サインイン

Select the product you need help with

単一ラベル DNS 名を使用して Active Directory のドメインを構成する

文書番号: 300684 - 対象製品

概要

この資料では、単一ラベルの DNS 名を使用して構成される Active Directory ドメインの展開と操作について説明します。
以下の理由により、完全修飾 DNS 名を持つ Active Directory ドメインを新規に作成することをベストプラクティスとして推奨します。

単一ラベル DNS 名はインターネット登録機関を使用して登録できません。
単一ラベル DNS ゾーンで DNS レコードを動的に登録するには、単一ラベルのドメインに参加しているクライアントコンピューターとドメインコントローラーに追加の構成が必要になります。
単一ラベル DNS ゾーンで DNS クエリを解決するには、クライアントコンピューターとドメインコントローラーに追加の構成が必要になる場合があります。
サーバーベースのアプリケーションの中には、単一ラベルのドメイン名に適合しないものがあります。アプリケーションの初期リリースでアプリケーションサポートが存在しない場合や、将来のリリースでサポートが廃止される場合があります。
単一ラベル DNS 名から完全修飾 DNS 名への移行は自明ではなく、ユーザー、コンピューター、グループ、およびその他の状態を新しいフォレストに移行する
(http://technet.microsoft.com/ja-jp/library/cc974332(WS.10).aspx)
か、または既存のドメインのドメイン名を変更します。一部のサーバーベースのアプリケーションは、Windows Server 2003 および新しいドメインコントローラーでサポートされているドメイン名の変更機能に対応していません。このため、ドメイン名の変更機能が使用できなかったり、単一ラベル DNS 名を完全修飾ドメイン名に変更しようとしたときに、ドメイン名の変更機能の使用に支障が生じたりします。

ドメイン名の変更に対応していないアプリケーションには、以下の製品が含まれます。
- Microsoft Exchange 2000 Server
- Microsoft Exchange Server 2007
- Microsoft Internet Security and Acceleration (ISA) Server 2004
- Microsoft Live Communications Server 2005
- Microsoft Operations Manager 2005
- Microsoft SharePoint Portal Server 2003
- Microsoft Systems Management Server (SMS) 2003
- Microsoft Office Communications Server 2007
Windows Server 2008 で、単一ラベル DNS 名を持つ新しいドメインを作成しようとすると、Active Directory インストールウィザード (Dcpromo.exe) に警告が表示されます。単一ラベル DNS 名を持つ新しいドメインを作成するビジネス上または技術的な理由が存在しないため、Windows Server 2008 R2 の Active Directory インストールウィザードでは、こうしたドメインの作成が明示的にブロックされます。

先頭へ戻る | フィードバック

詳細

ベストプラクティスとして推奨される Active Directory ドメイン名は、ドット (".") で区切られた最上位ドメインに、1 つまたは複数のサブドメインを組み合わせたものです。以下に例を示します。

contoso.com
corp.contoso.com
contoso.local

単一ラベル名は "contoso" のような 1 つの単語で構成されます。

最上位のドメインは、ドメイン名の一番右側に表記されるラベルです。一般的な最上位ドメインには、以下のようなものがあります。

.com
.corp
.net
.org
.nz などの 2 文字の国コード最上位ドメイン (ccTLD)

Active Directory のドメイン名は、現在および将来のオペレーティングシステムに対応し、アプリケーションの操作性と信頼性を確保できるように、2 つ以上のラベルで構成する必要があります。

インターネット登録機関を使用した DNS 名の登録

最上位の内部および外部の DNS 名前空間に対応した DNS 名をインターネット登録機関に登録することをお勧めします。これらの DNS 名がそれぞれの組織名で登録されている DNS 名のサブドメインでない限り、これには任意の Active Directory フォレストのフォレストルートドメインが含まれます (たとえば、フォレストルートドメイン "corp.example.com" は、内部の "example.com" 名前空間のサブドメインです)。このため、DNS 名をインターネット登録機関に登録すると、Active Directory フォレストが展開されている間はいつでも、インターネット DNS サーバーで自身のドメインを解決することができます。また、DNS 名を登録することで、他の組織との間で名前の競合を生じるのを防ぐことができます。

クライアントが DNS レコードを単一ラベルの前方参照ゾーンに動的に登録できない場合に発生する現象

単一ラベル DNS 名を使用している環境では、クライアントが DNS レコードを単一ラベルの前方参照ゾーンに動的に登録できない場合があります。これに伴う現象は、インストールされている Microsoft Windows のバージョンによって異なります。

発生する可能性のある現象は以下のとおりです。

Microsoft Windows を単一ラベルのドメイン名で構成した場合、ドメインコントローラーの役割を持つすべてのサーバーで DNS レコードを登録できなくなることがあります。ドメインコントローラーのシステムログには、次のような NETLOGON 5781 の警告が繰り返し出力されることがあります。
イベントの種類:警告
イベントソース:NETLOGON
イベントカテゴリ:なし
イベント ID: 5781
説明:

利用できる DNS サーバーがないため、1 つ以上の DNS レコードの動的登録、または登録解除に失敗しました。

データ (ワード):0000: 0000232a
注: 状態コード 0000232a は、以下のエラーコードに対応します。
DNS_ERROR_RCODE_SERVER_FAILURE
Netdiag.log などのログファイルに、以下の追加の状態コードおよびエラーコードが出力されることがあります。
DNS エラーコード:0x0000251D = DNS_INFO_NO_RECORDS

DNS_ERROR_RCODE_ERROR

RCODE_SERVER_FAILURE
DNS 動的更新が構成された Windows ベースのコンピューターが単一ラベルのドメインに登録されません。次のような警告イベントがコンピューターのシステムログに記録されます。
イベントの種類:警告
イベントソース:DnsApi
動作
分類: なし
イベント ID: 11151
説明:システムは次の設定のネットワークアダプターを登録できませんでした:
アダプター名:{ネットワークアダプターの GUID}
ホスト名:<ホスト名>
アダプター固有のドメインサフィックス:ローカル
DNS サーバー一覧:<DNS サーバー IP アドレス 1>.<DNS サーバー IP アドレス 2>,<DNS サーバー IP アドレス 3>
サーバーへの更新情報の送信:なし
IP アドレス:<IP アドレス>
この DNS 登録エラーの原因は、DNS サーバーのエラーによるものです。これはゾーン転送のために、コンピューターを登録する適用ゾーンの DNS サーバーをロックしたことによって発生した可能性があります。
(通常、適用ゾーンは、上に表示されているアダプター固有のドメインサフィックスに一致します。)
手動でネットワークアダプターとその設定の登録をやり直す場合は、コマンドプロンプトで「ipconfig/registerdns」と入力します。問題が引き続き発生する場合は、ネットワークシステム管理者に問い合わせて、ネットワークの状態を確認してください。
イベントの種類:警告
イベント ID: 11165
ソース: DnsApi
説明: システムは次の設定のネットワークアダプター用にホスト (A) リソースレコード (RR) を登録できませんでした:
アダプター名:{ネットワークアダプターの GUID}
ホスト名:<ホスト名>
プライマリドメインサフィックス:<単一ラベルドメイン>
DNS サーバー一覧:<DNS サーバー IP アドレス 1>.<DNS サーバー IP アドレス 2>,<DNS サーバー IP アドレス 3>
サーバーへの更新情報の送信:
IP アドレス:<IP アドレス>

システムがこれらの RR を登録できなかった理由は、通信した DNS サーバーが更新要求を拒否したためです。
原因として考えられるのは、(a) 指定した DNS ドメイン名を更新する許可が与えられていない、または (b) この DNS ドメイン名に対して権限のある DNS サーバーが DNS 動的更新プロトコルをサポートしていない。

このアダプター用に特定の DNS ドメイン名と IP アドレスを使用して DNS ホスト (A) リソースレコードを登録するには、DNS サーバーかネットワークシステムの管理者に問い合わせてください。

Windows ベースのクライアントで単一ラベル DNS ゾーンに対する動的更新の実行を可能にする方法

Windows では、トップレベルドメインに対して既定では更新が送信されません。ただし、このセクションに記載されているいずれかの方法を使用すると、この動作を変更することができます。次のいずれかの方法を使用すると、Windows ベースのクライアントで単一ラベル DNS ゾーンに対する動的更新を可能にすることができます。

方法 1: レジストリエディターを使用する

Windows XP Professional 以降のバージョンの Windows でのドメインコントローラーロケーターの構成

重要: このセクション、方法、またはタスクには、レジストリの変更方法が記載されています。レジストリを誤って変更すると、深刻な問題が発生することがあります。レジストリを変更する際には十分に注意してください。万一に備えて、編集の前にレジストリをバックアップしてください。問題が発生した場合でも、レジストリを復元できます。レジストリのバックアップ方法および復元方法の詳細を参照するには、以下のサポート技術情報番号をクリックしてください。

322756

(http://support.microsoft.com/kb/322756/ )

Windows でレジストリをバックアップおよび復元する方法

Windows ベースのコンピューターで Active Directory ドメインメンバーがドメインの単一ラベル DNS 名の使用をサポートするには、追加の構成が必要です。特に、このような Active Directory ドメインメンバー上のドメインコントローラーロケーターは、単一ラベル DNS 名のドメイン内でドメインコントローラーを検索する際に、DNS サーバーサービスを使用しません (ただし、単一ラベル DNS 名のドメインが 1 つ以上含まれているフォレストにその Active Directory ドメインメンバーが参加している場合は除きます)。

構成を変更しない限り、単一ラベル DNS 名のドメインが含まれていないフォレスト内の Active Directory ドメインメンバーは、別のフォレストにある単一ラベル DNS 名のドメイン内のドメインコントローラーを検索するときに DNS サーバーサービスを使用しません。NetBIOS 名前解決が正しく構成されていないと、クライアントは単一ラベル DNS 名のドメインにアクセスできません。

Active Directory ドメインメンバーで、別のフォレストにある単一ラベル DNS 名のドメイン内のドメインコントローラーの検索に DNS を使用できるようにするには、次の手順を実行します。

[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。次に「regedit」と入力し、[OK] をクリックします。
次のサブキーを見つけてクリックします。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
詳細ウィンドウで、[AllowSingleLabelDnsDomain] エントリを見つけます。[AllowSingleLabelDnsDomain] エントリが存在しない場合は、次の手順を実行します。
1. [編集] メニューの [新規] をポイントし、[DWORD 値] をクリックします。
2. エントリ名として「AllowSingleLabelDnsDomain」と入力し、Enter キーを押します。
[AllowSingleLabelDnsDomain] をダブルクリックします。
[値のデータ] ボックスに「1」と入力し、[OK] をクリックします。
レジストリエディターを終了します。

DNS クライアントの構成

322756

(http://support.microsoft.com/kb/322756/ )

Windows でレジストリをバックアップおよび復元する方法

単一ラベル DNS 名のドメイン内の Active Directory ドメインメンバーおよびドメインコントローラーは、通常、ドメインの DNS 名と一致する単一ラベル DNS ゾーンの DNS レコードを動的に登録する必要があります。また、Active Directory フォレストルートドメインが単一ラベル DNS 名を持つ場合、そのフォレスト内のすべてのドメインコントローラーは、通常、フォレストルートの DNS 名と一致する単一ラベル DNS ゾーンの DNS レコードを動的に登録する必要があります。

既定では、Windows ベースの DNS クライアントコンピューターは、ルートゾーン "." または単一ラベルの DNS ゾーンの動的更新を実行しません。Windows ベースの DNS クライアントコンピューターで、単一ラベル DNS ゾーンの動的更新を実行できるようにするには、次の手順を実行します。

[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。次に「regedit」と入力し、[OK] をクリックします。
次のサブキーを見つけてクリックします。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DnsCache\Parameters
詳細ウィンドウで、[UpdateTopLevelDomainZones] エントリを見つけます。[UpdateTopLevelDomainZones] エントリが存在しない場合は、次の手順を実行します。
1. [編集] メニューの [新規] をポイントし、[DWORD 値] をクリックします。
2. エントリ名として「UpdateTopLevelDomainZones」と入力し、Enter キーを押します。
[UpdateTopLevelDomainZones] をダブルクリックします。
[値のデータ] ボックスに「1」と入力し、[OK] をクリックします。
レジストリエディターを終了します。

これらの構成の変更は、単一ラベル DNS 名のドメインのすべてのドメインコントローラーおよびメンバーに適用する必要があります。単一ラベル DNS 名のドメインがフォレストルートである場合、これらの構成の変更はフォレスト内のすべてのドメインコントローラーに適用する必要があります (ただし、個々のゾーンである _msdcs.ForestName、_sites.ForestName、_tcp.ForestName および _udp.ForestName が ForestName ゾーンから委任されている場合を除きます)。

変更を有効にするには、レジストリエントリの変更後にコンピューターを再起動します。

注意事項

Windows Server 2003 およびそれ以降のバージョンでは、UpdateTopLevelDomainZones エントリは次のレジストリキーに移動しています。
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient
Microsoft Windows 2000 SP4 ベースのドメインコントローラーでは、UpdateTopLevelDomainZones が有効でないと、システムイベントログに次の名前登録エラーが出力されます。
イベントの種類:警告
イベントソース:NETLOGON
イベントカテゴリ:なし
イベント ID:5781
ユーザー:該当なし
説明:利用できる DNS サーバーがないため、1 つ以上の DNS レコードの動的登録、または登録解除に失敗しました。
データ: 0000:0000232a
Windows 2000 SP4 ベースのドメインコントローラーでは、UpdateTopLevelDomainZones のレジストリ設定を追加した後、コンピューターを再起動する必要があります。

方法 2: グループポリシーを使用する

以下の表に示すように、グループポリシーを使用して、トップレベルのドメインゾーンを更新するポリシーと単一ラベル DNS 名のドメインをホストしている DC の場所ポリシーを有効にします。このポリシーを有効にする対象は、Active Directory ユーザーとコンピューターのルートドメインコンテナーの下にあるフォルダー、またはドメインのメンバーコンピューターとドメインコントローラーのコンピューターアカウントをホストするすべての組織単位 (OU) です。

元に戻す全体を表示する

ポリシー	フォルダーの場所
トップレベルのドメインゾーンを更新する	コンピューターの構成\管理用テンプレート\ネットワーク\DNS クライアント
単一ラベル DNS 名のドメインをホストしている DC の場所	コンピューターの構成\管理用テンプレート\システム\Net Logon\DC ロケーター DNS レコード

注: これらのポリシーがサポートされているのは、Windows Server 2003 ベースのコンピューターおよび Windows XP ベースのコンピューターのみです。

これらのポリシーを有効にするには、ルートドメインコンテナーに対して以下の手順を実行します。

[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。「gpedit.msc」と入力し、[OK] をクリックします。
[ローカルコンピューターポリシー] の下にある [コンピューターの構成] を展開します。
[管理用テンプレート] を展開します。
[トップレベルのドメインゾーンを更新する] ポリシーを有効します。これを実行するには、以下の手順を実行します。
1. [ネットワーク] を展開します。
2. [DNS クライアント] をクリックします。
3. 詳細ウィンドウで、[トップレベルのドメインゾーンを更新する] をダブルクリックします。
4. [変更の適用] をクリックします。
5. [適用] をクリックし、[OK] をクリックします。
単一ラベル DNS 名のドメインをホストしている DC の場所ポリシーを有効にします。これを実行するには、以下の手順を実行します。
1. [システム] を展開します。
2. [Net Logon] を展開します。
3. [DC ロケーター DNS レコード] をクリックします。
4. 詳細ウィンドウで、[単一ラベル DNS 名のドメインをホストしている DC の場所] をダブルクリックします。
5. [変更の適用] をクリックします。
6. [適用] をクリックし、[OK] をクリックします。
グループポリシーを終了します。

グループポリシーオブジェクトエディターを使用してローカルコンピューターポリシーを管理する方法の関連情報を参照するには、以下のサポート技術情報番号をクリックしてください。

307882

(http://support.microsoft.com/kb/307882/ )

Windows XP でグループポリシーエディターを使用してローカルコンピューターポリシーを管理する方法

Windows Server 2003 ベースおよびそれ以降のバージョンの DNS サーバーでは、ルートサーバーが意図せず作成されることのないようにしてください。

Windows 2000 ベースの DNS サーバーでは、ルートゾーン "." を削除して、DNS レコードを正しく宣言する必要がある場合があります。ルートゾーンは、DNS サーバーサービスがインストールされるときに自動的に作成されます。これは、DNS サーバーサービスがルートヒントにアクセスできないためです。この問題は、以降のバージョンの Windows で修正されています。

ルートサーバーは、Active Directory のインストールウィザード (DCpromo) で作成される場合もあります。"." ゾーンが存在する場合は、ルートサーバーが既に作成されています。名前解決が正しく機能するようにするには、このゾーンを削除する必要があります。

Windows Server 2003 およびそれ以降のバージョンで追加および変更された DNS ポリシー設定

"トップレベルのドメインゾーンを更新する" ポリシー

このポリシーが有効の場合、以下のレジストリサブキーの下に UpdateTopLevelDomainZones エントリ (REG_DWORD) が作成されます。
HKLM\Software\Policies\Microsoft\Windows NT\DNSClient
UpdateTopLevelDomainZones エントリの値のデータを以下に示します。
- 有効 (0x1)。0x1 を設定すると、TopLevelDomain ゾーンの更新をコンピューターに許可します。つまり、UpdateTopLevelDomainZones 設定が有効になっている場合、このポリシーの適用先のコンピューターは更新が必要なリソースレコードに対する権限を持つ任意のゾーン (ルートゾーンは除く) に動的な更新を送信します。
- 無効 (0x0)。0x0 を設定すると、コンピューターで TopLevelDomain ゾーンの更新が許可されなくなります。つまり、この設定が無効になっていると、このポリシーの適用先のコンピューターは更新が必要なリソースレコードに対する権限を持つルートゾーンやトップレベルのドメインゾーンに動的な更新を送信しません。この設定が構成されていない場合、ポリシーはどのコンピューターにも適用されず、コンピューターではローカルの構成が使用されます。
"PTR レコードを登録する" ポリシー

以下のレジストリサブキーの RegisterReverseLookup (REG_DWORD) エントリに、設定可能な値として 0x2 が追加されました。
HKLM\Software\Policies\Microsoft\Windows NT\DNSClient
RegisterReverseLookup エントリの値のデータを以下に示します。
- 0x2 - "A" レコードの登録が成功した場合にのみ登録を行います。PTR リソースレコードの登録は、そのレコードに対応する "A" レコードの登録が成功した場合にのみ、コンピューターによって実行されます。
- 0x1 - 登録を行います。PTR リソースレコードの登録は、"A" レコードの登録の成功または失敗にかかわらず、コンピューターによって実行されます。
- 0x0 - 登録を行いません。PTR リソースレコードの登録は、コンピューターによって実行されません。

先頭へ戻る | フィードバック

プロパティ

文書番号: 300684 - 最終更新日: 2011年5月12日 - リビジョン: 4.0

この資料は以下の製品について記述したものです。

Windows Server 2008 R2 Standard
Windows Server 2008 Standard
Microsoft Windows Server 2003 R2 Standard x64 Edition
Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86)
Microsoft Windows Server 2003, Standard x64 Edition
Microsoft Windows Server 2003, Standard Edition (32-bit x86)
Microsoft Windows 2000 Server
Windows Server 2008 R2 Service Pack 1

kbhowto kbinfo kbnetwork KB300684

"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。（Microsoft Corporation、その関連会社またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

先頭へ戻る | フィードバック