単一ラベル DNS 名を使用して構成された Active Directory ドメインの展開と操作

この記事では、単一ラベル DNS 名を使用して構成された Active Directory (AD) ドメインの展開と操作について説明します。

元の製品バージョン:   Windows Server 2008 R2 Service Pack 1、Windows Server 2012 R2、Windows Server 2016、Windows Server 2019、Windows 10 バージョン 1809
元の KB 番号:   300684

まとめ

単一ラベルのドメイン構成を削除する場合、ドメインの名前を変更する理由は頻繁に発生します。 この記事のアプリケーション互換性情報は、ドメイン名の変更を検討する可能性があるすべてのシナリオに適用されます。

以下の理由から、ベスト プラクティスは、完全修飾 DNS 名を持つ新しい Active Directory ドメインを作成する方法です。

  • 単一ラベル DNS 名は、インターネット レジストラーを使用して登録できません。

  • 単一ラベル ドメインに参加しているクライアント コンピューターとドメイン コントローラーでは、単一ラベル DNS ゾーンに DNS レコードを動的に登録するために追加の構成が必要です。

  • クライアント コンピューターとドメイン コントローラーでは、単一ラベル DNS ゾーンで DNS クエリを解決するために追加の構成が必要な場合があります。

  • 一部のサーバー ベースのアプリケーションは、単一ラベルのドメイン名と互換性がありません。 アプリケーション サポートは、アプリケーションの初期リリースには存在しないか、将来のリリースでサポートが削除される可能性があります。

  • 単一ラベルの名前DNS ドメイン完全修飾 DNS 名に切り替えは簡単で、2 つのオプションで構成されます。 ユーザー コンピューター、グループ、その他の状態を新しいフォレストに移行します。 または、既存のドメインのドメイン名を変更します。 一部のサーバー ベースのアプリケーションは、Windows Server 2003 以降のドメイン コントローラーでサポートされているドメイン名の変更機能と互換性がありません。 これらの非互換性は、ドメイン名の変更機能をブロックするか、単一ラベルの DNS 名を完全修飾ドメイン名に変更しようとするときにドメイン名変更機能の使用をより困難にします。

  • Windows Server 2008 の Active Directory インストール ウィザード (Dcpromo.exe) は、単一ラベルの DNS 名を持つ新しいドメインの作成に対して警告を表示します。 単一ラベルの DNS 名を持つ新しいドメインを作成するビジネス上または技術的な理由はないので、Windows Server 2008 R2 の Active Directory インストール ウィザードはそのようなドメインの作成を明示的にブロックします。

ドメイン名の変更と互換性のないアプリケーションの例には、次の製品が含まれますが、これらに限定される製品はありません。

  • Microsoft Exchange 2000 Server
  • Microsoft Exchange Server 2007
  • Microsoft Exchange Server 2010
  • Microsoft Exchange Server 2013
  • Microsoft Internet Security and Acceleration (ISA) Server 2004
  • Microsoft Live Communications Server 2005
  • Microsoft Operations Manager 2005
  • Microsoft SharePoint Portal Server 2003
  • Microsoft Systems Management Server (SMS) 2003
  • Microsoft Office Communications Server 2007
  • Microsoft Office Communications Server 2007 R2
  • Microsoft System Center Operations Manager 2007 SP1
  • Microsoft System Center Operations Manager 2007 R2
  • Microsoft Lync Server 2010
  • Microsoft Lync Server 2013

詳細情報

ベスト プラクティスの Active Directory ドメイン名は、ドット文字 (".") で区切られたトップ レベル ドメインと結合された 1 つ以上のサブドメインで構成されます。 次に例を示します。

  • contoso.com
  • corp.contoso.com

単一ラベル名は、"contoso" のような 1 つの単語で構成されます。

最上位のドメインは、ドメイン名の右端のラベルを占める。 一般的なトップ レベル ドメインは次のとおりです。

  • .com
  • .net
  • .org
  • .nz などの 2 文字の国コードのトップ レベル ドメイン (ccTLD)

Active Directory ドメイン名は、現在および将来のオペレーティング システムの 2 つ以上のラベルと、アプリケーションのエクスペリエンスと信頼性で構成する必要があります。

ICANN Security and Stability Advisory Committee によって報告された無効なトップ レベル ドメイン クエリは、無効なトップ レベル ドメイン クエリでドメイン ネーム システムのルート レベルで 見つかる可能性があります

インターネット レジストラーへの DNS 名の登録

インターネット レジストラーに、最も多くの内部および外部 DNS 名前空間の DNS 名を登録することをお勧めします。 組織名によって登録された DNS 名のサブドメイン (たとえば、フォレスト ルート ドメイン "corp.example.com" は内部 "example.com" のサブドメイン) である場合を含む Active Directory フォレストのフォレスト ルート ドメインです。 namespace.)DNS 名をインターネット レジストラーに登録すると、インターネット DNS サーバーは、Active Directory フォレストの使用を終わった時点またはある時点でドメインを解決できます。 また、この登録は、他の組織による名前の競合を防ぐのに役立ちます。

クライアントが単一ラベルの前方参照ゾーンに DNS レコードを動的に登録できない場合に発生する可能性がある現象

環境で単一ラベルの DNS 名を使用する場合、クライアントは単一ラベルの前方参照ゾーンに DNS レコードを動的に登録できない可能性があります。 特定の現象は、インストールされている Microsoft Windows のバージョンによって異なります。

次に、発生する可能性がある現象を示します。

  • 1 つのラベル ドメイン名に Microsoft Windows を構成すると、ドメイン コントローラーの役割を持つすべてのサーバーが DNS レコードを登録できない可能性があります。 ドメイン コントローラーのシステム ログには、次の例のような NETLOGON 5781 警告が一貫して記録される場合があります。

    注意

    状態コード 0000232a は、次のエラー コードにマップされます。

    DNS_ERROR_RCODE_SERVER_FAILURE

  • Netdiag.log などのログ ファイルには、次の追加の状態コードとエラー コードが表示される場合があります。

    DNS エラー コード: 0x0000251D = DNS_INFO_NO_RECORDS
    DNS_ERROR_RCODE_ERROR
    RCODE_SERVER_FAILURE

  • DNS 動的更新用に構成された Windows ベースのコンピューターは、単一ラベル ドメインに登録されません。 次の例のような警告イベントは、コンピューターのシステム ログに記録されます。

Windows ベースのクライアントが単一ラベル DNS ゾーンでクエリと動的更新を実行する方法

既定では、Windows は更新プログラムをトップ レベル ドメインに送信します。 ただし、この動作は、このセクションで説明するメソッドのいずれかを使用して変更できます。 次のいずれかの方法を使用して、Windows ベースのクライアントが単一ラベル DNS ゾーンに対して動的な更新を実行できます。

また、変更なしで、単一ラベルの DNS 名を持つドメインを含むフォレスト内の Active Directory ドメイン メンバーは、DNS サーバー サービスを使用して、他のフォレストにある単一ラベルの DNS 名を持つドメイン内のドメイン コントローラーを検索しません。 NetBIOS 名前解決が正しく構成されていない場合、単一ラベルの DNS 名を持つドメインへのクライアント アクセスは失敗します。

方法 1: レジストリ エディターを使用する

  • Windows XP Professional 以降のバージョンの Windows のドメイン コントローラー ロケーター構成

    重要

    このセクション、方法、またはタスクには、レジストリの編集方法が記載されています。 レジストリを誤って変更すると、深刻な問題が発生することがあります。 レジストリを変更する際には十分に注意してください。 保護を強化するため、レジストリを変更する前にレジストリをバックアップします。 こうしておけば、問題が発生した場合にレジストリを復元できます。 詳しくは 、Windows でレジストリをバックアップおよび復元する方法に関するページをご覧ください

    Windows ベースのコンピューターでは、Active Directory ドメイン メンバーは、ドメインの単一ラベル DNS 名をサポートするために追加の構成を必要とします。 具体的には、Active Directory ドメイン メンバーのドメイン コントローラー 細分機能は、Active Directory ドメイン メンバーが少なくとも 1 つのドメインを含むフォレストに参加し、このドメインに単一ラベルの DNS 名が付いてない限り、単一ラベルの DNS 名を持つドメイン内のドメイン コントローラーを見つけるために DNS サーバー サービスを使用しません。

    Active Directory ドメイン メンバーが DNS を使用して、他のフォレストにある単一ラベルの DNS 名を持つドメイン内のドメイン コントローラーを検索するには、次の手順を実行します。

    1. [ スタート] ボタンを選択し、[ ファイル名を指定して実行] を選択し、「regedit」と入力して 、[OK] を選択します

    2. 次のサブキーを見つけて選択します。 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

    3. 詳細ウィンドウで 、AllowSingleLabelDnsDomain エントリを探 します。 AllowSingleLabelDnsDomain エントリが存在しない場合は、次の手順を実行します。

      1. [編集]メニューの[新規] をポイント **、[DWORD 値] を選択します**。
      2. 入力 名として「AllowSingleLabelDnsDomain」 と入力し 、Enter キーを押します。
    4. AllowSingleLabelDnsDomain エントリをダブルクリック します。

    5. [値] データ ボックスに 「1」と入力し 、[OK] を選択します。

    6. レジストリ エディターを終了します。

  • DNS クライアントの構成

    重要

    このセクション、方法、またはタスクには、レジストリの編集方法が記載されています。 レジストリを誤って変更すると、深刻な問題が発生することがあります。 レジストリを変更する際には十分に注意してください。 保護を強化するため、レジストリを変更する前にレジストリをバックアップします。 こうしておけば、問題が発生した場合にレジストリを復元できます。 詳しくは 、Windows でレジストリをバックアップおよび復元する方法に関するページをご覧ください

    通常、単一ラベルの DNS 名を持つドメイン内の Active Directory ドメイン メンバーとドメイン コントローラーは、そのドメインの DNS 名と一致する単一ラベルの DNS ゾーンに DNS レコードを動的に登録する必要があります。 Active Directory フォレストのルート ドメインに単一ラベルの DNS 名がある場合、そのフォレスト内のすべてのドメイン コントローラーは、通常、フォレスト ルートの DNS 名と一致する単一ラベルの DNS ゾーンに DNS レコードを動的に登録する必要があります。

    既定では、Windows ベースの DNS クライアント コンピューターは、ルート ゾーン "." や単一ラベルの DNS ゾーンの動的な更新を試みていません。 Windows ベースの DNS クライアント コンピューターが単一ラベル DNS ゾーンの動的更新を試みるのを有効にするには、次の手順を実行します。

    1. [ スタート] ボタンを選択し、[ ファイル名を指定して実行] を選択し、「regedit」と入力して 、[OK] を選択します

    2. 次のサブキーを見つけて選択します。 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DnsCache\Parameters

    3. 詳細ウィンドウで 、UpdateTopLevelDomainZones エントリを探 します。 UpdateTopLevelDomainZones エントリが存在しない場合は、次の手順を実行します。

      1. [編集]メニューの[新規] をポイント **、[DWORD 値] を選択します**。
      2. エントリ 名として「UpdateTopLevelDomainZones」 と入力し 、Enter キーを押します。
    4. UpdateTopLevelDomainZones エントリをダブルクリック します。

    5. [値] データ ボックスに 「1」と入力し 、[OK] を選択します。

    6. レジストリ エディターを終了します。

    これらの構成の変更は、すべてのドメイン コントローラーと、単一ラベルの DNS 名を持つドメインのメンバーに適用する必要があります。 単一ラベルのドメイン名を持つドメインがフォレスト ルートの場合、これらの構成の変更は、個別のゾーンが定義されていない限り、フォレスト内のすべてのドメイン コントローラーに適用_msdcs。 ForestName、_sites。 ForestName、_tcp。 ForestName、 および _udp。 ForestNameForestName ゾーンから委任 されます。

    変更を有効にするには、レジストリ エントリを変更したコンピューターを再起動します。

    注意

    • Windows Server 2003 以降のバージョンでは、UpdateTopLevelDomainZones エントリは次のレジストリ サブキーに移動しました。
      HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient
    • Microsoft Windows 2000 SP4 ベースのドメイン コントローラーで、UpdateTopLevelDomainZones 設定が有効になっていない場合、コンピューターはシステム イベント ログに次の名前登録エラーを報告します。
    • Windows 2000 SP4 ベースのドメイン コントローラーでは、UpdateTopLevelDomainZones 設定を追加した後、コンピューターを再起動する必要があります。

方法 2: グループ ポリシーを使用する

グループ ポリシーを使用して、[ユーザーとコンピューター] のルート ドメイン コンテナー上のフォルダーの場所、またはメンバー コンピューターのコンピューター アカウントをホストする組織単位 (US) すべて、およびドメイン内のドメイン コントローラーで指定されている、単一ラベルの DNS 名ポリシーを持つドメインをホストしているドメインの場所と、トップ レベル ドメイン ゾーンの更新ポリシーとドメインの場所を有効にします。

ポリシー フォルダーの場所
トップ レベル ドメイン ゾーンを更新する コンピューターの構成\管理用テンプレート\ネットワーク\DNS クライアント
単一ラベルの DNS 名を持つドメインをホストしている PC の場所 コンピューターの構成\管理用テンプレート\システム\Net Logon\DC Locator DNS レコード

注意

これらのポリシーは、Windows Server 2003 ベースのコンピューターおよび Windows XP ベースのコンピューターでのみサポートされます。

これらのポリシーを有効にするには、ルート ドメイン コンテナーで次の手順を実行します。

  1. [ スタート] ボタンを 選択し 、[ファイル 名を指定して実行] を選択し、「gpedit.msc」と入力して 、[OK] を選択します
  2. [ ローカル コンピューター ポリシー] で、[ コンピューターの構成 ] を展開します
  3. [管理 用テンプレート] を展開します
  4. [トップ レベル ドメイン ゾーンの更新] ポリシーを有効にします。 これを行うには、次の手順を実行します。
    1. [ネットワーク ] を展開します
    2. [DNS クライアント] を選択します
    3. 詳細ウィンドウで、[トップ レベル ドメイン ゾーンの 更新] をダブルクリックします
    4. [有効] を選択します。
    5. [適用 ] を 選択し 、[OK] を選択します
  5. 単一ラベルの DNS 名ポリシーを使用してドメインをホストしている PC の場所を有効にする。 これを行うには、次の手順を実行します。
    1. [ システム] を展開します
    2. [Net Logon] を展開します
    3. DC Locator DNS レコードを選択します
    4. 詳細ウィンドウで、単一ラベルの DNS 名を持つドメインをホストしている PC の 場所をダブルクリックします
    5. [有効] を選択します。
    6. [適用 ] を 選択し 、[OK] を選択します
  6. グループ ポリシーを終了します。

Windows Server 2003 ベースおよび以降のバージョンの DNS サーバーでは、ルート サーバーが意図せずに作成されていないか確認します。

Windows 2000 ベースの DNS サーバーでは、DNS レコードを正しく宣言するためにルート ゾーン "." の削除が必要な場合があります。 ルート ゾーンは、DNS サーバー サービスがルート ヒントに到達できないので、DNS サーバー サービスのインストール時に自動的に作成されます。 この問題は、Windows の新しいバージョンで修正されました。

ルート サーバーは、DCpromo ウィザードによって作成できます。 "." ゾーンが存在する場合は、ルート サーバーが作成されています。 名前解決が正しく機能するには、このゾーンを削除する必要がある場合があります。

Windows Server 2003 以降のバージョンの新規および変更された DNS ポリシー設定

  • [トップ レベル ドメイン ゾーンの更新] ポリシー

    このポリシーを指定すると、次のレジストリ サブキーの REG_DWORD UpdateTopLevelDomainZones 下にエントリが作成されます。 HKLM\Software\Policies\Microsoft\Windows NT\DNSClient
    次のエントリ値を示します UpdateTopLevelDomainZones 。 - 有効 (0x1)。 0x1 設定は、コンピューターが TopLevelDomain ゾーンの更新を試みる可能性を意味します。 つまり、この設定が有効になっている場合、このポリシーが適用されているコンピューターは、ルート ゾーンを除いて、コンピューターが更新する必要があるリソース レコードに対して権限があるゾーンに動的更新を送信します。 UpdateTopLevelDomainZones - 無効 (0x0)。 0x0 の設定は、コンピューターが TopLevelDomain ゾーンの更新を試みない場合を意味します。 つまり、この設定が無効になっている場合、このポリシーが適用されているコンピューターは、ルート ゾーンまたはコンピューターが更新する必要があるリソース レコードに対して権限のあるトップ レベル ドメイン ゾーンに動的な更新を送信しません。 この設定が構成されていない場合、ポリシーはコンピューターに適用されません。コンピューターはローカル構成を使用します。

  • PTR レコードの登録 ポリシー

    エントリの新しい値 0x2 が、次のレジストリ サブ REG_DWORD RegisterReverseLookup キーの下に追加されました。
    HKLM\Software\Policies\Microsoft\Windows NT\DNSClient

    次のエントリ値を示します RegisterReverseLookup 。 - 0x2。 "A" レコードの登録が成功した場合にのみ登録します。 コンピューターは、対応する "A" リソース レコードが正常に登録された場合にのみ、PTR リソース レコードの登録を実装します。 - 0x1。 登録します。 コンピューターは、"A" レコード登録が成功した場合に、PTR リソース レコード登録を実装します。 - 0x0。 登録しない。 コンピューターが PTR リソース レコード登録を実装しようとしない。

関連情報