Selecting the Forest Root Domain

Applies To: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

The first domain that you deploy in an Active Directory forest is called the forest root domain. This domain remains the forest root domain for the life cycle of the AD DS deployment.

The forest root domain contains the Enterprise Admins and Schema Admins groups. These service administrator groups are used to manage forest-level operations such as the addition and removal of domains and the implementation of changes to the schema.

Selecting the forest root domain involves determining if one of the Active Directory domains in your domain design can function as the forest root domain or if you need to deploy a dedicated forest root domain.

For information about deploying a forest root domain, see Deploying a Windows Server 2008 Forest Root Domain.

Choosing a regional or dedicated forest root domain

If you are applying a single domain model, the single domain functions as the forest root domain. If you are applying a multiple domain model, you can choose to deploy a dedicated forest root domain or select a regional domain to function as the forest root domain.

Dedicated forest root domain

A dedicated forest root domain is a domain that is created specifically to function as the forest root. It does not contain any user accounts other than the service administrator accounts for the forest root domain. Also, it does not represent any geographical region in your domain structure. All other domains in the forest are children of the dedicated forest root domain.

Using a dedicated forest root provides the following advantages:

• Operational separation of forest service administrators from domain service administrators. In a single domain environment, members of the Domain Admins and built-in Administrators groups can use standard tools and procedures to make themselves members of the Enterprise Admins and Schema Admins groups. In a forest that uses a dedicated forest root domain, members of the Domain Admins and built-in Administrators groups in the regional domains cannot make themselves members of the forest-level service administrator groups by using standard tools and procedures.
• Protection from operational changes in other domains. A dedicated forest root domain does not represent a particular geographical region in your domain structure. For this reason, it is not affected by reorganizations or other changes that result in the renaming or restructuring of domains.
• Serves as a neutral root so that no country or region appears to be subordinate to another region. Some organizations might prefer to avoid the appearance that one country or region is subordinate to another country or region in the namespace. When you use a dedicated forest root domain, all regional domains can be peers in the domain hierarchy.

In a multiple-regional-domain environment in which a dedicated forest root is used, the replication of the forest root domain has minimal impact on the network infrastructure. This is because the forest root only hosts the service administrator accounts. The majority of the user accounts in the forest and other domain-specific data are stored in the regional domains.

One disadvantage to using a dedicated forest root domain is that it creates additional management overhead to support the additional domain.

Regional domain as a forest root domain

If you choose not to deploy a dedicated forest root domain, you must select a regional domain to function as the forest root domain. This domain is the parent domain of all of the other regional domains and will be the first domain that you deploy. The forest root domain contains user accounts and is managed in the same way that the other regional domains are managed. The primary difference is that it also includes the Enterprise Admins and Schema Admins groups.

The advantage of selecting a regional domain to function as the forest root domain is that it does not create the additional management overhead that maintaining an additional domain creates. Select an appropriate regional domain to be the forest root, such as the domain that represents your headquarters or the region that has the fastest network connections. If it is difficult for your organization to select a regional domain to be the forest root domain, you can choose to use a dedicated forest root model instead.

Assigning the forest root domain name

The forest root domain name is also the name of the forest. The forest root name is a Domain Name System (DNS) name that consists of a prefix and a suffix in the form of prefix.suffix. For example, an organization might have the forest root name corp.contoso.com. In this example, corp is the prefix and contoso.com is the suffix.

Select the suffix from a list of existing names on your network. For the prefix, select a new name that has not been used on your network previously. By attaching a new prefix to an existing suffix, you create a unique namespace. Creating a new namespace for Active Directory Domain Services (AD DS) ensures that any existing DNS infrastructure does not need to be modified to accommodate AD DS.

Selecting a suffix

To select a suffix for the forest root domain:

Contact the DNS owner for the organization for a list of registered DNS suffixes that are in use on the network that will host AD DS. Note that the suffixes used on the internal network might be different than the suffixes used externally. For example, an organization might use contosopharma.com on the Internet and contoso.com on the internal corporate network.

Consult the DNS owner to select a suffix for use with AD DS. If no suitable suffixes exist, register a new name with an Internet naming authority.

We recommend that you use DNS names that are registered with an Internet authority in the Active Directory namespace. Only registered names are guaranteed to be globally unique. If another organization later registers the same DNS domain name (or if your organization merges with, acquires, or is acquired by another company that uses the same DNS name), the two infrastructures cannot interact with one another.

Do not use single-label DNS names. For more information, see Deployment and operation of Active Directory domains that are configured by using single-label DNS names. Also, we do not recommend using unregistered suffixes, such as .local .

Selecting a prefix

If you chose a registered suffix that is already in use on the network, select a prefix for the forest root domain name by using the prefix rules in the table below. Add a prefix that is not currently in use to create a new subordinate name. For example, if your DNS root name is contoso.com, you can create the Active Directory forest root domain name concorp.contoso.com if the namespace concorp.contoso.com is not already in use on the network. This new branch of the namespace will be dedicated to AD DS and can be integrated easily with the existing DNS implementation.

If you selected a regional domain to function as a forest root domain, you might need to select a new prefix for the domain. Because the forest root domain name affects all of the other domain names in the forest, a regionally based name might not be appropriate. If you are using a new suffix that is not currently in use on the network, you can use it as the forest root domain name without choosing an additional prefix.

The following table lists the rules for selecting a prefix for a registered DNS name.

Rule	Explanation
Select a prefix that is not likely to become outdated.	Avoid names such as a product line or operating system that might change in the future. We recommend using generic names such as corp or ds.
Select a prefix that includes Internet standard characters only.	A-Z, a-z, 0-9, and (-), but not entirely numerical.
Include 15 characters or less in the prefix.	If you choose a prefix length of 15 characters or less, the NetBIOS name is the same as the prefix.

It is important for the Active Directory DNS owner to work with the DNS owner for the organization to obtain ownership of the name that will be used for the Active Directory namespace. For more information about designing a DNS infrastructure to support AD DS, see Creating a DNS Infrastructure Design.

Выбор корневого домена леса Selecting the Forest Root Domain

Область применения. Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 Applies To: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Первый домен, развертываемый в Active Directory лесу, называется корневым доменом леса. The first domain that you deploy in an Active Directory forest is called the forest root domain. Этот домен остается корневым доменом леса для жизненного цикла развертывания AD DS. This domain remains the forest root domain for the life cycle of the AD DS deployment.

Корневой домен леса содержит группы «Администраторы предприятия» и «Администраторы схемы». The forest root domain contains the Enterprise Admins and Schema Admins groups. Эти группы администраторов служб используются для управления операциями на уровне леса, такими как добавление и удаление доменов и реализация изменений в схеме. These service administrator groups are used to manage forest-level operations such as the addition and removal of domains and the implementation of changes to the schema.

Выбор корневого домена леса подразумевает определение того, может ли один из доменов Active Directory в структуре домена работать в качестве корневого домена леса или же если требуется развернуть выделенный корневой домен леса. Selecting the forest root domain involves determining if one of the Active Directory domains in your domain design can function as the forest root domain or if you need to deploy a dedicated forest root domain.

Сведения о развертывании корневого домена леса см. в разделе Развертывание корневого домена леса Windows Server 2008. For information about deploying a forest root domain, see Deploying a Windows Server 2008 Forest Root Domain.

Выбор регионального или выделенного корневого домена леса Choosing a regional or dedicated forest root domain

Если применяется одна модель домена, то один домен работает в качестве корневого домена леса. If you are applying a single domain model, the single domain functions as the forest root domain. Если применяется модель с несколькими доменами, можно развернуть выделенный корневой домен леса или выбрать региональный домен для работы в качестве корневого домена леса. If you are applying a multiple domain model, you can choose to deploy a dedicated forest root domain or select a regional domain to function as the forest root domain.

Выделенный корневой домен леса Dedicated forest root domain

Выделенный корневой домен леса — это домен, который создается специально для работы в качестве корня леса. A dedicated forest root domain is a domain that is created specifically to function as the forest root. Он не содержит ни одной учетной записи пользователя, отличной от учетной записи администратора службы для корневого домена леса. It does not contain any user accounts other than the service administrator accounts for the forest root domain. Кроме того, он не представляет ни одного географического региона в структуре домена. Also, it does not represent any geographical region in your domain structure. Все остальные домены в лесу являются дочерними для выделенного корневого домена леса. All other domains in the forest are children of the dedicated forest root domain.

Использование выделенного корня леса обеспечивает следующие преимущества. Using a dedicated forest root provides the following advantages:

• Операционное разделение администраторов служб леса от администраторов служб домена. Operational separation of forest service administrators from domain service administrators. В среде с одним доменом члены групп «Администраторы домена» и «встроенные Администраторы» могут использовать стандартные средства и процедуры, чтобы сделать себя членами групп «Администраторы предприятия» и «Администраторы схемы». In a single domain environment, members of the Domain Admins and built-in Administrators groups can use standard tools and procedures to make themselves members of the Enterprise Admins and Schema Admins groups. В лесу, использующем выделенный корневой домен леса, члены групп «Администраторы домена» и «встроенные Администраторы» в региональных доменах не могут сами быть членами групп администраторов служб на уровне леса с помощью стандартных средств и процедур. In a forest that uses a dedicated forest root domain, members of the Domain Admins and built-in Administrators groups in the regional domains cannot make themselves members of the forest-level service administrator groups by using standard tools and procedures.
• Защита от операционных изменений в других доменах. Protection from operational changes in other domains. Выделенный корневой домен леса не представляет определенный географический регион в структуре домена. A dedicated forest root domain does not represent a particular geographical region in your domain structure. По этой причине на него не влияют реорганизации и другие изменения, которые приводят к переименованию или реструктуризации доменов. For this reason, it is not affected by reorganizations or other changes that result in the renaming or restructuring of domains.
• Служит нейтральным корнем, чтобы ни одна страна или регион не были подчинены другому региону. Serves as a neutral root so that no country or region appears to be subordinate to another region. Некоторые организации могут предпочесть избежать внешнего вида, чтобы одна страна или регион были подчинены другой стране или региону в пространстве имен. Some organizations might prefer to avoid the appearance that one country or region is subordinate to another country or region in the namespace. При использовании выделенного корневого домена леса все региональные домены могут быть равноправными в иерархии доменов. When you use a dedicated forest root domain, all regional domains can be peers in the domain hierarchy.

В многорегиональной среде домена, в которой используется выделенный корень леса, репликация корневого домена леса оказывает минимальное влияние на сетевую инфраструктуру. In a multiple-regional-domain environment in which a dedicated forest root is used, the replication of the forest root domain has minimal impact on the network infrastructure. Это связано с тем, что корневой лес леса содержит только учетные записи администратора службы. This is because the forest root only hosts the service administrator accounts. Большинство учетных записей пользователей в лесу и других данных, зависящих от домена, хранятся в региональных доменах. The majority of the user accounts in the forest and other domain-specific data are stored in the regional domains.

Одним из недостатков использования выделенного корневого домена леса является то, что он создает дополнительные дополнительные затраты на управление для поддержки дополнительного домена. One disadvantage to using a dedicated forest root domain is that it creates additional management overhead to support the additional domain.

Региональный домен в качестве корневого домена леса Regional domain as a forest root domain

Если вы решили не развертывать выделенный корневой домен леса, необходимо выбрать региональный домен для работы в качестве корневого домена леса. If you choose not to deploy a dedicated forest root domain, you must select a regional domain to function as the forest root domain. Этот домен является родительским доменом всех других региональных доменов и будет первым развертываемым доменом. This domain is the parent domain of all of the other regional domains and will be the first domain that you deploy. Корневой домен леса содержит учетные записи пользователей и управляется так же, как и другие региональные домены. The forest root domain contains user accounts and is managed in the same way that the other regional domains are managed. Основное отличие состоит в том, что она также включает в себя группы «Администраторы предприятия» и «Администраторы схемы». The primary difference is that it also includes the Enterprise Admins and Schema Admins groups.

Преимуществом выбора регионального домена для работы в качестве корневого домена леса является то, что он не создает дополнительные затраты на управление, которые могут поддерживать дополнительный домен. The advantage of selecting a regional domain to function as the forest root domain is that it does not create the additional management overhead that maintaining an additional domain creates. Выберите соответствующий региональный домен в качестве корня леса, например домен, представляющий Центральный офис или регион с быстрыми сетевыми подключениями. Select an appropriate regional domain to be the forest root, such as the domain that represents your headquarters or the region that has the fastest network connections. Если в Организации сложно выбрать региональный домен в качестве корневого домена леса, вместо этого можно использовать выделенную корневую модель леса. If it is difficult for your organization to select a regional domain to be the forest root domain, you can choose to use a dedicated forest root model instead.

Назначение имени корневого домена леса Assigning the forest root domain name

Имя корневого домена леса также является именем леса. The forest root domain name is also the name of the forest. Имя корня леса — это DNS-имя, состоящее из префикса и суффикса в виде префикса. суффикс. The forest root name is a Domain Name System (DNS) name that consists of a prefix and a suffix in the form of prefix.suffix. Например, Организация может иметь имя корня леса corp.contoso.com. For example, an organization might have the forest root name corp.contoso.com. В этом примере используется префикс Corp, а contoso.com — суффикс. In this example, corp is the prefix and contoso.com is the suffix.

Выберите суффикс из списка существующих имен в сети. Select the suffix from a list of existing names on your network. В качестве префикса выберите новое имя, которое ранее не использовалось в вашей сети. For the prefix, select a new name that has not been used on your network previously. Присоединив новый префикс к существующему суффиксу, вы создадите уникальное пространство имен. By attaching a new prefix to an existing suffix, you create a unique namespace. Создание нового пространства имен для служб домен Active Directory Services (AD DS) гарантирует, что любую существующую инфраструктуру DNS не нужно будет изменять в соответствии с AD DS. Creating a new namespace for Active Directory Domain Services (AD DS) ensures that any existing DNS infrastructure does not need to be modified to accommodate AD DS.

Выбор суффикса Selecting a suffix

Чтобы выбрать суффикс для корневого домена леса, сделайте следующее: To select a suffix for the forest root domain:

Обратитесь к владельцу DNS организации за списком зарегистрированных DNS-суффиксов, которые используются в сети, в которой будет размещаться AD DS. Contact the DNS owner for the organization for a list of registered DNS suffixes that are in use on the network that will host AD DS. Обратите внимание, что суффиксы, используемые во внутренней сети, могут отличаться от суффиксов, используемых извне. Note that the suffixes used on the internal network might be different than the suffixes used externally. Например, Организация может использовать contosopharma.com в Интернете и contoso.com во внутренней корпоративной сети. For example, an organization might use contosopharma.com on the Internet and contoso.com on the internal corporate network.

Обратитесь к владельцу DNS, чтобы выбрать суффикс для использования с AD DS. Consult the DNS owner to select a suffix for use with AD DS. Если подходящих суффиксов не существует, зарегистрируйте новое имя в центре именования Интернета. If no suitable suffixes exist, register a new name with an Internet naming authority.

Рекомендуется использовать DNS-имена, зарегистрированные в центре Интернета, в пространстве имен Active Directory. We recommend that you use DNS names that are registered with an Internet authority in the Active Directory namespace. Только зарегистрированные имена гарантированно являются глобально уникальными. Only registered names are guaranteed to be globally unique. Если в другой организации впоследствии регистрируется то же доменное имя DNS (или если ваша организация выполняет слияние с другой компанией, которая использует то же DNS-имя), то две инфраструктуры не могут взаимодействовать друг с другом. If another organization later registers the same DNS domain name (or if your organization merges with, acquires, or is acquired by another company that uses the same DNS name), the two infrastructures cannot interact with one another.

Не используйте имена DNS с одной меткой. Do not use single-label DNS names. Дополнительные сведения см. в разделе развертывание и работа Active Directory доменов, настроенных с помощью однокомпонентных DNS-имен. For more information, see Deployment and operation of Active Directory domains that are configured by using single-label DNS names. Кроме того, не рекомендуется использовать незарегистрированные суффиксы, такие как. local. Also, we do not recommend using unregistered suffixes, such as .local .

Выбор префикса Selecting a prefix

Если вы выбрали зарегистрированный суффикс, который уже используется в сети, выберите префикс для имени корневого домена леса, используя правила префикса, приведенные в таблице ниже. If you chose a registered suffix that is already in use on the network, select a prefix for the forest root domain name by using the prefix rules in the table below. Добавьте префикс, который в настоящее время не используется для создания нового подчиненного имени. Add a prefix that is not currently in use to create a new subordinate name. Например, если корневое имя DNS — contoso.com, можно создать Active Directory имя корневого домена леса concorp.contoso.com, если пространство имен concorp.contoso.com еще не используется в сети. For example, if your DNS root name is contoso.com, you can create the Active Directory forest root domain name concorp.contoso.com if the namespace concorp.contoso.com is not already in use on the network. Эта новая ветвь пространства имен будет выделена для AD DS и может быть легко интегрирована с существующей реализацией DNS. This new branch of the namespace will be dedicated to AD DS and can be integrated easily with the existing DNS implementation.

Если вы выбрали региональный домен для работы в качестве корневого домена леса, может потребоваться выбрать новый префикс для домена. If you selected a regional domain to function as a forest root domain, you might need to select a new prefix for the domain. Так как имя корневого домена леса влияет на все другие доменные имена в лесу, имя на основе региона может быть неприемлемым. Because the forest root domain name affects all of the other domain names in the forest, a regionally based name might not be appropriate. Если используется новый суффикс, который в настоящее время не используется в сети, его можно использовать как имя корневого домена леса без выбора дополнительного префикса. If you are using a new suffix that is not currently in use on the network, you can use it as the forest root domain name without choosing an additional prefix.

В следующей таблице перечислены правила выбора префикса для зарегистрированного DNS-имени. The following table lists the rules for selecting a prefix for a registered DNS name.

Правило Rule	Объяснение Explanation
Выберите префикс, который, скорее всего, станет устаревшим. Select a prefix that is not likely to become outdated.	Избегайте таких имен, как линейка продуктов или операционная система, которые могут измениться в будущем. Avoid names such as a product line or operating system that might change in the future. Рекомендуется использовать универсальные имена, например Corp или DS. We recommend using generic names such as corp or ds.
Выберите префикс, включающий только стандартные символы Интернета. Select a prefix that includes Internet standard characters only.	A – Z, a – z, 0-9 и (-), но не полностью числовое. A-Z, a-z, 0-9, and (-), but not entirely numerical.
В префиксе должно быть не более 15 символов. Include 15 characters or less in the prefix.	Если выбрана длина префикса не более 15 символов, NetBIOS-имя совпадает с префиксом. If you choose a prefix length of 15 characters or less, the NetBIOS name is the same as the prefix.

Важно, чтобы владелец Active Directory DNS работал с владельцем DNS, чтобы Организация получала право на владение именем, которое будет использоваться для пространства имен Active Directory. It is important for the Active Directory DNS owner to work with the DNS owner for the organization to obtain ownership of the name that will be used for the Active Directory namespace. Дополнительные сведения о проектировании инфраструктуры DNS для поддержки AD DS см. в разделе Создание структуры инфраструктуры DNS. For more information about designing a DNS infrastructure to support AD DS, see Creating a DNS Infrastructure Design.