Развертывание и эксплуатация доменов Active Directory, настроенных с помощью имен DNS с одной меткой

В этой статье содержатся сведения о развертывании и эксплуатации доменов Active Directory (AD), настроенных с помощью имен DNS с однометкой меткой.

Применяется к:   Windows 2008 R2 Пакет обновления 1, Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows 10, версия 1809
Исходный номер КБ:   300684

Сводка

Желание удалить конфигурацию домена единой метки часто является причиной переименования домена. Сведения о совместимости приложений в этой статье применимы ко всем сценариям, в которых можно было бы учесть переименование домена.

По следующим причинам лучше всего создавать новые домены Active Directory с полностью квалифицированными именами DNS:

  • Имена DNS с одной меткой не могут быть зарегистрированы с помощью регистратора Интернета.

  • Клиентские компьютеры и контроллеры доменов, которые присоединяются к доменам с одной меткой, требуют дополнительной конфигурации для динамической регистрации записей DNS в зонах DNS с одной меткой.

  • Клиентские компьютеры и контроллеры домена могут требовать дополнительной конфигурации для решения запросов DNS в зонах DNS с одной меткой.

  • Некоторые серверные приложения несовместимы с однофамильными доменными именами. Поддержка приложений может не существовать в начальном выпуске приложения или поддержка может быть отброшена в будущем выпуске.

  • Переход с однометного доменного имени DNS на полностью квалифицированное имя DNS нетривиален и состоит из двух вариантов. Перенос пользователей , компьютеров, групп и других государств в новый лес. Или сделайте домен переименованием существующего домена. Некоторые серверные приложения несовместимы с функцией переименования домена, поддерживаемой в Windows Server 2003 и более новых контроллерах домена. Эти несовместимости либо блокируют функцию переименования домена, либо затрудняет использование функции переименования домена при попытке переименовать имя DNS с одной меткой в полностью квалифицированное доменное имя.

  • Мастер установки Active Directory (Dcpromo.exe) в Windows Server 2008 предупреждает о создании новых доменов с однометным DNS-именами. Так как нет бизнес-или технических причин для создания новых доменов с однометными именами DNS, мастер установки Active Directory в Windows Server 2008 R2 явно блокирует создание таких доменов.

Примеры приложений, несовместимых с переименованием домена, включают в себя следующие продукты:

  • Microsoft Exchange 2000 Server
  • Microsoft Exchange Server 2007
  • Microsoft Exchange Server 2010
  • Microsoft Exchange Server 2013
  • Microsoft Internet Security and Acceleration (ISA) Server 2004
  • Microsoft Live Communications Server 2005
  • Microsoft Operations Manager 2005
  • Microsoft SharePoint Portal Server 2003
  • Microsoft Systems Management Server (SMS) 2003
  • Microsoft Office Communications Server 2007
  • Microsoft Office Communications Server 2007 R2
  • Microsoft System Center диспетчер операций 2007 SP1
  • Microsoft System Center 2007 R2
  • Microsoft Lync Server 2010
  • Microsoft Lync Server 2013

Дополнительные сведения

Доменные имена Active Directory с наилучшей практикой состоят из одного или нескольких поддоменов, объединенных с доменом верхнего уровня, разделенным многоточием ("."). Ниже приводится несколько примеров:

  • contoso.com
  • corp.contoso.com

Однообъемные имена состоят из одного слова, как "contoso".

Домен верхнего уровня занимает наиболее правую метку в доменном имени. Общие домены верхнего уровня включают следующие:

  • .com
  • .net
  • .org
  • Домены верхнего уровня кода страны с двумя буквами (ccTLD), такие как .nz

Доменные имена Active Directory должны состоять из двух или нескольких меток для текущей и будущей операционной системы, а также для работы с приложениями и надежности.

Недействительные запросы домена верхнего уровня, о чем сообщает Консультативный комитет по безопасности и стабильности ICANN, можно найти в недействительных запросах домена верхнего уровня на корневом уровне системы доменных имен.

Регистрация имени DNS с помощью регистратора Интернета

Рекомендуется зарегистрировать имена DNS для самых внутренних и внешних пространств имен DNS в регистраторе Интернета. Который включает в себя домен корневого леса любых лесов Active Directory, если такие имена не являются поддоменами имен DNS, зарегистрированных именем организации (например, корневой домен леса "corp.example.com" является поддоменом внутреннего "example.com". пространство имен.) При регистрации имен DNS в регистраторе Интернета это позволяет DNS-серверам Интернета разрешить домен сейчас или в какой-то момент в течение жизни леса Active Directory. И эта регистрация помогает предотвратить возможные столкновения имен другими организациями.

Возможные симптомы, когда клиенты не могут динамически зарегистрировать записи DNS в зоне смотра с одной меткой.

Если в среде используется имя DNS с одной меткой, клиенты могут быть не в состоянии динамически зарегистрировать DNS-записи в зоне смотра с одной меткой вперед. Конкретные симптомы различаются в зависимости от версии microsoft Windows, которая установлена.

В следующем списке описываются симптомы, которые могут возникать:

  • После настройки microsoft Windows для одного доменного имени метки все серверы, которые имеют роль контроллера домена, могут быть не в состоянии зарегистрировать записи DNS. Системный журнал контроллера домена может последовательно входить в журнал предупреждений NETLOGON 5781, которые напоминают следующий пример:

    Примечание

    Код состояния 0000232a совме-

    DNS_ERROR_RCODE_SERVER_FAILURE

  • В файлах журналов, таких как Netdiag.log, могут отображаться следующие дополнительные коды состояния и коды ошибок:

    Код ошибки DNS: 0x0000251D = DNS_INFO_NO_RECORDS
    DNS_ERROR_RCODE_ERROR
    RCODE_SERVER_FAILURE

  • Windows компьютеры, настроенные для динамических обновлений DNS, не будут регистрироваться в домене с одной меткой. Предупреждающие события, похожие на следующие примеры, записывают в системный журнал компьютера:

Как позволить Windows клиентам делать запросы и динамические обновления с однометными зонами DNS

По умолчанию Windows не отправляет обновления в домены верхнего уровня. Однако это поведение можно изменить с помощью одного из методов, описанных в этом разделе. Используйте один из следующих методов, чтобы Windows клиенты могли делать динамические обновления в однометные зоны DNS.

Кроме того, без изменений член домена Active Directory в лесу, не содержащий доменов с однометными именами DNS, не использует службу DNS Server для обнаружения контроллеров доменов в доменах с однометными именами DNS, которые находятся в других лесах. Клиентский доступ к доменам с однометными именами DNS не удается, если разрешение имен NetBIOS настроено неправильно.

Метод 1. Использование редактора реестра

  • Конфигурация локатора контроллера домена для Windows XP Professional и более поздних версий Windows

    Важно!

    В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Дополнительные сведения см. в дополнительных сведениях о том, как создать и восстановить реестр в Windows.

    На Windows на компьютере члену домена Active Directory требуется дополнительная конфигурация для поддержки имен DNS для доменов с одной меткой. В частности, локатор контроллера домена в члене домена Active Directory не использует службу DNS-сервера, чтобы найти контроллеры домена в домене с однометным DNS-именем, если только участник домена Active Directory не присоединяется к лесу, который содержит по крайней мере один домен, и этот домен имеет однометное имя DNS.

    Чтобы позволить члену домена Active Directory использовать DNS для обнаружения контроллеров доменов в доменах с однометными именами DNS, которые находятся в других лесах, выполните следующие действия:

    1. Выберите Начните, выберите Run, введите regedit и выберите ОК.

    2. Найдите и выберите следующий подкай: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

    3. В области сведений найдите запись AllowSingleLabelDnsDomain . Если записи AllowSingleLabelDnsDomain не существует, выполните следующие действия:

      1. В меню Изменить указать значение New, а затем выбрать значение DWORD.
      2. Введите AllowSingleLabelDnsDomain в качестве имени входа, а затем нажмите ВВОД.
    4. Дважды щелкните запись AllowSingleLabelDnsDomain .

    5. В поле Значение данных введите 1 и выберите ОК.

    6. Закройте редактор реестра.

  • Конфигурация клиента DNS

    Важно!

    В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Дополнительные сведения см. в дополнительных сведениях о том, как создать и восстановить реестр в Windows.

    Члены домена Active Directory и контроллеры домена, которые находятся в домене с однометным DNS-именем, обычно должны динамически регистрировать DNS-записи в зоне DNS с одной меткой, которая соответствует имени DNS этого домена. Если корневой домен леса Active Directory имеет имя DNS с одной меткой, все контроллеры домена в этом лесу обычно должны динамически зарегистрировать записи DNS в зоне DNS с одной меткой, которая соответствует имени DNS корневого леса.

    По умолчанию Windows клиентские компьютеры DNS не пытаются динамические обновления корневой зоны "." или однометных зон DNS. Чтобы позволить Windows клиентские компьютеры DNS на основе динамических обновлений одной зоны DNS, выполните следующие действия:

    1. Выберите Начните, выберите Run, введите regedit и выберите ОК.

    2. Найдите и выберите следующий подкай: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DnsCache\Parameters

    3. В области сведений найдите запись UpdateTopLevelDomainZones . Если записи UpdateTopLevelDomainZones не существует, выполните следующие действия:

      1. В меню Изменить указать значение New, а затем выбрать значение DWORD.
      2. Введите UpdateTopLevelDomainZones в качестве имени входа и нажмите кнопку ENTER.
    4. Дважды щелкните запись UpdateTopLevelDomainZones .

    5. В поле Значение данных введите 1 и выберите ОК.

    6. Закройте редактор реестра.

    Эти изменения конфигурации должны применяться к всем контроллерам домена и членам домена с однометными именами DNS. Если домен с однометным доменным именем является корнем леса, эти изменения конфигурации должны применяться к всем контроллерам домена в лесу, если только отдельные зоны не _msdcs. ForestName, _sites. ForestName, _tcp. ForestName, and_udp. ForestName делегирован из зоны ForestName .

    Чтобы изменения вступили в силу, перезапустите компьютеры, на которых были изменены записи реестра.

    Примечание

    • Для Windows Server 2003 и более поздних версий запись UpdateTopLevelDomainZones перешел к следующему подкайке реестра:
      HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient
    • В контроллере домена Windows 2000 на основе SP4 на основе Microsoft компьютер будет сообщать о следующей ошибке регистрации имени в журнале событий System, если параметр UpdateTopLevelDomainZones не включен:
    • На контроллере домена Windows 2000 на основе SP4 необходимо перезапустить компьютер после добавления параметра UpdateTopLevelDomainZones.

Метод 2. Использование групповой политики

Используйте групповую политику, чтобы включить политику обновления доменных зон верхнего уровня и расположение DCs, в котором размещен домен с единой политикой имен DNS меток, как указано в следующей таблице под расположением папки на корневом контейнере домена в "Пользователи и компьютеры" или на всех организационных подразделениях (OUs), на которые размещены учетные записи компьютеров для компьютеров-членов, и контроллеры домена в домене.

Политика Расположение папки
Обновление доменных зон верхнего уровня Конфигурация компьютера\Административные шаблоны\Network\DNS-клиент
Расположение DCs, на которые размещен домен с одним именем DNS метки Конфигурация компьютера\Административные шаблоны\System\Net Logon\DC Locator DNS Records

Примечание

Эти политики поддерживаются только на Windows Сервера 2003 и Windows компьютерах на основе XP.

Чтобы включить эти политики, выполните следующие действия в контейнере корневого домена:

  1. Выберите Начните, выберите Запуск, введите gpedit.msc и выберите ОК.
  2. В соответствии с локальной компьютерной политикой расширим конфигурацию компьютера.
  3. Расширение административных шаблонов.
  4. Включить политику обновления доменных зон верхнего уровня. Для этого выполните следующие действия:
    1. Расширение сети.
    2. Выберите клиент DNS.
    3. В области сведений дважды щелкните Обновление доменных зон верхнего уровня.
    4. Щелкните Включено.
    5. Выберите Применить, а затем выберите ОК.
  5. Включить расположение DCs, на которые размещен домен с единой политикой имен DNS меток. Для этого выполните следующие действия:
    1. Расширение системы.
    2. Расширь net Logon.
    3. Выберите DNS-записи DC Locator.
    4. В области сведений дважды щелкните Расположение DCs, где размещен домен с одним именем DNS метки.
    5. Щелкните Включено.
    6. Выберите Применить, а затем выберите ОК.
  6. Политика выхода из группы.

На Windows Сервере 2003 и более поздних версиях DNS-серверов убедитесь, что корневые серверы создаются непреднамеренно.

На Windows 2000 DNS-серверов может потребоваться удалить корневую зону ".", чтобы правильно задекларировать записи DNS. Корневая зона автоматически создается при установке службы DNS-сервера, так как служба DNS-сервера не может достичь корневых подсказок. Эта проблема была исправлена в более поздних версиях Windows.

Корневые серверы могут быть созданы мастером DCpromo. Если зона "." существует, создан корневой сервер. Чтобы разрешение имен работало правильно, может потребоваться удалить эту зону.

Новые и измененные параметры политики DNS для Windows Server 2003 и более поздних версий

  • Политика обновления доменных зон верхнего уровня

    Если указана эта политика, она создает REG_DWORD UpdateTopLevelDomainZones запись в следующем подкайке реестра: HKLM\Software\Policies\Microsoft\Windows NT\DNSClient
    Ниже следующую запись значений для UpdateTopLevelDomainZones: - Включено (0x1). Параметр 0x1 означает, что компьютеры могут пытаться обновить зоны TopLevelDomain. То есть, UpdateTopLevelDomainZones если параметр включен, компьютеры, к которым применяется эта политика, отправляют динамические обновления в любую зону, которая является авторитетной для записей ресурсов, которые компьютер должен обновить, за исключением корневой зоны. - Отключено (0x0). Параметр 0x0 означает, что компьютерам не разрешается пытаться обновлять зоны TopLevelDomain. То есть, если этот параметр отключен, компьютеры, к которым применяется эта политика, не отправляют динамические обновления в корневую зону или в доменные зоны верхнего уровня, которые являются авторитетными для записей ресурсов, которые компьютер должен обновить. Если этот параметр не настроен, политика не применяется к компьютерам, а компьютеры используют локализованную конфигурацию.

  • Политика записей реестра PTR

    Новое возможное значение, 0x2, REG_DWORD RegisterReverseLookup записи было добавлено в следующем подкайке реестра:
    HKLM\Software\Policies\Microsoft\Windows NT\DNSClient

    Ниже следующую запись значений для RegisterReverseLookup: - 0x2. Регистрация только в том случае, если регистрация записей "A" будет успешной. Компьютеры пытаются реализовать регистрацию записей ресурсов PTR только в том случае, если они успешно зарегистрировали соответствующие записи ресурсов "A". - 0x1. Регистрация. Компьютеры пытаются реализовать регистрацию записей ресурсов PTR независимо от успеха регистрации записей "A". - 0x0. Не регистрируйтесь. Компьютеры никогда не пытаются реализовать регистрацию записей ресурсов PTR.

Ссылки