Distribuzione e funzionamento dei domini di Active Directory configurati tramite nomi DNS a etichetta singola
Questo articolo contiene informazioni sulla distribuzione e sul funzionamento dei domini di Active Directory (AD) configurati tramite nomi DNS a etichetta singola.
Numero KB originale: 300684
Riepilogo
La volontà di rimuovere la configurazione del dominio con etichetta singola è un motivo frequente per rinominare un dominio. Le informazioni sulla compatibilità delle applicazioni in questo articolo si applicano a tutti gli scenari in cui è possibile rinominare un dominio.
Per i motivi seguenti, la procedura consigliata consiste nel creare nuovi domini di Active Directory con nomi DNS completi:
I nomi DNS con etichetta singola non possono essere registrati tramite un registrar Internet.
I computer client e i controller di dominio aggiunti ai domini a etichetta singola richiedono una configurazione aggiuntiva per registrare in modo dinamico i record DNS in zone DNS a etichetta singola.
I computer client e i controller di dominio possono richiedere una configurazione aggiuntiva per risolvere le query DNS in zone DNS a etichetta singola.
Alcune applicazioni basate su server non sono compatibili con i nomi di dominio a etichetta singola. Il supporto dell'applicazione potrebbe non esistere nella versione iniziale di un'applicazione o potrebbe essere eliminato in una versione futura.
La transizione da un nome di dominio DNS a etichetta singola a un nome DNS completo non è semplice ed è costituita da due opzioni. Eseguire la migrazione di utenti, computer, gruppi e altri stati a una nuova foresta. In alternativa, eseguire una ridenominazione del dominio esistente. Alcune applicazioni basate su server non sono compatibili con la funzionalità di ridenominazione del dominio supportata in Windows Server 2003 e nei controller di dominio più recenti. Queste incompatibilità bloccano la funzionalità di ridenominazione del dominio o rendono più difficile l'uso della funzionalità di ridenominazione del dominio quando si tenta di rinominare un nome DNS con etichetta singola in un nome di dominio completo.
L'installazione guidata di Active Directory (Dcpromo.exe) in Windows Server 2008 segnala la creazione di nuovi domini con nomi DNS a etichetta singola. Poiché non esiste alcun motivo tecnico o aziendale per creare nuovi domini con nomi DNS a etichetta singola, l'Installazione guidata Active Directory in Windows Server 2008 R2 blocca in modo esplicito la creazione di tali domini.
Esempi di applicazioni incompatibili con la ridenominazione del dominio includono, a titolo esemplificativo, i prodotti seguenti:
- Microsoft Exchange 2000 Server
- Microsoft Exchange Server 2007
- Microsoft Exchange Server 2010
- Microsoft Exchange Server 2013
- Microsoft Internet Security and Acceleration (ISA) Server 2004
- Microsoft Live Communications Server 2005
- Microsoft Operations Manager 2005
- Microsoft SharePoint Portal Server 2003
- Microsoft Systems Management Server (SMS) 2003
- Microsoft Office Communications Server 2007
- Microsoft Office Communications Server 2007 R2
- Microsoft System Center Operations Manager 2007 SP1
- Microsoft System Center Operations Manager 2007 R2
- Microsoft Lync Server 2010
- Microsoft Lync Server 2013
Ulteriori informazioni
I nomi di dominio di Active Directory consigliate sono costituiti da uno o più sottodomini combinati con un dominio di primo livello separato da un carattere punto ("."). Di seguito sono riportati alcuni esempi:
- contoso.com
- corp.contoso.com
I nomi a etichetta singola sono costituiti da una singola parola, ad esempio "contoso".
Il dominio di primo livello occupa l'etichetta più a destra in un nome di dominio. I domini di primo livello comuni includono quanto segue:
- .Com
- .Net
- .Org
- Domini di primo livello (ccTLD) con codice paese a due lettere, ad esempio .nz
I nomi di dominio di Active Directory devono essere costituiti da due o più etichette per il sistema operativo corrente e futuro e per l'esperienza e l'affidabilità delle applicazioni.
Le query di dominio di primo livello non valide segnalate dal comitato di consulenza per la sicurezza e la stabilità ICANN sono disponibili in Query di dominio di primo livello non valide al livello radice del sistema dei nomi di dominio.
Registrazione del nome DNS con un registrar Internet
È consigliabile registrare i nomi DNS per gli spazi dei nomi DNS interni ed esterni più importanti con un registrar Internet. Che include il dominio radice della foresta di tutte le foreste di Active Directory, a meno che tali nomi non siano sottodomini di nomi DNS registrati dal nome dell'organizzazione. Ad esempio, il dominio radice della foresta "corp.example.com" è un sottodominio di uno spazio dei nomi "example.com" interno. Quando si registrano i nomi DNS con un registrar Internet, questo consente ai server DNS Internet di risolvere il dominio ora o a un certo punto per tutta la durata della foresta di Active Directory. Inoltre, questa registrazione consente di evitare possibili conflitti di nomi da parte di altre organizzazioni.
Possibili sintomi quando i client non possono registrare in modo dinamico i record DNS in una zona di ricerca diretta con etichetta singola
Se si usa un nome DNS a etichetta singola nell'ambiente, i client potrebbero non essere in grado di registrare in modo dinamico i record DNS in una zona di ricerca diretta a etichetta singola. I sintomi specifici variano in base alla versione di Microsoft Windows installata.
L'elenco seguente descrive i sintomi che possono verificarsi:
Dopo aver configurato Microsoft Windows per un nome di dominio con etichetta singola, tutti i server con il ruolo di controller di dominio potrebbero non essere in grado di registrare i record DNS. Il log di sistema del controller di dominio può registrare in modo coerente gli avvisi NETLOGON 5781 simili all'esempio seguente:
Nota
Il codice di stato 0000232a viene mappato al codice di errore seguente:
DNS_ERROR_RCODE_SERVER_FAILURE
I seguenti codici di stato aggiuntivi e codici di errore possono essere visualizzati nei file di log, ad esempio Netdiag.log:
Codice di errore DNS: 0x0000251D = DNS_INFO_NO_RECORDS
DNS_ERROR_RCODE_ERROR
RCODE_SERVER_FAILUREI computer basati su Windows configurati per gli aggiornamenti dinamici DNS non verranno registrati in un dominio a etichetta singola. Gli eventi di avviso simili agli esempi seguenti vengono registrati nel registro di sistema del computer:
Come abilitare i client basati su Windows per eseguire query e aggiornamenti dinamici con zone DNS a etichetta singola
Per impostazione predefinita, Windows non invia aggiornamenti ai domini di primo livello. Tuttavia, è possibile modificare questo comportamento usando uno dei metodi descritti in questa sezione. Usare uno dei metodi seguenti per consentire ai client basati su Windows di eseguire aggiornamenti dinamici alle zone DNS a etichetta singola.
Anche senza modifiche, un membro di dominio Active Directory in una foresta che non contiene domini con nomi DNS con etichetta singola non usa il servizio server DNS per individuare i controller di dominio in domini con nomi DNS a etichetta singola presenti in altre foreste. L'accesso client ai domini con nomi DNS a etichetta singola ha esito negativo se la risoluzione dei nomi NetBIOS non è configurata correttamente.
Metodo 1: Usare l'editor del Registro di sistema
Configurazione del localizzatore del controller di dominio per Windows XP Professional e versioni successive di Windows
Importante
In questa sezione, metodo o attività viene illustrata la procedura per modificare il Registro di sistema. Poiché l'errata modifica del Registro di sistema può causare seri problemi, Di conseguenza, attenersi scrupolosamente alla procedura indicata. Per una maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. In questo modo sarà possibile ripristinare il Registro di sistema se si verifica un problema. Per altre informazioni, vedere Come eseguire il backup e ripristinare il Registro di sistema in Windows.
In un computer basato su Windows, un membro di dominio Active Directory richiede una configurazione aggiuntiva per supportare nomi DNS a etichetta singola per i domini. In particolare, il localizzatore del controller di dominio nel membro di dominio Active Directory non usa il servizio server DNS per individuare i controller di dominio in un dominio con un nome DNS a etichetta singola, a meno che tale membro di dominio Active Directory non sia aggiunto a una foresta che contiene almeno un dominio e questo dominio abbia un nome DNS a etichetta singola.
Per consentire a un membro di dominio Active Directory di usare DNS per individuare i controller di dominio in domini con nomi DNS con etichetta singola presenti in altre foreste, seguire questa procedura:
Selezionare Start, selezionare Esegui, digitare regedit e quindi selezionare OK.
Individuare e selezionare la sottochiave seguente:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Nel riquadro dei dettagli individuare la voce AllowSingleLabelDnsDomain . Se la voce AllowSingleLabelDnsDomain non esiste, seguire questa procedura:
- Scegliere Nuovo dal menu Modifica, quindi selezionare Valore DWORD.
- Digitare AllowSingleLabelDnsDomain come nome della voce e quindi premere INVIO.
Fare doppio clic sulla voce AllowSingleLabelDnsDomain .
Nella casella Dati valore digitare 1 e quindi selezionare OK.
Uscire dall'editor del Registro di sistema.
Configurazione del client DNS
Importante
In questa sezione, metodo o attività viene illustrata la procedura per modificare il Registro di sistema. Poiché l'errata modifica del Registro di sistema può causare seri problemi, Di conseguenza, attenersi scrupolosamente alla procedura indicata. Per una maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. In questo modo sarà possibile ripristinare il Registro di sistema se si verifica un problema. Per altre informazioni, vedere Come eseguire il backup e ripristinare il Registro di sistema in Windows.
I membri di dominio e i controller di dominio di Active Directory che si trovano in un dominio con un nome DNS a etichetta singola devono in genere registrare dinamicamente i record DNS in una zona DNS a etichetta singola corrispondente al nome DNS di tale dominio. Se un dominio radice della foresta di Active Directory ha un nome DNS a etichetta singola, tutti i controller di dominio in tale foresta devono in genere registrare dinamicamente i record DNS in una zona DNS a etichetta singola corrispondente al nome DNS della radice della foresta.
Per impostazione predefinita, i computer client DNS basati su Windows non tentano gli aggiornamenti dinamici della zona radice "." o delle zone DNS a etichetta singola. Per abilitare i computer client DNS basati su Windows per provare gli aggiornamenti dinamici di una zona DNS a etichetta singola, seguire questa procedura:
Selezionare Start, selezionare Esegui, digitare regedit e quindi selezionare OK.
Individuare e selezionare la sottochiave seguente:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DnsCache\Parameters
Nel riquadro dei dettagli individuare la voce UpdateTopLevelDomainZones . Se la voce UpdateTopLevelDomainZones non esiste, seguire questa procedura:
- Scegliere Nuovo dal menu Modifica, quindi selezionare Valore DWORD.
- Digitare UpdateTopLevelDomainZones come nome della voce e quindi premere INVIO.
Fare doppio clic sulla voce UpdateTopLevelDomainZones .
Nella casella Dati valore digitare 1 e quindi selezionare OK.
Uscire dall'editor del Registro di sistema.
Queste modifiche alla configurazione devono essere applicate a tutti i controller di dominio e ai membri di un dominio con nomi DNS a etichetta singola. Se un dominio con un nome di dominio a etichetta singola è una radice della foresta, queste modifiche di configurazione devono essere applicate a tutti i controller di dominio nella foresta, a meno che non _msdcs le zone separate. ForestName, _sites. ForestName, _tcp. ForestName, and_udp. ForestName viene delegato dalla zona ForestName .
Per rendere effettive le modifiche, riavviare i computer in cui sono state modificate le voci del Registro di sistema.
Nota
- Per Windows Server 2003 e versioni successive, la voce UpdateTopLevelDomainZones è stata spostata nella sottochiave del Registro di sistema seguente:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient
- In un controller di dominio basato su Microsoft Windows 2000 SP4, il computer segnalerà l'errore di registrazione del nome seguente nel registro eventi di sistema se l'impostazione UpdateTopLevelDomainZones non è abilitata:
- In un controller di dominio basato su Windows 2000 SP4, è necessario riavviare il computer dopo aver aggiunto l'impostazione UpdateTopLevelDomainZones.
Metodo 2: Usare Criteri di gruppo
Usare Criteri di gruppo per abilitare i criteri Aggiorna zone di dominio di primo livello e il percorso dei controller di dominio che ospitano un dominio con un nome DNS con etichetta singola, come specificato nella tabella seguente nella posizione della cartella nel contenitore di dominio radice in Utenti e computer o in tutte le unità organizzative (OU) che ospitano account computer per i computer membri, e per i controller di dominio nel dominio.
Criteri | Percorso cartella |
---|---|
Aggiornare le zone di dominio di primo livello | Configurazione computer\Modelli amministrativi\Rete\Client DNS |
Posizione dei controller di dominio che ospitano un dominio con nome DNS a etichetta singola | Configurazione computer\Modelli amministrativi\System\Net Logon\DC Locator DNS Records |
Nota
Questi criteri sono supportati solo nei computer basati su Windows Server 2003 e nei computer basati su Windows XP.
Per abilitare questi criteri, seguire questa procedura nel contenitore di dominio radice:
- Selezionare Start, selezionare Esegui, digitare gpedit.msc e quindi selezionare OK.
- In Criteri computer locali espandere Configurazione computer.
- Espandere Modelli amministrativi.
- Abilitare il criterio Aggiorna zone di dominio di primo livello. Per effettuare questa operazione, seguire questi passaggi:
- Espandere Rete.
- Selezionare Client DNS.
- Nel riquadro dei dettagli fare doppio clic su Aggiorna zone di dominio di primo livello.
- Selezionare Abilitato.
- Selezionare Applica, quindi selezionare OK.
- Abilitare il percorso dei controller di dominio che ospitano un dominio con un criterio nome DNS con etichetta singola. A tal fine, attenersi alla seguente procedura:
- Espandere Sistema.
- Espandere Accesso rete.
- Selezionare Dc Locator DNS Records (Record DNS localizzatori controller di dominio).
- Nel riquadro dei dettagli fare doppio clic su Percorso dei controller di dominio che ospitano un dominio con nome DNS con etichetta singola.
- Selezionare Abilitato.
- Selezionare Applica, quindi selezionare OK.
- Uscire da Criteri di gruppo.
Nei server DNS basati su Windows Server 2003 e versioni successive, assicurarsi che i server radice non vengano creati inavvertitamente.
Nei server DNS basati su Windows 2000 potrebbe essere necessario eliminare la zona radice "." per dichiarare correttamente i record DNS. La zona radice viene creata automaticamente quando viene installato il servizio server DNS perché il servizio server DNS non riesce a raggiungere gli hint radice. Questo problema è stato risolto nelle versioni successive di Windows.
I server radice possono essere creati dalla Creazione guidata DCpromo. Se la zona "." esiste, è stato creato un server radice. Per il corretto funzionamento della risoluzione dei nomi, potrebbe essere necessario rimuovere questa zona.
Impostazioni dei criteri DNS nuovi e modificati per Windows Server 2003 e versioni successive
Criteri Aggiorna zone di dominio di primo livello
Se questo criterio è specificato, crea una
REG_DWORD UpdateTopLevelDomainZones
voce nella sottochiave del Registro di sistema seguente:HKLM\Software\Policies\Microsoft\Windows NT\DNSClient
Di seguito sono riportati i valori di voce perUpdateTopLevelDomainZones
: - Abilitato (0x1). Un'impostazione 0x1 indica che i computer possono provare ad aggiornare le zone TopLevelDomain. Ovvero, se l'impostazioneUpdateTopLevelDomainZones
è abilitata, i computer a cui viene applicato questo criterio inviano aggiornamenti dinamici a qualsiasi zona autorevole per i record di risorse che il computer deve aggiornare, ad eccezione della zona radice. - Disabilitato (0x0). Un'impostazione 0x0 indica che ai computer non è consentito provare ad aggiornare le zone TopLevelDomain. Ovvero, se questa impostazione è disabilitata, i computer a cui viene applicato questo criterio non inviano aggiornamenti dinamici alla zona radice o alle zone di dominio di primo livello autorevoli per i record di risorse che il computer deve aggiornare. Se questa impostazione non è configurata, i criteri non vengono applicati ad alcun computer e i computer usano la configurazione locale.Criteri Registra record PTR
Un nuovo valore possibile, 0x2, della
REG_DWORD RegisterReverseLookup
voce è stato aggiunto nella sottochiave del Registro di sistema seguente:
HKLM\Software\Policies\Microsoft\Windows NT\DNSClient
Di seguito sono riportati i valori di voce per
RegisterReverseLookup
: - 0x2. Eseguire la registrazione solo se la registrazione del record "A" ha esito positivo. I computer tentano di implementare la registrazione dei record di risorse PTR solo se hanno registrato correttamente i record di risorse "A" corrispondenti. - 0x1. Registro. I computer tentano di implementare la registrazione dei record di risorse PTR indipendentemente dall'esito positivo della registrazione dei record "A". - 0x0. Non eseguire la registrazione. I computer non tentano mai di implementare la registrazione dei record di risorse PTR.