我有 2 台 Windows 2008 R2 服务器。其中一台已安装 AD 和 DNS。它被设置为新林中的一棵新树。
现在我必须添加第二台服务器,该服务器将拥有第一台服务器委托的 DNS 区域。第一台服务器是 foo.com,第二台服务器将是 bar.foo.com
在设置过程中,我选择“现有林”。它不是额外的域控制器,因此我选择“在现有林中创建新域”。然后我看到了“创建新域树根而不是新子域”选项。
这让我很困惑,因为我不知道这会产生什么影响。
我使用了 MS Paint 中的所有技能来创建该场景的图表表示:
答案1
我应该在回答这个问题之前加上一条评论。我不了解您的基础设施,所以如果这不适用,请原谅我。微软不建议大多数组织使用子域或单独的树根。目前的建议是使用单个 AD 域,业务部门由 OU 分隔以便管理。除非您有非常令人信服的理由通过这样做来复杂化您的 AD 结构,否则我建议您重新考虑您的设计并评估单个 AD 域是否更合适。
以上是每个示例。在第二个示例中,两个域之间没有明确的信任,但仍存在隐含的信任。
您必须在两者之间使用信任快捷方式,否则每当进行跨域资源请求时,总是必须查询林根。
答案2
“新子域”和“新域树根”之间的区别与 DNS 命名空间的连续性有关。“新子域”的名称与父域相邻(“corp.foo.com”和“child.corp.foo.com”),而“新域树根”的名称与父域不相邻(“corp.foo.com”和“research.foo.com”)。