Espace de noms dissocié
Un espace de noms disjoint survient lorsque le suffixe DNS (Domain Name Service) d’un ou de plusieurs ordinateurs membres du domaine ne correspond pas au nom DNS du domaine Active Directory auquel appartiennent les ordinateurs. Par exemple, un ordinateur membre doté du suffixe DNS principal corp.fabrikam.com dans un domaine Active Directory appelé na.corp.fabrikam.com utilise un espace de noms disjoint.
Un espace de noms disjoint est plus complexe à administrer, à tenir à jour et à dépanner qu’un espace de noms contigu. Dans un espace de noms contigu, le suffixe DNS principal correspond au nom du domaine Active Directory. Les applications réseau écrites pour supposer que l’espace de noms Active Directory est identique au suffixe DNS principal, pour tous les ordinateurs membres du domaine, ne fonctionnent pas correctement dans un espace de noms disjoint.
Prise en charge des espaces de noms disjoints
Les ordinateurs membres du domaine, y compris les contrôleurs de domaine, peuvent fonctionner dans un espace de noms disjoint. Les ordinateurs membres du domaine peuvent inscrire l’enregistrement de leur ressource hôte (A) et l’enregistrement de leur ressource hôte (AAAA) IP version 6 (IPv6) dans un espace de noms DNS disjoint. Lorsque les ordinateurs membres du domaine inscrivent les enregistrements de leurs ressources de cette façon, les contrôleurs de domaine continuent d’inscrire des enregistrements de ressources de service global et spécifique au site (SRV), dans la zone DNS qui est identique au nom du domaine Active Directory.
Par exemple, supposons qu’un contrôleur de domaine pour le domaine Active Directory nommé na.corp.fabrikam.com, qui utilise un suffixe DNS principal corp.fabrikam.com, inscrit les enregistrements des ressources de l’hôte (A) et de l’hôte (AAAA) IPv6 dans la zone DNS corp.fabrikam.com. Le contrôleur de domaine continue d’inscrire des enregistrements de ressources de service global et spécifique au site (SRV) dans les zones DNS _msdcs.na.corp.fabrikam.com et na.corp.fabrikam.com, ce qui rend possible l’emplacement du service.
Important
Bien que les systèmes d’exploitation Windows puissent prendre en charge un espace de noms disjoint, les applications qui sont écrites pour supposer que le suffixe DNS principal est le même que le suffixe du domaine Active Directory peuvent ne pas fonctionner dans un tel environnement. Ainsi, vous devez tester soigneusement toutes les applications et leurs systèmes d’exploitation respectifs avant de déployer un espace de noms disjoint.
Un espace de noms disjoint doit fonctionner (et est pris en charge) dans les situations suivantes :
Lorsqu’une forêt dotée de plusieurs domaines Active Directory utilise un espace de noms DNS unique, également appelé zone DNS
Par exemple, une entreprise qui utilise des domaines régionaux avec des noms tels que na.corp.fabrikam.com, sa.corp.fabrikam.com et asia.corp.fabrikam.com, et qui utilise un espace de noms DNS unique, tel que corp.fabrikam.com.
Lorsqu’un domaine Active Directory unique est divisé en espaces de noms DNS distincts
Par exemple, une entreprise avec un domaine Active Directory corp.contoso.com, qui utilise des zones DNS telles que hr.corp.contoso.com, production.corp.contoso.com et it.corp.contoso.com.
Un espace de noms disjoint ne fonctionne pas correctement (et n’est pas pris en charge) dans les situations suivantes :
Un suffixe disjoint utilisé par les membres du domaine correspond à un nom de domaine Active Directory dans cette forêt ou une autre. Le routage des suffixes de noms Kerberos s’interrompt.
Le même suffixe disjoint est utilisé dans une autre forêt. Le routage de ces suffixes de manière unique entre les forêts est évité.
Lorsqu’un serveur d’autorité de certification membre du domaine modifie son nom de domaine complet (FQDN) pour ne plus utiliser le même suffixe DNS principal que celui utilisé par les contrôleurs de domaine du domaine dont le serveur d’autorité de certification est membre. Dans ce cas, vous pouvez avoir des problèmes de validation des certificats émis par le serveur d’autorité de certification, en fonction des noms DNS utilisés dans les points de distribution de la liste de révocation de certificats. Toutefois, si vous placez un serveur d’autorité de certification dans un espace de noms disjoint stable, il fonctionne correctement et est pris en charge.
Considérations relatives aux espaces de noms disjoints
Les considérations suivantes peuvent vous aider à décider si vous devez utiliser un espace de noms disjoint.
Compatibilité des applications
Comme mentionné précédemment, un espace de noms disjoint peut entraîner des problèmes pour toutes les applications et services qui sont écrits pour supposer qu’un suffixe DNS principal d’ordinateur est identique au nom du nom de domaine dont il est membre. Avant de déployer un espace de noms disjoint, vous devez vérifier les problèmes de compatibilité des applications. Veillez également à vérifier la compatibilité de toutes les applications que vous utilisez lorsque vous effectuez votre analyse. Cela inclut les applications de Microsoft et d’autres développeurs de logiciels.
Avantages des espaces de noms disjoints
L’utilisation d’un espace de noms disjoint peut présenter les avantages suivants :
Étant donné que le suffixe DNS principal d’un ordinateur peut indiquer des informations différentes, vous pouvez gérer l’espace de noms DNS séparément du nom de domaine Active Directory.
Vous pouvez séparer l’espace de noms DNS par rapport à la structure de l’entreprise ou de l’emplacement géographique. Par exemple, vous pouvez séparer l’espace de noms selon les noms des succursales ou de l’emplacement physique, tel que le continent, le pays/région ou le bâtiment.
Inconvénients des espaces de noms disjoints
L’utilisation d’un espace de noms disjoint peut présenter les inconvénients suivants :
Vous devez créer et gérer des zones DNS distinctes pour chaque domaine Active Directory de la forêt qui contient des ordinateurs membres se servant d’un espace de noms disjoint. (Autrement dit, une configuration supplémentaire et plus complexe est nécessaire.)
Vous devez effectuer des étapes manuelles pour modifier et gérer l’attribut Active Directory qui permet aux membres du domaine d’utiliser des suffixes DNS principaux spécifiés.
Si vous voulez optimiser la résolution de noms, vous devez effectuer des étapes manuelles pour modifier et gérer la stratégie de groupe afin de configurer des ordinateurs membres avec d’autres suffixes DNS principaux.
Notes
Le service WINS (Windows Internet Name Service) peut être utilisé pour compenser cet inconvénient en résolvant les noms à étiquette unique. Pour plus d’informations sur WINS, consultez la référence technique WINS.
Lorsque votre environnement nécessite plusieurs suffixes DNS principaux, vous devez configurer l’ordre de recherche des suffixes DNS pour tous les domaines Active Directory de la forêt de manière appropriée.
Pour définir l’ordre de recherche des suffixes DNS, vous pouvez utiliser des objets de stratégie de groupe ou des paramètres du service Serveur DHCP (Dynamic Host Configuration Protocol). Vous pouvez également modifier le registre.
Vous devez tester soigneusement toutes les applications pour les problèmes de compatibilité.
Pour plus d’informations sur les étapes à suivre pour remédier à ces inconvénients, consultez Créer un espace de noms disjoint.
Planification d’une transition d’espace de noms
Avant de modifier un espace de noms, passez en revue les considérations suivantes qui s’appliquent aux transitions passant d’espaces de noms contigus aux espaces de noms disjoints (ou l’inverse) :
Les noms de principaux du service (SPN, Service Principal Names) configurés manuellement peuvent ne plus correspondre aux noms DNS après un changement d’espace de noms. Des échecs d’authentification peuvent s’ensuivre.
Pour plus d’informations, voir Les connexions de service échouent en raison de SPN incorrectement définis.
Si vous utilisez des ordinateurs Windows Server 2003 avec délégation contrainte, ces ordinateurs peuvent nécessiter que vous modifiiez manuellement l’attribut msDS-AllowedToDelegateTo dans Active Directory. Pour plus d’informations, consultez l’attribut ms-DS-Allowed-To-Delegate-To.
Si vous souhaitez déléguer des autorisations de modification de SPN à des administrateurs subordonnés, consultez Délégation d’autorité pour modifier les SPN.
Si vous utilisez LDAP (Lightweight Directory Access Protocol) sur SSL (Secure Sockets Layer) (connu sous le nom de LDAPS) avec une autorité de certification dans un déploiement qui comporte des contrôleurs de domaine configurés dans un espace de noms disjoint, vous devez utiliser le nom de domaine Active Directory et le suffixe DNS principal appropriés lorsque vous configurez les certificats LDAPS.
Pour plus d’informations sur les conditions des certificats du contrôleur de domaine, consultez l’article 321051 dans la Base de connaissances Microsoft, Comment activer LDAP sur SSL avec une autorité de certification tierce.
Notes
Les contrôleurs de domaine qui utilisent des certificats pour LDAPS peuvent nécessiter que vous redéployiez leurs certificats. Dans ce cas, les contrôleurs de domaine peuvent ne pas sélectionner un certificat approprié tant qu’ils ne sont pas redémarrés. Pour plus d’informations sur l’authentification LDAPS, LDAP (Lightweight Directory Access Protocol) sur SSL (Secure Sockets Layer), pour Windows Server 2003, consultez l’article 938703 dans la Base de connaissances Microsoft, Comment résoudre les problèmes de connexion LDAP sur SSL.
Planification des déploiements d’espaces de noms disjoints
Prenez les précautions suivantes si vous déployez des ordinateurs dans un environnement doté d’un espace de noms disjoint :
Informez tous les fournisseurs de logiciels avec lesquels vous travaillez qu’ils doivent tester et prendre en charge un espace de noms disjoint. Demandez-leur de vérifier qu’ils prennent en charge leurs applications dans des environnements qui utilisent des espaces de noms disjoints.
Testez toutes les versions des systèmes d’exploitation et des applications dans des environnements de laboratoire d’espaces de noms disjoints. Ce faisant, suivez ces recommandations :
Résolvez tous les problèmes logiciels avant de déployer le logiciel dans votre environnement.
Si possible, participez aux bêta-tests des systèmes d’exploitation et des applications que vous prévoyez de déployer dans des espaces de noms disjoints.
Assurez-vous que les administrateurs et le personnel du support technique sont informés sur l’espace de noms disjoint et son impact.
Créez un plan qui vous permet de passer d’un espace de noms disjoint à un espace de noms contigu, si nécessaire.
Préconisez l’importance de la prise en charge de l’espace de noms disjoint auprès des fournisseurs de système d’exploitation et d’application.