Implantação e operação de domínios do Active Directory configurados usando nomes DNS de rótulo único

  • Artigo

Este artigo contém informações sobre a implantação e a operação de domínios do AD (Active Directory) configurados usando nomes DNS de rótulo único.

Aplica-se a: Windows Server 2008 R2 Service Pack 1, Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows 10, versão 1809
Número de KB original: 300684

Resumo

O desejo de remover a configuração de domínio de rótulo único é um motivo frequente para renomear um domínio. As informações de compatibilidade do aplicativo neste artigo se aplicam a todos os cenários em que você pode considerar renomear um domínio.

Pelos seguintes motivos, a melhor prática é criar novos domínios do Active Directory que tenham nomes DNS totalmente qualificados:

  • Os nomes DNS de rótulo único não podem ser registrados usando um registrador da Internet.

  • Computadores cliente e controladores de domínio que são associados a domínios de rótulo único exigem configuração adicional para registrar dinamicamente registros DNS em zonas DNS de rótulo único.

  • Computadores cliente e controladores de domínio podem exigir configuração adicional para resolve consultas DNS em zonas DNS de rótulo único.

  • Alguns aplicativos baseados em servidor são incompatíveis com nomes de domínio de rótulo único. O suporte ao aplicativo pode não existir na versão inicial de um aplicativo ou o suporte pode ser descartado em uma versão futura.

  • A transição de um nome de domínio DNS de rótulo único para um nome DNS totalmente qualificado não é trivial e consiste em duas opções. Migrar usuários, computadores, grupos e outros estados para uma nova floresta. Ou faça uma renomeação de domínio do domínio existente. Alguns aplicativos baseados em servidor são incompatíveis com o recurso de renomeação de domínio com suporte no Windows Server 2003 e em controladores de domínio mais recentes. Essas incompatibilidades bloqueiam o recurso de renomeação de domínio ou dificultam o uso do recurso de renomeação de domínio quando você tenta renomear um nome DNS de rótulo único para um nome de domínio totalmente qualificado.

  • O Assistente de Instalação do Active Directory (Dcpromo.exe) no Windows Server 2008 alerta para a criação de novos domínios com nomes DNS de rótulo único. Como não há nenhum motivo comercial ou técnico para criar novos domínios que tenham nomes DNS de rótulo único, o Assistente de Instalação do Active Directory no Windows Server 2008 R2 bloqueia explicitamente a criação desses domínios.

Exemplos de aplicativos incompatíveis com a renomeação de domínio incluem, mas não se limitam a, os seguintes produtos:

  • Microsoft Exchange 2000 Server
  • Microsoft Exchange Server 2007
  • Microsoft Exchange Server 2010
  • Microsoft Exchange Server 2013
  • Servidor ISA (Segurança e Aceleração da Internet) da Microsoft 2004
  • Microsoft Live Communications Server 2005
  • Microsoft Operations Manager 2005
  • Microsoft SharePoint Portal Server 2003
  • Microsoft Systems Management Server (SMS) 2003
  • Microsoft Office Communications Server 2007
  • Microsoft Office Communications Server 2007 R2
  • Microsoft System Center Operations Manager 2007 SP1
  • Microsoft System Center Operations Manager 2007 R2
  • Microsoft Lync Server 2010
  • Microsoft Lync Server 2013

Mais informações

Os nomes de domínio do Active Directory de prática recomendada consistem em um ou mais subdomínios combinados com um domínio de nível superior separado por um caractere de ponto ("."). Os seguintes são alguns exemplos:

  • contoso.com
  • corp.contoso.com

Nomes de rótulo único consistem em uma única palavra como "contoso".

O domínio de nível superior ocupa o rótulo mais à direita em um nome de domínio. Domínios comuns de nível superior incluem o seguinte:

  • .com
  • .Net
  • .Org
  • Domínios de nível superior de código de país de duas letras (ccTLD), como .nz

Os nomes de domínio do Active Directory devem consistir em dois ou mais rótulos para o sistema operacional atual e futuro e para a experiência e confiabilidade do aplicativo.

Consultas de domínio de nível superior inválidas relatadas pelo Comitê Consultivo de Segurança e Estabilidade da ICANN podem ser encontradas em Consultas de Domínio de Nível Superior Inválidos no Nível Raiz do Sistema de Nomes de Domínio.

Registro de nome DNS com um registrador da Internet

Recomendamos registrar nomes DNS para os principais namespaces DNS internos e externos com um registrador da Internet. O que inclui o domínio raiz da floresta de qualquer floresta do Active Directory, a menos que esses nomes sejam subdomínios de nomes DNS registrados pelo nome da sua organização (por exemplo, o domínio raiz da floresta "corp.example.com" é um subdomínio de um namespace interno "example.com".) Quando você registra seus nomes DNS com um registrador da Internet, isso permite que servidores DNS da Internet resolve seu domínio agora ou em algum momento ao longo da vida da floresta do Active Directory. E esse registro ajuda a evitar possíveis colisões de nome por outras organizações.

Possíveis sintomas quando os clientes não podem registrar dinamicamente registros DNS em uma zona de pesquisa avançada de rótulo único

Se você usar um nome DNS de rótulo único em seu ambiente, os clientes poderão não conseguir registrar dinamicamente registros DNS em uma zona de pesquisa de encaminhamento de rótulo único. Os sintomas específicos variam de acordo com a versão do Microsoft Windows instalada.

A lista a seguir descreve os sintomas que podem ocorrer:

  • Depois de configurar o Microsoft Windows para um único nome de domínio de rótulo, todos os servidores que têm a função de controlador de domínio podem não conseguir registrar registros DNS. O log do sistema do controlador de domínio pode registrar consistentemente avisos NETLOGON 5781 que se assemelham ao seguinte exemplo:

    Observação

    O código de status 0000232a mapeia para o seguinte código de erro:

    DNS_ERROR_RCODE_SERVER_FAILURE

  • Os seguintes códigos de erro e códigos de erro de status adicionais podem aparecer em arquivos de log, como Netdiag.log:

    Código de Erro DNS: 0x0000251D = DNS_INFO_NO_RECORDS
    DNS_ERROR_RCODE_ERROR
    RCODE_SERVER_FAILURE

  • Computadores baseados em Windows configurados para atualizações dinâmicas DNS não serão registrados em um domínio de rótulo único. Eventos de aviso que se assemelham aos seguintes exemplos são registrados no log do sistema do computador:

Como permitir que clientes baseados no Windows façam consultas e atualizações dinâmicas com zonas DNS de rótulo único

Por padrão, o Windows não envia atualizações para domínios de nível superior. No entanto, você pode alterar esse comportamento usando um dos métodos descritos nesta seção. Use um dos seguintes métodos para permitir que clientes baseados no Windows façam atualizações dinâmicas em zonas DNS de rótulo único.

Também sem modificação, um membro de domínio do Active Directory em uma floresta que não contém domínios que tenham nomes DNS de rótulo único não usa o serviço DNS Server para localizar controladores de domínio em domínios que têm nomes DNS de rótulo único que estão em outras florestas. O acesso do cliente aos domínios que têm nomes DNS de rótulo único falhará se a resolução de nomes do NetBIOS não estiver configurada corretamente.

Método 1: usar Editor do Registro

  • Configuração do localizador do controlador de domínio para Windows XP Professional e versões posteriores do Windows

    Importante

    Esta seção, método ou tarefa contém etapas que descrevem como modificar o Registro. Entretanto, sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Portanto, siga essas etapas cuidadosamente. Para mais proteção, faça o backup do registro antes de modificá-lo. Em seguida, você poderá restaurar o registro se ocorrer um problema. Para obter mais informações, consulte Como fazer backup e restaurar o registro no Windows.

    Em um computador baseado no Windows, um membro de domínio do Active Directory requer configuração adicional para dar suporte a nomes DNS de rótulo único para domínios. Especificamente, o localizador do controlador de domínio no membro de domínio do Active Directory não usa o serviço de servidor DNS para localizar controladores de domínio em um domínio que tenha um nome DNS de rótulo único, a menos que o membro de domínio do Active Directory seja associado a uma floresta que contenha pelo menos um domínio, e esse domínio tenha um nome DNS de rótulo único.

    Para permitir que um membro de domínio do Active Directory use o DNS para localizar controladores de domínio em domínios com nomes DNS de rótulo único que estão em outras florestas, siga estas etapas:

    1. Selecione Iniciar, selecione Executar, digite regedit e selecione OK.

    2. Localize e selecione a seguinte subchave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

    3. No painel de detalhes, localize a entrada AllowSingleLabelDnsDomain . Se a entrada AllowSingleLabelDnsDomain não existir, siga estas etapas:

      1. No menu Editar , aponte para Novo e selecione Valor DWORD.
      2. Digite AllowSingleLabelDnsDomain como o nome de entrada e pressione ENTER.

    4. Clique duas vezes na entrada AllowSingleLabelDnsDomain .

    5. Na caixa de dados Valor , digite 1 e selecione OK.

    6. Saia do Editor do Registro.

  • Configuração do cliente DNS

    Importante

    Esta seção, método ou tarefa contém etapas que descrevem como modificar o Registro. Entretanto, sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Portanto, siga essas etapas cuidadosamente. Para mais proteção, faça o backup do registro antes de modificá-lo. Em seguida, você poderá restaurar o registro se ocorrer um problema. Para obter mais informações, consulte Como fazer backup e restaurar o registro no Windows.

    Membros de domínio do Active Directory e controladores de domínio que estão em um domínio que tem um nome DNS de rótulo único normalmente devem registrar dinamicamente registros DNS em uma zona DNS de rótulo único que corresponda ao nome DNS desse domínio. Se um domínio raiz da floresta do Active Directory tiver um nome DNS de rótulo único, todos os controladores de domínio nessa floresta normalmente devem registrar registros DNS dinamicamente em uma zona DNS de rótulo único que corresponda ao nome DNS da raiz da floresta.

    Por padrão, os computadores cliente DNS baseados no Windows não tentam atualizações dinâmicas da zona raiz "" ou de zonas DNS de rótulo único. Para permitir que computadores cliente DNS baseados no Windows experimentem atualizações dinâmicas de uma zona DNS de rótulo único, siga estas etapas:

    1. Selecione Iniciar, selecione Executar, digite regedit e selecione OK.

    2. Localize e selecione a seguinte subchave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DnsCache\Parameters

    3. No painel de detalhes, localize a entrada UpdateTopLevelDomainZones . Se a entrada UpdateTopLevelDomainZones não existir, siga estas etapas:

      1. No menu Editar , aponte para Novo e selecione Valor DWORD.
      2. Digite UpdateTopLevelDomainZones como o nome de entrada e pressione ENTER.

    4. Clique duas vezes na entrada UpdateTopLevelDomainZones .

    5. Na caixa de dados Valor , digite 1 e selecione OK.

    6. Saia do Editor do Registro.

    Essas alterações de configuração devem ser aplicadas a todos os controladores de domínio e membros de um domínio com nomes DNS de rótulo único. Se um domínio que tem um nome de domínio de rótulo único for uma raiz de floresta, essas alterações de configuração devem ser aplicadas a todos os controladores de domínio na floresta, a menos que as zonas separadas _msdcs. ForestName, _sites. ForestName, _tcp. ForestName, and_udp. ForestName são delegados da zona ForestName .

    Para que as alterações entrem em vigor, reinicie os computadores em que você alterou as entradas do registro.

    Observação

    • Para versões posteriores e do Windows Server 2003, a entrada UpdateTopLevelDomainZones foi movida para a seguinte subchave de registro:
      HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient
    • Em um controlador de domínio baseado em SP4 do Microsoft Windows 2000, o computador relatará o seguinte erro de registro de nome no log de eventos do Sistema se a configuração UpdateTopLevelDomainZones não estiver habilitada:
    • Em um controlador de domínio baseado em SP4 do Windows 2000, você deve reiniciar seu computador depois de adicionar a configuração UpdateTopLevelDomainZones.

Método 2: usar Política de Grupo

Use Política de Grupo para habilitar a política Atualizar Zonas de Domínio de Nível Superior e o Local dos DCs que hospedam um domínio com política de nome DNS de rótulo único, conforme especificado na tabela a seguir no local da pasta no contêiner de domínio raiz em Usuários e Computadores, ou em todas as OUs (unidades organizacionais) que hospedam contas de computador para computadores membros, e para controladores de domínio no domínio.

Política Local da pasta
Atualizar zonas de domínio de nível superior Configuração do Computador\Modelos Administrativos\Rede\Cliente DNS
Local dos DCs que hospedam um domínio com nome DNS de rótulo único Configuração do Computador\Modelos Administrativos\System\Net Logon\DC Localizadores DNS Records

Observação

Essas políticas têm suporte apenas em computadores baseados no Windows Server 2003 e em computadores baseados em Windows XP.

Para habilitar essas políticas, siga estas etapas no contêiner de domínio raiz:

  1. Selecione Iniciar, selecione Executar, digite gpedit.msc e selecione OK.
  2. Em Política de Computador Local, expanda Configuração do Computador.
  3. Expanda Modelos Administrativos.
  4. Habilite a política Atualizar Zonas de Domínio de Nível Superior. Para fazer isso, siga estas etapas:
    1. Expanda Rede.
    2. Selecione Cliente DNS.
    3. No painel de detalhes, clique duas vezes em Atualizar Zonas de Domínio de Nível Superior.
    4. Selecione Habilitado.
    5. Selecione Aplicar e, em seguida, selecione OK.
  5. Habilite o Local dos DCs que hospedam um domínio com política de nome DNS de rótulo único. Para fazer isso, siga estas etapas:
    1. Expanda Sistema.
    2. Expanda o Logon net.
    3. Selecione Registros DNS do Localizador DC.
    4. No painel de detalhes, clique duas vezes em Local dos DCs que hospedam um domínio com nome DNS de rótulo único.
    5. Selecione Habilitado.
    6. Selecione Aplicar e, em seguida, selecione OK.
  6. Saia Política de Grupo.

Em servidores DNS baseados no Windows Server 2003 e posteriores, verifique se os servidores raiz não foram criados involuntariamente.

Em servidores DNS baseados no Windows 2000, talvez seja necessário excluir a zona raiz "" para que os registros DNS sejam declarados corretamente. A zona raiz é criada automaticamente quando o serviço do servidor DNS é instalado porque o serviço do servidor DNS não consegue alcançar as dicas raiz. Esse problema foi corrigido em versões posteriores do Windows.

Os servidores raiz podem ser criados pelo Assistente de DCpromo. Se a zona "." existir, um servidor raiz será criado. Para que a resolução de nomes funcione corretamente, talvez seja necessário remover essa zona.

Configurações de política DNS novas e modificadas para versões posteriores e do Windows Server 2003

  • A política Atualizar Zonas de Domínio de Nível Superior

    Se essa política for especificada, ela criará uma REG_DWORD UpdateTopLevelDomainZones entrada na seguinte subchave de registro: HKLM\Software\Policies\Microsoft\Windows NT\DNSClient
    A seguir estão os valores de entrada para UpdateTopLevelDomainZones: – Habilitado (0x1). Uma configuração 0x1 significa que os computadores podem tentar atualizar as zonas TopLevelDomain. Ou seja, se a UpdateTopLevelDomainZones configuração estiver habilitada, os computadores aos quais essa política é aplicada enviarão atualizações dinâmicas para qualquer zona autoritária para os registros de recursos que o computador deve atualizar, exceto para a zona raiz. - Desabilitado (0x0). Uma configuração 0x0 significa que os computadores não têm permissão para tentar atualizar as zonas TopLevelDomain. Ou seja, se essa configuração estiver desabilitada, os computadores aos quais essa política é aplicada não enviarão atualizações dinâmicas para a zona raiz ou para as zonas de domínio de nível superior que são autoritativas para os registros de recurso que o computador deve atualizar. Se essa configuração não estiver configurada, a política não será aplicada a nenhum computador e os computadores usarão sua configuração local.

  • A política Registrar registros PTR

    Um novo valor possível, 0x2, da REG_DWORD RegisterReverseLookup entrada foi adicionado na subchave do registro a seguir:
    HKLM\Software\Policies\Microsoft\Windows NT\DNSClient

    A seguir estão os valores de entrada para RegisterReverseLookup: - 0x2. Registre-se somente se o registro "A" for bem-sucedido. Os computadores tentam implementar o registro de registros de recursos PTR somente se registrarem com êxito os registros de recurso "A" correspondentes. - 0x1. Registrar. Os computadores tentam implementar o registro de registros de recursos ptr qualquer que seja o sucesso do registro de registros "A". - 0x0. Não se registre. Os computadores nunca tentam implementar o registro de registros de recursos PTR.

Referências