Espacio de nombres separado

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 y Windows Server 2012.

Un espacio de nombres separado ocurre cuando uno o más equipos miembros de un dominio disponen de un sufijo del Servicio de nombres de dominio (DNS) principal que no coincide con el nombre DNS del dominio de Active Directory al que son miembros los equipos. Por ejemplo, un equipo miembro que usa el sufijo DNS primario corp.fabrikam.com en un dominio de Active Directory denominado na.corp.fabrikam.com está usando un espacio de nombres separado.

Un espacio de nombres separado es más complejo administrar, mantener y solucionar problemas que un espacio de nombres contiguo. En un espacio de nombres contiguo, el sufijo DNS principal coincide con el nombre de dominio de Active Directory. Las aplicaciones de red escritas para suponer que el espacio de nombres de Active Directory es idéntico al sufijo DNS principal para todos los equipos miembros del dominio no funcionan correctamente en un espacio de nombres separado.

Compatibilidad con espacios de nombres separados

Los equipos miembros del dominio, incluidos los controladores de dominio, pueden funcionar en un espacio de nombres separado. Los equipos miembros del dominio pueden registrar su registro de recursos de host (A) y el registro de recursos del host de ip 6 (IPv6) (AAAA) en un espacio de nombres DNS separado. Cuando los equipos miembros del dominio registran sus registros de recursos de esta manera, los controladores de dominio siguen registrando registros de recursos de servicio globales y específicos del sitio (SRV) en la zona DNS idénticas al nombre de dominio de Active Directory.

Por ejemplo, suponga que un controlador de dominio para el dominio de Active Directory denominado na.corp.fabrikam.com que usa un sufijo DNS principal de corp.fabrikam.com registra registros de recursos de host (A) e IPv6 (AAAA) en la zona DNS de corp.fabrikam.com. El controlador de dominio sigue registrando registros de recursos de servicio globales y específicos del sitio (SRV) en las zonas DNS _msdcs.na.corp.fabrikam.com y na.corp.fabrikam.com, lo que hace posible la ubicación del servicio.

Importante

Aunque los sistemas operativos Windows pueden admitir un espacio de nombres separado, las aplicaciones escritas para suponer que el sufijo DNS principal es el mismo que el sufijo de dominio de Active Directory puede no funcionar en este entorno. Por este motivo, debe probar cuidadosamente todas las aplicaciones y sus respectivos sistemas operativos antes de implementar un espacio de nombres separado.

Un espacio de nombres separado debe funcionar (y se admite) en las situaciones siguientes:

• Cuando un bosque con varios dominios de Active Directory usa un único espacio de nombres DNS, que también se conoce como una zona DNS.

  Un ejemplo de esto es una empresa que usa dominios regionales con nombres como na.corp.fabrikam.com, sa.corp.fabrikam.com y asia.corp.fabrikam.com y usa un único espacio de nombres DNS, como corp.fabrikam.com.

• Cuando un único dominio de Active Directory se divide en espacios de nombres DNS independientes

  Un ejemplo de esto es una empresa con un dominio de Active Directory de corp.contoso.com que usa zonas DNS como hr.corp.contoso.com, production.corp.contoso.com y it.corp.contoso.com.

Un espacio de nombres separado no funciona correctamente (y no se admite) en las situaciones siguientes:

• Un sufijo separado usado por los miembros del dominio coincide con un nombre de dominio de Active Directory en este u otro bosque. Esto interrumpe el enrutamiento de nombre-sufijo de Kerberos.

• El mismo sufijo separado se usa en otro bosque. Esto evita el enrutamiento de estos sufijos de forma única entre bosques.

• Cuando un servidor de entidad de certificación (CA) miembro de dominio cambia su nombre de dominio completo (FQDN) para que ya no use el mismo sufijo DNS principal que usan los controladores de dominio del dominio al que pertenece el servidor de CA. En este caso, es posible que tenga problemas para validar los certificados emitidos por el servidor de CA, en función de los nombres DNS que se usen en los puntos de distribución de CRL. Pero si coloca un servidor de CA en un espacio de nombres independiente estable, funciona correctamente y se admite.

Consideraciones para espacios de nombres separados

Las consideraciones siguientes pueden ayudarle a decidir si debe usar un espacio de nombres separado.

Compatibilidad de aplicación

Como se mencionó anteriormente, un espacio de nombres separado puede causar problemas para las aplicaciones y servicios que se escriben para suponer que un sufijo DNS principal del equipo es idéntico al nombre del nombre de dominio del que es miembro. Antes de implementar un espacio de nombres separado, debe comprobar si las aplicaciones tienen problemas de compatibilidad. Además, asegúrese de comprobar la compatibilidad de todas las aplicaciones que use al realizar el análisis. Esto incluye aplicaciones de Microsoft y de otros desarrolladores de software.

Ventajas de los espacios de nombres separados

El uso de un espacio de nombres separado puede tener las siguientes ventajas:

• Dado que el sufijo DNS principal de un equipo puede indicar información diferente, puede administrar el espacio de nombres DNS por separado del nombre de dominio de Active Directory.

• Puede separar el espacio de nombres DNS en función de la estructura empresarial o la ubicación geográfica. Por ejemplo, puede separar el espacio de nombres en función de los nombres de unidad de negocio o la ubicación física, como el continente, el país o la región o la creación.

Desventajas de los espacios de nombres separados

El uso de un espacio de nombres separado puede tener las siguientes desventajas:

• Debe crear y administrar zonas DNS independientes para cada dominio de Active Directory del bosque que tenga equipos miembros que usen un espacio de nombres separado. (Es decir, requiere una configuración adicional y más compleja).

• Debe realizar pasos manuales para modificar y administrar el atributo de Active Directory que permite a los miembros del dominio usar los sufijos DNS principales especificados.

• Para optimizar la resolución de nombres, debe realizar pasos manuales para modificar y mantener directiva de grupo para configurar equipos miembros con sufijos DNS principales alternativos.

Nota

El Servicio de nombres de Internet de Windows (WINS) se puede usar para compensar esta desventaja al resolver nombres de etiqueta única. Para obtener más información sobre WINS, consulte la referencia técnica de WINS.

• Cuando el entorno requiere varios sufijos DNS principales, debe configurar el orden de búsqueda del sufijo DNS para todos los dominios de Active Directory del bosque correctamente.

  Para establecer el orden de búsqueda del sufijo DNS, puede usar directiva de grupo objetos o parámetros de servicio del servidor del protocolo de configuración dinámica de host (DHCP). También puede modificar el Registro.

• Debe probar cuidadosamente todas las aplicaciones en busca de problemas de compatibilidad.

Para más información sobre los pasos que puede seguir para solucionar estas desventajas, consulte Crear un espacio de nombres separado.

Planeamiento de una transición de espacio de nombres

Antes de modificar un espacio de nombres, consulte las consideraciones siguientes, que se aplican a las transiciones de espacios de nombres contiguos a espacios de nombres separados (o al inverso):

• Los nombres de entidad de seguridad de servicio (SPN) configurados manualmente ya no pueden coincidir con nombres DNS después de un cambio de espacio de nombres. Esto puede provocar errores de autenticación.

  Para más información, consulte Error de inicios de sesión del servicio debido a la configuración incorrecta de SPNs.

  • Si usa equipos basados en Windows Server 2003 con delegación restringida, esos equipos pueden requerir que edite manualmente el atributo msDS-AllowedToDelegateTo en Active Directory. Para más información, consulte Atributo ms-DS-Allowed-To-Delegate-To.

  • Si desea delegar permisos para modificar los SPN a los administradores subordinados, consulte Delegación de autoridad para modificar SPN.

• Si usa el protocolo ligero de acceso a directorios (LDAP) a través de la Capa de sockets seguros (SSL) (conocido como LDAPS) con una entidad de certificación en una implementación que tenga controladores de dominio configurados en un espacio de nombres separado, debe usar el nombre de dominio de Active Directory adecuado y el sufijo DNS principal al configurar los certificados LDAPS.

  Para más información sobre los requisitos de certificado del controlador de dominio, consulte el artículo 321051 en Microsoft Knowledge Base, Cómo habilitar LDAP a través de SSL con una entidad de certificación de terceros.

  Nota

  Los controladores de dominio que usan certificados para LDAPS pueden requerir que vuelva a implementar sus certificados. Al hacerlo, es posible que los controladores de dominio no seleccionen un certificado adecuado hasta que se reinicien. Para más información sobre el protocolo ligero de acceso a directorios (LDAP) a través de autenticación de Capa de sockets seguros (SSL) (LDAPS) para Windows Server 2003, consulte el artículo 938703 en Microsoft Knowledge Base, Cómo solucionar problemas de conexión LDAP a través de SSL.

Planeamiento de implementaciones de espacios de nombres separados

Tome las siguientes precauciones si implementa equipos en un entorno que tiene un espacio de nombres separado:

1. Notifique a todos los proveedores de software con los que hace negocios que deben probar y admitir un espacio de nombres separado. Pídales que comprueben que admiten sus aplicaciones en entornos que usan espacios de nombres separados.

2. Pruebe todas las versiones de los sistemas operativos y las aplicaciones en entornos de laboratorio de espacios de nombres separados. Cuando lo haga, siga estas recomendaciones:

   1. Resuelva todos los problemas de software antes de implementar el software en su entorno.

   2. Cuando sea posible, participe en pruebas beta de sistemas operativos y aplicaciones que planea implementar en espacios de nombres separados.

3. Asegúrese de que los administradores y el personal del departamento de soporte técnico conozcan el espacio de nombres separado y su impacto.

4. Cree un plan que le permita pasar de un espacio de nombres separado a un espacio de nombres contiguo, si es necesario.

5. Difunda la importancia de la compatibilidad de espacios de nombres separados con proveedores de aplicaciones y sistemas operativos.