Sélection du domaine racine de forêt
Le premier domaine que vous déployez dans une forêt Active Directory est appelé domaine racine de forêt. Ce domaine reste le domaine racine de forêt pour le cycle de vie du déploiement AD DS.
Le domaine racine de forêt contient les groupes Administrateurs d’entreprise et Administrateurs de schéma. Ces groupes d’administrateurs de service sont utilisés pour gérer les opérations au niveau de la forêt, comme l’ajout et la suppression de domaines et l’implémentation des modifications apportées au schéma.
La sélection du domaine racine de forêt implique de déterminer si l’un des domaines Active Directory de votre conception de domaine peut fonctionner en tant que domaine racine de forêt ou si vous devez déployer un domaine racine de forêt dédié.
Pour plus d’informations sur le déploiement d’un domaine racine de forêt, consultez Déploiement d’un domaine racine de forêt Windows Server 2008.
Choix d’un domaine racine de forêt régional ou dédié
Si vous appliquez un modèle de domaine unique, le domaine unique fonctionne comme domaine racine de forêt. Si vous appliquez un modèle à plusieurs domaines, vous pouvez choisir de déployer un domaine racine de forêt dédié ou sélectionner un domaine régional pour fonctionner comme domaine racine de forêt.
Domaine racine de forêt dédié
Un domaine racine de forêt dédié est un domaine créé spécifiquement pour fonctionner en tant que racine de forêt. Il ne contient aucun compte d’utilisateur autre que les comptes d’administrateur de service pour le domaine racine de la forêt. En outre, il ne représente aucune région géographique dans votre structure de domaine. Tous les autres domaines de la forêt sont des enfants du domaine racine de forêt dédié.
L’utilisation d’une racine de forêt dédiée offre les avantages suivants :
- Séparation opérationnelle des administrateurs de service de forêt et des administrateurs de service de domaine. Dans un environnement de domaine unique, les membres des groupes Administrateurs de domaine et Administrateurs intégrés peuvent utiliser des outils et des procédures standard pour se rendre membres des groupes Administrateurs d’entreprise et Administrateurs de schéma. Dans une forêt qui utilise un domaine racine de forêt dédié, les membres des administrateurs de domaine et les groupes Administrateurs intégrés dans les domaines régionaux ne peuvent pas se rendre membres des groupes d’administrateurs de service au niveau de la forêt à l’aide des outils et procédures standard.
- Protection contre les changements opérationnels dans d’autres domaines. Un domaine racine de forêt dédié ne représente pas une région géographique particulière dans votre structure de domaine. Pour cette raison, il n’est pas affecté par les réorganisations ou autres modifications qui entraînent le renommage ou la restructuration de domaines.
- Sert de racine neutre afin qu’aucun pays ou région ne semble être subordonné à une autre région. Certaines organisations peuvent préférer éviter de croire qu’un pays ou une région est subordonné à un autre pays ou une autre région de l’espace de noms. Lorsque vous utilisez un domaine racine de forêt dédié, tous les domaines régionaux peuvent être des homologues dans la hiérarchie de domaines.
Dans un environnement à domaines régionaux multiples dans lequel une racine de forêt dédiée est utilisée, la réplication du domaine racine de forêt a un impact minimal sur l’infrastructure réseau. En effet, la racine de forêt héberge uniquement les comptes d’administrateur de service. La majorité des comptes d’utilisateur dans la forêt et d’autres données spécifiques au domaine sont stockés dans les domaines régionaux.
L’un des inconvénients de l’utilisation d’un domaine racine de forêt dédié est que cela crée une surcharge de gestion supplémentaire pour prendre en charge le domaine supplémentaire.
Domaine régional en tant que domaine racine de forêt
Si vous choisissez de ne pas déployer de domaine racine de forêt dédié, vous devez sélectionner un domaine régional pour fonctionner comme domaine racine de forêt. Ce domaine est le domaine parent de tous les autres domaines régionaux et sera le premier domaine que vous déployez. Le domaine racine de forêt contient des comptes d’utilisateur et est géré de la même manière que les autres domaines régionaux. La principale différence est qu’il inclut également les groupes Administrateurs d’entreprise et Administrateurs de schéma.
L’avantage de sélectionner un domaine régional pour fonctionner comme domaine racine de forêt est que cela ne crée pas la surcharge de gestion supplémentaire créée par la maintenance d’un domaine supplémentaire. Sélectionnez un domaine régional approprié pour être la racine de forêt, comme le domaine qui représente votre siège social ou la région qui a les connexions réseau les plus rapides. S’il est difficile pour votre organisation de sélectionner un domaine régional comme domaine racine de forêt, vous pouvez choisir d’utiliser un modèle racine de forêt dédié à la place.
Affectation du nom de domaine racine de la forêt
Le nom de domaine racine de la forêt est également le nom de la forêt. Le nom racine de la forêt est un nom DNS qui se compose d’un préfixe et d’un suffixe sous la forme préfixe.suffixe. Par exemple, une organisation peut avoir le nom racine de forêt corp.contoso.com. Dans cet exemple, corp est le préfixe et contoso.com est le suffixe.
Sélectionnez le suffixe dans une liste de noms existants sur votre réseau. Pour le préfixe, sélectionnez un nouveau nom qui n’a pas été utilisé sur votre réseau auparavant. En attachant un nouveau préfixe à un suffixe existant, vous créez un espace de noms unique. La création d’un espace de noms pour Active Directory Domain Services (AD DS) garantit que toute infrastructure DNS existante n’a pas besoin d’être modifiée pour prendre en charge AD DS.
Sélection d’un suffixe
Pour sélectionner un suffixe pour le domaine racine de forêt :
Contactez le propriétaire DNS de l’organisation pour obtenir la liste des suffixes DNS inscrits qui sont en cours d’utilisation sur le réseau qui hébergera AD DS. Notez que les suffixes utilisés sur le réseau interne peuvent être différents des suffixes utilisés en externe. Par exemple, une organisation peut utiliser contosopharma.com sur Internet et contoso.com sur le réseau d’entreprise interne.
Consultez le propriétaire DNS pour sélectionner un suffixe à utiliser avec AD DS. S’il n’existe aucun suffixe approprié, inscrivez un nouveau nom auprès d’une autorité d’attribution de noms Internet.
Nous vous recommandons d’utiliser des noms DNS inscrits auprès d’une autorité Internet dans l’espace de noms Active Directory. Seuls les noms enregistrés sont assurés d’être globalement uniques. Si une autre organisation inscrit ultérieurement le même nom de domaine DNS (ou si votre organisation fusionne, acquiert ou est acquise par une autre société qui utilise le même nom DNS), les deux infrastructures ne peuvent pas interagir l’une avec l’autre.
Attention
N’utilisez pas de noms DNS à étiquette unique. Pour plus d’informations, consultez Déploiement et fonctionnement de domaines Active Directory configurés à l’aide de noms DNS à étiquette unique. En outre, nous vous déconseillons d’utiliser des suffixes non enregistrés, comme .local.
Sélection d’un préfixe
Si vous avez choisi un suffixe inscrit déjà utilisé sur le réseau, sélectionnez un préfixe pour le nom de domaine racine de forêt à l’aide des règles de préfixe du tableau ci-dessous. Ajoutez un préfixe qui n’est pas en cours d’utilisation pour créer un nouveau nom subordonné. Par exemple, si votre nom racine DNS est contoso.com, vous pouvez créer le nom de domaine racine de forêt Active Directory concorp.contoso.com si l’espace de noms concorp.contoso.com n’est pas déjà utilisé sur le réseau. Cette nouvelle branche de l’espace de noms sera dédiée à AD DS et peut être facilement intégrée à l’implémentation DNS existante.
Si vous avez sélectionné un domaine régional pour fonctionner comme domaine racine de forêt, vous devrez peut-être sélectionner un nouveau préfixe pour le domaine. Étant donné que le nom de domaine racine de la forêt affecte tous les autres noms de domaine de la forêt, un nom régional peut ne pas être approprié. Si vous utilisez un nouveau suffixe qui n’est pas en cours d’utilisation sur le réseau, vous pouvez l’utiliser comme nom de domaine racine de forêt sans choisir de préfixe supplémentaire.
Le tableau suivant répertorie les règles de sélection d’un préfixe pour un nom DNS inscrit.
| Règle | Explication |
|---|---|
| Sélectionnez un préfixe qui n’est pas susceptible de devenir obsolète. | Évitez les noms comme une ligne de produits ou un système d’exploitation qui pourraient changer à l’avenir. Nous vous recommandons d’utiliser des noms génériques comme corp ou ds. |
| Sélectionnez un préfixe qui inclut uniquement des caractères standard Internet. | A-Z, a-z, 0-9 et (-), mais pas entièrement numérique. |
| Incluez 15 caractères ou moins dans le préfixe. | Si vous choisissez une longueur de préfixe de 15 caractères ou moins, le nom NetBIOS est identique au préfixe. |
Il est important que le propriétaire DNS Active Directory travaille avec le propriétaire DNS pour que l’organisation obtienne la propriété du nom qui sera utilisé pour l’espace de noms Active Directory. Pour plus d’informations sur la conception d’une infrastructure DNS pour prendre en charge AD DS, consultez Création d’une conception d’infrastructure DNS.
Documentation du nom de domaine racine de la forêt
Documentez le préfixe DNS et le suffixe que vous sélectionnez pour le domaine racine de forêt. À ce stade, identifiez quel domaine sera la racine de forêt. Vous pouvez ajouter les informations de nom de domaine racine de forêt à la feuille de calcul « Planification du domaine » que vous avez créée pour documenter votre plan pour les domaines nouveaux et mis à niveau et vos noms de domaine. Pour l’ouvrir, téléchargez Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip à partir du Kit d’aides de tâches de déploiement Windows Server 2003 et ouvrez « Planification de domaine » (DSSLOGI_5.doc).