我有 2 台 Windows 2008 R2 伺服器。一台已經安裝了AD和DNS。它被樹立為新森林中的一棵新樹。
現在我必須新增第二台伺服器,它有一個由第一台伺服器委託的 dns 區域。第一個伺服器是 foo.com,第二台伺服器是 bar.foo.com
在設定過程中,我選擇「現有森林」。它不是額外的網域控制器,因此我選擇“在現有林中建立新網域”。然後我看到了選項「建立新的網域樹根而不是新的子網域」。
這讓我很困惑,因為我不知道這會帶來什麼影響。
我使用了 MS Paint 中的所有技能來創建該場景的圖表表示:
答案1
我應該在這個答案前面加上一條評論。我不了解您的基礎設施,所以如果這不適用,請原諒我。 Microsoft 不建議大多數組織使用子網域或單獨的樹根。目前的建議是單一AD域,業務單元由OU分隔進行管理。除非您有非常令人信服的理由透過這樣做來使您的 AD 結構複雜化,否則我建議您重新考慮您的設計並評估單一 AD 網域是否更適合。
以上是每個的範例。在第二個範例中,兩個領域之間沒有明確的信任,但仍然存在隱含的信任。
您必須在兩者之間使用信任快捷方式,否則每當發出跨網域資源請求時都必須查詢林根。
答案2
「新子網域」和「新域樹根」之間的差異與 DNS 命名空間的連續性有關。 「新子網域」將具有與父網域相鄰的名稱(「corp.foo.com」和「child.corp.foo.com」),而「新網域樹根」將具有以下名稱:與父域不連續(“corp.foo.com”和“research.foo.com”)。