Развертывание и операция доменов Active Directory, настроенных с помощью имен DNS с одной меткой

В этой статье содержатся сведения о развертывании и работе доменов Active Directory (AD), настроенных с помощью имен DNS с одной меткой.

Исходный номер базы знаний: 300684

Итоги

Желание удалить конфигурацию домена с одной меткой является частой причиной переименования домена. Сведения о совместимости приложений, приведенные в этой статье, относятся ко всем сценариям, в которых может потребоваться переименовать домен.

По следующим причинам рекомендуется создать новые домены Active Directory с полными DNS-именами:

• Dns-имена с одной меткой нельзя зарегистрировать с помощью регистратора Интернета.

• Клиентские компьютеры и контроллеры домена, присоединенные к доменам с одной меткой, требуют дополнительной конфигурации для динамической регистрации записей DNS в зонах DNS с одной меткой.

• Клиентские компьютеры и контроллеры домена могут требовать дополнительную конфигурацию для разрешения ЗАПРОСОВ DNS в зонах DNS с одной меткой.

• Некоторые серверные приложения несовместимы с именами доменов с одной меткой. Поддержка приложений может не существовать в первоначальном выпуске приложения или поддержка может быть удалена в будущем выпуске.

• Переход от доменного имени DNS с одной меткой на полное DNS-имя является нетривиальным и состоит из двух вариантов. Перенос пользователей, компьютеров, групп и других состояний в новый лес. Или переименуйте домен существующего домена. Некоторые серверные приложения несовместимы с функцией переименования домена, поддерживаемой в Windows Server 2003 и более новых контроллерах домена. Эти несовместимости либо блокируют функцию переименования домена, либо тем сложнее использовать функцию переименования домена при попытке переименовать DNS-имя с одной меткой в полное доменное имя.

• Мастер установки Active Directory (Dcpromo.exe) в Windows Server 2008 предупреждает о создании новых доменов с именами DNS с одной меткой. Так как нет бизнес-или технической причины создания новых доменов с именами DNS с одной меткой, мастер установки Active Directory в Windows Server 2008 R2 явно блокирует создание таких доменов.

Примеры приложений, несовместимых с переименованием домена, включают, но не ограничиваются следующими продуктами:

• Сервер Microsoft Exchange 2000
• Microsoft Exchange Server 2007
• Microsoft Exchange Server 2010
• Microsoft Exchange Server 2013
• Microsoft Internet Security and Acceleration (ISA) Server 2004
• Microsoft Live Communications Server 2005
• Microsoft Operations Manager 2005
• Microsoft SharePoint Portal Server 2003
• Microsoft Systems Management Server (SMS) 2003
• Microsoft Office Communications Server 2007
• Microsoft Office Communications Server 2007 R2
• Microsoft System Center Operations Manager 2007 с пакетом обновления 1 (SP1)
• Microsoft System Center Operations Manager 2007 R2
• Microsoft Lync Server 2010
• Microsoft Lync Server 2013

Дополнительная информация

Рекомендуется использовать доменные имена Active Directory, состоящие из одного или нескольких поддоменов, объединенных с доменом верхнего уровня, разделенным символом точки ("."). Ниже приведены некоторые примеры.

• contoso.com
• corp.contoso.com

Имена одноклеек состоят из одного слова, например contoso.

Домен верхнего уровня занимает самую правильную метку в доменном имени. К общим доменам верхнего уровня относятся следующие:

• .com
• .net
• .org
• Двухбуквенный код страны верхнего уровня (ccTLD), например NZ

Доменные имена Active Directory должны состоять из двух или более меток для текущей и будущей операционной системы, а также для взаимодействия с приложениями и надежности.

Недопустимые запросы домена верхнего уровня, сообщаемые Комитетом по безопасности и стабильности, можно найти на недопустимых запросах домена верхнего уровня на корневом уровне системы доменных имен.

Регистрация DNS-имени с помощью регистратора Интернета

Рекомендуется зарегистрировать DNS-имена для наиболее внутренних и внешних пространств имен DNS с помощью регистратора Интернета. В том числе корневой домен леса любого леса Active Directory, если такие имена не являются поддоменами DNS-имен, зарегистрированных именем вашей организации (например, корневой домен леса "corp.example.com" является поддомен внутреннего пространства имен "example.com". При регистрации DNS-имен с помощью регистратора Интернета это позволяет DNS-серверам Интернета разрешать домен сейчас или в какой-то момент в течение срока жизни леса Active Directory. Эта регистрация помогает предотвратить возможные столкновения имен другими организациями.

Возможные симптомы, когда клиенты не могут динамически регистрировать записи DNS в зоне поиска с одной меткой вперед

Если в среде используется dns-имя с одной меткой, клиенты могут быть не в состоянии динамически зарегистрировать записи DNS в зоне подстановки с одной меткой. Конкретные симптомы зависят от установленной версии Microsoft Windows.

В следующем списке описываются симптомы, которые могут возникнуть:

• После настройки Microsoft Windows для одного доменного имени метки все серверы с ролью контроллера домена могут быть не в состоянии зарегистрировать записи DNS. Системный журнал контроллера домена может последовательно записывать предупреждения NETLOGON 5781, похожие на следующий пример:

  Примечание.

  Код состояния 0000232a сопоставляется со следующим кодом ошибки:

  DNS_ERROR_RCODE_SERVER_FAILURE

• Следующие дополнительные коды состояния и коды ошибок могут отображаться в файлах журнала, таких как Netdiag.log:

  Код ошибки DNS: 0x0000251D = DNS_INFO_NO_RECORDS
  DNS_ERROR_RCODE_ERROR
  RCODE_SERVER_FAILURE

• Компьютеры под управлением Windows, настроенные для динамических обновлений DNS, не регистрируются в домене с одной меткой. События предупреждения, похожие на следующие примеры, записываются в системный журнал компьютера:

Как разрешить клиентам Windows выполнять запросы и динамические обновления с зонами DNS с одной меткой

По умолчанию Windows не отправляет обновления в домены верхнего уровня. Однако это поведение можно изменить с помощью одного из методов, описанных в этом разделе. Используйте один из следующих методов, чтобы клиенты под управлением Windows могли выполнять динамические обновления для зон DNS с одной меткой.

Кроме того, без изменений, член домена Active Directory в лесу, который не содержит доменов с одноклейными DNS-именами, не использует службу DNS-сервера для поиска контроллеров домена в доменах с именами DNS с одной меткой, которые находятся в других лесах. Клиентский доступ к доменам с именами DNS с одной меткой завершается ошибкой, если разрешение имен NetBIOS не настроено правильно.

Метод 1. Использование редактора реестра

• Конфигурация указателя контроллера домена для Windows XP Professional и более поздних версий Windows

  Важно!

  В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому убедитесь, что вы внимательно выполните следующие действия. Для дополнительной защиты создайте резервную копию реестра перед его изменением. В этом случае реестр можно восстановить, если возникнет проблема. Дополнительные сведения см. в статье "Резервное копирование и восстановление реестра в Windows".

  На компьютере под управлением Windows член домена Active Directory требует дополнительной конфигурации для поддержки имен DNS с одной меткой для доменов. В частности, указатель контроллера домена на члене домена Active Directory не использует службу DNS-сервера для поиска контроллеров домена в домене с одноклейным DNS-именем, если только член домена Active Directory не присоединен к лесу, который содержит по крайней мере один домен, и этот домен имеет одноклейное DNS-имя.

  Чтобы разрешить члену домена Active Directory использовать DNS для поиска контроллеров домена в доменах с одноклейными DNS-именами, которые находятся в других лесах, выполните следующие действия.

  1. Нажмите кнопку "Пуск", выберите "Запустить", введите regedit и нажмите кнопку "ОК".

  2. Найдите и выберите следующий подраздел: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  3. В области сведений найдите запись AllowSingleLabelDnsDomain . Если запись AllowSingleLabelDnsDomain не существует, выполните следующие действия:

     1. В меню "Изменить" наведите указатель мыши на "Создать", а затем выберите значение DWORD.
     2. Введите AllowSingleLabelDnsDomain в качестве имени записи и нажмите клавишу ВВОД.

  4. Дважды щелкните запись AllowSingleLabelDnsDomain .

  5. В поле "Значение" введите 1 и нажмите кнопку "ОК".

  6. Закройте редактор реестра.

• Настройка клиента DNS

  Важно!

  В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому убедитесь, что вы внимательно выполните следующие действия. Для дополнительной защиты создайте резервную копию реестра перед его изменением. В этом случае реестр можно восстановить, если возникнет проблема. Дополнительные сведения см. в статье "Резервное копирование и восстановление реестра в Windows".

  Члены домена Active Directory и контроллеры домена, которые находятся в домене с именем DNS с одной меткой, обычно должны динамически регистрировать записи DNS в зоне DNS с одной меткой, которая соответствует DNS-имени этого домена. Если корневой домен леса Active Directory имеет dns-имя с одной меткой, все контроллеры домена в этом лесу обычно должны динамически регистрировать записи DNS в зоне DNS с одной меткой, которая соответствует DNS-имени корневого леса.

  По умолчанию клиентские компьютеры DNS на основе Windows не пытаются выполнять динамические обновления корневой зоны "." или зон DNS с одной меткой. Чтобы включить клиентские компьютеры DNS под управлением Windows, чтобы попробовать динамические обновления зоны DNS с одной меткой, выполните следующие действия.

  1. Нажмите кнопку "Пуск", выберите "Запустить", введите regedit и нажмите кнопку "ОК".

  2. Найдите и выберите следующий подраздел: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DnsCache\Parameters

  3. В области сведений найдите запись UpdateTopLevelDomainZones . Если запись UpdateTopLevelDomainZones не существует, выполните следующие действия:

     1. В меню "Изменить" наведите указатель мыши на "Создать", а затем выберите значение DWORD.
     2. Введите UpdateTopLevelDomainZones в качестве имени записи и нажмите клавишу ВВОД.

  4. Дважды щелкните запись UpdateTopLevelDomainZones .

  5. В поле "Значение" введите 1 и нажмите кнопку "ОК".

  6. Закройте редактор реестра.

  Эти изменения конфигурации должны применяться ко всем контроллерам домена и членам домена с одноклейными DNS-именами. Если домен с именем домена с одной меткой является корнем леса, эти изменения конфигурации должны применяться ко всем контроллерам домена в лесу, если только отдельные зоны _msdcs. ForestName, _sites. ForestName, _tcp. ForestName, and_udp. Имя леса делегируются из зоны ForestName.

  Чтобы изменения вступили в силу, перезапустите компьютеры, в которых были изменены записи реестра.

  Примечание.

  • Для Windows Server 2003 и более поздних версий запись UpdateTopLevelDomainZones перемещена в следующий подраздел реестра:
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient
  • На контроллере домена на основе Microsoft Windows 2000 с пакетом обновления 4 (SP4) компьютер сообщит следующее сообщение об ошибке регистрации имен в журнале событий системы, если параметр UpdateTopLevelDomainZones не включен:
  • На контроллере домена под управлением Windows 2000 с пакетом обновления 4 (SP4) необходимо перезапустить компьютер после добавления параметра UpdateTopLevelDomainZones.

Метод 2. Использование групповой политики

Используйте групповую политику, чтобы включить политику "Обновить доменные зоны верхнего уровня" и расположение контроллеров домена, на которых размещен домен с одной меткой политики DNS-имен, как указано в следующей таблице в папке в корневом контейнере домена в контейнерах корневого домена на компьютерах пользователей и компьютерах, или на всех подразделениях, на которых размещаются учетные записи компьютера для компьютеров-членов, и для контроллеров домена в домене.

Политика	Расположение папки
Обновление доменных зон верхнего уровня	Конфигурация компьютера\Административные шаблоны\Сеть\DNS-клиент
Расположение контроллеров домена, на котором размещен домен с одним dns-именем метки	Конфигурация компьютера\Административные шаблоны\System\Net Logon\DC Locator DNS Records

Примечание.

Эти политики поддерживаются только на компьютерах под управлением Windows Server 2003 и на компьютерах под управлением Windows XP.

Чтобы включить эти политики, выполните следующие действия в корневом контейнере домена:

1. Нажмите кнопку "Пуск", выберите "Выполнить", введите gpedit.msc и нажмите кнопку "ОК".
2. В разделе "Политика локального компьютера" разверните раздел "Конфигурация компьютера".
3. Разверните административные шаблоны.
4. Включите политику "Обновить доменные зоны верхнего уровня". Для этого выполните следующие действия.
   1. Разверните сеть.
   2. Выберите DNS-клиент.
   3. В области сведений дважды щелкните "Обновить зоны домена верхнего уровня".
   4. Щелкните Включено.
   5. Нажмите кнопку Apply (Применить), а затем нажмите кнопку ОК.
5. Включите расположение контроллеров домена, на котором размещен домен с политикой DNS-имен с одной меткой. Для этого выполните следующие действия.
   1. Разверните систему.
   2. Разверните сетевой вход.
   3. Выберите записи DNS указателя контроллера домена.
   4. В области сведений дважды щелкните расположение контроллеров домена, на котором размещен домен с dns-именем одной метки.
   5. Щелкните Включено.
   6. Нажмите кнопку Apply (Применить), а затем нажмите кнопку ОК.
6. Выход из групповой политики.

На основе Windows Server 2003 и более поздних версий DNS-серверов убедитесь, что корневые серверы не создаются непреднамеренно.

На DNS-серверах под управлением Windows 2000 может потребоваться удалить корневую зону ." для правильного объявления записей DNS. Корневая зона создается автоматически при установке службы DNS-сервера, так как служба DNS-сервера не может достичь корневых подсказок. Эта проблема устранена в более поздних версиях Windows.

Корневые серверы могут быть созданы мастером DCpromo. Если зона "." существует, создается корневой сервер. Чтобы разрешение имен работало правильно, может потребоваться удалить эту зону.

Новые и измененные параметры политики DNS для Windows Server 2003 и более поздних версий

• Политика обновления зон домена верхнего уровня

  Если указана эта политика, она создает REG_DWORD UpdateTopLevelDomainZones запись в следующем подразделе реестра: HKLM\Software\Policies\Microsoft\Windows NT\DNSClient
  Ниже приведены значения записи для UpdateTopLevelDomainZones: — включено (0x1). Параметр 0x1 означает, что компьютеры могут попытаться обновить зоны TopLevelDomain. То есть, если UpdateTopLevelDomainZones параметр включен, компьютеры, к которым применяется эта политика, отправляют динамические обновления в любую зону, которая является авторитетной для записей ресурсов, которые компьютер должен обновить, за исключением корневой зоны. — отключено (0x0). Параметр 0x0 означает, что компьютеры не могут пытаться обновить зоны TopLevelDomain. То есть, если этот параметр отключен, компьютеры, к которым применяется эта политика, не отправляют динамические обновления в корневую зону или в зоны домена верхнего уровня, которые являются доверенными для записей ресурсов, которые компьютер должен обновить. Если этот параметр не настроен, политика не применяется к компьютерам, а компьютеры используют локальную конфигурацию.

• Политика регистрации записей PTR

  Новое возможное значение 0x2 REG_DWORD RegisterReverseLookup записи было добавлено в следующем подразделе реестра:
  HKLM\Software\Policies\Microsoft\Windows NT\DNSClient

  Ниже приведены значения записи для RegisterReverseLookup: 0x2. Зарегистрируйтесь только в том случае, если регистрация записи A завершается успешно. Компьютеры пытаются реализовать регистрацию записей ресурсов PTR, только если они успешно зарегистрировали соответствующие записи ресурсов A. - 0x1. Пройти регистрацию. Компьютеры пытаются реализовать регистрацию записей ресурсов PTR независимо от успешной регистрации записей "A". - 0x0. Не регистрируйтесь. Компьютеры никогда не пытаются реализовать регистрацию записей ресурсов PTR.

Ссылки

• Планирование пространства имен DNS

• Не удается выбрать роль DNS-сервера при добавлении контроллера домена в существующий домен Active Directory

• Руководство ПО ADMT. Миграция и реструктуризация домен Active Directory

• Руководство по миграции Active Directory (ADMT): миграция и реструктуризация домен Active Directory