Spazio dei nomi indipendente

Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Uno spazio dei nomi non contiguo si verifica quando uno o più computer membri del dominio dispongono di un suffisso DNS (Domain Name Service) primario che non corrisponde al nome DNS del dominio di Active Directory di cui sono membri i computer. Ad esempio, un computer membro che usa un suffisso DNS primario corp.fabrikam.com in un dominio Active Directory denominato na.corp.fabrikam.com utilizza uno spazio dei nomi non contiguo.

Uno spazio dei nomi non contiguo è più complesso per quanto riguarda l’amministrazione, la gestione e la risoluzione dei problemi rispetto a uno spazio dei nomi contiguo. In uno spazio dei nomi contiguo, il suffisso DNS primario corrisponde al nome di dominio di Active Directory. Le applicazioni di rete scritte presupponendo che lo spazio dei nomi di Active Directory sia identico al suffisso DNS primario per tutti i computer membri del dominio non funzionano correttamente in uno spazio dei nomi non contiguo.

Supporto per spazi dei nomi non contigui

I computer membri del dominio, inclusi i controller di dominio, possono funzionare in uno spazio dei nomi non contiguo. I computer membri del dominio possono registrare il record di risorse host (A) e il record di risorse host IP versione 6 (IPv6) (AAAA) in uno spazio dei nomi DNS non contiguo. Quando i computer membri del dominio registrano i record di risorse in questo modo, i controller di dominio continuano a registrare record di risorse globali e specifici del sito (SRV) nella zona DNS identica al nome di dominio di Active Directory.

Si supponga, ad esempio, che un controller di dominio per il dominio di Active Directory denominato na.corp.fabrikam.com che usa un suffisso DNS primario di corp.fabrikam.com registri i record di risorse host (A) e IPv6 (AAAA) nella zona DNS corp.fabrikam.com. Il controller di dominio continua a registrare record di risorse globali e specifici del sito (SRV) nelle zone DNS _msdcs.na.corp.fabrikam.com e na.corp.fabrikam.com, rendendo possibile la posizione del servizio.

Importante

Anche se i sistemi operativi Windows possono supportare uno spazio dei nomi non contiguo, le applicazioni scritte presupponendo che il suffisso DNS primario sia uguale al suffisso di dominio di Active Directory potrebbero non funzionare in tale ambiente. Per questo motivo, è consigliabile testare attentamente tutte le applicazioni e i rispettivi sistemi operativi prima di distribuire uno spazio dei nomi non contiguo.

Uno spazio dei nomi non contiguo deve funzionare (ed è supportato) nelle situazioni seguenti:

• Quando una foresta con più domini di Active Directory usa un singolo spazio dei nomi DNS, noto anche come zona DNS

  Ne è un esempio un’azienda che usa domini locali con nomi quali na.corp.fabrikam.com, sa.corp.fabrikam.com e asia.corp.fabrikam.com, oltre a usare un singolo spazio dei nomi DNS, come ad esempio corp.fabrikam.com.

• Quando un singolo dominio di Active Directory viene suddiviso in spazi dei nomi DNS separati

  Ne è un esempio è un’azienda con un dominio di Active Directory corp.contoso.com che usa zone DNS come hr.corp.contoso.com, production.corp.contoso.com e it.corp.contoso.com.

Uno spazio dei nomi non contiguo non funziona correttamente (e non è supportato) nelle situazioni seguenti:

• Un suffisso non contiguo usato dai membri del dominio corrisponde a un nome di dominio di Active Directory in questa foresta o in un'altra. In questo modo si interrompe il routing del suffisso del nome Kerberos.

• Lo stesso suffisso non contiguo viene usato in un'altra foresta. Ciò impedisce il routing di questi suffissi tra foreste in modo univoco.

• Quando un server dell'autorità di certificazione (CA) membro di dominio modifica il nome di dominio completo (FQDN) in modo da non utilizzare più lo stesso suffisso DNS primario usato dai controller di dominio del dominio di cui è membro il server CA. In questo caso, potrebbero verificarsi problemi durante la convalida dei certificati rilasciati dal server CA, a seconda dei nomi DNS usati nei punti di distribuzione CRL. Tuttavia, se si colloca un server CA in uno spazio dei nomi non contiguo stabile, funziona correttamente ed è supportato.

Considerazioni sugli spazi dei nomi non contigui

Le considerazioni seguenti possono essere utili per decidere se usare uno spazio dei nomi non contiguo.

Compatibilità delle applicazioni

Come accennato in precedenza, uno spazio dei nomi non contiguo può causare problemi per tutte le applicazioni e i servizi scritti presupponendo che un suffisso DNS primario del computer sia identico al nome del dominio di cui è membro. Prima di distribuire uno spazio dei nomi non contiguo, è necessario verificare la presenza di problemi di compatibilità con le applicazioni. Assicurarsi inoltre di verificare la compatibilità di tutte le applicazioni usate durante l'analisi. Sono incluse le applicazioni di Microsoft e di altri sviluppatori di software.

Vantaggi degli spazi dei nomi non contigui

L'uso di uno spazio dei nomi non contiguo può avere i vantaggi seguenti:

• Poiché il suffisso DNS primario di un computer può indicare informazioni diverse, è possibile gestire lo spazio dei nomi DNS separatamente dal nome di dominio di Active Directory.

• È possibile separare lo spazio dei nomi DNS in base alla struttura aziendale o alla posizione geografica. Ad esempio, è possibile separare lo spazio dei nomi in base ai nomi delle business unit o alla posizione fisica, ad esempio continente, paese/area geografica o edificio.

Svantaggi degli spazi dei nomi non contigui

L'uso di uno spazio dei nomi non contiguo può avere gli svantaggi seguenti:

• È necessario creare e gestire zone DNS separate per ogni dominio di Active Directory della foresta con computer membri che usano uno spazio dei nomi non contiguo. Ciò significa che è richiesta una configurazione aggiuntiva più complessa.

• È necessario eseguire passaggi manuali per modificare e gestire l'attributo di Active Directory che consente ai membri del dominio di usare suffissi DNS primari specificati.

• Per ottimizzare la risoluzione dei nomi, è necessario eseguire passaggi manuali per modificare e gestire criteri di gruppo utili a configurare i computer membri con suffissi DNS primari alternativi.

Nota

Windows Internet Name Service (WINS) può essere usato per compensare questo svantaggio risolvendo i nomi con etichetta singola. Per altre informazioni su WINS, consultare le informazioni tecniche di riferimento su WINS.

• Quando l'ambiente richiede più suffissi DNS primari, è necessario configurare in modo appropriato l'ordine di ricerca del suffisso DNS per tutti i domini di Active Directory della foresta.

  Per impostare l'ordine di ricerca del suffisso DNS, è possibile usare gli oggetti dei criteri di gruppo o i parametri del servizio server DHCP (Dynamic Host Configuration Protocol). È inoltre possibile modificare il registro di sistema.

• È necessario testare attentamente tutte le applicazioni per individuare eventuali problemi di compatibilità.

Per altre informazioni sui passaggi che è possibile eseguire per compensare questi svantaggi, vedere Creare uno spazio dei nomi non contiguo.

Pianificazione della transizione di uno spazio dei nomi

Prima di modificare uno spazio dei nomi, esaminare le considerazioni seguenti, che riguardano le transizioni da spazi dei nomi contigui a spazi dei nomi non contigui (o viceversa):

• Dopo una modifica dello spazio dei nomi, i nomi dell'entità servizio (SPN) configurati manualmente potrebbero non corrispondere più ai nomi DNS. Ciò può causare errori di autenticazione.

  Per altre informazioni, vedere Accesso al servizio non riuscito a causa di SPN impostati in modo errato.

  • Se si usano computer basati su Windows Server 2003 con delega vincolata, questi potrebbero richiedere la modifica manuale dell'attributo msDS-AllowedToDelegateTo in Active Directory. Per altre informazioni, vedere l'attributo ms-DS-Allowed-To-Delegate-To.

  • Per delegare le autorizzazioni alla modifica dei nomi SPN agli amministratori subordinati, vedere Delega dell'autorizzazione alla modifica dei nomi SPN.

• Se si usa LDAP (Lightweight Directory Access Protocol) su SSL (Secure Sockets Layer), noto come LDAPS, con una CA in una distribuzione con controller di dominio configurati in uno spazio dei nomi non contiguo, quando si configurano i certificati LDAPS è necessario usare il nome di dominio Active Directory appropriato e il suffisso DNS primario.

  Per altre informazioni sui requisiti dei certificati di controller di dominio, consultare l'articolo 321051 della Microsoft Knowledge Base, Come abilitare LDAP tramite SSL con un'autorità di certificazione di terze parti.

  Nota

  I controller di dominio che usano certificati per LDAPS possono richiedere di ridistribuire i certificati. In questo caso, i controller di dominio potrebbero non selezionare un certificato appropriato fino al riavvio. Per altre informazioni sull'autenticazione LDAP (Lightweight Directory Access Protocol) su SSL (Secure Sockets Layer) per Windows Server 2003, consultare l'articolo 938703 della Microsoft Knowledge Base, Come risolvere i problemi di connessione LDAP su SSL.

Pianificazione delle distribuzioni di spazi dei nomi non contigui

Se si distribuiscono computer in un ambiente con uno spazio dei nomi non contiguo, adottare le precauzioni seguenti:

1. Avvisare tutti i fornitori di software con cui si collabora in modo che possano testare uno spazio dei nomi non contiguo ed essere in grado di supportarlo. Chiedere loro di verificare se possono supportare le applicazioni in ambienti che usano spazi dei nomi non contigui.

2. Testare tutte le versioni di sistemi operativi e applicazioni in ambienti lab con spazi dei nomi non contigui. Quando si esegue questa operazione, seguire queste indicazioni:

   1. Risolvere tutti i problemi software prima di distribuire il software nell'ambiente.

   2. Quando possibile, partecipare ai test beta dei sistemi operativi e delle applicazioni che si prevede di distribuire in spazi dei nomi non contigui.

3. Assicurarsi che gli amministratori e il personale del supporto tecnico siano a conoscenza dello spazio dei nomi non contiguo e del relativo impatto.

4. Creare un piano che consenta di passare da uno spazio dei nomi non contiguo a uno spazio dei nomi contiguo, se necessario.

5. Promuovere con i fornitori di sistemi operativi e applicazioni l'importanza del supporto degli spazi dei nomi non contigui.