Compartilhar via

Implantação e operação de domínios do Active Directory configurados usando nomes DNS de rótulo único

  • Artigo

Este artigo contém informações sobre a implantação e a operação de domínios do Active Directory (AD) configurados usando nomes DNS de rótulo único.

Número original do KB: 300684

Resumo

O desejo de remover a configuração de domínio de rótulo único é um motivo frequente para renomear um domínio. As informações de compatibilidade de aplicativos neste artigo se aplicam a todos os cenários em que você pode considerar renomear um domínio.

Pelos seguintes motivos, a prática recomendada é criar novos domínios do Active Directory que tenham nomes DNS totalmente qualificados:

  • Os nomes DNS de rótulo único não podem ser registrados usando um registrador da Internet.

  • Os computadores cliente e os controladores de domínio ingressados em domínios de rótulo único exigem configuração adicional para registrar dinamicamente registros DNS em zonas DNS de rótulo único.

  • Os computadores cliente e os controladores de domínio podem exigir configuração adicional para resolver consultas DNS em zonas DNS de rótulo único.

  • Alguns aplicativos baseados em servidor são incompatíveis com nomes de domínio de rótulo único. O suporte a aplicativos pode não existir na versão inicial de um aplicativo ou o suporte pode ser descartado em uma versão futura.

  • A transição de um nome de domínio DNS de rótulo único para um nome DNS totalmente qualificado não é trivial e consiste em duas opções. Migre usuários, computadores, grupos e outros estados para uma nova floresta. Ou faça uma renomeação de domínio do domínio existente. Alguns aplicativos baseados em servidor são incompatíveis com o recurso de renomeação de domínio com suporte no Windows Server 2003 e em controladores de domínio mais recentes. Essas incompatibilidades bloqueiam o recurso de renomeação de domínio ou dificultam o uso do recurso de renomeação de domínio quando você tenta renomear um nome DNS de rótulo único para um nome de domínio totalmente qualificado.

  • O Assistente de Instalação do Active Directory (Dcpromo.exe) no Windows Server 2008 adverte contra a criação de novos domínios com nomes DNS de rótulo único. Como não há motivo comercial ou técnico para criar novos domínios com nomes DNS de rótulo único, o Assistente de Instalação do Active Directory no Windows Server 2008 R2 bloqueia explicitamente a criação desses domínios.

Exemplos de aplicativos incompatíveis com a renomeação de domínio incluem, mas não estão limitados a, os seguintes produtos:

  • Servidor Microsoft Exchange 2000
  • Microsoft Exchange Server 2007
  • Microsoft Exchange Server 2010
  • Microsoft Exchange Server 2013
  • Microsoft Internet Security and Acceleration (ISA) Server 2004
  • Microsoft Live Communications Server 2005
  • Microsoft Operations Manager 2005
  • Microsoft SharePoint Portal Server 2003
  • Microsoft Systems Management Server (SMS) 2003
  • Microsoft Office Communications Server 2007
  • Microsoft Office Communications Server 2007 R2
  • Microsoft System Center Operations Manager 2007 SP1
  • Microsoft System Center Operations Manager 2007 R2
  • Microsoft Lync Server 2010
  • Microsoft Lync Server 2013

Mais informações

As práticas recomendadas de nomes de domínio do Active Directory consistem em um ou mais subdomínios combinados com um domínio de nível superior separado por um caractere de ponto ("."). A seguir estão alguns exemplos:

  • contoso.com
  • corp.contoso.com

Os nomes de rótulo único consistem em uma única palavra como "contoso".

O domínio de nível superior ocupa o rótulo mais à direita em um nome de domínio. Os domínios comuns de nível superior incluem o seguinte:

  • .com
  • .net
  • .org
  • Domínios de nível superior com código de país (ccTLD) de duas letras, como .nz

Os nomes de domínio do Active Directory devem consistir em dois ou mais rótulos para o sistema operacional atual e futuro e para a experiência e confiabilidade do aplicativo.

As consultas de domínio de nível superior inválidas relatadas pelo Comitê Consultivo de Segurança e Estabilidade da ICANN podem ser encontradas em Consultas de domínio de nível superior inválidas no nível raiz do Sistema de Nomes de Domínio.

Registro de nome DNS com um registrador da Internet

Recomendamos que você registre nomes DNS para os principais namespaces DNS internos e externos com um registrador da Internet. Que inclui o domínio raiz da floresta de qualquer floresta do Active Directory, a menos que esses nomes sejam subdomínios de nomes DNS registrados pelo nome da sua organização (por exemplo, o domínio raiz da floresta "corp.example.com" é um subdomínio de um namespace interno "example.com."). Quando você registra seus nomes DNS em um registrador da Internet, isso permite que os servidores DNS da Internet resolvam seu domínio agora ou em algum momento durante a vida útil da floresta do Active Directory. E esse registro ajuda a evitar possíveis colisões de nomes por outras organizações.

Possíveis sintomas quando os clientes não podem registrar dinamicamente registros DNS em uma zona de pesquisa direta de rótulo único

Se você usar um nome DNS de rótulo único em seu ambiente, os clientes poderão não conseguir registrar dinamicamente os registros DNS em uma zona de pesquisa direta de rótulo único. Os sintomas específicos variam de acordo com a versão do Microsoft Windows instalada.

A lista a seguir descreve os sintomas que podem ocorrer:

  • Depois de configurar o Microsoft Windows para um único nome de domínio de rótulo, todos os servidores que têm a função de controlador de domínio podem não conseguir registrar registros DNS. O log do sistema do controlador de domínio pode registrar consistentemente avisos NETLOGON 5781 semelhantes ao exemplo a seguir:

    Observação

    O código de status 0000232a é mapeado para o seguinte código de erro:

    DNS_ERROR_RCODE_SERVER_FAILURE

  • Os seguintes códigos de status e códigos de erro adicionais podem aparecer em arquivos de log, como Netdiag.log:

    Código de erro de DNS: 0x0000251D = DNS_INFO_NO_RECORDS
    DNS_ERROR_RCODE_ERROR
    RCODE_SERVER_FAILURE

  • Os computadores baseados no Windows configurados para atualizações dinâmicas de DNS não serão registrados em um domínio de rótulo único. Os eventos de aviso semelhantes aos exemplos a seguir são registrados no log do sistema do computador:

Como permitir que clientes baseados no Windows façam consultas e atualizações dinâmicas com zonas DNS de rótulo único

Por padrão, o Windows não envia atualizações para domínios de nível superior. No entanto, você pode alterar esse comportamento usando um dos métodos descritos nesta seção. Use um dos métodos a seguir para permitir que clientes baseados em Windows façam atualizações dinâmicas em zonas DNS de rótulo único.

Além disso, sem modificação, um membro de domínio do Active Directory em uma floresta que não contém domínios com nomes DNS de rótulo único não usa o serviço Servidor DNS para localizar controladores de domínio em domínios que têm nomes DNS de rótulo único que estão em outras florestas. O acesso do cliente aos domínios que têm nomes DNS de rótulo único falhará se a resolução de nomes NetBIOS não estiver configurada corretamente.

Método 1: Use o Editor do Registro

  • Configuração do localizador do controlador de domínio para Windows XP Professional e versões posteriores do Windows

    Importante

    Esta seção, método ou tarefa contém etapas que descrevem como modificar o Registro. Entretanto, sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Portanto, certifique-se de seguir essas etapas com atenção. Para proteção acrescida, faça backup do Registro antes de modificá-lo. Em, é possível restaurar o Registro caso ocorra um problema. Para obter mais informações, consulte Como fazer backup e restaurar o registro no Windows.

    Em um computador baseado no Windows, um membro de domínio do Active Directory requer configuração adicional para dar suporte a nomes DNS de rótulo único para domínios. Especificamente, o localizador de controlador de domínio no membro de domínio do Active Directory não usa o serviço de servidor DNS para localizar controladores de domínio em um domínio que tenha um nome DNS de rótulo único, a menos que esse membro de domínio do Active Directory seja ingressado em uma floresta que contenha pelo menos um domínio e esse domínio tenha um nome DNS de rótulo único.

    Para permitir que um membro de domínio do Active Directory use o DNS para localizar controladores de domínio em domínios que têm nomes DNS de rótulo único que estão em outras florestas, siga estas etapas:

    1. Selecione Iniciar, selecione Executar, digite regedit e selecione OK.

    2. Localize e selecione a seguinte subchave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

    3. No painel de detalhes, localize a entrada AllowSingleLabelDnsDomain . Se a entrada AllowSingleLabelDnsDomain não existir, siga estas etapas:

      1. No menu Editar, aponte para Novo e selecione Valor DWORD.
      2. Digite AllowSingleLabelDnsDomain como o nome da entrada e pressione ENTER.

    4. Clique duas vezes na entrada AllowSingleLabelDnsDomain .

    5. Na caixa Dados do valor, digite 1 e selecione OK.

    6. Saia do Editor do Registro.

  • Configuração do cliente DNS

    Importante

    Esta seção, método ou tarefa contém etapas que descrevem como modificar o Registro. Entretanto, sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Portanto, certifique-se de seguir essas etapas com atenção. Para proteção acrescida, faça backup do Registro antes de modificá-lo. Em, é possível restaurar o Registro caso ocorra um problema. Para obter mais informações, consulte Como fazer backup e restaurar o registro no Windows.

    Os membros de domínio do Active Directory e os controladores de domínio que estão em um domínio que tem um nome DNS de rótulo único normalmente devem registrar dinamicamente os registros DNS em uma zona DNS de rótulo único que corresponda ao nome DNS desse domínio. Se um domínio raiz de floresta do Active Directory tiver um nome DNS de rótulo único, todos os controladores de domínio nessa floresta normalmente deverão registrar dinamicamente registros DNS em uma zona DNS de rótulo único que corresponda ao nome DNS da raiz da floresta.

    Por padrão, os computadores cliente DNS baseados no Windows não tentam atualizações dinâmicas da zona raiz "." ou de zonas DNS de rótulo único. Para permitir que os computadores cliente DNS baseados no Windows experimentem atualizações dinâmicas de uma zona DNS de rótulo único, siga estas etapas:

    1. Selecione Iniciar, selecione Executar, digite regedit e selecione OK.

    2. Localize e selecione a seguinte subchave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DnsCache\Parameters

    3. No painel de detalhes, localize a entrada UpdateTopLevelDomainZones . Se a entrada UpdateTopLevelDomainZones não existir, siga estas etapas:

      1. No menu Editar, aponte para Novo e selecione Valor DWORD.
      2. Digite UpdateTopLevelDomainZones como o nome da entrada e pressione ENTER.

    4. Clique duas vezes na entrada UpdateTopLevelDomainZones .

    5. Na caixa Dados do valor, digite 1 e selecione OK.

    6. Saia do Editor do Registro.

    Essas alterações de configuração devem ser aplicadas a todos os controladores de domínio e membros de um domínio que tenham nomes DNS de rótulo único. Se um domínio que tem um nome de domínio de rótulo único for uma raiz de floresta, essas alterações de configuração deverão ser aplicadas a todos os controladores de domínio na floresta, a menos que as zonas separadas _msdcs. ForestName, _sites. Nome da Floresta, _tcp. Nome da Floresta, and_udp. ForestName são delegados da zona ForestName .

    Para que as alterações entrem em vigor, reinicie os computadores em que você alterou as entradas do Registro.

    Observação

    • Para Windows Server 2003 e versões posteriores, a entrada UpdateTopLevelDomainZones foi movida para a seguinte subchave do Registro:
      HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient
    • Em um controlador de domínio baseado no Microsoft Windows 2000 SP4, o computador relatará o seguinte erro de registro de nome no log de eventos do sistema se a configuração UpdateTopLevelDomainZones não estiver habilitada:
    • Em um controlador de domínio baseado no Windows 2000 SP4, você deve reiniciar o computador depois de adicionar a configuração UpdateTopLevelDomainZones.

Método 2: Use a Política de Grupo

Use a Política de Grupo para habilitar a política Atualizar Zonas de Domínio de Nível Superior e a Localização dos DCs que hospedam um domínio com a política de nome DNS de rótulo único, conforme especificado na tabela a seguir no local da pasta no contêiner de domínio raiz em Usuários e Computadores, ou em todas as unidades organizacionais (UOs) que hospedam contas de computador para computadores membros, e para controladores de domínio no domínio.

Policy Localização da pasta
Atualizar zonas de domínio de nível superior Configuração do Computador\Modelos Administrativos\Rede\Cliente DNS
Localização dos DCs que hospedam um domínio com nome DNS de rótulo único Configuração do Computador\Modelos Administrativos\Sistema\Logon de Rede\Registros DNS do Localizador DC

Observação

Essas diretivas têm suporte apenas em computadores baseados no Windows Server 2003 e em computadores baseados no Windows XP.

Para habilitar essas políticas, siga estas etapas no contêiner de domínio raiz:

  1. Selecione Iniciar, selecione Executar, digite gpedit.msc e selecione OK.
  2. Em Diretiva do Computador Local, expanda Configuração do Computador.
  3. Expanda Modelos Administrativos.
  4. Habilite a política Atualizar Zonas de Domínio de Nível Superior. Para fazer isso, siga estas etapas:
    1. Expanda Rede.
    2. Selecione Cliente DNS.
    3. No painel de detalhes, clique duas vezes em Atualizar Zonas de Domínio de Nível Superior.
    4. Selecione Habilitado.
    5. Selecione Aplicar e, depois, OK.
  5. Habilite o local dos DCs que hospedam um domínio com a política de nome DNS de rótulo único. Para fazer isso, execute estas etapas:
    1. Expanda Sistema.
    2. Expanda Logon de Rede.
    3. Selecione Registros DNS do localizador DC.
    4. No painel de detalhes, clique duas vezes em Local dos DCs que hospedam um domínio com nome DNS de rótulo único.
    5. Selecione Habilitado.
    6. Selecione Aplicar e, depois, OK.
  6. Saia da Diretiva de Grupo.

Em servidores DNS baseados no Windows Server 2003 e versões posteriores, verifique se os servidores raiz não foram criados involuntariamente.

Em servidores DNS baseados no Windows 2000, talvez seja necessário excluir a zona raiz "." para que os registros DNS sejam declarados corretamente. A zona raiz é criada automaticamente quando o serviço de servidor DNS é instalado porque o serviço de servidor DNS não pode acessar as dicas de raiz. Esse problema foi corrigido em versões posteriores do Windows.

Os servidores raiz podem ser criados pelo Assistente DCpromo. Se a zona "." existir, um servidor raiz foi criado. Para que a resolução de nomes funcione corretamente, talvez seja necessário remover essa zona.

Configurações de diretiva de DNS novas e modificadas para Windows Server 2003 e versões posteriores

  • A política de atualização de zonas de domínio de nível superior

    Se essa política for especificada, ela criará uma REG_DWORD UpdateTopLevelDomainZones entrada na seguinte subchave do Registro: HKLM\Software\Policies\Microsoft\Windows NT\DNSClient
    A seguir estão os valores de entrada para UpdateTopLevelDomainZones: - Habilitado (0x1). Uma configuração 0x1 significa que os computadores podem tentar atualizar as zonas TopLevelDomain. Ou seja, se a configuração estiver habilitada, os UpdateTopLevelDomainZones computadores aos quais essa política é aplicada enviarão atualizações dinâmicas para qualquer zona autoritativa para os registros de recursos que o computador deve atualizar, exceto para a zona raiz. - Desativado (0x0). Uma configuração 0x0 significa que os computadores não têm permissão para tentar atualizar as zonas TopLevelDomain. Ou seja, se essa configuração estiver desabilitada, os computadores aos quais essa política é aplicada não enviarão atualizações dinâmicas para a zona raiz ou para as zonas de domínio de nível superior que são autoritativas para os registros de recursos que o computador deve atualizar. Se essa configuração não estiver definida, a política não será aplicada a nenhum computador e os computadores usarão sua configuração local.

  • A política de Registro de Registros PTR

    Um novo valor possível, 0x2, da REG_DWORD RegisterReverseLookup entrada foi adicionado na seguinte subchave do Registro:
    HKLM\Software\Policies\Microsoft\Windows NT\DNSClient

    A seguir estão os valores de entrada para RegisterReverseLookup: - 0x2. Registre-se somente se o registro de registro "A" for bem-sucedido. Os computadores tentarão implementar o registro de registros de recursos PTR somente se registrarem com êxito os registros de recursos "A" correspondentes. - 0x1. Registrar. Os computadores tentam implementar o registro de registros de recursos PTR, independentemente do sucesso do registro de registros "A". - 0x0. Não se registre. Os computadores nunca tentam implementar o registro de registros de recursos PTR.

Referências