選取樹系根網域

  • 發行項

適用於:Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012

您在 Active Directory 樹系中部署的第一個網域稱為樹系根網域。 此網域會保留 AD DS 部署生命週期的樹系根網域。

樹系根網域包含企業系統管理員和結構描述管理員群組。 這些服務管理員群組可用來管理樹系層級作業,例如新增和移除網域,以及結構描述變更的實作。

選取樹系根網域牽涉到判斷網域設計中的其中一個 Active Directory 網域是否可作為樹系根網域,或是否需要部署專用樹系根網域。

如需部署樹系根網域的資訊,請參閱部署 Windows Server 2008 樹系根網域

選擇地區或專用樹系根網域

如果您要套用單一網域模型,單一網域會以樹系根網域的形式運作。 如果您要套用多個網域模型,您可以選擇部署專用樹系根網域,或選取地區網域作為樹系根網域。

專用樹系根網域

專用樹系根網域是專為作為樹系根目錄而建立的網域。 它不包含樹系根網域的服務管理員帳戶以外的任何使用者帳戶。 此外,它不代表網域結構中的任何地理區域。 樹系中所有其他網域都是專用樹系根網域的子系。

使用專用樹系根目錄可提供下列優點:

  • 樹系服務管理員與網域服務管理員的操作區隔。 在單一網域環境中,Domain Admins 和內建 Administrators 群組的成員可以使用標準工具和程序,讓自己成為 Enterprise Admins 和 Schema Admins 群組的成員。 在使用專用樹系根網域的樹系中,地區網域中的 Domain Admins 成員和內建的 Administrators 群組成員無法使用標準工具和程序,讓自己成為樹系層級服務管理員群組的成員。
  • 防止其他網域中的作業變更。 專用樹系根網域不代表網域結構中的特定地理區域。 因此,它不受重組或其他導致重新命名或重組網域的變更影響。
  • 做為中性根目錄,因此沒有任何國家或地區似乎屬於另一個地區。 某些組織可能偏好避免某個國家或地區屬於命名空間中另一個國家/地區的外觀。 當您使用專用樹系根網域時,所有地區網域都可以是網域階層中的對等。

在使用專用樹系根目錄的多地區網域環境中,樹系根網域的複寫對網路基礎結構的影響最小。 這是因為樹系根目錄只會裝載服務管理員帳戶。 樹系和其他網域特定資料中的大多數使用者帳戶會儲存在地區網域中。

使用專用樹系根網域的其中一個缺點是,它會建立額外的管理負荷來支援其他網域。

地區網域作為樹系根網域

如果您選擇不部署專用樹系根網域,您必須選取地區網域以作為樹系根網域。 此網域是所有其他地區網域的父系網域,而且會是您部署的第一個網域。 樹系根網域包含使用者帳戶,而且會以管理其他地區網域的方式進行管理。 主要差異在於它也包含企業系統管理員和結構描述管理員群組。

選取地區網域作為樹系根網域運作的優點是,它不會建立維護其他網域建立的額外管理負荷。 選取適當的地區網域作為樹系根目錄,例如代表總部的網域或具有最快網路連線的地區。 如果組織很難選取地區網域做為樹系根網域,您可以選擇改用專用樹系根模型。

指派樹系根網域名稱

樹系根網域名稱也是樹系的名稱。 樹系根名稱是網域名稱系統 (DNS) 名稱,其中包含前置詞和尾碼,格式為「前置詞.尾碼」。 例如,組織可能有樹系根名稱 corp.contoso.com。 在此範例中,corp 是前置詞,contoso.com 是尾碼。

從您網路上的現有名稱清單中選取尾碼。 針對前置詞,選取先前未在您的網路上使用的新名稱。 將新的前置詞附加至現有的尾碼,即可建立唯一的命名空間。 為 Active Directory 網域服務 (AD DS) 建立新的命名空間,可確保不需要修改任何現有的 DNS 基礎結構來容納 AD DS。

選取尾碼

若要選取樹系根網域的尾碼:

  1. 請連絡組織的 DNS 擁有者,以取得將裝載 AD DS 網路上使用的已註冊 DNS 尾碼清單。 請注意,內部網路上使用的尾碼可能與外部使用的尾碼不同。 例如,組織可能會在網際網路上使用 contosopharma.com,並在內部公司網路上使用 contoso.com。

  2. 請連絡 DNS 擁有者,選取尾碼以搭配 AD DS 使用。 如果沒有適當的尾碼存在,請向網際網路命名授權單位註冊新的名稱。

建議您使用在 Active Directory 命名空間中向網際網路授權單位註冊的 DNS 名稱。 只有已註冊的名稱保證為全域唯一名稱。 如果另一個組織稍後註冊相同的 DNS 網域名稱 (或如果貴組織與另一家使用相同 DNS 名稱的公司合併、收購或被另一家公司收購),則兩個基礎結構無法彼此互動。

警告

請勿使用單一標籤 DNS 名稱。 如需詳細資訊,請參閱使用單一標籤 DNS 名稱設定的 Active Directory 網域部署和作業。 此外,我們不建議使用未註冊的尾碼,例如 .local。

選取前置詞

如果您選擇已在網路上使用的已註冊尾碼,請使用下表中的前置詞來選取樹系根網域名稱的前置詞。 新增目前未用來建立新次級名稱的前置詞。 例如,如果您的 DNS 根名稱是 contoso.com,您可以建立 Active Directory 樹系根網域名稱,concorp.contoso.com,如果命名空間 concorp.contoso.com 尚未在網路上使用。 命名空間的新分支將專用於 AD DS,並可輕鬆地與現有的 DNS 實作整合。

如果您選取地區網域做為樹系根網域,您可能需要選取網域的新前置詞。 因為樹系根網域名稱會影響樹系中所有其他網域名稱,因此地區型名稱可能不適合。 如果您使用目前未在網路上使用的新尾碼,您可以使用它作為樹系根網域名稱,而不需要選擇額外的前置詞。

下表列出選取已註冊 DNS 名稱前置詞的規則。

規則 說明
選取不太可能過期的前置詞。 避免未來可能會變更的產品線或作業系統等名稱。 我們建議使用一般名稱,例如 corp 或 ds。
選取只包含網際網路標準字元的前置詞。 A-Z、a-z、0-9 和 (-),但不是完全數字。
在前置詞中包含 15 個字元或更少。 如果您選擇前置詞長度為 15 個字元或更少,NetBIOS 名稱會與前置詞相同。

Active Directory DNS 擁有者必須與組織的 DNS 擁有者合作,以取得將用於 Active Directory 命名空間之名稱的擁有權。 如需設計 DNS 基礎結構以支援 AD DS 的詳細資訊,請參閱建立 DNS 基礎結構設計

記錄樹系根網域名稱

記錄您為樹系根網域選取的 DNS 前置詞和尾碼。 此時,請識別樹系根的網域。 您可以將樹系根網域名稱資訊新增至您建立的「網域規劃」工作表,以記錄新網域和升級網域和網域名稱的計畫。 若要開啟,請從 Windows Server 2003 部署套件的工作輔助程式下載 Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip,然後開啟 [網域規劃] (DSSLOGI_5.doc)。