Implementación y funcionamiento de dominios de Active Directory configurados mediante nombres DNS de etiqueta única

Este artículo contiene información sobre la implementación y el funcionamiento de dominios de Active Directory (AD) configurados mediante nombres DNS de etiqueta única.

Número de KB original: 300684

Resumen

El deseo de quitar la configuración del dominio de etiqueta única es una razón frecuente para cambiar el nombre de un dominio. La información de compatibilidad de aplicaciones de este artículo se aplica a todos los escenarios en los que podría considerar cambiar el nombre de un dominio.

Por los siguientes motivos, el procedimiento recomendado es crear nuevos dominios de Active Directory que tengan nombres DNS completos:

• Los nombres DNS de etiqueta única no se pueden registrar mediante un registrador de Internet.

• Los equipos cliente y los controladores de dominio que están unidos a dominios de etiqueta única requieren una configuración adicional para registrar dinámicamente registros DNS en zonas DNS de etiqueta única.

• Los equipos cliente y los controladores de dominio pueden requerir configuración adicional para resolver consultas DNS en zonas DNS de etiqueta única.

• Algunas aplicaciones basadas en servidor no son compatibles con los nombres de dominio de una sola etiqueta. Es posible que la compatibilidad con aplicaciones no exista en la versión inicial de una aplicación o que la compatibilidad se quite en una versión futura.

• La transición de un nombre de dominio DNS de una sola etiqueta a un nombre DNS completo no es trivial y consta de dos opciones. Migre usuarios, equipos, grupos y otros estados a un nuevo bosque. O bien, realice un cambio de nombre de dominio del dominio existente. Algunas aplicaciones basadas en servidor no son compatibles con la característica de cambio de nombre de dominio compatible con Windows Server 2003 y controladores de dominio más recientes. Estas incompatibilidades bloquean la característica de cambio de nombre de dominio o hacen que el uso de la característica de cambio de nombre de dominio sea más difícil cuando intente cambiar el nombre de un nombre DNS de una sola etiqueta a un nombre de dominio completo.

• El Asistente para la instalación de Active Directory (Dcpromo.exe) en Windows Server 2008 advierte sobre la creación de nuevos dominios que tienen nombres DNS de etiqueta única. Dado que no hay ninguna razón empresarial o técnica para crear nuevos dominios que tengan nombres DNS de etiqueta única, el Asistente para instalación de Active Directory en Windows Server 2008 R2 bloquea explícitamente la creación de estos dominios.

Entre los ejemplos de aplicaciones que no son compatibles con el cambio de nombre de dominio se incluyen, entre otros, los siguientes productos:

• Microsoft Exchange 2000 Server
• Microsoft Exchange Server 2007
• Microsoft Exchange Server 2010
• Microsoft Exchange Server 2013
• Microsoft Internet Security and Acceleration (ISA) Server 2004
• Microsoft Live Communications Server 2005
• Microsoft Operations Manager 2005
• Microsoft SharePoint Portal Server 2003
• Microsoft Systems Management Server (SMS) 2003
• Microsoft Office Communications Server 2007
• Microsoft Office Communications Server 2007 R2
• Microsoft System Center Operations Manager 2007 SP1
• Microsoft System Center Operations Manager 2007 R2
• Microsoft Lync Server 2010
• Microsoft Lync Server 2013

Más información

Los nombres de dominio de Active Directory de procedimientos recomendados constan de uno o varios subdominios que se combinan con un dominio de nivel superior que está separado por un carácter de punto ("."). Los siguientes son algunos ejemplos:

• contoso.com
• corp.contoso.com

Los nombres de una sola etiqueta constan de una sola palabra como "contoso".

El dominio de nivel superior ocupa la etiqueta situada más a la derecha en un nombre de dominio. Entre los dominios comunes de nivel superior se incluyen los siguientes:

• .com
• .net
• .org
• Dominios de nivel superior de código de país de dos letras (ccTLD), como .nz

Los nombres de dominio de Active Directory deben constar de dos o más etiquetas para el sistema operativo actual y el futuro y para la experiencia y confiabilidad de la aplicación.

Las consultas de dominio de nivel superior no válidas notificadas por el Comité Asesor de Seguridad y Estabilidad de la ICANN se pueden encontrar en Consultas de dominio de nivel superior no válidas en el nivel raíz del sistema de nombres de dominio.

Registro de nombres DNS con un registrador de Internet

Se recomienda registrar nombres DNS para los espacios de nombres DNS internos y externos más importantes con un registrador de Internet. Lo que incluye el dominio raíz del bosque de cualquier bosque de Active Directory a menos que estos nombres sean subdominios de nombres DNS registrados por el nombre de la organización (por ejemplo, el dominio raíz del bosque "corp.example.com" es un subdominio de un espacio de nombres "example.com". interno). Al registrar los nombres DNS con un registrador de Internet, esto permite que los servidores DNS de Internet resuelvan su dominio ahora o en algún momento durante la vida útil del bosque de Active Directory. Además, este registro ayuda a evitar posibles colisiones de nombres por parte de otras organizaciones.

Posibles síntomas cuando los clientes no pueden registrar dinámicamente registros DNS en una zona de búsqueda directa de una sola etiqueta

Si usa un nombre DNS de etiqueta única en su entorno, es posible que los clientes no puedan registrar dinámicamente registros DNS en una zona de búsqueda directa de etiqueta única. Los síntomas específicos varían según la versión de Microsoft Windows instalada.

En la lista siguiente se describen los síntomas que pueden producirse:

• Después de configurar Microsoft Windows para un solo nombre de dominio de etiqueta, es posible que todos los servidores que tengan el rol de controlador de dominio no puedan registrar registros DNS. El registro del sistema del controlador de dominio puede registrar constantemente advertencias de NETLOGON 5781 que se parezcan al ejemplo siguiente:

  Nota:

  El código de estado 0000232a se asigna al código de error siguiente:

  DNS_ERROR_RCODE_SERVER_FAILURE

• Los siguientes códigos de estado adicionales y códigos de error pueden aparecer en archivos de registro como Netdiag.log:

  Código de error de DNS: 0x0000251D = DNS_INFO_NO_RECORDS
  DNS_ERROR_RCODE_ERROR
  RCODE_SERVER_FAILURE

• Los equipos basados en Windows configurados para las actualizaciones dinámicas de DNS no se registrarán en un dominio de etiqueta única. Los eventos de advertencia similares a los ejemplos siguientes se registran en el registro del sistema del equipo:

Habilitación de clientes basados en Windows para realizar consultas y actualizaciones dinámicas con zonas DNS de etiqueta única

De forma predeterminada, Windows no envía actualizaciones a dominios de nivel superior. Sin embargo, puede cambiar este comportamiento mediante uno de los métodos que se describen en esta sección. Use uno de los métodos siguientes para permitir que los clientes basados en Windows realicen actualizaciones dinámicas en zonas DNS de etiqueta única.

Además, sin modificaciones, un miembro de dominio de Active Directory en un bosque que no contiene ningún dominio que tenga nombres DNS de etiqueta única no usa el servicio servidor DNS para buscar controladores de dominio en dominios que tengan nombres DNS de etiqueta única que estén en otros bosques. Se produce un error en el acceso de cliente a los dominios que tienen nombres DNS de etiqueta única si la resolución de nombres NetBIOS no está configurada correctamente.

Método 1: Usar el Editor del Registro

• Configuración del localizador de controladores de dominio para Windows XP Professional y versiones posteriores de Windows

  Importante

  Esta sección, método o tarea contiene pasos que le indican cómo modificar el Registro. No obstante, pueden producirse problemas graves si modifica el registro de manera incorrecta. Por lo tanto, asegúrese de que sigue estos pasos con atención. Para la protección añadida, realice una copia de seguridad del Registro antes de modificarlo. A continuación, puede restaurar el Registro si se produce un problema. Para obtener más información, vea Cómo realizar una copia de seguridad y restaurar el registro en Windows.

  En un equipo basado en Windows, un miembro de dominio de Active Directory requiere configuración adicional para admitir nombres DNS de etiqueta única para dominios. En concreto, el localizador de controladores de dominio del miembro de dominio de Active Directory no usa el servicio de servidor DNS para buscar controladores de dominio en un dominio que tenga un nombre DNS de etiqueta única a menos que el miembro de dominio de Active Directory esté unido a un bosque que contenga al menos un dominio y este dominio tenga un nombre DNS de etiqueta única.

  Para permitir que un miembro de dominio de Active Directory use DNS para buscar controladores de dominio en dominios que tienen nombres DNS de etiqueta única que se encuentran en otros bosques, siga estos pasos:

  1. Seleccione Inicio, seleccione Ejecutar, escriba regedit y, a continuación, seleccione Aceptar.

  2. Busque y, a continuación, seleccione la subclave siguiente: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  3. En el panel de detalles, busque la entrada AllowSingleLabelDnsDomain . Si la entrada AllowSingleLabelDnsDomain no existe, siga estos pasos:

     1. En el menú Editar, seleccione Nuevo y a continuación, Valor DWORD.
     2. Escriba AllowSingleLabelDnsDomain como nombre de entrada y presione ENTRAR.

  4. Haga doble clic en la entrada AllowSingleLabelDnsDomain .

  5. En el cuadro Datos de valor , escriba 1 y, a continuación, seleccione Aceptar.

  6. Salga del Editor del Registro.

• Configuración del cliente DNS

  Importante

  Esta sección, método o tarea contiene pasos que le indican cómo modificar el Registro. No obstante, pueden producirse problemas graves si modifica el registro de manera incorrecta. Por lo tanto, asegúrese de que sigue estos pasos con atención. Para la protección añadida, realice una copia de seguridad del Registro antes de modificarlo. A continuación, puede restaurar el Registro si se produce un problema. Para obtener más información, vea Cómo realizar una copia de seguridad y restaurar el registro en Windows.

  Los miembros del dominio de Active Directory y los controladores de dominio que están en un dominio que tienen un nombre DNS de etiqueta única normalmente deben registrar dinámicamente registros DNS en una zona DNS de etiqueta única que coincida con el nombre DNS de ese dominio. Si un dominio raíz del bosque de Active Directory tiene un nombre DNS de etiqueta única, todos los controladores de dominio de ese bosque normalmente deben registrar dinámicamente registros DNS en una zona DNS de una sola etiqueta que coincida con el nombre DNS de la raíz del bosque.

  De forma predeterminada, los equipos cliente DNS basados en Windows no intentan actualizaciones dinámicas de la zona raíz "." ni de zonas DNS de etiqueta única. Para habilitar los equipos cliente DNS basados en Windows para probar las actualizaciones dinámicas de una zona DNS de una sola etiqueta, siga estos pasos:

  1. Seleccione Inicio, seleccione Ejecutar, escriba regedit y, a continuación, seleccione Aceptar.

  2. Busque y, a continuación, seleccione la subclave siguiente: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DnsCache\Parameters

  3. En el panel de detalles, busque la entrada UpdateTopLevelDomainZones . Si la entrada UpdateTopLevelDomainZones no existe, siga estos pasos:

     1. En el menú Editar, seleccione Nuevo y a continuación, Valor DWORD.
     2. Escriba UpdateTopLevelDomainZones como nombre de entrada y presione ENTRAR.

  4. Haga doble clic en la entrada UpdateTopLevelDomainZones .

  5. En el cuadro Datos de valor , escriba 1 y, a continuación, seleccione Aceptar.

  6. Salga del Editor del Registro.

  Estos cambios de configuración deben aplicarse a todos los controladores de dominio y miembros de un dominio que tengan nombres DNS de etiqueta única. Si un dominio que tiene un nombre de dominio de una sola etiqueta es una raíz del bosque, estos cambios de configuración se deben aplicar a todos los controladores de dominio del bosque, a menos que las zonas independientes _msdcs. ForestName, _sites. ForestName, _tcp. ForestName, and_udp. ForestName se delega desde la zona ForestName .

  Para que los cambios surtan efecto, reinicie los equipos en los que cambió las entradas del Registro.

  Nota:

  • Para Windows Server 2003 y versiones posteriores, la entrada UpdateTopLevelDomainZones se ha movido a la siguiente subclave del Registro:
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient
  • En un controlador de dominio basado en Microsoft Windows 2000 SP4, el equipo notificará el siguiente error de registro de nombres en el registro de eventos del sistema si la configuración UpdateTopLevelDomainZones no está habilitada:
  • En un controlador de dominio basado en Windows 2000 SP4, debe reiniciar el equipo después de agregar la configuración UpdateTopLevelDomainZones.

Método 2: Usar directiva de grupo

Use la directiva de grupo para habilitar la directiva Actualizar zonas de dominio de nivel superior y la ubicación de los controladores de dominio que hospedan un dominio con una sola directiva de nombre DNS de etiqueta única, tal como se especifica en la tabla siguiente, en la ubicación de la carpeta del contenedor de dominio raíz en Usuarios y equipos, o en todas las unidades organizativas (UO) que hospedan cuentas de equipo para equipos miembros, y para controladores de dominio en el dominio.

Directiva	Ubicación de la carpeta
Actualizar zonas de dominio de nivel superior	Configuración del equipo\Plantillas administrativas\Red\Cliente DNS
Ubicación de los controladores de dominio que hospedan un dominio con un nombre DNS de etiqueta única	Configuración del equipo\Plantillas administrativas\System\Net Logon\DC Locator DNS Records

Nota:

Estas directivas solo se admiten en equipos basados en Windows Server 2003 y en equipos basados en Windows XP.

Para habilitar estas directivas, siga estos pasos en el contenedor de dominio raíz:

1. Seleccione Inicio, seleccione Ejecutar, escriba gpedit.msc y, a continuación, seleccione Aceptar.
2. En Directiva de equipo local, expanda Configuración del equipo.
3. Expanda Plantillas administrativas.
4. Habilite la directiva Actualizar zonas de dominio de nivel superior. Para ello, siga estos pasos:
   1. Expanda Red.
   2. Seleccione Cliente DNS.
   3. En el panel de detalles, haga doble clic en Actualizar zonas de dominio de nivel superior.
   4. Seleccione Habilitado.
   5. Seleccione Aplicar y luego Aceptar.
5. Habilite la ubicación de los controladores de dominio que hospedan un dominio con una sola directiva de nombre DNS de etiqueta. Para ello, realice los pasos siguientes:
   1. Expanda Sistema.
   2. Expanda Inicio de sesión neto.
   3. Seleccione Dc Locator DNS Records (Registros DNS del localizador de controlador de dominio).
   4. En el panel de detalles, haga doble clic en Ubicación de los controladores de dominio que hospedan un dominio con un nombre DNS de etiqueta única.
   5. Seleccione Habilitado.
   6. Seleccione Aplicar y luego Aceptar.
6. Salga de la directiva de grupo.

En los servidores DNS basados en Windows Server 2003 y versiones posteriores, asegúrese de que los servidores raíz no se creen involuntariamente.

En los servidores DNS basados en Windows 2000, es posible que tenga que eliminar la zona raíz "." para que los registros DNS se declaren correctamente. La zona raíz se crea automáticamente cuando se instala el servicio del servidor DNS porque el servicio de servidor DNS no puede llegar a las sugerencias raíz. Este problema se corrigió en versiones posteriores de Windows.

El Asistente para DCpromo puede crear servidores raíz. Si existe la zona ".", se ha creado un servidor raíz. Para que la resolución de nombres funcione correctamente, es posible que tenga que quitar esta zona.

Configuración de directiva DNS nueva y modificada para Windows Server 2003 y versiones posteriores

• La directiva Actualizar zonas de dominio de nivel superior

  Si se especifica esta directiva, crea una REG_DWORD UpdateTopLevelDomainZones entrada en la siguiente subclave del Registro: HKLM\Software\Policies\Microsoft\Windows NT\DNSClient
  A continuación se muestran los valores de entrada para UpdateTopLevelDomainZones: - Habilitado (0x1). Una configuración de 0x1 significa que los equipos pueden intentar actualizar las zonas TopLevelDomain. Es decir, si la UpdateTopLevelDomainZones configuración está habilitada, los equipos a los que se aplica esta directiva envían actualizaciones dinámicas a cualquier zona que sea autoritativa para los registros de recursos que el equipo debe actualizar, excepto para la zona raíz. - Deshabilitado (0x0). Una configuración de 0x0 significa que los equipos no pueden intentar actualizar las zonas TopLevelDomain. Es decir, si esta configuración está deshabilitada, los equipos a los que se aplica esta directiva no envían actualizaciones dinámicas a la zona raíz o a las zonas de dominio de nivel superior que son autoritativas para los registros de recursos que el equipo debe actualizar. Si esta configuración no está configurada, la directiva no se aplica a ningún equipo y los equipos usan su configuración local.

• La directiva Registrar registros PTR

  Se agregó un nuevo valor posible, 0x2, de la REG_DWORD RegisterReverseLookup entrada en la siguiente subclave del Registro:
  HKLM\Software\Policies\Microsoft\Windows NT\DNSClient

  A continuación se muestran los valores de entrada para RegisterReverseLookup: - 0x2. Registre solo si el registro de registros "A" se realiza correctamente. Los equipos intentan implementar el registro de registros de recursos PTR solo si se registraron correctamente los registros de recursos "A" correspondientes. - 0x1. Registro. Los equipos intentan implementar el registro de registros de recursos PTR independientemente del éxito del registro de registros "A". - 0x0. No se registre. Los equipos nunca intentan implementar el registro de registros de recursos PTR.

Referencias

• Planeamiento del espacio de nombres DNS

• No se puede seleccionar el rol servidor DNS al agregar un controlador de dominio a un dominio de Active Directory existente

• Guía de ADMT: Migración y reestructuración de dominios de Active Directory

• Guía de la Herramienta de migración de Active Directory (ADMT): Migración y reestructuración de Dominio de Active Directory