Rozłączna przestrzeń nazw

2025-05-12
Dotyczy: ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Rozłączna przestrzeń nazw występuje, gdy co najmniej jeden komputer członkowski domeny ma sufiks podstawowej usługi nazw domen (DNS), który nie jest zgodny z nazwą DNS domeny usługi Active Directory, której komputery są członkami. Na przykład komputer członkowski używający podstawowego sufiksu DNS corp.fabrikam.com w domenie usługi Active Directory o nazwie na.corp.fabrikam.com używa rozłącznej przestrzeni nazw.

Rozłączna przestrzeń nazw jest bardziej złożona do administrowania, konserwacji i rozwiązywania problemów niż ciągłej przestrzeni nazw. W ciągłej przestrzeni nazw podstawowy sufiks DNS jest zgodny z nazwą domeny usługi Active Directory. Aplikacje sieciowe napisane w celu założenia, że przestrzeń nazw usługi Active Directory jest identyczna z podstawowym sufiksem DNS dla wszystkich komputerów członkowskich domeny nie działają prawidłowo w rozłącznej przestrzeni nazw.

Obsługa rozłącznych przestrzeni nazw

Komputery członkowskie domeny, w tym kontrolery domeny, mogą działać w rozłącznej przestrzeni nazw. Komputery będące członkami domeny mogą zarejestrować rekordy zasobów hosta (A) oraz hosta (AAAA) wersji IP 6 (IPv6) w odrębnej przestrzeni nazw DNS. Gdy komputery członkowskie domeny rejestrują w ten sposób swoje rekordy zasobów, kontrolery domeny nadal rejestrują globalne i specyficzne dla lokacji rekordy zasobów usługi (SRV) w strefie DNS, która jest identyczna z nazwą domeny Active Directory.

Na przykład, załóżmy, że kontroler domeny dla domeny Active Directory o nazwie na.corp.fabrikam.com, używający podstawowego sufiksu DNS corp.fabrikam.com, rejestruje rekordy zasobów hosta (A) i hosta IPv6 (AAAA) w strefie DNS corp.fabrikam.com. Kontroler domeny nadal rejestruje rekordy zasobów usługi globalnej i specyficznej dla lokacji (SRV) w strefach DNS _msdcs.na.corp.fabrikam.com i na.corp.fabrikam.com, co umożliwia lokalizację usługi.

Ważne

Mimo że systemy operacyjne Windows mogą obsługiwać rozłączną przestrzeń nazw, aplikacje napisane w celu założenia, że podstawowy sufiks DNS jest taki sam jak sufiks domeny usługi Active Directory może nie działać w takim środowisku. Z tego powodu należy dokładnie przetestować wszystkie aplikacje i odpowiednie systemy operacyjne przed wdrożeniem rozłącznej przestrzeni nazw.

Rozłączna przestrzeń nazw powinna działać (i jest obsługiwana) w następujących sytuacjach:

Gdy las z wieloma domenami usługi Active Directory używa jednej przestrzeni nazw DNS, która jest również znana jako strefa DNS

Przykładem jest firma, która używa domen regionalnych o nazwach takich jak na.corp.fabrikam.com, sa.corp.fabrikam.com i asia.corp.fabrikam.com i używa pojedynczej przestrzeni nazw DNS, takiej jak corp.fabrikam.com.
Gdy jedna domena usługi Active Directory jest podzielona na oddzielne przestrzenie nazw DNS

Przykładem jest firma z domeną usługi Active Directory corp.contoso.com, która używa stref DNS, takich jak hr.corp.contoso.com, production.corp.contoso.com i it.corp.contoso.com.

Rozłączna przestrzeń nazw nie działa prawidłowo (i nie jest obsługiwana) w następujących sytuacjach:

Niespójny sufiks używany przez członków domeny odpowiada nazwie domeny systemu Active Directory w tym lub innym kontekście. Spowoduje to przerwanie routingu sufiksów nazw Protokołu Kerberos.
Ten sam rozłączny sufiks jest używany w innym lesie. Zapobiega to routingu tych sufiksów unikatowo między lasami.
Gdy serwer urzędu certyfikacji (CA) będący członkiem domeny zmienia swoją w pełni kwalifikowaną nazwę domeny (FQDN), aby nie używał już tego samego podstawowego sufiksu DNS, którego używają kontrolery domeny, do której należy ten serwer. W takim przypadku mogą wystąpić problemy z walidacją certyfikatów wystawionych przez serwer urzędu certyfikacji, w zależności od nazw DNS używanych w punktach dystrybucji listy CRL. Jeśli jednak serwer urzędu certyfikacji znajduje się w stabilnej rozłącznej przestrzeni nazw, działa prawidłowo i jest obsługiwany.

Zagadnienia dotyczące rozłącznych przestrzeni nazw

Poniższe zagadnienia mogą pomóc w podjęciu decyzji, czy należy użyć rozłącznej przestrzeni nazw.

Zgodność aplikacji

Jak wspomniano wcześniej, rozłączna przestrzeń nazw może powodować problemy ze wszystkimi aplikacjami i usługami zapisanymi w celu założenia, że podstawowy sufiks DNS komputera jest identyczny z nazwą domeny, której jest członkiem. Przed wdrożeniem rozłącznej przestrzeni nazw należy sprawdzić aplikacje pod kątem problemów ze zgodnością. Pamiętaj również, aby sprawdzić zgodność wszystkich aplikacji używanych podczas przeprowadzania analizy. Obejmuje to aplikacje firmy Microsoft i innych deweloperów oprogramowania.

Zalety rozłącznych przestrzeni nazw

Użycie odrębnej przestrzeni nazw może mieć następujące zalety:

Ponieważ podstawowy sufiks DNS komputera może wskazywać różne informacje, można zarządzać przestrzenią nazw DNS oddzielnie od nazwy domeny usługi Active Directory.
Przestrzeń nazw DNS można oddzielić na podstawie struktury biznesowej lub lokalizacji geograficznej. Można na przykład oddzielić przestrzeń nazw na podstawie nazw jednostek biznesowych lub lokalizacji fizycznej, takiej jak kontynent, kraj/region lub budynek.

Wady rozłącznych przestrzeni nazw

Użycie rozłącznej przestrzeni nazw może mieć następujące wady:

Należy utworzyć oddzielne strefy DNS i zarządzać nimi dla każdej domeny usługi Active Directory w lesie, gdzie znajdują się komputery członkowskie korzystające z przestrzeni nazw rozłącznej. (Oznacza to, że wymaga dodatkowej i bardziej złożonej konfiguracji).
Należy wykonać czynności ręczne, aby zmodyfikować atrybut usługi Active Directory i zarządzać nim, który umożliwia członkom domeny używanie określonych, podstawowych sufiksów DNS.
Aby zoptymalizować rozpoznawanie nazw, należy wykonać ręczne kroki, aby zmodyfikować i zachować zasady grupy w celu skonfigurowania komputerów członkowskich z alternatywnymi podstawowymi sufiksami DNS.

Uwaga / Notatka

Usługa nazw internetowych systemu Windows (WINS) może służyć do przesunięcia tej wady przez rozpoznawanie nazw z jedną etykietą. Aby uzyskać więcej informacji na temat usługi WINS, zobacz dokumentację techniczną usługi WINS.

Jeśli środowisko wymaga wielu podstawowych sufiksów DNS, należy odpowiednio skonfigurować kolejność wyszukiwania sufiksów DNS dla wszystkich domen usługi Active Directory w lesie.

Aby ustawić kolejność wyszukiwania sufiksów DNS, można użyć obiektów zasad grupy lub parametrów usługi serwera dhcp (Dynamic Host Configuration Protocol). Można również zmodyfikować rejestr.
Należy dokładnie przetestować wszystkie aplikacje pod kątem problemów ze zgodnością.

Aby uzyskać więcej informacji na temat kroków, które można wykonać, aby rozwiązać te wady, zobacz Tworzenie rozłącznej przestrzeni nazw.

Planowanie przejścia przestrzeni nazw

Przed zmodyfikowaniem przestrzeni nazw zapoznaj się z następującymi zagadnieniami, które dotyczą przejścia z ciągłych przestrzeni nazw do rozłącznych przestrzeni nazw (lub odwrotnie):

Ręcznie skonfigurowane główne nazwy usługi (SPN) mogą nie być już zgodne z nazwami DNS po zmianie przestrzeni nazw. Może to spowodować błędy uwierzytelniania.

Aby uzyskać więcej informacji, zobacz Niepowodzenia logowań usług z powodu niepoprawnego ustawienia nazw SPN.
- Jeśli używasz komputerów z systemem Windows Server 2003 z ograniczonym delegowaniem, te komputery mogą wymagać ręcznej edycji atrybutu msDS-AllowedToDelegateTo w usłudze Active Directory. Aby uzyskać więcej informacji, zobacz atrybutms-DS-Allowed-To-Delegate-To.
- Jeśli chcesz delegować uprawnienia do modyfikowania nazw SPN do administratorów podrzędnych, zobacz Delegowanie urzędu do modyfikowania nazw SPN.
Jeśli używasz protokołu LDAP (Lightweight Directory Access Protocol) poprzez protokół SSL (Secure Sockets Layer) (znanego jako LDAPS) z urzędem certyfikacji w wdrożeniu, które ma kontrolery domen skonfigurowane w rozłącznej przestrzeni nazw, należy użyć odpowiedniej nazwy domeny Active Directory i podstawowego sufiksu DNS podczas konfigurowania certyfikatów LDAPS.

Aby uzyskać więcej informacji na temat wymagań dotyczących certyfikatów kontrolera domeny, zobacz artykuł 321051 w bazie wiedzy Microsoft Knowledge Base, How to enable LDAP over SSL with a third-party certification authority (Jak włączyć protokół LDAP za pośrednictwem protokołu SSL za pomocą urzędu certyfikacji innej firmy).

Uwaga / Notatka

Kontrolery domeny korzystające z certyfikatów dla protokołu LDAPS mogą wymagać ponownego wdrożenia ich certyfikatów. Gdy to zrobisz, kontrolery domeny mogą nie wybrać odpowiedniego certyfikatu, dopóki nie zostaną uruchomione ponownie. Aby uzyskać więcej informacji na temat uwierzytelniania PROTOKOŁU LDAP (Lightweight Directory Access Protocol) za pośrednictwem protokołu SECURE Sockets Layer (SSL) (LDAPS) dla systemu Windows Server 2003, zobacz artykuł 938703 w bazie wiedzy Microsoft Knowledge Base, Jak rozwiązywać problemy z połączeniem LDAP za pośrednictwem połączenia SSL.

Planowanie nieprzylegających wdrożeń przestrzeni nazw

W przypadku wdrażania komputerów w środowisku, które ma rozłączną przestrzeń nazw, należy podjąć następujące środki ostrożności:

Powiadom wszystkich dostawców oprogramowania, z którymi pracujesz, że muszą testować i obsługiwać rozłączną przestrzeń nazw. Poproś ich o sprawdzenie, czy obsługują aplikacje w środowiskach korzystających z rozłącznych przestrzeni nazw.
Przetestuj wszystkie wersje systemów operacyjnych i aplikacji w niezależnych środowiskach laboratoryjnych przestrzeni nazw. Gdy to zrobisz, postępuj zgodnie z następującymi zaleceniami:
1. Rozwiąż wszystkie problemy z oprogramowaniem przed wdrożeniem oprogramowania w środowisku.
2. Jeśli to możliwe, weź udział w testach beta systemów operacyjnych i aplikacji, które mają zostać wdrożone w rozłącznych przestrzeniach nazw.
Upewnij się, że administratorzy i pracownicy działu wsparcia technicznego są świadomi rozdzielonej przestrzeni nazw i jej wpływu.
Utwórz plan, który umożliwia przejście z rozłącznej przestrzeni nazw do ciągłej przestrzeni nazw, w razie potrzeby.
Promowanie znaczenia wsparcia rozłącznych przestrzeni nazw w systemach operacyjnych i u dostawców aplikacji.