A diferença entre “nova raiz da árvore de domínio” e “novo domínio filho”?

Question

A diferença entre “nova raiz da árvore de domínio” e “novo domínio filho”?

#1 resposta do (5 votos)
#2 resposta do (5 votos)

4

Eu tenho 2 servidores Windows 2008 R2. Um já tem AD e DNS instalados. Foi criado como uma nova árvore em uma nova floresta.

Agora eu tenho que adicionar o segundo servidor, que é ter uma zona de DNS que o primeiro servidor está delegando. O primeiro servidor é foo.com e o segundo servidor será bar.foo.com

Durante a configuração, escolho "floresta existente". Não é um controlador de domínio extra, então escolho "criar novo domínio na floresta existente". Depois, vi a opção "Criar uma nova raiz da árvore de domínio em vez de um novo domínio filho".

E isso me intrigou, porque não sei quais serão as implicações.

Eu usei todas as minhas habilidades no MS Paint para criar esta representação do diagrama do cenário:

active-directory windows-server-2008-r2

por Koen027 21.11.2011 / 15:52

2 respostas

5

A diferença entre um "Novo domínio filho" e uma "Nova raiz da árvore de domínio" está relacionada à continuidade do espaço para nome do DNS. Um "Novo domínio filho" terá um nome contíguo ao domínio pai ("corp.foo.com" e "child.corp.foo.com"), enquanto que "Nova raiz da árvore de domínio" terá um nome que seja não contíguo ao domínio pai ("corp.foo.com" e "research.foo.com").

por 22.11.2011 / 21:02

Tags active-directory windows-server-2008-r2

Qual é a placa PCIe mais longa que cabe em um Dell R310? Ferramentas para comparar o armazenamento de dados do VMware

score 5 · Accepted Answer

Eu deveria começar essa resposta com um comentário. Não conheço sua infraestrutura, então, por favor, me perdoe se isso não se aplicar. A Microsoft não recomenda domínios filhos ou raízes de árvore separadas para a maioria das organizações. A recomendação atual é um único domínio do AD com unidades de negócios separadas por UOs para gerenciamento. A menos que você tenha uma razão muito convincente para complicar sua estrutura do AD fazendo isso, sugiro que repense seu design e avalie se um único domínio do AD pode ser mais adequado.

Acima é um exemplo de cada um. Não há confiança explícita entre os dois domínios no segundo exemplo, ainda há uma confiança implícita, no entanto.

Você teria que usar um atalho de confiança entre os dois, caso contrário, a raiz da floresta sempre teria que ser consultada sempre que uma solicitação de recurso entre domínios fosse feita.