Active Directory 對電腦、網域、網站及 OU 的命名慣例

本文說明 Windows 中電腦帳戶的命名慣例、NetBIOS 功能變數名稱、DNS 功能變數名稱、Active Directory 網站，以及 Active Directory 網域服務 (AD DS) 中定義的組織單位 (OU) 。

適用於：Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2 Windows Server 2012
原始 KB 編號： 909264

摘要

本文討論下列主題：

• 名稱的有效字元
• 名稱長度最小值和最大值
• 保留名稱
• 我們不建議使用的名稱
• 支援小型、中型和大型部署中 AD DS 的一般建議

在 AD DS、Active Directory 應用模式 (ADAM) 或 Active Directory 羽量型目錄服務 (AD LDS) 中命名的所有物件，都受限於根據下列文章所述之演算法的名稱比對程式：

您無法新增使用者名稱或只有變音符號字元不同的物件名稱。

在該文章中，此命名慣例適用於計算機名稱、OU 名稱和網站名稱。

電腦名稱

NetBIOS 電腦名稱

• 允許的字元： NetBIOS 計算機名稱可以包含所有英數位元，但下列不允許的字元清單中顯示的擴充 字元 除外。 名稱可包含句號，但不可以句號開始。

  注意事項

  Microsoft Windows NT 允許非 DNS 名稱具有句點。 期間不應該在 Windows 中使用。 如果您要升級 NetBIOS 名稱包含句點的電腦，請變更計算機名稱。 如需詳細資訊，請參閱本節稍後 的特殊字元 。

• 不允許的字元： NetBIOS 電腦名稱不能包含下列字元：

  • 反斜杠 (\)
  • 斜線 (/)
  • 冒號 (:)
  • 星號 (*)
  • 問號 (?)
  • 引號 (")
  • 小於符號 (<)
  • 大於符號 (>)
  • 分隔號 (|)
  • 屬於 Active Directory 網域成員的電腦不能有只包含數值的名稱。 這是 DNS 限制。

  如需有關 NetBIOS 名稱語法的詳細資訊，請參閱 NetBIOS 名稱語法。

• 名稱長度規則：

  • 名稱長度下限：一個字元
  • 名稱長度上限：15 個字元

    注意事項

    NetBIOS 計算機名稱的第16個字元會保留以識別已註冊網路裝置上所安裝的功能。

• 保留名稱： 請參閱 保留字表。

• 特殊字元： period (.)

  句號字元會將名稱分成 NetBIOS 範圍標識碼和計算機名稱。 NetBIOS 範圍識別碼為選用的字元字串，可辨識在相同實體 TCP/IP 網路上執行的邏輯性 NetBIOS 網路。 為了讓 NetBIOS 在電腦間運作，電腦必須具備相同的 NetBIOS 範圍識別碼與唯一的電腦名稱。

  在名稱中使用 NetBIOS 範圍是舊版設定。 它不應該用於 Active Directory 樹系。 如需 NetBIOS 範圍的詳細資訊，請參閱下列 RFC) 檔 (批注要求：

  • RFC 1001：TCP/UDP 傳輸上 NetBIOS 服務的通訊協議標準：概念和方法
  • RFC 1002：TCP/UDP 傳輸上 NetBIOS 服務的通訊協定標準：詳細規格

DNS 主機名稱

• 允許的字元： DNS 名稱只能包含 A-Z) (字母字元、數值字元 (0-9) 、減號 ( ) ，以及句號 (.) 。 只有在用來分隔域樣式名稱的元件時，才允許句點字元。

  Windows 功能變數名稱系統 (DNS) 支援 Unicode 字元。 其他 DNS 實作不支援 Unicode 字元。 如果查詢會傳遞至使用非 Microsoft 實作的 DNS 伺服器，請避免使用 Unicode 字元。 如需詳細資訊，請參閱下列 RFC：

  • RFC 952：DOD 因特網主機數據表規格
  • RFC 1123：因特網主機的需求--應用程式和支援

• 不允許的字元： DNS 主機名稱不能包含下列字元：

  • 逗號 (,)
  • 波狀符號 (~)
  • 冒號 (:)
  • 驚嘆號 (!)
  • @ 記號 (@)
  • 數字記號 (#)
  • 貨幣符號 ($)
  • 百分比符號 (%)
  • 插入號 (^)
  • & 符號 (&)
  • 單引號 (')
  • 句號 (.)
  • 括號 (())
  • 大括號 ({})
  • 底線 (_)
  • 空白字元 (空白)

    注意事項

    • 底線具有特殊角色。 RFC 定義允許使用 SRV 記錄中的第一個字元。 不過，較新的 DNS 伺服器也可能允許它出現在名稱中的任何位置。 如需詳細資訊，請參閱符合主機和網域的名稱限制。

    • DNS 主機名註冊程式會將連字元 ( ) 字元取代為無效字元。

• 名稱長度規則：

  • 域控制器的 FQDN 必須小於 155 個字節。
  • 名稱長度下限：兩個字元
  • 名稱長度上限：63 個字元

    注意事項

    • 如果您使用 UTF-8 (Unicode) 字元，請記住，某些 UTF-8 字元的長度超過一個八位字元。 在此情況下，您無法藉由計算字元來判斷名稱的大小。 (FQDN) 的主機名和完整域名大小上限是每個標籤 63 個字節，每個 FQDN 255 個字節。

    • Windows 不允許超過 15 個字元的電腦名稱，而且您無法指定與 NetBIOS 主機名不同的 DNS 主機名。 不過，您可以為計算機上裝載的網站建立主機標頭。 在此情況下，主機標頭會受限於此規則。

• DNS 主機名的其他規則：

  • 除了「美國訊息交換標準代碼」(ASCII)字元以外，所有字元皆保留其大小寫格式。
  • DNS 主機名中的第一個字元必須是字母或數值。
  • 最後一個字元不得為減號或句號。
  • 無法使用雙字元安全描述符定義語言 (SDDL) 列在已知 SID 清單 中的使用者字串。 否則，匯入、匯出及控制權作業都會失敗。
  • 屬於 Active Directory 網域成員的電腦不能有只包含數值的名稱。 這是 DNS 限制。

• 每個 RFC 的保留名稱： 如需詳細資訊，請參閱 RFC 952。

  • 閘道
  • Gw
  • 戰術

• Windows 中的保留名稱： 請參閱 保留字表。

• 最佳做法： 當您在 Windows DNS 基礎結構中建立電腦的名稱時，請遵循下列指導方針：

  • 使用使用者容易記住的計算機名稱。

  • 以電腦名稱識別電腦擁有者。

  • 使用描述電腦用途的名稱。

  • 將 Active Directory 網域名稱與電腦名稱的主要 DNS 尾碼進行比對。 如需詳細資訊，請參閱 脫離的命名空間。

  • 將組織的每台電腦皆使用唯一的名稱。 請避免針對不同 DNS 網域中的電腦使用相同的電腦名稱。

  • 使用 ASCII 字元。 這可保證與未執行 Windows 的電腦互操作性。

  • 當您使用 ASCII 字元時，請勿使用字元大小寫來指出電腦的擁有者或用途。 對於 ASCII 字元，DNS 不會區分大小寫。 Windows 和 Windows 應用程式不會在所有情況下保留大小寫。

  • 只使用 RFC 1123 中列出的字元。 這些字元包括 A-Z、a-z、0-9 及連字號 (-)。 Windows DNS 允許名稱中大部分的 UTF-8 字元。 請勿使用擴充的 ASCII 或 UTF-8 字元，除非環境中所有 DNS 伺服器皆支援。

網域名稱

下列各節說明 NetBIOS 功能變數名稱和 DNS 功能變數名稱。

NetBIOS 網域名稱

• 允許的字元： NetBIOS 功能變數名稱可以包含所有英數位元，但出現在 [不允許的字元 ] 清單中的擴充字元除外。 名稱可包含句號，但不可以句號開始。

  注意事項

  Microsoft Windows NT 允許非 DNS 名稱具有句點。 期間不應該用於 Active Directory NetBIOS 功能變數名稱。 如果您要升級 NetBIOS 名稱包含句點的電腦，請將網域移轉至新的網域結構來變更名稱。 請勿在新的 NetBIOS 功能變數名稱中使用句點。

  先前已允許 NetBIOS 功能變數名稱中的 ampersand (&) 字元，且僅供歷史用途支援。 請勿建立 NetBIOS 功能變數名稱包含連字元和 (&) 字元的新 Active Directory 網域。

• 不允許的字元： DNS 主機名檢查函式會驗證 NetBIOS 功能變數名稱。 這些名稱不能包含下列字元：

  • 逗號 (,)
  • 波狀符號 (~)
  • 冒號 (:)
  • 驚嘆號 (!)
  • @ 記號 (@)
  • 數字記號 (#)
  • 貨幣符號 ($)
  • 百分比符號 (%)
  • 插入號 (^)
  • 單引號 (')
  • 句號 (.)
  • 括號 (())
  • 大括號 ({})
  • 底線 (_)
  • 空白字元 (空白)
  • 反斜杠 (\)
  • 斜線 (/)

    注意事項

    屬於 Active Directory 網域成員的電腦不能有只包含數值的名稱。 這是 DNS 限制。

• 名稱長度規則：

  • 名稱長度下限：一個字元
  • 名稱長度上限：15 個字元

    注意事項

    名稱的第16個字元會保留給識別已註冊網路裝置上所安裝的功能。

• Windows 中的保留名稱： 請參閱 保留字表。 升級的網域名稱可以包含保留字詞。 然而，在此情況下，與其他網域的信任關係會失敗。

• 特殊字元： period (.)

  句號字元會將名稱分成 NetBIOS 範圍標識碼和計算機名稱。 NetBIOS 範圍識別碼為選用的字元字串，可辨識在相同實體 TCP/IP 網路上執行的邏輯性 NetBIOS 網路。 為了讓 NetBIOS 在電腦間運作，電腦必須具備相同的 NetBIOS 範圍識別碼與唯一的電腦名稱。

  重要事項

  在名稱中使用 NetBIOS 範圍是舊版設定。 它不應該用於 Active Directory 樹系。 這不是固有的問題。 不過，某些應用程式可能會篩選名稱，並在找到句點時假設 DNS 名稱。

DNS 網域名稱

• 允許的字元： DNS 名稱只能包含 A-Z) (字母字元、數值字元 (0-9) 、減號 ( ) ，以及句號 (.) 。 只有在用來分隔域樣式名稱的元件時，才允許句點字元。

  Windows DNS 支援 Unicode 字元。 其他 DNS 實作不支援 Unicode 字元。 如果查詢會傳遞至使用非 Microsoft 實作的 DNS 伺服器，請避免使用 Unicode 字元。 如需詳細資訊，請參閱 RFC 952 和 RFC 1123。

• 不允許的字元： DNS 功能變數名稱不能包含下列字元：

  • 逗號 (,)
  • 波狀符號 (~)
  • 冒號 (:)
  • 驚嘆號 (!)
  • @ 記號 (@)
  • 數字記號 (#)
  • 貨幣符號 ($)
  • 百分比符號 (%)
  • 插入號 (^)
  • & 符號 (&)
  • 單引號 (')
  • 句號 (.)
  • 括號 (())
  • 大括號 ({})
  • 底線 (_)
  • 空白字元 (空白)

    注意事項

    底線具有特殊角色。 RFC 定義允許使用 SRV 記錄中的第一個字元。 但較新的 DNS 伺服器也可能允許它出現在名稱中的任何位置。 當您建立網域時，您會收到警告訊息，指出底線字元可能會對某些 DNS 伺服器造成問題。 不過，您仍然可以建立網域。 如需詳細資訊，請參閱符合主機和網域的名稱限制。

• 其他規則：

  • 除了 ASCII字元外，所有字元皆保留其大小寫格式。
  • 第一個字元必須是字母或數值。
  • 最後一個字元不得為減號或句號。

• 名稱長度規則：

  • 名稱長度下限：兩個字元

  • 名稱長度上限：255 個字元

    注意事項

    如果您使用 UTF-8 (Unicode) 字元，請記住，某些 UTF-8 字元的長度超過一個八位字元。 在此情況下，您無法藉由計算字元來判斷名稱的大小。 主機名和 FQDN 的大小上限為每個標籤 63 個字節，每個 FQDN 為 255 個字節。

  • 名稱長度上限是根據路徑的需求 SYSVOL ，以及 MAX_PATH 260 個字元的限制。
    中的 SYSVOL 路徑類似下列範例：

    \\<FQDN domain name>\sysvol\<FQDN domain name>\policies\{<policy GUID>}\[user|machine]\<CSE-specific path>
    

    注意事項

    • AD FQDN 功能變數名稱會出現在路徑中兩次。 因此，AD FQDN 功能變數名稱的長度限製為64個字元。

    • <CSE 特定路徑>可能包含使用者輸入，例如登入腳本檔名。 因此，其長度可能相當長。

• 單一標籤變數命名空間： 單一標籤 DNS 名稱是不包含後綴的名稱，例如 .com、 .corp、 .net、 .org或 companyname。 例如，主機就是單一標籤 DNS 名稱。 大部分網際網路註冊機構不允許單一標籤 DNS 名稱註冊。

  通常，會建議您向網際網路註冊機構註冊 DNS 名稱內部與外部的命名空間。 這就包括 Active Directory 網域的 DNS 名稱，除非該名稱已由貴組織名稱註冊為 DNS 名稱的子網域。 例如，corp.example.com 為 example.com 的子網域。 向網際網路註冊機構註冊 DNS 名稱可防止名稱衝突。 如果另一個組織嘗試註冊相同的 DNS 名稱，或您的組織與使用相同 DNS 名稱的另一個組織合併，可能會發生名稱衝突。

  與單一標籤命名空間相關的問題包括：

  • 透過網際網路註冊機構無法註冊的單一標籤 DNS 名稱。
  • 具有單一標籤 DNS 名稱的網域要求其他組態。
  • DNS 伺服器服務在具有單一標籤 DNS 名稱的網域中找不到域控制器。
  • 根據預設，Windows 網域成員不會提供單一標籤 DNS 區域的動態更新。 如需詳細資訊，請參閱 使用單一標籤 DNS 名稱設定的 Active Directory 網域部署和作業。

• 保留名稱： 請參閱 保留字表。 請勿在內部網路上使用最上層因特網功能變數名稱，例如 .com、 .net和 .org 。 如果您在內部網路上使用最上層因特網功能變數名稱，同時連線到因特網的內部網路電腦可能會遇到解析錯誤。 此外，請避免使用因特網標準特殊功能中使用的名稱，例如 .local。

斷續的命名空間

如果電腦的主要 DNS 後綴不符合其成員的 DNS 網域，就會發生脫離的命名空間。 例如，如果 DNS 名稱為 的 dc1.contosocorp.com 電腦位於 DNS 名稱為 的網域中，就會發生脫離的 contoso.com命名空間。

斷續的命名空間如何發生：

• Windows NT 4.0 主域控制器會使用 Windows 2000 Server 的原始發行版升級為 Windows 2000 Server 域控制器。 在 控制台 中的[網络] 專案中，會定義多個 DNS 後綴。
• 當樹系位於 Windows Server 2003 樹系功能等級時，網域會重新命名。 此外，主要 DNS 後綴不會變更，以反映新的 DNS 功能變數名稱。

斷續命名空間的影響：

假設名為DC1的域控制器位於NetBIOS功能變數名稱contoso為的 Windows NT 4.0網域中。 此域控制器已升級至 Windows 2000 Server。 升級後，DNS 網域將重新命名為 contoso.com。 在 Windows 2000 Server 的原始發行版中，升級例程會清除將域控制器的主要 DNS 後綴連結至其 DNS 功能變數名稱的複選框。 因此，域控制器的主要 DNS 後綴是 Windows NT 4.0 後綴搜尋清單中定義的 Windows NT 4.0 DNS 後綴。 在這個範例中，DNS 名稱為 DC1.northamerica.contoso.com。

網域控制站會動態登錄其服務位置 (SRV) 記錄在對應其 DNS 網域名稱的 DNS 區域中。 不過，網域控制站會在對應至其主要 DNS 尾碼的 DNS 區域中登錄其主機記錄。

如需脫離命名空間的詳細資訊，請參閱下列文章：

• 事件識別碼 5788 和 5789 發生在 Windows 電腦上
• 建立不相鄰的命名空間

其他因素

• 聯機到因特網的樹系： 線上到因特網的 DNS 命名空間必須是因特網 DNS 命名空間最上層或第二層網域的子域。

• 樹系中的網域數目上限： 在 Windows Server 中，樹系功能等級 2 的網域數目上限為 1,200 個。 這項限制是 Windows Server 中多重值非鏈接屬性的限制。

• 最佳作法：

  • 所有需要名稱解析之節點的 DNS 名稱都包含組織的因特網 DNS 功能變數名稱。 因為 DNS 為階層式，新增子網域至您的組織會加長 DNS 網域名稱。 因此，您應該選擇簡短且容易記住的因特網 DNS 功能變數名稱。 簡短功能變數名稱也可讓您輕鬆記住電腦名稱。

  • 如果組織有因特網存在，請使用相對於已註冊因特網 DNS 功能變數名稱。 例如，如果您已註冊因特網 DNS 功能變數名稱 contoso.com，請使用 DNS 功能變數名稱，例如 corp.contoso.com 內部網路功能變數名稱。

  • 請勿使用現有的公司或產品名稱做為網域名稱。 這樣做可能會在稍後造成名稱衝突。

  • 避免泛型名稱，例如 domain.localhost。 這是因為您未來合併的另一家公司可能會遵循相同的作法。

  • 請勿使用首字母縮寫或縮寫做為網域名稱。 使用者可能難以辨識縮寫所代表的業務單位。

  • 避免在網域名稱中使用底線 (_)。 應用程式可能非常需要 RFC，並拒絕名稱。 它們可能也不會在您的網域中安裝或運作。 您也可能會遇到影響較舊 DNS 伺服器的問題。

  • 請勿使用營業單位或部門的名稱作為功能變數名稱。 業務單位和其他部門變更，這些功能變數名稱可能會誤導或過時。

  • 請勿使用不容易拼又不好記的地理名稱。

  • 避免從根目錄網域延伸 DNS 網域名稱超過五個階層。 限制網域名稱階層的延伸可降低管理成本。

  • 如果您要在專用網中部署 DNS，而且不打算建立外部命名空間，請註冊您為內部網域建立的 DNS 功能變數名稱。 否則，如果您嘗試在因特網上使用它，或是連線到連線到因特網的網路，您可能會發現名稱無法使用。

網站名稱

建立新網站名稱時，建議您使用有效的 DNS 名稱。 否則，僅在使用 Microsoft DNS 伺服器的情況下，才可使用您的網站。 如需有關有效 DNS 名稱的詳細資訊，請參閱 DNS 主機名稱一節。

• 允許的字元： DNS 名稱只能包含 A-Z) (字母字元、數值字元 (0-9) 、減號 ( ) ，以及句號 (.) 。 只有在用來分隔域樣式名稱的元件時，才允許句點字元。

  Windows DNS 支援 Unicode 字元。 其他 DNS 實作不支援 Unicode 字元。 如果查詢會傳遞至使用非 Microsoft 實作的 DNS 伺服器，請避免使用 Unicode 字元。 如需詳細資訊，請參閱 RFC 952 和 RFC 1123。

• 不允許的字元： DNS 名稱不能包含下列字元：

  • 逗號 (,)
  • 波狀符號 (~)
  • 冒號 (:)
  • 驚嘆號 (!)
  • @ 記號 (@)
  • 數字記號 (#)
  • 貨幣符號 ($)
  • 百分比符號 (%)
  • 插入號 (^)
  • & 符號 (&)
  • 單引號 (')
  • 句號 (.)
  • 括號 (())
  • 大括號 ({})
  • 底線 (_)
  • 空白字元 (空白)

    注意事項

    底線具有特殊角色。 RFC 定義允許使用 SRV 記錄中的第一個字元。 但較新的 DNS 伺服器也可能允許它出現在名稱中的任何位置。 如需詳細資訊，請參閱符合主機和網域的名稱限制。

• 其他規則：

  • ASCII 字元以外的所有字元都會保留其大小寫格式。
  • 第一個字元必須是字母或數值。
  • 最後一個字元不得為減號或句號。

• 名稱長度規則：

  • 名稱長度下限：一個字元
  • 名稱長度上限：63 個字元

    注意事項

    如果您使用 UTF-8 (Unicode) 字元，請記住，某些 UTF-8 字元的長度超過一個八位字元。 在此情況下，您無法藉由計算字元來判斷名稱的大小。 DNS 名稱的長度上限為每標籤 63 位元。

OU 名稱

• 允許的字元： 允許所有字元，甚至是擴充字元。 雖然 Active Directory 使用者和電腦讓您以擴充字元命名 OU，但建議您使用說明 OU 用途和簡短且易於管理的名稱。 輕量型目錄存取通訊協定 (LDAP) 沒有任何限制，因為物件的 CN 會放入引號中。

• 不允許的字元： 不允許任何字元。

• 名稱長度規則：

  • 名稱長度下限：一個字元
  • 名稱長度上限：64 個字元

OU 的特殊問題

當網域根層級的 OU 具有與未來子網域相同的名稱時，您可能會遇到資料庫問題。 假設您刪除名為 marketing 的 OU，以建立具有相同名稱的子域。 例如， marketing.contoso.com (子域 FQDN 名稱的最左邊捲標具有相同的名稱) 。

您刪除 OU。 在已刪除 OU 的標記存留期期間，您會建立具有相同名稱的子域。 然後，您刪除子網域，然後再建立一次。 在此情況下，ESE 資料庫中重複的記錄名稱產生虛設項目，子網域重新建立時虛設項目名稱會發生衝突。 此問題會防止 Active Directory 組態容器進行復寫。

保留字詞表格