Wdrażanie i działanie domen usługi Active Directory skonfigurowanych przy użyciu nazw DNS z jedną etykietą

  • Artykuł

Ten artykuł zawiera informacje o wdrażaniu i działaniu domen usługi Active Directory (AD), które są konfigurowane przy użyciu nazw DNS z jedną etykietą.

Dotyczy: Windows Server 2008 R2 Service Pack 1, Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows 10, wersja 1809
Oryginalny numer KB: 300684

Podsumowanie

Chęć usunięcia konfiguracji domeny z pojedynczą etykietą jest częstą przyczyną zmiany nazwy domeny. Informacje o zgodności aplikacji w tym artykule dotyczą wszystkich scenariuszy, w których można rozważyć zmianę nazwy domeny.

Z następujących powodów najlepszym rozwiązaniem jest utworzenie nowych domen usługi Active Directory, które mają w pełni kwalifikowane nazwy DNS:

  • Nazw DNS z jedną etykietą nie można zarejestrować za pomocą rejestratora internetowego.

  • Komputery klienckie i kontrolery domeny przyłączone do domen z jedną etykietą wymagają dodatkowej konfiguracji w celu dynamicznego rejestrowania rekordów DNS w strefach DNS z jedną etykietą.

  • Komputery klienckie i kontrolery domeny mogą wymagać dodatkowej konfiguracji w celu rozpoznawania zapytań DNS w strefach DNS z jedną etykietą.

  • Niektóre aplikacje oparte na serwerze są niezgodne z nazwami domen z jedną etykietą. Obsługa aplikacji może nie istnieć w początkowej wersji aplikacji lub pomoc techniczna może zostać usunięta w przyszłej wersji.

  • Przejście z nazwy domeny DNS z jedną etykietą do w pełni kwalifikowanej nazwy DNS nie jest proste i składa się z dwóch opcji. Migrowanie użytkowników, komputerów, grup i innych stanów do nowego lasu. Możesz też zmienić nazwę domeny istniejącej domeny. Niektóre aplikacje oparte na serwerze są niezgodne z funkcją zmiany nazwy domeny, która jest obsługiwana w systemie Windows Server 2003 i nowszych kontrolerach domeny. Te niezgodności blokują funkcję zmiany nazwy domeny lub utrudniają korzystanie z funkcji zmiany nazwy domeny podczas próby zmiany nazwy nazwy DNS z jedną etykietą na w pełni kwalifikowaną nazwę domeny.

  • Kreator instalacji usługi Active Directory (Dcpromo.exe) w systemie Windows Server 2008 ostrzega przed tworzeniem nowych domen, które mają nazwy DNS z jedną etykietą. Ponieważ nie ma żadnych przyczyn biznesowych ani technicznych do tworzenia nowych domen, które mają nazwy DNS z jedną etykietą, Kreator instalacji usługi Active Directory w systemie Windows Server 2008 R2 jawnie blokuje tworzenie takich domen.

Przykłady aplikacji niezgodnych ze zmianą nazw domen obejmują, ale nie są ograniczone do następujących produktów:

  • Microsoft Exchange 2000 Server
  • Microsoft Exchange Server 2007 r.
  • Microsoft Exchange Server 2010 r.
  • Microsoft Exchange Server 2013 r.
  • Microsoft Internet Security and Acceleration (ISA) Server 2004
  • Microsoft Live Communications Server 2005
  • Microsoft Operations Manager 2005
  • Microsoft SharePoint Portal Server 2003
  • Microsoft Systems Management Server (SMS) 2003
  • Microsoft Office Communications Server 2007
  • Microsoft Office Communications Server 2007 R2
  • Microsoft System Center Operations Manager 2007 SP1
  • Microsoft System Center Operations Manager 2007 R2
  • Microsoft Lync Server 2010
  • Microsoft Lync Server 2013

Więcej informacji

Najlepsze rozwiązanie nazw domen usługi Active Directory składa się z co najmniej jednej poddomeny połączonej z domeną najwyższego poziomu, która jest oddzielona znakiem kropki ("."). Oto kilka przykładów:

  • contoso.com
  • corp.contoso.com

Nazwy pojedynczej etykiety składają się z jednego słowa, takiego jak "contoso".

Domena najwyższego poziomu zajmuje etykietę po prawej stronie w nazwie domeny. Typowe domeny najwyższego poziomu obejmują następujące elementy:

  • .Com
  • .Netto
  • .Org
  • Dwuliterowe domeny najwyższego poziomu kodu kraju (ccTLD), takie jak .nz

Nazwy domen usługi Active Directory powinny składać się z co najmniej dwóch etykiet dla bieżącego i przyszłego systemu operacyjnego oraz środowiska i niezawodności aplikacji.

Nieprawidłowe zapytania domeny najwyższego poziomu zgłaszane przez komitet doradczy ds. zabezpieczeń i stabilności ICANN można znaleźć na nieprawidłowych zapytaniach domeny najwyższego poziomu na poziomie głównym systemu nazw domen.

Rejestracja nazw DNS u rejestratora internetowego

Zalecamy zarejestrowanie nazw DNS dla najbardziej wewnętrznych i zewnętrznych przestrzeni nazw DNS u rejestratora internetowego. Obejmuje to domenę główną lasu wszystkich lasów usługi Active Directory, chyba że takie nazwy są poddomenami nazw DNS zarejestrowanych przez nazwę organizacji (na przykład domena główna lasu "corp.example.com" jest poddomeną wewnętrznej przestrzeni nazw "example.com"). W przypadku rejestrowania nazw DNS u rejestratora internetowego pozwala to internetowym serwerom DNS rozpoznawać domenę teraz lub w pewnym momencie przez okres życia lasu usługi Active Directory. Ponadto ta rejestracja pomaga zapobiegać możliwym kolizjom nazw przez inne organizacje.

Możliwe objawy, gdy klienci nie mogą dynamicznie rejestrować rekordów DNS w strefie wyszukiwania do przodu z jedną etykietą

Jeśli używasz nazwy DNS z jedną etykietą w swoim środowisku, klienci mogą nie być w stanie dynamicznie rejestrować rekordów DNS w strefie wyszukiwania do przodu z jedną etykietą. Określone objawy różnią się w zależności od zainstalowanej wersji systemu Microsoft Windows.

Na poniższej liście opisano objawy, które mogą wystąpić:

  • Po skonfigurowaniu systemu Microsoft Windows dla nazwy domeny z jedną etykietą wszystkie serwery z rolą kontrolera domeny mogą nie być w stanie zarejestrować rekordów DNS. Dziennik systemowy kontrolera domeny może stale rejestrować ostrzeżenia NETLOGON 5781 podobne do następującego przykładu:

    Uwaga

    Kod stanu 0000232a mapuje na następujący kod błędu:

    DNS_ERROR_RCODE_SERVER_FAILURE

  • W plikach dziennika, takich jak Netdiag.log, mogą pojawić się następujące dodatkowe kody stanu i kody błędów:

    Kod błędu DNS: 0x0000251D = DNS_INFO_NO_RECORDS
    DNS_ERROR_RCODE_ERROR
    RCODE_SERVER_FAILURE

  • Komputery z systemem Windows skonfigurowane pod kątem aktualizacji dynamicznych DNS nie będą rejestrowane w domenie z jedną etykietą. Zdarzenia ostrzegawcze podobne do następujących przykładów są rejestrowane w dzienniku systemowym komputera:

Jak umożliwić klientom opartym na systemie Windows wykonywanie zapytań i aktualizacji dynamicznych za pomocą stref DNS z jedną etykietą

Domyślnie system Windows nie wysyła aktualizacji do domen najwyższego poziomu. Można jednak zmienić to zachowanie przy użyciu jednej z metod opisanych w tej sekcji. Użyj jednej z następujących metod, aby umożliwić klientom opartym na systemie Windows wykonywanie dynamicznych aktualizacji stref DNS z jedną etykietą.

Ponadto bez modyfikacji element członkowski domeny usługi Active Directory w lesie, który nie zawiera domen, które mają nazwy DNS z jedną etykietą, nie używa usługi serwera DNS do lokalizowania kontrolerów domeny w domenach, które mają nazwy DNS z jedną etykietą, które znajdują się w innych lasach. Dostęp klienta do domen, które mają nazwy DNS z jedną etykietą, kończy się niepowodzeniem, jeśli rozpoznawanie nazw NetBIOS nie jest poprawnie skonfigurowane.

Metoda 1. Używanie Redaktor rejestru

  • Konfiguracja lokalizatora kontrolera domeny dla systemu Windows XP Professional i nowszych wersji systemu Windows

    Ważna

    W tej sekcji, metodzie lub w tym zadaniu podano informacje dotyczące modyfikowania rejestru. Niepoprawne zmodyfikowanie rejestru może jednak być przyczyną poważnych problemów. Dlatego należy uważnie wykonywać podane czynności. Dla większego bezpieczeństwa przed zmodyfikowaniem rejestru należy wykonać jego kopię zapasową. Dzięki temu będzie można przywrócić rejestr w przypadku wystąpienia problemu. Aby uzyskać więcej informacji, zobacz Jak utworzyć kopię zapasową i przywrócić rejestr w systemie Windows.

    Na komputerze z systemem Windows członek domeny usługi Active Directory wymaga dodatkowej konfiguracji w celu obsługi nazw DNS z jedną etykietą dla domen. W szczególności lokalizator kontrolera domeny w członku domeny usługi Active Directory nie używa usługi serwera DNS do lokalizowania kontrolerów domeny w domenie, która ma nazwę DNS z jedną etykietą, chyba że członek domeny usługi Active Directory jest przyłączony do lasu zawierającego co najmniej jedną domenę, a ta domena ma nazwę DNS z jedną etykietą.

    Aby umożliwić członkowi domeny usługi Active Directory używanie systemu DNS do lokalizowania kontrolerów domeny w domenach, które mają nazwy DNS z jedną etykietą, które znajdują się w innych lasach, wykonaj następujące kroki:

    1. Wybierz pozycję Start, wybierz pozycję Uruchom, wpisz regedit, a następnie wybierz przycisk OK.

    2. Znajdź, a następnie wybierz następujący podklucz: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

    3. W okienku szczegółów znajdź wpis AllowSingleLabelDnsDomain . Jeśli wpis AllowSingleLabelDnsDomain nie istnieje, wykonaj następujące kroki:

      1. W menu Edytuj wskaż pozycję Nowy, a następnie wybierz pozycję WARTOŚĆ DWORD.
      2. Wpisz ciąg AllowSingleLabelDnsDomain jako nazwę wpisu, a następnie naciśnij klawisz ENTER.

    4. Kliknij dwukrotnie wpis AllowSingleLabelDnsDomain .

    5. W polu Dane wartości wpisz 1, a następnie wybierz przycisk OK.

    6. Zamknij Edytor rejestru.

  • Konfiguracja klienta DNS

    Ważna

    W tej sekcji, metodzie lub w tym zadaniu podano informacje dotyczące modyfikowania rejestru. Niepoprawne zmodyfikowanie rejestru może jednak być przyczyną poważnych problemów. Dlatego należy uważnie wykonywać podane czynności. Dla większego bezpieczeństwa przed zmodyfikowaniem rejestru należy wykonać jego kopię zapasową. Dzięki temu będzie można przywrócić rejestr w przypadku wystąpienia problemu. Aby uzyskać więcej informacji, zobacz Jak utworzyć kopię zapasową i przywrócić rejestr w systemie Windows.

    Członkowie domeny usługi Active Directory i kontrolery domeny znajdujące się w domenie, która ma nazwę DNS z jedną etykietą, zazwyczaj muszą dynamicznie rejestrować rekordy DNS w strefie DNS z jedną etykietą, która odpowiada nazwie DNS tej domeny. Jeśli domena główna lasu usługi Active Directory ma nazwę DNS z jedną etykietą, wszystkie kontrolery domeny w tym lesie zazwyczaj muszą dynamicznie rejestrować rekordy DNS w strefie DNS z jedną etykietą, która odpowiada nazwie DNS katalogu głównego lasu.

    Domyślnie komputery klienckie DNS z systemem Windows nie próbują dynamicznych aktualizacji strefy głównej "" ani stref DNS z jedną etykietą. Aby umożliwić komputerom klienckim DNS z systemem Windows wypróbowanie dynamicznych aktualizacji strefy DNS z jedną etykietą, wykonaj następujące kroki:

    1. Wybierz pozycję Start, wybierz pozycję Uruchom, wpisz regedit, a następnie wybierz przycisk OK.

    2. Znajdź, a następnie wybierz następujący podklucz: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DnsCache\Parameters

    3. W okienku szczegółów znajdź wpis UpdateTopLevelDomainZones . Jeśli wpis UpdateTopLevelDomainZones nie istnieje, wykonaj następujące kroki:

      1. W menu Edytuj wskaż pozycję Nowy, a następnie wybierz pozycję WARTOŚĆ DWORD.
      2. Wpisz UpdateTopLevelDomainZones jako nazwę wpisu, a następnie naciśnij klawisz ENTER.

    4. Kliknij dwukrotnie wpis UpdateTopLevelDomainZones .

    5. W polu Dane wartości wpisz 1, a następnie wybierz przycisk OK.

    6. Zamknij Edytor rejestru.

    Te zmiany konfiguracji powinny być stosowane do wszystkich kontrolerów domeny i członków domeny, które mają nazwy DNS z jedną etykietą. Jeśli domena, która ma nazwę domeny z jedną etykietą, jest katalogiem głównym lasu, te zmiany konfiguracji powinny być stosowane do wszystkich kontrolerów domeny w lesie, chyba że oddzielne strefy _msdcs. ForestName, _sites. ForestName, _tcp. ForestName, and_udp. ForestName są delegowane ze strefy ForestName .

    Aby zmiany zaczęły obowiązywać, uruchom ponownie komputery, na których zmieniono wpisy rejestru.

    Uwaga

    • W przypadku systemu Windows Server 2003 i nowszych wersji wpis UpdateTopLevelDomainZones został przeniesiony do następującego podklucza rejestru:
      HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient
    • Na kontrolerze domeny opartym na systemie Microsoft Windows 2000 z dodatkiem SP4 komputer zgłosi następujący błąd rejestracji nazwy w dzienniku zdarzeń systemu, jeśli ustawienie UpdateTopLevelDomainZones nie jest włączone:
    • Na kontrolerze domeny opartym na systemie Windows 2000 z dodatkiem SP4 należy ponownie uruchomić komputer po dodaniu ustawienia UpdateTopLevelDomainZones.

Metoda 2. Używanie zasady grupy

Użyj zasady grupy, aby włączyć zasady Aktualizuj strefy domeny najwyższego poziomu i lokalizację kontrolerów domeny hostujących domenę z zasadami nazw DNS o pojedynczej etykiecie określonymi w poniższej tabeli w lokalizacji folderu w kontenerze domeny głównej w obszarze Użytkownicy i komputery lub we wszystkich jednostkach organizacyjnych (OU), które hostują konta komputerów dla komputerów członkowskich, i dla kontrolerów domeny w domenie.

Zasad Lokalizacja folderu
Aktualizowanie stref domeny najwyższego poziomu Konfiguracja komputera\Szablony administracyjne\Sieć\Klient DNS
Lokalizacja kontrolerów domeny hostującej domenę z nazwą DNS o pojedynczej etykiecie Konfiguracja komputera\Szablony administracyjne\System\Net Logon\DC Locator DNS Records

Uwaga

Te zasady są obsługiwane tylko na komputerach z systemem Windows Server 2003 i na komputerach z systemem Windows XP.

Aby włączyć te zasady, wykonaj następujące kroki w kontenerze domeny głównej:

  1. Wybierz pozycję Start, wybierz pozycję Uruchom, wpisz gpedit.msc, a następnie wybierz przycisk OK.
  2. W obszarze Zasady komputera lokalnego rozwiń węzeł Konfiguracja komputera.
  3. Rozwiń węzeł Szablony administracyjne.
  4. Włącz zasady Aktualizuj strefy domeny najwyższego poziomu. Aby tego dokonać, wykonaj następujące kroki:
    1. Rozwiń węzeł Sieć.
    2. Wybierz pozycję Klient DNS.
    3. W okienku szczegółów kliknij dwukrotnie pozycję Aktualizuj strefy domeny najwyższego poziomu.
    4. Wybierz pozycję Włączone.
    5. Wybierz pozycję Zastosuj, a następnie wybierz przycisk OK.
  5. Włącz lokalizację kontrolerów domeny hostującej domenę z zasadami nazw DNS z jedną etykietą. Aby to zrobić, wykonaj następujące kroki.
    1. Rozwiń węzeł System.
    2. Rozwiń węzeł Net Logon.
    3. Wybierz pozycję Rekordy DNS lokalizatora kontrolera domeny.
    4. W okienku szczegółów kliknij dwukrotnie pozycję Lokalizacja kontrolerów domeny hostującej domenę z nazwą DNS o pojedynczej etykiecie.
    5. Wybierz pozycję Włączone.
    6. Wybierz pozycję Zastosuj, a następnie wybierz przycisk OK.
  6. Zakończ zasady grupy.

Na serwerach DNS opartych na systemie Windows Server 2003 i nowszych upewnij się, że serwery główne nie są tworzone przypadkowo.

Na serwerach DNS opartych na systemie Windows 2000 może być konieczne usunięcie strefy głównej "." w celu poprawnego zadeklarowania rekordów DNS. Strefa główna jest tworzona automatycznie po zainstalowaniu usługi serwera DNS, ponieważ usługa serwera DNS nie może uzyskać wskazówek dotyczących katalogu głównego. Ten problem został rozwiązany w późniejszych wersjach systemu Windows.

Serwery główne mogą zostać utworzone przez Kreatora DCpromo. Jeśli strefa "." istnieje, został utworzony serwer główny. Aby rozpoznawanie nazw działało poprawnie, może być konieczne usunięcie tej strefy.

Nowe i zmodyfikowane ustawienia zasad DNS dla systemu Windows Server 2003 i nowszych wersji

  • Zasady aktualizujące strefy domeny najwyższego poziomu

    Jeśli te zasady zostaną określone, utworzy REG_DWORD UpdateTopLevelDomainZones wpis pod następującym podkluczem rejestru: HKLM\Software\Policies\Microsoft\Windows NT\DNSClient
    Poniżej przedstawiono wartości wejściowe dla UpdateTopLevelDomainZoneselementu : — Włączone (0x1). Ustawienie 0x1 oznacza, że komputery mogą próbować zaktualizować strefy TopLevelDomain. Oznacza to, że jeśli UpdateTopLevelDomainZones to ustawienie jest włączone, komputery, do których są stosowane te zasady, wysyłają aktualizacje dynamiczne do dowolnej strefy autorytatywnej dla rekordów zasobów, które komputer musi zaktualizować, z wyjątkiem strefy głównej. - Wyłączone (0x0). Ustawienie 0x0 oznacza, że komputery nie mogą próbować aktualizować stref TopLevelDomain. Oznacza to, że jeśli to ustawienie jest wyłączone, komputery, do których są stosowane te zasady, nie wysyłają aktualizacji dynamicznych do strefy głównej ani do stref domeny najwyższego poziomu, które są autorytatywne dla rekordów zasobów, które komputer musi zaktualizować. Jeśli to ustawienie nie jest skonfigurowane, zasady nie są stosowane do żadnych komputerów, a komputery używają ich konfiguracji lokalnej.

  • Zasady rejestrowania rekordów PTR

    Nowa możliwa wartość wpisu 0x2 została dodana pod następującym podkluczem REG_DWORD RegisterReverseLookup rejestru:
    HKLM\Software\Policies\Microsoft\Windows NT\DNSClient

    Poniżej przedstawiono wartości wejściowe dla RegisterReverseLookupelementu : - 0x2. Zarejestruj się tylko wtedy, gdy rejestracja rekordu "A" zakończy się pomyślnie. Komputery próbują zaimplementować rejestrację rekordów zasobów PTR tylko wtedy, gdy pomyślnie zarejestrowały odpowiednie rekordy zasobów "A". - 0x1. Zarejestrować. Komputery próbują zaimplementować rejestrację rekordów zasobów PTR niezależnie od powodzenia rejestracji rekordów "A". - 0x0. Nie rejestruj się. Komputery nigdy nie próbują zaimplementować rejestracji rekordów zasobów PTR.

Informacje