Compartir a través de


Implementación y operación de dominios de Active Directory configurados mediante nombres DNS de etiqueta única

Este artículo contiene información sobre la implementación y el funcionamiento de los dominios de Active Directory (AD) configurados mediante nombres DNS de etiqueta única.

Número de KB original: 300684

Resumen

El deseo de quitar la configuración de dominio de etiqueta única es una razón frecuente para cambiar el nombre de un dominio. La información de compatibilidad de aplicaciones de este artículo se aplica a todos los escenarios en los que podría considerar cambiar el nombre de un dominio.

Por los siguientes motivos, el procedimiento recomendado es crear nuevos dominios de Active Directory que tengan nombres DNS completos:

  • Los nombres DNS de etiqueta única no se pueden registrar mediante un registrador de Internet.

  • Los equipos cliente y los controladores de dominio que están unidos a dominios de etiqueta única requieren una configuración adicional para registrar dinámicamente registros DNS en zonas DNS de etiqueta única.

  • Los equipos cliente y los controladores de dominio pueden requerir una configuración adicional para resolver consultas DNS en zonas DNS de etiqueta única.

  • Algunas aplicaciones basadas en servidor no son compatibles con los nombres de dominio de etiqueta única. Es posible que la compatibilidad con aplicaciones no exista en la versión inicial de una aplicación o que se quite la compatibilidad en una versión futura.

  • La transición de un nombre de dominio DNS de etiqueta única a un nombre DNS completo no es trivial y consta de dos opciones. Migre usuarios, equipos, grupos y otros estados a un nuevo bosque. O bien, cambie el nombre de dominio del dominio existente. Algunas aplicaciones basadas en servidor no son compatibles con la característica de cambio de nombre de dominio que se admite en Windows Server 2003 y controladores de dominio más recientes. Estas incompatibilidades bloquean la característica de cambio de nombre de dominio o dificultan el uso de la característica de cambio de nombre de dominio al intentar cambiar el nombre de un nombre DNS de etiqueta única a un nombre de dominio completo.

  • El Asistente para instalación de Active Directory (Dcpromo.exe) en Windows Server 2008 advierte de la creación de nuevos dominios que tienen nombres DNS de etiqueta única. Dado que no hay motivos empresariales ni técnicos para crear nuevos dominios que tengan nombres DNS de etiqueta única, el Asistente para instalación de Active Directory en Windows Server 2008 R2 bloquea explícitamente la creación de dichos dominios.

Entre los ejemplos de aplicaciones incompatibles con el cambio de nombre de dominio se incluyen, entre otros, los siguientes productos:

  • Microsoft Exchange 2000 Server
  • Microsoft Exchange Server 2007
  • Microsoft Exchange Server 2010
  • Microsoft Exchange Server 2013
  • Microsoft Internet Security and Acceleration (ISA) Server 2004
  • Microsoft Live Communications Server 2005
  • Microsoft Operations Manager 2005
  • Microsoft SharePoint Portal Server 2003
  • Microsoft Systems Management Server (SMS) 2003
  • Microsoft Office Communications Server 2007
  • Microsoft Office Communications Server 2007 R2
  • Microsoft System Center Operations Manager 2007 SP1
  • Microsoft System Center Operations Manager 2007 R2
  • Microsoft Lync Server 2010
  • Microsoft Lync Server 2013

Más información

Los nombres de dominio de Active Directory recomendados constan de uno o varios subdominios que se combinan con un dominio de nivel superior separado por un carácter de punto ("."). Los siguientes son algunos ejemplos:

  • contoso.com
  • corp.contoso.com

Los nombres de etiqueta única constan de una sola palabra como "contoso".

El dominio de nivel superior ocupa la etiqueta situada más a la derecha en un nombre de dominio. Entre los dominios comunes de nivel superior se incluyen los siguientes:

  • .com
  • .Red
  • .Org
  • Dominios de nivel superior de código de país de dos letras (ccTLD), como .nz

Los nombres de dominio de Active Directory deben constar de dos o más etiquetas para el sistema operativo actual y futuro y para la experiencia y confiabilidad de la aplicación.

Las consultas de dominio de nivel superior no válidas notificadas por el Comité asesor de seguridad y estabilidad de la ICANN se pueden encontrar en Consultas de dominio de nivel superior no válidas en el nivel raíz del sistema de nombres de dominio.

Registro de nombres DNS con un registrador de Internet

Se recomienda registrar nombres DNS para los espacios de nombres DNS más internos y externos con un registrador de Internet. Que incluye el dominio raíz del bosque de cualquier bosque de Active Directory a menos que estos nombres sean subdominios de nombres DNS registrados por el nombre de la organización (por ejemplo, el dominio raíz del bosque "corp.example.com" es un subdominio de un espacio de nombres interno "example.com"). Al registrar los nombres DNS con un registrador de Internet, esto permite que los servidores DNS de Internet resuelvan su dominio ahora o en algún momento durante la vida útil del bosque de Active Directory. Además, este registro ayuda a evitar posibles colisiones de nombres por parte de otras organizaciones.

Posibles síntomas cuando los clientes no pueden registrar registros DNS dinámicamente en una zona de búsqueda directa de una sola etiqueta

Si usa un nombre DNS de etiqueta única en su entorno, es posible que los clientes no puedan registrar dinámicamente registros DNS en una zona de búsqueda directa de etiqueta única. Los síntomas específicos varían según la versión de Microsoft Windows instalada.

En la lista siguiente se describen los síntomas que pueden producirse:

  • Después de configurar Microsoft Windows para un nombre de dominio de etiqueta única, es posible que todos los servidores que tengan el rol de controlador de dominio no puedan registrar registros DNS. El registro del sistema del controlador de dominio puede registrar de forma coherente las advertencias de NETLOGON 5781 similares al ejemplo siguiente:

    Nota:

    El código de estado 0000232a se asigna al siguiente código de error:

    DNS_ERROR_RCODE_SERVER_FAILURE

  • Los siguientes códigos de estado y códigos de error adicionales pueden aparecer en los archivos de registro, como Netdiag.log:

    Código de error de DNS: 0x0000251D = DNS_INFO_NO_RECORDS
    DNS_ERROR_RCODE_ERROR
    RCODE_SERVER_FAILURE

  • Los equipos basados en Windows configurados para actualizaciones dinámicas de DNS no se registrarán en un dominio de etiqueta única. Los eventos de advertencia similares a los siguientes ejemplos se registran en el registro del sistema del equipo:

Habilitación de clientes basados en Windows para realizar consultas y actualizaciones dinámicas con zonas DNS de etiqueta única

De forma predeterminada, Windows no envía actualizaciones a dominios de nivel superior. Sin embargo, puede cambiar este comportamiento mediante uno de los métodos que se describen en esta sección. Use uno de los métodos siguientes para permitir que los clientes basados en Windows realicen actualizaciones dinámicas en zonas DNS de etiqueta única.

Además, sin modificaciones, un miembro de dominio de Active Directory en un bosque que no contiene dominios que tengan nombres DNS de etiqueta única no usa el servicio servidor DNS para buscar controladores de dominio en dominios que tienen nombres DNS de etiqueta única que se encuentran en otros bosques. Se produce un error en el acceso de cliente a los dominios que tienen nombres DNS de etiqueta única si la resolución de nombres NetBIOS no está configurada correctamente.

Método 1: Uso del Editor del Registro

  • Configuración del localizador de controlador de dominio para Windows XP Professional y versiones posteriores de Windows

    Importante

    Esta sección, método o tarea contiene pasos que le indican cómo modificar el Registro. No obstante, pueden producirse problemas graves si modifica el registro de manera incorrecta. En consecuencia, asegúrese de seguir estos pasos cuidadosamente. Para mayor protección, cree una copia de seguridad del registro antes de modificarlo. Después, puede restaurar el registro si se produce un problema. Para obtener más información, consulte Copia de seguridad y restauración del Registro en Windows.

    En un equipo basado en Windows, un miembro de dominio de Active Directory requiere una configuración adicional para admitir nombres DNS de etiqueta única para dominios. En concreto, el localizador de controladores de dominio del miembro de dominio de Active Directory no usa el servicio de servidor DNS para buscar controladores de dominio en un dominio que tenga un nombre DNS de etiqueta única a menos que ese miembro de dominio de Active Directory esté unido a un bosque que contenga al menos un dominio y este dominio tenga un nombre DNS de etiqueta única.

    Para permitir que un miembro de dominio de Active Directory use DNS para buscar controladores de dominio en dominios que tienen nombres DNS de etiqueta única que están en otros bosques, siga estos pasos:

    1. Seleccione Inicio, ejecutar, escriba regedity, a continuación, seleccione Aceptar.

    2. Busque y seleccione la siguiente subclave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

    3. En el panel de detalles, busque la entrada AllowSingleLabelDnsDomain . Si la entrada AllowSingleLabelDnsDomain no existe, siga estos pasos:

      1. En el menú Editar , seleccione Nuevo y, a continuación, seleccione Valor DWORD.
      2. Escriba AllowSingleLabelDnsDomain como nombre de entrada y, a continuación, presione ENTRAR.
    4. Haga doble clic en la entrada AllowSingleLabelDnsDomain .

    5. En el cuadro Datos de valor , escriba 1 y, a continuación, seleccione Aceptar.

    6. Salga del Editor del Registro.

  • Configuración del cliente DNS

    Importante

    Esta sección, método o tarea contiene pasos que le indican cómo modificar el Registro. No obstante, pueden producirse problemas graves si modifica el registro de manera incorrecta. En consecuencia, asegúrese de seguir estos pasos cuidadosamente. Para mayor protección, cree una copia de seguridad del registro antes de modificarlo. Después, puede restaurar el registro si se produce un problema. Para obtener más información, consulte Copia de seguridad y restauración del Registro en Windows.

    Los miembros de dominio de Active Directory y los controladores de dominio que están en un dominio que tiene un nombre DNS de etiqueta única normalmente deben registrar dinámicamente registros DNS en una zona DNS de etiqueta única que coincida con el nombre DNS de ese dominio. Si un dominio raíz del bosque de Active Directory tiene un nombre DNS de etiqueta única, todos los controladores de dominio de ese bosque normalmente deben registrar dinámicamente registros DNS en una zona DNS de etiqueta única que coincida con el nombre DNS de la raíz del bosque.

    De forma predeterminada, los equipos cliente DNS basados en Windows no intentan actualizaciones dinámicas de la zona raíz "." ni de zonas DNS de etiqueta única. Para permitir que los equipos cliente DNS basados en Windows prueben actualizaciones dinámicas de una zona DNS de etiqueta única, siga estos pasos:

    1. Seleccione Inicio, ejecutar, escriba regedity, a continuación, seleccione Aceptar.

    2. Busque y seleccione la siguiente subclave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DnsCache\Parameters

    3. En el panel de detalles, busque la entrada UpdateTopLevelDomainZones . Si la entrada UpdateTopLevelDomainZones no existe, siga estos pasos:

      1. En el menú Editar , seleccione Nuevo y, a continuación, seleccione Valor DWORD.
      2. Escriba UpdateTopLevelDomainZones como nombre de entrada y presione ENTRAR.
    4. Haga doble clic en la entrada UpdateTopLevelDomainZones .

    5. En el cuadro Datos de valor , escriba 1 y, a continuación, seleccione Aceptar.

    6. Salga del Editor del Registro.

    Estos cambios de configuración se deben aplicar a todos los controladores de dominio y miembros de un dominio que tengan nombres DNS de etiqueta única. Si un dominio que tiene un nombre de dominio de etiqueta única es una raíz de bosque, estos cambios de configuración se deben aplicar a todos los controladores de dominio del bosque, a menos que las zonas independientes _msdcs. ForestName, _sites. ForestName, _tcp. ForestName, and_udp. ForestName se delega en la zona ForestName .

    Para que los cambios surtan efecto, reinicie los equipos en los que cambió las entradas del Registro.

    Nota:

    • Para Windows Server 2003 y versiones posteriores, la entrada UpdateTopLevelDomainZones se ha movido a la siguiente subclave del Registro:
      HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient
    • En un controlador de dominio basado en Microsoft Windows 2000 SP4, el equipo notificará el siguiente error de registro de nombres en el registro de eventos del sistema si la configuración UpdateTopLevelDomainZones no está habilitada:
    • En un controlador de dominio basado en Windows 2000 SP4, debe reiniciar el equipo después de agregar la configuración UpdateTopLevelDomainZones.

Método 2: Usar directiva de grupo

Use la directiva de grupo para habilitar la directiva Actualizar zonas de dominio de nivel superior y la ubicación de los controladores de dominio que hospedan un dominio con una sola directiva de nombre DNS de etiqueta como se especifica en la tabla siguiente en la ubicación de carpeta en el contenedor de dominio raíz en Usuarios y equipos, o en todas las unidades organizativas (OU) que hospedan cuentas de equipo para equipos miembros, y para los controladores de dominio del dominio.

Policy Ubicación de la carpeta
Actualizar zonas de dominio de nivel superior Configuración del equipo\Plantillas administrativas\Red\Cliente DNS
Ubicación de los controladores de dominio que hospedan un dominio con un nombre DNS de etiqueta única Configuración del equipo\Plantillas administrativas\System\Net Logon\Dc Locator DNS Records

Nota:

Estas directivas solo se admiten en equipos basados en Windows Server 2003 y en equipos basados en Windows XP.

Para habilitar estas directivas, siga estos pasos en el contenedor de dominio raíz:

  1. Seleccione Inicio, ejecutar, escriba gpedit.msc y, a continuación, seleccione Aceptar.
  2. En Directiva de equipo local, expanda Configuración del equipo.
  3. Expanda Plantillas administrativas.
  4. Habilite la directiva Actualizar zonas de dominio de nivel superior. Para ello, siga estos pasos:
    1. Expanda Red.
    2. Seleccione Cliente DNS.
    3. En el panel de detalles, haga doble clic en Actualizar zonas de dominio de nivel superior.
    4. Seleccione Habilitado.
    5. Seleccione Aplicar y luego Aceptar.
  5. Habilite la ubicación de los controladores de dominio que hospedan un dominio con la directiva de nombre DNS de etiqueta única. Para ello, siga estos pasos:
    1. Expanda Sistema.
    2. Expanda Inicio de sesión de red.
    3. Seleccione Registros DNS del localizador de controlador de dominio.
    4. En el panel de detalles, haga doble clic en Ubicación de los controladores de dominio que hospedan un dominio con un nombre DNS de etiqueta única.
    5. Seleccione Habilitado.
    6. Seleccione Aplicar y luego Aceptar.
  6. Salga de la directiva de grupo.

En servidores DNS basados en Windows Server 2003 y versiones posteriores, asegúrese de que los servidores raíz no se crean involuntariamente.

En los servidores DNS basados en Windows 2000, es posible que tenga que eliminar la zona raíz "." para que los registros DNS se declaren correctamente. La zona raíz se crea automáticamente cuando se instala el servicio de servidor DNS porque el servicio de servidor DNS no puede alcanzar las sugerencias raíz. Este problema se corrigió en versiones posteriores de Windows.

El Asistente para DCpromo puede crear servidores raíz. Si existe la zona ".", se ha creado un servidor raíz. Para que la resolución de nombres funcione correctamente, es posible que tenga que quitar esta zona.

Configuración de directiva DNS nueva y modificada para Windows Server 2003 y versiones posteriores

  • La directiva Actualizar zonas de dominio de nivel superior

    Si se especifica esta directiva, crea una REG_DWORD UpdateTopLevelDomainZones entrada en la siguiente subclave del Registro: HKLM\Software\Policies\Microsoft\Windows NT\DNSClient
    A continuación se muestran los valores de entrada de UpdateTopLevelDomainZones: - Enabled (0x1). Una configuración de 0x1 significa que los equipos pueden intentar actualizar las zonas TopLevelDomain. Es decir, si la UpdateTopLevelDomainZones configuración está habilitada, los equipos a los que se aplica esta directiva envían actualizaciones dinámicas a cualquier zona autoritativa para los registros de recursos que el equipo debe actualizar, excepto para la zona raíz. - Deshabilitado (0x0). Una configuración de 0x0 significa que los equipos no pueden intentar actualizar las zonas TopLevelDomain. Es decir, si esta configuración está deshabilitada, los equipos a los que se aplica esta directiva no envían actualizaciones dinámicas a la zona raíz ni a las zonas de dominio de nivel superior que son autoritarias para los registros de recursos que el equipo debe actualizar. Si esta configuración no está configurada, la directiva no se aplica a ningún equipo y los equipos usan su configuración local.

  • La directiva Registrar registros PTR

    Se agregó un nuevo valor posible, 0x2, de la REG_DWORD RegisterReverseLookup entrada en la siguiente subclave del Registro:
    HKLM\Software\Policies\Microsoft\Windows NT\DNSClient

    A continuación se muestran los valores de entrada de RegisterReverseLookup: - 0x2. Regístrese solo si el registro de registros "A" se realiza correctamente. Los equipos intentan implementar el registro de registros de recursos PTR solo si registraron correctamente los registros de recursos "A" correspondientes. - 0x1. Registro. Los equipos intentan implementar el registro de registros de recursos PTR sea cual sea el éxito del registro de registros "A". - 0x0. No te registres. Los equipos nunca intentan implementar el registro de registros de recursos PTR.

Referencias