Selezione del dominio radice della foresta
Il primo dominio distribuito in una foresta Active Directory è denominato dominio radice della foresta. Questo dominio rimane il dominio radice della foresta per il ciclo di vita della distribuzione di Active Directory Domain Services.
Il dominio radice della foresta contiene i gruppi Enterprise Admins e Schema Admins. Questi gruppi di amministratori del servizio vengono usati per gestire operazioni a livello di foresta, ad esempio l'aggiunta e la rimozione di domini e l'implementazione delle modifiche apportate allo schema.
La selezione del dominio radice della foresta comporta la determinazione se uno dei domini di Active Directory nella progettazione del dominio può funzionare come dominio radice della foresta o se è necessario distribuire un dominio radice della foresta dedicato.
Per informazioni sulla distribuzione di un dominio radice della foresta, vedere Deploying a Windows Server 2008 Forest Root Domain.
Scelta di un dominio radice della foresta a livello di area o dedicato
Se si applica un singolo modello di dominio, il dominio singolo funziona come dominio radice della foresta. Se si applica un modello di dominio multiplo, è possibile scegliere di distribuire un dominio radice della foresta dedicato o selezionare un dominio a livello di area per funzionare come dominio radice della foresta.
Dominio radice della foresta dedicato
Un dominio radice della foresta dedicato è un dominio creato specificamente per funzionare come radice della foresta. Non contiene account utente diversi dagli account amministratore del servizio per il dominio radice della foresta. Inoltre, non rappresenta alcuna area geografica nella struttura di dominio. Tutti gli altri domini nella foresta sono elementi figlio del dominio radice della foresta dedicata.
L'uso di una radice di foresta dedicata offre i vantaggi seguenti:
- Separazione operativa degli amministratori del servizio foresta dagli amministratori del servizio di dominio. In un singolo ambiente di dominio, i membri dei gruppi Domain Admins e Administrators predefiniti possono usare strumenti e procedure standard per diventare membri dei gruppi Enterprise Admins e Schema Admins. In una foresta che usa un dominio radice della foresta dedicato, i membri dei gruppi Domain Admins e Administrators predefiniti nei domini regionali non possono diventare membri dei gruppi di amministratori del servizio a livello di foresta usando strumenti e procedure standard.
- Protezione dalle modifiche operative in altri domini. Un dominio radice della foresta dedicato non rappresenta una determinata area geografica nella struttura di dominio. Per questo motivo, non è interessato dalle riorganizzazioni o da altre modifiche che comportano la ridenominazione o la ristrutturazione dei domini.
- Funge da radice neutra in modo che nessun Paese o area geografica sia subordinato a un'altra area. Alcune organizzazioni potrebbero preferire di evitare l'aspetto che un paese o un'area geografica sia subordinato a un altro paese o area geografica nello spazio dei nomi. Quando si usa un dominio radice della foresta dedicato, tutti i domini regionali possono essere peer nella gerarchia di dominio.
In un ambiente di dominio a più aree in cui viene usata una radice di foresta dedicata, la replica del dominio radice della foresta ha un impatto minimo sull'infrastruttura di rete. Ciò è dovuto al fatto che la radice della foresta ospita solo gli account amministratore del servizio. La maggior parte degli account utente nella foresta e altri dati specifici del dominio vengono archiviati nei domini regionali.
Uno svantaggio dell'uso di un dominio radice della foresta dedicato è che crea un sovraccarico di gestione aggiuntivo per supportare il dominio aggiuntivo.
Dominio a livello di area come dominio radice della foresta
Se si sceglie di non distribuire un dominio radice della foresta dedicato, è necessario selezionare un dominio a livello di area per funzionare come dominio radice della foresta. Questo dominio è il dominio padre di tutti gli altri domini regionali e sarà il primo dominio distribuito. Il dominio radice della foresta contiene account utente e viene gestito nello stesso modo in cui vengono gestiti gli altri domini a livello di area. La differenza principale è che include anche i gruppi Enterprise Admins e Schema Admins.
Il vantaggio di selezionare un dominio a livello di area per funzionare come dominio radice della foresta è che non crea il sovraccarico di gestione aggiuntivo che gestisce un dominio aggiuntivo. Selezionare un dominio regionale appropriato come radice della foresta, ad esempio il dominio che rappresenta la sede centrale o l'area con le connessioni di rete più veloci. Se è difficile per l'organizzazione selezionare un dominio a livello di area come dominio radice della foresta, è possibile scegliere di usare invece un modello radice della foresta dedicato.
Assegnazione del nome di dominio radice della foresta
Il nome di dominio radice della foresta è anche il nome della foresta. Il nome radice della foresta è un nome DNS (Domain Name System) costituito da un prefisso e un suffisso sotto forma di prefisso.suffisso. Ad esempio, un'organizzazione potrebbe avere il nome radice della foresta corp.contoso.com. In questo esempio corp è il prefisso e contoso.com è il suffisso.
Selezionare il suffisso da un elenco di nomi esistenti nella rete. Per il prefisso, selezionare un nuovo nome che non è stato usato in precedenza nella rete. Associando un nuovo prefisso a un suffisso esistente, si crea uno spazio dei nomi univoco. La creazione di un nuovo spazio dei nomi per Active Directory Domain Services (AD DS) garantisce che non sia necessario modificare qualsiasi infrastruttura DNS esistente per supportare Active Directory Domain Services.
Selezione di un suffisso
Per selezionare un suffisso per il dominio radice della foresta:
Contattare il proprietario DNS per l'organizzazione per un elenco di suffissi DNS registrati in uso nella rete che ospiterà Active Directory Domain Services. Si noti che i suffissi usati nella rete interna potrebbero essere diversi dai suffissi usati esternamente. Ad esempio, un'organizzazione potrebbe usare contosopharma.com su Internet e contoso.com nella rete aziendale interna.
Consultare il proprietario DNS per selezionare un suffisso da usare con Active Directory Domain Services. Se non esistono suffissi appropriati, registrare un nuovo nome con un'autorità di denominazione Internet.
È consigliabile usare nomi DNS registrati con un'autorità Internet nello spazio dei nomi di Active Directory. È garantito che solo i nomi registrati siano univoci a livello globale. Se in un secondo momento un'altra organizzazione registra lo stesso nome di dominio DNS (o se l'organizzazione si unisce, acquisisce o viene acquisita da un'altra società che usa lo stesso nome DNS), le due infrastrutture non possono interagire tra loro.
Attenzione
Non usare nomi DNS con etichetta singola. Per altre informazioni, vedere Distribuzione e funzionamento dei domini di Active Directory configurati usando nomi DNS con etichetta singola. Inoltre, non è consigliabile usare suffissi non registrati, ad esempio .local .
Selezione di un prefisso
Se si sceglie un suffisso registrato già in uso nella rete, selezionare un prefisso per il nome di dominio radice della foresta usando le regole di prefisso nella tabella seguente. Aggiungere un prefisso attualmente non in uso per creare un nuovo nome subordinato. Ad esempio, se il nome radice DNS è contoso.com, è possibile creare il nome di dominio radice della foresta Active Directory concorp.contoso.com se lo spazio dei nomi concorp.contoso.com non è già in uso nella rete. Questo nuovo ramo dello spazio dei nomi sarà dedicato ad Active Directory Domain Services e può essere integrato facilmente con l'implementazione DNS esistente.
Se è stato selezionato un dominio a livello di area per funzionare come dominio radice della foresta, potrebbe essere necessario selezionare un nuovo prefisso per il dominio. Poiché il nome di dominio radice della foresta influisce su tutti gli altri nomi di dominio nella foresta, un nome basato su area potrebbe non essere appropriato. Se si usa un nuovo suffisso che non è attualmente in uso nella rete, è possibile usarlo come nome di dominio radice della foresta senza scegliere un prefisso aggiuntivo.
Nella tabella seguente sono elencate le regole per la selezione di un prefisso per un nome DNS registrato.
| Regola | Spiegazione |
|---|---|
| Selezionare un prefisso con bassa probabilità di diventare obsoleto. | Evitare nomi associati a una linea di prodotti o un sistema operativo che potrebbero cambiare in futuro. È consigliabile usare nomi generici come corp o ds. |
| Selezionare un prefisso che includa solo caratteri standard Internet. | A-Z, a-z, 0-9 e (-), ma non completamente numerico. |
| Includere almeno 15 caratteri nel prefisso. | Se si sceglie una lunghezza di prefisso pari o inferiore a 15 caratteri, il nome NetBIOS corrisponde al prefisso. |
È importante che il proprietario DNS di Active Directory lavori con il proprietario DNS per l'organizzazione per ottenere la proprietà del nome che verrà usato per lo spazio dei nomi di Active Directory. Per altre informazioni sulla progettazione di un'infrastruttura DNS per supportare Servizi di dominio Active Directory, vedere Creating a DNS Infrastructure Design.
Documentare il nome di dominio radice della foresta
Documentare il prefisso DNS e il suffisso selezionati per il dominio radice della foresta. A questo punto, identificare il dominio che sarà la radice della foresta. È possibile aggiungere le informazioni sul nome di dominio radice della foresta al foglio di lavoro "Pianificazione dominio" creato per documentare il piano per i domini nuovi e aggiornati e i nomi di dominio. Per aprirlo, scaricare Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip da Documenti di supporto per Windows Server 2003 Deployment Kit e aprire "Pianificazione dominio" (DSSLOGI_5.doc).