Развертывание и работа доменов Active Directory с однокомпонентными DNS-именами

Применимо к: Windows Server 2012 StandardWindows Server 2012 EssentialsWindows Server 2008 R2 Standard

Аннотация


Эта статья посвящена развертыванию и работе доменов Active Directory с однокомпонентными DNS-именами. Нередко, чтобы избавиться от одноуровневой конфигурации домена, его переименовывают. В статье содержатся сведения о совместимости некоторых приложений и функции переименования доменов.

Мы рекомендуем создавать новые домены Active Directory с полными DNS-именами по ряду причин:
  • Однокомпонентные DNS-имена нельзя зарегистрировать с помощью интернет-регистраторов.
  • Клиентские компьютеры и контроллеры доменов, подключенные к одноуровневым доменам, нуждаются в дополнительной настройке для динамической регистрации DNS-записей в зонах с однокомпонентными именами.
  • Может понадобиться дополнительная настройка клиентских компьютеров и контроллеров доменов для разрешения DNS-запросов в зонах с однокомпонентными именами.
  • Некоторые серверные приложения несовместимы с однокомпонентными доменными именами. Поддержка может отсутствовать в первом выпуске приложения или быть удалена в последующих выпусках.
  • Переход от однокомпонентного DNS-имени к полному — непростая задача, которую можно выполнить двумя способами: перенести пользователей, компьютеры, группы и другие объекты в новый лес либо переименовать существующий домен. Некоторые серверные приложения не поддерживают функцию переименования доменов, доступную для контроллеров доменов под управлением Windows Server 2003 и более поздних версий. Это затрудняет или вовсе делает невозможным переименование домена при попытке заменить однокомпонентное DNS-имя полным доменным именем.
  • Мастер установки Active Directory (Dcpromo.exe) в Windows Server 2008 информирует пользователя о том, что нежелательно создавать домены с однокомпонентными DNS-именами. Поскольку нет никаких причин (технических или коммерческих) их использовать, мастер установки Active Directory в Windows Server 2008 R2 и вовсе не позволяет создавать такие домены.

Ниже приведен неполный список приложений, которые не поддерживают функцию переименования доменов: 

  • Microsoft Exchange 2000 Server
  • Microsoft Exchange Server 2007
  • Microsoft Exchange Server 2010
  • Microsoft Exchange Server 2013
  • Microsoft Internet Security and Acceleration (ISA) Server 2004
  • Microsoft Live Communications Server 2005
  • Microsoft Operations Manager 2005
  • Microsoft SharePoint Portal Server 2003
  • Microsoft Systems Management Server (SMS) 2003
  • Microsoft Office Communications Server 2007
  • Microsoft Office Communications Server 2007 R2
  • Microsoft System Center Operations Manager 2007 с пакетом обновления 1 (SP1)
  • Microsoft System Center Operations Manager 2007 R2
  • Microsoft Lync Server 2010
  • Microsoft Lync Server 2013

Дополнительная информация


Рекомендуемые имена доменов Active Directory состоят из одного или нескольких поддоменов, объединенных с доменом верхнего уровня, который отделяется точкой («.»), например:
  • contoso.com
  • corp.contoso.com
Однокомпонентные имена содержат одно слово, к примеру «contoso».

Домен верхнего уровня занимает в доменном имени крайнюю позицию справа. К числу наиболее распространенных доменов верхнего уровня относятся следующие:
  • .com
  • .net
  • .org
  • Двухбуквенные домены верхнего уровня с кодом страны (ccTLD), например .nz
Доменные имена Active Directory должны состоять из двух и более компонентов — только так можно избежать проблем при работе с текущими и последующими версиями операционных систем и приложениями.

Информацию о недопустимых запросах доменов верхнего уровня можно найти в отчете, опубликованном Консультативным комитетом по вопросам безопасности и стабильности ICANN (ICANN Security and Stablity Advisory Committee): http://www.icann.org/en/groups/ssac/documents/sac-045-en.pdf

Регистрация DNS-имен с помощью интернет-регистраторов

DNS-имена для внутренних и внешних пространств имен следует регистрировать в специальных организациях, которые координируют использование доменов в Интернете, — через регистраторов. Это относится к корневым доменам, если только они не являются поддоменами DNS-имен, зарегистрированных организацией (например, если корневой домен леса «corp.example.com» — поддомен внутреннего пространства имен «example.com»). При регистрации DNS-имени через интернет-регистратора DNS-серверы разрешают домен сразу же либо позже, в тот или иной момент работы леса Active Directory. Кроме того, такой подход позволяет предотвратить конфликты с другими организациями, когда подается несколько заявок на регистрацию одного доменного имени.

Возможные проблемы с динамической регистрацией записей DNS в зонах прямого просмотра с однокомпонентными именами

При использовании однокомпонентных DNS-имен могут возникнуть проблемы с динамической регистрацией записей DNS в зонах прямого просмотра с однокомпонентными именами. Ошибки различаются в зависимости от используемой версии Microsoft Windows.

В следующем списке перечислены признаки возникновения данной неполадки:
  • После настройки системы для работы с однокомпонентным доменным именем все серверы с ролью контроллера домена лишаются возможности регистрировать записи DNS. В системном журнале контроллера домена раз за разом появляются предупреждения NETLOGON 5781 (пример приведен ниже). Примечание Код состояния 0000232a соответствует следующему коду ошибки:
    DNS_ERROR_RCODE_SERVER_FAILURE
  • Следующие дополнительные коды состояния и ошибок могут появляться в файлах журнала (например, Netdiag.log):
    Код ошибки DNS: 0x0000251D = DNS_INFO_NO_RECORDS


    DNS_ERROR_RCODE_ERROR


    RCODE_SERVER_FAILURE
  • Компьютеры с системой Windows, настроенные для динамического обновления DNS, не будут зарегистрированы в домене с однокомпонентным именем. В системном журнале компьютера появятся предупреждения, похожие на приведенные ниже:

Настройка клиентского компьютера под управлением Windows для выполнения запросов и динамических обновлений в зонах DNS с однокомпонентными именами

По умолчанию система Windows не отправляет обновления доменам верхнего уровня. Однако это поведение можно изменить, воспользовавшись одним из способов, описанных в данной статье. Чтобы включить динамические обновления в зонах с однокомпонентными DNS-именами на компьютерах под управлением Windows, воспользуйтесь одним из способов, описанных ниже.

Также без дополнительной настройки член домена Active Directory в лесу, который не содержит доменов с однокомпонентными DNS-именами, не использует службу DNS-сервера для обнаружения контроллеров домена в доменах, которые находятся в других лесах и имеют однокомпонентные DNS-имена. Если разрешение имен NetBIOS настроено неправильно, клиент не сможет получить доступ к доменам с однокомпонентными DNS-именами.

Способ 1. Использование редактора реестра

Настройка локатора контроллера домена для Windows XP Professional и более поздних версий Windows
Внимание! В этом разделе, в описании метода или задачи содержатся сведения об изменении реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. В качестве дополнительной защитной меры необходимо создать резервную копию реестра перед внесением изменений. Это позволит восстановить реестр в случае возникновения неполадок. Дополнительные сведения о создании резервной копии и восстановлении реестра см. в соответствующей статье базы знаний Майкрософт:
322756 Как создать резервную копию и восстановить реестр в Windows
Чтобы член домена Active Directory под управлением Windows мог работать с однокомпонентными DNS-именами, необходимо правильно его настроить. Так, локатор контроллера домена на компьютере-члене домена Active Directory не использует службу DNS-сервера для обнаружения контроллеров домена в домене с однокомпонентным DNS-именем, если только этот член домена не подключен к лесу, который содержит хотя бы один домен с однокомпонентным DNS-именем.

Чтобы члены домена Active Directory использовали службу DNS для обнаружения контроллеров домена в доменах, которые находятся в других лесах и имеют однокомпонентные DNS-имена, следуйте инструкции ниже.
  1. В меню Пуск выберите пункт Выполнить, введите команду regedit и нажмите ОК.
  2. Найдите и выделите подраздел реестра:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
  3. В области сведений окна редактора реестра найдите параметр AllowSingleLabelDnsDomain. Если параметр AllowSingleLabelDnsDomain отсутствует, выполните следующие действия:
    1. В меню Правка выберите пункт Создать, а затем Параметр DWORD.
    2. Укажите в качестве названия параметра AllowSingleLabelDnsDomain и нажмите клавишу ВВОД.
  4. Дважды щелкните параметр AllowSingleLabelDnsDomain.
  5. В поле Значение введите 1 и нажмите кнопку ОК.
  6. Закройте редактор реестра.
Конфигурация клиента DNS
Внимание! В этом разделе, в описании метода или задачи содержатся сведения об изменении реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. В качестве дополнительной защитной меры необходимо создать резервную копию реестра перед внесением изменений. Это позволит восстановить реестр в случае возникновения неполадок. Дополнительные сведения о создании резервной копии и восстановлении реестра см. в следующей статье базы знаний Майкрософт:
322756 Как создать резервную копию и восстановить реестр в Windows
Членам и контроллерам домена в домене Active Directory с однокомпонентным DNS-именем, как правило, необходимо динамически регистрировать DNS-записи в зоне DNS с однокомпонентным DNS-именем, совпадающим с DNS-именем данного домена. Если корневой домен леса Active Directory имеет однокомпонентное DNS-имя, то обычно все контроллеры домена в этом лесу также должны динамически регистрировать DNS-записи в зоне с однокомпонентным DNS-именем, совпадающим с DNS-именем корня леса.

По умолчанию клиенты DNS с системой Windows не делают динамических обновлений корневой зоны «.» или зон с однокомпонентным DNS-именем. Чтобы клиенты DNS с системой Windows пытались динамически обновлять однокомпонентную зону DNS, выполните указанные ниже действия.
  1. В меню Пуск выберите пункт Выполнить, введите команду regedit и нажмите ОК.
  2. Найдите и выделите подраздел реестра:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DnsCache\Parameters
  3. В области сведений окна редактора реестра найдите параметр UpdateTopLevelDomainZones. Если параметр UpdateTopLevelDomainZones отсутствует, выполните следующие действия:
    1. В меню Правка выберите пункт Создать, а затем Параметр DWORD.
    2. Укажите в качестве названия параметра UpdateTopLevelDomainZones и нажмите клавишу ВВОД.
  4. Дважды щелкните параметр UpdateTopLevelDomainZones.
  5. В поле Значение введите 1 и нажмите кнопку ОК.
  6. Закройте редактор реестра.
Точно так же необходимо изменить конфигурацию всех членов домена и контроллеров домена в домене с однокомпонентным DNS-именем. Если домен с однокомпонентным именем является корнем леса и если из зоны имя_леса не были делегированы отдельные зоны _msdcs.имя_леса, _sites.имя_леса, _tcp.имя_леса и _udp.имя_леса, необходимо изменить конфигурацию всех контроллеров домена в лесу в соответствии с инструкциями, приведенными выше.

Чтобы изменения вступили в силу, перезагрузите компьютеры после внесения изменений в реестр.

Примечания
  • В системе Windows Server 2003 и более поздних версиях параметр UpdateTopLevelDomainZones перемещен в следующий подраздел реестра:
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient
  • Если параметр UpdateTopLevelDomainZones отключен, на контроллере домена под управлением Microsoft Windows 2000 с пакетом обновления 4 (SP4) в системном журнале будет зарегистрировано сообщение о следующей ошибке при регистрации имени:
  • После добавления параметра UpdateTopLevelDomainZones контроллер домена под управлением Windows 2000 с пакетом обновления 4 (SP4) необходимо перезагрузить.

Способ 2. Использование групповой политики

Используя групповую политику, включите политики Обновлять зоны доменов верхнего уровня и Обнаружение контроллеров домена, несущих домен с однокомпонентным DNS-именем, как указано в таблице ниже, в зоне расположения папок на панели «Пользователи и компьютеры» контейнера корневого домена или во всех подразделениях, где размещены учетные записи компьютеров-членов и контроллеров домена в домене.
ПолитикаРасположение папки
Обновлять зоны доменов верхнего уровняКонфигурация компьютера\Административные шаблоны\Сеть\DNS-клиент
Обнаружение контроллеров домена, несущих домен с однокомпонентным DNS-именемКонфигурация компьютера\Административные шаблоны\Система\Сетевой вход в систему\DNS-записи локатора контроллеров домена
Примечание. Эти политики поддерживается только на компьютерах под управлением Windows Server 2003 и Windows XP.

Чтобы включить их, выполните следующие действия в контейнере корневого домена.
  1. В меню Пуск щелкните Выполнить, введите команду gpedit.msc и нажмите кнопку ОК.
  2. В разделе Политика «Локальный компьютер» разверните узел Конфигурация компьютера.
  3. Разверните узел Административные шаблоны.
  4. Включите политику Обновлять зоны доменов верхнего уровня. Для этого выполните следующие действия:
    1. Разверните узел Сеть.
    2. Выберите узел DNS-клиент.
    3. В области сведений дважды щелкните политику Обновлять зоны доменов верхнего уровня.
    4. Выберите вариант Включена.
    5. Нажмите кнопку Применить, а затем — ОК.
  5. Включите политику Обнаружение контроллеров домена, несущих домен с однокомпонентным DNS-именем. Для этого выполните следующие действия:
    1. Разверните узел Система.
    2. Разверните узел Сетевой вход в систему.
    3. Щелкните пункт DNS-записи локатора контроллеров домена.
    4. В области сведений дважды щелкните пункт Обнаружение контроллеров домена, несущих домен с однокомпонентным DNS-именем.
    5. Выберите вариант Включена.
    6. Нажмите кнопку Применить, а затем — ОК.
  6. Закройте средство управления групповыми политиками.
Дополнительные сведения об управлении политикой локального компьютера с помощью редактора объектов групповой политики см. в соответствующей статье базы знаний Майкрософт:

307882 Использование редактора объектов групповой политики для управления политикой локального компьютера в Windows XP

Убедитесь, что на DNS-серверах под управлением Windows Server 2003 и более поздних версий не были непреднамеренно созданы корневые серверы.



На DNS-серверах с системой Windows 2000 может потребоваться удалить корневую зону «.», чтобы записи DNS объявлялись должным образом. Корневая зона автоматически создается при установке серверной службы DNS, поскольку эта служба не может обратиться к корневым ссылкам. Эта проблема была устранена в более поздних версиях Windows.



Корневые серверы можно создавать с помощью мастера DCpromo. Если на DNS-сервере существует зона «.», значит, данный компьютер был настроен в качестве корневого сервера. Чтобы разрешение имен работало правильно, может потребоваться удалить эту зону.
Новые и измененные настройки политики DNS для системы Windows Server 2003 и более поздних версий
  • Политика Обновлять зоны доменов верхнего уровня

    Если эта политика включена, в следующем подразделе реестра создается параметр UpdateTopLevelDomainZones типа REG_DWORD:
    HKLM\Software\Policies\Microsoft\Windows NT\DNSClient
    Ниже указаны возможные значения этого параметра.
    • Включена (0x1). Если данный параметр равен 0x1, компьютер может отправлять обновления зонам доменов верхнего уровня. То есть, если параметр UpdateTopLevelDomainZones включен, компьютеры, на которых применена данная политика, отправляют динамические обновления в любую зону (за исключением корневой зоны), являющуюся авторизованной зоной для записей ресурсов, которые данный компьютер должен обновлять.
    • Отключена (0x0). Если данный параметр равен 0x0, то компьютерам не разрешено обновлять зоны доменов верхнего уровня. То есть, если параметр UpdateTopLevelDomainZones отключен, компьютеры, на которых применена данная политика, не отправляют динамические обновления в корневую зону, а также в зоны доменов верхнего уровня, являющиеся авторизованными зонами для записей ресурсов, которые данный компьютер должен обновлять. Если этот параметр не задан, рассматриваемая политика к компьютерам не применяется и компьютеры используют локальные параметры.
  • Политика Регистрировать PTR-записи

    Параметр RegisterReverseLookup типа REG_DWORD в следующем подразделе реестра может принимать значение 0x2:
    HKLM\Software\Policies\Microsoft\Windows NT\DNSClient
    Ниже указаны возможные значения этого параметра.
    • 0x2. Регистрировать только при успешной регистрации записи типа A. Компьютер попытается регистрировать записи типа PTR только в случае успешной регистрации соответствующих записей типа A.
    • 0x1. Регистрировать. Компьютер попытается зарегистрировать записи типа PTR независимо от того, удалось ли зарегистрировать записи типа A.
    • 0x0. Не регистрировать. Компьютер не будет регистрировать записи типа PTR.

Ссылки


Для получения дополнительной информации щелкните приведенные ниже номера статей базы знаний Майкрософт:
 
254680 Планирование пространств DNS-имен
 
294785 Новые групповые политики для управления службой DNS в Windows Server 2003
 

2002584 При добавлении контроллера домена в существующий домен Active Directory невозможно выбрать роль DNS-сервера

2992634 При повышении роли контроллера домена под управлением Windows Server 2008 и Windows Server 2008 R2 с помощью DCPROMO в доменах с однокомпонентными DNS-именами появляются предупреждения

Руководство по ADMT: миграция и реструктуризация доменов Active Directory

Руководство по Active Directory Migration Tool (ADMT): миграция и реструктуризация доменов Active Directory

Страница совместимости продуктов в Центре решений планирования пространства имен DNS