Implementação e operação de domínios do Active Directory que são configurados com nomes DNS de etiqueta única

Este artigo contém informações sobre a implementação e operação de domínios do Active Directory (AD) que são configurados com nomes DNS de etiqueta única.

Número original da BDC: 300684

Resumo

O desejo de remover a configuração do domínio de etiqueta única é um motivo frequente para mudar o nome de um domínio. As informações de compatibilidade de aplicações neste artigo aplicam-se a todos os cenários em que poderá considerar mudar o nome de um domínio.

Pelas seguintes razões, a melhor prática é criar novos domínios do Active Directory com nomes DNS completamente qualificados:

• Os nomes DNS de etiqueta única não podem ser registados através de uma entidade de registo de Internet.

• Os computadores cliente e os controladores de domínio associados a domínios de etiqueta única requerem uma configuração adicional para registar dinamicamente registos DNS em zonas DNS de etiqueta única.

• Os computadores cliente e os controladores de domínio podem necessitar de configuração adicional para resolver consultas DNS em zonas DNS de etiqueta única.

• Algumas aplicações baseadas no servidor são incompatíveis com nomes de domínio de etiqueta única. O suporte da aplicação pode não existir na versão inicial de uma aplicação ou o suporte pode ser removido numa versão futura.

• A transição de um nome de domínio DNS de etiqueta única para um nome DNS completamente qualificado não é trivial e consiste em duas opções. Migre utilizadores, computadores, grupos e outros estados para uma nova floresta. Em alternativa, mude o nome de um domínio do domínio existente. Algumas aplicações baseadas no servidor são incompatíveis com a funcionalidade de mudança de nome de domínio suportada no Windows Server 2003 e controladores de domínio mais recentes. Estas incompatibilidades bloqueiam a funcionalidade de mudança de nome de domínio ou dificultam a utilização da funcionalidade de mudança de nome de domínio quando tenta mudar o nome de um nome DNS de etiqueta única para um nome de domínio completamente qualificado.

• O Assistente de Instalação do Active Directory (Dcpromo.exe) no Windows Server 2008 alerta para a criação de novos domínios com nomes DNS de etiqueta única. Uma vez que não existem razões comerciais ou técnicas para criar novos domínios com nomes DNS de etiqueta única, o Assistente de Instalação do Active Directory no Windows Server 2008 R2 bloqueia explicitamente a criação desses domínios.

Os exemplos de aplicações incompatíveis com o nome de domínio incluem, mas não se limitam a, os seguintes produtos:

• Microsoft Exchange 2000 Server
• Microsoft Exchange Server 2007
• Microsoft Exchange Server 2010
• Microsoft Exchange Server 2013
• Microsoft Internet Security and Acceleration (ISA) Server 2004
• Microsoft Live Communications Server 2005
• Microsoft Operations Manager 2005
• Microsoft SharePoint Portal Server 2003
• Microsoft Systems Management Server (SMS) 2003
• Microsoft Office Communications Server 2007
• Microsoft Office Communications Server 2007 R2
• Microsoft System Center Operations Manager 2007 SP1
• Microsoft System Center Operations Manager 2007 R2
• Microsoft Lync Server 2010
• Microsoft Lync Server 2013

Mais informações

Os nomes de domínio do Active Directory de melhor prática consistem num ou mais subdomínios que são combinados com um domínio de nível superior separado por um caráter de ponto ("."). Seguem-se alguns exemplos:

• contoso.com
• corp.contoso.com

Os nomes de etiqueta única consistem numa única palavra, como "contoso".

O domínio de nível superior ocupa a etiqueta mais à direita num nome de domínio. Os domínios de nível superior comuns incluem o seguinte:

• .com
• .net
• .org
• Domínios de nível superior (ccTLD) de código de país de duas letras, como .nz

Os nomes de domínio do Active Directory devem consistir em duas ou mais etiquetas para o sistema operativo atual e futuro e para a experiência e fiabilidade da aplicação.

As consultas de domínio de Nível Superior inválidas comunicadas pelo Comité Consultivo de Segurança e Estabilidade da ICANN podem ser encontradas em Consultas de Domínio de Nível Superior Inválidas no Nível Raiz do Sistema de Nomes de Domínio.

Registo de nomes DNS com uma entidade de registo de Internet

Recomendamos que registe nomes DNS para os principais espaços de nomes DNS internos e externos com uma entidade de registo de Internet. O que inclui o domínio de raiz da floresta de quaisquer florestas do Active Directory, a menos que esses nomes sejam subdomínios de nomes DNS que são registados pelo nome da sua organização (por exemplo, o domínio de raiz da floresta "corp.example.com" é um subdomínio de um espaço de nomes interno "example.com".) Quando regista os nomes DNS numa entidade de registo de Internet, isto permite que os servidores DNS da Internet resolvam o seu domínio agora ou em algum momento ao longo da vida útil da sua floresta do Active Directory. Além disso, este registo ajuda a evitar possíveis colisões de nomes por parte de outras organizações.

Possíveis sintomas quando os clientes não conseguem registar dinamicamente registos DNS numa zona de pesquisa de reencaminhamento de etiqueta única

Se utilizar um nome DNS de etiqueta única no seu ambiente, os clientes poderão não conseguir registar dinamicamente registos DNS numa zona de pesquisa de etiqueta única. Os sintomas específicos variam de acordo com a versão do Microsoft Windows que está instalada.

A lista seguinte descreve os sintomas que podem ocorrer:

• Depois de configurar o Microsoft Windows para um nome de domínio de etiqueta única, todos os servidores com a função de controlador de domínio poderão não conseguir registar registos DNS. O Registo de sistema do controlador de domínio pode registar consistentemente avisos NETLOGON 5781 semelhantes ao seguinte exemplo:

  Observação

  O código de estado 0000232a mapeia para o seguinte código de erro:

  DNS_ERROR_RCODE_SERVER_FAILURE

• Os seguintes códigos de estado adicionais e códigos de erro podem aparecer em ficheiros de registo, como Netdiag.log:

  Código de Erro DNS: 0x0000251D = DNS_INFO_NO_RECORDS
  DNS_ERROR_RCODE_ERROR
  RCODE_SERVER_FAILURE

• Os computadores baseados no Windows configurados para atualizações dinâmicas DNS não serão registados num domínio de etiqueta única. Os eventos de aviso que se assemelham aos seguintes exemplos são registados no Registo do sistema do computador:

Como permitir que clientes baseados em Windows façam consultas e atualizações dinâmicas com zonas DNS de etiqueta única

Por predefinição, o Windows não envia atualizações para domínios de nível superior. No entanto, pode alterar este comportamento através de um dos métodos descritos nesta secção. Utilize um dos seguintes métodos para permitir que os clientes baseados em Windows efetuem atualizações dinâmicas para zonas DNS de etiqueta única.

Além disso, sem modificação, um membro de domínio do Active Directory numa floresta que não contém domínios com nomes DNS de etiqueta única não utiliza o serviço servidor DNS para localizar controladores de domínio em domínios que tenham nomes DNS de etiqueta única que estejam noutras florestas. O acesso do cliente aos domínios que têm nomes DNS de etiqueta única falha se a resolução de nomes NetBIOS não estiver configurada corretamente.

Método 1: Utilizar o Editor de Registo

• Configuração do localizador do controlador de domínio para o Windows XP Professional e versões posteriores do Windows

  Importante

  Esta seção, método ou tarefa contém etapas que descrevem como modificar o Registro. Entretanto, sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Portanto, siga essas etapas cuidadosamente. Para mais proteção, faça o backup do registro antes de modificá-lo. Em seguida, você poderá restaurar o registro se ocorrer um problema. Para obter mais informações, consulte Como fazer uma cópia de segurança e restaurar o registo no Windows.

  Num computador baseado no Windows, um membro de domínio do Active Directory requer configuração adicional para suportar nomes DNS de etiqueta única para domínios. Especificamente, o localizador do controlador de domínio no membro de domínio do Active Directory não utiliza o serviço de servidor DNS para localizar controladores de domínio num domínio que tenha um nome DNS de etiqueta única, a menos que esse membro do domínio do Active Directory esteja associado a uma floresta que contenha, pelo menos, um domínio e este domínio tenha um nome DNS de etiqueta única.

  Para permitir que um membro do domínio do Active Directory utilize o DNS para localizar controladores de domínio em domínios que tenham nomes DNS de etiqueta única que estejam noutras florestas, siga estes passos:

  1. Selecione Iniciar, selecione Executar, escreva regedit e, em seguida, selecione OK.

  2. Localize e, em seguida, selecione a seguinte subchave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  3. No painel de detalhes, localize a entrada AllowSingleLabelDnsDomain . Se a entrada AllowSingleLabelDnsDomain não existir, siga estes passos:

     1. No menu Editar , aponte para Novo e, em seguida, selecione Valor DWORD.
     2. Escreva AllowSingleLabelDnsDomain como o nome da entrada e, em seguida, prima ENTER.

  4. Faça duplo clique na entrada AllowSingleLabelDnsDomain .

  5. Na caixa Dados do valor , escreva 1 e, em seguida, selecione OK.

  6. Saia do Editor do Registro.

• Configuração do cliente DNS

  Importante

  Esta seção, método ou tarefa contém etapas que descrevem como modificar o Registro. Entretanto, sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Portanto, siga essas etapas cuidadosamente. Para mais proteção, faça o backup do registro antes de modificá-lo. Em seguida, você poderá restaurar o registro se ocorrer um problema. Para obter mais informações, consulte Como fazer uma cópia de segurança e restaurar o registo no Windows.

  Normalmente, os membros de domínio e controladores de domínio do Active Directory que estejam num domínio que tenha um nome DNS de etiqueta única têm normalmente de registar dinamicamente registos DNS numa zona DNS de etiqueta única que corresponda ao nome DNS desse domínio. Se um domínio de raiz de floresta do Active Directory tiver um nome DNS de etiqueta única, todos os controladores de domínio nessa floresta têm normalmente de registar dinamicamente registos DNS numa zona DNS de etiqueta única que corresponda ao nome DNS da raiz da floresta.

  Por predefinição, os computadores cliente DNS baseados no Windows não tentam atualizações dinâmicas da zona de raiz "." ou de zonas DNS de etiqueta única. Para permitir que os computadores cliente DNS baseados no Windows tentem atualizações dinâmicas de uma zona DNS de etiqueta única, siga estes passos:

  1. Selecione Iniciar, selecione Executar, escreva regedit e, em seguida, selecione OK.

  2. Localize e, em seguida, selecione a seguinte subchave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DnsCache\Parameters

  3. No painel de detalhes, localize a entrada UpdateTopLevelDomainZones . Se a entrada UpdateTopLevelDomainZones não existir, siga estes passos:

     1. No menu Editar , aponte para Novo e, em seguida, selecione Valor DWORD.
     2. Escreva UpdateTopLevelDomainZones como o nome da entrada e, em seguida, prima ENTER.

  4. Faça duplo clique na entrada UpdateTopLevelDomainZones .

  5. Na caixa Dados do valor , escreva 1 e, em seguida, selecione OK.

  6. Saia do Editor do Registro.

  Estas alterações de configuração devem ser aplicadas a todos os controladores de domínio e membros de um domínio que tenham nomes DNS de etiqueta única. Se um domínio com um nome de domínio de etiqueta única for uma raiz de floresta, estas alterações de configuração devem ser aplicadas a todos os controladores de domínio na floresta, a menos que as zonas separadas _msdcs. ForestName, _sites. ForestName, _tcp. ForestName, and_udp. O ForestName é delegado a partir da zona ForestName .

  Para que as alterações entrem em vigor, reinicie os computadores onde alterou as entradas do registo.

  Observação

  • Para o Windows Server 2003 e versões posteriores, a entrada UpdateTopLevelDomainZones foi movida para a seguinte subchave de registo:
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient
  • Num controlador de domínio baseado no Microsoft Windows 2000 SP4, o computador irá comunicar o seguinte erro de registo de nomes no registo de eventos do Sistema se a definição UpdateTopLevelDomainZones não estiver ativada:
  • Num controlador de domínio baseado no Windows 2000 SP4, tem de reiniciar o computador depois de adicionar a definição UpdateTopLevelDomainZones.

Método 2: Utilizar a Política de Grupo

Utilize a Política de Grupo para ativar a política Atualizar Zonas de Domínio de Nível Superior e a Localização dos DCs que alojam um domínio com a política de nome DNS de etiqueta única, conforme especificado na tabela seguinte na localização da pasta no contentor de domínio raiz em Utilizadores e Computadores, ou em todas as unidades organizacionais (UOs) que alojam contas de computador para computadores membros, e para controladores de domínio no domínio.

Política	Localização da pasta
Atualizar Zonas de Domínio de Nível Superior	Configuração do Computador\Modelos Administrativos\Rede\Cliente DNS
Localização dos DCs que alojam um domínio com nome DNS de etiqueta única	Configuração do Computador\Modelos Administrativos\Sistema\Início de Sessão Net\Dc Locator DNS Records

Observação

Estas políticas são suportadas apenas em computadores baseados no Windows Server 2003 e em computadores baseados em Windows XP.

Para ativar estas políticas, siga estes passos no contentor de domínio raiz:

1. Selecione Iniciar, selecione Executar, escreva gpedit.msc e, em seguida, selecione OK.
2. Em Política de Computador Local, expanda Configuração do Computador.
3. Expanda Modelos Administrativos.
4. Ative a política Atualizar Zonas de Domínio de Nível Superior. Para fazer isso, siga estas etapas:
   1. Expanda Rede.
   2. Selecione Cliente DNS.
   3. No painel de detalhes, faça duplo clique em Atualizar Zonas de Domínio de Nível Superior.
   4. Selecione Habilitado.
   5. Selecione Aplicar e, em seguida, selecione OK.
5. Ative a Localização dos DCs que alojam um domínio com a política de nome DNS de etiqueta única. Para fazer isso, siga estas etapas:
   1. Expanda Sistema.
   2. Expanda Início de Sessão de Rede.
   3. Selecione Dc Locator DNS Records.
   4. No painel de detalhes, faça duplo clique em Localização dos DCs que alojam um domínio com o nome DNS de etiqueta única.
   5. Selecione Habilitado.
   6. Selecione Aplicar e, em seguida, selecione OK.
6. Saia da Política de Grupo.

Nos servidores DNS baseados no Windows Server 2003 e versões posteriores, certifique-se de que os servidores raiz não são criados involuntariamente.

Nos servidores DNS baseados no Windows 2000, poderá ter de eliminar a zona raiz "" para que os registos DNS tenham sido declarados corretamente. A zona raiz é criada automaticamente quando o serviço de servidor DNS é instalado porque o serviço de servidor DNS não consegue aceder às sugestões de raiz. Este problema foi corrigido em versões posteriores do Windows.

Os servidores raiz podem ser criados pelo Assistente de DCpromo. Se a zona "." existir, será criado um servidor raiz. Para que a resolução de nomes funcione corretamente, poderá ter de remover esta zona.

Definições de política DNS novas e modificadas para o Windows Server 2003 e versões posteriores

• A política Atualizar Zonas de Domínio de Nível Superior

  Se esta política for especificada, cria uma REG_DWORD UpdateTopLevelDomainZones entrada na seguinte subchave de registo: HKLM\Software\Policies\Microsoft\Windows NT\DNSClient
  Seguem-se os valores de entrada para UpdateTopLevelDomainZones: - Ativado (0x1). Uma definição de 0x1 significa que os computadores podem tentar atualizar as zonas TopLevelDomain. Ou seja, se a definição estiver ativada, os UpdateTopLevelDomainZones computadores para os quais esta política é aplicada enviam atualizações dinâmicas para qualquer zona que seja autoritativa para os registos de recursos que o computador tem de atualizar, exceto para a zona raiz. - Desativado (0x0). Uma definição de 0x0 significa que os computadores não estão autorizados a tentar atualizar as zonas TopLevelDomain. Ou seja, se esta definição estiver desativada, os computadores para os quais esta política é aplicada não enviam atualizações dinâmicas para a zona raiz ou para as zonas de domínio de nível superior que são autoritativas para os registos de recursos que o computador tem de atualizar. Se esta definição não estiver configurada, a política não é aplicada a nenhum computador e os computadores utilizam a respetiva configuração local.

• A política Registar Registos PTR

  Foi adicionado um novo valor possível, 0x2, da REG_DWORD RegisterReverseLookup entrada na seguinte subchave do registo:
  HKLM\Software\Policies\Microsoft\Windows NT\DNSClient

  Seguem-se os valores de entrada para RegisterReverseLookup: - 0x2. Registe-se apenas se o registo de registo "A" for bem-sucedido. Os computadores tentam implementar o registo de registos de recursos PTR apenas se registarem com êxito os registos de recursos "A" correspondentes. - 0x1. Registe-se. Os computadores tentam implementar o registo de registos de recursos PTR, seja qual for o êxito do registo de registos "A". - 0x0. Não se registe. Os computadores nunca tentam implementar o registo de registos de recursos PTR.

Referências

• Planeamento do espaço de nomes DNS

• Não é possível selecionar a função de Servidor DNS ao adicionar um controlador de domínio a um domínio do Active Directory existente

• Guia do ADMT: Migrar e Reestruturar Domínios do Active Directory

• Guia da Ferramenta de Migração do Active Directory (ADMT): Migrar e Reestruturar Domínios do Active Directory