如何向Active Directory(服务器管理器)中添加新的森林

教程

在本指南中,我将向您展示如何将一个新的森林添加到您现有的Active Directory环境中。可能会有合规性或安全性要求要求您添加一个新的森林。

本文适用于:Windows Server 2016、Windows Server 2019、Windows Server 2022 和 Windows Server 2025。

不过,请注意,您也可以添加森林信任。如果您有一个现有的森林,contoso.com,您可以添加另一个森林,northwindtraders.com,并可选择在它们之间建立信任,所有这些都在您的局域网环境内完成。

将 Active Directory 域服务服务器角色添加到 Windows Server

在我们的最终场景中,将向环境中添加一个新的森林。有几种逻辑设计决定了这个选项。如果您完全从头开始,这是您唯一的选择——添加您的第一个域控制器并创建您的第一个(森林根)域。

另一种情况是,如果您需要更明确定义的域之间的分隔。如果您正在与另一家公司合并,您可能希望在测试环境中添加一个新的森林——这将允许您的森林域结构与您的测试之间完全分离。

不过,正如我之前所述,您将能够创建森林信任,允许一个森林中的用户(无缝地)登录到另一个森林中的计算机。

我已经构建了另一台 Windows Server 2022 数据中心 Hyper-V 虚拟机,并命名为 WS22-FOREST-DC1。

Our 3rd and final server, ready for promotion – WS22-FOREST-DC1

我又去添加了Active Directory 域服务角色

配置新的 Active Directory 林

让我们开始配置新的林。

  • 启动 DC 升级向导以将服务器升级为域控制器。
Choosing to create a whole new, independent forest – reinderscorp.local
  • 我选择了第三个选项 — ‘添加新林’,并输入了‘reinderscorp.local’作为域名。
  • 我点击了下一步
Choosing our functional levels and entering our DSRM password…again… 🙂

在这里,您可以看到有关林功能级别的选项。如果您需要包括运行较旧版本Windows Server的域控制器,现在需要进行调整:事后无法降低级别,只能提高这些级别。

  • 我将保持我的林在Windows Server 2016级别
  • 输入您的 DSRM 密码然后点击下一步
  • DNS 选项屏幕上,与以前的情况一样,它会提醒您无法创建 DNS 委托。这是因为没有父(DNS)域名可供联系。
  • 附加选项屏幕仅为我们显示了 NetBIOS 域名 — ‘REINDERSCORP’。在路径屏幕上,我接受了默认设置并点击下一步
The Review Options screen shows our new forest in all its glory – including the PowerShell script!
  • 审阅选项屏幕上,我们可以看到新林的所有计划配置。我再次点击查看脚本按钮以查看即将在后台运行的PowerShell脚本。
  • 然后我点击下一步。
The Prerequisites Check screen says we’re good to go!
  • 现在我们可以在前提条件检查屏幕上点击安装按钮,因为我们已经得到受信任的Microsoft工程师的批准继续进行。
Setup completed successfully – Reboot coming right up!
  • 服务器重新启动后,我以管理员身份登录并确认一切符合预期。
Our new forest is ‘fully operational and all of its circuits are functioning perfectly

Source:
https://petri.com/add-new-forest-to-active-directory/