Selecionando o domínio raiz da floresta
O primeiro domínio que você implanta em uma floresta do Active Directory é chamado de domínio raiz da floresta. Esse domínio continua sendo o domínio raiz da floresta para o ciclo de vida da implantação do AD DS.
O domínio raiz da floresta contém os grupos Administradores Corporativos e Administradores de Esquema. Esses grupos de administradores de serviços são usados para gerenciar operações em nível de floresta, como a adição e remoção de domínios e a implementação de alterações no esquema.
Selecionar o domínio raiz da floresta envolve determinar se um dos domínios do Active Directory em seu design de domínio pode funcionar como o domínio raiz da floresta ou se você precisa implantar um domínio raiz de floresta dedicado.
Para obter informações sobre como implantar um domínio raiz de floresta, confira Como implantar um domínio raiz de floresta do Windows Server 2008.
Escolhendo um domínio raiz de floresta regional ou dedicado
Se você estiver aplicando um único modelo de domínio, o domínio único funcionará como o domínio raiz da floresta. Se você estiver aplicando um modelo de domínio múltiplo, poderá optar por implantar um domínio raiz de floresta dedicado ou selecionar um domínio regional para funcionar como o domínio raiz da floresta.
Domínio raiz de floresta dedicado
Um domínio raiz de floresta dedicado é um domínio criado especificamente para funcionar como a raiz da floresta. Ele não contém nenhuma conta de usuário que não seja as contas de administrador de serviços para o domínio raiz da floresta. Além disso, ele não representa nenhuma região geográfica em sua estrutura de domínio. Todos os outros domínios na floresta são filhos do domínio raiz de floresta dedicado.
O uso de uma raiz de floresta dedicada oferece as seguintes vantagens:
- Separação operacional de administradores de serviço de floresta de administradores de serviço de domínio. Em um único ambiente de domínio, os membros dos grupos Administradores de domínio e Administradores internos podem usar ferramentas e procedimentos padrão para se tornarem membros dos grupos Administradores corporativos e Administradores de esquema. Em uma floresta que usa um domínio raiz de floresta dedicado, os membros dos grupos Administradores de domínio e Administradores internos nos domínios regionais não podem se tornar membros dos grupos de administradores de serviços de nível de floresta usando ferramentas e procedimentos padrões.
- Proteção contra alterações operacionais em outros domínios. Um domínio raiz de floresta dedicado não representa uma região geográfica específica em sua estrutura de domínio. Por esse motivo, ela não é afetada por reorganizações ou outras alterações que resultam na renomeação ou reestruturação de domínios.
- Serve como uma raiz neutra para que nenhum país ou região pareça ser subordinado a outra região. Algumas organizações podem preferir evitar a aparência de que um país ou região é subordinado a outro país ou região no namespace. Quando você usa um domínio raiz de floresta dedicado, todos os domínios regionais podem ser pares na hierarquia de domínio.
Em um ambiente de vários domínios regionais no qual uma raiz de floresta dedicada é usada, a replicação do domínio raiz da floresta tem impacto mínimo sobre a infraestrutura de rede. Isso ocorre porque a raiz da floresta hospeda apenas as contas de administrador de serviço. A maioria das contas de usuário na floresta e outros dados específicos do domínio são armazenados nos domínios regionais.
Uma desvantagem de usar um domínio raiz de floresta dedicado é que ele cria sobrecarga de gerenciamento adicional para dar suporte ao domínio adicional.
Domínio regional como um domínio raiz de floresta
Se você optar por não implantar um domínio raiz de floresta dedicado, deverá selecionar um domínio regional para funcionar como o domínio raiz da floresta. Esse domínio será o pai de todos os outros domínios regionais e será o primeiro domínio que você implantará. O domínio raiz da floresta contém contas de usuário e é gerenciado da mesma forma que os outros domínios regionais. A principal diferença é que ele também inclui os grupos Administradores corporativos e Administradores de esquema.
A vantagem de selecionar um domínio regional para funcionar como o domínio raiz da floresta é que ele não cria a sobrecarga de gerenciamento adicional criada pela manutenção de um domínio adicional. Selecione um domínio regional apropriado para ser a raiz da floresta, como o domínio que representa sua sede ou a região que tem as conexões de rede mais rápidas. Se for difícil para sua organização selecionar um domínio regional para ser o domínio raiz da floresta, você poderá optar por usar um modelo raiz de floresta dedicado.
Atribuindo o nome ao domínio raiz da floresta
O nome do domínio raiz da floresta também é o nome da floresta. O nome raiz da floresta é um nome DNS (Sistema de Nomes de Domínio) que consiste em um prefixo e um sufixo na forma de prefixo.sufixo. Por exemplo, uma organização pode ter o nome raiz da floresta corp.contoso.com. Neste exemplo, corp é o prefixo e contoso.com é o sufixo.
Selecione o sufixo em uma lista de nomes existentes em sua rede. Para o prefixo, selecione um novo nome que não tenha sido usado em sua rede anteriormente. Ao anexar um novo prefixo a um sufixo existente, você cria um namespace exclusivo. A criação de um novo namespace para o Active Directory Domain Services (AD DS) garante que qualquer infraestrutura DNS existente não precise ser modificada para acomodar o AD DS.
Selecionar um sufixo
Para selecionar um sufixo para o domínio raiz da floresta:
Entre em contato com o proprietário do DNS da organização para obter uma lista de sufixos DNS registrados que estão em uso na rede que hospedará o AD DS. Observe que os sufixos usados na rede interna podem ser diferentes dos sufixos usados externamente. Por exemplo, uma organização pode usar contosopharma.com na Internet e contoso.com na rede corporativa interna.
Consulte o proprietário do DNS para selecionar um sufixo para uso com o AD DS. Se não existirem sufixos adequados, registre um novo nome com uma autoridade de registro de nomenclatura da Internet.
Recomendamos que você use nomes DNS registrados com uma autoridade de Internet no namespace do Active Directory. Há garantia de que apenas os nomes registrados sejam globalmente exclusivos. Se outra organização mais tarde registrar o mesmo nome de domínio DNS (ou se sua organização se mesclar, adquirir ou for adquirida por outra empresa que usa o mesmo nome DNS), as duas infraestruturas não poderão interagir entre si.
Cuidado
Não use nomes DNS de rótulo único. Para obter mais informações, consulte Implantação e operação de domínios do Active Directory configurados usando nomes DNS de rótulo único. Além disso, não recomendamos usar sufixos não registrados, como .local.
Selecionar um prefixo
Se você escolheu um sufixo registrado que já está em uso na rede, selecione um prefixo para o nome de domínio raiz da floresta usando as regras de prefixo na tabela abaixo. Adicione um prefixo que não está em uso no momento para criar um novo nome subordinado. Por exemplo, se o nome raiz do DNS for contoso.com, você poderá criar o nome de domínio raiz da floresta do Active Directory concorp.contoso.com se o namespace concorp.contoso.com ainda não estiver em uso na rede. Essa nova ramificação do namespace será dedicado ao AD DS e poderá ser integrado facilmente à implementação de DNS existente.
Se você selecionou um domínio regional para funcionar como um domínio raiz da floresta, talvez seja necessário selecionar um novo prefixo para o domínio. Como o nome de domínio raiz da floresta afeta todos os outros nomes de domínio na floresta, um nome com base regional pode não ser apropriado. Se você estiver usando um novo sufixo que não está atualmente em uso na rede, poderá usá-lo como o nome de domínio raiz da floresta sem escolher um prefixo adicional.
A tabela a seguir lista as regras para selecionar um prefixo para um nome DNS registrado.
Regra | Explicação |
---|---|
Selecione um prefixo que provavelmente não ficará desatualizado. | Evite nomes como uma linha de produtos ou um sistema operacional que possa ser alterado no futuro. É recomendável usar nomes genéricos, como corp ou ds. |
Selecione um prefixo que inclua apenas caracteres padrão da Internet. | A-Z, a-z, 0-9 e (-), mas não totalmente numérico. |
Inclua 15 caracteres ou menos no prefixo. | Se você escolher um tamanho de prefixo de 15 caracteres ou menos, o nome NetBIOS será igual ao prefixo. |
É importante que o proprietário do DNS do Active Directory trabalhe com o proprietário do DNS da organização para obter a propriedade do nome que será usado para o namespace do Active Directory. Para obter mais informações sobre como criar uma infraestrutura DNS para dar suporte ao AD DS, consulte Criar um design de infraestrutura DNS.
Documentar o nome de domínio raiz da floresta
Documente o prefixo e o sufixo DNS que você seleciona para o domínio raiz da floresta. Neste ponto, identifique qual domínio será a raiz da floresta. Você pode adicionar as informações de nomes de domínio raiz de floresta à planilha "Planejamento de domínio" que você criou para documentar seu plano para domínios novos e atualizados e seus nomes de domínio. Para abri-lo, baixe Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip do Material de Apoio para o Kit de Implantação do Windows Server 2003 e abra "Planejamento de domínio" (DSSLOGI_5.doc).