Tek etiketli DNS adları kullanılarak yapılandırılan Active Directory etki alanlarının dağıtımı ve işlemi

  • Makale

Bu makale, tek etiketli DNS adları kullanılarak yapılandırılan Active Directory (AD) etki alanlarının dağıtımı ve işlemi hakkında bilgi içerir.

Şunlar için geçerlidir: Windows Server 2008 R2 Service Pack 1, Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows 10, sürüm 1809
Özgün KB numarası: 300684

Özet

Tek etiketli etki alanı yapılandırmasını kaldırmak isteme, bir etki alanını yeniden adlandırmak için sık karşılaşılan bir nedendir. Bu makaledeki uygulama uyumluluk bilgileri, bir etki alanını yeniden adlandırmayı düşünebileceğiniz tüm senaryolar için geçerlidir.

Aşağıdaki nedenlerle en iyi yöntem, tam DNS adlarına sahip yeni Active Directory etki alanları oluşturmaktır:

  • Tek etiketli DNS adları bir İnternet kayıt şirketi kullanılarak kaydedilemez.

  • Tek etiketli etki alanlarına katılmış istemci bilgisayarlar ve etki alanı denetleyicileri, DNS kayıtlarını tek etiketli DNS bölgelerine dinamik olarak kaydetmek için ek yapılandırma gerektirir.

  • İstemci bilgisayarlar ve etki alanı denetleyicileri, tek etiketli DNS bölgelerindeki DNS sorgularını çözümlemek için ek yapılandırma gerektirebilir.

  • Bazı sunucu tabanlı uygulamalar tek etiketli etki alanı adlarıyla uyumsuz. Uygulama desteği bir uygulamanın ilk sürümünde mevcut olmayabilir veya destek gelecek bir sürümde bırakılabilir.

  • Tek etiketli bir DNS etki alanı adından tam DNS adına geçiş önemsiz değildir ve iki seçenekten oluşur. Kullanıcıları, bilgisayarları, grupları ve diğer durumları yeni bir ormana geçirin . Alternatif olarak, mevcut etki alanının etki alanı yeniden adlandırmasını da yapabilirsiniz. Bazı sunucu tabanlı uygulamalar, Windows Server 2003 ve daha yeni etki alanı denetleyicilerinde desteklenen etki alanı yeniden adlandırma özelliğiyle uyumsuzdur. Bu uyumsuzluklar, etki alanı yeniden adlandırma özelliğini engeller veya tek etiketli bir DNS adını tam etki alanı adıyla yeniden adlandırmaya çalıştığınızda etki alanı yeniden adlandırma özelliğinin kullanımını daha zor hale getirir.

  • Windows Server 2008'deki Active Directory Yükleme Sihirbazı (Dcpromo.exe), tek etiketli DNS adlarına sahip yeni etki alanları oluşturulmasına karşı uyarır. Tek etiketli DNS adlarına sahip yeni etki alanları oluşturmak için herhangi bir iş veya teknik neden olmadığından, Windows Server 2008 R2'deki Active Directory Yükleme Sihirbazı bu tür etki alanlarının oluşturulmasını açıkça engeller.

Etki alanı yeniden adlandırmasıyla uyumlu olmayan ancak bunlarla sınırlı olmayan uygulamalara örnek olarak aşağıdaki ürünler verilebilir:

  • Microsoft Exchange 2000 Server
  • Microsoft Exchange Server 2007
  • Microsoft Exchange Server 2010
  • Microsoft Exchange Server 2013
  • Microsoft Internet Security and Acceleration (ISA) Server 2004
  • Microsoft Live Communications Server 2005
  • Microsoft Operations Manager 2005
  • Microsoft SharePoint Portal Server 2003
  • Microsoft Systems Management Server (SMS) 2003
  • Microsoft Office Communications Server 2007
  • Microsoft Office Communications Server 2007 R2
  • Microsoft System Center Operations Manager 2007 SP1
  • Microsoft System Center Operations Manager 2007 R2
  • Microsoft Lync Server 2010
  • Microsoft Lync Server 2013

Daha fazla bilgi

En iyi yöntem Active Directory etki alanı adları, nokta karakteri (".") ile ayrılmış bir üst düzey etki alanıyla birleştirilmiş bir veya daha fazla alt etki alanı içerir. Aşağıda bazı örnekler verilmiştir:

  • contoso.com
  • corp.contoso.com

Tek etiketli adlar "contoso" gibi tek bir sözcük içerir.

Üst düzey etki alanı, bir etki alanı adında en sağdaki etiketi kaplar. Yaygın üst düzey etki alanları şunlardır:

  • .Com
  • .Net
  • .Org
  • .nz gibi iki harfli ülke kodu üst düzey etki alanları (ccTLD)

Active Directory etki alanı adları, geçerli ve gelecekteki işletim sistemi ve uygulama deneyimi ve güvenilirliği için iki veya daha fazla etiket içermelidir.

ICANN Güvenlik ve Kararlılık Danışma Komitesi tarafından bildirilen geçersiz Üst Düzey etki alanı sorguları, Etki Alanı Adı Sisteminin Kök Düzeyinde Geçersiz Üst Düzey Etki Alanı Sorguları'nda bulunabilir.

İnternet kayıt şirketine DNS adı kaydı

En üstteki iç ve dış DNS ad alanları için DNS adlarını bir İnternet kayıt şirketine kaydetmenizi öneririz. Bu adlar, kuruluşunuzun adına göre kaydedilen DNS adlarının alt etki alanları olmadığı sürece herhangi bir Active Directory ormanlarının orman kök etki alanını içerir (Örneğin, orman kök etki alanı "corp.example.com", bir iç "example.com" ad alanının alt etki alanıdır.) DNS adlarınızı bir İnternet kayıt şirketine kaydettiğinizde, bu, İnternet DNS sunucularının etki alanınızı şimdi veya Active Directory ormanınızın ömrü boyunca bir noktada çözümlemesine olanak tanır. Ayrıca bu kayıt, diğer kuruluşların olası ad çakışmalarını önlemeye yardımcı olur.

İstemcilerin DNS kayıtlarını tek etiketli ileriye doğru arama bölgesine dinamik olarak kaydedememeleriyle ilgili olası belirtiler

Ortamınızda tek etiketli bir DNS adı kullanıyorsanız, istemciler DNS kayıtlarını tek etiketli ileriye doğru arama bölgesine dinamik olarak kaydedemeyebilir. Belirli belirtiler, yüklü Microsoft Windows sürümüne göre farklılık gösterir.

Aşağıdaki listede oluşabilecek belirtiler açıklanmaktadır:

  • Microsoft Windows'u tek etiketli bir etki alanı adı için yapılandırdıktan sonra, etki alanı denetleyicisi rolüne sahip tüm sunucular DNS kayıtlarını kaydedemeyebilir. Etki alanı denetleyicisinin Sistem günlüğü, aşağıdaki örneğe benzer NETLOGON 5781 uyarılarını tutarlı bir şekilde günlüğe kaydedebilir:

    Not

    Durum kodu 0000232a aşağıdaki hata koduyla eşler:

    DNS_ERROR_RCODE_SERVER_FAILURE

  • Netdiag.log gibi günlük dosyalarında aşağıdaki ek durum kodları ve hata kodları görüntülenebilir:

    DNS Hata Kodu: 0x0000251D = DNS_INFO_NO_RECORDS
    DNS_ERROR_RCODE_ERROR
    RCODE_SERVER_FAILURE

  • DNS dinamik güncelleştirmeleri için yapılandırılan Windows tabanlı bilgisayarlar tek etiketli bir etki alanına kaydedilmez. Aşağıdaki örneklere benzer uyarı olayları bilgisayarın Sistem günlüğüne kaydedilir:

Windows tabanlı istemcilerin tek etiketli DNS bölgeleriyle sorgular ve dinamik güncelleştirmeler yapmasını etkinleştirme

Varsayılan olarak, Windows en üst düzey etki alanlarına güncelleştirme göndermez. Ancak, bu bölümde açıklanan yöntemlerden birini kullanarak bu davranışı değiştirebilirsiniz. Windows tabanlı istemcilerin tek etiketli DNS bölgelerine dinamik güncelleştirmeler yapmasını sağlamak için aşağıdaki yöntemlerden birini kullanın.

Ayrıca, tek etiketli DNS adlarına sahip etki alanları içermeyen bir ormandaki Active Directory etki alanı üyesi, diğer ormanlarda tek etiketli DNS adlarına sahip etki alanlarında etki alanı denetleyicilerini bulmak için DNS Sunucusu hizmetini kullanmaz. NetBIOS ad çözümlemesi doğru yapılandırılmamışsa, tek etiketli DNS adlarına sahip etki alanlarına istemci erişimi başarısız olur.

Yöntem 1: Kayıt Defteri Düzenleyici kullanma

  • Windows XP Professional ve Windows'un sonraki sürümleri için etki alanı denetleyicisi bulucu yapılandırması

    Önemli

    Bu bölüm, yöntem veya görev, kayıt defterini nasıl değiştireceğinizin anlatıldığı adımları içermektedir. Ancak kayıt defterini hatalı biçimde değiştirirseniz önemli sorunlar oluşabilir. Bu nedenle bu adımları dikkatle uyguladığınızdan emin olun. Ek koruma için kayıt defterini değiştirmeden önce yedeklemeyi unutmayın. Böylece, bir sorun oluşursa kayıt defterini daha sonra geri yükleyebilirsiniz. Daha fazla bilgi için bkz. Windows'da kayıt defterini yedekleme ve geri yükleme.

    Windows tabanlı bir bilgisayarda Active Directory etki alanı üyesi, etki alanları için tek etiketli DNS adlarını desteklemek için ek yapılandırma gerektirir. Özellikle, Active Directory etki alanı üyesindeki etki alanı denetleyicisi bulucu, Active Directory etki alanı üyesi en az bir etki alanı içeren bir ormana katılmadığı ve bu etki alanının tek etiketli bir DNS adına sahip olmadığı sürece, tek etiketli DNS adına sahip bir etki alanındaki etki alanı denetleyicilerini bulmak için DNS sunucu hizmetini kullanmaz.

    Bir Active Directory etki alanı üyesinin, diğer ormanlarda tek etiketli DNS adlarına sahip etki alanlarında etki alanı denetleyicilerini bulmak üzere DNS kullanmasını sağlamak için şu adımları izleyin:

    1. Başlat'ı seçin, Çalıştır'ı seçin, regedit yazın ve tamam'ı seçin.

    2. Aşağıdaki alt anahtarı bulun ve seçin: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

    3. Ayrıntılar bölmesinde AllowSingleLabelDnsDomain girişini bulun. AllowSingleLabelDnsDomain girdisi yoksa şu adımları izleyin:

      1. Düzenle menüsünde Yeni'nin üzerine gelin ve DWORD Değeri'ni seçin.
      2. Giriş adı olarak AllowSingleLabelDnsDomain yazın ve ENTER tuşuna basın.

    4. AllowSingleLabelDnsDomain girdisine çift tıklayın.

    5. Değer verileri kutusuna 1 yazın ve Tamam'ı seçin.

    6. Kayıt Defteri Düzenleyicisi'nden çıkın.

  • DNS istemci yapılandırması

    Önemli

    Bu bölüm, yöntem veya görev, kayıt defterini nasıl değiştireceğinizin anlatıldığı adımları içermektedir. Ancak kayıt defterini hatalı biçimde değiştirirseniz önemli sorunlar oluşabilir. Bu nedenle bu adımları dikkatle uyguladığınızdan emin olun. Ek koruma için kayıt defterini değiştirmeden önce yedeklemeyi unutmayın. Böylece, bir sorun oluşursa kayıt defterini daha sonra geri yükleyebilirsiniz. Daha fazla bilgi için bkz. Windows'da kayıt defterini yedekleme ve geri yükleme.

    Tek etiketli DNS adına sahip bir etki alanında bulunan Active Directory etki alanı üyeleri ve etki alanı denetleyicileri, DNS kayıtlarını genellikle bu etki alanının DNS adıyla eşleşen tek etiketli bir DNS bölgesine dinamik olarak kaydetmelidir. Active Directory orman kök etki alanının tek etiketli bir DNS adı varsa, bu ormandaki tüm etki alanı denetleyicilerinin DNS kayıtlarını genellikle orman kökünün DNS adıyla eşleşen tek etiketli bir DNS bölgesine dinamik olarak kaydetmesi gerekir.

    Varsayılan olarak, Windows tabanlı DNS istemci bilgisayarları kök bölgenin "." veya tek etiketli DNS bölgelerinin dinamik güncelleştirmelerini denemez. Windows tabanlı DNS istemci bilgisayarlarının tek etiketli bir DNS bölgesinin dinamik güncelleştirmelerini denemesini sağlamak için şu adımları izleyin:

    1. Başlat'ı seçin, Çalıştır'ı seçin, regedit yazın ve tamam'ı seçin.

    2. Aşağıdaki alt anahtarı bulun ve seçin: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DnsCache\Parameters

    3. Ayrıntılar bölmesinde UpdateTopLevelDomainZones girişini bulun. UpdateTopLevelDomainZones girdisi yoksa şu adımları izleyin:

      1. Düzenle menüsünde Yeni'nin üzerine gelin ve DWORD Değeri'ni seçin.
      2. Giriş adı olarak UpdateTopLevelDomainZones yazın ve ENTER tuşuna basın.

    4. UpdateTopLevelDomainZones girdisine çift tıklayın.

    5. Değer verileri kutusuna 1 yazın ve Tamam'ı seçin.

    6. Kayıt Defteri Düzenleyicisi'nden çıkın.

    Bu yapılandırma değişiklikleri, tek etiketli DNS adlarına sahip bir etki alanının tüm etki alanı denetleyicilerine ve üyelerine uygulanmalıdır. Tek etiketli etki alanı adına sahip bir etki alanı bir orman köküyse, ayrı bölgeler _msdcs sürece bu yapılandırma değişiklikleri ormandaki tüm etki alanı denetleyicilerine uygulanmalıdır. ForestName, _sites. ForestName, _tcp. ForestName, and_udp. ForestName , ForestName bölgesinden temsilci olarak gönderilir.

    Değişikliklerin etkili olması için, kayıt defteri girdilerini değiştirdiğiniz bilgisayarları yeniden başlatın.

    Not

    • Windows Server 2003 ve sonraki sürümler için UpdateTopLevelDomainZones girdisi aşağıdaki kayıt defteri alt anahtarına taşındı:
      HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient
    • Microsoft Windows 2000 SP4 tabanlı bir etki alanı denetleyicisinde, UpdateTopLevelDomainZones ayarı etkin değilse bilgisayar Sistem olay günlüğünde aşağıdaki ad kaydı hatasını bildirir:
    • Windows 2000 SP4 tabanlı bir etki alanı denetleyicisinde UpdateTopLevelDomainZones ayarını ekledikten sonra bilgisayarınızı yeniden başlatmanız gerekir.

Yöntem 2: grup ilkesi kullanma

Kullanıcılar ve Bilgisayarlar'daki kök etki alanı kapsayıcısının klasör konumu altında veya üye bilgisayarlar için bilgisayar hesaplarını barındıran tüm kuruluş birimlerinde (OU' lar) aşağıdaki tabloda belirtilen şekilde, tek etiketli DNS adı ilkesine sahip bir etki alanını barındıran DC'lerin Konumu'nu etkinleştirmek için grup ilkesi kullanın, ve etki alanındaki etki alanı denetleyicileri için.

Ilkesi Klasör konumu
Üst Düzey Etki Alanı Bölgelerini Güncelleştirme Bilgisayar Yapılandırması\Yönetim Şablonları\Ağ\DNS İstemcisi
Tek etiketli DNS adına sahip bir etki alanını barındıran DC'lerin konumu Bilgisayar Yapılandırması\Yönetim Şablonları\System\Net Logon\DC Bulucu DNS Kayıtları

Not

Bu ilkeler yalnızca Windows Server 2003 tabanlı bilgisayarlarda ve Windows XP tabanlı bilgisayarlarda desteklenir.

Bu ilkeleri etkinleştirmek için kök etki alanı kapsayıcısı üzerinde şu adımları izleyin:

  1. Başlat'ı seçin, Çalıştır'ı seçin, gpedit.msc yazın ve tamam'ı seçin.
  2. Yerel Bilgisayar İlkesi'nin altında Bilgisayar Yapılandırması'yı genişletin.
  3. Yönetim Şablonları'nı genişletin.
  4. Üst Düzey Etki Alanı Bölgelerini Güncelleştir ilkesini etkinleştirin. Bunu yapmak için şu adımları uygulayın:
    1. Ağ'a tıklayın.
    2. DNS İstemcisi'ne tıklayın.
    3. Ayrıntılar bölmesinde Üst Düzey Etki Alanı Bölgelerini Güncelleştir'e çift tıklayın.
    4. Etkin'i seçin.
    5. Uygula'yı ve ardından Tamam'ı seçin.
  5. Tek etiketli DNS adı ilkesine sahip bir etki alanını barındıran DC'lerin Konumunu etkinleştirin. Bunu yapmak için şu adımları uygulayın:
    1. Sistem'i genişletin.
    2. Net Logon'un kapsamını genişletin.
    3. DC Bulucu DNS Kayıtları'nı seçin.
    4. Ayrıntılar bölmesinde, tek etiketli DNS adına sahip bir etki alanı barındıran DC'lerin Konumu'na çift tıklayın.
    5. Etkin'i seçin.
    6. Uygula'yı ve ardından Tamam'ı seçin.
  6. grup ilkesi'dan çıkın.

Windows Server 2003 tabanlı ve sonraki DNS sürümlerinde, kök sunucuların istemeden oluşturulmadığından emin olun.

Windows 2000 tabanlı DNS sunucularında, DNS kayıtlarının doğru şekilde bildirilmesi için kök bölgeyi "." silmeniz gerekebilir. DNS sunucusu hizmeti kök ipuçlarına ulaşamadığından, DNS sunucusu hizmeti yüklendiğinde kök bölge otomatik olarak oluşturulur. Bu sorun Windows'un sonraki sürümlerinde düzeltilmiştir.

Kök sunucular DCpromo Sihirbazı tarafından oluşturulabilir. "." bölgesi varsa, bir kök sunucu oluşturulmuştur. Ad çözümlemenin düzgün çalışması için bu bölgeyi kaldırmanız gerekebilir.

Windows Server 2003 ve sonraki sürümleri için yeni ve değiştirilmiş DNS ilkesi ayarları

  • Üst Düzey Etki Alanı Bölgelerini Güncelleştir ilkesi

    Bu ilke belirtilirse, aşağıdaki kayıt defteri alt anahtarı altında bir REG_DWORD UpdateTopLevelDomainZones girdi oluşturur: HKLM\Software\Policies\Microsoft\Windows NT\DNSClient
    için giriş değerleri UpdateTopLevelDomainZonesşunlardır: - Etkin (0x1). 0x1 ayarı, bilgisayarların TopLevelDomain bölgelerini güncelleştirmeyi deneyebileceği anlamına gelir. Yani, ayar etkinse, bu ilkenin UpdateTopLevelDomainZones uygulandığı bilgisayarlar, kök bölge dışında bilgisayarın güncelleştirmesi gereken kaynak kayıtları için yetkili olan herhangi bir bölgeye dinamik güncelleştirmeler gönderir. - Devre dışı (0x0). 0x0 ayarı, bilgisayarların TopLevelDomain bölgelerini güncelleştirmeyi denemesine izin verilmediğini gösterir. Yani, bu ayar devre dışı bırakılırsa, bu ilkenin uygulandığı bilgisayarlar kök bölgeye veya bilgisayarın güncelleştirmesi gereken kaynak kayıtları için yetkili olan en üst düzey etki alanı bölgelerine dinamik güncelleştirmeler göndermez. Bu ayar yapılandırılmamışsa, ilke hiçbir bilgisayara uygulanmaz ve bilgisayarlar yerel yapılandırmalarını kullanır.

  • PTR Kayıtlarını Kaydet ilkesi

    Girdinin REG_DWORD RegisterReverseLookup yeni bir olası değeri (0x2) aşağıdaki kayıt defteri alt anahtarı altına eklenmiştir:
    HKLM\Software\Policies\Microsoft\Windows NT\DNSClient

    için giriş değerleri RegisterReverseLookupşunlardır: - 0x2. Yalnızca "A" kayıt kaydı başarılı olursa kaydolun. Bilgisayarlar PTR kaynak kayıtları kaydını uygulamaya yalnızca karşılık gelen "A" kaynak kayıtlarını başarıyla kaydettiklerinde uygulamayı dener. - 0x1. Kayıt yaptır. Bilgisayarlar, "A" kayıt kaydının başarısı ne olursa olsun PTR kaynak kayıtları kaydını uygulamaya çalışır. - 0x0. Kaydolma. Bilgisayarlar hiçbir zaman PTR kaynak kayıtları kaydını uygulamayı denemez.

Başvurular