単一ラベル DNS 名を使用して Active Directory のドメインを構成する

文書翻訳 文書翻訳
文書番号: 300684 - 対象製品
すべて展開する | すべて折りたたむ

目次

概要

この資料では、単一ラベルの DNS 名を使用して構成される Active Directory ドメインの展開と操作について説明します。
以下の理由により、完全修飾 DNS 名を持つ Active Directory ドメインを新規に作成することをベスト プラクティスとして推奨します。
  • 単一ラベル DNS 名はインターネット登録機関を使用して登録できません。
  • 単一ラベル DNS ゾーンで DNS レコードを動的に登録するには、単一ラベルのドメインに参加しているクライアント コンピューターとドメイン コントローラーに追加の構成が必要になります。
  • 単一ラベル DNS ゾーンで DNS クエリを解決するには、クライアント コンピューターとドメイン コントローラーに追加の構成が必要になる場合があります。
  • サーバー ベースのアプリケーションの中には、単一ラベルのドメイン名に適合しないものがあります。アプリケーションの初期リリースでアプリケーション サポートが存在しない場合や、将来のリリースでサポートが廃止される場合があります。
  • 単一ラベル DNS 名から完全修飾 DNS 名への移行は自明ではなく、ユーザー、コンピューター、グループ、およびその他の状態を新しいフォレストに移行するか、または既存のドメインのドメイン名を変更します。一部のサーバー ベースのアプリケーションは、Windows Server 2003 および新しいドメイン コントローラーでサポートされているドメイン名の変更機能に対応していません。このため、ドメイン名の変更機能が使用できなかったり、単一ラベル DNS 名を完全修飾ドメイン名に変更しようとしたときに、ドメイン名の変更機能の使用に支障が生じたりします。

    ドメイン名の変更に対応していないアプリケーションには、以下の製品が含まれます。
    • Microsoft Exchange 2000 Server
    • Microsoft Exchange Server 2007
    • Microsoft Internet Security and Acceleration (ISA) Server 2004
    • Microsoft Live Communications Server 2005
    • Microsoft Operations Manager 2005
    • Microsoft SharePoint Portal Server 2003
    • Microsoft Systems Management Server (SMS) 2003
    • Microsoft Office Communications Server 2007
  • Windows Server 2008 で、単一ラベル DNS 名を持つ新しいドメインを作成しようとすると、Active Directory インストール ウィザード (Dcpromo.exe) に警告が表示されます。単一ラベル DNS 名を持つ新しいドメインを作成するビジネス上または技術的な理由が存在しないため、Windows Server 2008 R2 の Active Directory インストール ウィザードでは、こうしたドメインの作成が明示的にブロックされます。

詳細

ベストプラクティスとして推奨される Active Directory ドメイン名は、ドット (".") で区切られた最上位ドメインに、1 つまたは複数のサブドメインを組み合わせたものです。以下に例を示します。
  • contoso.com
  • corp.contoso.com
  • contoso.local
単一ラベル名は "contoso" のような 1 つの単語で構成されます。

最上位のドメインは、ドメイン名の一番右側に表記されるラベルです。一般的な最上位ドメインには、以下のようなものがあります。
  • .com
  • .corp
  • .net
  • .org
  • .nz などの 2 文字の国コード最上位ドメイン (ccTLD)
Active Directory のドメイン名は、現在および将来のオペレーティング システムに対応し、アプリケーションの操作性と信頼性を確保できるように、2 つ以上のラベルで構成する必要があります。

インターネット登録機関を使用した DNS 名の登録

最上位の内部および外部の DNS 名前空間に対応した DNS 名をインターネット登録機関に登録することをお勧めします。これらの DNS 名がそれぞれの組織名で登録されている DNS 名のサブドメインでない限り、これには任意の Active Directory フォレストのフォレスト ルート ドメインが含まれます (たとえば、フォレスト ルート ドメイン "corp.example.com" は、内部の "example.com" 名前空間のサブドメインです)。このため、DNS 名をインターネット登録機関に登録すると、Active Directory フォレストが展開されている間はいつでも、インターネット DNS サーバーで自身のドメインを解決することができます。また、DNS 名を登録することで、他の組織との間で名前の競合を生じるのを防ぐことができます。

クライアントが DNS レコードを単一ラベルの前方参照ゾーンに動的に登録できない場合に発生する現象

単一ラベル DNS 名を使用している環境では、クライアントが DNS レコードを単一ラベルの前方参照ゾーンに動的に登録できない場合があります。これに伴う現象は、インストールされている Microsoft Windows のバージョンによって異なります。

発生する可能性のある現象は以下のとおりです。
  • Microsoft Windows を単一ラベルのドメイン名で構成した場合、ドメイン コントローラーの役割を持つすべてのサーバーで DNS レコードを登録できなくなることがあります。ドメイン コントローラーのシステム ログには、次のような NETLOGON 5781 の警告が繰り返し出力されることがあります。

    イベントの種類:警告
    イベント ソース:NETLOGON
    イベント カテゴリ:なし
    イベント ID: 5781
    説明:

    利用できる DNS サーバーがないため、1 つ以上の DNS レコードの動的登録、または登録解除に失敗しました。

    データ (ワード):0000: 0000232a

    : 状態コード 0000232a は、以下のエラー コードに対応します。
    DNS_ERROR_RCODE_SERVER_FAILURE
  • Netdiag.log などのログ ファイルに、以下の追加の状態コードおよびエラー コードが出力されることがあります。
    DNS エラー コード:0x0000251D = DNS_INFO_NO_RECORDS

    DNS_ERROR_RCODE_ERROR

    RCODE_SERVER_FAILURE
  • DNS 動的更新が構成された Windows ベースのコンピューターが単一ラベルのドメインに登録されません。次のような警告イベントがコンピューターのシステム ログに記録されます。

    イベントの種類:警告
    イベント ソース:DnsApi
    動作
    分類: なし
    イベント ID: 11151
    説明:システムは次の設定のネットワーク アダプターを登録できませんでした:
    アダプター名:{ネットワーク アダプターの GUID}
    ホスト名:<ホスト名>
    アダプター固有のドメイン サフィックス:ローカル
    DNS サーバー一覧:<DNS サーバー IP アドレス 1>.<DNS サーバー IP アドレス 2>,<DNS サーバー IP アドレス 3>
    サーバーへの更新情報の送信:なし
    IP アドレス:<IP アドレス>
    この DNS 登録エラーの原因は、DNS サーバーのエラーによるものです。これはゾーン転送のために、コンピューターを登録する適用ゾーンの DNS サーバーをロックしたことによって発生した可能性があります。
    (通常、適用ゾーンは、上に表示されているアダプター固有のドメイン サフィックスに一致します。)
    手動でネットワーク アダプターとその設定の登録をやり直す場合は、コマンド プロンプトで「ipconfig/registerdns」と入力します。問題が引き続き発生する場合は、ネットワーク システム管理者に問い合わせて、ネットワークの状態を確認してください。

    イベントの種類:警告
    イベント ID: 11165
    ソース: DnsApi
    説明: システムは次の設定のネットワーク アダプター用にホスト (A) リソース レコード (RR) を登録できませんでした:
    アダプター名:{ネットワーク アダプターの GUID}
    ホスト名:<ホスト名>
    プライマリ ドメイン サフィックス:<単一ラベル ドメイン>
    DNS サーバー一覧:<DNS サーバー IP アドレス 1>.<DNS サーバー IP アドレス 2>,<DNS サーバー IP アドレス 3>
    サーバーへの更新情報の送信:
    IP アドレス:<IP アドレス>

    システムがこれらの RR を登録できなかった理由は、通信した DNS サーバーが更新要求を拒否したためです。
    原因として考えられるのは、(a) 指定した DNS ドメイン名を更新する許可が与えられていない、または (b) この DNS ドメイン名に対して権限のある DNS サーバーが DNS 動的更新プロトコルをサポートしていない。

    このアダプター用に特定の DNS ドメイン名と IP アドレスを使用して DNS ホスト (A) リソース レコードを登録するには、DNS サーバーかネットワーク システムの管理者に問い合わせてください。

Windows ベースのクライアントで単一ラベル DNS ゾーンに対する動的更新の実行を可能にする方法

Windows では、トップ レベル ドメインに対して既定では更新が送信されません。ただし、このセクションに記載されているいずれかの方法を使用すると、この動作を変更することができます。次のいずれかの方法を使用すると、Windows ベースのクライアントで単一ラベル DNS ゾーンに対する動的更新を可能にすることができます。

方法 1: レジストリ エディターを使用する

Windows XP Professional 以降のバージョンの Windows でのドメイン コントローラー ロケーターの構成
重要: このセクション、方法、またはタスクには、レジストリの変更方法が記載されています。レジストリを誤って変更すると、深刻な問題が発生することがあります。レジストリを変更する際には十分に注意してください。万一に備えて、編集の前にレジストリをバックアップしてください。問題が発生した場合でも、レジストリを復元できます。レジストリのバックアップ方法および復元方法の詳細を参照するには、以下のサポート技術情報番号をクリックしてください。
322756 Windows でレジストリをバックアップおよび復元する方法
Windows ベースのコンピューターで Active Directory ドメイン メンバーがドメインの単一ラベル DNS 名の使用をサポートするには、追加の構成が必要です。特に、このような Active Directory ドメイン メンバー上のドメイン コントローラー ロケーターは、単一ラベル DNS 名のドメイン内でドメイン コントローラーを検索する際に、DNS サーバー サービスを使用しません (ただし、単一ラベル DNS 名のドメインが 1 つ以上含まれているフォレストにその Active Directory ドメイン メンバーが参加している場合は除きます)。

構成を変更しない限り、単一ラベル DNS 名のドメインが含まれていないフォレスト内の Active Directory ドメイン メンバーは、別のフォレストにある単一ラベル DNS 名のドメイン内のドメイン コントローラーを検索するときに DNS サーバー サービスを使用しません。NetBIOS 名前解決が正しく構成されていないと、クライアントは単一ラベル DNS 名のドメインにアクセスできません。

Active Directory ドメイン メンバーで、別のフォレストにある単一ラベル DNS 名のドメイン内のドメイン コントローラーの検索に DNS を使用できるようにするには、次の手順を実行します。
  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。次に「regedit」と入力し、[OK] をクリックします。
  2. 次のサブキーを見つけてクリックします。
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
  3. 詳細ウィンドウで、[AllowSingleLabelDnsDomain] エントリを見つけます。[AllowSingleLabelDnsDomain] エントリが存在しない場合は、次の手順を実行します。
    1. [編集] メニューの [新規] をポイントし、[DWORD 値] をクリックします。
    2. エントリ名として「AllowSingleLabelDnsDomain」と入力し、Enter キーを押します。
  4. [AllowSingleLabelDnsDomain] をダブルクリックします。
  5. [値のデータ] ボックスに「1」と入力し、[OK] をクリックします。
  6. レジストリ エディターを終了します。
DNS クライアントの構成
重要: このセクション、方法、またはタスクには、レジストリの変更方法が記載されています。レジストリを誤って変更すると、深刻な問題が発生することがあります。レジストリを変更する際には十分に注意してください。万一に備えて、編集の前にレジストリをバックアップしてください。問題が発生した場合でも、レジストリを復元できます。レジストリのバックアップ方法および復元方法の詳細を参照するには、以下のサポート技術情報番号をクリックしてください。
322756 Windows でレジストリをバックアップおよび復元する方法
単一ラベル DNS 名のドメイン内の Active Directory ドメイン メンバーおよびドメイン コントローラーは、通常、ドメインの DNS 名と一致する単一ラベル DNS ゾーンの DNS レコードを動的に登録する必要があります。また、Active Directory フォレスト ルート ドメインが単一ラベル DNS 名を持つ場合、そのフォレスト内のすべてのドメイン コントローラーは、通常、フォレスト ルートの DNS 名と一致する単一ラベル DNS ゾーンの DNS レコードを動的に登録する必要があります。

既定では、Windows ベースの DNS クライアント コンピューターは、ルート ゾーン "." または単一ラベルの DNS ゾーンの動的更新を実行しません。Windows ベースの DNS クライアント コンピューターで、単一ラベル DNS ゾーンの動的更新を実行できるようにするには、次の手順を実行します。
  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。次に「regedit」と入力し、[OK] をクリックします。
  2. 次のサブキーを見つけてクリックします。
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DnsCache\Parameters
  3. 詳細ウィンドウで、[UpdateTopLevelDomainZones] エントリを見つけます。[UpdateTopLevelDomainZones] エントリが存在しない場合は、次の手順を実行します。
    1. [編集] メニューの [新規] をポイントし、[DWORD 値] をクリックします。
    2. エントリ名として「UpdateTopLevelDomainZones」と入力し、Enter キーを押します。
  4. [UpdateTopLevelDomainZones] をダブルクリックします。
  5. [値のデータ] ボックスに「1」と入力し、[OK] をクリックします。
  6. レジストリ エディターを終了します。
これらの構成の変更は、単一ラベル DNS 名のドメインのすべてのドメイン コントローラーおよびメンバーに適用する必要があります。単一ラベル DNS 名のドメインがフォレスト ルートである場合、これらの構成の変更はフォレスト内のすべてのドメイン コントローラーに適用する必要があります (ただし、個々のゾーンである _msdcs.ForestName、_sites.ForestName、_tcp.ForestName および _udp.ForestNameForestName ゾーンから委任されている場合を除きます)。

変更を有効にするには、レジストリ エントリの変更後にコンピューターを再起動します。

注意事項
  • Windows Server 2003 およびそれ以降のバージョンでは、UpdateTopLevelDomainZones エントリは次のレジストリ キーに移動しています。
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient
  • Microsoft Windows 2000 SP4 ベースのドメイン コントローラーでは、UpdateTopLevelDomainZones が有効でないと、システム イベント ログに次の名前登録エラーが出力されます。

    イベントの種類:警告
    イベント ソース:NETLOGON
    イベント カテゴリ:なし
    イベント ID:5781
    ユーザー:該当なし
    説明:利用できる DNS サーバーがないため、1 つ以上の DNS レコードの動的登録、または登録解除に失敗しました。
    データ: 0000:0000232a

  • Windows 2000 SP4 ベースのドメイン コントローラーでは、UpdateTopLevelDomainZones のレジストリ設定を追加した後、コンピューターを再起動する必要があります。

方法 2: グループ ポリシーを使用する

以下の表に示すように、グループ ポリシーを使用して、トップ レベルのドメイン ゾーンを更新するポリシーと単一ラベル DNS 名のドメインをホストしている DC の場所ポリシーを有効にします。このポリシーを有効にする対象は、Active Directory ユーザーとコンピューターのルート ドメイン コンテナーの下にあるフォルダー、またはドメインのメンバー コンピューターとドメイン コントローラーのコンピューター アカウントをホストするすべての組織単位 (OU) です。
元に戻す全体を表示する
ポリシーフォルダーの場所
トップ レベルのドメイン ゾーンを更新するコンピューターの構成\管理用テンプレート\ネットワーク\DNS クライアント
単一ラベル DNS 名のドメインをホストしている DC の場所コンピューターの構成\管理用テンプレート\システム\Net Logon\DC ロケーター DNS レコード
: これらのポリシーがサポートされているのは、Windows Server 2003 ベースのコンピューターおよび Windows XP ベースのコンピューターのみです。

これらのポリシーを有効にするには、ルート ドメイン コンテナーに対して以下の手順を実行します。
  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。「gpedit.msc」と入力し、[OK] をクリックします。
  2. [ローカル コンピューター ポリシー] の下にある [コンピューターの構成] を展開します。
  3. [管理用テンプレート] を展開します。
  4. [トップ レベルのドメイン ゾーンを更新する] ポリシーを有効します。これを実行するには、以下の手順を実行します。
    1. [ネットワーク] を展開します。
    2. [DNS クライアント] をクリックします。
    3. 詳細ウィンドウで、[トップ レベルのドメイン ゾーンを更新する] をダブルクリックします。
    4. [変更の適用] をクリックします。
    5. [適用] をクリックし、[OK] をクリックします。
  5. 単一ラベル DNS 名のドメインをホストしている DC の場所ポリシーを有効にします。これを実行するには、以下の手順を実行します。
    1. [システム] を展開します。
    2. [Net Logon] を展開します。
    3. [DC ロケーター DNS レコード] をクリックします。
    4. 詳細ウィンドウで、[単一ラベル DNS 名のドメインをホストしている DC の場所] をダブルクリックします。
    5. [変更の適用] をクリックします。
    6. [適用] をクリックし、[OK] をクリックします。
  6. グループ ポリシーを終了します。
グループ ポリシー オブジェクト エディターを使用してローカル コンピューター ポリシーを管理する方法の関連情報を参照するには、以下のサポート技術情報番号をクリックしてください。
307882 Windows XP でグループ ポリシー エディターを使用してローカル コンピューター ポリシーを管理する方法
Windows Server 2003 ベースおよびそれ以降のバージョンの DNS サーバーでは、ルート サーバーが意図せず作成されることのないようにしてください。

Windows 2000 ベースの DNS サーバーでは、ルート ゾーン "." を削除して、DNS レコードを正しく宣言する必要がある場合があります。ルート ゾーンは、DNS サーバー サービスがインストールされるときに自動的に作成されます。これは、DNS サーバー サービスがルート ヒントにアクセスできないためです。この問題は、以降のバージョンの Windows で修正されています。

ルート サーバーは、Active Directory のインストール ウィザード (DCpromo) で作成される場合もあります。"." ゾーンが存在する場合は、ルート サーバーが既に作成されています。名前解決が正しく機能するようにするには、このゾーンを削除する必要があります。
Windows Server 2003 およびそれ以降のバージョンで追加および変更された DNS ポリシー設定
  • "トップ レベルのドメイン ゾーンを更新する" ポリシー

    このポリシーが有効の場合、以下のレジストリ サブキーの下に UpdateTopLevelDomainZones エントリ (REG_DWORD) が作成されます。
    HKLM\Software\Policies\Microsoft\Windows NT\DNSClient
    UpdateTopLevelDomainZones エントリの値のデータを以下に示します。
    • 有効 (0x1)。0x1 を設定すると、TopLevelDomain ゾーンの更新をコンピューターに許可します。つまり、UpdateTopLevelDomainZones 設定が有効になっている場合、このポリシーの適用先のコンピューターは更新が必要なリソース レコードに対する権限を持つ任意のゾーン (ルート ゾーンは除く) に動的な更新を送信します。
    • 無効 (0x0)。0x0 を設定すると、コンピューターで TopLevelDomain ゾーンの更新が許可されなくなります。つまり、この設定が無効になっていると、このポリシーの適用先のコンピューターは更新が必要なリソース レコードに対する権限を持つルート ゾーンやトップ レベルのドメイン ゾーンに動的な更新を送信しません。この設定が構成されていない場合、ポリシーはどのコンピューターにも適用されず、コンピューターではローカルの構成が使用されます。
  • "PTR レコードを登録する" ポリシー

    以下のレジストリ サブキーの RegisterReverseLookup (REG_DWORD) エントリに、設定可能な値として 0x2 が追加されました。
    HKLM\Software\Policies\Microsoft\Windows NT\DNSClient
    RegisterReverseLookup エントリの値のデータを以下に示します。
    • 0x2 - "A" レコードの登録が成功した場合にのみ登録を行います。PTR リソース レコードの登録は、そのレコードに対応する "A" レコードの登録が成功した場合にのみ、コンピューターによって実行されます。
    • 0x1 - 登録を行います。PTR リソース レコードの登録は、"A" レコードの登録の成功または失敗にかかわらず、コンピューターによって実行されます。
    • 0x0 - 登録を行いません。PTR リソース レコードの登録は、コンピューターによって実行されません。

関連情報

関連情報を参照するには、以下のサポート技術情報番号をクリックしてください。
254680 DNS 名前空間の計画

294785 Windows Server 2003 の DNS 用の新しいグループ ポリシー

2002584既存の Active Directory ドメインにドメイン コントローラーを追加するときに DNS サーバーの役割を選択できない

2992634: 単一ラベル DNS 名のドメイン内で DCPROMO を使用して Windows Server 2008 および Windows Server 2008 R2 を昇格させる場合に生成される警告

ADMT v3.1 を使用した Active Directory ドメインの移行と再構築

Active Directory 移行ツール (ADMT) ガイド: Active Directory ドメインの移行と再構築

Active Directory 移行ツール Version 3.1

Active Directory 移行ツール Version 3.2

DNS 名前空間計画ソリューション センターの製品の互換性に関するページ



プロパティ

文書番号: 300684 - 最終更新日: 2011年5月12日 - リビジョン: 4.0
この資料は以下の製品について記述したものです。
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 Standard
  • Microsoft Windows Server 2003 R2 Standard x64 Edition
  • Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Windows Server 2008 R2 Service Pack 1
キーワード:?
kbhowto kbinfo kbnetwork KB300684
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com