В чем разница между «корнем нового доменного дерева» и «новым дочерним доменом»?
У меня 2 сервера Windows 2008 R2. У одного уже установлены AD и DNS. Он был посажен как новое дерево в новом лесу.
Теперь мне нужно добавить второй сервер, который должен иметь зону DNS, которую делегирует первый сервер. Первый сервер - foo.com, второй - bar.foo.com.
Во время настройки выбираю «существующий лес». Это не дополнительный контроллер домена, поэтому я выбираю «создать новый домен в существующем лесу». Затем я увидел опцию «Создать новый корень доменного дерева вместо нового дочернего домена».
И это меня озадачило, потому что я не знаю, каковы будут последствия.
Я использовал все свои навыки в MS Paint, чтобы создать это схематическое представление сценария: 
Разница между «Новым дочерним доменом» и «Новым корнем дерева доменов» связана с непрерывностью пространства имен DNS. «Новый дочерний домен» будет иметь имя, которое примыкает к родительскому домену («corp.foo.com» и «child.corp.foo.com»), тогда как «Новый корень дерева доменов» будет иметь имя, которое не примыкают к родительскому домену ("corp.foo.com" и "research.foo.com").
Я должен предварять этот ответ комментарием. Я не знаю вашей инфраструктуры, поэтому, пожалуйста, простите меня, если это не применимо. Microsoft не рекомендует для большинства организаций дочерние домены или отдельные корни деревьев. Текущая рекомендация - создать единый домен AD с бизнес-подразделениями, разделенными подразделениями для управления. Если у вас нет веской причины усложнить структуру AD, я предлагаю вам переосмыслить свой дизайн и оценить, может ли отдельный домен AD подойти лучше.
Выше приведены примеры каждого из них. Во втором примере нет явного доверия между двумя доменами, хотя подразумеваемое доверие все еще существует.
Вам нужно будет использовать ярлык доверия между ними, иначе корень леса всегда будет запрашиваться всякий раз, когда делается междоменный запрос ресурса.