使用单标签 DNS 名称配置的 Active Directory 域的部署和操作
本文包含有关使用单标签 DNS 名称配置的 Active Directory(AD)域的部署和操作的信息。
原始 KB 数: 300684
总结
想要删除单个标签域配置是重命名域的常见原因。 本文中的应用程序兼容性信息适用于可能考虑重命名域的所有方案。
出于以下原因,最佳做法是创建新的具有完全限定 DNS 名称的 Active Directory 域:
无法使用 Internet 注册机构注册单标签 DNS 名称。
加入单标签域的客户端计算机和域控制器需要其他配置才能在单标签 DNS 区域中动态注册 DNS 记录。
客户端计算机和域控制器可能需要其他配置才能解析单标签 DNS 区域中的 DNS 查询。
某些基于服务器的应用程序与单标签域名不兼容。 应用程序的初始版本中可能不存在应用程序支持,或者将来的版本中可能会删除支持。
从单标签 DNS 域名转换为完全限定的 DNS 名称是一种不简单,由两个选项组成。 将 用户、计算机、组和其他状态迁移到 新林。 或者,对现有域执行域重命名。 某些基于服务器的应用程序与 Windows Server 2003 和较新的域控制器支持的域重命名功能不兼容。 这些不兼容要么阻止域重命名功能,要么在尝试将单标签 DNS 名称重命名为完全限定的域名时,更难使用域重命名功能。
Windows Server 2008 中的 Active Directory 安装向导(Dcpromo.exe)警告不要创建具有单标签 DNS 名称的新域。 由于没有创建具有单标签 DNS 名称的新域的业务或技术原因,因此 Windows Server 2008 R2 中的 Active Directory 安装向导会显式阻止创建此类域。
与域重命名不兼容的应用程序的示例包括但不限于以下产品:
- Microsoft Exchange 2000 Server
- Microsoft Exchange Server 2007
- Microsoft Exchange Server 2010
- Microsoft Exchange Server 2013
- Microsoft Internet 安全性和加速 (ISA) Server 2004
- Microsoft Live Communications Server 2005
- Microsoft Operations Manager 2005
- Microsoft SharePoint Portal Server 2003
- Microsoft Systems Management Server (SMS) 2003
- Microsoft Office Communications Server 2007
- Microsoft Office Communications Server 2007 R2
- Microsoft System Center Operations Manager 2007 SP1
- Microsoft System Center Operations Manager 2007 R2
- Microsoft Lync Server 2010
- Microsoft Lync Server 2013
详细信息
最佳做法 Active Directory 域名由一个或多个子域组成,这些子域与由点字符(“)分隔的顶级域组合在一起。 下面是一些示例:
- contoso.com
- corp.contoso.com
单标签名称由一个单词(如“contoso”)组成。
顶级域占据域名中最右侧的标签。 常见的顶级域包括:
- .com
- .net
- .org
- 双字母国家/地区代码顶级域(ccTLD),如 .nz
Active Directory 域名应包含当前和将来操作系统的两个或多个标签,以及应用程序体验和可靠性。
在域名系统根级别的无效顶级域查询中,可以找到 BIO 安全和稳定性顾问委员会报告的无效顶级域查询。
使用 Internet 注册机构注册 DNS 名称
建议向 Internet 注册机构注册最顶级内部和外部 DNS 命名空间的 DNS 名称。 这包括任何 Active Directory 林的林根域,除非此类名称是组织名称注册的 DNS 名称的子域(例如,林根域“corp.example.com”是内部“example.com”命名空间的子域)。向 Internet 注册机构注册 DNS 名称时,这允许 Internet DNS 服务器立即或在 Active Directory 林的某个时间点解析域。 而且,此注册有助于防止其他组织发生名称冲突。
当客户端无法在单标签向前查找区域中动态注册 DNS 记录时可能出现的症状
如果在环境中使用单标签 DNS 名称,客户端可能无法在单标签向前查找区域中动态注册 DNS 记录。 具体症状因安装的 Microsoft Windows 版本而异。
以下列表描述了可能发生的症状:
为单个标签域名配置 Microsoft Windows 后,具有域控制器角色的所有服务器都可能无法注册 DNS 记录。 域控制器的系统日志可能会持续记录类似于以下示例的 NETLOGON 5781 警告:
注意
状态代码 0000232a 映射到以下错误代码:
DNS_ERROR_RCODE_SERVER_FAILURE
以下附加状态代码和错误代码可能出现在日志文件中,例如Netdiag.log:
DNS 错误代码:0x0000251D = DNS_INFO_NO_RECORDS
DNS_ERROR_RCODE_ERROR
RCODE_SERVER_FAILURE为 DNS 动态更新配置的基于 Windows 的计算机不会在单标签域中注册。 类似于以下示例的警告事件记录在计算机的系统日志中:
如何使基于 Windows 的客户端使用单标签 DNS 区域执行查询和动态更新
默认情况下,Windows 不会将更新发送到顶级域。 但是,可以使用本节中所述的方法之一来更改此行为。 使用以下方法之一,使基于 Windows 的客户端能够对单标签 DNS 区域执行动态更新。
此外,如果不进行修改,林中不包含任何具有单标签 DNS 名称的域的 Active Directory 域成员不会使用 DNS 服务器服务在具有其他林中的单标签 DNS 名称的域中查找域控制器。 如果未正确配置 NetBIOS 名称解析,则对具有单标签 DNS 名称的域的客户端访问将失败。
方法 1:使用注册表编辑器
Windows XP Professional 及更高版本的 Windows 域控制器定位器配置
重要
此部分(或称方法或任务)介绍了修改注册表的步骤。 但是,注册表修改不当可能会出现严重问题。 因此,按以下步骤操作时请务必谨慎。 作为额外保护措施,请在修改注册表之前先将其备份。 如果之后出现问题,您就可以还原注册表。 有关详细信息,请参阅 如何在 Windows 中备份和还原注册表。
在基于 Windows 的计算机上,Active Directory 域成员需要其他配置来支持域的单标签 DNS 名称。 具体而言,Active Directory 域成员上的域控制器定位器不使用 DNS 服务器服务在具有单标签 DNS 名称的域中查找域控制器,除非 Active Directory 域成员加入包含至少一个域的林,并且此域具有单标签 DNS 名称。
若要使 Active Directory 域成员能够使用 DNS 查找具有其他林中单标签 DNS 名称的域中的域控制器,请执行以下步骤:
选择“开始”,选择“运行”,键入 regedit,然后选择“确定”。
找到并选择以下子项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
在详细信息窗格中,找到 AllowSingleLabelDnsDomain 条目。 如果 AllowSingleLabelDnsDomain 条目不存在,请执行以下步骤:
- 在编辑菜单中指向新建,然后选择 DWORD 值。
- 键入 AllowSingleLabelDnsDomain 作为条目名称,然后按 Enter。
双击 AllowSingleLabelDnsDomain 条目。
在 “值”数据 框中,键入 1,然后选择“ 确定”。
退出注册表编辑器。
DNS 客户端配置
重要
此部分(或称方法或任务)介绍了修改注册表的步骤。 但是,注册表修改不当可能会出现严重问题。 因此,按以下步骤操作时请务必谨慎。 作为额外保护措施,请在修改注册表之前先将其备份。 如果之后出现问题,您就可以还原注册表。 有关详细信息,请参阅 如何在 Windows 中备份和还原注册表。
具有单标签 DNS 名称的域中的 Active Directory 域成员和域控制器通常必须在与该域的 DNS 名称匹配的单标签 DNS 区域中动态注册 DNS 记录。 如果 Active Directory 林根域具有单标签 DNS 名称,该林中的所有域控制器通常必须在与林根的 DNS 名称匹配的单标签 DNS 区域中动态注册 DNS 记录。
默认情况下,基于 Windows 的 DNS 客户端计算机不会尝试对根区域“.”或单标签 DNS 区域进行动态更新。 若要启用基于 Windows 的 DNS 客户端计算机以尝试单标签 DNS 区域的动态更新,请执行以下步骤:
选择“开始”,选择“运行”,键入 regedit,然后选择“确定”。
找到并选择以下子项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DnsCache\Parameters
在详细信息窗格中,找到 UpdateTopLevelDomainZones 条目。 如果 UpdateTopLevelDomainZones 条目不存在,请执行以下步骤:
- 在编辑菜单中指向新建,然后选择 DWORD 值。
- 键入 UpdateTopLevelDomainZones 作为条目名称,然后按 Enter。
双击 UpdateTopLevelDomainZones 条目。
在 “值”数据 框中,键入 1,然后选择“ 确定”。
退出注册表编辑器。
这些配置更改应应用于具有单标签 DNS 名称的域的所有域控制器和成员。 如果具有单标签域名的域是林根目录,则这些配置更改应应用于林中的所有域控制器,除非单独的区域_msdcs。 ForestName,_sites。 ForestName,_tcp。 ForestName,and_udp。 ForestName 是从 ForestName 区域委托的。
若要使更改生效,请重启更改注册表项的计算机。
注意
- 对于 Windows Server 2003 及更高版本,UpdateTopLevelDomainZones 条目已移动到以下注册表子项:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient
- 在基于 Windows 2000 SP4 的域控制器Microsoft上,如果未启用 UpdateTopLevelDomainZones 设置,计算机将在系统事件日志中报告以下名称注册错误:
- 在基于 Windows 2000 SP4 的域控制器上,添加 UpdateTopLevelDomainZones 设置后,必须重新启动计算机。
方法 2:使用组策略
使用组策略启用更新顶级域区域策略和托管域的 DC 的位置,该策略具有单个标签 DNS 名称策略的域,如下表中用户和计算机中根域容器上的文件夹位置,或托管成员计算机帐户的所有组织单位(OU) 上指定, 以及域中的域控制器。
策略 | 文件夹位置 |
---|---|
更新顶级域区域 | 计算机配置\管理模板\网络\DNS 客户端 |
托管具有单个标签 DNS 名称的域的 DC 的位置 | 计算机配置\管理模板\系统\Net Logon\DC 定位符 DNS 记录 |
注意
这些策略仅在基于 Windows Server 2003 的计算机和基于 Windows XP 的计算机上受支持。
若要启用这些策略,请对根域容器执行以下步骤:
- 依次选择“开始”、“运行”、“键入 gpedit.msc”,然后选择“确定”。
- 在“本地计算机策略”下,展开“计算机配置”。
- 展开 管理模板。
- 启用更新顶级域区域策略。 为此,请执行以下步骤:
- 展开 网络。
- 选择 DNS 客户端。
- 在详细信息窗格中,双击“ 更新顶级域区域”。
- 选择“启用”。
- 依次选择“应用”、“确定” 。
- 启用托管具有单个标签 DNS 名称策略的域的 DC 的位置。 要实现这一点,请执行下列操作:
- 展开 系统。
- 展开 “网络登录”。
- 选择 DC 定位符 DNS 记录。
- 在详细信息窗格中,双击 托管具有单个标签 DNS 名称的域的 DC 的位置。
- 选择“启用”。
- 依次选择“应用”、“确定” 。
- 退出组策略。
在基于 Windows Server 2003 和更高版本的 DNS 服务器上,确保不会无意中创建根服务器。
在基于 Windows 2000 的 DNS 服务器上,可能需要删除根区域“。”才能正确声明 DNS 记录。 安装 DNS 服务器服务时,会自动创建根区域,因为 DNS 服务器服务无法访问根提示。 此问题已在更高版本的 Windows 中更正。
根服务器可由 DCpromo 向导创建。 如果存在“.”区域,则已创建根服务器。 若要使名称解析正常工作,可能需要删除此区域。
Windows Server 2003 及更高版本的新增和修改的 DNS 策略设置
更新顶级域区域策略
如果指定了此策略,则会在以下注册表子项下创建一个
REG_DWORD UpdateTopLevelDomainZones
条目:HKLM\Software\Policies\Microsoft\Windows NT\DNSClient
以下是 : - 已启用的条目值UpdateTopLevelDomainZones
(0x1)。 0x1设置意味着计算机可能会尝试更新 TopLevelDomain 区域。 也就是说,如果UpdateTopLevelDomainZones
启用此设置,则应用此策略的计算机会将动态更新发送到任何对计算机必须更新的资源记录具有权威性的区域,但根区域除外。 - 已禁用(0x0)。 0x0设置意味着不允许计算机尝试更新 TopLevelDomain 区域。 也就是说,如果禁用此设置,则应用此策略的计算机不会将动态更新发送到根区域或对计算机必须更新的资源记录具有权威性的顶级域区域。 如果未配置此设置,则策略不会应用于任何计算机,并且计算机使用其本地配置。注册 PTR 记录策略
在以下注册表子项下添加了项的新可能值0x2
REG_DWORD RegisterReverseLookup
:
HKLM\Software\Policies\Microsoft\Windows NT\DNSClient
以下是 : - 0x2的条目值
RegisterReverseLookup
。 仅当“A”记录注册成功时注册。 仅当计算机成功注册相应的“A”资源记录时,计算机才会尝试实现 PTR 资源记录注册。 - 0x1。 注册。 计算机尝试实现 PTR 资源记录注册,无论“A”记录注册成功。 - 0x0。 请勿注册。 计算机永远不会尝试实现 PTR 资源记录注册。