什么时候需要新的 AD 森林，什么时候需要新的树？

Question

我是 AD 和 Windows Server 的新手，这听起来应该很明显，但我似乎无法弄清楚树和森林之间的区别。

根据我正在阅读的书Active Directory For Dummies：：

简而言之，只有在需要使用多个命名空间时才创建森林。如果因为需要多个命名结构而需要多个命名空间，则需要为每个命名空间规划一个额外的树。

书中还提供了这张图：

我不完全理解这个说法，但根据图表，如果你有Corp.com和Newcorp.com，你应该在同一个森林中有 2 棵树，而不是 2 个不同的森林。然而，根据this：

Windows Active Directory 命名最佳实践？

主要推荐的命名“AD”的方式是：

• 您公开使用的域的未使用子域。例如，如果您的公共网络存在是example.com您的内部 AD 可能命名为类似ad.example.com或 internal.example.com。

使用推荐的方法，如果您将活动目录命名为 ad.Corp.com，然后需要将 ad.Newcorp.com 作为新树添加到您的森林中，这看起来会很奇怪，因为 ad.Newcorp.com 会成为名为 ad.Corp.com 的森林中的一棵树。

我在这里缺少什么？

编辑：

根据https://www.youtube.com/watch?v=Whh3kPS0FdA，如果您符合以下条件，您通常只需要一个新森林：

• 与 AD 林与您的架构不同的另一家公司合并
• 正在测试对架构进行更改的应用程序，并且您不希望它影响您的生产架构

我最大的问题是：你会给你的森林命名什么，这样即使你以后添加不同的 DNS 命名空间（比如添加 NewCorp.com），你最终也不会得到一个名为 Corp.com 的森林和一个名为 NewCorp.com 的树，或者更奇怪的东西？如果森林可以包含多个 DNS 命名空间，为什么建议将其命名为 ad.example.com 而不是通用名称？

编辑2：

同一本书建议使用诸如 AD.LOCAL 之类的通用名称作为林根域的名称，这是有道理的，因为这将允许您拥有多个 DNS 名称空间。然而，使用 SOMETHING.LOCAL 不再被认为是林根域的好名称，那么新建议的命名约定如何处理不同的 DNS 命名空间？

Answer 1

.local 从来都不是一个好主意，也从来没有被推荐过。我会怀疑那本书中的其他材料。

在绝大多数情况下，您的问题并不重要，因为几乎不再需要多个域林。

当您需要安全边界时，您需要一个新林。森林是安全边界。如果您出于法律或合规性原因需要隔离资源，森林将实现这一点。

您需要一个新的子域或树根，嗯……真的从来没有。它曾经用于不同的密码策略或减少复制偷听或出于管理目的，但实际上在现代 AD 域中，这一切都可以在单个域场景中实现。