选择林根域
适用范围:Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012
在 Active Directory 林中部署的第一个域称为林根域。 在 AD DS 部署的整个生命周期中,此域一直保持为林根域。
林根域包含企业管理员和架构管理员组。 这些服务管理员组用于管理林级别的操作,例如添加和删除域,以及实施架构更改。
选择林根域涉及到确定域设计中的某一个 Active Directory 域是否可以充当林根域,或者是否需要部署专用的林根域。
有关部署林根域的信息,请参阅部署 Windows Server 2008 林根域。
选择区域域或专用林根域
如果你应用单域模型,则单个域将充当林根域。 如果你应用多域模型,则可以选择部署专用林根域,或者选择一个区域域来充当林根域。
专用林根域
专用林根域是专门创建用来充当林根的域。 它不包含除林根域的服务管理员帐户以外的任何用户帐户。 此外,它不代表域结构中的任何地理区域。 林中的所有其他域都是专用林根域的子域。
使用专用林根可获得以下优势:
- 林服务管理员与域服务管理员的操作分离。 在单域环境中,域管理员和内置管理员组的成员可以使用标准工具和过程让自己成为企业管理员和架构管理员组的成员。 在使用专用林根域的林中,区域域中的域管理员和内置管理员组的成员无法使用标准工具和过程让自己成为林级服务管理员组的成员。
- 在其他域中发生操作更改时提供保护。 专用林根域不代表域结构中的特定地理区域。 因此,会导致域重命名或重构的重组操作或其他更改不会对专用林根域造成影响。
- 它充当中立根,因此不会有任何一个国家或地区看起来隶属于另一个区域。 某些组织可能希望避免出现某一个国家或地区隶属于命名空间中另一个国家或地区的情况。 使用专用林根域时,所有区域域都可以是域层次结构中的对等方。
在使用专用林根的多区域域环境中,林根域的复制对网络基础结构的影响极小。 这是因为林根仅托管服务管理员帐户。 林中的大部分用户帐户和其他特定于域的数据都存储在区域域中。
使用专用林根域的一个缺点是它会产生额外的管理开销来支持额外的域。
区域域用作林根域
如果你不部署专用林根域,则必须选择一个区域域来充当林根域。 此域是所有其他区域域的父域,也是你要部署的第一个域。 林根域包含用户帐户,其管理方式与其他区域域相同。 主要差别在于,它还包含企业管理员和架构管理员组。
选择区域域充当林根域的优势是,不会因维护额外的域而产生额外的管理开销。 选择一个适当的区域域作为林根,例如代表总部的域,或者网络连接速度最快的区域。 如果你的组织很难选择一个区域域作为林根域,你可以选择改用专用林根模型。
分配林根域名
林根域名也是林的名称。 林根名称是域名系统 (DNS) 名称,由前缀和后缀组成,格式为“<前缀>.<后缀>”。 例如,组织的林根名称可能是 corp.contoso.com。 在此示例中,corp 是前缀,contoso.com 是后缀。
从网络上的现有名称列表中选择后缀。 对于前缀,请选择以前从未在网络上使用的新名称。 通过将新前缀附加到现有后缀,可以创建唯一的命名空间。 为 Active Directory 域服务 (AD DS) 创建新的命名空间可确保无需修改任何现有 DNS 基础结构即可适应 AD DS。
选择后缀
若要为林根域选择后缀,请执行以下操作:
联系组织的 DNS 所有者,获取用于托管 AD DS 的网络上使用的已注册 DNS 后缀列表。 请注意,在内部网络上使用的后缀可能与外部使用的后缀不同。 例如,组织可能会在 Internet 上使用 contosopharma.com,而在内部企业网络上使用 contoso.com。
请咨询 DNS 所有者如何选择与 AD DS 配合使用的后缀。 如果没有合适的后缀,请通过 Internet 命名机构注册一个新名称。
建议使用已在 Active Directory 命名空间中通过 Internet 机构注册的 DNS 名称。 只能保证已注册的名称全局唯一。 如果另一家组织后来注册了同一个 DNS 域名(或者你的组织与另一家使用同一 DNS 名称的公司之间发生合并或收购),则两个基础结构无法彼此交互。
注意
不要使用单标签 DNS 名称。 有关详细信息,请参阅部署和操作使用单标签 DNS 名称配置的 Active Directory 域。 此外,不建议使用未注册的后缀,例如 .local。
选择前缀
如果你选择了一个已在网络上使用的已注册后缀,请使用下表中的前缀规则选择林根域名的前缀。 添加当前未用于创建新从属名称的前缀。 例如,如果 DNS 根名称为 contoso.com,并且命名空间 concorp.contoso.com 尚未在网络上使用,则你可以创建 Active Directory 林根域名 concorp.contoso.com。 此命名空间的新分支将专用于 AD DS,并可以轻松与现有 DNS 实现集成。
如果你选择了一个区域域来充当林根域,则可能需要为该域选择新的前缀。 由于林根域名会影响林中的所有其他域名,因此基于区域的名称可能不适用。 如果使用当前未在网络上使用的新后缀,则可以将其用作林根域名,而无需选择其他前缀。
下表列出了为已注册的 DNS 名称选择前缀的规则。
| 规则 | 说明 |
|---|---|
| 请选择不太容易失效的前缀。 | 避免使用将来可能会更改的名称,例如产品系列或操作系统。 建议使用广泛的名称,例如 corp 或 ds。 |
| 请选择仅包含 Internet 标准字符的前缀。 | A-Z、a-z、0-9 和 (-),但不是纯数字。 |
| 前缀中的字符数不应超过 15 个。 | 如果选择的前缀长度不超过 15 个字符,则 NetBIOS 名称与前缀相同。 |
Active Directory DNS 所有者必须与组织的 DNS 所有者合作,以获取用于 Active Directory 命名空间的名称的所有权。 有关设计 DNS 基础结构以支持 AD DS 的详细信息,请参阅创建 DNS 基础结构设计。
记录林根域名
记录为林根域选择的 DNS 前缀和后缀。 此时,可以确定哪个域将是林根。 可以将林根域名信息添加到创建的“域规划”工作表,以记录新域和已升级域及域名的计划。 若要打开该工作表,请从 Windows Server 2003 部署工具包作业辅导下载 Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip,然后打开“域规划”(DSSLOGI_5.doc)。