名前空間の不整合

  • [アーティクル]

適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012

不整合な名前空間は、1 つ以上のドメイン メンバー コンピューターに、コンピューターがメンバーとなっている Active Directory ドメインの DNS 名と一致しないプライマリ DNS (ドメイン ネーム サービス) サフィックスがある場合に発生します。 たとえば、na.corp.fabrikam.com という Active Directory ドメインのメンバー コンピューターのプライマリ DNS サフィックスが corp.fabrikam.com である場合、不整合な名前空間を使用していることになります。

不整合な名前空間は、連続する名前空間よりも管理、保守、トラブルシューティングが複雑になります。 連続する名前空間では、プライマリ DNS サフィックスは Active Directory ドメイン名と一致します。 Active Directory 名前空間が、すべてのドメイン メンバー コンピューターのプライマリ DNS サフィックスと同じであると想定して記述されたネットワーク アプリケーションは、不整合な名前空間では正しく機能しません。

不整合な名前空間のサポート

ドメイン コントローラーを含むドメイン メンバー コンピューターは、不整合な名前空間で機能することができます。 ドメイン メンバー コンピューターは、不整合な DNS 名前空間で、そのホスト (A) リソース レコードと IP バージョン 6 (IPv6) ホスト (AAAA) リソース レコードを登録できます。 ドメイン メンバー コンピューターでこのようにリソース レコードが登録されると、ドメイン コントローラーでは、Active Directory ドメイン名と同じ DNS ゾーンで、グローバル リソース レコードとサイト固有のサービス (SRV) リソース レコードが引き続き登録されます。

たとえば、corp.fabrikam.com のプライマリ DNS サフィックスを使用する na.corp.fabrikam.com という名前の Active Directory ドメインのドメイン コントローラーによって、corp.fabrikam.com DNS ゾーンのホスト (A) リソース レコードと IPv6 ホスト (AAAA) リソース レコードが登録されているとします。 ドメイン コントローラーでは、_msdcs.na.corp.fabrikam.com DNS ゾーンと na.corp.fabrikam.com DNS ゾーンで、グローバル リソース レコードとサイト固有のサービス (SRV) リソース レコードが引き続き登録されます。これにより、サービス ロケーションが可能になります。

重要

Windows オペレーティング システムは不整合な名前空間をサポートできる場合がありますが、プライマリ DNS サフィックスが Active Directory ドメイン サフィックスと同じであると想定して記述されたアプリケーションは、このような環境では機能しない可能性があります。 このため、不整合な名前空間を展開する前に、すべてのアプリケーションとそれぞれのオペレーティング システムを慎重にテストする必要があります。

不整合な名前空間は、次のような場合に機能します (また、サポートされます)。

  • 複数の Active Directory ドメインを持つフォレストが 1 つの DNS 名前空間を使用する場合 (DNS ゾーンとも呼ばれます)

    この例として、na.corp.fabrikam.com、sa.corp.fabrikam.com、asia.corp.fabrikam.com などの名前を持つ地域ドメインを使用し、corp.fabrikam.com などの単一の DNS 名前空間を使用する企業が挙げられます。

  • 1 つの Active Directory ドメインが個別の DNS 名前空間に分割される場合

    この例として、hr.corp.contoso.com、production.corp.contoso.com、it.corp.contoso.com などの DNS ゾーンを使用する corp.contoso.com の Active Directory ドメインがある企業が挙げられます。

不整合な名前空間は、次のような場合には正しく機能しません (また、サポートされません)。

  • ドメイン メンバーが使用する不整合サフィックスが、このフォレストまたは別のフォレスト内の Active Directory ドメイン名と一致している。 これにより、Kerberos の名前サフィックス ルーティングが中断されます。

  • 同じ不整合サフィックスが別のフォレストで使用されている。 これにより、フォレスト間でこれらのサフィックスを一意にルーティングできなくなります。

  • ドメイン メンバー証明機関 (CA) サーバーが完全修飾ドメイン名 (FQDN) を変更すると、CA サーバーがメンバーとなっているドメインのドメイン コントローラーによって使用されるのと同じプライマリ DNS サフィックスが使用されなくなります。 この場合、CRL 配布ポイントで使用されている DNS 名に応じて、CA サーバーが発行した証明書の検証で問題が発生する可能性があります。 ただし、安定している不整合な名前空間に CA サーバーを配置すると、正常に動作し、サポートされます。

不整合な名前空間に関する考慮事項

次の考慮事項は、不整合な名前空間を使用する必要があるかどうかを判断するのに役立ちます。

アプリケーションの互換性

既に説明したように、不整合な名前空間は、コンピューターのプライマリ DNS サフィックスがメンバーとなっているドメイン名と同じであることを想定して記述されたアプリケーションやサービスに関して、問題を引き起こす可能性があります。 不整合な名前空間を展開する前に、アプリケーションの互換性の問題を確認する必要があります。 また、分析を実行するときに使用するすべてのアプリケーションの互換性を必ず確認してください。 これには、Microsoft およびその他のソフトウェア開発者のアプリケーションが含まれます。

不整合な名前空間の利点

不整合な名前空間を使用することには、次のような利点があります。

  • コンピューターのプライマリ DNS サフィックスで異なる情報を示すことができるため、DNS 名前空間を Active Directory ドメイン名とは別に管理できます。

  • DNS 名前空間を、ビジネスの構造または地理的な場所に基づいて分けることができます。 たとえば、事業単位名または大陸、国/地域、建物などの物理的な場所に基づいて名前空間を分けることができます。

不整合な名前空間の欠点

不整合な名前空間を使用することには、次のような欠点があります。

  • 不整合な名前空間を使用するメンバー コンピューターが存在するフォレスト内の Active Directory ドメインごとに、個別の DNS ゾーンを作成して管理する必要があります (つまり、追加の複雑な構成が必要です)。

  • ドメイン メンバーが指定されたプライマリ DNS サフィックスを使用できるようにする Active Directory 属性を変更および管理するには、手動の手順を実行する必要があります。

  • 名前解決を最適化するには、グループ ポリシーを変更して維持するための手動の手順を実行して、代替プライマリ DNS サフィックスを持つメンバー コンピューターを構成する必要があります。

注意

Windows インターネット ネーム サービス (WINS) を使用して、単一ラベル名を解決することによって、この欠点を相殺できます。 WINS の詳細については、WINS テクニカル リファレンスに関するページを参照してください。

  • 環境に複数のプライマリ DNS サフィックスが必要な場合は、フォレスト内のすべての Active Directory ドメインの DNS サフィックスの検索順序を適切に構成する必要があります。

    DNS サフィックスの検索順序を設定するには、グループ ポリシー オブジェクトまたは動的ホスト構成プロトコル (DHCP) サーバー サービスのパラメーターを使用します。 レジストリを変更することもできます。

  • すべてのアプリケーションの互換性の問題を注意深くテストする必要があります。

これらの欠点に対処するために実行できる手順の詳細については、「不整合な名前空間の作成」を参照してください。

名前空間の移行の計画

名前空間を変更する前に、次の考慮事項を確認してください。これは、連続する名前空間から不整合な名前空間への移行 (またはその逆) に適用されます。

  • 名前空間を変更した後、手動で構成されたサービス プリンシパル名 (SPN) が DNS 名と一致しなくなる場合があります。 これにより、認証エラーが発生する可能性があります。

    詳細については、「SPN が正しく設定されていないためにサービス ログオンが失敗する」を参照してください。

    • 制約付き委任を使って Windows Server 2003 ベースのコンピューターを使用する場合、それらのコンピューターでは、Active Directory の msDS-AllowedToDelegateTo 属性を手動で編集する必要がある場合があります。 詳細については、「ms-DS-Allowed-To-Delegate-To 属性」を参照してください。

    • SPN を下位の管理者に変更するためのアクセス許可を委任する場合は、SPN を変更するための権限の委任に関するページを参照してください。

  • 不整合な名前空間で構成されているドメイン コントローラーがある展開内の CA と Secure Sockets Layer (SSL) を介してライトウェイト ディレクトリ アクセス プロトコル (LDAP) を使用する場合 (LDAPS と呼ばれます) は、LDAPS 証明書を構成するときに、適切な Active Directory ドメイン名とプライマリ DNS サフィックスを使用する必要があります。

    ドメイン コントローラー証明書の要件の詳細については、Microsoft サポート技術情報の記事 321051 サードパーティの証明機関を使用して LDAP over SSL を有効にする方法に関する記事を参照してください。

    注意

    LDAPS に証明書を使用するドメイン コントローラーでは、証明書の再展開が必要になる場合があります。 この場合、ドメイン コントローラーは、再起動されるまで適切な証明書を選択しないことがあります。 Secure Sockets Layer (SSL) を使用したライトウェイト ディレクトリ アクセス プロトコル (LDAP) (LDAPS) 認証 (Windows Server 2003 向け) の詳細については、Microsoft サポート技術情報の記事 938703「SSL 接続の問題に関する LDAP のトラブルシューティング」を参照してください。

不整合な名前空間の展開の計画

不整合な名前空間を持つ環境にコンピューターを展開する場合は、次の予防措置を取ります。

  1. ビジネスを行うすべてのソフトウェア ベンダーに、不整合な名前空間のテストとサポートを行う必要があることを通知します。 不整合な名前空間を使用する環境でアプリケーションがサポートされていることを確認してください。

  2. 不整合な名前空間のラボ環境で、すべてのバージョンのオペレーティング システムとアプリケーションをテストします。 その場合は、次の推奨事項に従ってください。

    1. ソフトウェアを環境に展開する前に、すべての問題を解決してください。

    2. 可能であれば、不整合な名前空間で展開する予定のオペレーティング システムとアプリケーションのベータ テストに参加します。

  3. 管理者とヘルプデスク スタッフが、不整合な名前空間とその影響を認識していることを確認します。

  4. 必要に応じて、不整合な名前空間から連続する名前空間に移行できるようにするプランを作成します。

  5. オペレーティング システムおよびアプリケーションのプロバイダーに、不整合な名前空間のサポートの重要性を伝えます。