Поделиться через

Соглашения об именовании в Active Directory для компьютеров, доменов, сайтов и подразделений

  • Статья

В этой статье описываются соглашения об именовании учетных записей компьютеров в доменных именах Windows, NetBIOS, доменных именах DNS, сайтах Active Directory и подразделениях , определенных в службах домен Active Directory (AD DS).

Исходный номер базы знаний: 909264

Итоги

В этом статье рассматриваются следующие темы:

  • Допустимые символы для имен
  • Минимальная и максимальная длина имени
  • Зарезервированные имена
  • Не рекомендуемые имена
  • Общие рекомендации по поддержке AD DS в небольших, средних и крупных развертываниях

Все объекты, именованные в AD DS, режиме приложений Active Directory (ADAM) или службах облегченных каталогов Active Directory (AD LDS) подвергаются процессу сопоставления имен, основанному на алгоритме, описанном в следующей статье:

Нельзя добавить имя пользователя или имя объекта, которое отличается только символом с диакритической меткой.

В этой статье это соглашение об именовании применяется к именам компьютеров, именам подразделений и именам сайтов.

Имена компьютеров

NetBIOS-имена компьютеров

  • Допустимые символы: имена компьютеров NetBIOS могут содержать все буквенно-цифровые символы, за исключением расширенных символов, которые отображаются в следующем списке запрещенных символов . Имена могут содержать точку, но не могут начинаться с нее.

    Примечание.

    Microsoft Windows NT позволяет использовать срок, отличный от DNS-имен. Периоды не следует использовать в Windows. Если вы обновляете компьютер с именем NetBIOS, который содержит период, измените имя компьютера. Дополнительные сведения см . в разделе "Специальные символы " далее в этом разделе.

  • Запрещенные символы: имена компьютеров NetBIOS не могут содержать следующие символы:

    • обратная косая черта (\)
    • косая черта (/)
    • Двоеточие (:)
    • Звездочка (*)
    • Вопросительный знак (?)
    • Кавычка (?)
    • меньше знака (<)
    • больше знака (>)
    • Вертикальная линия (|)
    • Компьютеры, которые являются членами домена Active Directory, не могут содержать только числовые имена. Это ограничение DNS.

    Дополнительные сведения о синтаксисе NetBIOS-имен см. в разделе Синтаксис NetBIOS-имен.

  • Правила длины имен:

    • Минимальная длина имени: один символ
    • Максимальная длина имени: 15 символов

      Примечание.

      16-й символ имени компьютера NetBIOS зарезервирован для идентификации функциональных возможностей, установленных на зарегистрированном сетевом устройстве.

  • Зарезервированные имена: см . таблицу зарезервированных слов.

  • Специальные символы: Период (.)

    Символ периода делит имя на идентификатор области NetBIOS и имя компьютера. Идентификатор области NetBIOS — это необязательная строка символов, которые обозначают логические сети NetBIOS, запущенные в одной физической сети TCP/IP. Для обеспечения работы NetBIOS между компьютерами они должны иметь одинаковый идентификатор области NetBIOS и уникальные имена компьютера.

    Использование областей NetBIOS в именах является устаревшей конфигурацией. Его не следует использовать в лесах Active Directory. Дополнительные сведения о областях NetBIOS см. в следующих документах "Запрос комментариев" (RFC):

Имена узлов DNS

  • Допустимые символы: DNS-имена могут содержать только алфавитные символы (A-Z), числовые символы (0–9), знак минуса (-) и период (.). Символы периода допускаются только в том случае, если они используются для разделяния компонентов имен стилей домена.

    Система доменных имен Windows (DNS) поддерживает символы Юникода. В других реализациях службы DNS символы Юникода не поддерживаются. Не следует использовать знаки Юникода, если запросы будут передаваться на серверы с реализациями DNS, разработанными не корпорацией Майкрософт. Дополнительные сведения см. в следующих RFC:

  • Запрещенные символы: имена узлов DNS не могут содержать следующие символы:

    • Запятая (,)
    • Тильда (~)
    • Двоеточие (:)
    • Восклицательный знак (!)
    • Знак "@"
    • Символ решетки (#)
    • Знак доллара ($)
    • Знак процента (%)
    • Крышка (^)
    • Амперсанд (&)
    • Апостроф (')
    • Точка (.)
    • Круглые скобки (())
    • фигурные скобки ({})
    • подчеркивание (_);
    • пробел (пустое)

      Примечание.

      • Символ подчеркивания играет особую роль. Его разрешается использовать для первого символа в записях SRV по определению RFC. Однако более новые DNS-серверы также могут разрешить его в любом месте в имени. Дополнительные сведения см. в разделе Соблюдение ограничений имен для узлов и доменов.

      • Процесс регистрации имени узла DNS заменяет символ дефиса (-) недопустимыми символами.

  • Правила длины имен:

    • Полное доменное имя контроллера домена должно быть меньше 155 байт.
    • Минимальная длина имени: два символа
    • Максимальная длина имени: 63 символа

      Примечание.

      • Если вы используете символы UTF-8 (Юникод), помните, что некоторые символы UTF-8 превышают один октет в длину. В этом случае нельзя определить размер имени, подсчитывая символы. Максимальный размер имени узла и полного доменного имени (FQDN) составляет 63 байта на метку и 255 байт на полное доменное имя.

      • Windows не разрешает имена компьютеров, превышающие 15 символов, и нельзя указать DNS-имя узла, которое отличается от имени узла NetBIOS. Однако можно создать заголовки узлов для веб-сайта, размещенного на компьютере. В этом случае заголовки узлов применяются к этому правилу.

  • Дополнительные правила для имен узлов DNS:

    • Все символы, кроме ASCII, сохраняют регистр.
    • Первый символ в имени узла DNS должен быть буквенным или числовым.
    • Последним символом не может быть знак "минус" или точка.
    • Строки пользователя языка определения дескриптора безопасности двух символов (SDDL), перечисленные в списке известных идентификаторов SID, нельзя использовать. В противном случае операции импорта, экспорта и управления завершаются со сбоем.
    • Компьютеры, которые являются членами домена Active Directory, не могут содержать только числовые имена. Это ограничение DNS.

  • Зарезервированные имена для RFC: дополнительные сведения см. в статье RFC 952.

    • ШЛЮЗ
    • GW
    • TAC

  • Зарезервированные имена в Windows: см . таблицу зарезервированных слов.

  • Рекомендации. При создании имен для компьютеров в инфраструктуре DNS Windows следуйте приведенным ниже рекомендациям.

    • Используйте имя компьютера, которое легко запоминать пользователям.

    • Укажите владельца компьютера в имени.

    • Используйте имя, описывающее назначение компьютера.

    • Используйте для основного DNS-суффикса в имени компьютера то же значение, что и в доменном имени Active Directory. Дополнительные сведения см. в разделе "Несвязанные пространства имен".

    • Используйте уникальное имя для каждого компьютера в организации. Избегайте использования одного и того же имени компьютера для компьютеров в разных доменах DNS.

    • Используйте символы ASCII. Это гарантирует взаимодействие с компьютерами, не работающими под управлением Windows.

    • При использовании символов ASCII не используйте регистр символов, чтобы указать владельца или назначение компьютера. Для символов ASCII DNS не учитывает регистр. Приложения Windows и Windows не сохраняют регистр во всех ситуациях.

    • Используйте только символы, перечисленные в RFC 1123. К ним относятся символы A-Z, a-z, 0-9 и дефис (-). Windows DNS позволяет использовать большинство символов UTF-8 в именах. Однако не следует использовать символы ASCII или UTF-8, если только их не поддерживают все DNS-серверы в вашей среде.

Доменные имена

В следующих разделах описаны доменные имена NetBIOS и доменные имена DNS.

NetBIOS-имена доменов

  • Допустимые символы: доменные имена NetBIOS могут содержать все буквенно-цифровые символы, кроме расширенных символов, которые отображаются в списке запрещенных символов . Имена могут содержать точку, но не могут начинаться с нее.

    Примечание.

    Microsoft Windows NT позволяет использовать срок, отличный от DNS-имен. Периоды не следует использовать в доменных именах Active Directory NetBIOS. Если вы обновляете компьютер, имя которого содержит имя NetBIOS, измените имя, переместив домен в новую структуру домена. Не используйте периоды в новых доменных именах NetBIOS.

    Символ амперсанда (&) в доменных именах NetBIOS был разрешен ранее и поддерживается только для исторических целей. Не создавайте новые домены Active Directory, имена доменов NetBIOS которых содержат амперсанды (>).

  • Запрещенные символы: функция проверки имени узла DNS проверяет доменные имена NetBIOS. Эти имена не могут содержать следующие символы:

    • Запятая (,)
    • Тильда (~)
    • Двоеточие (:)
    • Восклицательный знак (!)
    • Знак "@"
    • Символ решетки (#)
    • Знак доллара ($)
    • Знак процента (%)
    • Крышка (^)
    • Апостроф (')
    • Точка (.)
    • Круглые скобки (())
    • фигурные скобки ({})
    • подчеркивание (_);
    • Пробел ( )
    • обратная косая черта (\)
    • косая черта (/)

      Примечание.

      Компьютеры, которые являются членами домена Active Directory, не могут содержать только числовые имена. Это ограничение DNS.

  • Правила длины имен:

    • Минимальная длина имени: один символ
    • Максимальная длина имени: 15 символов

      Примечание.

      16-й символ имени зарезервирован для идентификации функциональных возможностей, установленных на зарегистрированном сетевом устройстве.

  • Зарезервированные имена в Windows: см . таблицу зарезервированных слов. Имена обновленного домена могут содержать зарезервированное слово. Однако в этом случае возникает сбой отношений доверия с другими доменами.

  • Специальные символы: Период (.)

    Символ периода делит имя на идентификатор области NetBIOS и имя компьютера. Идентификатор области NetBIOS — это необязательная строка символов, которые обозначают логические сети NetBIOS, запущенные в одной физической сети TCP/IP. Для обеспечения работы NetBIOS между компьютерами они должны иметь одинаковый идентификатор области NetBIOS и уникальные имена компьютера.

    Внимание

    Использование областей NetBIOS в именах является устаревшей конфигурацией. Его не следует использовать в лесах Active Directory. Это не является неотъемлемой проблемой. Однако некоторые приложения могут фильтровать имя и предполагать DNS-имя, если найден период.

DNS-имена доменов

  • Допустимые символы: DNS-имена могут содержать только алфавитные символы (A-Z), числовые символы (0–9), знак минуса (-) и период (.). Символы периода допускаются только в том случае, если они используются для разделяния компонентов имен стилей домена.

    Windows DNS поддерживает символы Юникода. В других реализациях службы DNS символы Юникода не поддерживаются. Не следует использовать знаки Юникода, если запросы будут передаваться на серверы с реализациями DNS, разработанными не корпорацией Майкрософт. Дополнительные сведения см. в статье RFC 952 и RFC 1123.

  • Запрещенные символы: доменные имена DNS не могут содержать следующие символы:

    • Запятая (,)
    • Тильда (~)
    • Двоеточие (:)
    • Восклицательный знак (!)
    • Знак "@"
    • Символ решетки (#)
    • Знак доллара ($)
    • Знак процента (%)
    • Крышка (^)
    • Амперсанд (&)
    • Апостроф (')
    • Точка (.)
    • Круглые скобки (())
    • фигурные скобки ({})
    • подчеркивание (_);
    • пробел (пустое)

      Примечание.

      Символ подчеркивания играет особую роль. Его разрешается использовать для первого символа в записях SRV по определению RFC. Но более новые DNS-серверы также могут разрешить его в любом месте в имени. При создании домена вы получаете предупреждение о том, что символ подчеркивания может вызвать проблемы для некоторых DNS-серверов. Однако вы по-прежнему можете создать домен. Дополнительные сведения см. в разделе Соблюдение ограничений имен для узлов и доменов.

  • Дополнительные правила:

    • Все символы, кроме ASCII, сохраняют регистр.
    • Первый символ должен быть алфавитным или числовым.
    • Последним символом не может быть знак "минус" или точка.

  • Правила длины имен:

    • Минимальная длина имени: два символа

    • Максимальная длина имени: 255 символов

      Примечание.

      Если вы используете символы UTF-8 (Юникод), помните, что некоторые символы UTF-8 превышают один октет в длину. В этом случае нельзя определить размер имени, подсчитывая символы. Максимальный размер имени узла и полное доменное имя — 63 байта на метку и 255 байтов на полное доменное имя.

    • Максимальная длина имени основана на требованиях SYSVOL путей, а также на MAX_PATH ограничении 260 символов.
      Путь SYSVOL похож на следующий пример:

      \\<FQDN domain name>\sysvol\<FQDN domain name>\policies\{<policy GUID>}\[user|machine]\<CSE-specific path>

      Примечание.

      • Полное доменное имя AD отображается в пути два раза. Таким образом, длина доменного имени AD FQDN ограничена 64 символами.

      • <Путь> csE может содержать входные данные пользователя, например имя файла скрипта входа. Таким образом, это может быть значительно длинным.

  • Пространства доменных имен с одной меткой: dns-имена с одной меткой — это имена, которые не содержат суффикс, например .com, , .org.corp.netили .companyname Примером однокомпонентного DNS-имени является имя host. Большинство интернет-регистраторов не выполняет регистрацию однокомпонентных DNS-имен.

    Корпорация Майкрософт рекомендует, чтобы DNS-имена для внутренних и внешних пространств имен были зарегистрированы в организациях (регистраторах), которые осуществляют координацию деятельности в Интернете. Это относится и к DNS-именам доменов Active Directory, которые не являются поддоменами DNS-имен, зарегистрированных данной организацией. Например, corp.example.com является поддоменом example.com. Регистрация DNS-имени у регистратора позволяет предотвратить конфликт имен. Конфликт имен может возникать, если другая организация пытается зарегистрировать то же DNS-имя или если ваша организация объединяется с другой организацией, используюющей то же DNS-имя.

    Проблемы, связанные с одноуровневыми пространствами имен, включают в себя следующее:

    • Одноуровневые DNS-имена нельзя зарегистрировать с помощью интернет-регистраторов.
    • Домен с одноуровневым DNS-именем нужно дополнительно настраивать.
    • Служба DNS-сервера не может находить контроллеры домена в доменах с именами DNS с одной меткой.
    • По умолчанию члены домена Windows не предоставляют динамические обновления для зон DNS с одной меткой. Более детальную информацию см. в статье Развертывание и работа доменов Active Directory с одноуровневыми DNS-именами.

  • Зарезервированные имена: см . таблицу зарезервированных слов. Не используйте доменные имена верхнего уровня, такие как .com, .netи .org интрасети. Если вы используете доменные имена верхнего уровня в интрасети, компьютеры в интрасети, которые также подключаются к Интернету, могут столкнуться с ошибками разрешения. Кроме того, избегайте использования имен, которые используются в специальных функциях интернет-стандарта, таких как .local.

Несвязанные пространства имен

Несвязанное пространство имен возникает, если основной DNS-суффикс компьютера не соответствует домену DNS, в котором он является членом. Например, несвязанное пространство имен возникает, если компьютер с DNS-именем dc1.contosocorp.com находится в домене с DNS-именем contoso.com.

Условия для возникновения несвязанных пространств имен:

  • Основной контроллер домена Windows NT 4.0 обновляется до контроллера домена Windows 2000 Server с помощью исходной версии Windows 2000 Server. В элементе сети в панель управления определены несколько суффиксов DNS.
  • Домен переименовывается, если лес находится на функциональном уровне леса Windows Server 2003. Кроме того, основной DNS-суффикс не изменяется, чтобы отразить новое доменное имя DNS.

Влияние несвязанного пространства имен:

Предположим, что контроллер домена с именем DC1 находится в домене Windows NT 4.0, доменное имя NetBIOS которого равно contoso. Этот контроллер домена обновляется до Windows 2000 Server. Во время обновления домен DNS переименовывается в contoso.com. В исходной версии Windows 2000 Server подпрограмма обновления очищает флажок, который связывает основной DNS-суффикс контроллера домена с его DNS-именем домена. Таким образом, основной DNS-суффикс контроллера домена является суффикс DNS Windows NT 4.0, определенный в списке поиска суффикса Windows NT 4.0. В этом примере DNS-имя — DC1.northamerica.contoso.com.

Контроллер домена динамически регистрирует свои записи обнаружения службы (SRV) в зоне DNS, соответствующей его DNS-имени домена. Однако контроллер домена регистрирует свои записи узлов в зоне DNS, соответствующей его основному DNS-суффиксу.

Дополнительные сведения о несвязанных пространствах имен см. в следующих статьях:

Другие факторы

  • Леса, подключающиеся к Интернету: пространство имен DNS, которое подключается к Интернету, должно быть поддоменом домена верхнего или второго уровня пространства имен DNS в Интернете.

  • Максимальное количество доменов в лесу: в Windows Server максимальное количество доменов на функциональном уровне леса составляет 1200. Это ограничение является ограничением многозначных не связанных атрибутов в Windows Server.

  • Рекомендации

    • DNS-имена всех узлов, требующих разрешения имен, включают доменное имя интернет-DNS организации. Так как система DNS является иерархической, при добавлении поддоменов в организацию размер DNS-имен домена увеличивается. Таким образом, следует выбрать доменное имя DNS в Интернете, которое является коротким и простым для запоминания. Короткие доменные имена позволяют легко запоминать имена компьютеров.

    • Если у организации есть присутствие в Интернете, используйте имена, относящиеся к зарегистрированным доменным именам DNS в Интернете. Например, если вы зарегистрировали доменное имя contoso.comDNS в Интернете, используйте dns-доменное имя, например corp.contoso.com доменное имя интрасети.

    • Не используйте в качестве доменного имени название существующей корпорации или существующего продукта. Это может привести к столкновению имен позже.

    • Избегайте универсального имени, например domain.localhost. Это связано с тем, что другая компания, с которую вы объединяетесь в будущем, может следовать той же практике.

    • Не используйте в качестве доменного имени сокращения или аббревиатуры. Пользователи могут столкнуться с трудностями при распознавании подразделения, представляющего акроним.

    • Избегайте использования символов подчеркивания (_) в доменных именах. Приложения могут быть очень послушными и отклонять имя. Они также могут не устанавливать или работать в вашем домене. Вы также можете столкнуться с проблемами, влияющими на старые DNS-серверы.

    • Не используйте имя подразделения или подразделения в качестве доменного имени. Бизнес-подразделения и другие подразделения изменяются, и эти доменные имена могут вводить в заблуждение или стать устаревшими.

    • Не используйте географические наименования, которые трудно произнести или запомнить.

    • Старайтесь не развертывать иерархию DNS-имен домена глубже пяти уровней от корневого домена. Ограничив расширения иерархии доменных имен, вы можете сократить административные расходы.

    • Если вы развертываете DNS в частной сети и не планируете создавать внешнее пространство имен, зарегистрируйте доменное имя DNS, которое вы создаете для внутреннего домена. В противном случае, если вы попытаетесь использовать его в Интернете, или если вы подключаетесь к сети, которая подключается к Интернету, вы можете обнаружить, что имя недоступно.

Имена сайтов

При создании имени нового сайта рекомендуем использовать допустимое DNS-имя. В противном случае сайт будет доступен только там, где используется DNS-сервер Майкрософт. Дополнительные сведения о допустимых DNS-именах см. в разделе DNS-имена узлов.

  • Допустимые символы: DNS-имена могут содержать только алфавитные символы (A-Z), числовые символы (0–9), знак минуса (-) и период (.). Символы периодов разрешены только в том случае, если они используются для разделения компонентов имен стилей домена.

    Windows DNS поддерживает символы Юникода. В других реализациях службы DNS символы Юникода не поддерживаются. Не следует использовать знаки Юникода, если запросы будут передаваться на серверы с реализациями DNS, разработанными не корпорацией Майкрософт. Дополнительные сведения см. в статье RFC 952 и RFC 1123.

  • Запрещенные символы: DNS-имена не могут содержать следующие символы:

    • Запятая (,)
    • Тильда (~)
    • Двоеточие (:)
    • Восклицательный знак (!)
    • Знак "@"
    • Символ решетки (#)
    • Знак доллара ($)
    • Знак процента (%)
    • Крышка (^)
    • Амперсанд (&)
    • Апостроф (')
    • Точка (.)
    • Круглые скобки (())
    • фигурные скобки ({})
    • подчеркивание (_);
    • пробел (пустое)

      Примечание.

      Символ подчеркивания играет особую роль. Его разрешается использовать для первого символа в записях SRV по определению RFC. Но более новые DNS-серверы также могут разрешить его в любом месте в имени. Дополнительные сведения см. в разделе Соблюдение ограничений имен для узлов и доменов.

  • Дополнительные правила:

    • Все символы, кроме символов ASCII, сохраняют форматирование регистра.
    • Первый символ должен быть алфавитным или числовым.
    • Последним символом не может быть знак "минус" или точка.

  • Правила длины имен:

    • Минимальная длина имени: один символ
    • Максимальная длина имени: 63 символа

      Примечание.

      Если вы используете символы UTF-8 (Юникод), помните, что некоторые символы UTF-8 превышают один октет в длину. В этом случае нельзя определить размер имени, подсчитывая символы. Максимальная длина DNS-имени составляет 63 байта на метку.

Имена подразделений

  • Допустимые символы: разрешены все символы, даже расширенные символы. Однако хотя компонент «Active Directory — пользователи и компьютеры» позволяет использовать в имени подразделения символы национального алфавита, рекомендуется использовать имена, которые описывают назначение подразделения и являются достаточно короткими, чтобы ими было легко управлять. Упрощенный протокол доступа к каталогу (LDAP) не имеет ограничений, так как CN объекта помещается в кавычки.

  • Запрещенные символы: никакие символы не запрещены.

  • Правила длины имен:

    • Минимальная длина имени: один символ
    • Максимальная длина имени: 64 символа

Специальные проблемы для подразделений

Если подразделение на корневом уровне домена имеет то же имя, что и будущий дочерний домен, могут возникнуть проблемы с базой данных. Рассмотрим сценарий, в котором вы удаляете подразделение с именем маркетинга , чтобы создать дочерний домен с тем же именем. Например, marketing.contoso.com (левая метка имени полного доменного имени дочернего домена имеет то же имя).

Вы удаляете подразделение. Во время существования могилы удаленного подразделения создается дочерний домен с тем же именем. Затем удалите дочерний домен и создадите его во второй раз. В этом случае дублирующееся имя записи в базе данных ESE вызывает фантомный конфликт имен при повторном создании дочернего домена. Эта проблема предотвращает репликацию контейнера конфигурации Active Directory.

Примечание.

Эта проблема не ограничена типами имен контроллера домена и подразделения. Аналогичный конфликт имен также может возникать для других типов имен RDN в определенных условиях.

Таблица зарезервированных слов

Зарезервированные слова для имен Windows NT 4.0 Windows 2000 Windows Server 2003 Windows Server 2008 и более поздних версий
ANONYMOUS X X X X
AUTHENTICATED USER X X X
BATCH X X X X
BUILTIN X X X X
CREATOR GROUP X X X X
CREATOR GROUP SERVER X X X X
СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ X X X X
CREATOR OWNER SERVER X X X X
DIALUP X X X X
DIGEST AUTH X X
DOMAIN X
ДЛЯ ПРЕДПРИЯТИЙ X
INTERACTIVE X X X X
INTERNET X X X
ЛОКАЛЬНО X X X X
ЛОКАЛЬНАЯ СИСТЕМА X X
Сеть X X X X
СЕТЕВАЯ СЛУЖБА X X
NT AUTHORITY X X X X
NT DOMAIN X X X X
NTLM AUTH X X
NULL X X X X
PROXY X X X
REMOTE INTERACTIVE X X
RESTRICTED X X X
SCHANNEL AUTH X X
SELF X X X
SERVER X X X
SERVICE X X X X
SYSTEM X X X X
TERMINAL SERVER X X X
THIS ORGANIZATION X X
USERS X X
WORLD X X X X