Partager via

Déploiement et opération de domaines Active Directory configurés à l’aide de noms DNS à étiquette unique

  • Article

Cet article contient des informations sur le déploiement et l’opération des domaines Active Directory (AD) configurés à l’aide de noms DNS à étiquette unique.

Numéro de base de connaissances d’origine : 300684

Résumé

La suppression de la configuration du domaine d’étiquette unique est une raison fréquente de renommer un domaine. Les informations de compatibilité des applications de cet article s’appliquent à tous les scénarios dans lesquels vous pouvez envisager de renommer un domaine.

Pour les raisons suivantes, la meilleure pratique consiste à créer de nouveaux domaines Active Directory qui ont des noms DNS complets :

  • Les noms DNS à étiquette unique ne peuvent pas être inscrits à l’aide d’un bureau d’enregistrement Internet.

  • Les ordinateurs clients et les contrôleurs de domaine joints à des domaines à étiquette unique nécessitent une configuration supplémentaire pour inscrire dynamiquement des enregistrements DNS dans des zones DNS à étiquette unique.

  • Les ordinateurs clients et les contrôleurs de domaine peuvent nécessiter une configuration supplémentaire pour résoudre les requêtes DNS dans des zones DNS à étiquette unique.

  • Certaines applications basées sur un serveur ne sont pas compatibles avec les noms de domaine à étiquette unique. La prise en charge de l’application peut ne pas exister dans la version initiale d’une application, ou la prise en charge peut être supprimée dans une version ultérieure.

  • La transition d’un nom de domaine DNS à étiquette unique vers un nom DNS complet n’est pas triviale et se compose de deux options. Migrez des utilisateurs, des ordinateurs, des groupes et d’autres états vers une nouvelle forêt. Ou effectuez un renommage de domaine du domaine existant. Certaines applications basées sur un serveur ne sont pas compatibles avec la fonctionnalité de renommage de domaine prise en charge dans Windows Server 2003 et les contrôleurs de domaine plus récents. Ces incompatibilités bloquent la fonctionnalité de renommage du domaine ou rendent plus difficile l’utilisation de la fonctionnalité de renommage de domaine lorsque vous essayez de renommer un nom DNS à étiquette unique en nom de domaine complet.

  • L’Assistant Installation d’Active Directory (Dcpromo.exe) dans Windows Server 2008 vous avertit de la création de nouveaux domaines qui ont des noms DNS à étiquette unique. Étant donné qu’il n’existe aucune raison professionnelle ou technique de créer de nouveaux domaines qui ont des noms DNS à étiquette unique, l’Assistant Installation d’Active Directory dans Windows Server 2008 R2 bloque explicitement la création de ces domaines.

Voici quelques exemples d’applications incompatibles avec le changement de nom de domaine, mais qui ne sont pas limités aux produits suivants :

  • Microsoft Exchange 2000 Server
  • Microsoft Exchange Server 2007
  • Microsoft Exchange Server 2010
  • Microsoft Exchange Server 2013
  • Microsoft Internet Security and Acceleration (ISA) Server 2004
  • Microsoft Live Communications Server 2005
  • Microsoft Operations Manager 2005
  • Microsoft SharePoint Portal Server 2003
  • Microsoft Systems Management Server (SMS) 2003
  • Microsoft Office Communications Server 2007
  • Microsoft Office Communications Server 2007 R2
  • Microsoft System Center Operations Manager 2007 SP1
  • Microsoft System Center Operations Manager 2007 R2
  • Microsoft Lync Server 2010
  • Microsoft Lync Server 2013

Plus d’informations

Les noms de domaine Active Directory recommandés sont constitués d’un ou plusieurs sous-domaines combinés à un domaine de niveau supérieur séparé par un caractère point (« . »). Voici quelques exemples :

  • contoso.com
  • corp.contoso.com

Les noms à étiquette unique se composent d’un mot unique comme « contoso ».

Le domaine de niveau supérieur occupe l’étiquette la plus à droite dans un nom de domaine. Les domaines de niveau supérieur courants sont les suivants :

  • .com
  • .net
  • .org
  • Domaines de niveau supérieur du code de pays à deux lettres (ccTLD) tels que .nz

Les noms de domaine Active Directory doivent se composer de deux étiquettes ou plus pour le système d’exploitation actuel et futur, ainsi que pour l’expérience et la fiabilité des applications.

Les requêtes de domaine de niveau supérieur non valides signalées par le Comité consultatif sur la sécurité et la stabilité de l’ICANN sont disponibles dans les requêtes de domaine de niveau supérieur non valides au niveau racine du système de noms de domaine.

Inscription de noms DNS auprès d’un bureau d’enregistrement Internet

Nous vous recommandons d’inscrire des noms DNS pour les espaces de noms DNS les plus internes et externes les plus hauts auprès d’un bureau d’enregistrement Internet. Ce qui inclut le domaine racine de forêt de toutes les forêts Active Directory, sauf si ces noms sont des sous-domaines de noms DNS inscrits par le nom de votre organisation (par exemple, le domaine racine de forêt « corp.example.com » est un sous-domaine d’un espace de noms interne « example.com ». Lorsque vous inscrivez vos noms DNS auprès d’un bureau d’enregistrement Internet, cela permet aux serveurs DNS Internet de résoudre votre domaine maintenant ou à un moment donné pendant la durée de vie de votre forêt Active Directory. Et cette inscription permet d’éviter les collisions de noms possibles par d’autres organisations.

Symptômes possibles lorsque les clients ne peuvent pas inscrire dynamiquement des enregistrements DNS dans une zone de recherche vers une seule étiquette

Si vous utilisez un nom DNS à étiquette unique dans votre environnement, les clients peuvent ne pas pouvoir inscrire dynamiquement des enregistrements DNS dans une zone de recherche vers l’avant d’étiquette unique. Les symptômes spécifiques varient en fonction de la version de Microsoft Windows installée.

La liste suivante décrit les symptômes qui peuvent se produire :

  • Après avoir configuré Microsoft Windows pour un nom de domaine d’étiquette unique, tous les serveurs disposant du rôle contrôleur de domaine peuvent ne pas pouvoir inscrire d’enregistrements DNS. Le journal système du contrôleur de domaine peut journaliser de manière cohérente les avertissements NETLOGON 5781 qui ressemblent à l’exemple suivant :

    Note

    Le code d’état 0000232a correspond au code d’erreur suivant :

    DNS_ERROR_RCODE_SERVER_FAILURE

  • Les codes d’état et les codes d’erreur supplémentaires suivants peuvent apparaître dans des fichiers journaux tels que Netdiag.log :

    Code d’erreur DNS : 0x0000251D = DNS_INFO_NO_RECORDS
    DNS_ERROR_RCODE_ERROR
    RCODE_SERVER_FAILURE

  • Les ordinateurs Windows configurés pour les mises à jour dynamiques DNS ne s’inscrivent pas dans un domaine à étiquette unique. Les événements d’avertissement qui ressemblent aux exemples suivants sont enregistrés dans le journal système de l’ordinateur :

Comment permettre aux clients Windows d’effectuer des requêtes et des mises à jour dynamiques avec des zones DNS à étiquette unique

Par défaut, Windows n’envoie pas de mises à jour aux domaines de niveau supérieur. Toutefois, vous pouvez modifier ce comportement à l’aide de l’une des méthodes décrites dans cette section. Utilisez l’une des méthodes suivantes pour permettre aux clients Windows d’effectuer des mises à jour dynamiques vers des zones DNS à étiquette unique.

En outre, sans modification, un membre de domaine Active Directory dans une forêt qui ne contient aucun domaine dont les noms DNS à étiquette unique n’utilisent pas le service serveur DNS pour localiser les contrôleurs de domaine dans les domaines qui ont des noms DNS à étiquette unique qui se trouvent dans d’autres forêts. L’accès client aux domaines qui ont des noms DNS à étiquette unique échoue si la résolution de noms NetBIOS n’est pas configurée correctement.

Méthode 1 : Utiliser l’éditeur de Registre

  • Configuration du localisateur de contrôleur de domaine pour Windows XP Professionnel et versions ultérieures de Windows

    Important

    Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, vérifiez que vous suivez ces étapes attentivement. Pour une protection supplémentaire, sauvegardez le Registre avant de le modifier. Ensuite, vous pouvez restaurer le Registre si un problème se produit. Pour plus d’informations, consultez Comment sauvegarder et restaurer le Registre dans Windows.

    Sur un ordinateur Windows, un membre de domaine Active Directory nécessite une configuration supplémentaire pour prendre en charge les noms DNS à étiquette unique pour les domaines. Plus précisément, le localisateur de contrôleurs de domaine sur le membre de domaine Active Directory n’utilise pas le service de serveur DNS pour localiser les contrôleurs de domaine dans un domaine qui a un nom DNS à étiquette unique, sauf si ce membre de domaine Active Directory est joint à une forêt contenant au moins un domaine, et ce domaine a un nom DNS à étiquette unique.

    Pour permettre à un membre de domaine Active Directory d’utiliser DNS pour localiser les contrôleurs de domaine dans les domaines qui ont des noms DNS à étiquette unique qui se trouvent dans d’autres forêts, procédez comme suit :

    1. Sélectionnez Démarrer, sélectionner Exécuter, taper regedit, puis OK.

    2. Recherchez, puis sélectionnez la sous-clé suivante : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

    3. Dans le volet d’informations, recherchez l’entrée AllowSingleLabelDnsDomain . Si l’entrée AllowSingleLabelDnsDomain n’existe pas, procédez comme suit :

      1. Dans le menu Édition, pointez sur Nouveau, puis sélectionnez Valeur DWORD.
      2. Tapez AllowSingleLabelDnsDomain comme nom d’entrée, puis appuyez sur Entrée.

    4. Double-cliquez sur l’entrée AllowSingleLabelDnsDomain .

    5. Dans la zone de données Valeur, tapez 1, puis sélectionnez OK.

    6. Quittez l’Éditeur du Registre.

  • Configuration du client DNS

    Important

    Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, vérifiez que vous suivez ces étapes attentivement. Pour une protection supplémentaire, sauvegardez le Registre avant de le modifier. Ensuite, vous pouvez restaurer le Registre si un problème se produit. Pour plus d’informations, consultez Comment sauvegarder et restaurer le Registre dans Windows.

    Les membres du domaine Active Directory et les contrôleurs de domaine qui se trouvent dans un domaine qui possède un nom DNS à étiquette unique doivent généralement inscrire dynamiquement des enregistrements DNS dans une zone DNS à étiquette unique qui correspond au nom DNS de ce domaine. Si un domaine racine de forêt Active Directory a un nom DNS à étiquette unique, tous les contrôleurs de domaine de cette forêt doivent généralement inscrire dynamiquement des enregistrements DNS dans une zone DNS à étiquette unique qui correspond au nom DNS de la racine de forêt.

    Par défaut, les ordinateurs clients DNS windows ne tentent pas de mises à jour dynamiques de la zone racine « » ou des zones DNS à étiquette unique. Pour permettre aux ordinateurs clients DNS Windows d’essayer des mises à jour dynamiques d’une zone DNS à étiquette unique, procédez comme suit :

    1. Sélectionnez Démarrer, sélectionner Exécuter, taper regedit, puis OK.

    2. Recherchez, puis sélectionnez la sous-clé suivante : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DnsCache\Parameters

    3. Dans le volet d’informations, recherchez l’entrée UpdateTopLevelDomainZones . Si l’entrée UpdateTopLevelDomainZones n’existe pas, procédez comme suit :

      1. Dans le menu Édition, pointez sur Nouveau, puis sélectionnez Valeur DWORD.
      2. Tapez UpdateTopLevelDomainZones comme nom d’entrée, puis appuyez sur Entrée.

    4. Double-cliquez sur l’entrée UpdateTopLevelDomainZones .

    5. Dans la zone de données Valeur, tapez 1, puis sélectionnez OK.

    6. Quittez l’Éditeur du Registre.

    Ces modifications de configuration doivent être appliquées à tous les contrôleurs de domaine et aux membres d’un domaine qui ont des noms DNS à étiquette unique. Si un domaine qui a un nom de domaine à étiquette unique est une racine de forêt, ces modifications de configuration doivent être appliquées à tous les contrôleurs de domaine de la forêt, sauf si les zones distinctes _msdcs. ForestName, _sites. ForestName, _tcp. ForestName, and_udp. ForestName est délégué à partir de la zone ForestName.

    Pour que les modifications prennent effet, redémarrez les ordinateurs où vous avez modifié les entrées du Registre.

    Note

    • Pour Windows Server 2003 et versions ultérieures, l’entrée UpdateTopLevelDomainZones a été déplacée vers la sous-clé de Registre suivante :
      HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient
    • Sur un contrôleur de domaine basé sur Microsoft Windows 2000 SP4, l’ordinateur signale l’erreur d’inscription de nom suivante dans le journal des événements système si le paramètre UpdateTopLevelDomainZones n’est pas activé :
    • Sur un contrôleur de domaine Windows 2000 SP4, vous devez redémarrer votre ordinateur après avoir ajouté le paramètre UpdateTopLevelDomainZones.

Méthode 2 : Utiliser la stratégie de groupe

Utilisez la stratégie de groupe pour activer la stratégie Mettre à jour les zones de domaine de niveau supérieur et l’emplacement des contrôleurs de domaine hébergeant un domaine avec une stratégie de nom DNS d’étiquette unique, comme spécifié dans le tableau suivant, sous l’emplacement du dossier sur le conteneur de domaine racine dans les utilisateurs et les ordinateurs, ou sur toutes les unités d’organisation qui hébergent des comptes d’ordinateurs membres, et pour les contrôleurs de domaine dans le domaine.

Stratégie Emplacement du dossier
Mettre à jour les zones de domaine de niveau supérieur Configuration ordinateur\Modèles d’administration\Réseau\Client DNS
Emplacement des contrôleurs de domaine hébergeant un domaine avec un nom DNS d’étiquette unique Configuration ordinateur\Modèles d’administration\System\Net Logon\DC Locator DNS Records

Note

Ces stratégies sont prises en charge uniquement sur les ordinateurs Windows Server 2003 et sur les ordinateurs Windows XP.

Pour activer ces stratégies, procédez comme suit sur le conteneur de domaine racine :

  1. Sélectionnez Démarrer, sélectionnez Exécuter, tapez gpedit.msc, puis OK.
  2. Sous Stratégie d’ordinateur local, développez Configuration de l’ordinateur.
  3. Développez les modèles d’administration.
  4. Activez la stratégie Mettre à jour les zones de domaine de niveau supérieur. Pour ce faire, procédez comme suit :
    1. Développez Réseau.
    2. Sélectionnez Client DNS.
    3. Dans le volet d’informations, double-cliquez sur Mettre à jour les zones de domaine de niveau supérieur.
    4. Sélectionnez Activé.
    5. Sélectionnez Apply (Appliquer), puis OK.
  5. Activez l’emplacement des contrôleurs de domaine hébergeant un domaine avec une stratégie de nom DNS d’étiquette unique. Pour cela, procédez comme suit :
    1. Développez System.
    2. Développez Net Logon.
    3. Sélectionnez Enregistrements DNS du localisateur de contrôleur de domaine.
    4. Dans le volet d’informations, double-cliquez sur Emplacement des contrôleurs de domaine hébergeant un domaine avec un nom DNS d’étiquette unique.
    5. Sélectionnez Activé.
    6. Sélectionnez Apply (Appliquer), puis OK.
  6. Quittez la stratégie de groupe.

Sur les serveurs DNS basés sur Windows Server 2003 et versions ultérieures, assurez-vous que les serveurs racines ne sont pas créés involontairement.

Sur les serveurs DNS windows 2000, vous devrez peut-être supprimer la zone racine « ». Pour que les enregistrements DNS soient correctement déclarés. La zone racine est créée automatiquement lorsque le service de serveur DNS est installé, car le service de serveur DNS ne peut pas atteindre les indicateurs racines. Ce problème a été corrigé dans les versions ultérieures de Windows.

Les serveurs racines peuvent être créés par l’Assistant DCpromo. Si la zone « » existe, un serveur racine a été créé. Pour que la résolution de noms fonctionne correctement, vous devrez peut-être supprimer cette zone.

Paramètres de stratégie DNS nouveaux et modifiés pour Windows Server 2003 et versions ultérieures

  • Stratégie Mettre à jour les zones de domaine de niveau supérieur

    Si cette stratégie est spécifiée, elle crée une REG_DWORD UpdateTopLevelDomainZones entrée sous la sous-clé de Registre suivante : HKLM\Software\Policies\Microsoft\Windows NT\DNSClient
    Voici les valeurs d’entrée pour UpdateTopLevelDomainZones: - Activé (0x1). Un paramètre 0x1 signifie que les ordinateurs peuvent essayer de mettre à jour les zones TopLevelDomain. Autrement dit, si le UpdateTopLevelDomainZones paramètre est activé, les ordinateurs auxquels cette stratégie est appliquée envoient des mises à jour dynamiques à toute zone faisant autorité pour les enregistrements de ressources que l’ordinateur doit mettre à jour, à l’exception de la zone racine. - Désactivé (0x0). Un paramètre 0x0 signifie que les ordinateurs ne sont pas autorisés à essayer de mettre à jour les zones TopLevelDomain. Autrement dit, si ce paramètre est désactivé, les ordinateurs auxquels cette stratégie est appliquée n’envoient pas de mises à jour dynamiques à la zone racine ou aux zones de domaine de niveau supérieur faisant autorité pour les enregistrements de ressources que l’ordinateur doit mettre à jour. Si ce paramètre n’est pas configuré, la stratégie n’est appliquée à aucun ordinateur et les ordinateurs utilisent leur configuration locale.

  • Stratégie Inscrire les enregistrements PTR

    Une nouvelle valeur possible, 0x2, de l’entrée REG_DWORD RegisterReverseLookup a été ajoutée sous la sous-clé de Registre suivante :
    HKLM\Software\Policies\Microsoft\Windows NT\DNSClient

    Voici les valeurs d’entrée pour RegisterReverseLookup: - 0x2. Inscrivez-vous uniquement si l’enregistrement d’enregistrement « A » réussit. Les ordinateurs tentent d’implémenter l’inscription des enregistrements de ressources PTR uniquement s’ils ont correctement inscrit les enregistrements de ressources « A » correspondants. - 0x1. S’inscrire. Les ordinateurs tentent d’implémenter l’inscription des enregistrements de ressources PTR, quel que soit le succès de l’inscription des enregistrements « A ». - 0x0. Ne vous inscrivez pas. Les ordinateurs n’essaient jamais d’implémenter l’inscription des enregistrements de ressources PTR.

References