Condividi tramite

Distribuzione e funzionamento dei domini di Active Directory configurati usando nomi DNS con etichetta singola

  • Articolo

Questo articolo contiene informazioni sulla distribuzione e sul funzionamento dei domini di Active Directory (AD) configurati usando nomi DNS con etichetta singola.

Numero KB originale: 300684

Riepilogo

L'intenzione di rimuovere la configurazione del dominio con etichetta singola è un motivo frequente per rinominare un dominio. Le informazioni sulla compatibilità delle applicazioni in questo articolo si applicano a tutti gli scenari in cui è possibile rinominare un dominio.

Per i motivi seguenti, è consigliabile creare nuovi domini di Active Directory con nomi DNS completi:

  • I nomi DNS con etichetta singola non possono essere registrati tramite un registrar Internet.

  • I computer client e i controller di dominio aggiunti a domini con etichetta singola richiedono una configurazione aggiuntiva per registrare dinamicamente i record DNS nelle zone DNS con etichetta singola.

  • I computer client e i controller di dominio possono richiedere una configurazione aggiuntiva per risolvere le query DNS nelle zone DNS con etichetta singola.

  • Alcune applicazioni basate su server non sono compatibili con nomi di dominio con etichetta singola. Il supporto dell'applicazione potrebbe non esistere nella versione iniziale di un'applicazione o il supporto potrebbe essere eliminato in una versione futura.

  • La transizione da un nome di dominio DNS con etichetta singola a un nome DNS completo non è semplice ed è costituita da due opzioni. Eseguire la migrazione di utenti, computer, gruppi e altri stati a una nuova foresta. In alternativa, eseguire una ridenominazione del dominio esistente. Alcune applicazioni basate su server non sono compatibili con la funzionalità di ridenominazione del dominio supportata in Windows Server 2003 e nei controller di dominio più recenti. Queste incompatibilità bloccano la funzionalità di ridenominazione del dominio o rendono più difficile l'uso della funzionalità di ridenominazione del dominio quando si tenta di rinominare un nome DNS con etichetta singola in un nome di dominio completo.

  • L'Installazione guidata di Active Directory (Dcpromo.exe) in Windows Server 2008 segnala la creazione di nuovi domini con nomi DNS con etichetta singola. Poiché non esistono motivi aziendali o tecnici per creare nuovi domini con nomi DNS con etichetta singola, l'Installazione guidata di Active Directory in Windows Server 2008 R2 blocca in modo esplicito la creazione di tali domini.

Esempi di applicazioni incompatibili con la ridenominazione del dominio includono, ad esempio, i prodotti seguenti:

  • Microsoft Exchange 2000 Server
  • Microsoft Exchange Server 2007
  • Microsoft Exchange Server 2010
  • Microsoft Exchange Server 2013
  • Microsoft Internet Security and Acceleration (ISA) Server 2004
  • Microsoft Live Communications Server 2005
  • Microsoft Operations Manager 2005
  • Microsoft SharePoint Portal Server 2003
  • Microsoft Systems Management Server (SMS) 2003
  • Microsoft Office Communications Server 2007
  • Microsoft Office Communications Server 2007 R2
  • Microsoft System Center Operations Manager 2007 SP1
  • Microsoft System Center Operations Manager 2007 R2
  • Microsoft Lync Server 2010
  • Microsoft Lync Server 2013

Ulteriori informazioni

I nomi di dominio active Directory consigliati sono costituiti da uno o più sottodomini combinati con un dominio di primo livello separato da un carattere punto ("."). Di seguito sono riportati alcuni esempi:

  • contoso.com
  • corp.contoso.com

I nomi con etichetta singola sono costituiti da una singola parola, ad esempio "contoso".

Il dominio di primo livello occupa l'etichetta più a destra in un nome di dominio. I domini di primo livello comuni includono quanto segue:

  • com.
  • .net
  • .org
  • Domini di primo livello (ccTLD) con codice paese di due lettere, ad esempio .nz

I nomi di dominio di Active Directory devono essere costituiti da due o più etichette per il sistema operativo corrente e futuro e per l'esperienza e l'affidabilità delle applicazioni.

Le query di dominio di primo livello non valide segnalate dal comitato consultivo per la sicurezza e la stabilità ICANN sono disponibili in Query di dominio di primo livello non valide a livello radice del sistema dei nomi di dominio.

Registrazione dei nomi DNS con un registrar Internet

È consigliabile registrare i nomi DNS per gli spazi dei nomi DNS più interni ed esterni con un registrar Internet. Che include il dominio radice della foresta di qualsiasi foresta Active Directory, a meno che tali nomi non siano sottodomini di nomi DNS registrati dal nome dell'organizzazione (ad esempio, il dominio radice della foresta "corp.example.com" è un sottodominio di uno spazio dei nomi interno "example.com". Quando si registrano i nomi DNS con un registrar Internet, questo consente ai server DNS Internet di risolvere il dominio ora o a un certo punto della vita della foresta Active Directory. Questa registrazione consente inoltre di evitare possibili conflitti di nomi da parte di altre organizzazioni.

Possibili sintomi quando i client non possono registrare dinamicamente i record DNS in una zona di ricerca diretta con etichetta singola

Se si usa un nome DNS con etichetta singola nell'ambiente, i client potrebbero non essere in grado di registrare dinamicamente i record DNS in una zona di ricerca con etichetta singola. I sintomi specifici variano in base alla versione di Microsoft Windows installata.

L'elenco seguente descrive i sintomi che possono verificarsi:

  • Dopo aver configurato Microsoft Windows per un nome di dominio con etichetta singola, tutti i server con ruolo controller di dominio potrebbero non essere in grado di registrare i record DNS. Il log di sistema del controller di dominio può registrare in modo coerente gli avvisi NETLOGON 5781 simili all'esempio seguente:

    Note

    Il codice di stato 0000232a viene mappato al codice di errore seguente:

    DNS_ERROR_RCODE_SERVER_FAILURE

  • I codici di stato e i codici di errore aggiuntivi seguenti possono essere visualizzati nei file di log, ad esempio Netdiag.log:

    Codice errore DNS: 0x0000251D = DNS_INFO_NO_RECORDS
    DNS_ERROR_RCODE_ERROR
    RCODE_SERVER_FAILURE

  • I computer basati su Windows configurati per gli aggiornamenti dinamici DNS non verranno registrati in un dominio con etichetta singola. Gli eventi di avviso simili agli esempi seguenti vengono registrati nel registro di sistema del computer:

Come consentire ai client basati su Windows di eseguire query e aggiornamenti dinamici con zone DNS con etichetta singola

Per impostazione predefinita, Windows non invia aggiornamenti ai domini di primo livello. Tuttavia, è possibile modificare questo comportamento usando uno dei metodi descritti in questa sezione. Usare uno dei metodi seguenti per consentire ai client basati su Windows di eseguire aggiornamenti dinamici alle zone DNS con etichetta singola.

Inoltre, senza modifiche, un membro di dominio Di Active Directory in una foresta che non contiene domini con nomi DNS con etichetta singola non usa il servizio server DNS per individuare i controller di dominio nei domini con nomi DNS con etichetta singola che si trovano in altre foreste. L'accesso client ai domini con nomi DNS con etichetta singola ha esito negativo se la risoluzione dei nomi NetBIOS non è configurata correttamente.

Metodo 1: Usare l'editor del Registro di sistema

  • Configurazione del localizzatore di controller di dominio per Windows XP Professional e versioni successive di Windows

    Importante

    In questa sezione, metodo o attività viene illustrata la procedura per modificare il Registro di sistema. Se, tuttavia, si modifica il Registro di sistema in modo errato, possono verificarsi gravi problemi. Pertanto, assicurarsi di osservare attentamente la procedura seguente. Per una maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. Successivamente, è possibile ripristinare il Registro di sistema se si verifica un problema. Per altre informazioni, vedere Come eseguire il backup e il ripristino del Registro di sistema in Windows.

    In un computer basato su Windows, un membro di dominio di Active Directory richiede una configurazione aggiuntiva per supportare nomi DNS con etichetta singola per i domini. In particolare, il localizzatore di controller di dominio nel membro di dominio Active Directory non usa il servizio server DNS per individuare i controller di dominio in un dominio con un nome DNS con etichetta singola, a meno che il membro del dominio Di Active Directory non sia aggiunto a una foresta contenente almeno un dominio e che questo dominio abbia un nome DNS con etichetta singola.

    Per consentire a un membro di dominio di Active Directory di usare DNS per individuare i controller di dominio nei domini con nomi DNS con etichetta singola presenti in altre foreste, seguire questa procedura:

    1. Selezionare Start, selezionare Esegui, digitare regedit e quindi selezionare OK.

    2. Individuare e quindi selezionare la sottochiave seguente: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

    3. Nel riquadro dei dettagli individuare la voce AllowSingleLabelDnsDomain . Se la voce AllowSingleLabelDnsDomain non esiste, seguire questa procedura:

      1. Scegliere Nuovo dal menu Modifica e quindi selezionare Valore DWORD.
      2. Digitare AllowSingleLabelDnsDomain come nome della voce e quindi premere INVIO.

    4. Fare doppio clic sulla voce AllowSingleLabelDnsDomain .

    5. Nella casella Dati valore digitare 1 e quindi selezionare OK.

    6. Uscire dall'editor del Registro di sistema.

  • Configurazione del client DNS

    Importante

    In questa sezione, metodo o attività viene illustrata la procedura per modificare il Registro di sistema. Se, tuttavia, si modifica il Registro di sistema in modo errato, possono verificarsi gravi problemi. Pertanto, assicurarsi di osservare attentamente la procedura seguente. Per una maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. Successivamente, è possibile ripristinare il Registro di sistema se si verifica un problema. Per altre informazioni, vedere Come eseguire il backup e il ripristino del Registro di sistema in Windows.

    I membri di dominio di Active Directory e i controller di dominio che si trovano in un dominio con un nome DNS con etichetta singola devono in genere registrare dinamicamente i record DNS in una zona DNS con etichetta singola che corrisponde al nome DNS di tale dominio. Se un dominio radice della foresta Active Directory ha un nome DNS con etichetta singola, tutti i controller di dominio in tale foresta devono in genere registrare dinamicamente i record DNS in una zona DNS con etichetta singola che corrisponde al nome DNS della radice della foresta.

    Per impostazione predefinita, i computer client DNS basati su Windows non tentano gli aggiornamenti dinamici della zona radice "." o delle zone DNS con etichetta singola. Per consentire ai computer client DNS basati su Windows di provare gli aggiornamenti dinamici di una zona DNS con etichetta singola, seguire questa procedura:

    1. Selezionare Start, selezionare Esegui, digitare regedit e quindi selezionare OK.

    2. Individuare e quindi selezionare la sottochiave seguente: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DnsCache\Parameters

    3. Nel riquadro dei dettagli individuare la voce UpdateTopLevelDomainZones . Se la voce UpdateTopLevelDomainZones non esiste, seguire questa procedura:

      1. Scegliere Nuovo dal menu Modifica e quindi selezionare Valore DWORD.
      2. Digitare UpdateTopLevelDomainZones come nome della voce e quindi premere INVIO.

    4. Fare doppio clic sulla voce UpdateTopLevelDomainZones .

    5. Nella casella Dati valore digitare 1 e quindi selezionare OK.

    6. Uscire dall'editor del Registro di sistema.

    Queste modifiche di configurazione devono essere applicate a tutti i controller di dominio e ai membri di un dominio con nomi DNS con etichetta singola. Se un dominio con un nome di dominio con etichetta singola è una radice della foresta, queste modifiche di configurazione devono essere applicate a tutti i controller di dominio nella foresta, a meno che le zone separate non _msdcs. ForestName, _sites. ForestName, _tcp. ForestName, and_udp. ForestName viene delegato dalla zona ForestName .

    Per rendere effettive le modifiche, riavviare i computer in cui sono state modificate le voci del Registro di sistema.

    Note

    • Per Windows Server 2003 e versioni successive, la voce UpdateTopLevelDomainZones è stata spostata nella seguente sottochiave del Registro di sistema:
      HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient
    • In un controller di dominio basato su Microsoft Windows 2000 SP4, il computer segnala l'errore di registrazione del nome seguente nel registro eventi di sistema se l'impostazione UpdateTopLevelDomainZones non è abilitata:
    • In un controller di dominio basato su Windows 2000 SP4 è necessario riavviare il computer dopo aver aggiunto l'impostazione UpdateTopLevelDomainZones.

Metodo 2: Usare Criteri di gruppo

Usare Criteri di gruppo per abilitare i criteri Aggiorna zone di dominio di primo livello e la posizione dei controller di dominio che ospitano un dominio con criteri nome DNS con etichetta singola come specificato nella tabella seguente nel percorso della cartella nel contenitore del dominio radice in Utenti e computer o in tutte le unità organizzative che ospitano account computer per i computer membri, e per i controller di dominio nel dominio.

Criteri Percorso della cartella
Aggiornare le zone di dominio di primo livello Configurazione computer\Modelli amministrativi\Rete\Client DNS
Posizione dei controller di dominio che ospitano un dominio con un nome DNS con etichetta singola Configurazione computer\Modelli amministrativi\System\Net Logon\DC Locator DNS Records

Note

Questi criteri sono supportati solo nei computer basati su Windows Server 2003 e nei computer basati su Windows XP.

Per abilitare questi criteri, seguire questa procedura nel contenitore del dominio radice:

  1. Selezionare Start, selezionare Esegui, digitare gpedit.msc e quindi selezionare OK.
  2. In Criteri computer locali espandere Configurazione computer.
  3. Espandere Modelli amministrativi.
  4. Abilitare il criterio Aggiorna zone di dominio di primo livello. A tale scopo, seguire questa procedura:
    1. Espandere Rete.
    2. Selezionare Client DNS.
    3. Nel riquadro dei dettagli fare doppio clic su Aggiorna zone di dominio di primo livello.
    4. Selezionare Enabled.
    5. Selezionare Apply (Applica) e quindi OK.
  5. Abilitare la posizione dei controller di dominio che ospitano un dominio con criteri di nome DNS con etichetta singola. A tale scopo, effettuare le operazioni seguenti:
    1. Espandere Sistema.
    2. Espandere Accesso rete.
    3. Selezionare Dc Locator DNS Records (Record DNS del localizzatore DC).
    4. Nel riquadro dei dettagli fare doppio clic su Posizione dei controller di dominio che ospitano un dominio con nome DNS con etichetta singola.
    5. Selezionare Enabled.
    6. Selezionare Apply (Applica) e quindi OK.
  6. Uscire da Criteri di gruppo.

Nei server DNS basati su Windows Server 2003 e versioni successive assicurarsi che i server radice non vengano creati involontariamente.

Nei server DNS basati su Windows 2000 potrebbe essere necessario eliminare la zona radice "." per fare in modo che i record DNS siano dichiarati correttamente. La zona radice viene creata automaticamente quando viene installato il servizio server DNS perché il servizio server DNS non riesce a raggiungere gli hint radice. Questo problema è stato corretto nelle versioni successive di Windows.

I server radice possono essere creati dalla Procedura guidata DCpromo. Se la zona "." esiste, è stato creato un server radice. Per il corretto funzionamento della risoluzione dei nomi, potrebbe essere necessario rimuovere questa zona.

Impostazioni dei criteri DNS nuove e modificate per Windows Server 2003 e versioni successive

  • Criteri Aggiorna zone di dominio di primo livello

    Se si specifica questo criterio, viene creata una REG_DWORD UpdateTopLevelDomainZones voce nella sottochiave del Registro di sistema seguente: HKLM\Software\Policies\Microsoft\Windows NT\DNSClient
    Di seguito sono riportati i valori di voce per UpdateTopLevelDomainZones: - Abilitato (0x1). Un'impostazione 0x1 indica che i computer possono provare ad aggiornare le zone TopLevelDomain. Ovvero, se l'impostazione UpdateTopLevelDomainZones è abilitata, i computer a cui viene applicato questo criterio inviano aggiornamenti dinamici a qualsiasi zona autorevole per i record di risorse che il computer deve aggiornare, ad eccezione della zona radice. - Disabilitato (0x0). Un'impostazione 0x0 indica che i computer non sono autorizzati a provare ad aggiornare le zone TopLevelDomain. Ovvero, se questa impostazione è disabilitata, i computer a cui viene applicato questo criterio non inviano aggiornamenti dinamici alla zona radice o alle zone di dominio di primo livello autorevoli per i record di risorse che il computer deve aggiornare. Se questa impostazione non è configurata, i criteri non vengono applicati ad alcun computer e i computer usano la configurazione locale.

  • Criterio Registra record PTR

    Nella sottochiave del Registro di sistema seguente è stato aggiunto un nuovo valore, 0x2, della REG_DWORD RegisterReverseLookup voce:
    HKLM\Software\Policies\Microsoft\Windows NT\DNSClient

    Di seguito sono riportati i valori di voce per RegisterReverseLookup: - 0x2. Registra solo se la registrazione del record "A" ha esito positivo. I computer tentano di implementare la registrazione dei record di risorse PTR solo se hanno registrato correttamente i record di risorse "A" corrispondenti. - 0x1. Eseguire la registrazione. I computer tentano di implementare la registrazione dei record di risorse PTR indipendentemente dall'esito positivo della registrazione dei record "A". - 0x0. Non registrare. I computer non tentano mai di implementare la registrazione dei record di risorse PTR.

Riferimenti