Distribution och drift av Active Directory-domäner som konfigureras med hjälp av DNS-namn med en etikett

Den här artikeln innehåller information om distribution och drift av Active Directory-domäner (AD) som konfigureras med hjälp av DNS-namn med en etikett.

Ursprungligt KB-nummer: 300684

Sammanfattning

Att ta bort domänkonfigurationen med en etikett är en vanlig anledning att byta namn på en domän. Programkompatibilitetsinformationen i den här artikeln gäller för alla scenarier där du kan överväga att byta namn på en domän.

Av följande skäl är bästa praxis att skapa nya Active Directory-domäner som har fullständigt kvalificerade DNS-namn:

• Dns-namn med en etikett kan inte registreras med hjälp av en Internetregistrator.

• Klientdatorer och domänkontrollanter som är anslutna till en etikettdomäner kräver ytterligare konfiguration för att dynamiskt registrera DNS-poster i DNS-zoner med en etikett.

• Klientdatorer och domänkontrollanter kan kräva ytterligare konfiguration för att lösa DNS-frågor i DNS-zoner med en etikett.

• Vissa serverbaserade program är inte kompatibla med domännamn med en etikett. Programstöd kanske inte finns i den första versionen av ett program, eller så kan supporten tas bort i en framtida version.

• Övergången från ett DNS-domännamn med en enda etikett till ett fullständigt kvalificerat DNS-namn är inte trivialt och består av två alternativ. Migrera användare, datorer, grupper och andra tillstånd till en ny skog. Eller gör ett domänbyte för den befintliga domänen. Vissa serverbaserade program är inte kompatibla med den domänbytesfunktion som stöds i Windows Server 2003 och nyare domänkontrollanter. Dessa inkompatibiliteter blockerar antingen funktionen för domänbyte eller gör det svårare att använda domänbytesfunktionen när du försöker byta namn på ett DNS-namn med en enda etikett till ett fullständigt kvalificerat domännamn.

• Installationsguiden för Active Directory (Dcpromo.exe) i Windows Server 2008 varnar för att skapa nya domäner som har DNS-namn med en etikett. Eftersom det inte finns någon affärs- eller teknisk anledning att skapa nya domäner som har DNS-namn med en enda etikett blockerar Installationsguiden för Active Directory i Windows Server 2008 R2 uttryckligen skapandet av sådana domäner.

Exempel på program som inte är kompatibla med domänbyte är, men som inte är begränsade till, följande produkter:

• Microsoft Exchange 2000 Server
• Microsoft Exchange Server 2007
• Microsoft Exchange Server 2010
• Microsoft Exchange Server 2013
• Microsoft Internet Security and Acceleration (ISA) Server 2004
• Microsoft Live Communications Server 2005
• Microsoft Operations Manager 2005
• Microsoft SharePoint Portal Server 2003
• Microsoft Systems Management Server (SMS) 2003
• Microsoft Office Communications Server 2007
• Microsoft Office Communications Server 2007 R2
• Microsoft System Center Operations Manager 2007 SP1
• Microsoft System Center Operations Manager 2007 R2
• Microsoft Lync Server 2010
• Microsoft Lync Server 2013

Mer information

Bästa praxis Active Directory-domännamn består av en eller flera underdomäner som kombineras med en toppnivådomän som avgränsas med ett punkttecken ("."). Följande är några exempel:

• contoso.com
• corp.contoso.com

Namn med en etikett består av ett enda ord som "contoso".

Domänen på den översta nivån upptar etiketten längst till höger i ett domännamn. Vanliga toppnivådomäner är följande:

• com.
• .nät
• .Org
• Toppnivådomäner med två bokstäver (ccTLD) som .nz

Active Directory-domännamn bör bestå av två eller flera etiketter för det aktuella och det framtida operativsystemet samt för programupplevelse och tillförlitlighet.

Ogiltiga domänfrågor på toppnivå som rapporterats av ICANN:s säkerhets- och stabilitetskommitté finns på ogiltiga domänfrågor på toppnivå på rotnivå i domännamnssystemet.

DNS-namnregistrering med en Internetregistrator

Vi rekommenderar att du registrerar DNS-namn för de mest interna och externa DNS-namnrymderna med en Internetregistrator. Detta inkluderar skogsrotdomänen för alla Active Directory-skogar om inte sådana namn är underdomäner till DNS-namn som är registrerade av ditt organisationsnamn (t.ex. skogsrotdomänen "corp.example.com" är en underdomän till ett internt "example.com"-namnområde.) När du registrerar dina DNS-namn med en Internetregistrator kan internet-DNS-servrar lösa din domän nu eller någon gång under active directory-skogens livslängd. Och den här registreringen hjälper till att förhindra eventuella namnkollisioner av andra organisationer.

Möjliga symtom när klienter inte dynamiskt kan registrera DNS-poster i en zon för vidarebefordran av en etikett

Om du använder ett DNS-namn med en etikett i din miljö kanske klienterna inte kan registrera DNS-poster dynamiskt i en zon för vidarebefordran av en etikett. Specifika symtom varierar beroende på vilken version av Microsoft Windows som är installerad.

I följande lista beskrivs de symtom som kan uppstå:

• När du har konfigurerat Microsoft Windows för ett domännamn med en etikett kan det hända att alla servrar som har rollen domänkontrollant inte kan registrera DNS-poster. Systemloggen för domänkontrollanten kan konsekvent logga NETLOGON 5781-varningar som liknar följande exempel:

  Kommentar

  Statuskoden 0000232a mappar till följande felkod:

  DNS_ERROR_RCODE_SERVER_FAILURE

• Följande ytterligare statuskoder och felkoder kan visas i loggfiler som Netdiag.log:

  DNS-felkod: 0x0000251D = DNS_INFO_NO_RECORDS
  DNS_ERROR_RCODE_ERROR
  RCODE_SERVER_FAILURE

• Windows-baserade datorer som har konfigurerats för dynamiska DNS-uppdateringar registreras inte i en domän med en etikett. Varningshändelser som liknar följande exempel registreras i datorns systemlogg:

Så här gör du det möjligt för Windows-baserade klienter att göra frågor och dynamiska uppdateringar med DNS-zoner med en etikett

Som standard skickar Windows inte uppdateringar till toppnivådomäner. Du kan dock ändra det här beteendet med någon av de metoder som beskrivs i det här avsnittet. Använd någon av följande metoder för att göra det möjligt för Windows-baserade klienter att göra dynamiska uppdateringar av DNS-zoner med en etikett.

En Active Directory-domänmedlem i en skog som inte innehåller några domäner som har DNS-namn med en etikett använder inte DNS Server-tjänsten för att hitta domänkontrollanter i domäner som har DNS-namn med en etikett som finns i andra skogar. Klientåtkomsten till de domäner som har DNS-namn med en etikett misslyckas om NetBIOS-namnmatchningen inte är korrekt konfigurerad.

Metod 1: Använd Registereditorn

• Konfiguration av positionerare för domänkontrollant för Windows XP Professional och senare versioner av Windows

  Viktigt!

  Det här avsnittet, metoden eller uppgiften innehåller steg som beskriver hur du ändrar registret. Det kan uppstå allvarliga problem om du gör detta felaktigt. Följ därför noggrant dessa steg. För extra skydd, säkerhetskopiera registret innan du ändrar det. Du kan sedan återställa registret om det uppstår problem. Mer information finns i Säkerhetskopiera och återställa registret i Windows.

  På en Windows-baserad dator kräver en Active Directory-domänmedlem ytterligare konfiguration för att stödja DNS-namn med en etikett för domäner. Mer specifikt använder domänkontrollantens positionerare i Active Directory-domänmedlemmen inte DNS-servertjänsten för att hitta domänkontrollanter i en domän som har ett DNS-namn med en enda etikett, såvida inte Active Directory-domänmedlemmen är ansluten till en skog som innehåller minst en domän och den här domänen har ett DNS-namn med en etikett.

  Följ dessa steg för att göra det möjligt för en Active Directory-domänmedlem att använda DNS för att hitta domänkontrollanter i domäner som har DNS-namn med en etikett som finns i andra skogar:

  1. Välj Start, välj Kör, skriv regedit och välj sedan OK.

  2. Leta upp och välj sedan följande undernyckel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  3. Leta upp posten AllowSingleLabelDnsDomain i informationsfönstret. Om posten AllowSingleLabelDnsDomain inte finns följer du dessa steg:

     1. På menyn Redigera pekar du på Ny och väljer sedan DWORD-värde.
     2. Skriv AllowSingleLabelDnsDomain som postnamn och tryck sedan på RETUR.

  4. Dubbelklicka på posten AllowSingleLabelDnsDomain .

  5. I rutan Värdedata skriver du 1 och väljer sedan OK.

  6. Avsluta Registereditorn.

• DNS-klientkonfiguration

  Viktigt!

  Det här avsnittet, metoden eller uppgiften innehåller steg som beskriver hur du ändrar registret. Det kan uppstå allvarliga problem om du gör detta felaktigt. Följ därför noggrant dessa steg. För extra skydd, säkerhetskopiera registret innan du ändrar det. Du kan sedan återställa registret om det uppstår problem. Mer information finns i Säkerhetskopiera och återställa registret i Windows.

  Active Directory-domänmedlemmar och domänkontrollanter som finns i en domän som har ett DNS-namn med en enda etikett måste vanligtvis dynamiskt registrera DNS-poster i en DNS-zon med en enda etikett som matchar DNS-namnet på den domänen. Om en Active Directory-skogsrotdomän har ett DNS-namn med en etikett måste alla domänkontrollanter i skogen vanligtvis dynamiskt registrera DNS-poster i en DNS-zon med en etikett som matchar DNS-namnet på skogsroten.

  Som standard försöker Windows-baserade DNS-klientdatorer inte dynamiska uppdateringar av rotzonen "." eller dns-zoner med en etikett. Följ dessa steg för att aktivera Windows-baserade DNS-klientdatorer för att prova dynamiska uppdateringar av en DNS-zon med en enda etikett:

  1. Välj Start, välj Kör, skriv regedit och välj sedan OK.

  2. Leta upp och välj sedan följande undernyckel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DnsCache\Parameters

  3. Leta upp posten UpdateTopLevelDomainZones i informationsfönstret . Om posten UpdateTopLevelDomainZones inte finns följer du dessa steg:

     1. På menyn Redigera pekar du på Ny och väljer sedan DWORD-värde.
     2. Skriv UpdateTopLevelDomainZones som postnamn och tryck sedan på RETUR.

  4. Dubbelklicka på posten UpdateTopLevelDomainZones .

  5. I rutan Värdedata skriver du 1 och väljer sedan OK.

  6. Avsluta Registereditorn.

  Dessa konfigurationsändringar bör tillämpas på alla domänkontrollanter och medlemmar i en domän som har DNS-namn med en etikett. Om en domän som har ett enetikettsdomännamn är en skogsrot bör dessa konfigurationsändringar tillämpas på alla domänkontrollanter i skogen, såvida inte de separata zonerna _msdcs. ForestName, _sites. ForestName, _tcp. ForestName, and_udp. ForestName delegeras från ForestName-zonen .

  Starta om datorerna där du ändrade registerposterna för att ändringarna ska börja gälla.

  Kommentar

  • För Windows Server 2003 och senare versioner har posten UpdateTopLevelDomainZones flyttats till följande registerundernyckel:
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient
  • På en Microsoft Windows 2000 SP4-baserad domänkontrollant rapporterar datorn följande namnregistreringsfel i systemhändelseloggen om inställningen UpdateTopLevelDomainZones inte är aktiverad:
  • På en Windows 2000 SP4-baserad domänkontrollant måste du starta om datorn när du har lagt till inställningen UpdateTopLevelDomainZones.

Metod 2: Använd grupprincip

Använd grupprincip för att aktivera principen Uppdatera toppnivådomänzoner och platsen för de domänkontrollanter som är värd för en domän med dns-namnprincip med en etikett enligt följande tabell under mappplatsen på rotdomäncontainern i Användare och datorer, eller på alla organisationsenheter (OUs) som är värd för datorkonton för medlemsdatorer. och för domänkontrollanter i domänen.

Policy	Mappplats
Uppdatera toppnivådomänzoner	Datorkonfiguration\Administrativa mallar\Nätverk\DNS-klient
Plats för de domänkontrollanter som är värd för en domän med DNS-namn med en etikett	Datorkonfiguration\Administrativa mallar\System\Net Logon\DC Locator DNS-poster

Kommentar

Dessa principer stöds endast på Windows Server 2003-baserade datorer och på Windows XP-baserade datorer.

Om du vill aktivera dessa principer följer du dessa steg i rotdomäncontainern:

1. Välj Start, välj Kör, skriv gpedit.msc och välj sedan OK.
2. Under Princip för lokal dator expanderar du Datorkonfiguration.
3. Expandera Administrativa mallar.
4. Aktivera principen Uppdatera toppnivådomänzoner. Gör det genom att följa dessa steg:
   1. Expandera Nätverk.
   2. Välj DNS-klient.
   3. Dubbelklicka på Uppdatera toppnivådomänzoner i informationsfönstret.
   4. Välj Aktiverad.
   5. Tryck på Tillämpa och välj sedan OK.
5. Aktivera platsen för de domänkontrollanter som är värd för en domän med dns-namnprincip med en enda etikett. Gör detta genom att följa dessa steg:
   1. Expandera System.
   2. Expandera Net-inloggning.
   3. Välj DC Locator DNS-poster.
   4. Dubbelklicka på Plats för de domänkontrollanter som är värd för en domän med DNS-namn med en etikett i informationsfönstret.
   5. Välj Aktiverad.
   6. Tryck på Tillämpa och välj sedan OK.
6. Avsluta grupprincip.

På Windows Server 2003-baserade och senare versioner av DNS-servrar kontrollerar du att rotservrar inte skapas oavsiktligt.

På Windows 2000-baserade DNS-servrar kan du behöva ta bort rotzonen "." för att DNS-posterna ska deklareras korrekt. Rotzonen skapas automatiskt när DNS-servertjänsten installeras eftersom DNS-servertjänsten inte kan nå rottipsen. Det här problemet korrigerades i senare versioner av Windows.

Rotservrar kan skapas av DCpromo-guiden. Om zonen "." finns har en rotserver skapats. För att namnmatchningen ska fungera korrekt kan du behöva ta bort den här zonen.

Nya och ändrade DNS-principinställningar för Windows Server 2003 och senare versioner

• Principen Uppdatera domänzoner på toppnivå

  Om den här principen anges skapar den en REG_DWORD UpdateTopLevelDomainZones post under följande registerundernyckel: HKLM\Software\Policies\Microsoft\Windows NT\DNSClient
  Följande är postvärdena för UpdateTopLevelDomainZones: - Enabled (0x1). En 0x1 inställning innebär att datorer kan försöka uppdatera TopLevelDomain-zonerna. UpdateTopLevelDomainZones Om inställningen är aktiverad skickar datorer som den här principen tillämpas på dynamiska uppdateringar till alla zoner som är auktoritativa för de resursposter som datorn måste uppdatera, förutom rotzonen. - Inaktiverad (0x0). En 0x0 inställning innebär att datorer inte får försöka uppdatera TopLevelDomain-zonerna. Om den här inställningen är inaktiverad skickar datorer som den här principen tillämpas på inte dynamiska uppdateringar till rotzonen eller till de toppnivådomänzoner som är auktoritativa för de resursposter som datorn måste uppdatera. Om den här inställningen inte har konfigurerats tillämpas principen inte på några datorer och datorer använder sin lokala konfiguration.

• Principen Registrera PTR-poster

  Ett nytt möjligt värde, 0x2, för REG_DWORD RegisterReverseLookup posten lades till under följande registerundernyckel:
  HKLM\Software\Policies\Microsoft\Windows NT\DNSClient

  Följande är postvärdena för RegisterReverseLookup: – 0x2. Registrera endast om "A"-postregistreringen lyckas. Datorer försöker bara implementera registrering av PTR-resursposter om de har registrerat motsvarande "A"-resursposter. - 0x1. Registrera dig. Datorer försöker implementera PTR-resursregistrering oavsett om "A" registrerar registrering. - 0x0. Registrera dig inte. Datorer försöker aldrig implementera registrering av PTR-resursposter.

Referenser

• Planering av DNS-namnområde

• Det går inte att välja DNS-serverroll när du lägger till en domänkontrollant i en befintlig Active Directory-domän

• ADMT-guide: Migrera och omstrukturera Active Directory-domän

• Admt-guide (Active Directory Migration Tool): Migrera och omstrukturera Active Directory-domän