Конвенции именования в Active Directory для компьютеров, доменов, сайтов и OUs

В этой статье описываются конвенции о переименовании для учетных записей компьютеров в Windows, доменных имен NetBIOS, доменных имен DNS, сайтов Active Directory и организационных подразделений, определенных в службе каталогов Active Directory.

Применяется к:   Windows Server 2012 R2
Исходный номер КБ:   909264

Сводка

В этой статье обсуждаются следующие темы:

  • Допустимые символы для имен
  • Минимальные и максимальные длины имен
  • Зарезервированные имена
  • Имена, которые мы не рекомендуем
  • Общие рекомендации, основанные на поддержке Active Directory в малых, средних и крупных развертываниях

Все объекты, названные в Active Directory или в AD/AM и LDS, могут соответствовать именам на основе алгоритма, описанного в следующей статье:

Нельзя добавить имя пользователя или имя объекта, которое отличается только от символа с диакритической метой.

В этой статье эта конвенция именования применяется к компьютерам, OU и именам сайтов.

Имена компьютеров

Имена компьютеров NetBIOS

  • Разрешенные символы

    Имена компьютеров NetBIOS могут содержать все буквы, за исключением расширенных символов, перечисленных в символах Disallowed. Имена могут содержать период, но имена не могут начинаться с периода.

  • Неустановимые символы

    Имена компьютеров NetBIOS не могут содержать следующие символы:

    • backslash ( \ )

    • метка slash (/)

    • двоеточие (:)

    • звездочка (*)

    • знак вопроса (?)

    • кавычка ()

    • меньше, чем знак (<)

    • больше, чем знак (>)

    • вертикальная планка (|)

      Имена могут содержать период (.). Но имя не может начинаться с периода. Использование имен без DNS с периодами разрешено в Microsoft Windows NT. Периоды не должны использоваться в microsoft Windows 2000 или более поздних версиях Windows. При обновлении компьютера, имя которого NetBIOS содержит период, измените имя компьютера. Дополнительные сведения см. в специальном символе.

      В Windows 2000 и более поздних версиях Windows компьютеры, которые являются членами домена Active Directory, не могут иметь имен, состоящих полностью из чисел. Это ограничение из-за ограничений DNS.

      Дополнительные сведения о синтаксисе имен NetBIOS см. в синтаксисе имен NetBIOS.

  • Минимальная длина имени: 1 символ

  • Максимальная длина имени: 15 символов

    Примечание

    16-й символ зарезервирован для определения функций, установленных на зарегистрированном сетевом устройстве.

  • Зарезервированные имена

    См. таблицу зарезервированных слов.

  • Специальные символы: Период (.)

    Символ периода разделяет имя на идентификатор области NetBIOS и имя компьютера. Идентификатор области NetBIOS — это необязательная строка символов, идентифицирует логические сети NetBIOS, которые работают в одной физической сети TCP/IP. Чтобы NetBIOS работал между компьютерами, компьютеры должны иметь тот же идентификатор области NetBIOS и уникальные имена компьютеров.

    Использование областей NetBIOS в именах — это устаревшая конфигурация. Его нельзя использовать в лесах Active Directory. Дополнительные сведения о области NetBIOS см. в следующих веб-сайтах:

Имена хозяйнников DNS

  • Разрешенные символы

    Имена DNS могут содержать только алфавитные символы (A-Z), численные символы (0-9), знак минус (-) и период (.). Символы периода допускаются только в том случае, если они используются для разграничить компоненты имен доменного стиля.

    В Windows 2000 доменных имен (DNS) и DNS Windows Server 2003 поддерживаются символы Unicode. Другие реализации DNS не поддерживают символы Юникод. Избегайте символов Юникод, если запросы будут переданы на серверы, которые используют вне Microsoft реализации DNS.

    Дополнительные сведения см. в следующих веб-сайтах:

  • Неустановимые символы

    Имена хостов DNS не могут содержать следующие символы:

    • запятая (,)

    • tilde (~)

    • двоеточие (:)

    • восклицательный пункт (!)

    • при входе (@)

    • знак номера (#)

    • Знак доллара ($)

    • % (%)

    • caret (^)

    • ampersand (&)

    • apostrophe (')

    • период (.)

    • скобки (())

    • скобки ( {} )

    • подчеркивание (_);

    • белое пространство (пустое)

      Подчеркивать имеет особую роль. Это разрешено для первого символа в записях SRV по определению RFC. Но более новые DNS-серверы также могут разрешить его в любом месте имени. Дополнительные сведения см. в дополнительных сведениях о соблюдении ограничений имен для хостов и доменов.

      Другие правила:

    • Все символы сохраняют форматирование кейсов, за исключением символов American Standard Code for Information Interchange (ASCII).

    • Первый символ должен быть алфавитным или числимым.

    • Последний символ не должен быть знаком минус или периодом.

    • Нельзя использовать двухликой SDDL-пользовательские строки, перечисленные в хорошо известном списке SIDs. В противном случае не удается импортировать, экспортировать и управлять операциями.

      В Windows 2000 и более поздних версиях Windows компьютеры, которые являются членами домена Active Directory, не могут иметь имен, состоящих полностью из чисел. Это ограничение из-за ограничений DNS.

      Примечание

      Регистрация имени хозяйского имени DNS заменяет символ дефиса (-) для недействительных символов.

  • Минимальная длина имени: 2 символа

  • Максимальная длина имени: 63 символа

    Максимальная длина имени хоста и полностью квалифицированного доменного имени (FQDN) составляет 63 bytes на метку и 255 bytes на FQDN.

    Примечание

    Windows не разрешает имена компьютеров, которые превышают 15 символов, и нельзя указать имя ведущего DNS, которое отличается от имени хозяина NETBIOS. Однако можно создать заглавные главы узла для веб-сайта, на компьютере, который затем подлежит этой рекомендации.

    В Windows 2000 и Windows Server 2003 максимальное имя хоста и FQDN используют стандартные ограничения длины, которые упоминались ранее, с добавлением поддержки UTF-8 (Unicode). Так как некоторые символы UTF-8 превышают один октет в длину, вы не можете определить размер, подсчитывая символы.

    Контроллеры домена должны иметь FQDN менее 155 bytes.

  • Зарезервированные имена для RFC 952

    • -GATEWAY

    • -GW

    • -TAC

      Дополнительные сведения см. в rfc952.

  • Зарезервированные имена в Windows

    См. таблицу зарезервированных слов.

  • Рекомендации

    При создании имен для DNS-компьютеров в новой инфраструктуре DNS Windows Server 2003 используйте следующие рекомендации:

    • Выберите имена компьютеров, которые легко запомнить пользователям.
    • Определите владельца компьютера в имени компьютера.
    • Выберите имя, которое описывает назначение компьютера.
    • Для символов ASCII не используйте случае символов, чтобы указать владельца или цель компьютера. Для символов ASCII DNS не является чувствительным к случаям, Windows и Windows приложения не сохраняются во всех местах.
    • Соответствие доменного имени Active Directory основному суффиксу DNS имени компьютера. Дополнительные сведения см. в разделе Disjointed namespaces ниже.
    • Используйте уникальное имя для каждого компьютера в организации. Избегайте одного и того же имени компьютера для компьютеров в различных доменах DNS.
    • Используйте символы ASCII. Это гарантирует работу с компьютерами, на которые запущены версии Windows более ранних Windows 2000 года.
    • В именах компьютеров DNS используйте только символы, перечисленные в RFC 1123. Эти символы включают A-Z, a-z, 0-9 и дефис (-). В Windows Server 2003 DNS позволяет использовать большинство символов UTF-8 в именах. Не используйте расширенные символы ASCII или UTF-8, если их не поддерживают все DNS-серверы в вашей среде.

Доменные имена

Вот сведения о доменных именах NetBIOS и доменных именах DNS.

Доменные имена NetBIOS

  • Разрешенные символы

    Доменные имена NetBIOS могут содержать все буквы, за исключением расширенных символов, перечисленных в символах Disallowed. Имена могут содержать период, но имена не могут начинаться с периода.

  • Неустановимые символы

    Имена компьютеров NetBIOS не могут содержать следующие символы:

    • backslash ( \ )

    • метка slash (/)

    • двоеточие (:)

    • звездочка (*)

    • знак вопроса (?)

    • кавычка ()

    • меньше, чем знак (<)

    • больше, чем знак (>)

    • вертикальная планка (|)

      Имена могут содержать период (.). Но имя не может начинаться с периода. Использование имен без DNS с периодами разрешено в Microsoft Windows NT. Периоды не следует использовать в доменах Active Directory. При обновлении домена, имя которого NetBIOS содержит период, измените имя, перенастроив домен на новую структуру домена. Не используйте периоды в новых доменных именах NetBIOS.

      В Windows 2000 и более поздних версиях Windows компьютеры, которые являются членами домена Active Directory, не могут иметь имен, состоящих полностью из чисел. Это ограничение из-за ограничений DNS.

  • Минимальная длина имени: 1 символ

  • Максимальная длина имени: 15 символов.

    Примечание

    16-й символ зарезервирован для определения функций, установленных на зарегистрированном сетевом устройстве.

  • Зарезервированные имена в Windows

    См. таблицу зарезервированных слов.

    Имена обновленного домена могут включать зарезервированное слово. Однако в этой ситуации отношения доверия с другими доменами не удается.

  • Специальные символы: Период (.).

    Символ периода разделяет имя на идентификатор области NetBIOS и имя компьютера. Идентификатор области NetBIOS — это необязательная строка символов, идентифицирует логические сети NetBIOS, которые работают в одной физической сети TCP/IP. Чтобы NetBIOS работал между компьютерами, компьютеры должны иметь тот же идентификатор области NetBIOS и уникальные имена компьютеров.

    Предупреждение

    Использование областей NetBIOS в именах — это устаревшая конфигурация. Его нельзя использовать в лесах Active Directory. В этом нет никаких проблем, но могут быть приложения, фильтруя имя и предполагая имя DNS при обнаружении периода.

Доменные имена DNS

  • Разрешенные символы

    Имена DNS могут содержать только алфавитные символы (A-Z), численные символы (0-9), знак минус (-) и период (.). Символы периода допускаются только в том случае, если они используются для разграничить компоненты имен доменного стиля.

    В Windows 2000 доменных имен (DNS) и DNS Windows Server 2003 поддерживаются символы Unicode. Другие реализации DNS не поддерживают символы Юникод. Избегайте символов Юникод, если запросы будут переданы на серверы, которые используют вне Microsoft реализации DNS.

    Дополнительные сведения можно получить на следующих веб-сайтах:

  • Неустановимые символы

    Доменные имена DNS не могут содержать следующие символы:

    • запятая (,)

    • tilde (~)

    • двоеточие (:)

    • восклицательный пункт (!)

    • при входе (@)

    • знак номера (#)

    • Знак доллара ($)

    • % (%)

    • caret (^)

    • ampersand (&)

    • apostrophe (')

    • период (.)

    • скобки (())

    • скобки ( {} )

    • подчеркивание (_);

    • белое пространство (пустое)

      Подчеркивать имеет особую роль. Это разрешено для первого символа в записях SRV по определению RFC. Но более новые DNS-серверы также могут разрешить его в любом месте имени. Дополнительные сведения см. в дополнительных сведениях о соблюдении ограничений имен для хостов и доменов.

      При продвижении нового домена вы получаете предупреждение о том, что символ подчеркивания может вызвать проблемы с некоторыми DNS-серверами. Но он по-прежнему позволяет создавать домен.

      Другие правила:

    • Все символы сохраняют форматирование кейсов, за исключением символов ASCII.

    • Первый символ должен быть алфавитным или числимым.

    • Последний символ не должен быть знаком минус или периодом.

  • Минимальная длина имени: 2 символа

  • Максимальная длина имени: 255 символов

    Максимальная длина имени хоста и полностью квалифицированного доменного имени (FQDN) составляет 63 bytes на метку и 255 символов на FQDN. Последний основан на максимальной длине пути с доменным именем Active Directory с необходимыми путями, и ему необходимо соблюдать ограничение SYSVOL 260 MAX_PATH символов.

    Пример пути в SYSVOL содержит:

    \\<FQDN domain name>\sysvol\<FQDN domain name>\policies\{<policy GUID>}\[user|machine]\<CSE-specific path>

    Может содержать вход пользователя, например имя файла скрипта logon, таким образом, он также может достигать <CSE-specific path> значительной длины.

    Доменное имя AD FQDN появляется на пути дважды, так как длина доменного имени AD FQDN ограничена 64 символами.

    В Windows 2000 и Windows Server 2003 максимальное имя хоста и FQDN используют стандартные ограничения длины, которые упоминались ранее, с добавлением поддержки UTF-8 (Unicode). Так как некоторые символы UTF-8 превышают один октет в длину, вы не можете определить размер, подсчитывая символы.

  • Пространства доменных имен с одним ярлыком

    Имена DNS с одной меткой — это имена, которые не содержат суффикс, например .com , , , или .corp .net .org companyname . Например, хост — это имя DNS с одной меткой. Большинство регистраторов Интернета не разрешает регистрацию имен DNS с одной меткой.

    Как правило, мы рекомендуем зарегистрировать имена DNS для внутренних и внешних пространств имен в регистраторе Интернета. Это включает DNS-имена доменов Active Directory, если только такие имена не являются поддоменами имен DNS, зарегистрированных по имени организации. Например, corp.example.com это поддомен example.com . Регистрация имени DNS в регистраторе Интернета может помочь предотвратить столкновение имен. Столкновение имен может произойти, если другая организация попытается зарегистрировать то же имя DNS или если ваша организация объединится с другой организацией, использующей то же имя DNS.

    Проблемы, связанные с пространствами имен с одной меткой:

    • Однометные имена DNS не могут быть зарегистрированы с помощью регистратора Интернета.

    • Домены с однометным DNS-именами требуют дополнительной конфигурации.

    • Служба DNS Server не может использоваться для обнаружения контроллеров доменов в доменах с однометным DNS-именами.

    • По умолчанию Windows на основе сервера 2003, Windows членов домена на основе XP и Windows 2000 членов домена не выполняют динамические обновления для зон DNS с одной меткой.

      Дополнительные сведения см. в дополнительных сведениях о развертывании и работе доменов Active Directory,настроенных с помощью имен DNS с одной меткой.

  • Зарезервированные имена

    См. таблицу зарезервированных слов.

    Не используйте доменные имена верхнего уровня в интрасети, например .com , .net и .org . Если в интрасети используются доменные имена верхнего уровня, компьютеры интрасети, подключенные к Интернету, могут испытывать ошибки в разрешении.

Несоединимые пространства имен

Несоединяемая область имен возникает, когда основной Суффикс DNS компьютера не соответствует домену DNS, членом которого он является. Например, несоединяемая область имен возникает, когда машина с DNS-именем находится в домене с dc1.contosocorp.com DNS-именем contoso.com .

Как возникают несоединимые пространства имен:

  1. Контроллер Windows NT домена 4.0 обновляется до контроллера домена Windows 2000 с помощью исходной версии Windows 2000. В элементе Networking в панели управления определяются несколько суффиксов DNS.

  2. Домен переименован, когда лес находится на уровне Windows Server 2003. И основной Суффикс DNS не изменен, чтобы отразить новое доменное имя DNS.

Эффекты несоединяемого пространства имен:

Предположим, контроллер домена с именем DC1 Windows NT домене 4.0, доменное имя которого NetBIOS — contoso. Этот контроллер домена обновляется до Windows 2000. При этом обновлении домен DNS contoso.com переименован. В исходной версии выпуска Windows 2000 года режим обновления очищает поле, которое связывает основной суффикс DNS контроллера домена с его доменным именем DNS. Таким образом, основным Суффиксом DNS контроллера домена является Windows NT суффикс 4.0 DNS 4.0, определенный в списке поиска Windows NT 4.0. В этом примере имя DNS DC1.northamerica.contoso.com — .

Контроллер домена динамически регистрирует записи о расположении службы (SRV) в зоне DNS, соответствующей доменным именем DNS. Однако контроллер домена регистрирует свои записи в зоне DNS, соответствующие основному суффиксу DNS.

Дополнительные сведения о несоединяемом пространстве имен см. в следующих статьях:

Другие факторы

  • Леса, подключенные к Интернету

    Пространство имен DNS, подключенное к Интернету, должно быть поддоманом домена верхнего или второго уровня пространства имен DNS Интернета.

  • Максимальное количество доменов в лесу

    В Windows 2000 г. максимальное число доменов в лесу — 800. В Windows Server 2003 и более поздних версиях максимальное число доменов в Forest Functional Level 2 — 1200. Это ограничение является ограничением многоценных не связанных атрибутов в Windows Server 2003.

  • Рекомендации

    • Имена DNS всех узлов, которые требуют разрешения имен, включают доменное имя internet DNS для организации. Таким образом, выберите доменное имя DNS в Интернете, которое является коротким и легко запомнить. Поскольку DNS иерархична, имена доменов DNS растут при добавлении поддоменов в организацию. Короткие имена доменов делают имена компьютеров легко запоминаться.

    • Если организация имеет присутствие в Интернете, используйте имена, относимые к зарегистрированным доменным именем DNS Интернета. Например, если вы зарегистрировали доменное имя DNS Интернета, используйте доменное имя DNS, например для contoso.com corp.contoso.com доменного имени интрасети.

    • Не используйте имя существующей корпорации или продукта в качестве доменного имени. Вы можете запустить в столкновение имя позже.

    • Избегайте общего имени, например domain.localhost. Другая компания, с ней сливаемая через несколько лет, может следовать тому же мышлению.

    • Не используйте аббревиатура или аббревиатура в качестве доменного имени. У пользователей могут возникнуть трудности с распознаванием бизнес-подразделения, которое представляет аббревиатура.

    • Избегайте использования подчеркнут (_) в доменных именах. Приложения могут быть очень послушными RFC и отклонить имя и не будут устанавливать или работать в домене. Также могут возникнуть проблемы со старыми DNS-серверами.

    • Не используйте имя подразделения или подразделения в качестве доменного имени. Бизнес-подразделения и другие подразделения изменятся, и эти доменные имена могут вводить в заблуждение или устареть.

    • Не используйте географические имена, которые сложно заклинание и запоминать.

    • Избегайте расширения иерархии доменных имен DNS более чем на пять уровней из корневого домена. Можно сократить административные затраты, ограничив масштабы иерархии доменных имен.

    • Если вы развертываете DNS в частной сети и не планируете создавать внешнее пространство имен, зарегистрируйте доменное имя DNS, которое создается для внутреннего домена. В противном случае, вы можете обнаружить, что имя недоступно, если вы пытаетесь использовать его в Интернете, или если вы подключились к сети, подключенной к Интернету.

Имена сайтов

При создании нового имени сайта рекомендуется использовать допустимое имя DNS. В противном случае сайт будет доступен только в том случае, если используется сервер Microsoft DNS. Дополнительные сведения о действительных именах DNS см. в разделе Имена хостов DNS.

  • Разрешенные символы

    Имена DNS могут содержать только алфавитные символы (A-Z), численные символы (0-9), знак минус (-) и период (.). Символы периода допускаются только в том случае, если они используются для разграничить компоненты имен доменного стиля.

    В Windows 2000 доменных имен (DNS) и DNS Windows Server 2003 поддерживаются символы Unicode. Другие реализации DNS не поддерживают символы Юникод. Избегайте символов Юникод, если запросы будут переданы на серверы, которые используют вне Microsoft реализации DNS.

    Дополнительные сведения можно получить на следующих веб-сайтах:

  • Неустановимые символы

    Имена DNS не могут содержать следующие символы:

    • запятая (,)

    • tilde (~)

    • двоеточие (:)

    • восклицательный пункт (!)

    • при входе (@)

    • знак номера (#)

    • Знак доллара ($)

    • % (%)

    • caret (^)

    • ampersand (&)

    • apostrophe (')

    • период (.)

    • скобки (())

    • скобки ( {} )

    • подчеркивание (_);

    • белое пространство (пустое)

      Подчеркивать имеет особую роль. Это разрешено для первого символа в записях SRV по определению RFC. Но более новые DNS-серверы также могут разрешить его в любом месте имени. Дополнительные сведения см. в дополнительных сведениях о соблюдении ограничений имен для хостов и доменов.

      Другие правила:

    • Все символы сохраняют форматирование кейсов, за исключением символов ASCII.

    • Первый символ должен быть алфавитным или числимым.

    • Последний символ не должен быть знаком минус или периодом.

  • Минимальная длина имени: 1 символ

  • Максимальная длина имени: 63 символа

    Максимальная длина имени DNS — 63 bytes на метку.

    В Windows 2000 и Windows Server 2003 максимальное имя хоста и FQDN используют стандартные ограничения длины, которые упоминались ранее, с добавлением поддержки UTF-8 (Unicode). Так как некоторые символы UTF-8 превышают один октет в длину, вы не можете определить размер, подсчитывая символы.

Имена OU

  • Разрешенные символы

    Разрешены все символы, даже расширенные символы. Хотя пользователи и компьютеры Active Directory позволяют называть OU расширенными символами, мы рекомендуем использовать имена, которые описывают назначение OU и которые достаточно коротки, чтобы легко управлять. Протокол доступа к легкому каталогу (LDAP) не имеет ограничений, так как cn объекта ставится в кавычках.

  • Неустановимые символы

    Никакие символы не допускаются.

  • Минимальная длина имени: 1 символ

  • Максимальная длина имени: 64 символа

Особые проблемы

Если домен на уровне корневого домена имеет то же имя, что и будущий детский домен, у вас могут возникнуть проблемы с базой данных. Рассмотрим сценарий, в котором вы удалите маркетинг с именем OU, чтобы создать детский домен с таким же именем, например (левая метка имени FQDN домена ребенка имеет то же marketing.contoso.com имя).

OU удаляется, и во время срока службы надгробного надгробия вы создаете детский домен с таким же именем, который создается, удаляется и создается снова. В этом случае дублирующее имя записи в базе данных ESE вызывает столкновение фантомных имен при повторном создании домена ребенка. Эта проблема не позволяет реплицировать контейнер конфигурации.

Примечание

Аналогичный конфликт имен может также происходить с другими типами имен RDN при определенных условиях, не ограниченных типами имен DC и OU.

Таблица зарезервированных слов

Зарезервированные слова для имен Windows NT 4.0 Windows 2000 Windows Server 2003 и более поздний
ANONYMOUS X X X
АВТОРИФИКАЦИЯ ПОЛЬЗОВАТЕЛЯ X X
BATCH X X X
BUILTIN X X X
CREATOR GROUP X X X
СЕРВЕР ГРУППЫ CREATOR X X X
СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ X X X
СЕРВЕР ВЛАДЕЛЬЦА СОЗДАТЕЛЯ X X X
DIALUP X X X
ДАЙДЖЕСТ AUTH X
INTERACTIVE X X X
INTERNET X X
LOCAL X X X
ЛОКАЛИЗОВАННАЯ СИСТЕМА X
NETWORK X X X
NETWORK SERVICE X
NT AUTHORITY X X X
ДОМЕН NT X X X
NTLM AUTH X
NULL X X X
ПРОКСИ X X
УДАЛЕННЫЙ ИНТЕРАКТИВНЫЙ X
RESTRICTED X X
SCHANNEL AUTH X
SELF X X
SERVER X X
СЛУЖБА X X X
SYSTEM X X X
TERMINAL SERVER X X
ЭТА ОРГАНИЗАЦИЯ X
ПОЛЬЗОВАТЕЛИ X
WORLD X X X