Seleccionar el dominio raíz del bosque

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 y Windows Server 2012.

El primer dominio que se implementa en un Active Directory se denomina dominio raíz del bosque. Este dominio sigue siendo el dominio raíz del bosque durante el ciclo de vida de la AD DS implementación.

El dominio raíz del bosque contiene los Enterprise administradores y administradores de esquema. Estos grupos de administradores de servicios se usan para administrar operaciones de nivel de bosque, como la adición y eliminación de dominios y la implementación de cambios en el esquema.

La selección del dominio raíz del bosque implica determinar si uno de los dominios Active Directory del diseño de dominio puede funcionar como dominio raíz del bosque o si necesita implementar un dominio raíz de bosque dedicado.

Para obtener información sobre cómo implementar un dominio raíz de bosque, vea Implementación de un dominio raíz de bosque Windows Server 2008.

Elección de un dominio raíz de bosque regional o dedicado

Si va a aplicar un modelo de dominio único, el dominio único funciona como dominio raíz del bosque. Si va a aplicar un modelo de varios dominios, puede elegir implementar un dominio raíz de bosque dedicado o seleccionar un dominio regional para que funcione como dominio raíz del bosque.

Dominio raíz de bosque dedicado

Un dominio raíz de bosque dedicado es un dominio que se crea específicamente para funcionar como raíz del bosque. No contiene ninguna cuenta de usuario que no sea las cuentas de administrador de servicios para el dominio raíz del bosque. Además, no representa ninguna región geográfica en la estructura de dominio. Todos los demás dominios del bosque son elementos secundarios del dominio raíz del bosque dedicado.

El uso de una raíz de bosque dedicada proporciona las siguientes ventajas:

  • Separación operativa de los administradores de servicios de bosque de los administradores de servicios de dominio. En un único entorno de dominio, los miembros de los grupos Administradores de dominio y Administradores integrados pueden usar herramientas y procedimientos estándar para hacerse miembros de los grupos administradores de Enterprise y administradores de esquema. En un bosque que usa un dominio raíz de bosque dedicado, los miembros de los grupos Administradores de dominio y Administradores integrados de los dominios regionales no pueden hacerse miembros de los grupos de administradores de servicios de nivel de bosque mediante herramientas y procedimientos estándar.
  • Protección frente a cambios operativos en otros dominios. Un dominio raíz de bosque dedicado no representa una región geográfica determinada en la estructura del dominio. Por esta razón, no se ve afectado por reorganizaciones u otros cambios que tienen como resultado el cambio de nombre o la reestructuración de dominios.
  • Actúa como una raíz neutra para que ningún país o región parezca estar subordinado a otra región. Es posible que algunas organizaciones prefieran evitar la apariencia de que un país o región está subordinado a otro país o región del espacio de nombres. Cuando se usa un dominio raíz de bosque dedicado, todos los dominios regionales pueden ser del mismo nivel en la jerarquía de dominios.

En un entorno de varios dominios regionales en el que se usa una raíz de bosque dedicada, la replicación del dominio raíz del bosque tiene un impacto mínimo en la infraestructura de red. Esto se debe a que la raíz del bosque solo hospeda las cuentas de administrador del servicio. La mayoría de las cuentas de usuario del bosque y otros datos específicos del dominio se almacenan en los dominios regionales.

Una desventaja del uso de un dominio raíz de bosque dedicado es que crea una sobrecarga de administración adicional para admitir el dominio adicional.

Dominio regional como dominio raíz de bosque

Si decide no implementar un dominio raíz de bosque dedicado, debe seleccionar un dominio regional para que funcione como dominio raíz del bosque. Este dominio es el dominio primario de todos los demás dominios regionales y será el primer dominio que implemente. El dominio raíz del bosque contiene cuentas de usuario y se administra de la misma manera que los demás dominios regionales. La principal diferencia es que también incluye los grupos Enterprise administradores y administradores de esquema.

La ventaja de seleccionar un dominio regional para que funcione como dominio raíz del bosque es que no crea la sobrecarga de administración adicional que se crea al mantener un dominio adicional. Seleccione un dominio regional adecuado para que sea la raíz del bosque, como el dominio que representa la oficina central o la región que tiene las conexiones de red más rápidas. Si es difícil para su organización seleccionar un dominio regional para que sea el dominio raíz del bosque, puede optar por usar un modelo raíz de bosque dedicado en su lugar.

Asignación del nombre de dominio raíz del bosque

El nombre de dominio raíz del bosque también es el nombre del bosque. El nombre raíz del bosque es un nombre del sistema de nombres de dominio (DNS) que consta de un prefijo y un sufijo en forma de prefix.suffix. Por ejemplo, una organización podría tener el nombre raíz del bosque corp.contoso.com. En este ejemplo, corp es el prefijo y contoso.com es el sufijo.

Seleccione el sufijo de una lista de nombres existentes en la red. Para el prefijo, seleccione un nuevo nombre que no se haya usado anteriormente en la red. Al adjuntar un nuevo prefijo a un sufijo existente, se crea un espacio de nombres único. La creación de un nuevo espacio de nombres para Active Directory Domain Services (AD DS) garantiza que no es necesario modificar ninguna infraestructura DNS existente para dar cabida a AD DS.

Selección de un sufijo

Para seleccionar un sufijo para el dominio raíz del bosque:

  1. Póngase en contacto con el propietario de DNS de la organización para obtener una lista de sufijos DNS registrados que se usan en la red que hospedará AD DS. Tenga en cuenta que los sufijos usados en la red interna pueden ser diferentes de los que se usan externamente. Por ejemplo, una organización podría usar contosopharma.com en Internet y contoso.com en la red corporativa interna.

  2. Consulte al propietario de DNS para seleccionar un sufijo para usarlo con AD DS. Si no existe ningún sufijo adecuado, registre un nuevo nombre con una entidad de nomenclatura de Internet.

Se recomienda usar nombres DNS registrados con una entidad de Internet en el espacio de nombres Active Directory de nombres. Solo se garantiza que los nombres registrados sean únicos globalmente. Si más adelante otra organización registra el mismo nombre de dominio DNS (o si su organización se combina con, adquiere o adquiere otra empresa que usa el mismo nombre DNS), las dos infraestructuras no pueden interactuar entre sí.

Precaución

No use nombres DNS de etiqueta única. Para obtener más información, vea Implementación y operación de Active Directory que se configuran mediante nombres DNS de etiqueta única. Además, no se recomienda usar sufijos no registrados, como .local.

Selección de un prefijo

Si eligió un sufijo registrado que ya está en uso en la red, seleccione un prefijo para el nombre de dominio raíz del bosque mediante las reglas de prefijo de la tabla siguiente. Agregue un prefijo que no esté actualmente en uso para crear un nuevo nombre subordinado. Por ejemplo, si el nombre raíz DNS es contoso.com, puede crear el nombre de dominio raíz del bosque de Active Directory concorp.contoso.com si el espacio de nombres concorp.contoso.com aún no está en uso en la red. Esta nueva rama del espacio de nombres se dedicará a AD DS y se puede integrar fácilmente con la implementación de DNS existente.

Si seleccionó un dominio regional para que funcione como dominio raíz de bosque, es posible que tenga que seleccionar un nuevo prefijo para el dominio. Dado que el nombre de dominio raíz del bosque afecta a todos los demás nombres de dominio del bosque, es posible que un nombre basado en regional no sea adecuado. Si usa un sufijo nuevo que no está actualmente en uso en la red, puede usarlo como nombre de dominio raíz del bosque sin elegir un prefijo adicional.

En la tabla siguiente se enumeran las reglas para seleccionar un prefijo para un nombre DNS registrado.

Regla Explicación
Seleccione un prefijo que no sea probable que esté obsoleto. Evite nombres como una línea de producto o un sistema operativo que puedan cambiar en el futuro. Se recomienda usar nombres genéricos como corp o ds.
Seleccione un prefijo que incluya solo caracteres estándar de Internet. A-Z, a-z, 0-9 y (-), pero no completamente numérico.
Incluya 15 caracteres o menos en el prefijo. Si elige una longitud de prefijo de 15 caracteres o menos, el nombre NetBIOS es el mismo que el prefijo.

Es importante que el propietario de DNS de Active Directory trabaje con el propietario dns de la organización para obtener la propiedad del nombre que se usará para el espacio de nombres Active Directory dns. Para obtener más información sobre el diseño de una infraestructura DNS para admitir AD DS, vea Creating a DNS Infrastructure Design.

Documentación del nombre de dominio raíz del bosque

Documente el prefijo y sufijo DNS que seleccione para el dominio raíz del bosque. En este punto, identifique qué dominio será la raíz del bosque. Puede agregar la información del nombre de dominio raíz del bosque a la hoja de cálculo "Planeamiento del dominio" que creó para documentar el plan de dominios nuevos y actualizados y los nombres de dominio. Para abrirlo, descargue Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip ayuda de trabajo para el Kit de implementación de Windows Server 2003 y abra "Domain Planning" (Planeamiento de dominios) (DSSLOGI_5.doc).