O primeiro domínio que você cria em uma floresta é automaticamente o domínio raiz da floresta, você não precisa fazer nada de especial, basta informar ao assistente do DCPromo que ele é um novo domínio em uma nova floresta e é isso.
Como você cria um domínio raiz da floresta deidcado? Estou familiarizado com o Active Directory e usei o dcpromo.exe no 'Modo Avançado', mas não tenho certeza de como criar um domínio raiz da floresta deidcado?
Enquanto eu estiver aqui, os controladores de domínio que são membros de uma floresta ainda funcionarão se a floresta estiver offline?
Acho que você está falando sobre a estratégia de design do Active Directory "raiz vazia". É aqui que você cria um domínio raiz da floresta que, em última análise, não possui usuários ou recursos, e é usado apenas como pai para domínios filho que contêm recursos.
Para fazer isso, basta criar a nova floresta como faria normalmente para uma nova implantação do AD usando o DCPROMO. Em seguida, você cria seus domínios filho em seus DCs filhos. Não há nada especial que você faça durante a criação do domínio raiz da floresta.
"Raiz vazia" é apenas uma estrutura política hoje. Tem sido mostrado que "raiz vazia" não oferece segurança. Um "Administrador de domínio" em qualquer domínio filho pode se tornar um "administrador corporativo" com bastante facilidade.
Quando você pergunta "Enquanto eu estou aqui, os controladores de domínio que são membros de uma floresta ainda funcionam se a floresta estiver offline?", eu acho que você está perguntando "O que acontece se eu perder toda a raiz da floresta controladores de domínio? "
Isso seria ruim. Você pode ser capaz de projetar em torno de problemas de caminho de confiança do Kerberos que poderiam ocorrer usando atalhos de confiança, mas em geral você não quer perder todos os controladores de domínio no domínio raiz da floresta ou reconstruindo toda a floresta. Não faça isso (tm) .
Editar:
Você deve sempre tentar usar um único domínio sempre que possível. A menos que você tenha a necessidade de várias políticas de senha (e não possa usar a funcionalidade de diretiva granular de senhas no Windows 2008 Active Directory), tente se ater a um único domínio.
A raiz vazia não faz muito sentido hoje, exceto em situações políticas em que parte de uma organização não pode "aceitar" que a raiz da floresta possa ser "de propriedade" de outra pessoa. (Mesmo assim, isso é apenas um falso argumento político porque, tecnicamente, a estratégia de raiz vazia não tem "dentes" de segurança.)
As implantações de vários domínios são válidas quando você precisa ter várias senhas ou deseja restringir o escopo da replicação do NC de domínio completo (ou, suponho, se você quiser usar a replicação do AD baseada em SMTP). Se você não tem essas necessidades, realmente não precisa de vários domínios.
Se você realmente precisar de isolamento entre partes de uma organização, proteção para o esquema / configuração do AD e delegação de administração rigidamente restrita entre diferentes partes da organização, provavelmente desejará uma infraestrutura de várias florestas (embora essa seja a mais tipo complexo e cansativo para administrar).