Bereitstellung und Betrieb von Active Directory-Domänen, die mithilfe von DNS-Namen mit nur einer Bezeichnung konfiguriert werden

Dieser Artikel enthält Informationen zur Bereitstellung und zum Betrieb von Active Directory-Domänen (AD), die mithilfe von DNS-Namen mit nur einer Bezeichnung konfiguriert werden.

Gilt für: Windows Server 2008 R2 Service Pack 1, Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows 10, Version 1809
Ursprüngliche KB-Nummer: 300684

Zusammenfassung

Der Wunsch, die Einzelbezeichnungsdomänenkonfiguration zu entfernen, ist ein häufiger Grund, eine Domäne umzubenennen. Die Anwendungskompatibilitätsinformationen in diesem Artikel gelten für alle Szenarien, in denen Sie eine Domäne umbenennen möchten.

Aus den folgenden Gründen empfiehlt es sich, neue Active Directory-Domänen mit vollqualifizierten DNS-Namen zu erstellen:

• DNS-Namen mit nur einer Bezeichnung können nicht mithilfe einer Internetregistrierungsstelle registriert werden.

• Clientcomputer und Domänencontroller, die mit Domänen mit nur einer Bezeichnung verknüpft sind, erfordern zusätzliche Konfigurationen, um DNS-Einträge dynamisch in DNS-Zonen mit nur einer Bezeichnung zu registrieren.

• Clientcomputer und Domänencontroller erfordern möglicherweise eine zusätzliche Konfiguration, um DNS-Abfragen in DNS-Zonen mit nur einer Bezeichnung aufzulösen.

• Einige serverbasierte Anwendungen sind nicht mit Domänennamen mit nur einer Bezeichnung kompatibel. Die Anwendungsunterstützung ist in der ersten Version einer Anwendung möglicherweise nicht mehr vorhanden, oder die Unterstützung wird in einer zukünftigen Version eingestellt.

• Der Übergang von einem DNS-Domänennamen mit nur einer Bezeichnung zu einem vollqualifizierten DNS-Namen ist nicht trivial und besteht aus zwei Optionen. Migrieren Sie Benutzer, Computer, Gruppen und andere Zustände in eine neue Gesamtstruktur. Oder führen Sie eine Domänenbenennung der vorhandenen Domäne durch. Einige serverbasierte Anwendungen sind nicht mit dem Feature zum Umbenennen von Domänen kompatibel, das in Windows Server 2003 und neueren Domänencontrollern unterstützt wird. Diese Inkompatibilitäten blockieren entweder die Funktion zum Umbenennen von Domänen oder erschweren die Verwendung des Domänenbenennungsfeatures, wenn Sie versuchen, einen DNS-Namen mit nur einer Bezeichnung in einen vollqualifizierten Domänennamen umzubenennen.

• Der Active Directory-Installations-Assistent (Dcpromo.exe) in Windows Server 2008 warnt davor, neue Domänen mit dns-Namen mit einer bezeichnungsbasierten Bezeichnung zu erstellen. Da es keinen geschäftlichen oder technischen Grund gibt, neue Domänen mit dns-Namen mit nur einer Bezeichnung zu erstellen, blockiert der Active Directory-Installations-Assistent in Windows Server 2008 R2 explizit das Erstellen solcher Domänen.

Beispiele für Anwendungen, die nicht mit der Umbenennung von Domänen kompatibel sind, sind unter anderem die folgenden Produkte:

• Microsoft Exchange 2000 Server
• Microsoft Exchange Server 2007
• Microsoft Exchange Server 2010
• Microsoft Exchange Server 2013
• Microsoft Internet Security and Acceleration (ISA) Server 2004
• Microsoft Live Communications Server 2005
• Microsoft Operations Manager 2005
• Microsoft SharePoint Portal Server 2003
• Microsoft Systems Management Server (SMS) 2003
• Microsoft Office Communications Server 2007
• Microsoft Office Communications Server 2007 R2
• Microsoft System Center Operations Manager 2007 SP1
• Microsoft System Center Operations Manager 2007 R2
• Microsoft Lync Server 2010
• Microsoft Lync Server 2013

Weitere Informationen

Bewährte Active Directory-Domänennamen bestehen aus einer oder mehreren Unterdomänen, die mit einer Domäne der obersten Ebene kombiniert werden, die durch ein Punktzeichen (".") getrennt ist. Im Folgenden finden Sie einige Beispiele:

• contoso.com
• corp.contoso.com

Namen mit nur einer Bezeichnung bestehen aus einem einzelnen Wort wie "contoso".

Die Domäne der obersten Ebene belegt die Bezeichnung ganz rechts in einem Domänennamen. Zu den allgemeinen Domänen der obersten Ebene gehören die folgenden:

• .Com
• .netto
• .Org
• Domänen der obersten Ebene (ccTLD) mit zwei Buchstaben, z. B. .nz

Active Directory-Domänennamen sollten aus zwei oder mehr Bezeichnungen für das aktuelle und das zukünftige Betriebssystem sowie aus Gründen der Anwendungserfahrung und -zuverlässigkeit bestehen.

Ungültige Domänenabfragen der obersten Ebene, die vom ICANN Security and Stability Advisory Committee gemeldet wurden, finden Sie unter Ungültige Domänenabfragen der obersten Ebene auf der Stammebene des Domänennamensystems.

DNS-Namensregistrierung bei einer Internetregistrierungsstelle

Es wird empfohlen, DNS-Namen für die höchsten internen und externen DNS-Namespaces bei einer Internetregistrierungsstelle zu registrieren. Dies schließt die Stammdomäne der Gesamtstruktur beliebiger Active Directory-Gesamtstrukturen ein, es sei denn, solche Namen sind Unterdomänen von DNS-Namen, die von Ihrem organization-Namen registriert werden (z. B. ist die Stammdomäne der Gesamtstruktur "corp.example.com" eine Unterdomäne eines internen Namespace "example.com.". Wenn Sie Ihre DNS-Namen bei einer Internetregistrierungsstelle registrieren, können Internet-DNS-Server Ihre Domäne jetzt oder irgendwann während der Lebensdauer Ihrer Active Directory-Gesamtstruktur auflösen. Und diese Registrierung trägt dazu bei, mögliche Namenskonflikte durch andere Organisationen zu verhindern.

Mögliche Symptome, wenn Clients DNS-Einträge nicht dynamisch in einer Forward-Lookupzone mit nur einer Bezeichnung registrieren können

Wenn Sie in Ihrer Umgebung einen DNS-Namen mit nur einer Bezeichnung verwenden, können Clients DNS-Einträge möglicherweise nicht dynamisch in einer Forward-Lookupzone mit nur einer Bezeichnung registrieren. Die spezifischen Symptome variieren je nach installierter Version von Microsoft Windows.

In der folgenden Liste werden die symptome beschrieben, die auftreten können:

• Nachdem Sie Microsoft Windows für einen Domänennamen mit nur einer Bezeichnung konfiguriert haben, können alle Server, die über die Domänencontrollerrolle verfügen, möglicherweise keine DNS-Einträge registrieren. Das Systemprotokoll des Domänencontrollers kann NETLOGON 5781-Warnungen konsistent protokollieren, die dem folgenden Beispiel ähneln:

  Hinweis

  Der Statuscode 0000232a wird dem folgenden Fehlercode zugeordnet:

  DNS_ERROR_RCODE_SERVER_FAILURE

• Die folgenden zusätzlichen status Codes und Fehlercodes können in Protokolldateien wie Netdiag.log angezeigt werden:

  DNS-Fehlercode: 0x0000251D = DNS_INFO_NO_RECORDS
  DNS_ERROR_RCODE_ERROR
  RCODE_SERVER_FAILURE

• Windows-basierte Computer, die für dynamische DNS-Updates konfiguriert sind, werden nicht in einer Domäne mit nur einer Bezeichnung registriert. Warnungsereignisse, die den folgenden Beispielen ähneln, werden im Systemprotokoll des Computers aufgezeichnet:

Aktivieren von Windows-basierten Clients zum Ausführen von Abfragen und dynamischen Updates mit DNS-Zonen mit nur einer Bezeichnung

Standardmäßig sendet Windows keine Updates an Domänen der obersten Ebene. Sie können dieses Verhalten jedoch mithilfe einer der methoden ändern, die in diesem Abschnitt beschrieben werden. Verwenden Sie eine der folgenden Methoden, um Windows-basierten Clients zu ermöglichen, dynamische Updates für DNS-Zonen mit nur einer Bezeichnung durchzuführen.

Außerdem verwendet ein Active Directory-Domänenmitglied in einer Gesamtstruktur, die keine Domänen mit dns-Namen mit einer einzelnen Bezeichnung enthält, den DNS-Serverdienst nicht, um Domänencontroller in Domänen zu suchen, die über DNS-Namen mit einer Bezeichnung verfügen, die sich in anderen Gesamtstrukturen befinden. Der Clientzugriff auf die Domänen mit dns-Namen mit einer einzelnen Bezeichnung schlägt fehl, wenn die NetBIOS-Namensauflösung nicht ordnungsgemäß konfiguriert ist.

Methode 1: Verwenden von Registrierungs-Editor

• Konfiguration des Domänencontrollerlocators für Windows XP Professional und höhere Versionen von Windows

  Wichtig

  Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Für zusätzlichen Schutz sichern Sie die Registrierung, bevor Sie sie ändern. Sie können die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen finden Sie unter Sichern und Wiederherstellen der Registrierung in Windows.

  Auf einem Windows-basierten Computer erfordert ein Active Directory-Domänenmitglied eine zusätzliche Konfiguration, um DNS-Namen mit nur einer Bezeichnung für Domänen zu unterstützen. Insbesondere verwendet der Domänencontrollerlocator auf dem Active Directory-Domänenmitglied den DNS-Serverdienst nicht, um Domänencontroller in einer Domäne mit einem DNS-Namen mit einer einzelnen Bezeichnung zu suchen, es sei denn, dieses Active Directory-Domänenmitglied ist mit einer Gesamtstruktur verbunden, die mindestens eine Domäne enthält, und diese Domäne verfügt über einen DNS-Namen mit einer einzelnen Bezeichnung.

  Führen Sie die folgenden Schritte aus, um einem Active Directory-Domänenmitglied die Verwendung von DNS zum Auffinden von Domänencontrollern in Domänen mit nur einer Bezeichnung zu ermöglichen, die sich in anderen Gesamtstrukturen befinden:

  1. Wählen Sie Start aus, wählen Sie Ausführen aus, geben Sie regedit ein, und wählen Sie dann OK aus.

  2. Suchen Sie den folgenden Unterschlüssel, und wählen Sie ihn aus: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  3. Suchen Sie im Detailbereich den Eintrag AllowSingleLabelDnsDomain . Wenn der Eintrag AllowSingleLabelDnsDomain nicht vorhanden ist, führen Sie die folgenden Schritte aus:

     1. Zeigen Sie im Menü Bearbeiten auf Neu, und wählen Sie dann DWORD-Wert aus.
     2. Geben Sie AllowSingleLabelDnsDomain als Eintragsnamen ein, und drücken Sie dann die EINGABETASTE.

  4. Doppelklicken Sie auf den Eintrag AllowSingleLabelDnsDomain .

  5. Geben Sie im Feld Wertdaten den Wert 1 ein, und wählen Sie dann OK aus.

  6. Beenden Sie den Registrierungs-Editor.

• DNS-Clientkonfiguration

  Wichtig

  Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Für zusätzlichen Schutz sichern Sie die Registrierung, bevor Sie sie ändern. Sie können die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen finden Sie unter Sichern und Wiederherstellen der Registrierung in Windows.

  Active Directory-Domänenmitglieder und Domänencontroller, die sich in einer Domäne mit einem DNS-Namen mit einer einzelnen Bezeichnung befinden, müssen DNS-Einträge in der Regel dynamisch in einer DNS-Zone mit nur einer Bezeichnung registrieren, die mit dem DNS-Namen dieser Domäne übereinstimmt. Wenn eine Stammdomäne der Active Directory-Gesamtstruktur über einen DNS-Namen mit nur einer Bezeichnung verfügt, müssen alle Domänencontroller in dieser Gesamtstruktur in der Regel DNS-Einträge dynamisch in einer DNS-Zone mit nur einer Bezeichnung registrieren, die mit dem DNS-Namen des Gesamtstrukturstamms übereinstimmt.

  Standardmäßig versuchen Windows-basierte DNS-Clientcomputer keine dynamischen Updates der Stammzone "." oder von DNS-Zonen mit nur einer Bezeichnung. Führen Sie die folgenden Schritte aus, damit Windows-basierte DNS-Clientcomputer dynamische Updates einer DNS-Zone mit nur einer Bezeichnung ausprobieren können:

  1. Wählen Sie Start aus, wählen Sie Ausführen aus, geben Sie regedit ein, und wählen Sie dann OK aus.

  2. Suchen Sie den folgenden Unterschlüssel, und wählen Sie ihn aus: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DnsCache\Parameters

  3. Suchen Sie im Detailbereich den Eintrag UpdateTopLevelDomainZones . Wenn der Eintrag UpdateTopLevelDomainZones nicht vorhanden ist, führen Sie die folgenden Schritte aus:

     1. Zeigen Sie im Menü Bearbeiten auf Neu, und wählen Sie dann DWORD-Wert aus.
     2. Geben Sie UpdateTopLevelDomainZones als Eintragsnamen ein, und drücken Sie dann die EINGABETASTE.

  4. Doppelklicken Sie auf den Eintrag UpdateTopLevelDomainZones .

  5. Geben Sie im Feld Wertdaten den Wert 1 ein, und wählen Sie dann OK aus.

  6. Beenden Sie den Registrierungs-Editor.

  Diese Konfigurationsänderungen sollten auf alle Domänencontroller und Mitglieder einer Domäne angewendet werden, die dns-Namen mit einer einzelnen Bezeichnung aufweisen. Wenn eine Domäne mit einem Domänennamen mit nur einer Bezeichnung ein Gesamtstrukturstamm ist, sollten diese Konfigurationsänderungen auf alle Domänencontroller in der Gesamtstruktur angewendet werden, es sei denn, die separaten Zonen _msdcs. ForestName, _sites. ForestName, _tcp. ForestName, and_udp. ForestName wird aus der ForestName-Zone delegiert.

  Damit die Änderungen wirksam werden, starten Sie die Computer, auf denen Sie die Registrierungseinträge geändert haben, neu.

  Hinweis

  • Für Windows Server 2003 und höhere Versionen wurde der Eintrag UpdateTopLevelDomainZones in den folgenden Registrierungsunterschlüssel verschoben:
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient
  • Auf einem Microsoft Windows 2000 SP4-basierten Domänencontroller meldet der Computer den folgenden Namenregistrierungsfehler im Systemereignisprotokoll, wenn die Einstellung UpdateTopLevelDomainZones nicht aktiviert ist:
  • Auf einem Windows 2000 SP4-basierten Domänencontroller müssen Sie den Computer neu starten, nachdem Sie die Einstellung UpdateTopLevelDomainZones hinzugefügt haben.

Methode 2: Verwenden von Gruppenrichtlinie

Verwenden Sie Gruppenrichtlinie, um die Richtlinie Aktualisieren der Domänenzonen der obersten Ebene und den Speicherort der DCs zu aktivieren, die eine Domäne mit einer DNS-Namensrichtlinie mit einfacher Bezeichnung hosten, wie in der folgenden Tabelle unter dem Ordnerspeicherort im Stammdomänencontainer unter Benutzer und Computer oder auf allen Organisationseinheiten (OUs), die Computerkonten für Mitgliedscomputer hosten. und für Domänencontroller in der Domäne.

Richtlinie	Ordnerspeicherort
Aktualisieren von Domänenzonen der obersten Ebene	Computerkonfiguration\Administrative Vorlagen\Netzwerk\DNS-Client
Speicherort der Domänencontroller, die eine Domäne mit einem DNS-Namen mit einer bezeichnung hosten	Computerkonfiguration\Administrative Vorlagen\System\Net Logon\DC Locator DNS-Einträge

Hinweis

Diese Richtlinien werden nur auf Windows Server 2003-basierten Computern und auf Windows XP-basierten Computern unterstützt.

Führen Sie die folgenden Schritte für den Stammdomänencontainer aus, um diese Richtlinien zu aktivieren:

1. Wählen Sie Start aus, wählen Sie Ausführen aus, geben Sie gpedit.msc ein, und wählen Sie dann OK aus.
2. Erweitern Sie unter Richtlinie für lokale Computerdie Option Computerkonfiguration.
3. Erweitern Sie Administrative Vorlagen.
4. Aktivieren Sie die Richtlinie Domänenzonen der obersten Ebene aktualisieren. Gehen Sie dazu wie folgt vor:
   1. Erweitern Sie Netzwerk.
   2. Wählen Sie DNS-Client aus.
   3. Doppelklicken Sie im Detailbereich auf Domänenzonen der obersten Ebene aktualisieren.
   4. Wählen Sie Aktiviert aus.
   5. Klicken Sie auf Apply (Anwenden) und dann auf OK.
5. Aktivieren Sie den Speicherort der Domänencontroller, die eine Domäne hosten, mit einer DNS-Namensrichtlinie mit einfacher Bezeichnung. Gehen Sie dazu wie folgt vor:
   1. Erweitern Sie System.
   2. Erweitern Sie Net Logon (Net Logon).
   3. Wählen Sie DC Locator DNS-Einträge aus.
   4. Doppelklicken Sie im Detailbereich auf Speicherort der DOmänencontroller, die eine Domäne mit einem DNS-Namen mit einer Bezeichnung hosten.
   5. Wählen Sie Aktiviert aus.
   6. Klicken Sie auf Apply (Anwenden) und dann auf OK.
6. Beenden Sie Gruppenrichtlinie.

Stellen Sie auf DNS-Servern mit Windows Server 2003 und höheren Versionen sicher, dass Stammserver nicht unbeabsichtigt erstellt werden.

Auf Windows 2000-basierten DNS-Servern müssen Sie möglicherweise die Stammzone "." löschen, damit die DNS-Einträge ordnungsgemäß deklariert werden. Die Stammzone wird automatisch erstellt, wenn der DNS-Serverdienst installiert wird, da der DNS-Serverdienst die Stammhinweise nicht erreichen kann. Dieses Problem wurde in späteren Versionen von Windows behoben.

Stammserver können vom DCpromo-Assistenten erstellt werden. Wenn die Zone "." vorhanden ist, wurde ein Stammserver erstellt. Damit die Namensauflösung ordnungsgemäß funktioniert, müssen Sie diese Zone möglicherweise entfernen.

Neue und geänderte DNS-Richtlinieneinstellungen für Windows Server 2003 und höhere Versionen

• Die Richtlinie zum Aktualisieren von Domänenzonen der obersten Ebene

  Wenn diese Richtlinie angegeben ist, wird ein REG_DWORD UpdateTopLevelDomainZones Eintrag unter dem folgenden Registrierungsunterschlüssel erstellt: HKLM\Software\Policies\Microsoft\Windows NT\DNSClient
  Im Folgenden sind die Eintragswerte für UpdateTopLevelDomainZonesaufgeführt: – Aktiviert (0x1). Eine 0x1 Einstellung bedeutet, dass Computer möglicherweise versuchen, die TopLevelDomain-Zonen zu aktualisieren. Das heißt, wenn die UpdateTopLevelDomainZones Einstellung aktiviert ist, senden Computer, auf die diese Richtlinie angewendet wird, dynamische Updates an jede Zone, die für die Ressourcendatensätze autoritativ ist, die der Computer aktualisieren muss, mit Ausnahme der Stammzone. – Deaktiviert (0x0). Eine 0x0 Einstellung bedeutet, dass Computer nicht versuchen dürfen, die TopLevelDomain-Zonen zu aktualisieren. Das heißt, wenn diese Einstellung deaktiviert ist, senden Computer, auf die diese Richtlinie angewendet wird, keine dynamischen Updates an die Stammzone oder an die Domänenzonen der obersten Ebene, die für die Ressourceneinträge maßgeblich sind, die der Computer aktualisieren muss. Wenn diese Einstellung nicht konfiguriert ist, wird die Richtlinie nicht auf Computer angewendet, und Computer verwenden ihre lokale Konfiguration.

• Richtlinie "PTR-Datensätze registrieren "

  Ein neuer möglicher Wert 0x2 des REG_DWORD RegisterReverseLookup Eintrags wurde unter dem folgenden Registrierungsunterschlüssel hinzugefügt:
  HKLM\Software\Policies\Microsoft\Windows NT\DNSClient

  Im Folgenden sind die Eintragswerte für RegisterReverseLookupaufgeführt: - 0x2. Registrieren Sie sich nur, wenn die Registrierung des A-Datensatzes erfolgreich ist. Computer versuchen, die Registrierung von PTR-Ressourceneinträgen nur zu implementieren, wenn sie die entsprechenden A-Ressourceneinträge erfolgreich registriert haben. – 0x1. Registrieren. Computer versuchen, die Registrierung von PTR-Ressourcendatensätzen unabhängig vom Erfolg der Registrierung von "A"-Datensätzen zu implementieren. – 0x0. Registrieren Sie sich nicht. Computer versuchen nie, die Registrierung von PTR-Ressourcendatensätzen zu implementieren.

References

• DNS-Namespaceplanung

• Die DNS-Serverrolle kann beim Hinzufügen eines Domänencontrollers zu einer vorhandenen Active Directory-Domäne nicht ausgewählt werden

• ADMT-Leitfaden: Migrieren und Umstrukturierung von Active Directory-Domänen

• Leitfaden zum Active Directory-Migrationstool (ADMT): Migrieren und Umstrukturierung von Active Directory-Domänen