Bereitstellung und Betrieb von Active Directory-Domänen, die mithilfe von DNS-Namen mit einer Bezeichnung konfiguriert werden

Dieser Artikel enthält Informationen über die Bereitstellung und den Betrieb von Active Directory(AD)-Domänen, die mithilfe von DNS-Namen mit einer Bezeichnung konfiguriert werden.

Ursprüngliche KB-Nummer: 300684

Übersicht

Der Wunsch, die Konfiguration der Einzelbezeichnungsdomäne zu entfernen, ist häufig ein Grund, eine Domäne umzubenennen. Die Anwendungskompatibilitätsinformationen in diesem Artikel gelten für alle Szenarien, in denen Sie die Umbenennung einer Domäne in Betracht ziehen können.

Aus den folgenden Gründen empfiehlt es sich, neue Active Directory-Domänen mit vollqualifizierten DNS-Namen zu erstellen:

• Dns-Namen mit einer Bezeichnung können nicht mithilfe einer Internetregistrierungsstelle registriert werden.

• Clientcomputer und Domänencontroller, die mit Einzelbezeichnungsdomänen verbunden sind, erfordern zusätzliche Konfiguration, um DNS-Einträge dynamisch in DNS-Zonen mit einer Bezeichnung zu registrieren.

• Clientcomputer und Domänencontroller erfordern möglicherweise zusätzliche Konfiguration, um DNS-Abfragen in DNS-Zonen mit einer Bezeichnung aufzulösen.

• Einige serverbasierte Anwendungen sind nicht mit Domänennamen mit einer Bezeichnung kompatibel. Die Anwendungsunterstützung ist möglicherweise nicht in der ersten Version einer Anwendung vorhanden, oder der Support wird in einer zukünftigen Version gelöscht.

• Der Übergang von einem DNS-Domänennamen mit einer Bezeichnung zu einem vollqualifizierten DNS-Namen ist nicht trivial und besteht aus zwei Optionen. Migrieren Sie Entweder Benutzer, Computer, Gruppen und andere Zustände zu einer neuen Gesamtstruktur. Oder führen Sie eine Domänenbenennung der vorhandenen Domäne durch. Einige serverbasierte Anwendungen sind nicht mit dem Feature zum Umbenennen der Domäne kompatibel, das in Windows Server 2003 und neueren Domänencontrollern unterstützt wird. Diese Inkompatibilitäten blockieren entweder das Feature zum Umbenennen der Domäne, oder machen die Verwendung des Features zum Umbenennen der Domäne schwieriger, wenn Sie versuchen, einen DNS-Namen mit einer einzigen Bezeichnung in einen vollqualifizierten Domänennamen umzubenennen.

• Der Active Directory-Installations-Assistent (Dcpromo.exe) in Windows Server 2008 warnt vor dem Erstellen neuer Domänen mit DNS-Namen mit einer Bezeichnung. Da es keinen geschäftlichen oder technischen Grund zum Erstellen neuer Domänen mit DNS-Namen mit einer Bezeichnung gibt, blockiert der Active Directory-Installations-Assistent in Windows Server 2008 R2 explizit das Erstellen solcher Domänen.

Beispiele für Anwendungen, die nicht mit der Umbenennung von Domänen kompatibel sind, sind jedoch nicht beschränkt auf die folgenden Produkte:

• Microsoft Exchange 2000 Server
• Microsoft Exchange Server 2007
• Microsoft Exchange Server 2010
• Microsoft Exchange Server 2013
• Microsoft Internet Security and Acceleration (ISA) Server 2004
• Microsoft Live Communications Server 2005
• Microsoft Operations Manager 2005
• Microsoft SharePoint Portal Server 2003
• Microsoft Systems Management Server (SMS) 2003
• Microsoft Office Communications Server 2007
• Microsoft Office Communications Server 2007 R2
• Microsoft System Center Operations Manager 2007 SP1
• Microsoft System Center Operations Manager 2007 R2
• Microsoft Lync Server 2010
• Microsoft Lync Server 2013

Weitere Informationen

Bewährte Active Directory-Domänennamen bestehen aus einer oder mehreren Unterdomänen, die mit einer Domäne der obersten Ebene kombiniert werden, die durch ein Punktzeichen (".") getrennt ist. Die folgenden beispiele sind:

• contoso.com
• corp.contoso.com

Einzelbezeichnungsnamen bestehen aus einem einzelnen Wort wie "contoso".

Die Domäne der obersten Ebene belegt die am weitesten rechts stehende Bezeichnung in einem Domänennamen. Zu den allgemeinen Domänen auf oberster Ebene gehören:

• .com
• .net
• .org
• Domänen der obersten Ebene (CcTLD) mit zwei Buchstaben, z. B. .nz

Active Directory-Domänennamen sollten aus zwei oder mehr Bezeichnungen für das aktuelle und das zukünftige Betriebssystem und für die Anwendungserfahrung und Zuverlässigkeit bestehen.

Ungültige Domänenabfragen der obersten Ebene, die vom ICANN Security and Stability Advisory Committee gemeldet wurden, finden Sie unter Ungültige Domänenabfragen der obersten Ebene auf der Stammebene des Domänennamensystems.

DNS-Namensregistrierung bei einer Internetregistrierungsstelle

Es wird empfohlen, DNS-Namen für die am häufigsten internen und externen DNS-Namespaces bei einer Internetregistrierungsstelle zu registrieren. Dies schließt die Stammdomäne der Gesamtstruktur aller Active Directory-Gesamtstrukturen ein, es sei denn, solche Namen sind Unterdomänen von DNS-Namen, die von Ihrem Organisationsnamen registriert werden (z. B. die Gesamtstrukturstammdomäne "corp.example.com" ist eine Unterdomäne eines internen Namespace "example.com".) Wenn Sie Ihre DNS-Namen bei einer Internetregistrierungsstelle registrieren, können Internet-DNS-Server Ihre Domäne jetzt oder zu einem bestimmten Zeitpunkt über die Lebensdauer Ihrer Active Directory-Gesamtstruktur auflösen. Und diese Registrierung trägt dazu bei, mögliche Namenskonflikte durch andere Organisationen zu verhindern.

Mögliche Symptome, wenn Clients DNS-Einträge nicht dynamisch in einer Nachschlagezone mit einer einzelnen Bezeichnung registrieren können

Wenn Sie in Ihrer Umgebung einen DNS-Namen mit einer bezeichnungsbasierten Bezeichnung verwenden, können Clients möglicherweise keine DNS-Einträge in einer Nachschlagezone mit einer einzelnen Bezeichnung registrieren. Bestimmte Symptome variieren je nach installierter Version von Microsoft Windows.

In der folgenden Liste werden die Symptome beschrieben, die auftreten können:

• Nachdem Sie Microsoft Windows für einen Domänennamen mit einer einzelnen Bezeichnung konfiguriert haben, können möglicherweise nicht alle Server, die über die Domänencontrollerrolle verfügen, DNS-Einträge registrieren. Das Systemprotokoll des Domänencontrollers protokolliert möglicherweise konsistent NETLOGON 5781-Warnungen, die dem folgenden Beispiel ähneln:

  Notiz

  Statuscode 0000232a ist dem folgenden Fehlercode zugeordnet:

  DNS_ERROR_RCODE_SERVER_FAILURE

• Die folgenden zusätzlichen Statuscodes und Fehlercodes können in Protokolldateien wie Netdiag.log angezeigt werden:

  DNS-Fehlercode: 0x0000251D = DNS_INFO_NO_RECORDS
  DNS_ERROR_RCODE_ERROR
  RCODE_SERVER_FAILURE

• Windows-basierte Computer, die für dynamische DNS-Updates konfiguriert sind, werden nicht in einer Domäne mit einer Bezeichnung registriert. Warnungsereignisse, die den folgenden Beispielen ähneln, werden im Systemprotokoll des Computers aufgezeichnet:

Aktivieren von Windows-basierten Clients zum Ausführen von Abfragen und dynamischen Updates mit DNS-Zonen mit einer Bezeichnung

Standardmäßig sendet Windows keine Updates an Domänen der obersten Ebene. Sie können dieses Verhalten jedoch mithilfe einer der in diesem Abschnitt beschriebenen Methoden ändern. Verwenden Sie eine der folgenden Methoden, um Windows-basierte Clients zu ermöglichen, dynamische Updates für DNS-Zonen mit einer Bezeichnung auszuführen.

Auch ohne Änderung verwendet ein Active Directory-Domänenmitglied in einer Gesamtstruktur, das keine Domänen enthält, die dns-Bezeichnungen enthalten, den DNS-Serverdienst nicht, um Domänencontroller in Domänen zu suchen, die dns-Namen mit einer Bezeichnung enthalten, die sich in anderen Gesamtstrukturen befinden. Der Clientzugriff auf die Domänen mit DNS-Namen mit einer Bezeichnung schlägt fehl, wenn die Auflösung von NetBIOS-Namen nicht ordnungsgemäß konfiguriert ist.

Methode 1: Verwenden des Registrierungs-Editors

• Domänencontroller-Locator-Konfiguration für Windows XP Professional und höhere Versionen von Windows

  Wichtig

  Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher müssen Sie sicherstellen, dass Sie diese Schritte sorgfältig ausführen. Für weiteren Schutz sichern Sie die Registrierung, bevor Sie sie ändern. Anschließend können Sie die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen finden Sie unter Sichern und Wiederherstellen der Registrierung in Windows.

  Auf einem Windows-basierten Computer erfordert ein Active Directory-Domänenmitglied zusätzliche Konfiguration, um DNS-Namen mit einer Bezeichnung für Domänen zu unterstützen. Insbesondere verwendet der Domänencontroller-Locator für das Active Directory-Domänenmitglied nicht den DNS-Serverdienst, um Domänencontroller in einer Domäne zu finden, die einen DNS-Namen mit einer Bezeichnung hat, es sei denn, dass das Active Directory-Domänenmitglied einer Gesamtstruktur mit mindestens einer Domäne beigetreten ist und diese Domäne über einen DNS-Namen mit einer Bezeichnung verfügt.

  Führen Sie die folgenden Schritte aus, um ein Active Directory-Domänenmitglied für die Suche nach Domänencontrollern in Domänen zu aktivieren, die dns-Namen mit einer Bezeichnung enthalten, die sich in anderen Gesamtstrukturen befinden:

  1. Wählen Sie "Start" aus, wählen Sie "Ausführen", geben Sie "regedit" ein, und wählen Sie dann "OK" aus.

  2. Suchen Und wählen Sie dann den folgenden Unterschlüssel aus: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  3. Suchen Sie im Detailbereich den Eintrag "AllowSingleLabelDnsDomain ". Wenn der Eintrag AllowSingleLabelDnsDomain nicht vorhanden ist, führen Sie die folgenden Schritte aus:

     1. Zeigen Sie im Menü Bearbeiten auf Neu und wählen Sie dann DWORD-Wert.
     2. Geben Sie AllowSingleLabelDnsDomain als Eintragsnamen ein, und drücken Sie dann die EINGABETASTE.

  4. Doppelklicken Sie auf den Eintrag AllowSingleLabelDnsDomain .

  5. Geben Sie im Feld "Wert" "1" ein, und wählen Sie dann "OK" aus.

  6. Beenden Sie den Registrierungs-Editor.

• DNS-Clientkonfiguration

  Wichtig

  Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher müssen Sie sicherstellen, dass Sie diese Schritte sorgfältig ausführen. Für weiteren Schutz sichern Sie die Registrierung, bevor Sie sie ändern. Anschließend können Sie die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen finden Sie unter Sichern und Wiederherstellen der Registrierung in Windows.

  Active Directory-Domänenmitglieder und Domänencontroller, die sich in einer Domäne befinden, die über einen DNS-Namen mit einer einzigen Bezeichnung verfügt, müssen in der Regel DNS-Einträge dynamisch in einer DNS-Zone mit einer Bezeichnung registrieren, die dem DNS-Namen dieser Domäne entspricht. Wenn eine Stammdomäne der Active Directory-Gesamtstruktur einen DNS-Namen mit einer Bezeichnung aufweist, müssen alle Domänencontroller in dieser Gesamtstruktur in der Regel DNS-Einträge dynamisch in einer DNS-Zone mit einer Bezeichnung registrieren, die dem DNS-Namen des Gesamtstrukturstamms entspricht.

  Standardmäßig versuchen Windows-basierte DNS-Clientcomputer keine dynamischen Updates der Stammzone "." oder von DNS-Zonen mit einer Bezeichnung. Führen Sie die folgenden Schritte aus, um Windows-basierte DNS-Clientcomputer zum Testen dynamischer Updates einer DNS-Zone mit einer bezeichnungsbasierten DNS-Zone zu aktivieren:

  1. Wählen Sie "Start" aus, wählen Sie "Ausführen", geben Sie "regedit" ein, und wählen Sie dann "OK" aus.

  2. Suchen Und wählen Sie dann den folgenden Unterschlüssel aus: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DnsCache\Parameters

  3. Suchen Sie im Detailbereich den Eintrag "UpdateTopLevelDomainZones ". Wenn der Eintrag "UpdateTopLevelDomainZones" nicht vorhanden ist, führen Sie die folgenden Schritte aus:

     1. Zeigen Sie im Menü Bearbeiten auf Neu und wählen Sie dann DWORD-Wert.
     2. Geben Sie "UpdateTopLevelDomainZones " als Eintragsnamen ein, und drücken Sie dann die EINGABETASTE.

  4. Doppelklicken Sie auf den Eintrag "UpdateTopLevelDomainZones" .

  5. Geben Sie im Feld "Wert" "1" ein, und wählen Sie dann "OK" aus.

  6. Beenden Sie den Registrierungs-Editor.

  Diese Konfigurationsänderungen sollten auf alle Domänencontroller und Mitglieder einer Domäne angewendet werden, die DNS-Namen mit einer Bezeichnung aufweisen. Wenn eine Domäne mit einem Domänennamen mit einer Bezeichnung ein Gesamtstrukturstamm ist, sollten diese Konfigurationsänderungen auf alle Domänencontroller in der Gesamtstruktur angewendet werden, es sei denn, die separaten Zonen _msdcs. ForestName, _sites. ForestName, _tcp. ForestName, and_udp. ForestName wird aus der ForestName-Zone delegiert.

  Damit die Änderungen wirksam werden, starten Sie die Computer neu, auf denen Sie die Registrierungseinträge geändert haben.

  Notiz

  • Für Windows Server 2003 und höhere Versionen wurde der Eintrag "UpdateTopLevelDomainZones" in den folgenden Registrierungsunterschlüssel verschoben:
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient
  • Auf einem Microsoft Windows 2000 SP4-basierten Domänencontroller meldet der Computer den folgenden Namenregistrierungsfehler im Systemereignisprotokoll, wenn die Einstellung "UpdateTopLevelDomainZones" nicht aktiviert ist:
  • Auf einem Windows 2000 SP4-basierten Domänencontroller müssen Sie den Computer neu starten, nachdem Sie die Einstellung "UpdateTopLevelDomainZones" hinzugefügt haben.

Methode 2: Verwenden von Gruppenrichtlinien

Verwenden Sie Gruppenrichtlinien, um die Richtlinie "Domänenzonen der obersten Ebene aktualisieren" und den Speicherort der DCs zu aktivieren, die eine Domäne mit einer einzelnen Bezeichnungs-DNS-Namensrichtlinie hosten, wie in der folgenden Tabelle unter dem Ordnerspeicherort im Stammdomänencontainer in Benutzern und Computern oder auf allen Organisationseinheiten (OUs), die Computerkonten für Mitgliedscomputer hosten, und für Domänencontroller in der Domäne.

Policy	Speicherort des Ordners
Aktualisieren der Domänenzonen der obersten Ebene	Computerkonfiguration\Administrative Vorlagen\Netzwerk\DNS-Client
Speicherort der DCs, die eine Domäne mit einem DNS-Namen mit einer Bezeichnung hosten	Computerkonfiguration\Administrative Vorlagen\System\Net Logon\DC Locator DNS-Einträge

Notiz

Diese Richtlinien werden nur auf Windows Server 2003-basierten Computern und auf Windows XP-basierten Computern unterstützt.

Führen Sie zum Aktivieren dieser Richtlinien die folgenden Schritte im Stammdomänencontainer aus:

1. Wählen Sie "Start", wählen Sie "Ausführen", geben Sie "gpedit.msc" ein, und wählen Sie dann "OK" aus.
2. Erweitern Sie unter "Richtlinie für den lokalen Computer" die Computerkonfiguration.
3. Erweitern Sie administrative Vorlagen.
4. Aktivieren Sie die Richtlinie "Domänenzonen der obersten Ebene aktualisieren". Führen Sie dazu die folgenden Schritte aus:
   1. Netzwerk erweitern.
   2. Wählen Sie DNS-Client aus.
   3. Doppelklicken Sie im Detailbereich auf "Domänenzonen der obersten Ebene aktualisieren".
   4. Wählen Sie Aktiviert.
   5. Klicken Sie auf Apply (Anwenden) und dann auf OK.
5. Aktivieren Sie den Speicherort der DCs, die eine Domäne mit einer DNS-Namensrichtlinie mit einer Bezeichnung hosten. Gehen Sie hierzu folgendermaßen vor:
   1. System erweitern.
   2. Erweitern Sie die Net-Anmeldung.
   3. Wählen Sie DC Locator-DNS-Einträge aus.
   4. Doppelklicken Sie im Detailbereich auf "Speicherort" der DCs, die eine Domäne mit einem DNS-Namen mit einer Bezeichnung hosten.
   5. Wählen Sie Aktiviert.
   6. Klicken Sie auf Apply (Anwenden) und dann auf OK.
6. Gruppenrichtlinie beenden.

Stellen Sie auf Dns-Servern unter Windows Server 2003 und höher sicher, dass Stammserver nicht unbeabsichtigt erstellt werden.

Auf Windows 2000-basierten DNS-Servern müssen Sie möglicherweise die Stammzone "." löschen, damit die DNS-Einträge ordnungsgemäß deklariert werden. Die Stammzone wird automatisch erstellt, wenn der DNS-Serverdienst installiert wird, da der DNS-Serverdienst die Stammhinweise nicht erreichen kann. Dieses Problem wurde in späteren Versionen von Windows behoben.

Stammserver können vom DCpromo-Assistenten erstellt werden. Wenn die Zone "." vorhanden ist, wurde ein Stammserver erstellt. Damit die Namensauflösung ordnungsgemäß funktioniert, müssen Sie diese Zone möglicherweise entfernen.

Neue und geänderte DNS-Richtlinieneinstellungen für Windows Server 2003 und höhere Versionen

• Die Richtlinie für Domänenzonen der obersten Ebene aktualisieren

  Wenn diese Richtlinie angegeben ist, wird ein REG_DWORD UpdateTopLevelDomainZones Eintrag unter dem folgenden Registrierungsunterschlüssel erstellt: HKLM\Software\Policies\Microsoft\Windows NT\DNSClient
  Im Folgenden sind die Eintragswerte für UpdateTopLevelDomainZones: - Aktiviert (0x1). Eine 0x1 Einstellung bedeutet, dass Computer möglicherweise versuchen, die TopLevelDomain-Zonen zu aktualisieren. Wenn die UpdateTopLevelDomainZones Einstellung aktiviert ist, senden Computer, auf die diese Richtlinie angewendet wird, dynamische Updates an jede Zone, die autoritativ für die Ressourceneinträge ist, die der Computer aktualisieren muss, mit Ausnahme der Stammzone. - Deaktiviert (0x0). Eine 0x0 Einstellung bedeutet, dass Computer nicht versuchen dürfen, die TopLevelDomain-Zonen zu aktualisieren. Wenn diese Einstellung deaktiviert ist, senden Computer, auf die diese Richtlinie angewendet wird, keine dynamischen Updates an die Stammzone oder an die Domänenzonen der obersten Ebene, die autoritativ für die Ressourceneinträge sind, die der Computer aktualisieren muss. Wenn diese Einstellung nicht konfiguriert ist, wird die Richtlinie nicht auf Computer angewendet, und Computer verwenden ihre lokale Konfiguration.

• Die Richtlinie "PTR-Datensätze registrieren"

  Ein neuer möglicher Wert 0x2 des REG_DWORD RegisterReverseLookup Eintrags wurde unter dem folgenden Registrierungsunterschlüssel hinzugefügt:
  HKLM\Software\Policies\Microsoft\Windows NT\DNSClient

  Im Folgenden sind die Eintragswerte für RegisterReverseLookup: - 0x2 aufgeführt. Registrieren Sie sich nur, wenn die Registrierung von "A"-Datensätzen erfolgreich ist. Computer versuchen, die Registrierung von PTR-Ressourceneinträgen nur zu implementieren, wenn sie die entsprechenden "A"-Ressourceneinträge erfolgreich registriert haben. - 0x1. Registrieren. Computer versuchen, PTR-Ressourceneinträge zu implementieren Registrierung, unabhängig vom Erfolg der Registrierung von "A"-Datensätzen. - 0x0. Registrieren Sie sich nicht. Computer versuchen niemals, die Registrierung von PTR-Ressourceneinträgen zu implementieren.

References

• Planung von DNS-Namespaces

• Die DNS-Serverrolle kann beim Hinzufügen eines Domänencontrollers zu einer vorhandenen Active Directory-Domäne nicht ausgewählt werden.

• ADMT-Leitfaden: Migrieren und Neustrukturieren von Active Directory-Domänen

• Active Directory-Migrationstool (ADMT)-Leitfaden: Migrieren und Umstrukturierung von Active Directory-Domäne