共用方式為

使用單一標籤 DNS 名稱設定的 Active Directory 網域部署和作業

  • 發行項

本文包含使用單一標籤 DNS 名稱所設定之 Active Directory (AD) 網域的部署和作業相關信息。

原始 KB 編號: 300684

摘要

想要移除單一卷標網域設定是重新命名網域的常見原因。 本文中的應用程式相容性資訊適用於您可能考慮重新命名網域的所有案例。

基於下列原因,最佳做法是建立具有完整 DNS 名稱的新 Active Directory 網域:

  • 單一標籤 DNS 名稱無法使用因特網註冊機構進行註冊。

  • 加入單一標籤網域的用戶端電腦和域控制器需要額外的設定,才能在單一標籤 DNS 區域中動態註冊 DNS 記錄。

  • 用戶端計算機和域控制器可能需要額外的設定,才能解析單一標籤 DNS 區域中的 DNS 查詢。

  • 某些伺服器型應用程式與單一標籤變數名稱不相容。 應用程式支援可能不存在於應用程式的初始版本中,或未來版本中可能會卸除支援。

  • 從單一標籤 DNS 功能變數名稱轉換為完整 DNS 名稱並非簡單,且包含兩個選項。 將 使用者、計算機、群組和其他狀態移 轉至新的樹系。 或者,執行現有網域的網域重新命名。 某些伺服器型應用程式與 Windows Server 2003 和較新的域控制器所支援的網域重新命名功能不相容。 當您嘗試將單一標籤 DNS 名稱重新命名為完整功能變數名稱時,這些不相容會封鎖網域重新命名功能,或讓網域重新命名功能更困難。

  • Windows Server 2008 中的 Active Directory 安裝精靈(Dcpromo.exe)警告不要建立具有單一卷標 DNS 名稱的新網域。 由於沒有建立具有單一標籤 DNS 名稱的新網域的商務或技術原因,Windows Server 2008 R2 中的 Active Directory 安裝精靈會明確封鎖建立這類網域。

與網域重新命名不相容的應用程式範例包括,但不限於下列產品:

  • Microsoft Exchange 2000 Server
  • Microsoft Exchange Server 2007
  • Microsoft Exchange Server 2010
  • Microsoft Exchange Server 2013
  • Microsoft Internet Security and Acceleration (ISA) Server 2004
  • Microsoft Live Communications Server 2005
  • Microsoft Operations Manager 2005
  • Microsoft SharePoint 入口網站 Server 2003
  • Microsoft系統管理伺服器 (SMS) 2003
  • Microsoft Office Communications Server 2007
  • Microsoft Office Communications Server 2007 R2
  • Microsoft System Center Operations Manager 2007 SP1
  • Microsoft System Center Operations Manager 2007 R2
  • Microsoft Lync Server 2010
  • Microsoft Lync Server 2013

其他相關資訊

最佳做法 Active Directory 功能變數名稱是由一或多個子域所組成,這些子域會與以點字元分隔的最上層網域結合。」。 以下是一些範例:

  • contoso.com
  • corp.contoso.com

單一標籤名稱是由單一單字所組成,例如 「contoso」。。

最上層網域會在功能變數名稱中佔據最右邊的標籤。 常見的最上層網域包括下列各項:

  • com.
  • .net
  • .org
  • 兩個字母的國家/地區代碼最上層網域 (ccTLD) 例如 .nz

Active Directory 功能變數名稱應該包含目前和未來操作系統的兩個或多個標籤,以及應用程式體驗和可靠性。

在域名系統根層級的無效最上層網域查詢中,可以找到 IL 安全性與穩定性諮詢委員會所報告的無效最上層網域查詢。

向因特網註冊機構註冊 DNS 名稱

建議您向因特網註冊機構註冊最上層內部和外部 DNS 命名空間的 DNS 名稱。 這包括任何 Active Directory 樹系的樹系根域,除非這類名稱是組織名稱所註冊的 DNS 名稱子域(例如,樹系根域 “corp.example.com” 是內部 “example.com” 命名空間的子域。當您向因特網註冊機構註冊 DNS 名稱時,這可讓因特網 DNS 伺服器立即或在某些時間點解析 Active Directory 樹系的存留期。 而且,此註冊有助於防止其他組織可能的名稱衝突。

當客戶端無法在單一標籤正向對應區域中動態註冊 DNS 記錄時的可能徵兆

如果您在環境中使用單一標籤 DNS 名稱,用戶端可能無法在單一標籤向前查閱區域中動態註冊 DNS 記錄。 特定徵兆會根據安裝的 windows Microsoft 版本而有所不同。

下列清單描述可能發生的徵兆:

  • 設定Microsoft Windows 的單一標籤變數名稱之後,具有域控制器角色的所有伺服器都可能無法註冊 DNS 記錄。 域控制器的系統記錄檔可能會持續記錄類似下列範例的 NETLOGON 5781 警告:

    注意

    狀態代碼 0000232a 會對應至下列錯誤碼:

    DNS_ERROR_RCODE_SERVER_FAILURE

  • 下列其他狀態代碼和錯誤碼可能會出現在記錄檔中,例如Netdiag.log:

    DNS 錯誤碼:0x0000251D = DNS_INFO_NO_RECORDS
    DNS_ERROR_RCODE_ERROR
    RCODE_SERVER_FAILURE

  • 針對 DNS 動態更新設定的 Windows 計算機不會在單一標籤網域中註冊。 類似下列範例的警告事件會記錄在電腦的系統記錄檔中:

如何讓 Windows 型用戶端使用單一標籤 DNS 區域執行查詢和動態更新

根據預設,Windows 不會將更新傳送至最上層網域。 不過,您可以使用本節所述的其中一種方法來變更此行為。 使用下列其中一種方法,讓 Windows 型用戶端能夠對單一標籤 DNS 區域執行動態更新。

此外,不需修改,樹系中的 Active Directory 網域成員不包含任何具有單一標籤 DNS 名稱的網域,並不會使用 DNS 伺服器服務在具有其他樹系中單一標籤 DNS 名稱的網域中尋找域控制器。 如果未正確設定 NetBIOS 名稱解析,則具有單一標籤 DNS 名稱的網域的用戶端存取會失敗。

方法 1:使用註冊表編輯器

  • 適用於 Windows XP Professional 和更新版本的 Windows 域控制器定位器設定

    重要

    這個章節、方法或工作包含修改登錄的步驟。 然而,不當修改登錄可能會發生嚴重的問題。 因此,請務必小心執行下列步驟。 為增加保護起見,請先備份登錄,再進行修改。 然後,如果發生問題,您就可以還原登錄。 如需詳細資訊,請參閱 如何在 Windows 中備份和還原登錄。

    在 Windows 電腦上,Active Directory 網域成員需要額外的設定,以支援網域的單一標籤 DNS 名稱。 具體而言,Active Directory 網域成員上的域控制器定位器不會使用 DNS 伺服器服務,在具有單一卷標 DNS 名稱的網域中尋找域控制器,除非 Active Directory 網域成員加入包含至少一個網域的樹系,而且此網域具有單一卷標 DNS 名稱。

    若要讓 Active Directory 網域成員使用 DNS 在具有其他樹系中單一標籤 DNS 名稱的網域中尋找域控制器,請遵循下列步驟:

    1. 選取 [開始],選取 [執行],輸入 regedit,然後選取 [確定]。

    2. 找出並選取下列子機碼: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

    3. 在詳細數據窗格中,找出 AllowSingleLabelDnsDomain 專案。 如果 AllowSingleLabelDnsDomain 專案不存在,請遵循下列步驟:

      1. 在 [ 編輯 ] 功能表上,指向 [ 新增],然後選取 [DWORD 值]。
      2. 輸入 AllowSingleLabelDnsDomain 作為專案名稱,然後按 ENTER

    4. 按兩下 AllowSingleLabelDnsDomain 專案。

    5. 在 [ 值數據 ] 方塊中,輸入 1,然後選取 [ 確定]。

    6. 結束登錄編輯程式。

  • DNS 用戶端設定

    重要

    這個章節、方法或工作包含修改登錄的步驟。 然而,不當修改登錄可能會發生嚴重的問題。 因此,請務必小心執行下列步驟。 為增加保護起見,請先備份登錄,再進行修改。 然後,如果發生問題,您就可以還原登錄。 如需詳細資訊,請參閱 如何在 Windows 中備份和還原登錄。

    在具有單一標籤 DNS 名稱之網域中的 Active Directory 網域成員和域控制器,通常必須在符合該網域 DNS 名稱的單一標籤 DNS 區域中動態註冊 DNS 記錄。 如果 Active Directory 樹系根域具有單一標籤 DNS 名稱,該樹系中的所有域控制器通常都必須在符合樹系根目錄 DNS 名稱的單一卷標 DNS 區域中動態註冊 DNS 記錄。

    根據預設,Windows 型 DNS 用戶端電腦不會嘗試動態更新根區域 「.」 或單一標籤 DNS 區域。 若要讓 Windows 型 DNS 用戶端電腦嘗試單一標籤 DNS 區域的動態更新,請遵循下列步驟:

    1. 選取 [開始],選取 [執行],輸入 regedit,然後選取 [確定]。

    2. 找出並選取下列子機碼: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DnsCache\Parameters

    3. 在詳細數據窗格中,找出 UpdateTopLevelDomainZones 專案。 如果 UpdateTopLevelDomainZones 專案不存在,請遵循下列步驟:

      1. 在 [ 編輯 ] 功能表上,指向 [ 新增],然後選取 [DWORD 值]。
      2. 輸入 UpdateTopLevelDomainZones 作為專案名稱,然後按 ENTER

    4. 按兩下 UpdateTopLevelDomainZones 專案。

    5. 在 [ 值數據 ] 方塊中,輸入 1,然後選取 [ 確定]。

    6. 結束登錄編輯程式。

    這些設定變更應該套用至具有單一標籤 DNS 名稱之網域的所有域控制器和成員。 如果具有單一卷標功能變數名稱的網域是樹系根目錄,則除非個別區域_msdcs,否則這些組態變更應該套用至樹系中的所有域控制器。 ForestName,_sites。 ForestName,_tcp。 ForestName,and_udpForestName 是從 ForestName 區域委派。

    若要讓變更生效,請重新啟動您變更登錄項目的計算機。

    注意

    • 針對 Windows Server 2003 和更新版本,UpdateTopLevelDomainZones 專案已移至下列登錄子機碼:
      HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient
    • 在Microsoft Windows 2000 SP4 型域控制器上,如果未啟用 UpdateTopLevelDomainZones 設定,計算機會在系統事件記錄檔中報告下列名稱註冊錯誤:
    • 在 Windows 2000 SP4 型域控制器上,您必須在新增 UpdateTopLevelDomainZones 設定之後重新啟動電腦。

方法 2:使用組策略

使用組策略來啟用更新最上層網域區域原則,以及裝載具有單一標籤 DNS 名稱原則之網域的 DC 位置,如下表所指定,位於使用者和計算機根域容器的資料夾位置底下,或主控電腦之所有組織單位 (OU) 上的成員電腦帳戶, 和,適用於網域中的域控制器。

原則 資料夾位置
更新最上層網域區域 計算機設定\系統管理範本\網络\DNS 用戶端
裝載具有單一標籤 DNS 名稱之網域的 DC 位置 計算機設定\系統管理範本\系統\Net Logon\DC 定位器 DNS 記錄

注意

這些原則僅在 Windows Server 2003 型電腦和 Windows XP 型電腦上受到支援。

若要啟用這些原則,請遵循根域容器上的下列步驟:

  1. 選取 [開始],選取 [執行],輸入 gpedit.msc,然後選取 [確定]。
  2. 在 [本機計算機原則] 底下,展開 [計算機設定]。
  3. 展開 [ 系統管理範本]。
  4. 啟用更新最上層網域區域原則。 若要這樣做,請遵循下列步驟:
    1. 展開 [ 網络]。
    2. 選取 [ DNS 用戶端]。
    3. 在詳細數據窗格中,按兩下 [ 更新最上層網域區域]。
    4. 選取 [啟用]
    5. 選取 [套用],然後選取 [確定]
  5. 啟用裝載具有單一標籤 DNS 名稱原則之網域之 DC 的位置。 若要這樣做,請執行下列步驟:
    1. 展開 [系統]。
    2. 展開 [Net Logon]。
    3. 選取 [ DC 定位器 DNS 記錄]。
    4. 在詳細數據窗格中,按兩下 裝載具有單一卷標 DNS 名稱之網域之DC的位置。
    5. 選取 [啟用]
    6. 選取 [套用],然後選取 [確定]
  6. 結束組策略。

在 Windows Server 2003 型和更新版本的 DNS 伺服器上,確定不會意外建立根伺服器。

在 Windows 2000 型 DNS 伺服器上,您可能必須刪除根區域 “.” 才能正確宣告 DNS 記錄。 安裝 DNS 伺服器服務時,系統會自動建立根區域,因為 DNS 伺服器服務無法連線到根提示。 此問題已在更新版本的 Windows 中修正。

根伺服器可由 DCpromo 精靈建立。 如果 「.」 區域存在,則已建立根伺服器。 若要讓名稱解析正常運作,您可能需要移除此區域。

Windows Server 2003 和更新版本的新增和修改 DNS 原則設定

  • 更新最上層網域區域原則

    如果指定此原則,它會在下列登錄子機碼下建立 REG_DWORD UpdateTopLevelDomainZones 專案: HKLM\Software\Policies\Microsoft\Windows NT\DNSClient
    以下是 的專案值 UpdateTopLevelDomainZones: - Enabled (0x1)。 0x1設定表示計算機可能會嘗試更新 TopLevelDomain 區域。 也就是說,如果 UpdateTopLevelDomainZones 啟用設定,套用此原則的計算機會將動態更新傳送至計算機必須更新之資源記錄授權的任何區域,但根區域除外。 - 已停用(0x0)。 0x0設定表示不允許電腦嘗試更新 TopLevelDomain 區域。 也就是說,如果停用此設定,則套用此原則的計算機不會將動態更新傳送至根區域,也不會傳送至計算機必須更新的資源記錄授權的最上層網域區域。 如果未設定此設定,則不會將原則套用至任何計算機,而且計算機會使用其本機設定。

  • 註冊 PTR 記錄 原則

    在下列登錄子機碼下新增了專案的新可能值0x2 REG_DWORD RegisterReverseLookup
    HKLM\Software\Policies\Microsoft\Windows NT\DNSClient

    以下是 的項目值 RegisterReverseLookup: - 0x2。 只有在 「A」 記錄註冊成功時才註冊。 只有在計算機成功註冊對應的 「A」 資源記錄時,計算機才會嘗試實作 PTR 資源記錄註冊。 - 0x1。 註冊。 計算機嘗試實作 PTR 資源記錄註冊,無論 「A」 記錄註冊成功。 - 0x0。 請勿註冊。 計算機永遠不會嘗試實作 PTR 資源記錄註冊。

參考資料