単一ラベル DNS 名を使用して構成された Active Directory ドメインの展開と操作

この記事では、単一ラベルの DNS 名を使用して構成された Active Directory (AD) ドメインの展開と操作について説明します。

適用対象:Windows Server 2008 R2 Service Pack 1、Windows Server 2012 R2、Windows Server 2016、Windows Server 2019、Windows 10 Version 1809
元の KB 番号: 300684

概要

単一ラベル ドメイン構成を削除することが、ドメイン名を変更する頻繁な理由です。 この記事のアプリケーション互換性情報は、ドメインの名前変更を検討するすべてのシナリオに適用されます。

次の理由から、ベスト プラクティスは、完全修飾 DNS 名を持つ新しい Active Directory ドメインを作成することです。

• 単一ラベルの DNS 名は、インターネット レジストラーを使用して登録することはできません。

• シングルラベル ドメインに参加しているクライアント コンピューターとドメイン コントローラーでは、単一ラベルの DNS ゾーンに DNS レコードを動的に登録するための追加の構成が必要です。

• クライアント コンピューターとドメイン コントローラーでは、シングルラベル DNS ゾーンの DNS クエリを解決するために追加の構成が必要になる場合があります。

• 一部のサーバー ベースのアプリケーションは、シングルラベル ドメイン名と互換性がありません。 アプリケーションの最初のリリースにアプリケーションのサポートが存在しないか、将来のリリースでサポートが削除される可能性があります。

• 単一ラベルの DNS ドメイン名から完全修飾 DNS 名への移行は簡単ではありません。2 つのオプションで構成されます。 ユーザー、コンピューター、グループ、その他の状態を新しいフォレストに 移行 します。 または、既存のドメインのドメイン名を変更します。 一部のサーバー ベースのアプリケーションは、Windows Server 2003 以降のドメイン コントローラーでサポートされているドメイン名変更機能と互換性がありません。 これらの非互換性により、ドメイン名の変更機能がブロックされるか、単一ラベルの DNS 名を完全修飾ドメイン名に変更しようとすると、ドメイン名の変更機能の使用がより困難になります。

• Windows Server 2008 の Active Directory インストール ウィザード (Dcpromo.exe) では、単一ラベルの DNS 名を持つ新しいドメインの作成に対して警告が表示されます。 単一ラベルの DNS 名を持つ新しいドメインを作成するビジネス上または技術的な理由がないため、Windows Server 2008 R2 の Active Directory インストール ウィザードでは、そのようなドメインの作成が明示的にブロックされます。

ドメイン名の変更と互換性のないアプリケーションの例としては、次の製品が含まれますが、これらに限定されません。

• Microsoft Exchange 2000 Server
• Microsoft Exchange Server 2007
• Microsoft Exchange Server 2010
• Microsoft Exchange Server 2013
• Microsoft Internet Security and Acceleration (ISA) Server 2004
• Microsoft Live Communications Server 2005
• Microsoft Operations Manager 2005
• Microsoft SharePoint Portal Server 2003
• Microsoft Systems Management Server (SMS) 2003
• Microsoft Office Communications Server 2007
• Microsoft Office Communications Server 2007 R2
• Microsoft System Center Operations Manager 2007 SP1
• Microsoft System Center Operations Manager 2007 R2
• Microsoft Lync Server 2010
• Microsoft Lync Server 2013

詳細

ベスト プラクティスの Active Directory ドメイン名は、ドット文字 ("") で区切られた最上位ドメインと組み合わされた 1 つ以上のサブドメインで構成されます。 次の例を示します。

• contoso.com
• corp.contoso.com

単一ラベル名は、"contoso" のような 1 つの単語で構成されます。

最上位ドメインは、ドメイン名の右端のラベルを占有します。 一般的な最上位ドメインは次のとおりです。

• .com
• .net
• .org
• .nz などの 2 文字の国コードトップレベル ドメイン (ccTLD)

Active Directory ドメイン名は、現在および将来のオペレーティング システムとアプリケーションのエクスペリエンスと信頼性のために、2 つ以上のラベルで構成されている必要があります。

ICANN セキュリティおよび安定性アドバイザリ委員会によって報告された無効な最上位ドメイン クエリは、 ドメイン ネーム システムのルート レベルの無効な最上位ドメイン クエリにあります。

インターネット レジストラーへの DNS 名の登録

インターネット レジストラーを使用して、最上位の内部および外部の DNS 名前空間の DNS 名を登録することをお勧めします。 これには、Organization名で登録されている DNS 名のサブドメインでない限り、Active Directory フォレストのフォレスト ルート ドメインが含まれます (たとえば、フォレスト ルート ドメイン "corp.example.com" は、内部の "example.com" 名前空間のサブドメインです)。インターネット レジストラーに DNS 名を登録すると、インターネット DNS サーバーは現在、または Active Directory フォレストの存続期間のある時点でドメインを解決できます。 また、この登録は、他の組織による名前の競合の可能性を防ぐのに役立ちます。

クライアントが単一ラベルの前方参照ゾーンに DNS レコードを動的に登録できない場合に発生する可能性がある現象

環境内で単一ラベルの DNS 名を使用する場合、クライアントは単一ラベルの前方参照ゾーンに DNS レコードを動的に登録できない可能性があります。 特定の症状は、インストールされている Microsoft Windows のバージョンによって異なります。

次の一覧では、発生する可能性がある現象について説明します。

• 1 つのラベル ドメイン名に対して Microsoft Windows を構成した後、ドメイン コントローラーロールを持つすべてのサーバーが DNS レコードを登録できない可能性があります。 ドメイン コントローラーのシステム ログは、次の例のような NETLOGON 5781 警告を一貫してログに記録できます。

  注:

  状態コード 0000232a は、次のエラー コードにマップされます。

  DNS_ERROR_RCODE_SERVER_FAILURE

• Netdiag.logなどのログ ファイルには、次の追加の状態コードとエラー コードが表示される場合があります。

  DNS エラー コード: 0x0000251D = DNS_INFO_NO_RECORDS
  DNS_ERROR_RCODE_ERROR
  RCODE_SERVER_FAILURE

• DNS 動的更新プログラム用に構成された Windows ベースのコンピューターは、単一ラベル ドメインに登録されません。 次の例のような警告イベントは、コンピューターのシステム ログに記録されます。

Windows ベースのクライアントが単一ラベル DNS ゾーンを使用してクエリと動的更新を実行できるようにする方法

既定では、Windows は最上位ドメインに更新プログラムを送信しません。 ただし、このセクションで説明するメソッドのいずれかを使用して、この動作を変更できます。 Windows ベースのクライアントが単一ラベル DNS ゾーンに対して動的更新を実行できるようにするには、次のいずれかの方法を使用します。

また、変更を加えずに、単一ラベルの DNS 名を持つドメインを含まないフォレスト内の Active Directory ドメイン メンバーは、DNS サーバー サービスを使用して、他のフォレストにある単一ラベルの DNS 名を持つドメイン内のドメイン コントローラーを検索しません。 NetBIOS の名前解決が正しく構成されていない場合、単一ラベルの DNS 名を持つドメインへのクライアント アクセスは失敗します。

方法 1: レジストリ エディターを使用する

• Windows XP Professional 以降のバージョンの Windows のドメイン コントローラー ロケーター構成

  重要

  このセクション、方法、またはタスクには、レジストリの編集方法が記載されています。 レジストリを誤って変更すると、深刻な問題が発生することがあります。 レジストリを変更する際には十分に注意してください。 保護を強化するため、レジストリを変更する前にレジストリをバックアップします。 こうしておけば、問題が発生した場合にレジストリを復元できます。 詳細については、「 Windows でレジストリをバックアップおよび復元する方法」を参照してください。

  Windows ベースのコンピューターでは、Active Directory ドメイン メンバーは、ドメインの単一ラベル DNS 名をサポートするために追加の構成を必要とします。 具体的には、Active Directory ドメイン メンバー上のドメイン コントローラー ロケーターは、その Active Directory ドメイン メンバーが少なくとも 1 つのドメインを含むフォレストに参加していて、このドメインに単一ラベルの DNS 名がない限り、単一ラベルの DNS 名を持つドメイン内のドメイン コントローラーを検索するために DNS サーバー サービスを使用しません。

  Active Directory ドメイン メンバーが DNS を使用して、他のフォレストにある単一ラベルの DNS 名を持つドメイン内のドメイン コントローラーを検索できるようにするには、次の手順を実行します。

  1. [ スタート] を選択し、[ 実行] を選択し、「regedit」と入力して、[ OK] を選択します。

  2. 次のサブキーを見つけて選択します。 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  3. 詳細ウィンドウで、 AllowSingleLabelDnsDomain エントリを 見つけます。 AllowSingleLabelDnsDomain エントリが存在しない場合は、次の手順に従います。

     1. [ 編集 ] メニューの [ 新規] をポイントし、[ DWORD 値] を選択します。
     2. エントリ名として 「AllowSingleLabelDnsDomain 」と入力し、 Enter キーを押します。

  4. AllowSingleLabelDnsDomain エントリをダブルクリックします。

  5. [ 値データ ] ボックスに「1」と入力し、[ OK] を選択します。

  6. レジストリ エディターを終了します。

• DNS クライアントの構成

  重要

  このセクション、方法、またはタスクには、レジストリの編集方法が記載されています。 レジストリを誤って変更すると、深刻な問題が発生することがあります。 レジストリを変更する際には十分に注意してください。 保護を強化するため、レジストリを変更する前にレジストリをバックアップします。 こうしておけば、問題が発生した場合にレジストリを復元できます。 詳細については、「 Windows でレジストリをバックアップおよび復元する方法」を参照してください。

  通常、単一ラベルの DNS 名を持つドメイン内の Active Directory ドメイン メンバーとドメイン コントローラーは、そのドメインの DNS 名と一致する単一ラベルの DNS ゾーンに DNS レコードを動的に登録する必要があります。 Active Directory フォレスト ルート ドメインに単一ラベルの DNS 名がある場合、通常、そのフォレスト内のすべてのドメイン コントローラーは、フォレスト ルートの DNS 名と一致する単一ラベルの DNS ゾーンに DNS レコードを動的に登録する必要があります。

  既定では、Windows ベースの DNS クライアント コンピューターは、ルート ゾーン "." またはシングルラベル DNS ゾーンの動的更新を試行しません。 Windows ベースの DNS クライアント コンピューターが単一ラベル DNS ゾーンの動的更新を試せるようにするには、次の手順に従います。

  1. [ スタート] を選択し、[ 実行] を選択し、「regedit」と入力して、[ OK] を選択します。

  2. 次のサブキーを見つけて選択します。 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DnsCache\Parameters

  3. 詳細ウィンドウで、 UpdateTopLevelDomainZones エントリを 見つけます。 UpdateTopLevelDomainZones エントリが存在しない場合は、次の手順に従います。

     1. [ 編集 ] メニューの [ 新規] をポイントし、[ DWORD 値] を選択します。
     2. エントリ名として 「UpdateTopLevelDomainZones 」と入力し、 Enter キーを押します。

  4. UpdateTopLevelDomainZones エントリをダブルクリックします。

  5. [ 値データ ] ボックスに「1」と入力し、[ OK] を選択します。

  6. レジストリ エディターを終了します。

  これらの構成の変更は、単一ラベルの DNS 名を持つドメインのすべてのドメイン コントローラーとメンバーに適用する必要があります。 単一ラベルのドメイン名を持つドメインがフォレスト ルートである場合、これらの構成の変更は、別のゾーンが_msdcsしない限り、フォレスト内のすべてのドメイン コントローラーに適用する必要があります。 ForestName、_sites。 ForestName、_tcp。 ForestName、and_udp。 ForestName は、 ForestName ゾーンから委任されます。

  変更を有効にするには、レジストリ エントリを変更したコンピューターを再起動します。

  注:

  • Windows Server 2003 以降のバージョンでは、UpdateTopLevelDomainZones エントリが次のレジストリ サブキーに移動しました。
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient
  • Microsoft Windows 2000 SP4 ベースのドメイン コントローラーでは、UpdateTopLevelDomainZones 設定が有効になっていない場合、コンピューターはシステム イベント ログに次の名前登録エラーを報告します。
  • Windows 2000 SP4 ベースのドメイン コントローラーでは、UpdateTopLevelDomainZones 設定を追加した後、コンピューターを再起動する必要があります。

方法 2: グループ ポリシーを使用する

グループ ポリシーを使用して、ユーザーとコンピューターのルート ドメイン コンテナーのフォルダーの場所、またはメンバー コンピューターのコンピューター アカウントをホストするすべての組織単位 (OU) で、次の表に示すように、単一ラベルの DNS 名ポリシーを使用してドメインをホストするドメインの更新トップ レベル ドメイン ゾーン ポリシーと場所を有効にします。 ドメイン内のドメイン コントローラーの場合。

ポリシー	フォルダーの場所
最上位ドメイン ゾーンを更新する	コンピューターの構成\管理用テンプレート\Network\DNS クライアント
単一ラベル DNS 名を持つドメインをホストしている DC の場所	コンピューターの構成\管理用テンプレート\System\Net Logon\DC ロケーター DNS レコード

注:

これらのポリシーは、Windows Server 2003 ベースのコンピューターと Windows XP ベースのコンピューターでのみサポートされます。

これらのポリシーを有効にするには、ルート ドメイン コンテナーで次の手順を実行します。

1. [ スタート] を選択 し、[実行] を選択し、「gpedit.msc」と入力して、[ OK] を選択します。
2. [ ローカル コンピューター ポリシー] で、[ コンピューターの構成] を展開します。
3. [ 管理用テンプレート] を展開します。
4. [最上位ドメイン ゾーンの更新] ポリシーを有効にします。 これを行うには、次の手順に従います。
   1. [ ネットワーク] を展開します。
   2. [ DNS クライアント] を選択します。
   3. 詳細ウィンドウで、[ 最上位ドメイン ゾーンの更新] をダブルクリックします。
   4. [有効] を選択します。
   5. [Apply]\(適用\) を選択し、次に [OK] を選択します。
5. 単一ラベル DNS 名ポリシーを使用してドメインをホストしている DC の場所を有効にします。 これを行うには、次の手順を実行します。
   1. [ システム] を展開します。
   2. [ Net Logon]\(ネット ログオン\) を展開します。
   3. [ DC ロケーター DNS レコード] を選択します。
   4. 詳細ウィンドウで、 単一ラベルの DNS 名を持つドメインをホストしている DC の [場所] をダブルクリックします。
   5. [有効] を選択します。
   6. [Apply]\(適用\) を選択し、次に [OK] を選択します。
6. グループ ポリシーを終了します。

Windows Server 2003 ベースおよびそれ以降のバージョンの DNS サーバーでは、ルート サーバーが意図せずに作成されていないことを確認します。

Windows 2000 ベースの DNS サーバーでは、DNS レコードを正しく宣言するために、ルート ゾーン "." を削除する必要がある場合があります。 DNS サーバー サービスがルート ヒントに到達できないため、DNS サーバー サービスがインストールされると、ルート ゾーンが自動的に作成されます。 この問題は、新しいバージョンの Windows で修正されました。

ルート サーバーは、DCpromo ウィザードによって作成される場合があります。 "." ゾーンが存在する場合は、ルート サーバーが作成されています。 名前解決が正しく機能するには、このゾーンを削除する必要がある場合があります。

Windows Server 2003 以降のバージョンの新しい DNS ポリシー設定と変更された DNS ポリシー設定

• 最上位ドメイン ゾーンの更新ポリシー

  このポリシーを指定すると、次の REG_DWORD UpdateTopLevelDomainZones レジストリ サブキーの下にエントリが作成されます。 HKLM\Software\Policies\Microsoft\Windows NT\DNSClient
  : - Enabled (0x1) のエントリ値 UpdateTopLevelDomainZonesを次に示します。 0x1設定は、コンピューターが TopLevelDomain ゾーンの更新を試みる可能性があることを意味します。 つまり、この設定が UpdateTopLevelDomainZones 有効になっている場合、このポリシーが適用されているコンピューターは、ルート ゾーンを除き、コンピューターが更新する必要があるリソース レコードに対して権限を持つ任意のゾーンに動的更新を送信します。 - 無効 (0x0)。 0x0設定は、コンピューターが TopLevelDomain ゾーンの更新を試みることができないことを意味します。 つまり、この設定が無効になっている場合、このポリシーが適用されているコンピューターは、ルート ゾーンまたはコンピューターが更新する必要があるリソース レコードに対して権限のある最上位のドメイン ゾーンに動的更新を送信しません。 この設定が構成されていない場合、ポリシーはどのコンピューターにも適用されないため、コンピューターはローカル構成を使用します。

• PTR レコードの登録ポリシー

  エントリの新しい可能な値 (0x2) が、 REG_DWORD RegisterReverseLookup 次のレジストリ サブキーの下に追加されました。
  HKLM\Software\Policies\Microsoft\Windows NT\DNSClient

  : - 0x2のエントリ値を RegisterReverseLookup次に示します。 "A" レコードの登録が成功した場合にのみ登録します。 コンピューターは、対応する "A" リソース レコードを正常に登録した場合にのみ、PTR リソース レコードの登録を実装しようとします。 - 0x1。 登録。 コンピューターは、"A" レコード登録の成功に関係なく、PTR リソース レコードの登録を実装しようとします。 - 0x0。 登録しないでください。 コンピューターは、PTR リソース レコードの登録を実装しようとしません。

関連情報

• DNS 名前空間の計画

• ドメイン コントローラーを既存の Active Directory ドメインに追加するときに DNS サーバーロールを選択できない

• ADMT ガイド: Active Directory ドメインの移行と再構築

• Active Directory 移行ツール (ADMT) ガイド: Active Directory ドメインの移行と再構築