijo.
Seleccione el sufijo en una lista de nombres existentes en la red. Como prefijo, seleccione un nombre nuevo que no se haya usado en la red anteriormente. Al adjuntar un prefijo nuevo a un sufijo existente, se crea un espacio de nombres único. La creación de un espacio de nombres para Active Directory Domain Services (AD DS) garantiza que no sea necesario modificar ninguna infraestructura de DNS existente para alojar AD DS.
Selección de un sufijo
Para seleccionar un sufijo para el dominio raíz del bosque:
Póngase en contacto con el propietario de DNS de la organización para obtener una lista de los sufijos DNS registrados que están en uso en la red que hospedará AD DS. Tenga en cuenta que los sufijos utilizados en la red interna pueden ser distintos de los usados externamente. Por ejemplo, una organización puede usar contosopharma.com en Internet y contoso.com en la red corporativa interna.
Consulte con el propietario de DNS para seleccionar un sufijo a fin de usarlo con AD DS. Si no existe ningún sufijo adecuado, registre un nombre nuevo con una autoridad de nomenclatura de Internet.
Se recomienda usar nombres DNS registrados con una autoridad de Internet en el espacio de nombres de Active Directory. Solo los nombres registrados ofrecen la garantía de ser únicos globalmente. Si otra organización registra posteriormente el mismo nombre de dominio DNS (o bien su organización se fusiona con una empresa que usa el mismo nombre DNS, la adquiere o dicha empresa adquiere su organización), ambas infraestructuras no pueden interactuar entre sí.
Precaución
No use nombres DNS de una sola etiqueta. Para obtener más información, consulte Implementación y operación de dominios de Active Directory configurados mediante nombres DNS de etiqueta única. Asimismo, no se recomienda usar sufijos no registrados, como .local.
Selección de un prefijo
Si ha elegido un sufijo registrado que ya está en uso en la red, seleccione un prefijo para el nombre de dominio raíz del bosque mediante las reglas de prefijos de la tabla siguiente. Agregue un prefijo que no esté en uso actualmente para crear un nombre subordinado. Por ejemplo, si el nombre raíz DNS es contoso.com, puede crear el nombre de dominio raíz del bosque de Active Directory concorp.contoso.com, en caso de que el espacio de nombres concorp.contoso.com no se esté utilizando aún en la red. Esta nueva rama del espacio de nombres estará dedicada a AD DS y se puede integrar fácilmente con la implementación de DNS existente.
Si ha seleccionado un dominio regional para que funcione como dominio raíz del bosque, es posible que tenga que seleccionar un nuevo prefijo para el dominio. Dado que el nombre de dominio raíz del bosque afecta al resto de nombres de dominio del bosque, puede que un nombre basado en regiones no sea adecuado. Si usa un sufijo nuevo que no se esté usando en la red, puede utilizarlo como nombre de dominio raíz del bosque sin elegir ningún prefijo adicional.
En la tabla siguiente se enumeran las reglas para seleccionar un prefijo para un nombre DNS registrado.
| Regla | Explicación |
|---|---|
| Seleccione un prefijo sin probabilidades de quedar obsoleto. | Evite nombres, como una línea de productos o un sistema operativo, que puedan cambiar en el futuro. Se recomienda usar nombres genéricos, como corp o ds. |
| Seleccione un prefijo que incluya solo caracteres estándar de Internet. | A-Z, a-z, 0-9 y (-), pero no totalmente numérico. |
| No incluya más de 15 caracteres en el prefijo. | Si elige una longitud de prefijo de 15 caracteres o menos, el nombre NetBIOS es igual que el prefijo. |
Es importante que el propietario de DNS de Active Directory trabaje con el propietario de DNS de la organización para obtener la propiedad del nombre que se usará para el espacio de nombres de Active Directory. Para obtener más información sobre cómo diseñar una infraestructura de DNS para que admita AD DS, consulte Creación de un diseño de infraestructura de DNS.
Documentar el nombre del dominio raíz del bosque
Documente el prefijo y el sufijo DNS que seleccione para el dominio raíz del bosque. En este punto, identifique qué dominio será la raíz del bosque. Puede agregar la información del nombre de dominio raíz del bosque a la hoja de cálculo "Planificación de dominios" que ha creado para documentar el plan de dominios nuevos y actualizados y los nombres de los dominios. Para abrirla, descargue Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip desde el Kit de implementación de Ayudas al trabajo para Windows Server 2003 y abra "Planificación de dominios" (DSSLOGI_5.doc).