単一ラベルの DNS 名を使用して構成された Active Directory ドメインの展開と操作

この記事では、単一ラベル DNS 名を使用して構成された Active Directory (AD) ドメインの展開と操作について説明します。

適用対象:  Windows Server 2008 R2 Service Pack 1, Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows 10 Version 1809
元の KB 番号:   300684

要約

単一のラベル ドメイン構成を削除する場合は、ドメインの名前を変更する頻繁な理由です。 この記事のアプリケーション互換性情報は、ドメイン名の変更を検討する可能性があるすべてのシナリオに適用されます。

次の理由から、ベスト プラクティスは、完全修飾 DNS 名を持つ新しい Active Directory ドメインを作成します。

  • インターネット レジストラーを使用して、単一ラベルの DNS 名を登録することはできません。

  • 単一ラベル ドメインに参加しているクライアント コンピューターとドメイン コントローラーでは、単一ラベル DNS ゾーンに DNS レコードを動的に登録するために追加の構成が必要です。

  • クライアント コンピューターとドメイン コントローラーでは、単一ラベルの DNS ゾーンで DNS クエリを解決するために追加の構成が必要な場合があります。

  • 一部のサーバー ベースのアプリケーションは、単一ラベルのドメイン名と互換性がありません。 アプリケーションの最初のリリースにアプリケーション サポートが存在しないか、将来のリリースでサポートが削除される可能性があります。

  • 単一ラベルの名前からDNS ドメイン完全修飾 DNS 名への移行は、簡単ではないと 2 つのオプションで構成されます。 ユーザー コンピューター、グループ、その他の状態を新しいフォレストに移行します。 または、既存のドメインのドメイン名を変更します。 一部のサーバー ベースのアプリケーションは、Windows Server 2003 以降のドメイン コントローラーでサポートされているドメイン名の変更機能と互換性がありません。 これらの非互換性は、単一ラベルの DNS 名を完全修飾ドメイン名に変更しようとするときに、ドメイン名の変更機能をブロックするか、ドメイン名の変更機能を使用するのが難しくなります。

  • サーバー 2008 Dcpromo.exe Active Directory インストール ウィザード (Windows) は、単一ラベルの DNS 名を持つ新しいドメインの作成を警告します。 単一ラベルの DNS 名を持つ新しいドメインを作成するビジネスや技術的な理由はないので、Windows Server 2008 R2 の Active Directory インストール ウィザードは、そのようなドメインの作成を明示的にブロックします。

ドメイン名の変更と互換性のないアプリケーションの例には、次の製品が含まれますが、これらに限定される製品はありません。

  • Microsoft Exchange 2000 Server
  • Microsoft Exchange Server 2007
  • Microsoft Exchange Server 2010
  • Microsoft Exchange Server 2013
  • Microsoft Internet Security and Acceleration (ISA) Server 2004
  • Microsoft Live Communications Server 2005
  • Microsoft Operations Manager 2005
  • Microsoft SharePoint Portal Server 2003
  • Microsoft Systems Management Server (SMS) 2003
  • Microsoft Office Communications Server 2007
  • Microsoft Office Communications Server 2007 R2
  • Microsoft System Center Operations Manager 2007 SP1
  • Microsoft System Center Operations Manager 2007 R2
  • Microsoft Lync Server 2010
  • Microsoft Lync Server 2013

詳細情報

ベスト プラクティスの Active Directory ドメイン名は、1 つ以上のサブドメインで構成され、ドット文字 (".") で区切られたトップ レベル ドメインと組み合わされます。 次に例を示します。

  • contoso.com
  • corp.contoso.com

単一ラベル名は、"contoso" のような 1 つの単語で構成されます。

最上位ドメインは、ドメイン名の右端のラベルを占める。 一般的なトップ レベル ドメインには、次のものが含まれます。

  • .com
  • .net
  • .org
  • 2 文字の国コード (ccTLD) (.nz など)

Active Directory ドメイン名は、現在のオペレーティング システムと将来のオペレーティング システムの 2 つ以上のラベルと、アプリケーションのエクスペリエンスと信頼性で構成する必要があります。

ICANN Security and Stability Advisory Committee によって報告された無効なトップ レベル ドメイン クエリは、ドメイン ネーム システムのルート レベルの無効なトップ レベル ドメイン クエリで 確認できます

インターネット レジストラーを使用した DNS 名の登録

インターネット レジストラーに、最も上位の内部および外部 DNS 名前空間の DNS 名を登録することをお勧めします。 組織名で登録されている DNS 名のサブドメイン (たとえば、フォレスト ルート ドメイン "corp.example.com" が内部の "example.com" のサブドメインである場合を指定しない限り、Active Directory フォレストのフォレスト ルート ドメインが含まれます。 名前空間。)DNS 名をインターネット レジストラーに登録すると、インターネット DNS サーバーは現在または Active Directory フォレストの寿命を超える時点でドメインを解決できます。 また、この登録は、他の組織による名前の競合を防ぐのに役立ちます。

クライアントが単一ラベルの前方参照領域に DNS レコードを動的に登録できない場合に発生する可能性がある現象

環境で単一ラベルの DNS 名を使用する場合、クライアントは単一ラベルの前方参照領域に DNS レコードを動的に登録できない場合があります。 特定の現象は、インストールされている Microsoft Windowsによって異なります。

次の一覧では、発生する可能性がある現象について説明します。

  • 単一のラベル ドメインWindows Microsoft Windowsを構成すると、ドメイン コントローラーの役割を持つすべてのサーバーで DNS レコードを登録できない場合があります。 ドメイン コントローラーのシステム ログには、次の例のような NETLOGON 5781 警告が一貫して記録される場合があります。

    注意

    状態コード 0000232a は、次のエラー コードにマップされます。

    DNS_ERROR_RCODE_SERVER_FAILURE

  • Netdiag.log などのログ ファイルには、次の追加の状態コードとエラー コードが表示される場合があります。

    DNS エラー コード: 0x0000251D = DNS_INFO_NO_RECORDS
    DNS_ERROR_RCODE_ERROR
    RCODE_SERVER_FAILURE

  • Windows DNS 動的更新用に構成されているコンピューターは、1 つのラベル ドメインに登録されません。 次の例のような警告イベントは、コンピューターのシステム ログに記録されます。

シングルラベル DNS Windowsを使用してクエリと動的更新を実行するクライアントを有効にする方法

既定では、Windowsは、トップ レベル のドメインに更新プログラムを送信します。 ただし、このセクションで説明する方法のいずれかを使用して、この動作を変更できます。 次のいずれかの方法を使用して、Windowsベースのクライアントが単一ラベルの DNS ゾーンに対して動的な更新を実行できます。

また、変更なしで、単一ラベルの DNS 名を持つドメインを含むフォレスト内の Active Directory ドメイン メンバーは、DNS Server サービスを使用して、他のフォレストにある単一ラベルの DNS 名を持つドメイン内のドメイン コントローラーを検索しません。 NetBIOS の名前解決が正しく構成されていない場合、単一ラベルの DNS 名を持つドメインへのクライアント アクセスは失敗します。

方法 1: レジストリ エディターを使用する

  • XP のドメイン コントローラー ロケーター構成Windows XP Professional以降のバージョンWindows

    重要

    このセクション、方法、またはタスクには、レジストリの編集方法が記載されています。 レジストリを誤って変更すると、深刻な問題が発生することがあります。 レジストリを変更する際には十分に注意してください。 保護を強化するため、レジストリを変更する前にレジストリをバックアップします。 こうしておけば、問題が発生した場合にレジストリを復元できます。 詳細については、「レジストリをバックアップおよび復元する方法」を参照Windows。

    ドメイン ベースWindows Active Directory ドメイン メンバーは、ドメインの単一ラベル DNS 名をサポートするために追加の構成を必要とします。 具体的には、Active Directory ドメイン メンバーのドメイン コントローラー ロケーターは、少なくとも 1 つのドメインを含むフォレストに Active Directory ドメイン メンバーが参加し、このドメインに単一ラベルの DNS 名を持つドメイン内のドメイン コントローラーを見つけるために DNS サーバー サービスを使用しません。

    Active Directory ドメイン メンバーが DNS を使用して、他のフォレストにある単一ラベルの DNS 名を持つドメイン内のドメイン コントローラーを検索するには、次の手順を実行します。

    1. [ スタート] を 選択し 、[実行] を選択し、「regedit」と入力し、[OK] を 選択します

    2. 次のサブキーを見つけて選択します。 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

    3. 詳細ウィンドウで、 AllowSingleLabelDnsDomain エントリを探 します。 AllowSingleLabelDnsDomain エントリが存在しない場合は、次の手順を実行します。

      1. [編集] メニューの [新規] を ポイントし、[ DWORD 値] を選択します
      2. 入力 名として AllowSingleLabelDnsDomain と入力し、Enter キーを押 します
    4. AllowSingleLabelDnsDomain エントリをダブルクリック します。

    5. [値の データ] ボックス に「1」と入力し、[OK] を 選択します

    6. レジストリ エディターを終了します。

  • DNS クライアントの構成

    重要

    このセクション、方法、またはタスクには、レジストリの編集方法が記載されています。 レジストリを誤って変更すると、深刻な問題が発生することがあります。 レジストリを変更する際には十分に注意してください。 保護を強化するため、レジストリを変更する前にレジストリをバックアップします。 こうしておけば、問題が発生した場合にレジストリを復元できます。 詳細については、「レジストリをバックアップおよび復元する方法」を参照Windows。

    通常、単一ラベルの DNS 名を持つドメイン内にある Active Directory ドメイン メンバーとドメイン コントローラーは、そのドメインの DNS 名と一致する単一ラベルの DNS ゾーンに DNS レコードを動的に登録する必要があります。 Active Directory フォレスト ルート ドメインに単一ラベルの DNS 名がある場合、通常、そのフォレスト内のすべてのドメイン コントローラーは、フォレスト ルートの DNS 名と一致する単一ラベル DNS ゾーンに DNS レコードを動的に登録する必要があります。

    既定では、Windowsベースの DNS クライアント コンピューターは、ルート ゾーン "." または単一ラベル DNS ゾーンの動的更新を試みない。 1 つのWindows DNS クライアント コンピューターが単一ラベル DNS ゾーンの動的更新を試みるを有効にするには、次の手順を実行します。

    1. [ スタート] を 選択し 、[実行] を選択し、「regedit」と入力し、[OK] を 選択します

    2. 次のサブキーを見つけて選択します。 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DnsCache\Parameters

    3. 詳細ウィンドウで、 UpdateTopLevelDomainZones エントリを探 します。 UpdateTopLevelDomainZones エントリが存在しない場合は、次の手順を実行します。

      1. [編集] メニューの [新規] を ポイントし、[ DWORD 値] を選択します
      2. エントリ 名として UpdateTopLevelDomainZones と入力し、Enter キーを押 します
    4. UpdateTopLevelDomainZones エントリをダブルクリック します。

    5. [値の データ] ボックス に「1」と入力し、[OK] を 選択します

    6. レジストリ エディターを終了します。

    これらの構成変更は、単一ラベルの DNS 名を持つドメインのすべてのドメイン コントローラーとメンバーに適用する必要があります。 単一ラベルのドメイン名を持つドメインがフォレスト ルートの場合、これらの構成変更は、別の領域がフォレスト内のすべてのドメイン コントローラーに適用される必要があります(別のゾーンがフォレスト内にある場合を_msdcs。 ForestName、_sites。 ForestName、_tcp。 ForestName、and_udp。 ForestNameForestName ゾーンから委任 されます。

    変更を有効にするには、レジストリ エントリを変更したコンピューターを再起動します。

    注意

    • サーバー 2003 Windows以降のバージョンでは、UpdateTopLevelDomainZones エントリは次のレジストリ サブキーに移動しました。
      HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient
    • Microsoft Windows 2000 SP4 ベースのドメイン コントローラーでは、UpdateTopLevelDomainZones 設定が有効になっていない場合、コンピューターは System イベント ログに次の名前登録エラーを報告します。
    • 2000 SP4 Windowsドメイン コントローラーで、UpdateTopLevelDomainZones 設定を追加した後、コンピューターを再起動する必要があります。

方法 2: グループ ポリシーを使用する

グループ ポリシーを使用して、[ユーザーとコンピューター] のルート ドメイン コンテナー上のフォルダーの場所、またはメンバー コンピューターのコンピューター アカウントをホストしているすべての組織単位 (OUs) で指定されている、単一ラベル DNS 名ポリシーを使用してドメインをホストするドメインをホストするドメインの場所を有効にするには、グループ ポリシーを使用します。 およびドメイン内のドメイン コントローラーの場合。

ポリシー フォルダーの場所
トップ レベルのドメイン ゾーンを更新する コンピューターの構成\管理用テンプレート\ネットワーク\DNS クライアント
単一のラベル DNS 名を持つドメインをホストするドメインの場所 コンピューターの構成\管理用テンプレート\System\Net Logon\DC Locator DNS レコード

注意

これらのポリシーは、サーバー 2003 ベースWindowsおよび XP ベースのコンピューター Windowsでのみサポートされます。

これらのポリシーを有効にするには、ルート ドメイン コンテナーで次の手順を実行します。

  1. [ スタート] を 選択し 、[実行] を選択し、「gpedit.msc」と入力し、[OK] を 選択します
  2. [ ローカル コンピューター ポリシー] で、[ コンピューターの構成 ] を展開します
  3. [管理 用テンプレート] を展開します
  4. [トップ レベル ドメイン ゾーンの更新] ポリシーを有効にします。 これを行うには、次の手順に従います。
    1. [ ネットワーク] を展開します
    2. [ DNS クライアント] を選択します
    3. 詳細ウィンドウで、[トップ レベル ドメイン ゾーン の更新] をダブルクリックします
    4. [有効] を選択します。
    5. [Apply](適用) を選択し、次に [OK] を選択します。
  5. 単一ラベルの DNS 名ポリシーを使用してドメインをホストするドメインの場所を有効にする。 そのためには、次の手順に従います。
    1. [ システム] を展開します
    2. [ネット ログオン] を展開します
    3. [ DC ロケーター DNS レコード] を選択します
    4. 詳細ウィンドウで、単一ラベル DNS 名を持つドメインをホストしているドメインの場所 をダブルクリックします
    5. [有効] を選択します。
    6. [Apply](適用) を選択し、次に [OK] を選択します。
  6. グループ ポリシーを終了します。

サーバー 2003 Windows以降のバージョンの DNS サーバーでは、ルート サーバーが意図せずに作成されるのを確認します。

2000 Windowsベースの DNS サーバーでは、DNS レコードを正しく宣言するには、ルート ゾーン "." を削除する必要があります。 DNS サーバー サービスがルート ヒントに到達できないので、DNS サーバー サービスがインストールされると、ルート ゾーンが自動的に作成されます。 この問題は、以降のバージョンのバージョンで修正Windows。

ルート サーバーは、DCpromo ウィザードによって作成できます。 "." ゾーンが存在する場合は、ルート サーバーが作成されています。 名前の解決が正しく機能するには、この領域を削除する必要があります。

サーバー 2003 以降のバージョンWindows DNS ポリシー設定の新規および変更

  • [トップ レベル ドメイン ゾーンの更新] ポリシー

    このポリシーを指定すると、次の REG_DWORD UpdateTopLevelDomainZones レジストリ サブキーの下にエントリが作成されます。 HKLM\Software\Policies\Microsoft\Windows NT\DNSClient
    次のエントリの値を示します UpdateTopLevelDomainZones。 - 有効 (0x1)。 設定0x1、コンピューターが TopLevelDomain ゾーンを更新しようとする可能性があります。 つまり、 UpdateTopLevelDomainZones この設定が有効になっている場合、このポリシーが適用されているコンピューターは、ルート ゾーンを除き、コンピューターが更新する必要があるリソース レコードの権限を持つ任意の領域に動的更新プログラムを送信します。 - 無効 (0x0)。 この0x0設定は、コンピューターが TopLevelDomain ゾーンの更新を試みる許可を受け取らないという意味です。 つまり、この設定を無効にした場合、このポリシーが適用されているコンピューターは、コンピューターが更新する必要があるリソース レコードの権限を持つルート ゾーンまたはトップ レベルのドメイン 領域に動的更新プログラムを送信しません。 この設定が構成されていない場合、ポリシーは任意のコンピューターに適用され、コンピューターはローカル構成を使用します。

  • PTR レコードの登録 ポリシー

    エントリの新 REG_DWORD RegisterReverseLookup しい0x2値が、次のレジストリ サブキーの下に追加されました。
    HKLM\Software\Policies\Microsoft\Windows NT\DNSClient

    次のエントリの値を示します RegisterReverseLookup。 - 0x2。 "A" レコード登録が成功した場合にのみ登録します。 コンピューターは、対応する "A" リソース レコードを正常に登録した場合にのみ、PTR リソース レコード登録を実装します。 - 0x1。 登録します。 コンピューターは、"A" レコード登録が成功した場合でも、PTR リソース レコード登録を実装します。 - 0x0。 登録しない。 コンピューターは PTR リソース レコード登録を実装しようとは決して行ないます。

関連情報