根据我正在阅读的书:Active Directory For Dummies:
To put it simply,you create a forest only if you need to use more
than one namespace. If you require more than one namespace because you
require more than one naming structure,you need to plan an additional
tree for each namespace.
书中还提供了这个图:
我不完全理解这个陈述,但根据图表,如果你有Corp.com和Newcorp.com,你应该在同一个森林中有2棵树而不是2个不同的森林.但是根据这个:
Windows Active Directory naming best practices?
命名你的“AD”的主要推荐方式,我认为它们意味着森林,是:
- An unused sub-domain of a domain that you use publicly. For
example,if your public web presence isexample.comyour internal AD
might be named something likead.example.comor
internal.example.com.
使用推荐的方式,如果您将活动目录命名为ad.Corp.com,稍后需要将ad.Newcorp.com添加到您的林中作为新树,看起来它会非常奇怪,因为ad.Newcorp.com将是一个名为ad.Corp.com的森林中的一棵树.
我在这里想念的是什么?
编辑:
根据https://www.youtube.com/watch?v=Whh3kPS0FdA,如果你:你大多只需要一个新的森林:
>与另一家公司合并,其AD模式与您的模式不同
>正在测试对架构进行更改的应用程序,并且您不希望它影响生产架构
我最大的问题是:你将森林命名为什么,以便即使你以后添加不同的DNS命名空间(如添加NewCorp.com),你也不会得到一个名为Corp.com的森林,其中一棵树名为NewCorp.com,甚至更奇怪的东西?如果一个森林可以包含多个DNS命名空间,为什么建议将其命名为ad.example.com而不是通用名称?
编辑2:
同一本书建议使用像AD.LOCAL这样的通用名称作为林根域名,这是有道理的,因为这将允许您拥有多个DNS名称空间.但是,使用SOMETHING.LOCAL不再被视为林根域的良好名称,那么新建议的命名约定如何处理不同的DNS命名空间?
解决方法
在绝大多数情况下,您的问题无关紧要,因为几乎不再需要多个域林.
当您需要安全边界时,您需要一个新的林.森林是一个安全边界.如果出于法律或合规性原因需要隔离资源,林会实现这一目标.
你需要一个新的子域或树根,好吧….真的从来没有.它曾经用于不同的密码策略或减少复制的无意中或用于管理目的,但实际上在现代AD域中,这可以在单个域方案中实现.
