Active Directory 中计算机、域、站点和 OU 的命名约定

本文介绍 windows、NetBIOS 域名、DNS 域名、Active Directory 站点和组织单位中的计算机帐户的命名约定， (OU) Active Directory 域服务 (AD DS) 中定义。

适用于：Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012
原始 KB 编号： 909264

摘要

本文讨论了以下主题：

• 名称的有效字符
• 最小和最大名称长度
• 保留名称
• 不推荐的名称
• 有关在小型、中型和大型部署中支持 AD DS 的一般建议

在 AD DS、Active Directory 应用程序模式 (ADAM) 或 Active Directory 轻型目录服务 (AD LDS) 中命名的所有对象都受基于以下文章中所述算法的名称匹配过程的约束：

不能添加仅与带有音调符号的字符不同的用户名或对象名称。

在本文中，此命名约定适用于计算机名称、OU 名称和站点名称。

计算机名称

NetBIOS 计算机名称

• 允许的字符： NetBIOS 计算机名称可以包含所有字母数字字符，但以下不允许字符列表中显示的扩展 字符 除外。 名称可以包含句点，但名称不能以句点开头。

  注意

  Microsoft Windows NT允许非 DNS 名称具有句点。 不应在 Windows 中使用句点。 如果要升级其 NetBIOS 名称包含句点的计算机，请更改计算机名称。 有关详细信息，请参阅本节后面的 特殊字符 。

• 不允许的字符： NetBIOS 计算机名称不能包含以下字符：

  • 反斜杠 (\)
  • 斜杠 (/)
  • 冒号 (:)
  • 星号 (*)
  • 问号 (?)
  • 引号 (")
  • 小于签名 (<)
  • 大于符号 (>)
  • 竖线 (|)
  • 作为 Active Directory 域成员的计算机不能具有仅包含数字的名称。 这是 DNS 限制。

  有关 NetBIOS 名称语法的更多信息，请参阅 NetBIOS 名称语法。

• 名称长度规则：

  • 最小名称长度：一个字符
  • 最大名称长度：15 个字符

    注意

    NetBIOS 计算机名称的第 16 个字符用于标识在已注册的网络设备上安装的功能。

• 保留名称： 请参阅 保留字表。

• 特殊字符： 句点 (.)

  句点字符将名称划分为 NetBIOS 范围标识符和计算机名称。 NetBIOS 范围标识符是可选字符串，用于标识在同一物理 TCP/IP 网络上运行的逻辑 NetBIOS 网络。 要使 NetBIOS 在计算机之间工作，计算机必须具有相同的 NetBIOS 范围标识符和唯一的计算机名称。

  名称中使用 NetBIOS 范围是旧式配置。 不应在 Active Directory 林中使用它。 有关 NetBIOS 范围的详细信息，请参阅 RFC) 文档 (注释请求：

  • RFC 1001：TCP/UDP 传输上的 NetBIOS 服务的协议标准：概念和方法
  • RFC 1002：TCP/UDP 传输上的 NetBIOS 服务的协议标准：详细规范

DNS 主机名

• 允许的字符： DNS 名称只能包含 A-Z) (字母字符、 (0-9) 的数字字符、减号 (-) 以及句点 (.) 。 仅当句点字符用于分隔域样式名称的组件时，才允许使用句点字符。

  Windows 域名系统 (DNS) 支持 Unicode 字符。 其他 DNS 实现不支持 Unicode 字符。 如果查询将传递至使用 DNS 的非 Microsoft 实现的服务器，请避免使用 Unicode 字符。 有关详细信息，请参阅以下 RFC：

  • RFC 952：DOD Internet 主机表规范
  • RFC 1123：Internet 主机的要求 - 应用程序和支持

• 不允许的字符： DNS 主机名不能包含以下字符：

  • 逗号 (,)
  • 波形符 (~)
  • 冒号 (:)
  • 感叹号 (!)
  • At 符号 (@)
  • 数字符号 (#)
  • 美元符 ($)
  • 百分比符号 (%)
  • 脱字号 (^)
  • 与号 (&)
  • 撇号 (')
  • 句点 (.)
  • 圆括号 (())
  • 花括号 ({})
  • 下划线字符 (_)
  • 空格 ( )

    注意

    • 下划线具有特殊作用。 RFC 定义允许 SRV 记录中的第一个字符。 但是，较新的 DNS 服务器可能还允许它在名称中的任何位置。 有关详细信息，请参阅遵守主机和域的名称限制。

    • DNS 主机名注册过程将连字符 ( ) 字符替换为无效字符。

• 名称长度规则：

  • 域控制器的 FQDN 必须小于 155 字节。
  • 最小名称长度：两个字符
  • 最大名称长度：63 字符

    注意

    • 如果使用 UTF-8 (Unicode) 字符，请记住，某些 UTF-8 字符的长度超过一个八进制数。 在这种情况下，无法通过对字符进行计数来确定名称的大小。 主机名和完全限定域名 (FQDN) 的最大大小为每个标签 63 字节，每个 FQDN 255 字节。

    • Windows 不允许计算机名称超过 15 个字符，并且不能指定不同于 NetBIOS 主机名的 DNS 主机名。 但是，你可以为托管在计算机上的网站创建主机标头。 在这种情况下，主机标头受此规则的约束。

• DNS 主机名的其他规则：

  • 所有字符保留其大小写格式，American Standard Code for Information Interchange (ASCII) 字符除外。
  • DNS 主机名中的第一个字符必须是字母或数字。
  • 最后一个字符不能是减号或句点。
  • 无法使用 已知 SDD 列表中 列出的双字符安全描述符定义语言 (SDDL) 用户字符串。 否则，导入、导出和控制操作会失败。
  • 作为 Active Directory 域成员的计算机不能具有仅包含数字的名称。 这是 DNS 限制。

• 每个 RFC 的保留名称： 有关详细信息，请参阅 RFC 952。

  • 网关
  • Gw
  • 战术

• Windows 中的保留名称： 请参阅 保留字表。

• 最佳做法： 在 Windows DNS 基础结构中为计算机创建名称时，请遵循以下准则：

  • 使用用户容易记住的计算机名称。

  • 在计算机名称中标识计算机的所有者。

  • 使用描述计算机用途的名称。

  • 将 Active Directory 域名与计算机名称的主 DNS 后缀进行匹配。 有关详细信息，请参阅 脱节命名空间。

  • 为组织中的每个计算机使用唯一的名称。 避免对不同 DNS 域中的计算机使用相同的计算机名称。

  • 使用 ASCII 字符。 这可以保证与未运行 Windows 的计算机的互操作性。

  • 使用 ASCII 字符时，不要使用字符大小写来指示计算机的所有者或用途。 对于 ASCII 字符，DNS 不区分大小写。 Windows 和 Windows 应用程序不会在所有情况下保留大小写。

  • 仅使用 RFC 1123 中列出的字符。 这些字符包括 A-Z、0-9 和连字符 (-)。 Windows DNS 允许名称中的大多数 UTF-8 字符。 请勿使用扩展的 ASCII 或 UTF-8 字符，除非你环境中的所有 DNS 服务器支持这些字符。

域名

以下部分介绍 NetBIOS 域名和 DNS 域名。

NetBIOS 域名

• 允许的字符： NetBIOS 域名可以包含除“不允许字符”列表中显示的扩展字符之外的所有字母数字 字符 。 名称可以包含句点，但名称不能以句点开头。

  注意

  Microsoft Windows NT允许非 DNS 名称具有句点。 不应在 Active Directory NetBIOS 域名中使用句点。 如果要升级其 NetBIOS 名称包含句点的计算机，请通过将域迁移到新的域结构来更改名称。 不要在新 NetBIOS 域名中使用句点。

  以前允许 NetBIOS 域名中的和 (&) 字符，并且仅出于历史目的而受支持。 不要创建新的 Active Directory 域，其 NetBIOS 域名包含和 (&) 字符。

• 不允许的字符： DNS 主机名检查函数验证 NetBIOS 域名。 这些名称不能包含以下字符：

  • 逗号 (,)
  • 波形符 (~)
  • 冒号 (:)
  • 感叹号 (!)
  • At 符号 (@)
  • 数字符号 (#)
  • 美元符 ($)
  • 百分比符号 (%)
  • 脱字号 (^)
  • 撇号 (')
  • 句点 (.)
  • 圆括号 (())
  • 花括号 ({})
  • 下划线字符 (_)
  • 空格 ( )
  • 反斜杠 (\)
  • 斜杠 (/)

    注意

    作为 Active Directory 域成员的计算机不能具有仅包含数字的名称。 这是 DNS 限制。

• 名称长度规则：

  • 最小名称长度：一个字符
  • 最大名称长度：15 个字符

    注意

    保留名称的第 16 个字符，用于标识在已注册的网络设备上安装的功能。

• Windows 中的保留名称： 请参阅 保留字表。 已升级域的名称可以包含保留字。 但是，在这种情况下与其他域的信任关系会失败。

• 特殊字符： 句点 (.)

  句点字符将名称划分为 NetBIOS 范围标识符和计算机名称。 NetBIOS 范围标识符是可选字符串，用于标识在同一物理 TCP/IP 网络上运行的逻辑 NetBIOS 网络。 要使 NetBIOS 在计算机之间工作，计算机必须具有相同的 NetBIOS 范围标识符和唯一的计算机名称。

  重要

  名称中使用 NetBIOS 范围是旧式配置。 不应在 Active Directory 林中使用它。 这不是固有的问题。 但是，如果找到句点，某些应用程序可能会筛选名称并假定 DNS 名称。

DNS 域名

• 允许的字符： DNS 名称只能包含 A-Z) (字母字符、 (0-9) 的数字字符、减号 (-) 以及句点 (.) 。 仅当句点字符用于分隔域样式名称的组件时，才允许使用句点字符。

  Windows DNS 支持 Unicode 字符。 其他 DNS 实现不支持 Unicode 字符。 如果查询将传递至使用 DNS 的非 Microsoft 实现的服务器，请避免使用 Unicode 字符。 有关详细信息，请参阅 RFC 952 和 RFC 1123。

• 不允许的字符： DNS 域名不能包含以下字符：

  • 逗号 (,)
  • 波形符 (~)
  • 冒号 (:)
  • 感叹号 (!)
  • At 符号 (@)
  • 数字符号 (#)
  • 美元符 ($)
  • 百分比符号 (%)
  • 脱字号 (^)
  • 与号 (&)
  • 撇号 (')
  • 句点 (.)
  • 圆括号 (())
  • 花括号 ({})
  • 下划线字符 (_)
  • 空格 ( )

    注意

    下划线具有特殊作用。 RFC 定义允许 SRV 记录中的第一个字符。 但较新的 DNS 服务器可能还允许它在名称中的任何位置。 创建域时，会收到一条警告消息，指出下划线字符可能会导致某些 DNS 服务器出现问题。 但是，你仍然可以创建域。 有关详细信息，请参阅遵守主机和域的名称限制。

• 其他规则：

  • 所有字符会保留其大小写格式，ASCII 字符除外。
  • 第一个字符必须是字母或数字。
  • 最后一个字符不能是减号或句点。

• 名称长度规则：

  • 最小名称长度：两个字符

  • 最大名称长度：255 字符。

    注意

    如果使用 UTF-8 (Unicode) 字符，请记住，某些 UTF-8 字符的长度超过一个八进制数。 在这种情况下，无法通过对字符进行计数来确定名称的大小。 主机名和 FQDN 的最大大小为每个标签 63 个字节，每个 FQDN 的最大大小为 255 个字节。

  • 最大名称长度取决于路径的要求 SYSVOL 以及 MAX_PATH 260 个字符的限制。
    中的 SYSVOL 路径类似于以下示例：

    \\<FQDN domain name>\sysvol\<FQDN domain name>\policies\{<policy GUID>}\[user|machine]\<CSE-specific path>
    

    注意

    • AD FQDN 域名在路径中出现两次。 因此，AD FQDN 域名的长度限制为 64 个字符。

    • <CSE 特定的路径>可能包含用户输入，例如登录脚本文件名。 因此，它可以非常长。

• 单标签域命名空间： 单标签 DNS 名称是不包含后缀的名称，例如 .com、 .corp、 .net、 .org或 companyname。 例如，host 是一个单标签 DNS 名称。 多数 Internet 注册机构不允许注册单标签 DNS 名称。

  通常，我们建议你在 Internet 注册机构中为内部和外部命名空间注册 DNS 域名。 这包括 Active Directory 域的 DNS 名称，除非这类名称是依据组织的名称注册的 DNS 名称的子域。 例如，corp.example.com 是 example.com 的子域。 向 Internet 注册机构注册你的 DNS 名称可帮助防止名称冲突。 如果另一个组织尝试注册相同的 DNS 名称，或者你的组织与使用相同 DNS 名称的另一个组织合并，则可能会出现名称冲突。

  与单标签命名空间相关的问题包括：

  • 单标签 DNS 名称不能使用 Internet 注册机构注册。
  • 使用单标签 DNS 名称的域需要进行额外的配置。
  • DNS 服务器服务无法在具有单标签 DNS 名称的域中找到域控制器。
  • 默认情况下，Windows 域成员不会为单标签 DNS 区域提供动态更新。 有关详细信息，请参阅使用单标签 DNS 名称配置的 Active Directory 域的部署和操作。

• 保留名称： 请参阅 保留字表。 不要在 Intranet 上使用顶级 Internet 域名，例如 .com、 .net和 .org 。 如果在 Intranet 上使用顶级 Internet 域名，则 Intranet 上也连接到 Internet 的计算机可能会遇到解决错误。 此外，避免使用 Internet 标准特殊功能中使用的名称，例如 .local。

非连续命名空间

如果计算机的主 DNS 后缀与作为其成员的 DNS 域不匹配，则会发生不连续的命名空间。 例如，如果 DNS 名称为 的计算机位于 DNS 名称 dc1.contosocorp.com 为 的域中，则会发生不连续的 contoso.com命名空间。

非连续命名空间出现的原因。

• Windows NT 4.0 主域控制器使用原始版本 Windows 2000 Server 升级到 Windows 2000 Server 域控制器。 在 控制面板 的“网络”项中，定义了多个 DNS 后缀。
• 当林处于 Windows Server 2003 林功能级别时，域将重命名。 此外，主 DNS 后缀不会更改以反映新的 DNS 域名。

非连续命名空间的影响：

假设名为 DC1 的域控制器位于 NetBIOS 域名为 contoso的 Windows NT 4.0 域中。 此域控制器已升级到 Windows 2000 Server。 发生此升级时，DNS 域会重命名为 contoso.com。 在 Windows 2000 Server 的原始发行版中，升级例程将清除将域控制器的主 DNS 后缀链接到其 DNS 域名的复选框。 因此，域控制器的主要 DNS 后缀是在 Windows NT 4.0 后缀搜索列表中定义的 Windows NT 4.0 DNS 后缀。 在此示例中，DNS 名称为 DC1.northamerica.contoso.com。

域控制器会在与 DNS 域名对应的 DNS 区域中，动态注册其服务位置 (SRV) 记录。 但是，域控制器会在与主 DNS 后缀对应的 DNS 区域中，注册其主机记录。

有关不连续命名空间的详细信息，请参阅以下文章：

• 基于 Windows 的计算机上发生事件 ID 5788 和 5789
• 创建非连续命名空间

其他因素

• 连接到 Internet 的林： 连接到 Internet 的 DNS 命名空间必须是 Internet DNS 命名空间的顶级或第二级域的子域。

• 林中的最大域数： 在 Windows Server 中，林功能级别 2 的最大域数为 1,200。 此限制是 Windows Server 中多值非链接属性的限制。

• 最佳实践：

  • 需要名称解析的所有节点的 DNS 名称包括组织的 Internet DNS 域名。 因为 DNS 是分层的，当你向组织添加子域时，DNS 域名会增长。 因此，应选择一个简短且易于记住的 Internet DNS 域名。 短域名使计算机名称也易于记住。

  • 如果组织具有 Internet 状态，请使用相对于已注册的 Internet DNS 域名的名称。 例如，如果已注册 Internet DNS 域名 contoso.com，请使用 DNS 域名（例如 corp.contoso.com ）作为 Intranet 域名。

  • 请勿使用现有公司或产品的名称作为域名。 这样做可能会导致以后发生名称冲突。

  • 避免使用泛型名称，例如 domain.localhost。 这是因为你将来合并的另一家公司可能会遵循相同的做法。

  • 请勿使用首字母缩略词或缩写作为域名。 用户可能难以识别首字母缩略词表示的业务单位。

  • 避免在域名中使用下划线 (_)。 应用程序可能非常听从 RFC，并拒绝该名称。 它们可能也无法在你的域中安装或工作。 你还可能会遇到影响较旧 DNS 服务器的问题。

  • 请勿使用业务部门或部门的名称作为域名。 业务部门和其他部门发生更改，这些域名可能会误导或过时。

  • 请勿使用难以拼写和不易记住的地理名称。

  • 避免从根域扩展 DNS 域名层次结构超过五个级别。 你可以通过限制域名层次结构的范围来降低管理成本。

  • 如果要在专用网络中部署 DNS，并且不打算创建外部命名空间，请注册为内部域创建的 DNS 域名。 否则，如果你尝试在 Internet 上使用它，或者连接到连接到 Internet 的网络，你可能会发现该名称不可用。

网站名称

我们建议你在创建新站点名称时使用有效的 DNS 名称。 否则，只有在使用 Microsoft DNS 服务器的地方，你的站点才可用。 有关有效 DNS 名称的更多信息，请参阅 DNA 主机名部分。

• 允许的字符： DNS 名称只能包含 A-Z) (字母字符、 (0-9) 的数字字符、减号 (-) 以及句点 (.) 。 仅当句点字符用于分隔域样式名称的组件时，才允许使用句点字符。

  Windows DNS 支持 Unicode 字符。 其他 DNS 实现不支持 Unicode 字符。 如果查询将传递至使用 DNS 的非 Microsoft 实现的服务器，请避免使用 Unicode 字符。 有关详细信息，请参阅 RFC 952 和 RFC 1123。

• 不允许的字符： DNS 名称不能包含以下字符：

  • 逗号 (,)
  • 波形符 (~)
  • 冒号 (:)
  • 感叹号 (!)
  • At 符号 (@)
  • 数字符号 (#)
  • 美元符 ($)
  • 百分比符号 (%)
  • 脱字号 (^)
  • 与号 (&)
  • 撇号 (')
  • 句点 (.)
  • 圆括号 (())
  • 花括号 ({})
  • 下划线字符 (_)
  • 空格 ( )

    注意

    下划线具有特殊作用。 RFC 定义允许 SRV 记录中的第一个字符。 但较新的 DNS 服务器可能还允许它在名称中的任何位置。 有关详细信息，请参阅遵守主机和域的名称限制。

• 其他规则：

  • 除 ASCII 字符之外的所有字符都保留其大小写格式。
  • 第一个字符必须是字母或数字。
  • 最后一个字符不能是减号或句点。

• 名称长度规则：

  • 最小名称长度：一个字符
  • 最大名称长度：63 字符

    注意

    如果使用 UTF-8 (Unicode) 字符，请记住，某些 UTF-8 字符的长度超过一个八进制数。 在这种情况下，无法通过对字符进行计数来确定名称的大小。 DNS 名称的最大长度为每个标签 63 个字节。

OU 名称

• 允许的字符： 允许所有字符，甚至扩展字符。 虽然 Active Directory 用户和计算机允许你使用扩展字符命名 OU，但我们建议你使用描述 OU 用途的名称，并且尽可能简短以便于管理。 轻型目录访问协议 (LDAP) 没有任何限制，因为对象的 CN 被置于引号中。

• 不允许的字符： 不允许任何字符。

• 名称长度规则：

  • 最小名称长度：一个字符
  • 最大名称长度：64 字符

OU 的特殊问题

当域根级别的 OU 具有与未来子域相同的名称时，你可能会遇到数据库问题。 请考虑删除名为 marketing 的 OU 以创建具有相同名称的子域的方案。 例如， marketing.contoso.com (子域 FQDN 名称的最左侧标签) 具有相同的名称。

删除 OU。 在已删除 OU 的逻辑删除生存期内，创建具有相同名称的子域。 然后，删除子域，然后第二次创建它。 在这种情况下，当重新创建子域时，ESE 数据库中重复的记录名称会导致虚构的名称冲突。 此问题阻止复制 Active Directory 配置容器。

保留字表