Wdrażanie i obsługa domen usługi Active Directory skonfigurowanych przy użyciu jedno etykietowych nazw DNS

Ten artykuł zawiera informacje dotyczące wdrażania i działania domen usługi Active Directory (AD) skonfigurowanych przy użyciu jedno etykietowych nazw DNS.

Dotyczy:   Windows Server 2008 R2 z dodatkiem Service Pack 1, Windows Server 2012 R2, Windows Server 2016, Windows Server 2019 i Windows 10, wersja 1809
Oryginalny numer KB:   300684

Podsumowanie

Często powodem zmiany nazwy domeny jest usunięcie konfiguracji domeny oznaczonej jedną etykietą. Informacje o zgodności aplikacji w tym artykule dotyczą wszystkich scenariuszy, w których możesz rozważyć zmianę nazwy domeny.

Z następujących powodów najlepszym rozwiązaniem jest utworzenie nowych domen usługi Active Directory, które mają w pełni kwalifikowane nazwy DNS:

  • Nie można zarejestrować jedno etykietowych nazw DNS u rejestratora internetowego.

  • Komputery klienckie i kontrolery domeny sprzężenia z domenami z jedną etykietą wymagają dodatkowej konfiguracji do dynamicznego rejestrowania rekordów DNS w strefach DNS z jedną etykietą.

  • Komputery klienckie i kontrolery domeny mogą wymagać dodatkowej konfiguracji w celu rozpoznawania zapytań DNS w strefach DNS z jedną etykietą.

  • Niektóre aplikacje oparte na serwerze są niezgodne z nazwami domen oznaczonymi jedną etykietą. Obsługa aplikacji może nie istnieć w początkowej wersji aplikacji lub obsługa może zostać odrzucona w przyszłej wersji.

  • Przechodzenie z w pełni kwalifikowanej nazwy domeny DNS z jedną etykietą na w pełni kwalifikowaną nazwę DNS nie jest trywialne i obejmuje dwie opcje. Przemigruj użytkowników, komputery, grupy i inne stany do nowego lasu. Możesz też zmienić nazwę domeny istniejącej. Niektóre aplikacje oparte na serwerze są niezgodne z funkcją zmiany nazwy domeny obsługiwaną w programie Windows Server 2003 i w nowych kontrolerach domeny. Te niezgodności blokują funkcję zmiany nazwy domeny lub sprawiają, że korzystanie z funkcji zmiany nazwy domeny jest trudniejsze podczas próby zmiany nazwy w pełni kwalifikowanej nazwy domeny z jedną etykietą.

  • Kreator instalacji usługi Active Directory (Dcpromo.exe) w programie Windows Server 2008 ostrzega przed tworzeniem nowych domen, które mają nazwy DNS z jedną etykietą. Ponieważ nie ma biznesowych ani technicznych przyczyn tworzenia nowych domen, które mają nazwy DNS z jedną etykietą, Kreator instalacji usługi Active Directory w programie Windows Server 2008 R2 jawnie blokuje tworzenie takich domen.

Oto przykłady aplikacji niezgodnych z zmienianiem nazwy domeny, ale nie tylko:

  • Microsoft Exchange 2000 Server
  • Microsoft Exchange Server 2007
  • Microsoft Exchange Server 2010 r.
  • Microsoft Exchange Server 2013
  • Microsoft Internet Security and Acceleration (ISA) Server 2004
  • Microsoft Live Communications Server 2005
  • Microsoft Operations Manager 2005
  • Microsoft SharePoint Portal Server 2003
  • Microsoft Systems Management Server (SMS) 2003
  • Microsoft Office Communications Server 2007
  • Microsoft Office Communications Server 2007 R2
  • Microsoft System Center Operations Manager 2007 z dodatkiem SP1
  • Microsoft System Center Operations Manager 2007 R2
  • Microsoft Lync Server 2010
  • Microsoft Lync Server 2013

Więcej informacji

Najlepsze rozwiązania: nazwy domen usługi Active Directory składają się z co najmniej jednej poddomeny połączonej z domeną najwyższego poziomu i oddzielonych kropką ("."). Poniżej przedstawiono kilka przykładów:

  • contoso.com
  • corp.contoso.com

Nazwy oznaczone jedną etykietą składają się z jednego wyrazu, na przykład "contoso".

Domena najwyższego poziomu zajmuje po prawej stronie nazwę domeny. Typowe domeny najwyższego poziomu obejmują następujące domeny:

  • com
  • .net
  • org
  • Dwulitowy kod kraju najwyższego poziomu (ccTLD), na przykład .nz

Nazwy domen usługi Active Directory powinny zawierać co najmniej dwie etykiety dla bieżącego i przyszłego systemu operacyjnego oraz dla środowiska i niezawodności aplikacji.

Nieprawidłowe zapytania dotyczące domen najwyższego poziomu zgłoszone przez Komitet Doradczy ds. Zabezpieczeń i Stabilności ICANN można znaleźć w czacie Nieprawidłowe zapytania domen najwyższego poziomu na poziomie głównym systemu nazw domen.

Rejestracja nazw DNS u rejestratora internetowego

Zalecamy zarejestrowanie nazw DNS dla najważniejszych wewnętrznych i zewnętrznych przestrzeni nazw DNS u rejestratora internetowego. Co obejmuje domenę główną lasu wszystkich lasów usługi Active Directory, chyba że takie nazwy są poddomenami nazw DNS zarejestrowanymi przez nazwę organizacji (na przykład domena główna lasu "corp.example.com" jest poddomeną wewnętrznej "example.com". przestrzeni nazw). Jeśli zarejestrujesz nazwy DNS u rejestratora internetowego, umożliwi to internetowym serwerom DNS rozpoznawanie Twojej domeny teraz lub w pewnym momencie życia lasu usługi Active Directory. Ta rejestracja pomaga zapobiec powstawaniu nazwisk przez inne organizacje.

Możliwe symptomy, gdy klienci nie mogą dynamicznie rejestrować rekordów DNS w strefie wyszukiwania do przodu z jedną etykietą

Jeśli w środowisku używasz jedno etykietowej nazwy DNS, klienci mogą nie być w stanie dynamicznie rejestrować rekordów DNS w strefie wyszukiwania do przodu z jedną etykietą. Specyficzne symptomy różnią się w zależności od zainstalowanej Windows Microsoft.

Na poniższej liście opisano symptomy, które mogą wystąpić:

  • Po skonfigurowaniu usługi Microsoft Windows dla nazwy domeny oznaczonej jedną etykietą rejestrowanie rekordów DNS może spowodować, że wszystkie serwery, które mają rolę kontrolera domeny. Dziennik systemowy kontrolera domeny może spójnie rejestrować ostrzeżenia usługi NETLOGON 5781 podobne do następującego przykładu:

    Uwaga

    Kod stanu 0000232a jest mapowy na następujący kod błędu:

    DNS_ERROR_RCODE_SERVER_FAILURE

  • W plikach dziennika, takich jak Netdiag.log, mogą być wyświetlane następujące dodatkowe kody stanu i kody błędów:

    Kod błędu DNS: 0x0000251D = DNS_INFO_NO_RECORDS
    DNS_ERROR_RCODE_ERROR
    RCODE_SERVER_FAILURE

  • Windows komputerów opartych na tych systemach, które są skonfigurowane na podstawie dynamicznych aktualizacji DNS, nie zostaną zarejestrowane w domenie z jedną etykietą. Zdarzenia ostrzegawcze podobne do poniższych przykładów są rejestrowane w dzienniku systemu komputera:

Jak włączyć Windows na potrzeby zapytań i aktualizacji dynamicznych za pomocą stref DNS z jedną etykietą

Domyślnie Windows nie wysyła aktualizacji do domen najwyższego poziomu. Jednak można zmienić to zachowanie przy użyciu jednej z metod opisanych w tej sekcji. Aby umożliwić klientom opartym na Windows dynamiczne aktualizacje stref DNS z jedną etykietą, użyj jednej z następujących metod.

Ponadto bez modyfikacji członek domeny usługi Active Directory w lesie, który nie zawiera domen o nazwach DNS z jedną etykietą, nie używa usługi DNS Server do lokalizowania kontrolerów domen w domenach, które mają nazwy DNS z jedną etykietą, które znajdują się w innych lasach. Dostęp klienta do domen o nazwach DNS z jedną etykietą kończy się niepowodzeniem, jeśli rozpoznawanie nazw systemu NetBIOS nie jest poprawnie skonfigurowane.

Metoda 1. Używanie Edytora rejestru

  • Konfiguracja lokalizatora kontrolera domeny dla Windows XP Professional i nowszych wersji Windows

    Ważne

    W tej sekcji, metodzie lub w tym zadaniu podano informacje dotyczące modyfikowania rejestru. Niepoprawne zmodyfikowanie rejestru może jednak być przyczyną poważnych problemów. Dlatego należy uważnie wykonywać podane czynności. Dla większego bezpieczeństwa przed zmodyfikowaniem rejestru należy wykonać jego kopię zapasową. Dzięki temu będzie można przywrócić rejestr w przypadku wystąpienia problemu. Aby uzyskać więcej informacji, zobacz Jak uzyskać kopię zapasową rejestru i przywrócić go w programie Windows.

    Na komputerze z Windows członek domeny usługi Active Directory wymaga dodatkowej konfiguracji w celu obsługi nazw DNS z jedną etykietą dla domen. W szczególności lokalizator kontrolera domeny w członku domeny usługi Active Directory nie używa usługi serwera DNS do lokalizowania kontrolerów domeny w domenie, która ma jedno etykietową nazwę DNS, chyba że ten członek domeny usługi Active Directory jest przyłączony do lasu zawierającego co najmniej jedną domenę i ta domena ma jedno etykiecie nazwę DNS.

    Aby umożliwić członowi domeny usługi Active Directory używanie systemu DNS w celu zlokalizowania kontrolerów domen w domenach, które mają nazwy DNS z jedną etykietą, które znajdują się w innych lasach, wykonaj następujące czynności:

    1. Wybierz przycisk Start, wybierz pozycję Uruchom, wpisz polecenie regedit, a następnie wybierz przycisk OK.

    2. Znajdź i wybierz następujący podklucz: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

    3. W okienku szczegółów znajdź wpis AllowSingleLabelDnsDomain . Jeśli wpis AllowSingleLabelDnsDomain nie istnieje, wykonaj następujące czynności:

      1. W menu Edycja wskaż pozycję Nowy, a następnie wybierz pozycję Wartość DWORD.
      2. Wpisz nazwę wpisu AllowSingleLabelDnsDomain , a następnie naciśnij klawisz ENTER.
    4. Kliknij dwukrotnie wpis AllowSingleLabelDnsDomain .

    5. W polu Dane wartości wpisz wartość 1, a następnie wybierz przycisk OK.

    6. Zamknij Edytor rejestru.

  • Konfiguracja klienta DNS

    Ważne

    W tej sekcji, metodzie lub w tym zadaniu podano informacje dotyczące modyfikowania rejestru. Niepoprawne zmodyfikowanie rejestru może jednak być przyczyną poważnych problemów. Dlatego należy uważnie wykonywać podane czynności. Dla większego bezpieczeństwa przed zmodyfikowaniem rejestru należy wykonać jego kopię zapasową. Dzięki temu będzie można przywrócić rejestr w przypadku wystąpienia problemu. Aby uzyskać więcej informacji, zobacz Jak uzyskać kopię zapasową rejestru i przywrócić go w programie Windows.

    Członkowie domeny usługi Active Directory i kontrolery domen, które znajdują się w domenie o jedno etykiecie nazwy DNS, zazwyczaj muszą dynamicznie rejestrować rekordy DNS w jedno etykiecie strefy DNS, która jest taka sama jak nazwa DNS tej domeny. Jeśli domena główna lasu usługi Active Directory ma nazwę DNS z jedną etykietą, wszyscy kontrolery domeny w tym lesie zazwyczaj muszą dynamicznie rejestrować rekordy DNS w strefie DNS z jedną etykietą, która jest taka sama jak nazwa DNS katalogu głównego lasu.

    Domyślnie komputery Windows DNS nie podejmowały prób aktualizacji dynamicznych strefy głównej "." ani stref DNS z jedną etykietą. Aby umożliwić Windows klienckim DNS opartym na wielu klientach DNS w celu wypróbowania dynamicznych aktualizacji strefy DNS z jedną etykietą, wykonaj następujące czynności:

    1. Wybierz przycisk Start, wybierz pozycję Uruchom, wpisz polecenie regedit, a następnie wybierz przycisk OK.

    2. Znajdź i wybierz następujący podklucz: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DnsCache\Parameters

    3. W okienku szczegółów znajdź wpis UpdateTopLevelDomainZones . Jeśli wpis UpdateTopLevelDomainZones nie istnieje, wykonaj następujące czynności:

      1. W menu Edycja wskaż pozycję Nowy, a następnie wybierz pozycję Wartość DWORD.
      2. Wpisz nazwę wpisu UpdateTopLevelDomainZones , a następnie naciśnij klawisz ENTER.
    4. Kliknij dwukrotnie wpis UpdateTopLevelDomainZones .

    5. W polu Dane wartości wpisz wartość 1, a następnie wybierz przycisk OK.

    6. Zamknij Edytor rejestru.

    Te zmiany konfiguracji należy zastosować do wszystkich kontrolerów domeny i członków domeny, które mają nazwy DNS z jedną etykietą. Jeśli domena o nazwie domeny z jedną etykietą jest katalogiem głównym lasu, te zmiany konfiguracji należy zastosować do wszystkich kontrolerów domeny w lesie, chyba że osobne strefy _msdcs. ForestName, _sites. ForestName, _tcp. ForestName, and_udp. Nazwa Lasu jest delegowana z strefy NazwaNazwy Lasu .

    Aby zmiany zostały wprowadzone, uruchom ponownie komputery, na których zmieniono wpisy rejestru.

    Uwaga

    • W Windows Server 2003 i nowszych wersjach wpis UpdateTopLevelDomainZones został przeniesiony do następującego podklucza rejestru:
      HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient
    • Na kontrolerze domeny opartym na programie Microsoft Windows 2000 z dodatkiem SP4 komputer będzie zgłaszał następujący błąd rejestracji nazw w dzienniku zdarzeń systemu, jeśli ustawienie UpdateTopLevelDomainZones nie jest włączone:
    • Na kontrolerze domeny opartym na programie Windows 2000 z dodatkiem SP4 musisz ponownie uruchomić komputer po dodaniu ustawienia UpdateTopLevelDomainZones.

Metoda 2. Stosowanie zasady grupy

Za pomocą programu zasady grupy włącz zasady Aktualizuj strefy domen najwyższego poziomu i Lokalizację rejestratora domen hostującym domenę z jedną etykietą zasad nazwy DNS określonych w poniższej tabeli poniżej lokalizacji folderu w głównym kontenerze domeny w obszarach Użytkownicy i komputery lub we wszystkich jednostkach organizacyjnych hostującym konta komputerów członków. oraz dla kontrolerów domeny w domenie.

Zasady Lokalizacja folderu
Aktualizowanie stref domen najwyższego poziomu Konfiguracja komputera\Szablony administracyjne\Sieć\Klient DNS
Lokalizacja rejestratorów domen hostującym domenę z jedną etykietą nazwy DNS Konfiguracja komputera\Szablony administracyjne\System\Logowanie net\REKORDY DNS lokalizatora domen

Uwaga

Te zasady są obsługiwane tylko Windows komputerach z systemem Server 2003 oraz na Windows komputerach z systemem XP.

Aby włączyć te zasady, wykonaj następujące czynności w głównym kontenerze domeny:

  1. Wybierz pozycję Start, wybierz pozycję Uruchom, wpisz gpedit.msc, a następnie wybierz przycisk OK.
  2. W obszarze Zasady komputera lokalnego rozwiń konfigurację komputera.
  3. Rozwiń szablony administracyjne.
  4. Włącz zasady Update Top Level Domain Zones (Strefy domen najwyższego poziomu). Aby tego dokonać, wykonaj następujące kroki:
    1. Rozwiń sieć.
    2. Wybierz pozycję Klient DNS.
    3. W okienku szczegółów kliknij dwukrotnie pozycję Aktualizuj strefy domen najwyższego poziomu.
    4. Wybierz pozycję Włączone.
    5. Wybierz pozycję Zastosuj, a następnie wybierz przycisk OK.
  5. Włącz politykę lokalizacji rejestratorów domen hostującym domenę za pomocą zasad nazwy DNS z jedną etykietą. Aby to zrobić, wykonaj następujące kroki.
    1. Rozwiń system.
    2. Rozwiń sieć Logowanie.
    3. Wybierz pozycję DC Locator DNS Records (Rekordy DNS lokalizatora dc).
    4. W okienku szczegółów kliknij dwukrotnie pozycję Lokalizacja rejestratora domen hostującym domenę z jedną etykietą nazwy DNS.
    5. Wybierz pozycję Włączone.
    6. Wybierz pozycję Zastosuj, a następnie wybierz przycisk OK.
  6. Zamknij zasady grupy.

W Windows DNS opartym na programie Windows Server 2003 i nowszych wersjach upewnij się, że serwery główne nie zostały utworzone niezamierzonie.

Na Windows DNS w systemie 2000 może być trzeba usunąć strefę główną "", aby rekordy DNS były poprawnie deklarowane. Strefa główna jest tworzona automatycznie po zainstalowaniu usługi serwera DNS, ponieważ usługa serwera DNS nie może sięgać do porad głównych. Ten problem został rozwiązany w nowszych wersjach Windows.

Serwery główne mogą zostać utworzone przez Kreatora DCpromo. Jeśli strefa "." istnieje, utworzono serwer główny. Aby rozpoznawania nazw działało poprawnie, może być trzeba usunąć tę strefę.

Nowe i zmodyfikowane ustawienia zasad DNS dla Windows Server 2003 i nowszych wersji

  • Zasady Update Top Level Domain Zones (Strefy domen najwyższego poziomu)

    Jeśli zasady te są określone, są w nim określane REG_DWORD UpdateTopLevelDomainZones wpisy w następującym podkluczu rejestru: HKLM\Software\Policies\Microsoft\Windows NT\DNSClient
    Poniżej przedstawiono wartości wpisów dla UpdateTopLevelDomainZones: - Włączony (0x1). Ustawienie 0x1 oznacza, że komputery mogą próbować zaktualizować strefy TopLevelDomain. Oznacza to, UpdateTopLevelDomainZones że jeśli to ustawienie jest włączone, komputery, do których są stosowane te zasady, wysyłają aktualizacje dynamiczne do dowolnej strefy autorytatywnej dla rekordów zasobów, które komputer musi zaktualizować, z wyjątkiem strefy głównej. - Wyłączone (0x0). Ustawienie 0x0 oznacza, że komputery nie są dozwolone do próby aktualizacji stref TopLevelDomain. Oznacza to, że jeśli to ustawienie jest wyłączone, komputery, do których są stosowane te zasady, nie wysyłają aktualizacji dynamicznych do strefy głównej ani do stref domen najwyższego poziomu, które są autorytatywne dla rekordów zasobów, które komputer musi zaktualizować. Jeśli to ustawienie nie jest skonfigurowane, zasady nie są stosowane do żadnych komputerów, a komputery używają ich konfiguracji lokalnej.

  • Zasady Rejestruj rekordy PTR

    Dodano nową możliwą 0x2 REG_DWORD RegisterReverseLookup podklucza rejestru:
    HKLM\Software\Policies\Microsoft\Windows NT\DNSClient

    Poniżej przedstawiono wartości wpisów dla RegisterReverseLookup: - 0x2. Zarejestruj tylko w przypadku powodzenia rejestracji rekordu "A". Komputery próbują zaimplementować rejestrację rekordów zasobów PTR tylko wtedy, gdy pomyślnie zarejestrowali odpowiadające im rekordy zasobów "A". - 0x1. Zarejestruj się. Komputery próbują zaimplementować rejestrację rekordów zasobów PTR niezależnie od powodzenia rejestracji rekordów "A". - 0x0. Nie rejestruj się. Komputery nigdy nie próbują zaimplementować rejestracji rekordów zasobów PTR.

Informacje