Udostępnij za pośrednictwem

Wdrażanie i działanie domen usługi Active Directory skonfigurowanych przy użyciu nazw DNS z jedną etykietą

  • Artykuł

Ten artykuł zawiera informacje o wdrażaniu i działaniu domen usługi Active Directory (AD), które są konfigurowane przy użyciu nazw DNS z pojedynczą etykietą.

Oryginalny numer KB: 300684

Podsumowanie

Usunięcie konfiguracji domeny z pojedynczą etykietą jest częstą przyczyną zmiany nazwy domeny. Informacje o zgodności aplikacji w tym artykule dotyczą wszystkich scenariuszy, w których można rozważyć zmianę nazwy domeny.

Z następujących powodów najlepszym rozwiązaniem jest utworzenie nowych domen usługi Active Directory, które mają w pełni kwalifikowane nazwy DNS:

  • Nie można zarejestrować nazw DNS z jedną etykietą przy użyciu rejestratora internetowego.

  • Komputery klienckie i kontrolery domeny przyłączone do domen z pojedynczą etykietą wymagają dodatkowej konfiguracji w celu dynamicznego rejestrowania rekordów DNS w strefach DNS z pojedynczą etykietą.

  • Komputery klienckie i kontrolery domeny mogą wymagać dodatkowej konfiguracji w celu rozpoznawania zapytań DNS w strefach DNS z pojedynczą etykietą.

  • Niektóre aplikacje oparte na serwerze są niezgodne z nazwami domen z pojedynczą etykietą. Obsługa aplikacji może nie istnieć w początkowej wersji aplikacji lub pomoc techniczna może zostać porzucona w przyszłej wersji.

  • Przejście z nazwy domeny DNS z jedną etykietą do w pełni kwalifikowanej nazwy DNS nie jest trywialne i składa się z dwóch opcji. Migrowanie użytkowników, komputerów, grup i innych stanów do nowego lasu. Możesz też zmienić nazwę domeny istniejącej domeny. Niektóre aplikacje oparte na serwerze są niezgodne z funkcją zmiany nazwy domeny obsługiwaną w systemie Windows Server 2003 i nowszych kontrolerach domeny. Te niezgodności blokują funkcję zmiany nazwy domeny lub utrudniają korzystanie z funkcji zmiany nazwy domeny podczas próby zmiany nazwy dns z jedną etykietą na w pełni kwalifikowaną nazwę domeny.

  • Kreator instalacji usługi Active Directory (Dcpromo.exe) w systemie Windows Server 2008 ostrzega przed tworzeniem nowych domen, które mają nazwy DNS z jedną etykietą. Ponieważ nie ma powodu biznesowego ani technicznego do tworzenia nowych domen, które mają nazwy DNS z jedną etykietą, Kreator instalacji usługi Active Directory w systemie Windows Server 2008 R2 jawnie blokuje tworzenie takich domen.

Przykłady aplikacji, które są niezgodne z zmianą nazwy domeny, obejmują, ale nie są ograniczone do następujących produktów:

  • Microsoft Exchange 2000 Server
  • Microsoft Exchange Server 2007
  • Microsoft Exchange Server 2010
  • Microsoft Exchange Server 2013
  • Microsoft Internet Security and Acceleration (ISA) Server 2004
  • Microsoft Live Communications Server 2005
  • Microsoft Operations Manager 2005
  • Microsoft SharePoint Portal Server 2003
  • Microsoft Systems Management Server (SMS) 2003
  • Microsoft Office Communications Server 2007
  • Microsoft Office Communications Server 2007 R2
  • Microsoft System Center Operations Manager 2007 SP1
  • Microsoft System Center Operations Manager 2007 R2
  • Microsoft Lync Server 2010
  • Microsoft Lync Server 2013

Więcej informacji

Najlepsze rozwiązanie Nazw domen usługi Active Directory składa się z co najmniej jednej poddomeny połączonej z domeną najwyższego poziomu oddzieloną znakiem kropkowym ("."). Oto kilka przykładów:

  • contoso.com
  • corp.contoso.com

Nazwy z pojedynczą etykietą składają się z jednego słowa, takiego jak "contoso".

Domena najwyższego poziomu zajmuje najbardziej odpowiednią etykietę w nazwie domeny. Typowe domeny najwyższego poziomu obejmują następujące elementy:

  • com.
  • .sieć
  • .Org
  • Dwuliterowe domeny kodu kraju najwyższego poziomu (ccTLD), takie jak .nz

Nazwy domen usługi Active Directory powinny składać się z co najmniej dwóch etykiet dla bieżącego i przyszłego systemu operacyjnego oraz środowiska i niezawodności aplikacji.

Nieprawidłowe zapytania domeny najwyższego poziomu zgłaszane przez komitet doradczy dotyczący zabezpieczeń i stabilności ICANN można znaleźć w sekcji Nieprawidłowe zapytania domeny najwyższego poziomu na poziomie głównym systemu nazw domen.

Rejestracja nazw DNS u rejestratora internetowego

Zalecamy zarejestrowanie nazw DNS dla najbardziej wewnętrznych i zewnętrznych przestrzeni nazw DNS u rejestratora internetowego. Obejmuje to domenę główną lasu dowolnego lasu usługi Active Directory, chyba że takie nazwy są domenami podrzędnymi nazw DNS zarejestrowanych przez nazwę organizacji (na przykład domena główna lasu "corp.example.com" jest poddomeną wewnętrznej przestrzeni nazw "example.com". Podczas rejestrowania nazw DNS u rejestratora internetowego umożliwia to serwerom DNS w Internecie rozpoznawanie domeny teraz lub w pewnym momencie w ciągu życia lasu usługi Active Directory. Ponadto ta rejestracja pomaga zapobiec ewentualnym kolizjom nazw przez inne organizacje.

Możliwe objawy, gdy klienci nie mogą dynamicznie rejestrować rekordów DNS w strefie wyszukiwania z jedną etykietą

Jeśli w środowisku używasz nazwy DNS z pojedynczą etykietą, klienci mogą nie być w stanie dynamicznie rejestrować rekordów DNS w strefie wyszukiwania do przodu z jedną etykietą. Konkretne objawy różnią się w zależności od zainstalowanej wersji systemu Microsoft Windows.

Na poniższej liście opisano objawy, które mogą wystąpić:

  • Po skonfigurowaniu systemu Microsoft Windows dla nazwy domeny z jedną etykietą wszystkie serwery z rolą kontrolera domeny mogą nie być w stanie zarejestrować rekordów DNS. Dziennik systemu kontrolera domeny może stale rejestrować ostrzeżenia NETLOGON 5781 podobne do następującego przykładu:

    Uwaga 16.

    Kod stanu 0000232a mapuje na następujący kod błędu:

    DNS_ERROR_RCODE_SERVER_FAILURE

  • Następujące dodatkowe kody stanu i kody błędów mogą być wyświetlane w plikach dziennika, takich jak Netdiag.log:

    Kod błędu DNS: 0x0000251D = DNS_INFO_NO_RECORDS
    DNS_ERROR_RCODE_ERROR
    RCODE_SERVER_FAILURE

  • Komputery z systemem Windows skonfigurowane na potrzeby aktualizacji dynamicznych DNS nie będą rejestrowane w domenie z pojedynczą etykietą. Zdarzenia ostrzegawcze podobne do następujących przykładów są rejestrowane w dzienniku systemowym komputera:

Jak umożliwić klientom opartym na systemie Windows wykonywanie zapytań i aktualizacji dynamicznych przy użyciu stref DNS z pojedynczą etykietą

Domyślnie system Windows nie wysyła aktualizacji do domen najwyższego poziomu. Można jednak zmienić to zachowanie przy użyciu jednej z metod opisanych w tej sekcji. Użyj jednej z poniższych metod, aby umożliwić klientom opartym na systemie Windows wykonywanie aktualizacji dynamicznych w strefach DNS z pojedynczą etykietą.

Ponadto bez modyfikacji element członkowski domeny usługi Active Directory w lesie, który nie zawiera domen, które mają nazwy DNS o pojedynczej etykiecie, nie używa usługi serwera DNS do lokalizowania kontrolerów domeny w domenach, które mają nazwy DNS o pojedynczej etykiecie, które znajdują się w innych lasach. Dostęp klienta do domen, które mają nazwy DNS z jedną etykietą, kończy się niepowodzeniem, jeśli rozpoznawanie nazw NetBIOS nie jest poprawnie skonfigurowane.

Metoda 1. Korzystanie z edytora rejestru

  • Konfiguracja lokalizatora kontrolera domeny dla systemu Windows XP Professional i nowszych wersji systemu Windows

    Ważne

    W tej sekcji, metodzie lub w tym zadaniu podano informacje dotyczące modyfikowania rejestru. Niepoprawne zmodyfikowanie rejestru może jednak być przyczyną poważnych problemów. Dlatego należy uważnie wykonać poniższe kroki. Aby zapewnić dodatkową ochronę, utwórz kopię zapasową rejestru przed przystąpieniem do jego modyfikacji. Dzięki temu będzie można przywrócić rejestr w przypadku wystąpienia problemu. Aby uzyskać więcej informacji, zobacz Jak utworzyć kopię zapasową i przywrócić rejestr w systemie Windows.

    Na komputerze z systemem Windows element członkowski domeny usługi Active Directory wymaga dodatkowej konfiguracji do obsługi nazw DNS z jedną etykietą dla domen. W szczególności lokalizator kontrolera domeny w elemencie członkowskim domeny usługi Active Directory nie używa usługi serwera DNS do lokalizowania kontrolerów domeny w domenie, która ma nazwę DNS o pojedynczej etykiecie, chyba że element członkowski domeny usługi Active Directory jest przyłączony do lasu, który zawiera co najmniej jedną domenę, a ta domena ma nazwę DNS o pojedynczej etykiecie.

    Aby umożliwić członkowi domeny usługi Active Directory używanie systemu DNS do lokalizowania kontrolerów domeny w domenach, które mają nazwy DNS z jedną etykietą, które znajdują się w innych lasach, wykonaj następujące kroki:

    1. Wybierz pozycję Start, wybierz pozycję Uruchom, wpisz regedit, a następnie wybierz przycisk OK.

    2. Znajdź i wybierz następujący podklucz: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

    3. W okienku szczegółów znajdź wpis AllowSingleLabelDnsDomain . Jeśli wpis AllowSingleLabelDnsDomain nie istnieje, wykonaj następujące kroki:

      1. W menu Edycja wskaż polecenie Nowy, a następnie wybierz pozycję Wartość DWORD.
      2. Wpisz AllowSingleLabelDnsDomain jako nazwę wpisu, a następnie naciśnij ENTER.

    4. Kliknij dwukrotnie wpis AllowSingleLabelDnsDomain.

    5. W polu Dane wartości wpisz 1, a następnie wybierz przycisk OK.

    6. Zamknij Edytor rejestru.

  • Konfiguracja klienta DNS

    Ważne

    W tej sekcji, metodzie lub w tym zadaniu podano informacje dotyczące modyfikowania rejestru. Niepoprawne zmodyfikowanie rejestru może jednak być przyczyną poważnych problemów. Dlatego należy uważnie wykonać poniższe kroki. Aby zapewnić dodatkową ochronę, utwórz kopię zapasową rejestru przed przystąpieniem do jego modyfikacji. Dzięki temu będzie można przywrócić rejestr w przypadku wystąpienia problemu. Aby uzyskać więcej informacji, zobacz Jak utworzyć kopię zapasową i przywrócić rejestr w systemie Windows.

    Elementy członkowskie domeny usługi Active Directory i kontrolery domeny, które znajdują się w domenie, która ma nazwę DNS o pojedynczej etykiecie, zwykle musi dynamicznie rejestrować rekordy DNS w strefie DNS z jedną etykietą, która odpowiada nazwie DNS tej domeny. Jeśli domena główna lasu usługi Active Directory ma nazwę DNS z jedną etykietą, wszystkie kontrolery domeny w tym lesie zazwyczaj muszą dynamicznie rejestrować rekordy DNS w strefie DNS z jedną etykietą, która odpowiada nazwie DNS katalogu głównego lasu.

    Domyślnie komputery klienckie DNS oparte na systemie Windows nie próbują aktualizacji dynamicznych strefy głównej "." ani stref DNS z jedną etykietą. Aby umożliwić komputerom klienckim DNS z systemem Windows wypróbowanie aktualizacji dynamicznych strefy DNS z pojedynczą etykietą, wykonaj następujące kroki:

    1. Wybierz pozycję Start, wybierz pozycję Uruchom, wpisz regedit, a następnie wybierz przycisk OK.

    2. Znajdź i wybierz następujący podklucz: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DnsCache\Parameters

    3. W okienku szczegółów znajdź wpis UpdateTopLevelDomainZones . Jeśli wpis UpdateTopLevelDomainZones nie istnieje, wykonaj następujące kroki:

      1. W menu Edycja wskaż polecenie Nowy, a następnie wybierz pozycję Wartość DWORD.
      2. Wpisz UpdateTopLevelDomainZones jako nazwę wpisu, a następnie naciśnij ENTER.

    4. Kliknij dwukrotnie wpis UpdateTopLevelDomainZones.

    5. W polu Dane wartości wpisz 1, a następnie wybierz przycisk OK.

    6. Zamknij Edytor rejestru.

    Te zmiany konfiguracji należy zastosować do wszystkich kontrolerów domeny i członków domeny, które mają nazwy DNS z pojedynczą etykietą. Jeśli domena z nazwą domeny z jedną etykietą jest katalogiem głównym lasu, te zmiany konfiguracji należy zastosować do wszystkich kontrolerów domeny w lesie, chyba że oddzielne strefy _msdcs. ForestName, _sites. ForestName, _tcp. ForestName, and_udp. Nazwa lasu jest delegowana ze strefy ForestName.

    Aby zmiany zaczęły obowiązywać, uruchom ponownie komputery, na których zmieniono wpisy rejestru.

    Uwaga 16.

    • W przypadku systemu Windows Server 2003 i nowszych wersji wpis UpdateTopLevelDomainZones został przeniesiony do następującego podklucza rejestru:
      HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient
    • Na kontrolerze domeny opartym na systemie Microsoft Windows 2000 z dodatkiem SP4 komputer zgłosi następujący błąd rejestracji nazwy w dzienniku zdarzeń systemu, jeśli ustawienie UpdateTopLevelDomainZones nie jest włączone:
    • Na kontrolerze domeny z systemem Windows 2000 z dodatkiem SP4 należy ponownie uruchomić komputer po dodaniu ustawienia UpdateTopLevelDomainZones.

Metoda 2. Używanie zasad grupy

Użyj zasad grupy, aby włączyć zasady Aktualizuj strefy domeny najwyższego poziomu i Lokalizacja kontrolerów domeny hostujących domenę z jedną etykietą zasady nazw DNS, jak określono w poniższej tabeli w lokalizacji folderu w głównym kontenerze domeny w użytkownicy i komputery, lub na wszystkich jednostkach organizacyjnych hostujących konta komputerów członkowskich, i dla kontrolerów domeny w domenie.

Zasady Lokalizacja folderu
Aktualizowanie stref domeny najwyższego poziomu Konfiguracja komputera\Szablony administracyjne\Sieć\Klient DNS
Lokalizacja kontrolerów domeny hostująca domenę z nazwą DNS z pojedynczą etykietą Konfiguracja komputera\Szablony administracyjne\System\Net Logon\DC Lokalizator rekordów DNS

Uwaga 16.

Te zasady są obsługiwane tylko na komputerach z systemem Windows Server 2003 i na komputerach z systemem Windows XP.

Aby włączyć te zasady, wykonaj następujące kroki w kontenerze domeny głównej:

  1. Wybierz pozycję Start, wybierz pozycję Uruchom, wpisz gpedit.msc, a następnie wybierz przycisk OK.
  2. W obszarze Zasady komputera lokalnego rozwiń węzeł Konfiguracja komputera.
  3. Rozwiń węzeł Szablony administracyjne.
  4. Włącz zasady Aktualizuj strefy domeny najwyższego poziomu. Aby to zrobić, wykonaj następujące kroki:
    1. Rozwiń węzeł Sieć.
    2. Wybierz pozycję Klient DNS.
    3. W okienku szczegółów kliknij dwukrotnie pozycję Aktualizuj strefy domeny najwyższego poziomu.
    4. Wybierz pozycję Włączone.
    5. Wybierz Zastosuj, a następnie wybierz OK.
  5. Włącz lokalizację kontrolerów domeny hostująca domenę z zasadami nazw DNS o pojedynczej etykiecie. Aby to zrobić, wykonaj następujące kroki:
    1. Rozwiń węzeł System.
    2. Rozwiń węzeł Logowanie netto.
    3. Wybierz pozycję Rekordy DNS lokalizatora kontrolerów domeny.
    4. W okienku szczegółów kliknij dwukrotnie pozycję Lokalizacja kontrolerów domeny hostująca domenę z pojedynczą etykietą NAZWA DNS.
    5. Wybierz pozycję Włączone.
    6. Wybierz Zastosuj, a następnie wybierz OK.
  6. Zamknij zasady grupy.

Na serwerach DNS opartych na systemie Windows Server 2003 i nowszych wersjach upewnij się, że serwery główne nie zostały przypadkowo utworzone.

Na serwerach DNS opartych na systemie Windows 2000 może być konieczne usunięcie strefy głównej ".", aby rekordy DNS zostały poprawnie zadeklarowane. Strefa główna jest tworzona automatycznie po zainstalowaniu usługi serwera DNS, ponieważ usługa serwera DNS nie może uzyskać wskazówek dotyczących katalogu głównego. Ten problem został poprawiony w nowszych wersjach systemu Windows.

Serwery główne mogą być tworzone przez Kreatora DCpromo. Jeśli strefa "." istnieje, serwer główny został utworzony. Aby rozpoznawanie nazw działało poprawnie, może być konieczne usunięcie tej strefy.

Nowe i zmodyfikowane ustawienia zasad DNS dla systemu Windows Server 2003 i nowszych wersji

  • Zasady Aktualizowanie stref domeny najwyższego poziomu

    Jeśli te zasady są określone, tworzy REG_DWORD UpdateTopLevelDomainZones wpis w następującym podkluczu rejestru: HKLM\Software\Policies\Microsoft\Windows NT\DNSClient
    Poniżej przedstawiono wartości pozycji : UpdateTopLevelDomainZones— Włączone (0x1). Ustawienie 0x1 oznacza, że komputery mogą próbować zaktualizować strefy TopLevelDomain. Oznacza to, że jeśli UpdateTopLevelDomainZones ustawienie jest włączone, komputery, na których te zasady są stosowane, wysyłają aktualizacje dynamiczne do dowolnej strefy autorytatywnej dla rekordów zasobów, które komputer musi zaktualizować, z wyjątkiem strefy głównej. - Wyłączone (0x0). Ustawienie 0x0 oznacza, że komputery nie mogą próbować aktualizować stref TopLevelDomain. Oznacza to, że jeśli to ustawienie jest wyłączone, komputery, do których zastosowano te zasady, nie wysyłają aktualizacji dynamicznych do strefy głównej ani do stref domeny najwyższego poziomu, które są autorytatywne dla rekordów zasobów, które komputer musi zaktualizować. Jeśli to ustawienie nie jest skonfigurowane, zasady nie są stosowane do żadnych komputerów, a komputery używają konfiguracji lokalnej.

  • Zasady Rejestrowanie rekordów PTR

    Dodano nową możliwą wartość 0x2 REG_DWORD RegisterReverseLookup wpisu w następującym podkluczu rejestru:
    HKLM\Software\Policies\Microsoft\Windows NT\DNSClient

    Poniżej przedstawiono wartości pozycji : RegisterReverseLookup- 0x2. Zarejestruj się tylko wtedy, gdy rejestracja rekordu "A" zakończy się pomyślnie. Komputery próbują zaimplementować rejestrację rekordów zasobów PTR tylko wtedy, gdy pomyślnie zarejestrowali odpowiednie rekordy zasobów "A". - 0x1. Rejestrować. Komputery próbują zaimplementować rejestrację rekordów zasobów PTR niezależnie od powodzenia rejestracji rekordów "A". - 0x0. Nie rejestruj się. Komputery nigdy nie próbują implementować rejestracji rekordów zasobów PTR.

Informacje