Tenho 2 servidores Windows 2008 R2. Um já possui AD e DNS instalados. Foi criada como uma nova árvore em uma nova floresta.
Agora tenho que adicionar o segundo servidor, que deve ter uma zona DNS que o primeiro servidor está delegando. O primeiro servidor é foo.com e o segundo servidor será bar.foo.com
Durante a configuração, escolho "floresta existente". Não é um controlador de domínio extra, então escolho "criar novo domínio na floresta existente". Então vi a opção "Criar uma nova raiz da árvore de domínio em vez de um novo domínio filho".
E isso me deixou perplexo, porque não sei quais serão as implicações.
Usei todas as minhas habilidades no MS Paint para criar esta representação em diagrama do cenário:
Responder1
Devo prefaciar esta resposta com um comentário. Não conheço sua infraestrutura, então me perdoe se isso não se aplicar. A Microsoft não recomenda domínios filhos ou raízes de árvores separadas para a maioria das organizações. A recomendação atual é um único domínio do AD com unidades de negócios separadas por UOs para gerenciamento. A menos que você tenha um motivo muito convincente para complicar sua estrutura do AD fazendo isso, sugiro que você repense seu design e avalie se um único domínio do AD pode ou não ser mais adequado.
Acima está um exemplo de cada um. Não há confiança explícita entre os dois domínios no segundo exemplo. Porém, ainda há uma confiança implícita.
Você teria que usar um atalho de confiança entre os dois, caso contrário, a raiz da floresta sempre teria que ser consultada sempre que uma solicitação de recurso entre domínios fosse feita.
Responder2
A diferença entre um "Novo domínio filho" e uma "Nova raiz da árvore de domínio" está relacionada à continuidade do namespace DNS. Um "Novo domínio filho" terá um nome contíguo ao domínio pai ("corp.foo.com" e "child.corp.foo.com"), enquanto uma "Nova raiz da árvore de domínio" terá um nome que é não contíguo ao domínio pai ("corp.foo.com" e "research.foo.com").