Развертывание и эксплуатация доменов Active Directory, настроенных с помощью DNS-имен с одной меткой
Эта статья содержит сведения о развертывании и работе доменов Active Directory (AD), настроенных с помощью DNS-имен с одной меткой.
Исходный номер базы знаний: 300684
Сводка
Желание удалить конфигурацию домена с одной меткой является частой причиной переименования домена. Сведения о совместимости приложений, приведенные в этой статье, относятся ко всем сценариям, в которых можно рассмотреть вопрос о переименовании домена.
По следующим причинам рекомендуется создать новые домены Active Directory с полными DNS-именами.
Dns-имена с одной меткой нельзя зарегистрировать с помощью интернет-регистратора.
Клиентские компьютеры и контроллеры домена, присоединенные к доменам с одной меткой, требуют дополнительной настройки для динамической регистрации записей DNS в зонах DNS с одной меткой.
Клиентским компьютерам и контроллерам домена может потребоваться дополнительная настройка для разрешения запросов DNS в зонах DNS с одной меткой.
Некоторые серверные приложения несовместимы с однокомпонентными доменными именами. Поддержка приложений может не существовать в первоначальном выпуске приложения, или поддержка может быть прекращена в будущем выпуске.
Переход с доменного имени DNS с одной меткой на полное DNS-имя не является тривиальным и состоит из двух вариантов. Перенос пользователей, компьютеров, групп и других состояний в новый лес. Или переименуйте существующий домен. Некоторые серверные приложения несовместимы с функцией переименования домена, поддерживаемой в Windows Server 2003 и более новых контроллерах домена. Эти несовместимости либо блокируют функцию переименования домена, либо затрудняют использование функции переименования домена при попытке переименовать DNS-имя с одной меткой в полное доменное имя.
Мастер установки Active Directory (Dcpromo.exe) в Windows Server 2008 предостерегает от создания новых доменов с DNS-именами с одной меткой. Так как нет никаких бизнес-или технических причин для создания новых доменов с DNS-именами с одной меткой, мастер установки Active Directory в Windows Server 2008 R2 явно блокирует создание таких доменов.
Примеры приложений, несовместимых с переименованием домена, включают, помимо прочего, следующие продукты:
- Microsoft Exchange 2000 Server
- Microsoft Exchange Server 2007
- Microsoft Exchange Server 2010
- Microsoft Exchange Server 2013
- Microsoft Internet Security and Acceleration (ISA) Server 2004
- Microsoft Live Communications Server 2005
- Microsoft Operations Manager 2005
- Microsoft SharePoint Portal Server 2003
- Microsoft Systems Management Server (SMS) 2003
- Microsoft Office Communications Server 2007
- Microsoft Office Communications Server 2007 R2
- Microsoft System Center Operations Manager 2007 с пакетом обновления 1 (SP1)
- Microsoft System Center Operations Manager 2007 R2
- Microsoft Lync Server 2010
- Microsoft Lync Server 2013
Дополнительная информация
Рекомендуется, чтобы доменные имена Active Directory состояли из одного или нескольких поддоменов, объединенных с доменом верхнего уровня, разделенным символом точки ("."). Ниже приведены некоторые примеры.
- contoso.com
- corp.contoso.com
Имена с одной меткой состоят из одного слова, например contoso.
Домен верхнего уровня занимает самую правую метку в доменном имени. К общим доменам верхнего уровня относятся следующие:
- .Com
- .Чистая
- .Org
- Двухбуквенный код страны доменов верхнего уровня (ccTLD), таких как .nz
Доменные имена Active Directory должны состоять из двух или более меток для текущей и будущей операционной системы, а также для взаимодействия с приложениями и надежности.
Недопустимые запросы к домену верхнего уровня, о чем сообщает консультативный комитет по безопасности и стабильности в СЛУЖБЕ безопасности и стабильности, можно найти в разделе Недопустимые запросы домена верхнего уровня на корневом уровне системы доменных имен.
Регистрация DNS-имени с помощью интернет-регистратора
Рекомендуется регистрировать DNS-имена для самых популярных внутренних и внешних пространств имен DNS с помощью интернет-регистратора. К ним относится корневой домен леса любых лесов Active Directory, если только такие имена не являются поддоменами DNS-имен, зарегистрированных именем вашей организации (например, корневой домен леса "corp.example.com" является поддоменом внутреннего пространства имен "example.com".) При регистрации DNS-имен в интернет-регистраторе это позволяет DNS-серверам Интернета разрешать домен сейчас или в какой-то момент на протяжении всего срока жизни леса Active Directory. Кроме того, эта регистрация помогает предотвратить возможные столкновения имен в других организациях.
Возможные симптомы, когда клиенты не могут динамически регистрировать записи DNS в зоне прямого просмотра с одной меткой
Если в вашей среде используется DNS-имя с одной меткой, клиенты могут не иметь возможности динамически регистрировать записи DNS в зоне прямого просмотра с одной меткой. Конкретные симптомы зависят от установленной версии Microsoft Windows.
В следующем списке описаны симптомы, которые могут возникнуть:
После настройки Microsoft Windows для доменного имени с одной меткой все серверы с ролью контроллера домена могут не регистрировать записи DNS. Системный журнал контроллера домена может последовательно записывать в журнал предупреждения NETLOGON 5781, похожие на следующий пример:
Примечание.
Код состояния 0000232a сопоставляется со следующим кодом ошибки:
DNS_ERROR_RCODE_SERVER_FAILURE
Следующие дополнительные коды состояния и коды ошибок могут отображаться в файлах журнала, таких как Netdiag.log:
Код ошибки DNS: 0x0000251D = DNS_INFO_NO_RECORDS
DNS_ERROR_RCODE_ERROR
RCODE_SERVER_FAILUREКомпьютеры под управлением Windows, настроенные для динамических обновлений DNS, не регистрируются в домене с одной меткой. События предупреждения, похожие на следующие примеры, записываются в системный журнал компьютера:
Как разрешить клиентам под управлением Windows выполнять запросы и динамические обновления с зонами DNS с одной меткой
По умолчанию Windows не отправляет обновления в домены верхнего уровня. Однако это поведение можно изменить с помощью одного из методов, описанных в этом разделе. Используйте один из следующих методов, чтобы клиенты под управлением Windows могли выполнять динамическое обновление зон DNS с одной меткой.
Кроме того, без изменений член домена Active Directory в лесу, который не содержит домены с dns-именами с одной меткой, не использует службу DNS-сервера для поиска контроллеров домена в доменах с dns-именами с одной меткой, которые находятся в других лесах. Клиентский доступ к доменам с dns-именами с одной меткой завершается ошибкой, если разрешение имен NetBIOS настроено неправильно.
Способ 1. Использование редактора реестра
Конфигурация указателя контроллера домена для Windows XP Professional и более поздних версий Windows
Важно!
В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Дополнительные сведения см. в статье Резервное копирование и восстановление реестра в Windows.
На компьютере под управлением Windows члену домена Active Directory требуется дополнительная конфигурация для поддержки DNS-имен с одной меткой для доменов. В частности, указатель контроллера домена на члене домена Active Directory не использует службу DNS-сервера для поиска контроллеров домена в домене с DNS-именем с одной меткой, если этот член домена Active Directory не присоединен к лесу, содержащу по крайней мере один домен, и этот домен имеет DNS-имя с одной меткой.
Чтобы разрешить члену домена Active Directory использовать DNS для поиска контроллеров домена в доменах с dns-именами с одной меткой, которые находятся в других лесах, выполните следующие действия.
Нажмите кнопку Пуск, выберите Выполнить, введите regedit, а затем нажмите кнопку ОК.
Найдите и выберите следующий подраздел:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
В области сведений найдите запись AllowSingleLabelDnsDomain . Если запись AllowSingleLabelDnsDomain не существует, выполните следующие действия:
- В меню Правка наведите указатель мыши на пункт Создать, а затем выберите значение DWORD.
- Введите AllowSingleLabelDnsDomain в качестве имени записи и нажмите клавишу ВВОД.
Дважды щелкните запись AllowSingleLabelDnsDomain .
В поле Данные значения введите 1 и нажмите кнопку ОК.
Закройте редактор реестра.
Конфигурация DNS-клиента
Важно!
В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Дополнительные сведения см. в статье Резервное копирование и восстановление реестра в Windows.
Члены домена Active Directory и контроллеры домена, которые находятся в домене с DNS-именем с одной меткой, обычно должны динамически регистрировать записи DNS в зоне DNS с одной меткой, которая соответствует DNS-имени этого домена. Если корневой домен леса Active Directory имеет DNS-имя с одной меткой, все контроллеры домена в этом лесу обычно должны динамически регистрировать записи DNS в зоне DNS с одной меткой, которая соответствует DNS-имени корневого леса.
По умолчанию клиентские компьютеры DNS под управлением Windows не пытаются выполнить динамическое обновление корневой зоны "." или зон DNS с одной меткой. Чтобы включить на клиентских компьютерах DNS под управлением Windows динамическое обновление зоны DNS с одной меткой, выполните следующие действия.
Нажмите кнопку Пуск, выберите Выполнить, введите regedit, а затем нажмите кнопку ОК.
Найдите и выберите следующий подраздел:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DnsCache\Parameters
В области сведений найдите запись UpdateTopLevelDomainZones . Если запись UpdateTopLevelDomainZones не существует, выполните следующие действия:
- В меню Правка наведите указатель мыши на пункт Создать, а затем выберите значение DWORD.
- Введите UpdateTopLevelDomainZones в качестве имени записи и нажмите клавишу ВВОД.
Дважды щелкните запись UpdateTopLevelDomainZones .
В поле Данные значения введите 1 и нажмите кнопку ОК.
Закройте редактор реестра.
Эти изменения конфигурации должны применяться ко всем контроллерам домена и членам домена с DNS-именами с одной меткой. Если домен с однозначным доменным именем является корнем леса, эти изменения конфигурации должны применяться ко всем контроллерам домена в лесу, если отдельные зоны не _msdcs. ForestName, _sites. ForestName, _tcp. ForestName, and_udp. ForestName делегируются из зоны ForestName .
Чтобы изменения вступили в силу, перезагрузите компьютеры, на которых были изменены записи реестра.
Примечание.
- Для Windows Server 2003 и более поздних версий запись UpdateTopLevelDomainZones перемещена в следующий подраздел реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient
- На контроллере домена под управлением Microsoft Windows 2000 с пакетом обновления 4 (SP4) компьютер сообщит о следующей ошибке регистрации имени в журнале системных событий, если параметр UpdateTopLevelDomainZones не включен:
- На контроллере домена под управлением Windows 2000 с пакетом обновления 4 (SP4) компьютер необходимо перезагрузить после добавления параметра UpdateTopLevelDomainZones.
Метод 2. Использование групповой политики
Используйте групповую политику, чтобы включить политику Обновления доменных зон верхнего уровня и расположение контроллеров домена, в которых размещается домен с одной меткой политики DNS-имени, как указано в следующей таблице под расположением папки в корневом контейнере домена в разделе Пользователи и компьютеры или во всех подразделениях ( OU), в которых размещается компьютер учетных записей для компьютеров-членов. и для контроллеров домена в домене.
Политика | Расположение папки |
---|---|
Обновление доменных зон верхнего уровня | Конфигурация компьютера\Административные шаблоны\Сеть\DNS-клиент |
Расположение контроллеров домена, в котором размещается домен с DNS-именем с одной меткой | Конфигурация компьютера\Административные шаблоны\System\Net Logon\DC Locator DNS Records |
Примечание.
Эти политики поддерживаются только на компьютерах под управлением Windows Server 2003 и на компьютерах под управлением Windows XP.
Чтобы включить эти политики, выполните следующие действия в контейнере корневого домена:
- Нажмите кнопку Пуск, выберите Выполнить, введите gpedit.msc, а затем нажмите кнопку ОК.
- В разделе Политика локального компьютера разверните узел Конфигурация компьютера.
- Разверните узел Административные шаблоны.
- Включите политику Обновления доменных зон верхнего уровня. Для этого выполните следующие действия:
- Разверните узел Сеть.
- Выберите DNS-клиент.
- В области сведений дважды щелкните Обновить доменные зоны верхнего уровня.
- Щелкните Включено.
- Нажмите кнопку Применить, а затем нажмите кнопку ОК.
- Включите политику Расположения контроллеров домена, в котором размещается домен с одной меткой DNS-имени. Для этого выполните следующие действия:
- Разверните узел Система.
- Разверните узел Сетевой вход.
- Выберите Dc Locator DNS Records (Записи DNS указателя контроллера домена).
- В области сведений дважды щелкните Расположение контроллеров домена, в котором размещен домен с DNS-именем с одной меткой.
- Щелкните Включено.
- Нажмите кнопку Применить, а затем нажмите кнопку ОК.
- Выход из групповой политики.
На DNS-серверах под управлением Windows Server 2003 и более поздних версий убедитесь, что корневые серверы не создаются случайно.
На DNS-серверах под управлением Windows 2000 может потребоваться удалить корневую зону "." для правильного объявления записей DNS. Корневая зона автоматически создается при установке службы DNS-сервера, так как служба DNS-сервера не может связаться с корневыми указаниями. Эта проблема была исправлена в более поздних версиях Windows.
Корневые серверы могут быть созданы мастером DCpromo. Если зона "." существует, был создан корневой сервер. Чтобы разрешение имен работало правильно, может потребоваться удалить эту зону.
Новые и измененные параметры политики DNS для Windows Server 2003 и более поздних версий
Политика обновления доменных зон верхнего уровня
Если указана эта политика, создается
REG_DWORD UpdateTopLevelDomainZones
запись в следующем подразделе реестра:HKLM\Software\Policies\Microsoft\Windows NT\DNSClient
Ниже приведены значения записей дляUpdateTopLevelDomainZones
: - Enabled (0x1). Параметр 0x1 означает, что компьютеры могут попытаться обновить зоны TopLevelDomain. То есть, еслиUpdateTopLevelDomainZones
параметр включен, компьютеры, к которым применяется эта политика, отправляют динамические обновления в любую зону, которая является авторитетной для записей ресурсов, которые компьютер должен обновить, за исключением корневой зоны. — отключено (0x0). Параметр 0x0 означает, что компьютеры не могут пытаться обновить зоны TopLevelDomain. То есть, если этот параметр отключен, компьютеры, к которым применяется эта политика, не будут отправлять динамические обновления в корневую зону или в доменные зоны верхнего уровня, которые являются полномочными для записей ресурсов, которые компьютер должен обновить. Если этот параметр не настроен, политика не применяется ни к одному компьютеру, а компьютеры используют локальную конфигурацию.Политика "Регистрация записей PTR"
В следующем подразделе реестра было добавлено новое возможное
REG_DWORD RegisterReverseLookup
значение 0x2 записи:
HKLM\Software\Policies\Microsoft\Windows NT\DNSClient
Ниже приведены входные значения для
RegisterReverseLookup
: - 0x2. Регистрация только в том случае, если регистрация записи "A" выполнена успешно. Компьютеры пытаются реализовать регистрацию записей ресурсов PTR только в том случае, если они успешно зарегистрировали соответствующие записи ресурсов A. — 0x1. Зарегистрировать. Компьютеры пытаются реализовать регистрацию записей ресурсов PTR независимо от успешной регистрации записей "A". — 0x0. Не регистрируйтесь. Компьютеры никогда не пытаются реализовать регистрацию записей ресурсов PTR.