Distribution och drift av Active Directory-domäner som konfigureras med hjälp av DNS-namn med en etikett

  • Artikel

Den här artikeln innehåller information om distribution och drift av Active Directory-domäner (AD) som konfigureras med hjälp av DNS-namn med en etikett.

Gäller för: Windows Server 2008 R2 Service Pack 1, Windows Server 2012 R2, Windows Server 2016, Windows Server 2019 Windows 10 version 1809
Ursprungligt KB-nummer: 300684

Sammanfattning

Att ta bort domänkonfigurationen med en etikett är en vanlig anledning till att byta namn på en domän. Programkompatibilitetsinformationen i den här artikeln gäller för alla scenarier där du kan överväga att byta namn på en domän.

Av följande skäl är bästa praxis att skapa nya Active Directory-domäner som har fullständigt kvalificerade DNS-namn:

  • Dns-namn med en etikett kan inte registreras med hjälp av en Internetregistrator.

  • Klientdatorer och domänkontrollanter som är anslutna till enstaka domäner kräver ytterligare konfiguration för att dynamiskt registrera DNS-poster i DNS-zoner med en etikett.

  • Klientdatorer och domänkontrollanter kan kräva ytterligare konfiguration för att lösa DNS-frågor i DNS-zoner med enkel etikett.

  • Vissa serverbaserade program är inte kompatibla med domännamn med en enda etikett. Programstöd kanske inte finns i den första versionen av ett program, eller så kan supporten tas bort i en framtida version.

  • Övergången från ett DNS-domännamn med en enda etikett till ett fullständigt kvalificerat DNS-namn är icke-trivialt och består av två alternativ. Antingen migrerar du användare, datorer, grupper och andra tillstånd till en ny skog. Eller byt namn på en domän till den befintliga domänen. Vissa serverbaserade program är inte kompatibla med funktionen för domänbyte som stöds i Windows Server 2003 och nyare domänkontrollanter. Dessa inkompatibiliteter blockerar antingen funktionen för domänbyte eller gör det svårare att använda funktionen för domänbyte när du försöker byta namn på ett DNS-namn med en enda etikett till ett fullständigt kvalificerat domännamn.

  • Installationsguiden för Active Directory (Dcpromo.exe) i Windows Server 2008 varnar för att skapa nya domäner som har DNS-namn med en etikett. Eftersom det inte finns några affärsmässiga eller tekniska skäl att skapa nya domäner som har DNS-namn med enkel etikett blockerar Installationsguiden för Active Directory i Windows Server 2008 R2 uttryckligen skapandet av sådana domäner.

Exempel på program som inte är kompatibla med domänbyte är, men inte är begränsade till, följande produkter:

  • Microsoft Exchange 2000 Server
  • Microsoft Exchange Server 2007
  • Microsoft Exchange Server 2010
  • Microsoft Exchange Server 2013
  • Microsoft Internet Security and Acceleration (ISA) Server 2004
  • Microsoft Live Communications Server 2005
  • Microsoft Operations Manager 2005
  • Microsoft SharePoint Portal Server 2003
  • Microsoft Systems Management Server (SMS) 2003
  • Microsoft Office Communications Server 2007
  • Microsoft Office Communications Server 2007 R2
  • Microsoft System Center Operations Manager 2007 SP1
  • Microsoft System Center Operations Manager 2007 R2
  • Microsoft Lync Server 2010
  • Microsoft Lync Server 2013

Mer information

Bästa praxis Active Directory-domännamn består av en eller flera underdomäner som kombineras med en toppnivådomän som avgränsas med ett punkttecken ("."). Följande är några exempel:

  • contoso.com
  • corp.contoso.com

Enetikettsnamn består av ett enda ord som "contoso".

Domänen på den översta nivån upptar etiketten längst till höger i ett domännamn. Vanliga toppnivådomäner är följande:

  • .Com
  • .Net
  • .Org
  • Toppnivådomäner med två bokstäver (ccTLD) som .nz

Active Directory-domännamn bör bestå av två eller flera etiketter för det aktuella och det framtida operativsystemet samt för programupplevelse och tillförlitlighet.

Ogiltiga toppnivådomänfrågor som rapporterats av ICANN:s rådgivande kommitté för säkerhet och stabilitet finns på ogiltiga toppnivådomänfrågor på rotnivån i domännamnssystemet.

DNS-namnregistrering med en Internetregistrator

Vi rekommenderar att du registrerar DNS-namn för de mest interna och externa DNS-namnrymderna hos en Internetregistrator. Detta inkluderar skogsrotdomänen för alla Active Directory-skogar såvida inte sådana namn är underdomäner till DNS-namn som är registrerade efter ditt organisationsnamn (till exempel är skogsrotdomänen "corp.example.com" en underdomän till ett internt namnområde för "example.com". När du registrerar dina DNS-namn hos en Internetregistrator kan Internet DNS-servrar lösa din domän nu eller någon gång under active directory-skogens livslängd. Och den här registreringen hjälper till att förhindra eventuella namnkollisioner av andra organisationer.

Möjliga symptom när klienter inte dynamiskt kan registrera DNS-poster i en zon för vidarebefordran av en etikett

Om du använder ett DNS-namn med en etikett i din miljö kanske klienterna inte kan registrera DNS-poster dynamiskt i en zon för vidarebefordran av en etikett. Specifika symptom varierar beroende på vilken version av Microsoft Windows som är installerad.

I följande lista beskrivs de symptom som kan uppstå:

  • När du har konfigurerat Microsoft Windows för ett domännamn med en enda etikett kan det hända att alla servrar som har rollen domänkontrollant inte kan registrera DNS-poster. Systemloggen för domänkontrollanten kan konsekvent logga NETLOGON 5781-varningar som liknar följande exempel:

    Obs!

    Statuskoden 0000232a mappar till följande felkod:

    DNS_ERROR_RCODE_SERVER_FAILURE

  • Följande ytterligare statuskoder och felkoder kan visas i loggfiler som Netdiag.log:

    DNS-felkod: 0x0000251D = DNS_INFO_NO_RECORDS
    DNS_ERROR_RCODE_ERROR
    RCODE_SERVER_FAILURE

  • Windows-baserade datorer som har konfigurerats för dynamiska DNS-uppdateringar registreras inte i en enda etikettdomän. Varningshändelser som liknar följande exempel registreras i datorns systemlogg:

Så här gör du det möjligt för Windows-baserade klienter att göra frågor och dynamiska uppdateringar med DNS-zoner med enkel etikett

Som standard skickar Windows inte uppdateringar till toppnivådomäner. Du kan dock ändra det här beteendet genom att använda någon av metoderna som beskrivs i det här avsnittet. Använd någon av följande metoder för att göra det möjligt för Windows-baserade klienter att göra dynamiska uppdateringar av DNS-zoner med en etikett.

Utan ändringar använder inte en Active Directory-domänmedlem i en skog som inte innehåller några domäner som har DNS-namn med enkel etikett DNS-namn för att hitta domänkontrollanter i domäner som har DNS-namn med en enda etikett som finns i andra skogar. Klientåtkomsten till de domäner som har DNS-namn med enkel etikett misslyckas om NetBIOS-namnmatchningen inte är korrekt konfigurerad.

Metod 1: Använd Registry Editor

  • Konfiguration av positionerare för domänkontrollant för Windows XP Professional och senare versioner av Windows

    Viktigt

    Det här avsnittet, metoden eller uppgiften innehåller steg som beskriver hur du ändrar registret. Det kan uppstå allvarliga problem om du gör detta felaktigt. Följ därför instruktionerna noga, och säkerhetskopiera registret innan du gör några ändringar i det. Då kan du återställa registret om det uppstår problem. Mer information finns i Säkerhetskopiera och återställa registret i Windows.

    På en Windows-baserad dator kräver en Active Directory-domänmedlem ytterligare konfiguration för att stödja DNS-namn med en enda etikett för domäner. Mer specifikt använder inte domänkontrollantens positionerare i Active Directory-domänmedlemmen DNS-servertjänsten för att hitta domänkontrollanter i en domän som har ett DNS-namn med en enda etikett, såvida inte active directory-domänmedlemmen är ansluten till en skog som innehåller minst en domän och den här domänen har ett DNS-namn med en enda etikett.

    Följ dessa steg om du vill göra det möjligt för en Active Directory-domänmedlem att använda DNS för att hitta domänkontrollanter i domäner som har DNS-namn med en enda etikett som finns i andra skogar:

    1. Välj Start, kör, skriv regedit och välj sedan OK.

    2. Leta upp och välj sedan följande undernyckel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

    3. Leta upp posten AllowSingleLabelDnsDomain i informationsfönstret. Om posten AllowSingleLabelDnsDomain inte finns följer du dessa steg:

      1. redigera-menyn pekar du på Nytt och väljer sedan DWORD-värde.
      2. Skriv AllowSingleLabelDnsDomain som postnamn och tryck sedan på RETUR.

    4. Dubbelklicka på posten AllowSingleLabelDnsDomain .

    5. I rutan Värdedata skriver du 1 och väljer sedan OK.

    6. Avsluta Registereditorn.

  • DNS-klientkonfiguration

    Viktigt

    Det här avsnittet, metoden eller uppgiften innehåller steg som beskriver hur du ändrar registret. Det kan uppstå allvarliga problem om du gör detta felaktigt. Följ därför instruktionerna noga, och säkerhetskopiera registret innan du gör några ändringar i det. Då kan du återställa registret om det uppstår problem. Mer information finns i Säkerhetskopiera och återställa registret i Windows.

    Active Directory-domänmedlemmar och domänkontrollanter som finns i en domän som har ett DNS-namn med en enda etikett måste vanligtvis dynamiskt registrera DNS-poster i en DNS-zon med en enda etikett som matchar DNS-namnet för den domänen. Om en Active Directory-skogsrotsdomän har ett DNS-namn med en enda etikett måste alla domänkontrollanter i skogen normalt dynamiskt registrera DNS-poster i en DNS-zon med en enda etikett som matchar DNS-namnet på skogsroten.

    Som standard försöker Windows-baserade DNS-klientdatorer inte att göra dynamiska uppdateringar av rotzonen "" eller DNS-zoner med en enda etikett. Följ dessa steg för att aktivera Windows-baserade DNS-klientdatorer för att prova dynamiska uppdateringar av en DNS-zon med en enda etikett:

    1. Välj Start, kör, skriv regedit och välj sedan OK.

    2. Leta upp och välj sedan följande undernyckel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DnsCache\Parameters

    3. Leta upp posten UpdateTopLevelDomainZones i informationsfönstret . Om posten UpdateTopLevelDomainZones inte finns följer du dessa steg:

      1. redigera-menyn pekar du på Nytt och väljer sedan DWORD-värde.
      2. Skriv UpdateTopLevelDomainZones som postnamn och tryck sedan på RETUR.

    4. Dubbelklicka på posten UpdateTopLevelDomainZones .

    5. I rutan Värdedata skriver du 1 och väljer sedan OK.

    6. Avsluta Registereditorn.

    Dessa konfigurationsändringar bör tillämpas på alla domänkontrollanter och medlemmar i en domän som har DNS-namn med en enda etikett. Om en domän som har ett domännamn med en enda etikett är en skogsrot, bör dessa konfigurationsändringar tillämpas på alla domänkontrollanter i skogen, såvida inte de separata zonerna _msdcs. ForestName, _sites. ForestName, _tcp. ForestName, and_udp. ForestName delegeras från ForestName-zonen .

    Starta om datorerna där du ändrade registerposterna för att ändringarna ska börja gälla.

    Obs!

    • För Windows Server 2003 och senare versioner har posten UpdateTopLevelDomainZones flyttats till följande registerundernyckel:
      HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient
    • På en Microsoft Windows 2000 SP4-baserad domänkontrollant rapporterar datorn följande namnregistreringsfel i systemhändelseloggen om inställningen UpdateTopLevelDomainZones inte är aktiverad:
    • På en Windows 2000 SP4-baserad domänkontrollant måste du starta om datorn när du har lagt till inställningen UpdateTopLevelDomainZones.

Metod 2: Använd grupprincip

Använd grupprincip för att aktivera principen Uppdatera toppnivådomänzoner och platsen för domänkontrollanterna som är värd för en domän med dns-namnprincip med en etikett enligt följande tabell under mappplatsen på rotdomäncontainern i Användare och datorer, eller på alla organisationsenheter (ORGANISATIONsenheter) som är värdar för datorkonton för medlemsdatorer. och för domänkontrollanter i domänen.

Politik Mappplats
Uppdatera toppnivådomänzoner Datorkonfiguration\Administrativa mallar\Nätverk\DNS-klient
Plats för de domänkontrollanter som är värd för en domän med DNS-namn med enkel etikett Datorkonfiguration\Administrativa mallar\System\Net-inloggning\DC Locator DNS-poster

Obs!

Dessa principer stöds endast på Windows Server 2003-baserade datorer och på Windows XP-baserade datorer.

Följ dessa steg i rotdomäncontainern för att aktivera dessa principer:

  1. Välj Start, välj Kör, skriv gpedit.msc och välj sedan OK.
  2. Under Princip för lokal dator expanderar du Datorkonfiguration.
  3. Expandera Administrativa mallar.
  4. Aktivera principen Uppdatera toppnivådomänzoner. Följ dessa steg för att göra detta:
    1. Expandera Nätverk.
    2. Välj DNS-klient.
    3. Dubbelklicka på Uppdatera toppnivådomänzoner i informationsfönstret.
    4. Välj Aktiverad.
    5. Välj Använd och välj sedan OK.
  5. Aktivera platsen för domänkontrollanterna som är värd för en domän med dns-namnprincip med enkel etikett. Gör så här:
    1. Expandera System.
    2. Expandera Net-inloggning.
    3. Välj DC Locator DNS-poster.
    4. I informationsfönstret dubbelklickar du på Plats för de domänkontrollanter som är värdar för en domän med DNS-namn med en etikett.
    5. Välj Aktiverad.
    6. Välj Använd och välj sedan OK.
  6. Avsluta grupprincip.

På WINDOWS Server 2003-baserade och senare versioner av DNS-servrar kontrollerar du att rotservrarna inte skapas oavsiktligt.

På Windows 2000-baserade DNS-servrar kan du behöva ta bort rotzonen "." för att DNS-posterna ska deklareras korrekt. Rotzonen skapas automatiskt när DNS-servertjänsten installeras eftersom DNS-servertjänsten inte kan nå rottipsen. Det här problemet korrigerades i senare versioner av Windows.

Rotservrar kan skapas av DCpromo-guiden. Om zonen "." finns har en rotserver skapats. För att namnmatchningen ska fungera korrekt kan du behöva ta bort den här zonen.

Nya och ändrade DNS-principinställningar för Windows Server 2003 och senare versioner

  • Principen Uppdatera toppnivådomänzoner

    Om den här principen anges skapas en REG_DWORD UpdateTopLevelDomainZones post under följande registerundernyckel: HKLM\Software\Policies\Microsoft\Windows NT\DNSClient
    Följande är postvärdena för UpdateTopLevelDomainZones: - Enabled (0x1). En 0x1 inställning innebär att datorer kan försöka uppdatera TopLevelDomain-zonerna. UpdateTopLevelDomainZones Om inställningen är aktiverad skickar datorer som den här principen tillämpas på dynamiska uppdateringar till alla zoner som är auktoritativa för de resursposter som datorn måste uppdatera, förutom rotzonen. - Inaktiverad (0x0). En 0x0 inställning innebär att datorer inte tillåts att försöka uppdatera TopLevelDomain-zonerna. Om den här inställningen är inaktiverad skickar datorer som den här principen tillämpas på inte dynamiska uppdateringar till rotzonen eller till de toppnivådomänzoner som är auktoritativa för de resursposter som datorn måste uppdatera. Om den här inställningen inte har konfigurerats tillämpas inte principen på några datorer och datorer använder sin lokala konfiguration.

  • Principen Registrera PTR-poster

    Ett nytt möjligt värde, 0x2, för REG_DWORD RegisterReverseLookup posten lades till under följande registerundernyckel:
    HKLM\Software\Policies\Microsoft\Windows NT\DNSClient

    Följande är postvärdena för RegisterReverseLookup: - 0x2. Registrera endast om "A"-postregistreringen lyckas. Datorer försöker bara implementera registrering av PTR-resursposter om de har registrerat motsvarande "A"-resursposter. - 0x1. Registrera dig. Datorer försöker implementera registrering av PTR-resursposter oavsett om registreringen av "A"-poster lyckas. - 0x0. Registrera dig inte. Datorer försöker aldrig implementera registrering av PTR-resursposter.

Referenser