Namespace Layanan Terpisah

• Berlaku untuk:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Namespace layanan terputus-putus terjadi ketika satu atau beberapa komputer anggota domain memiliki akhiran Layanan Nama Domain (DNS) utama yang tidak cocok dengan nama DNS domain Direktori Aktif tempat komputer menjadi anggotanya. Misalnya, komputer anggota yang menggunakan akhiran DNS utama corp.fabrikam.com di domain Direktori Aktif bernama na.corp.fabrikam.com menggunakan namespace layanan yang tidak terputih.

Namespace layanan yang terputus-putus lebih kompleks untuk mengelola, memelihara, dan memecahkan masalah daripada namespace yang berdampingan. Di namespace yang berdekatan, akhiran DNS utama cocok dengan nama domain Direktori Aktif. Aplikasi jaringan yang ditulis untuk mengasumsikan bahwa namespace Layanan Domain Active Directory identik dengan akhiran DNS utama untuk semua komputer anggota domain tidak berfungsi dengan baik di namespace layanan terpisah.

Dukungan untuk namespace layanan yang tidak terputih

Komputer anggota domain, termasuk pengontrol domain, dapat berfungsi dalam namespace layanan yang berbeda. Komputer anggota domain dapat mendaftarkan rekaman sumber daya host (A) mereka dan catatan sumber daya host (AAAA) versi IP 6 (IPv6) di namespace DNS yang terputar. Ketika komputer anggota domain mendaftarkan catatan sumber daya mereka dengan cara ini, pengendali domain terus mendaftarkan catatan sumber daya layanan global dan khusus situs (SRV) di zona DNS yang identik dengan nama domain Direktori Aktif.

Misalnya, asumsikan bahwa pengendali domain untuk domain Direktori Aktif bernama na.corp.fabrikam.com yang menggunakan akhiran DNS utama corp.fabrikam.com mendaftarkan host host (A) dan host IPv6 (AAAA) rekaman sumber daya di zona DNS corp.fabrikam.com. Pengendali domain terus mendaftarkan catatan sumber daya layanan global dan khusus situs (SRV) di zona DNS _msdcs.na.corp.fabrikam.com dan na.corp.fabrikam.com, yang memungkinkan lokasi layanan.

Penting

Meskipun sistem operasi Windows dapat mendukung namespace layanan terpisah, aplikasi yang ditulis untuk mengasumsikan bahwa akhiran DNS utama sama dengan akhiran domain Direktori Aktif mungkin tidak berfungsi di lingkungan seperti itu. Untuk alasan ini, Anda harus menguji semua aplikasi dan sistem operasi masing-masing dengan hati-hati sebelum Anda menyebarkan namespace layanan terpisah.

Namespace layanan yang terputus-putus harus berfungsi (dan didukung) dalam situasi berikut:

• Saat forest dengan beberapa domain Direktori Aktif menggunakan satu namespace DNS, yang juga dikenal sebagai zona DNS

  Contohnya adalah perusahaan yang menggunakan domain regional dengan nama seperti na.corp.fabrikam.com, sa.corp.fabrikam.com, dan asia.corp.fabrikam.com dan menggunakan satu namespace DNS, seperti corp.fabrikam.com.

• Saat satu domain Direktori Aktif dibagi menjadi namespace DNS terpisah

  Contohnya adalah perusahaan dengan domain Direktori Aktif corp.contoso.com yang menggunakan zona DNS seperti hr.corp.contoso.com, production.corp.contoso.com, dan it.corp.contoso.com.

Namespace layanan yang terputus-putus tidak berfungsi dengan baik (dan tidak didukung) dalam situasi berikut:

• Akhiran terputus-putus yang digunakan oleh anggota domain cocok dengan nama domain Active Directory di forest ini atau forest lain. Ini melanggar perutean akhiran nama Kerberos.

• Akhiran disjoint yang sama digunakan di forest lain. Ini mencegah perutean akhiran ini secara unik antar forest.

• Ketika server otoritas sertifikasi anggota domain (CA) mengubah nama domain yang sepenuhnya memenuhi syarat (FQDN) sehingga tidak lagi menggunakan akhiran DNS utama yang sama yang digunakan oleh pengendali domain domain tempat server CA adalah anggota. Dalam hal ini, Anda mungkin mengalami masalah saat memvalidasi sertifikat yang dikeluarkan server CA, tergantung pada nama DNS apa yang digunakan dalam Titik Distribusi CRL. Tetapi jika Anda menempatkan server CA di namespace layanan yang berbeda yang stabil, itu berfungsi dengan baik dan didukung.

Pertimbangan untuk namespace yang terputar

Pertimbangan berikut dapat membantu Anda memutuskan apakah Anda harus menggunakan namespace layanan yang terputus-putus.

Kompatibilitas aplikasi

Seperti yang disebutkan sebelumnya, namespace layanan yang terputus-putus dapat menyebabkan masalah untuk aplikasi dan layanan apa pun yang ditulis untuk mengasumsikan bahwa akhiran DNS utama komputer identik dengan nama domain yang merupakan anggotanya. Sebelum menyebarkan namespace layanan yang terputus-putus, Anda harus memeriksa masalah kompatibilitas aplikasi. Selain itu, pastikan untuk memeriksa kompatibilitas semua aplikasi yang Anda gunakan saat melakukan analisis. Ini termasuk aplikasi dari Microsoft dan dari pengembang perangkat lunak lainnya.

Keuntungan dari namespace layanan yang berbeda

Menggunakan namespace layanan yang terputus-putus dapat memiliki keuntungan berikut:

• Karena akhiran DNS utama komputer dapat menunjukkan informasi yang berbeda, Anda bisa mengelola namespace DNS secara terpisah dari nama domain Direktori Aktif.

• Anda dapat memisahkan namespace DNS berdasarkan struktur bisnis atau lokasi geografis. Misalnya, Anda dapat memisahkan namespace layanan berdasarkan nama unit bisnis atau lokasi fisik seperti benua, negara/wilayah, atau bangunan.

Kelemahan namespace yang berbeda

Menggunakan namespace layanan yang terputus-putus dapat memiliki kerugian berikut:

• Anda harus membuat dan mengelola zona DNS terpisah untuk setiap domain Direktori Aktif di forest yang memiliki komputer anggota yang menggunakan namespace layanan yang terputus-putus. (Artinya, memerlukan konfigurasi tambahan dan lebih kompleks.)

• Anda harus melakukan langkah manual untuk mengubah dan mengelola atribut Direktori Aktif yang memungkinkan anggota domain menggunakan akhiran DNS utama yang ditentukan.

• Untuk mengoptimalkan resolusi nama, Anda harus melakukan langkah manual untuk memodifikasi dan memelihara Kebijakan Grup untuk mengonfigurasi komputer anggota dengan akhiran DNS utama alternatif.

Catatan

Windows Internet Name Service (WINS) dapat digunakan untuk mengimbangi kerugian ini dengan menyelesaikan nama label tunggal. Untuk informasi selengkapnya tentang WINS, lihat Referensi Teknis WINS.

• Saat lingkungan Anda memerlukan beberapa akhiran DNS utama, Anda harus mengonfigurasi urutan pencarian akhiran DNS untuk semua domain Direktori Aktif di forest dengan tepat.

  Untuk mengatur urutan pencarian akhiran DNS, Anda dapat menggunakan objek Kebijakan Grup atau parameter layanan Server Dynamic Host Configuration Protocol (DHCP). Anda juga dapat memodifikasi registri.

• Anda harus menguji semua aplikasi dengan hati-hati untuk masalah kompatibilitas.

Untuk informasi selengkapnya tentang langkah-langkah yang dapat Anda ambil untuk mengatasi kerugian ini, lihat Membuat Namespace Layanan Yang Berbeda.

Merencanakan transisi namespace layanan

Sebelum Anda memodifikasi namespace, tinjau pertimbangan berikut, yang berlaku untuk transisi dari namespace yang berdampingan ke namespace yang terputus-putus (atau sebaliknya):

• Nama Perwakilan Layanan (SPN) yang dikonfigurasi secara manual mungkin tidak lagi cocok dengan nama DNS setelah perubahan namespace layanan. Ini dapat menyebabkan kegagalan autentikasi.

  Untuk informasi selengkapnya, lihat Logons Layanan Gagal Karena SALAH Mengatur SPN.

  • Jika Anda menggunakan komputer berbasis Windows Server 2003 dengan delegasi yang dibatasi, komputer tersebut mungkin mengharuskan Anda mengedit atribut msDS-AllowedToDelegateTo secara manual di Direktori Aktif. Untuk informasi selengkapnya, lihat atribut ms-DS-Allowed-To-Delegate-To.

  • Jika Anda ingin mendelegasikan izin untuk mengubah SPN ke administrator subordinat, lihat Mendelegasikan Otoritas untuk Memodifikasi SPN.

• Jika Anda menggunakan Lightweight Directory Access Protocol (LDAP) melalui Secure Sockets Layer (SSL) (dikenal sebagai LDAPS) dengan CA dalam penyebaran yang memiliki pengontrol domain yang dikonfigurasi di namespace layanan terputus-putus, Anda harus menggunakan nama domain Active Directory yang sesuai dan akhiran DNS utama saat mengonfigurasi sertifikat LDAPS.

  Untuk informasi selengkapnya tentang persyaratan sertifikat pengendali domain, lihat artikel 321051 di Pangkalan Pengetahuan Microsoft, Cara mengaktifkan LDAP melalui SSL dengan otoritas sertifikasi pihak ketiga.

  Catatan

  Pengontrol domain yang menggunakan sertifikat untuk LDAPS mungkin mengharuskan Anda untuk menyebarkan ulang sertifikat mereka. Saat Anda melakukannya, pengendali domain mungkin tidak memilih sertifikat yang sesuai hingga dimulai ulang. Untuk informasi selengkapnya tentang Autentikasi Lightweight Directory Access Protocol (LDAP) melalui autentikasi Secure Sockets Layer (SSL) (LDAPS) untuk Windows Server 2003, lihat artikel 938703 di Pangkalan Pengetahuan Microsoft, Cara memecahkan masalah LDAP melalui koneksi SSL.

Merencanakan penyebaran namespace disjoint

Lakukan tindakan pencegahan berikut jika Anda menyebarkan komputer di lingkungan yang memiliki namespace layanan yang terputus-putus:

1. Beri tahu semua vendor perangkat lunak dengan siapa Anda melakukan bisnis bahwa mereka harus menguji dan mendukung namespace layanan yang terputus-putus. Minta mereka untuk memverifikasi bahwa mereka mendukung aplikasi mereka di lingkungan yang menggunakan namespace layanan terpisah.

2. Uji semua versi sistem operasi dan aplikasi di lingkungan lab namespace layanan yang berbeda. Saat Anda melakukannya, ikuti rekomendasi berikut:

   1. Atasi semua masalah perangkat lunak sebelum Anda menyebarkan perangkat lunak ke lingkungan Anda.

   2. Jika memungkinkan, berpartisipasi dalam pengujian beta sistem operasi dan aplikasi yang Anda rencanakan untuk disebarkan di namespace layanan terpisah.

3. Pastikan bahwa administrator dan staf helpdesk mengetahui namespace layanan yang terputus-putus dan dampaknya.

4. Buat rencana yang memungkinkan Anda untuk beralih dari namespace layanan terpisah ke namespace layanan yang berdampingan, jika perlu.

5. Menginjilkan pentingnya dukungan namespace layanan yang berbeda dengan sistem operasi dan penyedia aplikasi.