Развертывание и эксплуатация доменов Active Directory, настроенных с помощью DNS-имен с одной меткой

  • Статья

Эта статья содержит сведения о развертывании и работе доменов Active Directory (AD), настроенных с помощью DNS-имен с одной меткой.

Применимо к: Windows Server 2008 R2 с пакетом обновления 1 (SP1), Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows 10, версия 1809
Исходный номер базы знаний: 300684

Сводка

Желание удалить конфигурацию домена с одной меткой является частой причиной переименования домена. Сведения о совместимости приложений, приведенные в этой статье, относятся ко всем сценариям, в которых можно рассмотреть вопрос о переименовании домена.

По следующим причинам рекомендуется создать новые домены Active Directory с полными DNS-именами.

  • Dns-имена с одной меткой нельзя зарегистрировать с помощью интернет-регистратора.

  • Клиентские компьютеры и контроллеры домена, присоединенные к доменам с одной меткой, требуют дополнительной настройки для динамической регистрации записей DNS в зонах DNS с одной меткой.

  • Клиентским компьютерам и контроллерам домена может потребоваться дополнительная настройка для разрешения запросов DNS в зонах DNS с одной меткой.

  • Некоторые серверные приложения несовместимы с однокомпонентными доменными именами. Поддержка приложений может не существовать в первоначальном выпуске приложения, или поддержка может быть прекращена в будущем выпуске.

  • Переход с доменного имени DNS с одной меткой на полное DNS-имя не является тривиальным и состоит из двух вариантов. Перенос пользователей, компьютеров, групп и других состояний в новый лес. Или переименуйте существующий домен. Некоторые серверные приложения несовместимы с функцией переименования домена, поддерживаемой в Windows Server 2003 и более новых контроллерах домена. Эти несовместимости либо блокируют функцию переименования домена, либо затрудняют использование функции переименования домена при попытке переименовать DNS-имя с одной меткой в полное доменное имя.

  • Мастер установки Active Directory (Dcpromo.exe) в Windows Server 2008 предостерегает от создания новых доменов с DNS-именами с одной меткой. Так как нет никаких бизнес-или технических причин для создания новых доменов с DNS-именами с одной меткой, мастер установки Active Directory в Windows Server 2008 R2 явно блокирует создание таких доменов.

Примеры приложений, несовместимых с переименованием домена, включают, помимо прочего, следующие продукты:

  • Microsoft Exchange 2000 Server
  • Microsoft Exchange Server 2007
  • Microsoft Exchange Server 2010
  • Microsoft Exchange Server 2013
  • Microsoft Internet Security and Acceleration (ISA) Server 2004
  • Microsoft Live Communications Server 2005
  • Microsoft Operations Manager 2005
  • Microsoft SharePoint Portal Server 2003
  • Microsoft Systems Management Server (SMS) 2003
  • Microsoft Office Communications Server 2007
  • Microsoft Office Communications Server 2007 R2
  • Microsoft System Center Operations Manager 2007 с пакетом обновления 1 (SP1)
  • Microsoft System Center Operations Manager 2007 R2
  • Microsoft Lync Server 2010
  • Microsoft Lync Server 2013

Дополнительная информация

Рекомендуется, чтобы доменные имена Active Directory состояли из одного или нескольких поддоменов, объединенных с доменом верхнего уровня, разделенным символом точки ("."). Ниже приведены некоторые примеры.

  • contoso.com
  • corp.contoso.com

Имена с одной меткой состоят из одного слова, например contoso.

Домен верхнего уровня занимает самую правую метку в доменном имени. К общим доменам верхнего уровня относятся следующие:

  • .Com
  • .Чистая
  • .Org
  • Двухбуквенный код страны доменов верхнего уровня (ccTLD), таких как .nz

Доменные имена Active Directory должны состоять из двух или более меток для текущей и будущей операционной системы, а также для взаимодействия с приложениями и надежности.

Недопустимые запросы к домену верхнего уровня, о чем сообщает консультативный комитет по безопасности и стабильности в СЛУЖБЕ безопасности и стабильности, можно найти в разделе Недопустимые запросы домена верхнего уровня на корневом уровне системы доменных имен.

Регистрация DNS-имени с помощью интернет-регистратора

Рекомендуется регистрировать DNS-имена для самых популярных внутренних и внешних пространств имен DNS с помощью интернет-регистратора. К ним относится корневой домен леса любых лесов Active Directory, если только такие имена не являются поддоменами DNS-имен, зарегистрированных именем вашей организации (например, корневой домен леса "corp.example.com" является поддоменом внутреннего пространства имен "example.com".) При регистрации DNS-имен в интернет-регистраторе это позволяет DNS-серверам Интернета разрешать домен сейчас или в какой-то момент на протяжении всего срока жизни леса Active Directory. Кроме того, эта регистрация помогает предотвратить возможные столкновения имен в других организациях.

Возможные симптомы, когда клиенты не могут динамически регистрировать записи DNS в зоне прямого просмотра с одной меткой

Если в вашей среде используется DNS-имя с одной меткой, клиенты могут не иметь возможности динамически регистрировать записи DNS в зоне прямого просмотра с одной меткой. Конкретные симптомы зависят от установленной версии Microsoft Windows.

В следующем списке описаны симптомы, которые могут возникнуть:

  • После настройки Microsoft Windows для доменного имени с одной меткой все серверы с ролью контроллера домена могут не регистрировать записи DNS. Системный журнал контроллера домена может последовательно записывать в журнал предупреждения NETLOGON 5781, похожие на следующий пример:

    Примечание.

    Код состояния 0000232a сопоставляется со следующим кодом ошибки:

    DNS_ERROR_RCODE_SERVER_FAILURE

  • Следующие дополнительные коды состояния и коды ошибок могут отображаться в файлах журнала, таких как Netdiag.log:

    Код ошибки DNS: 0x0000251D = DNS_INFO_NO_RECORDS
    DNS_ERROR_RCODE_ERROR
    RCODE_SERVER_FAILURE

  • Компьютеры под управлением Windows, настроенные для динамических обновлений DNS, не регистрируются в домене с одной меткой. События предупреждения, похожие на следующие примеры, записываются в системный журнал компьютера:

Как разрешить клиентам под управлением Windows выполнять запросы и динамические обновления с зонами DNS с одной меткой

По умолчанию Windows не отправляет обновления в домены верхнего уровня. Однако это поведение можно изменить с помощью одного из методов, описанных в этом разделе. Используйте один из следующих методов, чтобы клиенты под управлением Windows могли выполнять динамическое обновление зон DNS с одной меткой.

Кроме того, без изменений член домена Active Directory в лесу, который не содержит домены с dns-именами с одной меткой, не использует службу DNS-сервера для поиска контроллеров домена в доменах с dns-именами с одной меткой, которые находятся в других лесах. Клиентский доступ к доменам с dns-именами с одной меткой завершается ошибкой, если разрешение имен NetBIOS настроено неправильно.

Метод 1. Использование реестра Редактор

  • Конфигурация указателя контроллера домена для Windows XP Professional и более поздних версий Windows

    Важно!

    В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Дополнительные сведения см. в статье Резервное копирование и восстановление реестра в Windows.

    На компьютере под управлением Windows члену домена Active Directory требуется дополнительная конфигурация для поддержки DNS-имен с одной меткой для доменов. В частности, указатель контроллера домена на члене домена Active Directory не использует службу DNS-сервера для поиска контроллеров домена в домене с DNS-именем с одной меткой, если этот член домена Active Directory не присоединен к лесу, содержащу по крайней мере один домен, и этот домен имеет DNS-имя с одной меткой.

    Чтобы разрешить члену домена Active Directory использовать DNS для поиска контроллеров домена в доменах с dns-именами с одной меткой, которые находятся в других лесах, выполните следующие действия.

    1. Нажмите кнопку Пуск, выберите Выполнить, введите regedit, а затем нажмите кнопку ОК.

    2. Найдите и выберите следующий подраздел: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

    3. В области сведений найдите запись AllowSingleLabelDnsDomain . Если запись AllowSingleLabelDnsDomain не существует, выполните следующие действия:

      1. В меню Правка наведите указатель мыши на пункт Создать, а затем выберите значение DWORD.
      2. Введите AllowSingleLabelDnsDomain в качестве имени записи и нажмите клавишу ВВОД.

    4. Дважды щелкните запись AllowSingleLabelDnsDomain .

    5. В поле Данные значения введите 1 и нажмите кнопку ОК.

    6. Закройте редактор реестра.

  • Конфигурация DNS-клиента

    Важно!

    В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Дополнительные сведения см. в статье Резервное копирование и восстановление реестра в Windows.

    Члены домена Active Directory и контроллеры домена, которые находятся в домене с DNS-именем с одной меткой, обычно должны динамически регистрировать записи DNS в зоне DNS с одной меткой, которая соответствует DNS-имени этого домена. Если корневой домен леса Active Directory имеет DNS-имя с одной меткой, все контроллеры домена в этом лесу обычно должны динамически регистрировать записи DNS в зоне DNS с одной меткой, которая соответствует DNS-имени корневого леса.

    По умолчанию клиентские компьютеры DNS под управлением Windows не пытаются выполнить динамическое обновление корневой зоны "." или зон DNS с одной меткой. Чтобы включить на клиентских компьютерах DNS под управлением Windows динамическое обновление зоны DNS с одной меткой, выполните следующие действия.

    1. Нажмите кнопку Пуск, выберите Выполнить, введите regedit, а затем нажмите кнопку ОК.

    2. Найдите и выберите следующий подраздел: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DnsCache\Parameters

    3. В области сведений найдите запись UpdateTopLevelDomainZones . Если запись UpdateTopLevelDomainZones не существует, выполните следующие действия:

      1. В меню Правка наведите указатель мыши на пункт Создать, а затем выберите значение DWORD.
      2. Введите UpdateTopLevelDomainZones в качестве имени записи и нажмите клавишу ВВОД.

    4. Дважды щелкните запись UpdateTopLevelDomainZones .

    5. В поле Данные значения введите 1 и нажмите кнопку ОК.

    6. Закройте редактор реестра.

    Эти изменения конфигурации должны применяться ко всем контроллерам домена и членам домена с DNS-именами с одной меткой. Если домен с однозначным доменным именем является корнем леса, эти изменения конфигурации должны применяться ко всем контроллерам домена в лесу, если отдельные зоны не _msdcs. ForestName, _sites. ForestName, _tcp. ForestName, and_udp. ForestName делегируются из зоны ForestName .

    Чтобы изменения вступили в силу, перезагрузите компьютеры, на которых были изменены записи реестра.

    Примечание.

    • Для Windows Server 2003 и более поздних версий запись UpdateTopLevelDomainZones перемещена в следующий подраздел реестра:
      HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient
    • На контроллере домена под управлением Microsoft Windows 2000 с пакетом обновления 4 (SP4) компьютер сообщит о следующей ошибке регистрации имени в журнале системных событий, если параметр UpdateTopLevelDomainZones не включен:
    • На контроллере домена под управлением Windows 2000 с пакетом обновления 4 (SP4) компьютер необходимо перезагрузить после добавления параметра UpdateTopLevelDomainZones.

Способ 2. Использование групповая политика

Используйте групповая политика, чтобы включить политику Обновления доменных зон верхнего уровня и расположение контроллеров домена, в которых размещен домен с одной меткой, политику DNS-имени, как указано в следующей таблице в папке расположение в корневом контейнере домена в разделе Пользователи и компьютеры или во всех подразделениях, в которых размещаются компьютеры, учетные записи для компьютеров-членов. и для контроллеров домена в домене.

Политика Расположение папки
Обновление доменных зон верхнего уровня Конфигурация компьютера\Административные шаблоны\Сеть\DNS-клиент
Расположение контроллеров домена, в котором размещается домен с DNS-именем с одной меткой Конфигурация компьютера\Административные шаблоны\System\Net Logon\DC Locator DNS Records

Примечание.

Эти политики поддерживаются только на компьютерах под управлением Windows Server 2003 и на компьютерах под управлением Windows XP.

Чтобы включить эти политики, выполните следующие действия в контейнере корневого домена:

  1. Нажмите кнопку Пуск, выберите Выполнить, введите gpedit.msc, а затем нажмите кнопку ОК.
  2. В разделе Политика локального компьютера разверните узел Конфигурация компьютера.
  3. Разверните узел Административные шаблоны.
  4. Включите политику Обновления доменных зон верхнего уровня. Для этого выполните следующие действия:
    1. Разверните узел Сеть.
    2. Выберите DNS-клиент.
    3. В области сведений дважды щелкните Обновить доменные зоны верхнего уровня.
    4. Щелкните Включено.
    5. Нажмите кнопку Применить, а затем нажмите кнопку ОК.
  5. Включите политику Расположения контроллеров домена, в котором размещается домен с одной меткой DNS-имени. Для этого выполните следующие действия:
    1. Разверните узел Система.
    2. Разверните узел Сетевой вход.
    3. Выберите Dc Locator DNS Records (Записи DNS указателя контроллера домена).
    4. В области сведений дважды щелкните Расположение контроллеров домена, в котором размещен домен с DNS-именем с одной меткой.
    5. Щелкните Включено.
    6. Нажмите кнопку Применить, а затем нажмите кнопку ОК.
  6. Закройте групповая политика.

На DNS-серверах под управлением Windows Server 2003 и более поздних версий убедитесь, что корневые серверы не создаются случайно.

На DNS-серверах под управлением Windows 2000 может потребоваться удалить корневую зону "." для правильного объявления записей DNS. Корневая зона автоматически создается при установке службы DNS-сервера, так как служба DNS-сервера не может связаться с корневыми указаниями. Эта проблема была исправлена в более поздних версиях Windows.

Корневые серверы могут быть созданы мастером DCpromo. Если зона "." существует, был создан корневой сервер. Чтобы разрешение имен работало правильно, может потребоваться удалить эту зону.

Новые и измененные параметры политики DNS для Windows Server 2003 и более поздних версий

  • Политика обновления доменных зон верхнего уровня

    Если указана эта политика, создается REG_DWORD UpdateTopLevelDomainZones запись в следующем подразделе реестра: HKLM\Software\Policies\Microsoft\Windows NT\DNSClient
    Ниже приведены значения записей для UpdateTopLevelDomainZones: - Enabled (0x1). Параметр 0x1 означает, что компьютеры могут попытаться обновить зоны TopLevelDomain. То есть, если UpdateTopLevelDomainZones параметр включен, компьютеры, к которым применяется эта политика, отправляют динамические обновления в любую зону, которая является авторитетной для записей ресурсов, которые компьютер должен обновить, за исключением корневой зоны. — отключено (0x0). Параметр 0x0 означает, что компьютеры не могут пытаться обновить зоны TopLevelDomain. То есть, если этот параметр отключен, компьютеры, к которым применяется эта политика, не будут отправлять динамические обновления в корневую зону или в доменные зоны верхнего уровня, которые являются полномочными для записей ресурсов, которые компьютер должен обновить. Если этот параметр не настроен, политика не применяется ни к одному компьютеру, а компьютеры используют локальную конфигурацию.

  • Политика "Регистрация записей PTR"

    В следующем подразделе реестра было добавлено новое возможное REG_DWORD RegisterReverseLookup значение 0x2 записи:
    HKLM\Software\Policies\Microsoft\Windows NT\DNSClient

    Ниже приведены входные значения для RegisterReverseLookup: - 0x2. Регистрация только в том случае, если регистрация записи "A" выполнена успешно. Компьютеры пытаются реализовать регистрацию записей ресурсов PTR только в том случае, если они успешно зарегистрировали соответствующие записи ресурсов A. — 0x1. Зарегистрировать. Компьютеры пытаются реализовать регистрацию записей ресурсов PTR независимо от успешной регистрации записей "A". — 0x0. Не регистрируйтесь. Компьютеры никогда не пытаются реализовать регистрацию записей ресурсов PTR.

Ссылки