Informations sur la configuration des domaines Active Directory à l'aide de noms DNS en une seule partie

Cet article contient des informations sur le déploiement et le fonctionnement de domaines Active Directory configurés à l'aide de noms DNS en une seule partie.
Pour les raisons suivantes, la meilleure solution consiste à créer des domaines Active Directory ayant des noms DNS complets :

• Les noms DNS en une seule partie ne peuvent pas être enregistrés auprès des autorités Internet.
• Les contrôleurs de domaine et ordinateurs clients joints à des domaines en une seule partie exigent une configuration supplémentaire pour enregistrer dynamiquement des enregistrements DNS dans les zones DNS en une seule partie.
• Les contrôleurs de domaine et ordinateurs clients peuvent nécessiter une configuration supplémentaire pour résoudre les requêtes DNS dans les zones DNS en une seule partie.
• Certaines applications serveur sont incompatibles avec les noms de domaine en une seule partie. Certaines applications risquent de ne pas être prises en charge dans la version initiale d'une application, ou la prise en charge risque d'être supprimée dans une version ultérieure.
• La transition d'un nom de domaine DNS en une seule partie vers un nom DNS complet n'est pas simple et comporte deux options. Soit migrer
  (http://technet.microsoft.com/fr-fr/library/cc974332(WS.10).aspx)
  des utilisateurs, des ordinateurs, des groupes et d'autres états vers une nouvelle forêt. Ou renommer le domaine existant. Certaines applications serveur sont incompatibles avec la fonction de changement de nom de domaine qui est prise en charge par les contrôleurs de domaine Windows Server 2003 et plus récents. Ces incompatibilités bloquent la fonction de changement de nom de domaine ou la rendent plus difficile lorsque vous tentez de renommer un nom DNS en une seule partie en un nom de domaine complet.
  
  Voici une liste non exhaustive d'applications incompatibles avec le changement de nom de domaine :
  • Microsoft Exchange 2000 Server
  • Microsoft Exchange Server 2007
  • Microsoft Internet Security and Acceleration (ISA) Server 2004
  • Microsoft Live Communications Server 2005
  • Microsoft Operations Manager 2005
  • Microsoft SharePoint Portal Server 2003
  • Microsoft Systems Management Server (SMS) 2003
  • Microsoft Office Communications Server 2007
• L'Assistant Installation d'Active Directory (Dcpromo.exe) sous Windows Server 2008 met en garde contre la création de domaines ayant des noms DNS en une seule partie. Étant donné qu'il n'existe aucune raison commerciale ou technique de créer des domaines ayant des noms DNS en une seule partie, l'Assistant Installation d'Active Directory bloque explicitement la création de ces domaines sous Windows Server 2008 R2.

Les noms de domaine Active Directory recommandés comprennent un ou plusieurs sous-domaines combinés avec un domaine de niveau supérieur séparé par un point ("."). Voici quelques exemples :

• contoso.com
• corp.contoso.com
• contoso.local

Les noms en une seule partie se composent d'un mot unique comme « contoso ».

Le domaine de niveau supérieur occupe la partie à l'extrême droite d'un nom de domaine. Les domaines de niveau supérieur les plus fréquents sont les suivants :

• .com
• .corp
• .net
• .org
• Domaines de niveau supérieur avec code du pays à deux lettres (ccTLD) tels que .nz
  

Les noms de domaine Active Directory devraient être composés de deux ou plusieurs parties pour les systèmes d'exploitation actuels et futurs et pour la fiabilité et l'expérience des applications.

Enregistrement de noms DNS auprès des autorités Internet

Nous vous recommandons d'enregistrer les noms DNS pour les espaces de noms DNS internes et externes de niveau supérieur auprès des autorités Internet. Cela inclut le domaine racine de la forêt de n'importe quelle forêt Active Directory sauf si ces noms sont des sous-domaines de noms DNS enregistrés par le nom de votre organisation (par exemple, le domaine racine de la forêt « corp.exemple.com » est un sous-domaine d'un espace de nom « exemple.com. » interne.) L'enregistrement de vos noms DNS auprès des autorités Internet permet à vos serveurs DNS Internet de résoudre votre domaine maintenant ou à un certain moment de l'existence de votre forêt Active Directory. Cet enregistrement permet en outre d'éviter des conflits potentiels de noms par d'autres organisations.

Problèmes pouvant survenir lorsque des clients ne peuvent pas enregistrer dynamiquement des enregistrements DNS dans une zone de recherche directe en une seule partie

Si vous utilisez un nom DNS en une seule partie dans votre environnement, il se peut que les clients ne puissent pas enregistrer dynamiquement des enregistrements DNS dans une zone de recherche directe en une seule partie. Les problèmes spécifiques varient selon la version de Microsoft Windows installée.

La liste suivante décrit les problèmes que vous pouvez rencontrer :

• Après avoir configuré Microsoft Windows pour un nom de domaine en une seule partie, tous les serveurs ayant le rôle de contrôleur de domaine risquent de ne pas pouvoir enregistrer des enregistrements DNS. Le journal système du contrôleur de domaine peut consigner régulièrement des avertissements NETLOGON 5781 semblables à l'exemple suivant :

  Type d'événement : Avertissement
  Source de l'événement : NETLOGON
  Catégorie de l'événement : Aucune
  ID de l'événement : 5781
  Description :
  
  L'enregistrement ou la suppression de l'enregistrement dynamique d'un ou plusieurs enregistrements DNS a échoué car aucun Serveur DNS n'est disponible.
  
  Mots de données : 0000: 0000232a

  Remarque Le code d'état 0000232a correspond au code d'erreur suivant :
  DNS_ERROR_RCODE_SERVER_FAILURE
• Les codes d'état et codes d'erreur supplémentaires suivants peuvent apparaître dans des fichiers journaux tels que Netdiag.log :
  Code d'erreur DNS : 0x0000251D = DNS_INFO_NO_RECORDS
  
  DNS_ERROR_RCODE_ERROR
  
  RCODE_SERVER_FAILURE
• Les ordinateurs Windows configurés pour les mises à jour dynamiques DNS ne seront pas enregistrés dans un domaine en une seule partie. Des avertissements similaires aux exemples suivants sont enregistrés dans le journal système de l'ordinateur :

  Type d'événement : Avertissement
  Source de l'événement : DnsApi
  Événement
  Catégorie : Aucune
  ID de l'événement : 11151
  Description : Échec lors de l'enregistrement de la carte réseau ayant les paramètres suivants :
  Nom de la carte : {Network adapter GUID}
  Nom de l'hôte : <nom_hôte>
  Suffixe du domaine spécifique à la carte : local
  Liste de serveurs DNS : <Adresse_IP_1_serveur_DNS>.<Adresse_IP_2_serveur_DNS>,<Adresse_IP_3_serveur_DNS>
  Mise à jour envoyée au serveur : Aucune
  Adresse(s) IP : <Adresse_IP>
  La cause de l'échec de l'inscription de ce DNS est due à une panne du serveur DNS. Ceci est peut-être dû à un transfert de zone qui a verrouillé le serveur DNS pour la zone applicable avec laquelle votre ordinateur a besoin de s'inscrire
  (La zone applicable doit correspondre au suffixe de domaine spécifique à la carte qui est indiqué ci-dessus.)
  Vous pouvez essayer d'inscrire à nouveau la carte réseau et ses paramètres manuellement en entrant "ipconfig/registerdns" à l'invite de commande Si le problème persiste, contactez votre administrateur de systèmes de réseau pour vérifier les conditions réseau.

  Type d'événement : Avertissement
  ID de l'événement : 11165
  Source : DnsApi
  Description : L'ordinateur n'a pas pu enregistrer les enregistrements (RR) des ressources hôtes (A) pour la carte réseau dont les paramètres sont :
  Nom de la carte : {Network adapter GUID}
  Nom de l'hôte : <nom_hôte>
  Suffixe de domaine principal : <domaine_en_une_seule_partie>
  Liste de serveurs DNS : <Adresse_IP_1_serveur_DNS>.<Adresse_IP_2_serveur_DNS>,<Adresse_IP_3_serveur_DNS>
  Mise à jour envoyée au serveur :
  Adresse(s) IP : <Adresse_IP>
  
  L'ordinateur n'a pas pu inscrire ces RR parce que le serveur DNS contacté a refusé la demande de mise à jour.
  Les raisons pour cela peuvent être (a) vous n'êtes pas autorisé à mettre à jour le nom de domaine DNS spécifié ou (b) le serveur DNS d'autorité pour ce nom ne prend pas en charge le protocole de mise à jour DNS dynamique.
  
  Pour inscrire les enregistrements de ressource d'hôte (A) DNS en utilisant le nom de domaine DNS spécifique et les adresses IP de cette carte, contactez votre administrateur de serveur DNS ou de systèmes réseau.

Comment permettre aux clients Windows d'effectuer des mises à jour dynamiques dans des zones DNS en une seule partie

Par défaut, Windows n'envoie pas de mises à jour aux domaines de niveau supérieur. Toutefois, vous pouvez modifier ce comportement en appliquant l'une des méthodes décrites dans cette section. Utilisez l'une des méthodes suivantes pour permettre aux clients Windows d'effectuer des mises à jour dynamiques dans des zones DNS en une seule partie.

Méthode 1 : Utilisation de l'Éditeur du Registre

Configuration du localisateur de contrôleurs de domaines pour Windows XP Professionnel et les versions ultérieures de Windows

Important Cette section, méthode ou tâche explique la procédure de modification du Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour plus de protection, effectuez une sauvegarde du Registre avant de le modifier. Vous serez alors en mesure de le restaurer en cas de problème. Pour plus d'informations sur la procédure de sauvegarde et de restauration du Registre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft : Sur un ordinateur Windows, un membre de domaine Active Directory nécessite une configuration supplémentaire pour prendre en charge des noms DNS de domaines en une seule partie. En particulier, le localisateur de contrôleurs de domaine sur de tels membres de domaine n'utilise pas le service de serveur DNS pour localiser les contrôleurs de domaine dans un domaine dont le nom DNS est en une seule partie, à moins que le membre du domaine Active Directory ne soit joint à une forêt contenant au moins un domaine dont le nom DNS est en une seule partie.

Sans modification, un membre de domaine Active Directory dans une forêt ne contenant aucun domaine dont le nom DNS est en une seule partie n'utilise pas le service de serveur DNS pour localiser les contrôleurs de domaine dans les domaines dotés de noms DNS en une seule partie se trouvant dans d'autres forêts. L'accès client aux domaines dont le nom DNS est en une seule partie échoue si la résolution de noms NetBIOS n'est pas configurée correctement.

Pour activer un membre de domaine Active Directory afin qu'il utilise DNS pour localiser les contrôleurs de domaine dans les domaines dont le nom DNS est en une seule partie dans d'autres forêts, procédez comme suit :

1. Cliquez sur Démarrer, sur Exécuter, tapez regedit, puis cliquez sur OK.
2. Recherchez et cliquez sur la sous-clé suivante :
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
3. Dans le volet d'informations, recherchez l'entrée AllowSingleLabelDnsDomain. Si l'entrée AllowSingleLabelDnsDomain n'existe pas, procédez comme suit :
   1. Dans le menu Edition, pointez sur Nouveau, puis cliquez sur Valeur DWORD.
   2. Tapez AllowSingleLabelDnsDomain comme nom de l'entrée, puis appuyez sur ENTRÉE.
4. Double-cliquez sur l'entrée AllowSingleLabelDnsDomain.
5. Dans la zone Données de la valeur, tapez 1, puis cliquez sur OK.
6. Quittez l'Éditeur du Registre.

Configuration du client DNS

Important Cette section, méthode ou tâche explique la procédure de modification du Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour plus de protection, effectuez une sauvegarde du Registre avant de le modifier. Vous serez alors en mesure de le restaurer en cas de problème. Pour plus d'informations sur la procédure de sauvegarde et de restauration du Registre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft : Les membres et contrôleurs de domaine Active Directory se trouvant dans un domaine dont le nom DNS est en une seule partie doivent généralement enregistrer dynamiquement les enregistrements DNS dans une zone DNS dont le nom est en une seule partie et qui correspond au nom DNS de ce domaine. Si un domaine racine de forêt Active Directory possède un nom DNS en une seule partie, tous les contrôleurs de domaine de cette forêt doivent généralement enregistrer dynamiquement les enregistrements DNS dans une zone DNS dont le nom est en une seule partie et qui correspond au nom DNS de la racine de la forêt.

Par défaut, les ordinateurs clients DNS Windows n'essaient pas de mettre à jour dynamiquement la zone racine « . » ni les zones DNS dont le nom est en une seule partie. Pour permettre aux ordinateurs clients DNS Windows d'essayer de mettre à jour dynamiquement une zone DNS en une seule partie, procédez comme suit :

1. Cliquez sur Démarrer, sur Exécuter, tapez regedit, puis cliquez sur OK.
2. Recherchez et cliquez sur la sous-clé suivante :
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DnsCache\Parameters
3. Dans le volet d'informations, recherchez l'entrée UpdateTopLevelDomainZones. Si l'entrée UpdateTopLevelDomainZones n'existe pas, procédez comme suit :
   1. Dans le menu Edition, pointez sur Nouveau, puis cliquez sur Valeur DWORD.
   2. Tapez UpdateTopLevelDomainZones comme nom de l'entrée, puis appuyez sur ENTRÉE.
4. Double-cliquez sur l'entrée UpdateTopLevelDomainZones.
5. Dans la zone Données de la valeur, tapez 1, puis cliquez sur OK.
6. Quittez l'Éditeur du Registre.

Ces changements de configuration doivent être appliqués à tous les contrôleurs et membres d'un domaine dont les noms DNS sont en une seule partie. Si un domaine ayant un nom en une seule partie est une racine de forêt, ces changements de configuration doivent être appliqués à tous les contrôleurs de domaine de la forêt, à moins que les zones séparées _msdcs.nom_forêt, _sites.nom_forêt, _tcp.nom_forêt et _udp.nom_forêt soient déléguées de la zone nom_forêt.

Pour que les modifications prennent effet, redémarrez les ordinateurs sur lesquels vous avez modifié les entrées de Registre.

Remarques

• Pour Windows Server 2003 et les versions ultérieures, l'entrée UpdateTopLevelDomainZones a été déplacée à la sous-clé de Registre suivante :
  HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient
• Sur un contrôleur de domaine Microsoft Windows 2000 SP4, l'ordinateur signale l'erreur d'enregistrement du nom suivante dans le journal d'événements système si le paramètre UpdateTopLevelDomainZones n'est pas activé :

  Type d'événement : Avertissement
  Source de l'événement : NETLOGON
  Catégorie de l'événement : Aucune
  ID de l'événement : 5781
  Utilisateur : N/A
  Description : L'enregistrement ou la suppression de l'enregistrement dynamique d'un ou plusieurs enregistrements DNS a échoué car aucun Serveur DNS n'est disponible.
  Données : 0000: 0000232a

• Sur un contrôleur de domaine Windows 2000 SP4, vous devez redémarrer votre ordinateur après avoir ajouté le paramètre UpdateTopLevelDomainZones.

Méthode 2 : Utilisation de la Stratégie de groupe

La Stratégie de groupe permet d'activer les stratégies Mettre à jour les zones de domaine du niveau supérieur et Emplacement des contrôleurs de domaine hébergeant un domaine portant un nom DNS en une seule partie comme spécifié dans le tableau suivant sous l'emplacement du dossier sur le conteneur de domaine racine dans Utilisateurs et Ordinateurs, ou sur toutes les unités d'organisation qui hébergent des comptes d'ordinateur pour des ordinateurs membres, et pour les contrôleurs de domaine dans le domaine. Remarque Ces stratégies sont prises en charge uniquement sur les ordinateurs Windows Server 2003 et Windows XP.

Pour activer ces stratégies, suivez la procédure suivante sur le conteneur de domaine racine :

1. Cliquez sur Démarrer, sur Exécuter, tapez gpedit.msc, puis cliquez sur OK.
2. Sous Stratégie de l'ordinateur local, développez Configuration ordinateur.
3. Développez Modèles d'administration.
4. Activez la stratégie Mettre à jour les zones de domaine du niveau supérieur Pour cela, procédez comme suit :
   1. Développez Réseau.
   2. Cliquez sur Client DNS.
   3. Dans le volet d'informations, double-cliquez sur Mettre à jour les zones de domaine du niveau supérieur.
   4. Cliquez sur Activé.
   5. Cliquez sur Appliquer, puis sur OK.
5. Activez la stratégie Emplacement des contrôleurs de domaine hébergeant un domaine portant un nom DNS en une seule partie. Pour cela, procédez comme suit :
   1. Développez Système.
   2. Développez Ouverture de session réseau.
   3. Cliquez sur Enregistrements DNS du localisateur de contrôleur de domaine.
   4. Dans le volet d'informations, double-cliquez sur Emplacement des contrôleurs de domaine hébergeant un domaine portant un nom DNS en une seule partie.
   5. Cliquez sur Activé.
   6. Cliquez sur Appliquer, puis sur OK.
6. Quittez la stratégie de groupe.

Pour plus d'informations sur la façon d'utiliser l'Éditeur de Stratégie de groupe pour gérer la stratégie d'ordinateur local, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft. Sur les serveurs DNS Windows Server 2003 et les versions ultérieures, assurez-vous que les serveurs racine ne sont pas créés involontairement.

Sur les serveurs DNS Windows 2000, vous devrez peut-être supprimer la zone racine « . » pour déclarer correctement les enregistrements DNS. La zone racine est créée automatiquement lorsque le service de serveur DNS est installé parce que ce dernier ne peut pas atteindre les indications de racine. Ce problème a été résolu dans les versions ultérieures de Windows.

Les serveurs racine peuvent être créés par l'Assistant DCpromo. Si la zone « . » existe, un serveur racine a été créé. Pour que la résolution de nom fonctionne correctement, vous devrez peut-être supprimer cette zone.

Paramètres de stratégie DNS nouveaux et modifiés pour Windows Server 2003 et versions ultérieures

• Stratégie Mettre à jour les zones de domaine du niveau supérieur
  
  Si cette stratégie est spécifiée, elle crée une entrée REG_DWORD UpdateTopLevelDomainZones sous la sous-clé de Registre suivante :
  HKLM\Software\Policies\Microsoft\Windows NT\DNSClient
  Voici les valeurs d'entrée pour UpdateTopLevelDomainZones :
  • Activé (0x1). Un paramètre 0x1 signifie que les ordinateurs peuvent tenter de mettre à jour les zones TopLevelDomain. En d'autres termes, si le paramètre UpdateTopLevelDomainZones est activé, les ordinateurs auxquels cette stratégie est appliquée envoient des mises à jour dynamiques à toutes les zones autorisées pour les enregistrements de ressource que l'ordinateur doit mettre à jour, à l'exception de la zone racine.
  • Désactivé (0x0). Un paramètre 0x0 signifie que les ordinateurs ne peuvent pas tenter de mettre à jour les zones TopLevelDomain. En d'autres termes, si ce paramètre est désactivé, les ordinateurs auxquels cette stratégie est appliquée n'envoient pas de mises à jour dynamiques vers la zone racine ou vers les zones de domaine de niveau supérieur qui sont autorisées pour les enregistrements de ressource que l'ordinateur doit mettre à jour. Si ce paramètre n'est pas configuré, la stratégie n'est pas appliquée à tous les ordinateurs, et les ordinateurs utilisent leur configuration locale.
• Stratégie Enregistrer les enregistrements PTR
  
  Une nouvelle valeur possible, 0x2, de l'entrée REG_DWORD RegisterReverseLookup a été ajoutée sous la sous-clé de Registre suivante :
  HKLM\Software\Policies\Microsoft\Windows NT\DNSClient
  Voici les valeurs d'entrée pour RegisterReverseLookup :
  • 0x2. Enregistre uniquement si l'enregistrement d'un enregistrement « A » réussit. Les ordinateurs tentent d'enregistrer les enregistrements de ressource PTR uniquement s'ils ont enregistré les enregistrements de ressources « A » correspondants.
  • 0x1. Enregistrer. Les ordinateurs tentent d'enregistrer les enregistrements de ressource PTR indépendamment de la réussite de l'enregistrement des enregistrements « A ».
  • 0x0. Ne pas enregistrer. Les ordinateurs ne tentent jamais d'enregistrer des enregistrements de ressource PTR.

Pour plus d'informations, cliquez sur les numéros ci-dessous pour afficher les articles correspondants dans la Base de connaissances Microsoft.

2002584 : Impossible de sélectionner le rôle de serveur DNS lors de l'ajout d'un contrôleur de domaine dans un domaine Active Directory existant

2992634 : Avertissements lors de la promotion de Windows Server 2008 et Windows Server 2008 R2 DCPROMO dans des domaines portant des noms DNS en une seule partie

Guide de l'outil ADMT : Migration et restructuration de domaines Active Directory

Guide de l'outil ADMT (Active Directory Migration Tool) : Migration et restructuration de domaines Active Directory

Active Directory Migration Tool version 3.1

Active Directory Migration Tool version 3,2

Page disponible dans le Centre de solutions Microsoft Planification de l'espace de noms DNS traitant de la compatibilité du produit