Dela via

Namngivningskonventioner i Active Directory för datorer, domäner, platser och organisationsenheter

  • Artikel

Den här artikeln beskriver namngivningskonventionerna för datorkonton i Windows, NetBIOS-domännamn, DNS-domännamn, Active Directory-platser och organisationsenheter (OUs) som definieras i Active Directory-domän Services (AD DS).

Ursprungligt KB-nummer: 909264

Sammanfattning

Följande ämnen tas upp i den här artikeln:

  • Giltiga tecken för namn
  • Minsta och högsta namnlängd
  • Reserverade namn
  • Namn som vi inte rekommenderar
  • Allmänna rekommendationer för stöd för AD DS i små, medelstora och stora distributioner

Alla objekt som namnges i AD DS, Active Directory Application Mode (ADAM) eller Active Directory Lightweight Directory Services (AD LDS) omfattas av en namnmatchningsprocess som baseras på algoritmen som beskrivs i följande artikel:

Du kan inte lägga till ett användarnamn eller ett objektnamn som bara skiljer sig åt med ett tecken med ett diakritiskt tecken.

I den artikeln gäller den här namngivningskonventionen datornamn, organisationsenhetsnamn och platsnamn.

Datornamn

NetBIOS-datornamn

  • Tillåtna tecken: NetBIOS-datornamn kan innehålla alla alfanumeriska tecken förutom de utökade tecken som visas i listan Med otillåtna tecken . Namn kan innehålla en punkt, men namn kan inte börja med en punkt.

    Kommentar

    Microsoft Windows NT tillåter att icke-DNS-namn har period. Perioder ska inte användas i Windows. Om du uppgraderar en dator vars NetBIOS-namn innehåller en punkt ändrar du datornamnet. Mer information finns i Specialtecken senare i det här avsnittet.

  • Otillåtna tecken: NetBIOS-datornamn får inte innehålla följande tecken:

    • omvänt snedstreck (\)
    • snedstreck (/)
    • kolon (:)
    • asterisk (*)
    • frågetecken (?)
    • citattecken (")
    • mindre än tecken (<)
    • större än tecken (>)
    • lodrät stapel (|)
    • Datorer som är medlemmar i en Active Directory-domän kan inte ha namn som bara innehåller siffror. Det här är en DNS-begränsning.

    Mer information om NetBIOS-namnsyntaxen finns i NetBIOS-namnsyntax.

  • Namnlängdsregler:

    • Minsta namnlängd: Ett tecken
    • Maximal namnlängd: 15 tecken

      Kommentar

      Det 16:e tecknet i ett NetBIOS-datornamn är reserverat för att identifiera de funktioner som är installerade på den registrerade nätverksenheten.

  • Reserverade namn: Se Tabell med reserverade ord.

  • Specialtecken: Period (.)

    Ett punkttecken delar upp namnet i en NetBIOS-omfångsidentifierare och datornamnet. NetBIOS-omfångsidentifieraren är en valfri sträng med tecken som identifierar logiska NetBIOS-nätverk som körs på samma fysiska TCP/IP-nätverk. För att NetBIOS ska fungera mellan datorer måste datorerna ha samma NetBIOS-omfångsidentifierare och unika datornamn.

    Användningen av NetBIOS-omfång i namn är en äldre konfiguration. Den bör inte användas i Active Directory-skogar. Mer information om NetBIOS-omfång finns i följande RFC-dokument (Request for Comments):

DNS-värdnamn

  • Tillåtna tecken: DNS-namn får endast innehålla alfabetiska tecken (A-Z), numeriska tecken (0–9), minustecknet (-) och perioden (.). Periodtecken tillåts endast när de används för att avgränsa komponenterna i domännamn.

    Windows domännamnssystem (DNS) stöder Unicode-tecken. Andra implementeringar av DNS stöder inte Unicode-tecken. Undvik Unicode-tecken om frågor skickas till de servrar som använder DNS-implementeringar som inte kommer från Microsoft. Mer information finns i följande RFC:er:

  • Otillåtna tecken: DNS-värdnamn får inte innehålla följande tecken:

    • kommatecken (,)
    • tilde (~)
    • kolon (:)
    • utropstecken (!)
    • snabel-a (@)
    • nummertecken (#)
    • dollartecken ($)
    • procent (%)
    • cirkumflex (^)
    • et-tecken (&)
    • apostrof (')
    • punkt (.)
    • parenteser (())
    • klammerparenteser ({})
    • understreck (_)
    • tomt utrymme (tomt)

      Kommentar

      • Understrecket har en särskild roll. Det tillåts för det första tecknet i SRV-poster efter RFC-definition. Nyare DNS-servrar kan dock också tillåta det var som helst i ett namn. Mer information finns i Efterlevnad av namnbegränsningar för värdar och domäner.

      • Registreringsprocessen för DNS-värdnamn ersätter ett bindestreck (-) med ogiltiga tecken.

  • Namnlängdsregler:

    • FQDN för en domänkontrollant måste vara mindre än 155 byte.
    • Minsta namnlängd: Två tecken
    • Maximal namnlängd: 63 tecken

      Kommentar

      • Om du använder UTF-8-tecken (Unicode) ska du komma ihåg att vissa UTF-8-tecken överskrider en oktett. I så fall kan du inte fastställa storleken på ett namn genom att räkna tecknen. Den maximala storleken på värdnamnet och det fullständigt kvalificerade domännamnet (FQDN) är 63 byte per etikett och 255 byte per FQDN.

      • Windows tillåter inte datornamn som överskrider 15 tecken och du kan inte ange ett DNS-värdnamn som skiljer sig från NetBIOS-värdnamnet. Du kan dock skapa värdhuvuden för en webbplats som finns på en dator. I så fall omfattas värdhuvudena av den här regeln.

  • Ytterligare regler för DNS-värdnamn:

    • Alla tecken bevarar sin skiftlägesformatering förutom ASCII-tecken (American Standard Code for Information Interchange).
    • Det första tecknet i ett DNS-värdnamn måste vara alfabetiskt eller numeriskt.
    • Det sista tecknet får inte vara ett minustecken eller en punkt.
    • Användarsträngar för SDDL(Security Descriptor Definition Language) med två tecken som visas i en välkänd SID-lista kan inte användas. Annars misslyckas åtgärderna för import, export och ta kontrollen.
    • Datorer som är medlemmar i en Active Directory-domän kan inte ha namn som bara innehåller siffror. Det här är en DNS-begränsning.

  • Reserverade namn per RFC: Mer information finns i RFC 952.

    • PORT
    • GW
    • TAC

  • Reserverade namn i Windows: Se Tabell med reserverade ord.

  • Metodtips: När du skapar namn för datorer i en Windows DNS-infrastruktur följer du dessa riktlinjer:

    • Använd ett datornamn som är enkelt för användarna att komma ihåg.

    • Identifiera datorns ägare i datornamnet.

    • Använd ett namn som beskriver syftet med datorn.

    • Matcha Active Directory-domännamnet med det primära DNS-suffixet för datornamnet. Mer information finns i Uppdelade namnområden.

    • Använd ett unikt namn för varje dator i din organisation. Undvik att använda samma datornamn för datorer i olika DNS-domäner.

    • Använd ASCII-tecken. Detta garanterar samverkan med datorer som inte kör Windows.

    • När du använder ASCII-tecken ska du inte använda teckenfall för att ange ägaren eller syftet med en dator. För ASCII-tecken är DNS inte skiftlägeskänsligt. Windows- och Windows-program bevarar inte skiftläge i alla situationer.

    • Använd endast de tecken som visas i RFC 1123. Dessa tecken inkluderar A–Z, a–z, 0–9 och bindestrecket (-). Windows DNS tillåter de flesta UTF-8 tecken i namn. Använd inte utökade ASCII- eller UTF-8-tecken om inte alla DNS-servrar i din miljö stöder dem.

Domännamn

I följande avsnitt beskrivs NetBIOS-domännamn och DNS-domännamn.

NetBIOS-domännamn

  • Tillåtna tecken: NetBIOS-domännamn kan innehålla alla alfanumeriska tecken förutom de utökade tecken som visas i listan Otillåtna tecken . Namn kan innehålla en punkt, men namn kan inte börja med en punkt.

    Kommentar

    Microsoft Windows NT tillåter att icke-DNS-namn har period. Perioder ska inte användas i Active Directory NetBIOS-domännamn. Om du uppgraderar en dator vars NetBIOS-namn innehåller en punkt ändrar du namnet genom att migrera domänen till en ny domänstruktur. Använd inte perioder i nya NetBIOS-domännamn.

    Tecknet & i NetBIOS-domännamn tilläts tidigare och stöds endast i historiska syften. Skapa inte nya Active Directory-domäner vars NetBIOS-domännamn innehåller et-tecken (&) tecken.

  • Otillåtna tecken: Funktionen dns-värdnamnskontroll verifierar NetBIOS-domännamn. Dessa namn får inte innehålla följande tecken:

    • kommatecken (,)
    • tilde (~)
    • kolon (:)
    • utropstecken (!)
    • snabel-a (@)
    • nummertecken (#)
    • dollartecken ($)
    • procent (%)
    • cirkumflex (^)
    • apostrof (')
    • punkt (.)
    • parenteser (())
    • klammerparenteser ({})
    • understreck (_)
    • tomt utrymme (tomt)
    • omvänt snedstreck (\)
    • snedstreck (/)

      Kommentar

      Datorer som är medlemmar i en Active Directory-domän kan inte ha namn som endast innehåller siffror. Det här är en DNS-begränsning.

  • Namnlängdsregler:

    • Minsta namnlängd: Ett tecken
    • Maximal namnlängd: 15 tecken

      Kommentar

      Namnets 16:e tecken är reserverat för att identifiera de funktioner som är installerade på den registrerade nätverksenheten.

  • Reserverade namn i Windows: Se Tabell med reserverade ord. Namnen på en uppgraderad domän kan innehålla ett reserverat ord. Förtroenderelationer med andra domäner misslyckas dock i den här situationen.

  • Specialtecken: Period (.)

    Ett punkttecken delar upp namnet i en NetBIOS-omfångsidentifierare och datornamnet. NetBIOS-omfångsidentifieraren är en valfri sträng med tecken som identifierar logiska NetBIOS-nätverk som körs på samma fysiska TCP/IP-nätverk. För att NetBIOS ska fungera mellan datorer måste datorerna ha samma NetBIOS-omfångsidentifierare och unika datornamn.

    Viktigt!

    Användningen av NetBIOS-omfång i namn är en äldre konfiguration. Den bör inte användas i Active Directory-skogar. Detta är inte ett inneboende problem. Vissa program kan dock filtrera namnet och anta ett DNS-namn om en punkt hittas.

DNS-domännamn

  • Tillåtna tecken: DNS-namn får endast innehålla alfabetiska tecken (A-Z), numeriska tecken (0–9), minustecknet (-) och perioden (.). Periodtecken tillåts endast när de används för att avgränsa komponenterna i domännamn.

    Windows DNS stöder Unicode-tecken. Andra implementeringar av DNS stöder inte Unicode-tecken. Undvik Unicode-tecken om frågor skickas till de servrar som använder DNS-implementeringar som inte kommer från Microsoft. Mer information finns i RFC 952 och RFC 1123.

  • Otillåtna tecken: DNS-domännamn får inte innehålla följande tecken:

    • kommatecken (,)
    • tilde (~)
    • kolon (:)
    • utropstecken (!)
    • snabel-a (@)
    • nummertecken (#)
    • dollartecken ($)
    • procent (%)
    • cirkumflex (^)
    • et-tecken (&)
    • apostrof (')
    • punkt (.)
    • parenteser (())
    • klammerparenteser ({})
    • understreck (_)
    • tomt utrymme (tomt)

      Kommentar

      Understrecket har en särskild roll. Det tillåts för det första tecknet i SRV-poster efter RFC-definition. Men nyare DNS-servrar kan också tillåta det var som helst i ett namn. När du skapar en domän får du ett varningsmeddelande som anger att ett understreck kan orsaka problem för vissa DNS-servrar. Du kan dock fortfarande skapa domänen. Mer information finns i Efterlevnad av namnbegränsningar för värdar och domäner.

  • Ytterligare regler:

    • Alla tecken bevarar sin skiftlägesformatering förutom ASCII-tecken.
    • Det första tecknet måste vara alfabetiskt eller numeriskt.
    • Det sista tecknet får inte vara ett minustecken eller en punkt.

  • Namnlängdsregler:

    • Minsta namnlängd: Två tecken

    • Maximal namnlängd: 255 tecken

      Kommentar

      Om du använder UTF-8-tecken (Unicode) ska du komma ihåg att vissa UTF-8-tecken överskrider en oktett. I så fall kan du inte fastställa storleken på ett namn genom att räkna tecknen. Den maximala storleken på värdnamnet och det fullständiga domännamnet är 63 byte per etikett och 255 byte per FQDN.

    • Den maximala namnlängden baseras på kraven SYSVOL för sökvägar och även på begränsningen MAX_PATH på 260 tecken.
      En sökväg i SYSVOL liknar följande exempel:

      \\<FQDN domain name>\sysvol\<FQDN domain name>\policies\{<policy GUID>}\[user|machine]\<CSE-specific path>

      Kommentar

      • AD FQDN-domännamnet visas i sökvägen två gånger. Därför är längden på ett AD FQDN-domännamn begränsat till 64 tecken.

      • Den <CSE-specifika sökvägen> kan innehålla användarindata, till exempel inloggningsskriptets filnamn. Därför kan det vara betydligt lång.

  • Domännamn med en etikett: DNS-namn med en etikett är namn som inte innehåller ett suffix, till exempel .com, .corp, .net, .orgeller companyname. Värden är till exempel ett DNS-namn med en etikett. De flesta Internetregistratorer tillåter inte registrering av DNS-namn med en etikett.

    I allmänhet rekommenderar vi att du registrerar DNS-namn för interna och externa namnområden med en Internetregistrator. Detta inkluderar DNS-namnen för Active Directory-domäner, såvida inte sådana namn är underdomäner till DNS-namn som är registrerade av ditt organisationsnamn. corp.example.com är till exempel en underdomän till example.com. Om du registrerar ditt DNS-namn hos en Internetregistrator kan du förhindra en namnkollision. En namnkollision kan inträffa om en annan organisation försöker registrera samma DNS-namn, eller om din organisation sammanfogas med en annan organisation som använder samma DNS-namn.

    Problem som är associerade med namnområden med en etikett är:

  • Reserverade namn: Se Tabell med reserverade ord. Använd inte internetdomännamn på den översta nivån, till exempel .com, .netoch .org i ett intranät. Om du använder internetdomännamn på den översta nivån i ett intranät kan datorer på intranätet som också ansluter till Internet uppleva lösningsfel. Undvik dessutom att använda namn som används i specialfunktioner som internetstandard, till exempel .local.

Uppdelade namnområden

Ett osammanhängande namnområde inträffar om en dators primära DNS-suffix inte matchar DNS-domänen som den är medlem i. Ett osammanhängande namnområde inträffar till exempel om en dator som har DNS-namnet dc1.contosocorp.com finns i en domän som har DNS-namnet contoso.com.

Så här inträffar uppdelade namnområden:

  • En primär Windows NT 4.0-domänkontrollant uppgraderas till en Windows 2000 Server-domänkontrollant med hjälp av den ursprungliga versionen av Windows 2000 Server. I nätverksobjektet i Kontrollpanelen definieras flera DNS-suffix.
  • Domänen byter namn när skogen är på funktionsnivån för Windows Server 2003-skogen. Dessutom ändras inte det primära DNS-suffixet för att återspegla det nya DNS-domännamnet.

Effekter av ett osammanhängande namnområde:

Anta att en domänkontrollant med namnet DC1 finns i en Windows NT 4.0-domän vars NetBIOS-domännamn är contoso. Den här domänkontrollanten uppgraderas till Windows 2000 Server. När denna uppgradering sker byts DNS-domänen om till contoso.com. I den ursprungliga versionen av Windows 2000 Server rensar uppgraderingsrutinen kryssrutan som länkar domänkontrollantens primära DNS-suffix till dess DNS-domännamn. Därför är domänkontrollantens primära DNS-suffix windows NT 4.0 DNS-suffix som definierades i söklistan för Windows NT 4.0-suffix. I det här exemplet är DC1.northamerica.contoso.com DNS-namnet.

Domänkontrollanten registrerar dynamiskt sina tjänstplatsposter (SRV) i DNS-zonen som motsvarar dess DNS-domännamn. Domänkontrollanten registrerar dock sina värdposter i DNS-zonen som motsvarar dess primära DNS-suffix.

Mer information om uppdelade namnområden finns i följande artiklar:

Andra faktorer

  • Skogar som ansluter till Internet: Ett DNS-namnområde som ansluter till Internet måste vara en underdomän för en topp- eller andranivådomän för internet-DNS-namnområdet.

  • Maximalt antal domäner i en skog: I Windows Server är det maximala antalet domäner på skogens funktionsnivå 2 1 200. Den här begränsningen är en begränsning för flervärdesattribut som inte är länkade i Windows Server.

  • Metodtips:

    • DNS-namnen för alla noder som kräver namnmatchning inkluderar organisationens INTERNET DNS-domännamn. Eftersom DNS är hierarkiskt växer DNS-domännamnen när du lägger till underdomäner i din organisation. Därför bör du välja ett INTERNET DNS-domännamn som är kort och lätt att komma ihåg. Korta domännamn gör datornamnen också lätta att komma ihåg.

    • Om organisationen har internetnärvaro använder du namn som är relativa till det registrerade INTERNET-DNS-domännamnet. Om du till exempel har registrerat INTERNET DNS-domännamnet contoso.comanvänder du ett DNS-domännamn, till exempel corp.contoso.com för intranätets domännamn.

    • Använd inte namnet på ett befintligt företag eller en befintlig produkt som domännamn. Detta kan orsaka en namnkollision senare.

    • Undvik ett allmänt namn, till exempel domain.localhost. Detta beror på att ett annat företag som du sammanfogar med i framtiden kan följa samma praxis.

    • Använd inte en akronym eller förkortning som domännamn. Användare kan ha svårt att känna igen affärsenheten som en akronym representerar.

    • Undvik att använda understreck (_) i domännamn. Program kan vara mycket RFC-lydiga och avvisa namnet. De kanske inte heller installeras eller fungerar i din domän. Du kan också uppleva problem som påverkar äldre DNS-servrar.

    • Använd inte namnet på en affärsenhet eller en division som domännamn. Affärsenheter och andra divisioner ändras, och dessa domännamn kan vara missvisande eller föråldrade.

    • Använd inte geografiska namn som är svåra att stava och komma ihåg.

    • Undvik att utöka DNS-domännamnshierarkin mer än fem nivåer från rotdomänen. Du kan minska de administrativa kostnaderna genom att begränsa omfattningen av domännamnshierarkin.

    • Om du distribuerar DNS i ett privat nätverk och inte planerar att skapa ett externt namnområde registrerar du dns-domännamnet som du skapar för den interna domänen. Om du försöker använda det på Internet, eller om du ansluter till ett nätverk som ansluter till Internet, kan det hända att namnet inte är tillgängligt.

Webbplatsnamn

Vi rekommenderar att du använder ett giltigt DNS-namn när du skapar ett nytt webbplatsnamn. Annars är webbplatsen endast tillgänglig där en Microsoft DNS-server används. Mer information om giltiga DNS-namn finns i avsnittet DNS-värdnamn.

  • Tillåtna tecken: DNS-namn får endast innehålla alfabetiska tecken (A-Z), numeriska tecken (0–9), minustecknet (-) och perioden (.). Periodtecken tillåts endast om de används för att avgränsa komponenterna i domännamn.

    Windows DNS stöder Unicode-tecken. Andra implementeringar av DNS stöder inte Unicode-tecken. Undvik Unicode-tecken om frågor skickas till de servrar som använder DNS-implementeringar som inte kommer från Microsoft. Mer information finns i RFC 952 och RFC 1123.

  • Otillåtna tecken: DNS-namn får inte innehålla följande tecken:

    • kommatecken (,)
    • tilde (~)
    • kolon (:)
    • utropstecken (!)
    • snabel-a (@)
    • nummertecken (#)
    • dollartecken ($)
    • procent (%)
    • cirkumflex (^)
    • et-tecken (&)
    • apostrof (')
    • punkt (.)
    • parenteser (())
    • klammerparenteser ({})
    • understreck (_)
    • tomt utrymme (tomt)

      Kommentar

      Understrecket har en särskild roll. Det tillåts för det första tecknet i SRV-poster efter RFC-definition. Men nyare DNS-servrar kan också tillåta det var som helst i ett namn. Mer information finns i Efterlevnad av namnbegränsningar för värdar och domäner.

  • Ytterligare regler:

    • Alla tecken utom ASCII-tecken bevarar sin skiftlägesformatering.
    • Det första tecknet måste vara alfabetiskt eller numeriskt.
    • Det sista tecknet får inte vara ett minustecken eller en punkt.

  • Namnlängdsregler:

    • Minsta namnlängd: Ett tecken
    • Maximal namnlängd: 63 tecken

      Kommentar

      Om du använder UTF-8-tecken (Unicode) ska du komma ihåg att vissa UTF-8-tecken överskrider en oktett. I så fall kan du inte fastställa storleken på ett namn genom att räkna tecknen. Dns-namnets maximala längd är 63 byte per etikett.

Organisationsenhetsnamn

  • Tillåtna tecken: Alla tecken tillåts, även utökade tecken. Även om Active Directory - användare och datorer låter dig namnge en organisationsenhet med utökade tecken rekommenderar vi att du använder namn som beskriver syftet med organisationsenheten och som är tillräckligt korta för att enkelt kunna hanteras. Lightweight Directory Access Protocol (LDAP) har inga begränsningar eftersom objektets CN placeras inom citattecken.

  • Otillåtna tecken: Inga tecken tillåts inte.

  • Namnlängdsregler:

    • Minsta namnlängd: Ett tecken
    • Maximal namnlängd: 64 tecken

Särskilda problem för organisationsenheter

När organisationsenheten på domänrotnivå har samma namn som en framtida underdomän kan det uppstå databasproblem. Tänk dig ett scenario där du tar bort en organisationsenhet med namnet marketing för att skapa en underordnad domän som har samma namn. Till exempel marketing.contoso.com (den vänstra etiketten för den underordnade domänens FQDN-namn har samma namn).

Du tar bort organisationsenheten. Under tombstone-livslängden för den borttagna organisationsenheten skapar du en underordnad domän som har samma namn. Sedan tar du bort den underordnade domänen och skapar den sedan en andra gång. I det här scenariot orsakar ett duplicerat postnamn i ESE-databasen en fiktiv namnkollision när den underordnade domänen återskapas. Det här problemet förhindrar att Active Directory Configuration-containern replikeras.

Kommentar

Det här problemet är inte begränsat till domänkontrollant- och organisationsenhetsnamn. En liknande namnkonflikt kan också uppstå för andra RDN-namntyper under vissa förhållanden.

Tabell med reserverade ord

Reserverade ord för namn Windows NT 4.0 Windows 2000 Windows Server 2003 Windows Server 2008 och senare
Anonym X X X X
Autentiserad användare X X X
Batch X X X X
Inbyggd X X X X
Skapare grupp X X X X
Skapare grupp-server X X X X
Skapare ägare X X X X
Skapare ägare server X X X X
Uppringning X X X X
Sammandrag av autentisering X X
DOMÄN X
ENTERPRISE X
Interaktiv X X X X
Internet X X X
LOKAL X X X X
Lokalt system X X
Nätverk X X X X
NÄTVERKSTJÄNST X X
NT-auktoritet X X X X
NT-domän X X X X
NTLM-autentisering X X
NULL X X X X
Proxy X X X
Interaktiv fjärranslutning X X
Begränsad X X X
SCHANNEL-autentisering X X
Själv X X X
Server X X X
TJÄNST X X X X
System X X X X
Terminalserver X X X
Den här organisationen X X
Användare X X
Värld X X X X