Implementatie en werking van Active Directory-domeinen die zijn geconfigureerd met behulp van DNS-namen met één label

Dit artikel bevat informatie over de implementatie en werking van Active Directory-domeinen (AD) die zijn geconfigureerd met behulp van DNS-namen met één label.

Van toepassing op: Windows Server 2008 R2 Service Pack 1, Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows 10 versie 1809
Origineel KB-nummer: 300684

Samenvatting

De wens om de domeinconfiguratie met één label te verwijderen is een veelvoorkomende reden om de naam van een domein te wijzigen. De informatie over toepassingscompatibiliteit in dit artikel is van toepassing op alle scenario's waarin u de naam van een domein kunt wijzigen.

Om de volgende redenen kunt u het beste nieuwe Active Directory-domeinen maken met volledig gekwalificeerde DNS-namen:

  • DNS-namen met één label kunnen niet worden geregistreerd met behulp van een internetregistrar.

  • Clientcomputers en domeincontrollers die zijn gekoppeld aan domeinen met één label vereisen aanvullende configuratie om DNS-records dynamisch te registreren in DNS-zones met één label.

  • Clientcomputers en domeincontrollers vereisen mogelijk aanvullende configuratie om DNS-query's om te lossen in DNS-zones met één label.

  • Sommige servertoepassingen zijn niet compatibel met domeinnamen met één label. Toepassingsondersteuning bestaat mogelijk niet in de eerste release van een toepassing of ondersteuning wordt mogelijk in een toekomstige release verwijderd.

  • De overgang van een DNS-domeinnaam met één label naar een volledig gekwalificeerde DNS-naam is niet triviaal en bestaat uit twee opties. Migreer gebruikers, computers, groepen en andere statussen naar een nieuw forest. U kunt ook de naam van het bestaande domein wijzigen. Sommige servertoepassingen zijn niet compatibel met de functie voor het wijzigen van domeinnamen die wordt ondersteund in Windows Server 2003 en nieuwere domeincontrollers. Deze incompatibiliteiten blokkeren de functie voor het wijzigen van domeinnamen of maken het gebruik van de functie voor het wijzigen van domeinnamen moeilijker wanneer u probeert de naam van een DNS-naam met één label te wijzigen in een volledig gekwalificeerde domeinnaam.

  • De wizard Active Directory-installatie (Dcpromo.exe) in Windows Server 2008 waarschuwt voor het maken van nieuwe domeinen met DNS-namen met één label. Omdat er geen zakelijke of technische reden is om nieuwe domeinen met DNS-namen met één label te maken, blokkeert de wizard Active Directory-installatie in Windows Server 2008 R2 het maken van dergelijke domeinen expliciet.

Voorbeelden van toepassingen die niet compatibel zijn met het wijzigen van de naam van een domein, zijn onder andere de volgende producten:

  • Microsoft Exchange 2000 Server
  • Microsoft Exchange Server 2007
  • Microsoft Exchange Server 2010
  • Microsoft Exchange Server 2013
  • Microsoft Internet Security and Acceleration (ISA) Server 2004
  • Microsoft Live Communications Server 2005
  • Microsoft Operations Manager 2005
  • Microsoft SharePoint Portal Server 2003
  • Microsoft Systems Management Server (SMS) 2003
  • Microsoft Office Communications Server 2007
  • Microsoft Office Communications Server 2007 R2
  • Microsoft System Center Operations Manager 2007 SP1
  • Microsoft System Center Operations Manager 2007 R2
  • Microsoft Lync Server 2010
  • Microsoft Lync Server 2013

Meer informatie

Best practice Active Directory-domeinnamen bestaan uit een of meer subdomeinen die worden gecombineerd met een domein op het hoogste niveau dat wordt gescheiden door een puntteken ("."). Hieronder volgen enkele voorbeelden:

  • contoso.com
  • corp.contoso.com

Namen met één label bestaan uit één woord, zoals 'contoso'.

Het domein op het hoogste niveau neemt het meest rechtse label in een domeinnaam in beslag. Veelvoorkomende domeinen op het hoogste niveau zijn onder andere:

  • .Com
  • .net
  • .Org
  • Tweeletterige landcode top-level domains (ccTLD) zoals .nz

Active Directory-domeinnamen moeten bestaan uit twee of meer labels voor het huidige en toekomstige besturingssysteem en voor de ervaring en betrouwbaarheid van toepassingen.

Ongeldige domeinquery's op het hoogste niveau die zijn gerapporteerd door de ICANN-adviescommissie voor beveiliging en stabiliteit, vindt u in Ongeldige topniveaudomeinquery's op het hoofdniveau van het domeinnaamsysteem.

DNS-naamregistratie bij een internetregistrar

We raden u aan DNS-namen te registreren voor de belangrijkste interne en externe DNS-naamruimten bij een internetregistrar. Dit omvat het foresthoofddomein van Active Directory-forests, tenzij dergelijke namen subdomeinen van DNS-namen zijn die zijn geregistreerd door de naam van uw organisatie (het foresthoofddomein 'corp.example.com' is bijvoorbeeld een subdomein van een interne naamruimte 'example.com'.). Wanneer u uw DNS-namen registreert bij een internetregistrar, kunnen internet-DNS-servers uw domein nu of op een bepaald moment gedurende de levensduur van uw Active Directory-forest omzetten. En deze registratie helpt mogelijke naamconflicten door andere organisaties te voorkomen.

Mogelijke symptomen wanneer clients dns-records niet dynamisch kunnen registreren in een zone voor vooruitzoeken met één label

Als u in uw omgeving een DNS-naam met één label gebruikt, kunnen clients mogelijk geen DNS-records dynamisch registreren in een zone voor forward lookup met één label. Specifieke symptomen variëren afhankelijk van de versie van Microsoft Windows die is geïnstalleerd.

In de volgende lijst worden de symptomen beschreven die kunnen optreden:

  • Nadat u Microsoft Windows hebt geconfigureerd voor een domeinnaam met één label, kunnen alle servers met de domeincontrollerrol mogelijk geen DNS-records registreren. In het systeemlogboek van de domeincontroller kunnen consistent NETLOGON 5781-waarschuwingen worden geregistreerd die lijken op het volgende voorbeeld:

    Opmerking

    Statuscode 0000232a wordt toegewezen aan de volgende foutcode:

    DNS_ERROR_RCODE_SERVER_FAILURE

  • De volgende aanvullende statuscodes en foutcodes kunnen worden weergegeven in logboekbestanden, zoals Netdiag.log:

    DNS-foutcode: 0x0000251D = DNS_INFO_NO_RECORDS
    DNS_ERROR_RCODE_ERROR
    RCODE_SERVER_FAILURE

  • Windows-computers die zijn geconfigureerd voor dynamische DNS-updates, worden niet geregistreerd in een domein met één label. Waarschuwingsevenementen die lijken op de volgende voorbeelden, worden vastgelegd in het systeemlogboek van de computer:

Windows-clients in staat stellen query's en dynamische updates uit te voeren met DNS-zones met één label

Standaard verzendt Windows geen updates naar domeinen op het hoogste niveau. U kunt dit gedrag echter wijzigen met behulp van een van de methoden die in deze sectie worden beschreven. Gebruik een van de volgende methoden om Windows-clients in staat te stellen dynamische updates uit te voeren voor DNS-zones met één label.

Zonder wijziging gebruikt een Active Directory-domeinlid in een forest dat geen domeinen bevat die DNS-namen met één label bevatten, de DNS Server-service niet om domeincontrollers te zoeken in domeinen met DNS-namen met één label die zich in andere forests bevinden. Clienttoegang tot de domeinen met DNS-namen met één label mislukt als NetBIOS-naamomzetting niet correct is geconfigureerd.

Methode 1: Register-Editor gebruiken

  • Configuratie van domeincontrollerzoeker voor Windows XP Professional en latere versies van Windows

    Belangrijk

    Deze sectie, methode of taak bevat stappen voor het bewerken van het register. Als u het register op onjuiste wijze wijzigt, kunnen er echter grote problemen optreden. Het is dan ook belangrijk dat u deze stappen zorgvuldig uitvoert. Maak een back-up van het register voordat u wijzigingen aanbrengt. Als er een probleem optreedt, kunt u het register altijd nog herstellen. Zie Een back-up maken van het register en het herstellen van het register in Windows voor meer informatie.

    Op een Windows-computer heeft een Active Directory-domeinlid extra configuratie nodig om DNS-namen met één label voor domeinen te ondersteunen. Met name de locator van de domeincontroller in het Active Directory-domeinlid gebruikt de DNS-serverservice niet om domeincontrollers te vinden in een domein met een DNS-naam met één label, tenzij dat Active Directory-domeinlid is toegevoegd aan een forest dat ten minste één domein bevat, en dit domein een DNS-naam met één label heeft.

    Voer de volgende stappen uit om een Active Directory-domeinlid in staat te stellen DNS te gebruiken om domeincontrollers te zoeken in domeinen met DNS-namen met één label die zich in andere forests bevinden:

    1. Selecteer Start, selecteer Uitvoeren, typ regedit en selecteer vervolgens OK.

    2. Zoek en selecteer vervolgens de volgende subsleutel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

    3. Zoek in het detailvenster de vermelding AllowSingleLabelDnsDomain . Als de vermelding AllowSingleLabelDnsDomain niet bestaat, voert u de volgende stappen uit:

      1. Wijs in het menu Bewerkende optie Nieuw aan en selecteer vervolgens DWORD-waarde.
      2. Typ AllowSingleLabelDnsDomain als de vermeldingsnaam en druk op Enter.
    4. Dubbelklik op de vermelding AllowSingleLabelDnsDomain .

    5. Typ 1 in het vak Waardegegevens en selecteer VERVOLGENS OK.

    6. Sluit de Register-editor af.

  • DNS-clientconfiguratie

    Belangrijk

    Deze sectie, methode of taak bevat stappen voor het bewerken van het register. Als u het register op onjuiste wijze wijzigt, kunnen er echter grote problemen optreden. Het is dan ook belangrijk dat u deze stappen zorgvuldig uitvoert. Maak een back-up van het register voordat u wijzigingen aanbrengt. Als er een probleem optreedt, kunt u het register altijd nog herstellen. Zie Een back-up maken van het register en het herstellen van het register in Windows voor meer informatie.

    Active Directory-domeinleden en -domeincontrollers die zich in een domein met een DNS-naam met één label bevinden, moeten dns-records doorgaans dynamisch registreren in een DNS-zone met één label die overeenkomt met de DNS-naam van dat domein. Als een Active Directory-foresthoofddomein een DNS-naam met één label heeft, moeten alle domeincontrollers in dat forest dns-records doorgaans dynamisch registreren in een DNS-zone met één label die overeenkomt met de DNS-naam van de foresthoofdmap.

    Standaard worden op Windows gebaseerde DNS-clientcomputers niet uitgevoerd op dynamische updates van de hoofdzone of van DNS-zones met één label. Voer de volgende stappen uit om windows-dns-clientcomputers in staat te stellen dynamische updates van een DNS-zone met één label uit te voeren:

    1. Selecteer Start, selecteer Uitvoeren, typ regedit en selecteer vervolgens OK.

    2. Zoek en selecteer vervolgens de volgende subsleutel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DnsCache\Parameters

    3. Zoek in het detailvenster de vermelding UpdateTopLevelDomainZones . Als de vermelding UpdateTopLevelDomainZones niet bestaat, voert u de volgende stappen uit:

      1. Wijs in het menu Bewerkende optie Nieuw aan en selecteer vervolgens DWORD-waarde.
      2. Typ UpdateTopLevelDomainZones als de vermeldingsnaam en druk op Enter.
    4. Dubbelklik op de vermelding UpdateTopLevelDomainZones .

    5. Typ 1 in het vak Waardegegevens en selecteer VERVOLGENS OK.

    6. Sluit de Register-editor af.

    Deze configuratiewijzigingen moeten worden toegepast op alle domeincontrollers en leden van een domein met DNS-namen met één label. Als een domein met een domeinnaam met één label een foresthoofdmap is, moeten deze configuratiewijzigingen worden toegepast op alle domeincontrollers in het forest, tenzij de afzonderlijke zones _msdcs. ForestName, _sites. ForestName, _tcp. ForestName, and_udp. ForestName worden gedelegeerd vanuit de ForestName-zone .

    Start de computers waarop u de registervermeldingen hebt gewijzigd opnieuw op om de wijzigingen door te voeren.

    Opmerking

    • Voor Windows Server 2003 en latere versies is de vermelding UpdateTopLevelDomainZones verplaatst naar de volgende registersubsleutel:
      HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient
    • Op een Microsoft Windows 2000 SP4-domeincontroller rapporteert de computer de volgende naamregistratiefout in het systeemgebeurtenislogboek als de instelling UpdateTopLevelDomainZones niet is ingeschakeld:
    • Op een domeincontroller met Windows 2000 SP4 moet u de computer opnieuw opstarten nadat u de instelling UpdateTopLevelDomainZones hebt toegevoegd.

Methode 2: gebruik groepsbeleid

Gebruik groepsbeleid om het beleid Voor domeinzones op het hoogste niveau bijwerken en de locatie van de DC's die als host fungeren voor een domein met dns-naam met één label in te schakelen, zoals is opgegeven in de volgende tabel onder de maplocatie in de hoofddomeincontainer in Gebruikers en computers, of op alle organisatie-eenheden (OE's) die computeraccounts hosten voor lidcomputers, en voor domeincontrollers in het domein.

Beleid Maplocatie
Domeinzones op het hoogste niveau bijwerken Computerconfiguratie\Beheersjablonen\Netwerk\DNS-client
Locatie van de DC's die als host fungeren voor een domein met dns-naam met één label Computerconfiguratie\Beheersjablonen\System\Net Logon\DC Locator DNS-records

Opmerking

Dit beleid wordt alleen ondersteund op Windows Server 2003-computers en op Windows XP-computers.

Volg deze stappen voor de hoofddomeincontainer om dit beleid in te schakelen:

  1. Selecteer Start, selecteer Uitvoeren, typ gpedit.msc en selecteer vervolgens OK.
  2. Vouw computerconfiguratie uit onder Beleid voor lokale computers.
  3. Vouw Beheersjablonen uit.
  4. Schakel het beleid Top Level Domain Zones bijwerken in. Volg deze stappen om dit te doen:
    1. Vouw Netwerk uit.
    2. Selecteer DNS-client.
    3. Dubbelklik in het detailvenster op Domeinzones op het hoogste niveau bijwerken.
    4. Selecteer Ingeschakeld.
    5. Selecteer Toepassen en selecteer vervolgens OK.
  5. Schakel de locatie in van de DC's die als host fungeren voor een domein met dns-naambeleid met één label. Ga hiervoor als volgt te werk:
    1. Vouw Systeem uit.
    2. Vouw Net-aanmelding uit.
    3. Selecteer DC Locator DNS-records.
    4. Dubbelklik in het detailvenster op Locatie van de DC's die als host fungeren voor een domein met dns-naam met één label.
    5. Selecteer Ingeschakeld.
    6. Selecteer Toepassen en selecteer vervolgens OK.
  6. Sluit groepsbeleid af.

Op DNS-servers met Windows Server 2003 en latere versies moet u ervoor zorgen dat de hoofdservers niet onbedoeld worden gemaakt.

Op DNS-servers met Windows 2000 moet u mogelijk de hoofdzone verwijderen om de DNS-records correct te kunnen declareren. De hoofdzone wordt automatisch gemaakt wanneer de DNS-serverservice wordt geïnstalleerd omdat de DNS-serverservice de basishints niet kan bereiken. Dit probleem is verholpen in latere versies van Windows.

Hoofdservers kunnen worden gemaakt door de wizard DCpromo. Als de zone '.' bestaat, is er een hoofdserver gemaakt. Voor een juiste werking van de naamomzetting moet u deze zone mogelijk verwijderen.

Nieuwe en gewijzigde DNS-beleidsinstellingen voor Windows Server 2003 en latere versies

  • Het beleid Voor domeinzones op het hoogste niveau bijwerken

    Als dit beleid is opgegeven, wordt er een REG_DWORD UpdateTopLevelDomainZones vermelding gemaakt onder de volgende registersubsleutel: HKLM\Software\Policies\Microsoft\Windows NT\DNSClient
    Hier volgen de invoerwaarden voor UpdateTopLevelDomainZones: - Ingeschakeld (0x1). Een 0x1 instelling betekent dat computers kunnen proberen de TopLevelDomain-zones bij te werken. Als de UpdateTopLevelDomainZones instelling is ingeschakeld, verzenden computers waarop dit beleid wordt toegepast dynamische updates naar elke zone die gezaghebbend is voor de bronrecords die de computer moet bijwerken, met uitzondering van de hoofdzone. - Uitgeschakeld (0x0). Een 0x0-instelling betekent dat computers niet mogen proberen de TopLevelDomain-zones bij te werken. Als deze instelling is uitgeschakeld, verzenden computers waarop dit beleid is toegepast geen dynamische updates naar de hoofdzone of naar de domeinzones op het hoogste niveau die gezaghebbend zijn voor de bronrecords die de computer moet bijwerken. Als deze instelling niet is geconfigureerd, wordt het beleid niet toegepast op computers en gebruiken computers hun lokale configuratie.

  • Het beleid PTR-records registreren

    Een nieuwe mogelijke waarde, 0x2, van de REG_DWORD RegisterReverseLookup vermelding is toegevoegd onder de volgende registersubsleutel:
    HKLM\Software\Policies\Microsoft\Windows NT\DNSClient

    Hier volgen de invoerwaarden voor RegisterReverseLookup: - 0x2. Registreer alleen als de registratie van een A-record is geslaagd. Computers proberen de registratie van PTR-resourcerecords alleen te implementeren als ze de bijbehorende A-resourcerecords hebben geregistreerd. - 0x1. Registreren. Computers proberen de registratie van PTR-resourcerecords te implementeren, ongeacht het succes van de registratie van de A-records. - 0x0. Niet registreren. Computers proberen nooit ptr-resourcerecordregistratie te implementeren.

Verwijzingen