Implementação e operação de domínios do Active Directory configurados com nomes de DNS simples

Aplica-se a: Windows Server 2012 StandardWindows Server 2012 EssentialsWindows Server 2008 R2 Standard Mais

Resumo

Este artigo contém informações sobre a implementação e operação de domínios do Active Directory configurados utilizando nomes de DNS simples. Pretender remover a configuração de domínio de etiqueta única é um motivo frequente para mudar o nome de um domínio. As informações de compatibilidade da aplicação constantes neste artigo aplicam-se a todos os cenários em que poderá considerar mudar o nome de um domínio.

Considerando os motivos que se seguem, o melhor procedimento é criar novos domínios do Active Directory com nomes DNS totalmente qualificados:
  • Os nomes de DNS simples não podem ser registados numa entidade de registo da Internet.
  • Os computadores de cliente e controladores de domínio associados a domínios simples requerem uma configuração adicional para registar dinamicamente registos de DNS em zonas DNS simples.
  • Os computadores de cliente e os controladores de domínio poderão necessitar de uma configuração adicional para resolver consultas de DNS em zonas DNS simples.
  • Algumas aplicações baseadas no servidor são incompatíveis com nomes de domínio simples. O suporte de aplicações pode não existir na versão inicial de uma aplicação, ou pode ser ignorado numa versão futura.
  • A transição a partir de um nome de domínio DNS simples para um nome DNS completamente qualificado é não-trivial e consiste em duas opções. Migrar utilizadores, computadores, grupos e outros estados para uma nova floresta. ou, em alternativa, alterar o nome de domínio do domínio existente. Algumas aplicações baseadas no servidor são incompatíveis com a funcionalidade de mudança de nome de domínio suportada no Windows Server 2003 e nos controladores de domínio mais recentes. Estas incompatibilidades bloqueiam a funcionalidade de mudança de nome do domínio ou resultam numa utilização da funcionalidade de mudança de nome do domínio mais difícil, ao tentar mudar o nome de um nome DNS simples para um nome de domínio totalmente qualificado.
  • O Assistente de Instalação do Active Directory (Dcpromo.exe) no Windows Server 2008 avisa contra a criação de novos domínios que tenham nomes DNS simples. Uma vez que não existe uma razão empresarial ou técnica para criar novos domínios que tenham nomes DNS simples, o Assistente de Instalação do Active Directory no Windows Server 2008 R2 bloqueia explicitamente a criação desses domínios.

Exemplos de aplicações incompatíveis com a mudança de nome de domínio incluem, mas não estão limitados a, os seguintes produtos: 

  • Microsoft Exchange 2000 Server
  • Microsoft Exchange Server 2007
  • Microsoft Exchange Server 2010
  • Microsoft Exchange Server 2013
  • Microsoft Internet Security and Acceleration (ISA) Server 2004
  • Live Communications Server 2005
  • Microsoft Operations Manager 2005
  • Microsoft Office SharePoint Portal Server 2003
  • Microsoft Systems Management Server (SMS) 2003
  • Microsoft Office Project Server 2007
  • Office Communications Server 2007 R2
  • Microsoft Operations Manager 2007 SP1
  • Microsoft System Center Configuration Manager 2007 R2
  • Microsoft SharePoint Server 2010
  • Microsoft SharePoint Server 2013

Mais Informações

Os nomes de domínio do Best-practice Active Directory consistem num ou mais subdomínios que são combinados com um domínio de nível superior que é separado pelo caráter ponto ("."). Seguem-se alguns exemplos:
  • contoso.com
  • corp.contoso.com
Nomes Single-label são compostos por uma única palavra como "contoso".

O domínio de nível superior ocupa a etiqueta mais à direita num nome de domínio. Os domínios de nível superior comuns incluem os seguintes:
  • .com
  • .net
  • .org
  • Domínios de nível superior com código de país em dois dígitos (ccTLD), como .nz
Os nomes de domínio do Active Directory devem consistir em duas ou mais etiquetas para assegurar a utilização e fiabilidade do sistema operativo atual, do sistema operativo futuro e da aplicação.

Consultas de domínio de nível superior inválidas comunicadas pelo ICANN Security and Stablity Advisory Committee podem ser encontradas em http://www.icann.org/en/groups/ssac/documents/sac-045-en.pdf

Registo de nomes DNS com registo de Internet

Recomendamos que registe nomes de DNS para os espaços de nomes DNS internos e externos principais com um registo de Internet. Isto inclui o domínio raiz da floresta de quaisquer florestas do Active Directory, a não ser que os nomes sejam sub-domínios de nomes de DNS registados com o nome da organização (por exemplo, o domínio raiz "corp.example.com" é um subdomínio de um "example.com. espaço de nomes interno.) Quando regista os nomes de DNS com um registo da Internet, permite que os servidores DNS da Internet resolvam o seu domínio agora ou em algum nível da sua floresta do Active Directory. Este registo ajuda a evitar possíveis colisões de nomes de outras organizações.

Possíveis sintomas quando os clientes não podem registar dinamicamente registos de DNS, numa zona de pesquisa direta simples

Se utilizar um nome DNS simples no seu ambiente, os clientes podem não conseguir registar dinamicamente os registos de DNS, numa zona de pesquisa direta simples. Os sintomas específicos variam de acordo com a versão do Microsoft Windows instalada.

A lista que se segue descreve os sintomas que poderão ocorrer:
  • Depois de configurar o Microsoft Windows para um nome de domínio de etiqueta simples, todos os servidores que têm a função de controlador de domínio poderão não conseguir registar registos de DNS. O registo do sistema do controlador de domínio pode registar de forma consistente avisos NETLOGON 5781 semelhantes ao seguinte exemplo:Nota Código de estado 0000232a mapeia para o seguinte código de erro:
    DNS_ERROR_RCODE_SERVER_FAILURE
  • Os códigos de estado e de erro adicionais que se seguem podem ser apresentados em ficheiros de registo como o Netdiag.log:
    DNS Error Code: 0x0000251D = DNS_INFO_NO_RECORDS


    DNS_ERROR_RCODE_ERROR


    RCODE_SERVER_FAILURE
  • Os computadores baseados no Windows e configurados para atualizações dinâmicas de DNS não serão registados num domínio simples. Avisos semelhantes ao seguinte exemplo são registados no registo do sistema do computador:

Como ativar clientes baseados no Windows, para executar consultas e atualizações dinâmicas com zonas DNS simples

Por predefinição, o Windows não envia atualizações para domínios de nível superior. Contudo, pode alterar este comportamento utilizando um dos métodos descritos nesta secção. Poderá utilizar um dos seguintes métodos para permitir que os clientes baseados no Windows efetuem atualizações dinâmicas às zonas de DNS simples.

Sem qualquer modificação, um membro de um domínio do Active Directory de uma floresta que não contenha domínios com nomes de DNS simples não utiliza o serviço de servidor de DNS, para localizar controladores em domínios com nomes de DNS simples que se encontrem noutras florestas. O acesso de cliente aos domínios com nomes de DNS simples falha, se a resolução de nomes de NetBIOS não estiver corretamente configurada.

Método 1: Utilizar o 'Editor de registo'

Configuração do localizador do controlador de domínio para Windows XP Professional e versões posteriores do Windows
Importante Esta secção, método ou tarefa contém passos que explicam como modificar o registo. No entanto, poderão ocorrer problemas graves se modificar o registo de forma incorreta. Por conseguinte, certifique-se de que segue estes passos cuidadosamente. Para maior segurança, faça uma cópia de segurança do registo antes de o modificar. Deste modo, pode restaurar o registo se ocorrer um problema. Para mais informações sobre como fazer uma cópia de segurança e restaurar o registo, clique no número de artigo que se segue para ver o artigo na Base de Dados de Conhecimento Microsoft:
322756 Como fazer uma cópia de segurança e restaurar o registo no Windows
Num computador baseado no Windows XP Professional, um membro de um domínio do Active Directory requer configuração adicional, para suportar nomes de DNS simples para domínios. Especificamente, o localizador de controladores de domínio do membro do domínio do Active Directory não utiliza o serviço de servidor de DNS para localizar controladores num domínio que tenha um nome de DNS simples, a não ser que o membro do domínio do Active Directory esteja associado a uma floresta que contenha, no mínimo, um domínio com um nome de DNS simples.

Para permitir que um membro de um domínio do Active Directory utilize o DNS para localizar controladores em domínios com nomes de DNS simples que se encontrem noutras florestas, siga estes passos:
  1. Clique em Iniciar, clique em Executar, escreva regedit e, em seguida, clique em OK.
  2. Localize e, em seguida, clique na seguinte subchave:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
  3. No painel de detalhes, localize a entrada AllowSingleLabelDnsDomain. Se a entrada AllowSingleLabelDnsDomain não existir, siga estes passos:
    1. No menu Editar, aponte para Novo e, em seguida, clique em Valor DWORD.
    2. Escreva AllowSingleLabelDnsDomain como o nome da entrada e prima ENTER.
  4. Faça duplo clique na entrada AllowSingleLabelDnsDomain.
  5. Na caixa Dados do valor, escreva 1 e, em seguida, clique em OK.
  6. Saia do Editor de Registo.
Configuração de cliente de DNS
Importante Esta secção, método ou tarefa contém passos que explicam como modificar o registo. No entanto, poderão ocorrer problemas graves se modificar o registo de forma incorreta. Por conseguinte, certifique-se de que segue estes passos cuidadosamente. Para maior segurança, faça uma cópia de segurança do registo antes de o modificar. Deste modo, pode restaurar o registo se ocorrer um problema. Para mais informações sobre como fazer uma cópia de segurança e restaurar o registo, clique no número de artigo que se segue para ver o artigo na Base de Dados de Conhecimento Microsoft:
322756 Como fazer uma cópia de segurança e restaurar o registo no Windows
Os membros e controladores de um domínio do Active Directory existentes num domínio com um nome de DNS simples, normalmente, devem registar de forma dinâmica registos de DNS numa zona de DNS com nome simples que corresponda ao nome de DNS desse domínio. Se a raiz de uma floresta do Active Directory tiver um nome de DNS simples, todos os controladores de domínio dessa floresta, normalmente, deverão registar de forma dinâmica os registos de DNS numa zona de DNS com nome simples que corresponda ao nome de DNS da raiz da floresta.

Por predefinição, computadores cliente de DNS baseados no Windows não tentam efetuar atualizações dinâmicas da zona raiz ".", nem de zonas de DNS com nome simples. Para permitir que computadores de cliente de DNS baseados no Windows tentem efetuar atualizações dinâmicas de uma zona de DNS com nome simples, siga estes passos:
  1. Clique em Iniciar, clique em Executar, escreva regedit e, em seguida, clique em OK.
  2. Localize e, em seguida, clique na seguinte subchave:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DnsCache\Parameters
  3. No painel de detalhes, localize a entrada UpdateTopLevelDomainZones. Se a entrada UpdateTopLevelDomainZones não existir, siga estes passos:
    1. No menu Editar, aponte para Novo e, em seguida, clique em Valor DWORD.
    2. Escreva UpdateTopLevelDomainZones como o nome da entrada e prima ENTER.
  4. Faça duplo clique na entrada UpdateTopLevelDomainZones.
  5. Na caixa Dados do valor, escreva 1 e, em seguida, clique em OK.
  6. Saia do Editor de Registo.
Estas alterações de configuração deverão ser aplicadas a todos os controladores e membros de um domínio com nomes de DNS simples. Se um domínio com um nome de domínio simples for uma raiz de floresta, estas alterações de configuração deverão ser aplicadas a todos os controladores de domínio da floresta, a menos que as zonas distintas _msdcs.ForestName, _sites.ForestName, _tcp.ForestName, e _udp.ForestName sejam delegadas a partir da zona ForestName.

Para que as alterações entrem em vigor, reinicie os computadores onde foram alteradas as chaves de registo.

Notas
  • Para o Windows Server 2003 e versões posteriores, a entrada UpdateTopLevelDomainZones foi movida para a seguinte subchave de registo:
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient
  • Num controlador de domínio baseado no Windows 2000 SP4, o computador comunicará o seguinte erro de registo de nome, no registo de eventos do sistema, se a definição UpdateTopLevelDomainZones não estiver ativada:
  • Num controlador de domínio baseado no Windows 2000 SP4, é necessário reiniciar o computador depois de adicionar a definição UpdateTopLevelDomainZones.

Método 2: Utilizar a política de grupo

Utilize a Política de Grupo para ativar a política Atualizar Zonas de Domínio de Nível Superior e a política Localização dos DCs que alojam um domínio DNS de etiqueta única como especificada na tabela seguinte localizada na pasta que contêm os domínios de raiz em Utilizadores e Computadores, ou em todas as unidades organizacionais (OUs) que alojam contas de computadores para computadores membros, e para controladores de domínio no domínio.
PolíticaLocalização da pasta
Atualizar zonas de domínio de nível superior (Update Top Level Domain Zones)Configuração do Computador\Modelos Administrativos\Rede\Cliente DNS
Localização dos DCs que alojam um domínio com um nome de DNS únicoConfiguração do Computador\Modelos Administrativos\Sistema\Início de Sessão de Rede\Registos DNS do Localizador de DC
Nota Estas políticas são suportadas apenas nos computadores baseados no Windows Server 2003 e nos computadores baseados no Windows XP.

Para ativar estas políticas, siga estes passos no contentor do domínio raiz:
  1. Clique em Iniciar, clique em Executar, escreva gpedit.msc e, em seguida, clique em OK.
  2. Em Política Computador local (Local Computer Policy), expanda Configuração do computador (Computer Configuration).
  3. Expanda Modelos Administrativos:
  4. Ative a Política Atualizar zonas de domínio de nível superior (Update Top Level Domain Zones) Para tal, siga estes passos:
    1. Expanda Rede.
    2. Clique em Cliente de DNS (DNS Client).
    3. No painel de detalhes, faça duplo clique em Atualizar zonas de domínio de nível superior (Update Top Level Domain Zones).
    4. Clique em Ativado.
    5. Clique em Aplicar e, em seguida, clique em OK.
  5. Ativar a política Localização dos DCs que alojam um domínio DNS de etiqueta única. Para tal, siga estes passos:
    1. Expanda Sistema.
    2. Expanda Início de sessão de rede (Net Logon).
    3. Clique em Registos DNS do Localizador de DC.
    4. No painel de detalhes, faça duplo clique em Localização dos DCs que alojam um domínio com um nome de DNS único.
    5. Clique em Ativado.
    6. Clique em Aplicar e, em seguida, clique em OK.
  6. Saia da política de grupo.
Para obter mais informações sobre como utilizar o Editor de objeto de política de grupo (Group Policy Object Editor) para gerir a política local do computador, clique no número de artigo que se segue para visualizar o artigo na Base de Dados de Conhecimento da Microsoft:

307882 Como utilizar o Editor de políticas de grupo para gerir a política de computador local no Windows XP

Nos servidores de DNS baseados no Windows Server 2003 e versões posteriores, certifique-se de que os servidores raiz não são criados acidentalmente.



Nos servidores de DNS baseados no Windows 2000, poderá ser necessário eliminar a zona raiz "." para que os registos de DNS sejam corretamente declarados. A zona raiz é criada automaticamente quando o serviço de servidor de DNS é instalado, uma vez que este não consegue ligar às sugestões de raiz. Este problema foi corrigido em versões mais recentes do Windows.



Os servidores raiz poderão ser criados pelo assistente DCpromo. Se a zona "." existir, foi criado um servidor raiz. Para a resolução de nomes funcionar corretamente, poderá ter de remover esta zona.
Definições de política de DNS novas e modificadas para o Windows Server 2003 e versões posteriores
  • Política Atualizar zonas de domínio de nível superior (Update Top Level Domain Zones)

    Se esta política for especificada, cria uma entrada REG_DWORD UpdateTopLevelDomainZones na seguinte subchave de registo:
    HKLM\Software\Policies\Microsoft\Windows NT\DNSClient
    Seguem-se os valores de entrada para UpdateTopLevelDomainZones:
    • Activada (0x1). Uma definição 0x1 significa que os computadores poderão tentar atualizar as zonas TopLevelDomain. Ou seja, se a definição UpdateTopLevelDomainZones estiver ativada, os computadores aos quais seja aplicada esta política enviarão atualizações dinâmicas para qualquer zona com autoridade relativamente aos registos de recursos que o computador terá de atualizar, exceto para a zona raiz.
    • Desactivada (0x0). Uma definição 0x0 significa que os computadores não poderão tentar atualizar as zonas TopLevelDomain. Ou seja, se esta definição for desativada, os computadores com esta política aplicada não enviarão atualizações dinâmicas para a zona raiz nem para as zonas de domínio de nível superior com autoridade relativamente aos registos de recursos que o computador terá de atualizar. Se esta definição não estiver configurada, a política não será aplicada aos computadores e estes utilizarão a respectiva configuração local.
  • Política Registar registos PTR (Register PTR Records)

    Um novo valor possível, 0x2, da entrada REG_DWORD RegisterReverseLookup foi adicionado na seguinte subchave de registo:
    HKLM\Software\Policies\Microsoft\Windows NT\DNSClient
    Seguem-se os valores de entrada para RegisterReverseLookup:
    • 0x2 Registar apenas se o registo do registo "A" tiver êxito. Os computadores tentam implementar o registo de registos de recursos PTR apenas se o registo dos registos de recursos "A" correspondentes tiverem sido efetuados com êxito.
    • 0x1 Registar. Os computadores tentam implementar o registo de registos de recursos PTR, independentemente do êxito do registo dos registos "A".
    • 0x0. Não registar. Os computadores nunca tentam implementar o registo de registos de recursos PTR.

Referências

Para obter mais informações, clique nos números de artigo que se seguem para ver os artigos na Base de Dados de Conhecimento Microsoft:

254680 Planeamento do espaço de nomes DNS


294785 Novas políticas de grupo para DNS no Windows Server 2003


2002584: Não é possível selecionar a função de Servidor DNS ao adicionar um controlador de domínio a um domínio existente do Active Directory

2992634: Avisos quando promover o Windows Server 2008 e o Windows Server 2008 R2 DCPROMO em domínios com nomes DNS de etiqueta única

Manual da ADMT: Migração e Reestruturação de domínios Active Directory

Guia da Ferramenta de Migração do Active Directory (ADMT): Migração e Reestruturação de domínios Active Directory

Versão 3.1 da Ferramenta de Migração do Active Directory

Versão 3.2 da Ferramenta de Migração do Active Directory

Página de Compatibilidade de Produtos no Centro de Soluções de Planeamento de Espaço de Nomes DNS