単一ラベルの DNS 名を使用して構成された Active Directory ドメインの展開と操作
この記事には、単一ラベルの DNS 名を使用して構成された Active Directory (AD) ドメインの展開と操作に関する情報が含まれています。
元の KB 番号: 300684
まとめ
単一ラベル ドメイン構成を削除することが、ドメインの名前を変更する理由としてよくある理由です。 この記事のアプリケーション互換性情報は、ドメイン名の変更を検討するすべてのシナリオに適用されます。
次の理由から、ベスト プラクティスは、完全修飾 DNS 名を持つ新しい Active Directory ドメインを作成することです。
インターネット レジストラーを使用して単一ラベルの DNS 名を登録することはできません。
単一ラベル ドメインに参加しているクライアント コンピューターとドメイン コントローラーでは、単一ラベルの DNS ゾーンに DNS レコードを動的に登録するための追加の構成が必要です。
クライアント コンピューターとドメイン コントローラーでは、単一ラベルの DNS ゾーンで DNS クエリを解決するために追加の構成が必要になる場合があります。
一部のサーバー ベースのアプリケーションは、単一ラベルドメイン名と互換性がありません。 アプリケーションのサポートがアプリケーションの初期リリースに存在しないか、サポートが将来のリリースで削除される可能性があります。
単一ラベルの DNS ドメイン名から完全修飾 DNS 名への切り替えは簡単ではありません。2 つのオプションで構成されます。 ユーザー、コンピューター、グループ、およびその他の状態を新しいフォレストに読み込みます。 または、既存のドメインのドメイン名を変更します。 一部のサーバー ベースのアプリケーションは、Windows Server 2003 以降のドメイン コントローラーでサポートされているドメイン名の変更機能と互換性がありません。 これらの非互換性により、ドメイン名の変更機能がブロックされるか、単一ラベルの DNS 名の名前を完全修飾ドメイン名に変更しようとすると、ドメイン名の変更機能の使用がより困難になります。
Windows Server 2008 の Active Directory インストール ウィザード (Dcpromo.exe) では、単一ラベルの DNS 名を持つ新しいドメインの作成に対して警告が表示されます。 単一ラベルの DNS 名を持つ新しいドメインを作成するビジネス上または技術的な理由がないため、Windows Server 2008 R2 の Active Directory インストール ウィザードでは、このようなドメインの作成が明示的にブロックされます。
ドメイン名の変更と互換性のないアプリケーションの例には、次の製品が含まれますが、これらに限定されません。
- Microsoft Exchange 2000 Server
- Microsoft Exchange Server 2007
- Microsoft Exchange Server 2010
- Microsoft Exchange Server 2013
- Microsoft Internet Security and Acceleration (ISA) Server 2004
- Microsoft Live Communications Server 2005
- Microsoft Operations Manager 2005
- Microsoft SharePoint Portal Server 2003
- Microsoft Systems Management Server (SMS) 2003
- Microsoft Office Communications Server 2007
- Microsoft Office Communications Server 2007 R2
- Microsoft System Center Operations Manager 2007 SP1
- Microsoft System Center Operations Manager 2007 R2
- Microsoft Lync Server 2010
- Microsoft Lync Server 2013
詳細
ベスト プラクティスの Active Directory ドメイン名は、ドット文字 (".") で区切られた最上位ドメインと組み合わされた 1 つ以上のサブドメインで構成されます。 次に例をいくつか示します。
- contoso.com
- corp.contoso.com
単一ラベル名は、"contoso" のような 1 つの単語で構成されます。
最上位ドメインは、ドメイン名の右端のラベルを占有します。 一般的な最上位ドメインは次のとおりです。
- .com
- .net
- .org
- .nz などの 2 文字の国コードトップレベル ドメイン (ccTLD)
Active Directory ドメイン名は、現在および将来のオペレーティング システムとアプリケーションのエクスペリエンスと信頼性のために、2 つ以上のラベルで構成されている必要があります。
ICANN セキュリティおよび安定性アドバイザリ 委員会によって報告された無効な最上位ドメイン クエリは、ドメイン ネーム システムのルート レベルの Invalid Top Level Domain Queries にあります。
インターネット レジストラーへの DNS 名の登録
インターネット レジストラーを使用して、最上位の内部および外部の DNS 名前空間の DNS 名を登録することをお勧めします。 組織名で登録されている DNS 名のサブドメインでない限り、Active Directory フォレストのフォレスト ルート ドメインが含まれます (たとえば、フォレスト ルート ドメイン "corp.example.com" は内部の "example.com" 名前空間のサブドメインです)。インターネット レジストラーに DNS 名を登録すると、インターネット DNS サーバーは現在、または Active Directory フォレストの有効期間中のある時点でドメインを解決できます。 また、この登録は、他の組織による名前の競合の可能性を防ぐのに役立ちます。
クライアントが単一ラベルの前方参照ゾーンに DNS レコードを動的に登録できない場合に発生する可能性のある現象
環境内で単一ラベルの DNS 名を使用する場合、クライアントは単一ラベルの前方参照ゾーンに DNS レコードを動的に登録できないことがあります。 特定の症状は、インストールされている Microsoft Windows のバージョンによって異なります。
次の一覧では、発生する可能性がある症状について説明します。
1 つのラベル ドメイン名に対して Microsoft Windows を構成した後、ドメイン コントローラーの役割を持つすべてのサーバーが DNS レコードを登録できない可能性があります。 ドメイン コントローラーのシステム ログでは、次の例のような NETLOGON 5781 の警告が一貫してログに記録されることがあります。
Note
状態コード 0000232a は、次のエラー コードにマップされます。
DNS_ERROR_RCODE_SERVER_FAILURE
次の追加の状態コードとエラー コードは、Netdiag.logなどのログ ファイルに表示される場合があります。
DNS エラー コード: 0x0000251D = DNS_INFO_NO_RECORDS
DNS_ERROR_RCODE_ERROR
RCODE_SERVER_FAILUREDNS 動的更新用に構成されている Windows ベースのコンピューターは、単一ラベル ドメインに登録されません。 次の例のような警告イベントは、コンピューターのシステム ログに記録されます。
Windows ベースのクライアントが単一ラベルの DNS ゾーンを使用してクエリと動的更新を実行できるようにする方法
既定では、Windows は最上位ドメインに更新プログラムを送信しません。 ただし、このセクションで説明するいずれかの方法を使用して、この動作を変更できます。 Windows ベースのクライアントが単一ラベルの DNS ゾーンに対して動的更新を実行できるようにするには、次のいずれかの方法を使用します。
また、変更を加えずに、単一ラベルの DNS 名を持つドメインを含まないフォレスト内の Active Directory ドメイン メンバーは、DNS サーバー サービスを使用して、他のフォレストにある単一ラベルの DNS 名を持つドメイン内のドメイン コントローラーを検索しません。 NetBIOS の名前解決が正しく構成されていない場合、単一ラベルの DNS 名を持つドメインへのクライアント アクセスは失敗します。
方法 1: レジストリ エディターを使用する
Windows XP Professional 以降のバージョンの Windows のドメイン コントローラー ロケーター構成
重要
このセクション、方法、またはタスクには、レジストリの編集方法が記載されています。 レジストリを誤って変更すると、深刻な問題が発生することがあります。 したがって、次の手順を注意深く実行してください。 保護のために、レジストリを変更する前に、バックアップします。 その後、問題が起こった場合は、レジストリを復元できます。 詳細については、「 Windows でレジストリをバックアップおよび復元する方法を参照してください。
Windows ベースのコンピューターでは、Active Directory ドメイン メンバーは、ドメインの単一ラベル DNS 名をサポートするための追加の構成を必要とします。 具体的には、Active Directory ドメイン メンバーのドメイン コントローラー ロケーターは、少なくとも 1 つのドメインを含むフォレストに Active Directory ドメイン メンバーが参加していて、このドメインに単一ラベルの DNS 名がない限り、単一ラベルの DNS 名を持つドメイン内のドメイン コントローラーを検索するために DNS サーバー サービスを使用しません。
Active Directory ドメイン メンバーが DNS を使用して、他のフォレストにある単一ラベルの DNS 名を持つドメイン内のドメイン コントローラーを検索できるようにするには、次の手順に従います。
Start を選択し、Run を選択し、「regedit」と入力して、OK を選択します。
次のサブキーを見つけて選択します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters詳細ウィンドウで、 AllowSingleLabelDnsDomain エントリを見つけます。 AllowSingleLabelDnsDomain エントリが存在しない場合は、次の手順に従います。
- [編集] メニューの [新規] をポイントし、[DWORD 値] をクリックします。
- エントリ名として「 AllowSingleLabelDnsDomain 」と入力し、 ENTER キーを押します。
AllowSingleLabelDnsDomain エントリをダブルクリックします。
[ 値データ ボックスに「1」と入力し、 OKを選択します。
レジストリ エディターを終了します。
DNS クライアントの構成
重要
このセクション、方法、またはタスクには、レジストリの編集方法が記載されています。 レジストリを誤って変更すると、深刻な問題が発生することがあります。 したがって、次の手順を注意深く実行してください。 保護のために、レジストリを変更する前に、バックアップします。 その後、問題が起こった場合は、レジストリを復元できます。 詳細については、「 Windows でレジストリをバックアップおよび復元する方法を参照してください。
通常、単一ラベルの DNS 名を持つドメイン内の Active Directory ドメイン メンバーとドメイン コントローラーは、そのドメインの DNS 名と一致する単一ラベルの DNS ゾーンに DNS レコードを動的に登録する必要があります。 Active Directory フォレスト ルート ドメインに単一ラベルの DNS 名がある場合、通常、そのフォレスト内のすべてのドメイン コントローラーは、フォレスト ルートの DNS 名と一致する単一ラベルの DNS ゾーンに DNS レコードを動的に登録する必要があります。
既定では、Windows ベースの DNS クライアント コンピューターでは、ルート ゾーン "." または単一ラベルの DNS ゾーンの動的更新は試行されません。 Windows ベースの DNS クライアント コンピューターが単一ラベル DNS ゾーンの動的更新を試せるようにするには、次の手順に従います。
Start を選択し、Run を選択し、「regedit」と入力して、OK を選択します。
次のサブキーを見つけて選択します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DnsCache\Parameters詳細ウィンドウで、 UpdateTopLevelDomainZones エントリを見つけます。 UpdateTopLevelDomainZones エントリが存在しない場合は、次の手順に従います。
- [編集] メニューの [新規] をポイントし、[DWORD 値] をクリックします。
- エントリ名として UpdateTopLevelDomainZones を入力し、 ENTER キーを押します。
UpdateTopLevelDomainZones エントリをダブルクリックします。
[ 値データ ボックスに「1」と入力し、 OKを選択します。
レジストリ エディターを終了します。
これらの構成の変更は、単一ラベルの DNS 名を持つドメインのすべてのドメイン コントローラーとメンバーに適用する必要があります。 単一ラベルのドメイン名を持つドメインがフォレスト ルートである場合、個別のゾーンが_msdcsしない限り、これらの構成変更はフォレスト内のすべてのドメイン コントローラーに適用する必要があります。 ForestName、_sites。 ForestName、_tcp。 ForestName、and_udp。 ForestName は、 ForestName ゾーンから委任されます。
変更を有効にするには、レジストリ エントリを変更したコンピューターを再起動します。
Note
- Windows Server 2003 以降のバージョンの場合、UpdateTopLevelDomainZones エントリは次のレジストリ サブキーに移動しました。
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient - Microsoft Windows 2000 SP4 ベースのドメイン コントローラーでは、UpdateTopLevelDomainZones 設定が有効になっていない場合、コンピューターはシステム イベント ログに次の名前登録エラーを報告します。
- Windows 2000 SP4 ベースのドメイン コントローラーでは、UpdateTopLevelDomainZones 設定を追加した後、コンピューターを再起動する必要があります。
方法 2: グループ ポリシーを使用する
グループ ポリシーを使用して、ユーザーとコンピューターのルート ドメイン コンテナーのフォルダーの場所、またはメンバー コンピューターのコンピューター アカウントをホストするすべての組織単位 (OU) で、次の表に示すように、単一ラベルの DNS 名ポリシーでドメインをホストしているドメインの更新トップ レベル ドメイン ゾーン ポリシーと場所を有効にします。 およびドメイン内のドメイン コントローラー用。
| ポリシー | フォルダーの場所 |
|---|---|
| 最上位レベルのドメイン ゾーンを更新する | コンピューターの構成\管理用テンプレート\Network\DNS クライアント |
| 単一ラベルの DNS 名を持つドメインをホストしている DC の場所 | Computer Configuration\Administrative Templates\System\Net Logon\DC Locator DNS Records |
Note
これらのポリシーは、Windows Server 2003 ベースのコンピューターと Windows XP ベースのコンピューターでのみサポートされます。
これらのポリシーを有効にするには、ルート ドメイン コンテナーで次の手順を実行します。
- Start を選択し、Run を選択し、「gpedit.msc」と入力して、OK を選択します。
- ローカル コンピューター ポリシーで、Computer の構成を展開します。
- Administrative Templates を展開します。
- [最上位ドメイン ゾーンの更新] ポリシーを有効にします。 これを行うには、次の手順に従います。
- Network を展開します。
- DNS クライアントを選択します。
- 詳細ウィンドウで、[最上位ドメイン ゾーンの更新をダブルクリックします。
- [有効] を選択します。
- [Apply]\(適用\) を選択し、次に [OK] を選択します。
- 単一ラベルの DNS 名ポリシーを使用してドメインをホストしている DC の場所を有効にします。 これを行うには、次の手順に従います。
- System を展開します。
- [ Net ログオンを展開します。
- [
DC ロケーター DNS レコード を選択します。 - 詳細ウィンドウで、ドメインをホストしている DC の [1 つのラベルの DNS 名を持つ DC の割り当てをダブルクリックします。
- [有効] を選択します。
- [Apply]\(適用\) を選択し、次に [OK] を選択します。
- グループ ポリシーを終了します。
Windows Server 2003 ベース以降のバージョンの DNS サーバーでは、ルート サーバーが意図せずに作成されていないことを確認します。
Windows 2000 ベースの DNS サーバーでは、DNS レコードが正しく宣言されるように、ルート ゾーン "." を削除する必要がある場合があります。 DNS サーバー サービスがルート ヒントに到達できないため、DNS サーバー サービスがインストールされると、ルート ゾーンが自動的に作成されます。 この問題は、新しいバージョンの Windows で修正されました。
ルート サーバーは、DCpromo ウィザードによって作成できます。 "." ゾーンが存在する場合は、ルート サーバーが作成されています。 名前解決が正しく機能するためには、このゾーンを削除する必要がある場合があります。
Windows Server 2003 以降のバージョンの新しい DNS ポリシー設定と変更された DNS ポリシー設定
最上位ドメイン ゾーンの更新ポリシー
このポリシーを指定すると、次のレジストリ サブキーの下に
REG_DWORD UpdateTopLevelDomainZonesエントリが作成されます。HKLM\Software\Policies\Microsoft\Windows NT\DNSClient
UpdateTopLevelDomainZones: - Enabled (0x1) のエントリ値を次に示します。 0x1設定は、コンピューターが TopLevelDomain ゾーンの更新を試みる可能性があることを意味します。 つまり、UpdateTopLevelDomainZones設定が有効になっている場合、このポリシーが適用されているコンピューターは、ルート ゾーンを除き、コンピューターが更新する必要があるリソース レコードに対して権限のあるゾーンに動的更新を送信します。 - 無効 (0x0)。 0x0設定は、コンピューターが TopLevelDomain ゾーンの更新を試みることができないことを意味します。 つまり、この設定が無効になっている場合、このポリシーが適用されているコンピューターは、ルート ゾーンまたはコンピューターが更新する必要があるリソース レコードに対して権限のある最上位ドメイン ゾーンに動的更新を送信しません。 この設定が構成されていない場合、ポリシーはどのコンピューターにも適用されず、コンピューターはローカル構成を使用します。登録 PTR レコード ポリシー
次のレジストリ サブキーの下に、
REG_DWORD RegisterReverseLookupエントリの新しい使用可能な値 (0x2) が追加されました。
HKLM\Software\Policies\Microsoft\Windows NT\DNSClientRegisterReverseLookupのエントリ値を次に示します。 - 0x2。 "A" レコードの登録が成功した場合にのみ登録します。 コンピューターは、対応する "A" リソース レコードを正常に登録した場合にのみ、PTR リソース レコードの登録を実装しようとします。 - 0x1。 登録。 コンピューターは、"A" レコード登録の成功に関係なく、PTR リソース レコードの登録を実装しようとします。 - 0x0。 登録しないでください。 コンピューターは、PTR リソース レコードの登録を実装しようとしません。