Соглашения об именовании в Active Directory для компьютеров, доменов, сайтов и подразделений

  • Статья

В этой статье описываются соглашения об именовании учетных записей компьютеров в Windows, доменных имен NetBIOS, ДОМЕНных имен DNS, сайтов Active Directory и подразделений, определенных в доменные службы Active Directory (AD DS).

Применимо к: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Оригинальный номер базы знаний: 909264

Аннотация

В этом статье рассматриваются следующие темы:

  • Допустимые символы для имен
  • Минимальная и максимальная длина имени
  • Зарезервированные имена
  • Не рекомендуемые имена
  • Общие рекомендации по поддержке AD DS в небольших, средних и крупных развертываниях

Для всех объектов, именованных в AD DS, режиме приложения Active Directory (ADAM) или службах Active Directory облегченного доступа к каталогу (AD LDS), применяется процесс сопоставления имен, основанный на алгоритме, описанном в следующей статье.

Нельзя добавить имя пользователя или имя объекта, которое отличается только символом с диакритической меткой.

В этой статье это соглашение об именовании применяется к именам компьютеров, подразделениям и именам сайтов.

Имена компьютеров

NetBIOS-имена компьютеров

  • Допустимые символы: Имена компьютеров NetBIOS могут содержать все буквенно-цифровые символы, за исключением расширенных символов, которые отображаются в следующем списке запрещенных символов . Имена могут содержать точку, но не могут начинаться с нее.

    Примечание.

    Microsoft Windows NT позволяет использовать точки для имен, не относящихся к DNS. Точки не должны использоваться в Windows. При обновлении компьютера, имя NetBIOS которого содержит точку, измените имя компьютера. Дополнительные сведения см. в разделе Специальные символы далее в этом разделе.

  • Запрещенные символы: Имена компьютеров NetBIOS не могут содержать следующие символы:

    • обратная косая черта (\)
    • косая черта (/)
    • Двоеточие (:)
    • Звездочка (*)
    • Вопросительный знак (?)
    • Кавычка (?)
    • меньше знака (<)
    • больше знака (>)
    • Вертикальная линия (|)
    • Компьютеры, которые являются членами домена Active Directory, не могут иметь имена, содержащие только цифры. Это ограничение DNS.

    Дополнительные сведения о синтаксисе NetBIOS-имен см. в разделе Синтаксис NetBIOS-имен.

  • Правила длины имен:

    • Минимальная длина имени: один символ
    • Максимальная длина имени: 15 символов

      Примечание.

      16-й символ имени компьютера NetBIOS зарезервирован для определения функциональных возможностей, установленных на зарегистрированном сетевом устройстве.

  • Зарезервированные имена: См . раздел Таблица зарезервированных слов.

  • Специальные символы: Точка (.)

    Символ точки делит имя на идентификатор netBIOS область и имя компьютера. Идентификатор области NetBIOS — это необязательная строка символов, которые обозначают логические сети NetBIOS, запущенные в одной физической сети TCP/IP. Для обеспечения работы NetBIOS между компьютерами они должны иметь одинаковый идентификатор области NetBIOS и уникальные имена компьютера.

    Использование областей NetBIOS в именах является устаревшей конфигурацией. Его не следует использовать в лесах Active Directory. Дополнительные сведения о областях NetBIOS см. в следующих документах RFC:

Имена узлов DNS

  • Допустимые символы: DNS-имена могут содержать только алфавитные символы (A–Z), числовые символы (0–9), знак минус (-) и точку (.). Символы точки допускаются только в том случае, если они используются для разделения компонентов имен стилей доменов.

    Система доменных имен Windows (DNS) поддерживает символы Юникода. В других реализациях службы DNS символы Юникода не поддерживаются. Не следует использовать знаки Юникода, если запросы будут передаваться на серверы с реализациями DNS, разработанными не корпорацией Майкрософт. Дополнительные сведения см. в следующих RFC:

  • Запрещенные символы: Имена узлов DNS не могут содержать следующие символы:

    • Запятая (,)
    • Тильда (~)
    • Двоеточие (:)
    • Восклицательный знак (!)
    • Знак "@"
    • Символ решетки (#)
    • Знак доллара ($)
    • Знак процента (%)
    • Крышка (^)
    • Амперсанд (&)
    • Апостроф (')
    • Точка (.)
    • Круглые скобки (())
    • фигурные скобки ({})
    • подчеркивание (_);
    • Пробел ( )

      Примечание.

      • Символ подчеркивания играет особую роль. Его разрешается использовать для первого символа в записях SRV по определению RFC. Однако более новые DNS-серверы также могут разрешить его в любом месте в имени. Дополнительные сведения см. в разделе Соблюдение ограничений имен для узлов и доменов.

      • Процесс регистрации имени узла DNS заменяет символ дефиса (-) недопустимыми символами.

  • Правила длины имен:

    • Полное доменное имя контроллера домена должно быть меньше 155 байт.
    • Минимальная длина имени: два символа
    • Максимальная длина имени: 63 символа

      Примечание.

      • Если вы используете символы UTF-8 (Юникод), помните, что некоторые символы UTF-8 превышают один октет в длину. В этом случае нельзя определить размер имени путем подсчета символов. Максимальный размер имени узла и полного доменного имени (FQDN) составляет 63 байта на метку и 255 байт на полное доменное имя.

      • Windows не разрешает имена компьютеров, длина которых превышает 15 символов, и вы не можете указать имя узла DNS, отличающееся от имени узла NetBIOS. Однако вы можете создать заголовки узлов для веб-сайта, размещенного на компьютере. В этом случае заголовки узла подчиняются этому правилу.

  • Дополнительные правила для имен узлов DNS:

    • Все символы, кроме ASCII, сохраняют регистр.
    • Первый символ в имени узла DNS должен быть алфавитным или числовым.
    • Последним символом не может быть знак "минус" или точка.
    • Пользовательские строки языка определения дескриптора безопасности (SDDL), перечисленные в списке хорошо известных идентификаторов безопасности , нельзя использовать. В противном случае операции импорта, экспорта и управления завершаются со сбоем.
    • Компьютеры, которые являются членами домена Active Directory, не могут иметь имена, содержащие только цифры. Это ограничение DNS.

  • Зарезервированные имена на RFC: Дополнительные сведения см. в статье RFC 952.

    • ШЛЮЗА
    • GW
    • TAC

  • Зарезервированные имена в Windows: См . раздел Таблица зарезервированных слов.

  • Рекомендации: При создании имен для компьютеров в инфраструктуре Windows DNS следуйте приведенным ниже рекомендациям.

    • Используйте имя компьютера, которое легко запомнить пользователям.

    • Укажите владельца компьютера в имени.

    • Используйте имя, описывающее назначение компьютера.

    • Используйте для основного DNS-суффикса в имени компьютера то же значение, что и в доменном имени Active Directory. Дополнительные сведения см. в разделе Несвязанные пространства имен.

    • Используйте уникальное имя для каждого компьютера в организации. Избегайте использования одного и того же имени компьютера для компьютеров в разных доменах DNS.

    • Используйте символы ASCII. Это гарантирует взаимодействие с компьютерами, не работающими под управлением Windows.

    • При использовании символов ASCII не используйте регистр символов для указания владельца или назначения компьютера. Для символов ASCII в СЛУЖБЕ DNS не учитывается регистр. Windows и приложения Windows не сохраняют регистр во всех ситуациях.

    • Используйте только символы, перечисленные в RFC 1123. К ним относятся символы A-Z, a-z, 0-9 и дефис (-). Windows DNS позволяет использовать большинство символов UTF-8 в именах. Однако не следует использовать символы ASCII или UTF-8, если только их не поддерживают все DNS-серверы в вашей среде.

Доменные имена

В следующих разделах описаны доменные имена NetBIOS и доменные имена DNS.

NetBIOS-имена доменов

  • Допустимые символы: Доменные имена NetBIOS могут содержать все буквенно-цифровые символы, за исключением расширенных символов, которые отображаются в списке Запрещенные символы . Имена могут содержать точку, но не могут начинаться с нее.

    Примечание.

    Microsoft Windows NT позволяет использовать точки для имен, не относящихся к DNS. Точки не должны использоваться в доменных именах NetBIOS Active Directory. При обновлении компьютера, netBIOS-имя которого содержит точку, измените имя, переместив домен в новую структуру домена. Не используйте точки в новых доменных именах NetBIOS.

    Символ амперсанда (&) в доменных именах NetBIOS был разрешен ранее и поддерживается только для исторических целей. Не создавайте новые домены Active Directory, имена доменов NetBIOS которых содержат символы амперсанда (&).

  • Запрещенные символы: Функция проверки имени узла DNS проверяет доменные имена NetBIOS. Эти имена не могут содержать следующие символы:

    • Запятая (,)
    • Тильда (~)
    • Двоеточие (:)
    • Восклицательный знак (!)
    • Знак "@"
    • Символ решетки (#)
    • Знак доллара ($)
    • Знак процента (%)
    • Крышка (^)
    • Апостроф (')
    • Точка (.)
    • Круглые скобки (())
    • фигурные скобки ({})
    • подчеркивание (_);
    • Пробел ( )
    • обратная косая черта (\)
    • косая черта (/)

      Примечание.

      Компьютеры, которые являются членами домена Active Directory, не могут иметь имена, содержащие только числовые значения. Это ограничение DNS.

  • Правила длины имен:

    • Минимальная длина имени: один символ
    • Максимальная длина имени: 15 символов

      Примечание.

      16-й символ имени зарезервирован для идентификации функций, установленных на зарегистрированном сетевом устройстве.

  • Зарезервированные имена в Windows: См . раздел Таблица зарезервированных слов. Имена обновленного домена могут содержать зарезервированное слово. Однако в этом случае возникает сбой отношений доверия с другими доменами.

  • Специальные символы: Точка (.)

    Символ точки делит имя на идентификатор netBIOS область и имя компьютера. Идентификатор области NetBIOS — это необязательная строка символов, которые обозначают логические сети NetBIOS, запущенные в одной физической сети TCP/IP. Для обеспечения работы NetBIOS между компьютерами они должны иметь одинаковый идентификатор области NetBIOS и уникальные имена компьютера.

    Важно!

    Использование областей NetBIOS в именах является устаревшей конфигурацией. Его не следует использовать в лесах Active Directory. Это не неотъемлемая проблема. Однако некоторые приложения могут фильтровать имя и принимать DNS-имя, если точка найдена.

DNS-имена доменов

  • Допустимые символы: DNS-имена могут содержать только алфавитные символы (A–Z), числовые символы (0–9), знак минус (-) и точку (.). Символы точки допускаются только в том случае, если они используются для разделения компонентов имен стилей доменов.

    Windows DNS поддерживает символы Юникода. В других реализациях службы DNS символы Юникода не поддерживаются. Не следует использовать знаки Юникода, если запросы будут передаваться на серверы с реализациями DNS, разработанными не корпорацией Майкрософт. Дополнительные сведения см. в статье RFC 952 и RFC 1123.

  • Запрещенные символы: Доменные имена DNS не могут содержать следующие символы:

    • Запятая (,)
    • Тильда (~)
    • Двоеточие (:)
    • Восклицательный знак (!)
    • Знак "@"
    • Символ решетки (#)
    • Знак доллара ($)
    • Знак процента (%)
    • Крышка (^)
    • Амперсанд (&)
    • Апостроф (')
    • Точка (.)
    • Круглые скобки (())
    • фигурные скобки ({})
    • подчеркивание (_);
    • Пробел ( )

      Примечание.

      Символ подчеркивания играет особую роль. Его разрешается использовать для первого символа в записях SRV по определению RFC. Но более новые DNS-серверы также могут разрешить его в любом месте в имени. При создании домена появляется предупреждающее сообщение о том, что символ подчеркивания может вызвать проблемы для некоторых DNS-серверов. Однако вы по-прежнему можете создать домен. Дополнительные сведения см. в разделе Соблюдение ограничений имен для узлов и доменов.

  • Дополнительные правила:

    • Все символы, кроме ASCII, сохраняют регистр.
    • Первый символ должен быть алфавитным или числовым.
    • Последним символом не может быть знак "минус" или точка.

  • Правила длины имен:

    • Минимальная длина имени: два символа

    • Максимальная длина имени: 255 символов

      Примечание.

      Если вы используете символы UTF-8 (Юникод), помните, что некоторые символы UTF-8 превышают один октет в длину. В этом случае нельзя определить размер имени путем подсчета символов. Максимальный размер имени узла и полного доменного имени составляет 63 байта на метку и 255 байт на полное доменное имя.

    • Максимальная длина имени основана на требованиях SYSVOL путей, а также на ограничении MAX_PATH в 260 символов.
      Путь в SYSVOL похож на следующий пример:

      \\<FQDN domain name>\sysvol\<FQDN domain name>\policies\{<policy GUID>}\[user|machine]\<CSE-specific path>

      Примечание.

      • Доменное имя AD FQDN отображается в пути два раза. Таким образом, длина доменного имени AD FQDN ограничена 64 символами.

      • < Путь>, зависящий от CSE, может содержать входные данные пользователя, например имя файла скрипта входа. Таким образом, он может быть значительно длинным.

  • Пространства доменных имен с одной меткой: Dns-имена с одной меткой — это имена, которые не содержат суффикс, например .com, .corp, .net, .orgили companyname. Примером однокомпонентного DNS-имени является имя host. Большинство интернет-регистраторов не выполняет регистрацию однокомпонентных DNS-имен.

    Корпорация Майкрософт рекомендует, чтобы DNS-имена для внутренних и внешних пространств имен были зарегистрированы в организациях (регистраторах), которые осуществляют координацию деятельности в Интернете. Это относится и к DNS-именам доменов Active Directory, которые не являются поддоменами DNS-имен, зарегистрированных данной организацией. Например, corp.example.com является поддоменом example.com. Регистрация DNS-имени у регистратора позволяет предотвратить конфликт имен. Конфликт имен может возникнуть, если другая организация пытается зарегистрировать то же DNS-имя или если ваша организация объединяется с другой организацией, которая использует то же DNS-имя.

    Проблемы, связанные с одноуровневыми пространствами имен, включают в себя следующее:

    • Одноуровневые DNS-имена нельзя зарегистрировать с помощью интернет-регистраторов.
    • Домен с одноуровневым DNS-именем нужно дополнительно настраивать.
    • Служба DNS-сервера не может находить контроллеры домена в доменах с DNS-именами с одной меткой.
    • По умолчанию члены домена Windows не предоставляют динамические обновления для зон DNS с одной меткой. Более детальную информацию см. в статье Развертывание и работа доменов Active Directory с одноуровневыми DNS-именами.

  • Зарезервированные имена: См . раздел Таблица зарезервированных слов. Не используйте доменные имена верхнего уровня в Интернете, такие как .com, .netи .org в интрасети. Если вы используете доменные имена верхнего уровня в интрасети, на компьютерах интрасети, которые также подключаются к Интернету, могут возникнуть ошибки разрешения. Кроме того, избегайте использования имен, которые используются в специальных функциях internet-standard, таких как .local.

Несвязанные пространства имен

Несвязанное пространство имен возникает, если основной DNS-суффикс компьютера не соответствует домену DNS, членом которого он является. Например, несвязанное пространство имен возникает, если компьютер с DNS-именем dc1.contosocorp.com находится в домене с DNS-именем contoso.com.

Условия для возникновения несвязанных пространств имен:

  • Основной контроллер домена Windows NT 4.0 обновляется до контроллера домена Windows 2000 Server с использованием исходной версии Windows 2000 Server. В элементе "Сеть" в панель управления определяются несколько DNS-суффиксов.
  • Домен переименовывается, если лес находится на функциональном уровне леса Windows Server 2003. Кроме того, основной DNS-суффикс не изменяется для отражения нового доменного имени DNS.

Влияние несвязанного пространства имен:

Предположим, контроллер домена с именем DC1 находится в домене Windows NT 4.0, доменное имя NetBIOS которого — contoso. Этот контроллер домена обновлен до Windows 2000 Server. Во время обновления домен DNS переименовывается в contoso.com. В исходной версии Windows 2000 Server подпрограмма обновления снимает флажок, который связывает основной DNS-суффикс контроллера домена с его dns-именем домена. Таким образом, основным DNS-суффиксом контроллера домена является DNS-суффикс Windows NT 4.0, определенный в списке поиска суффикса Windows NT 4.0. В этом примере DNS-имя — DC1.northamerica.contoso.com.

Контроллер домена динамически регистрирует свои записи обнаружения службы (SRV) в зоне DNS, соответствующей его DNS-имени домена. Однако контроллер домена регистрирует свои записи узлов в зоне DNS, соответствующей его основному DNS-суффиксу.

Дополнительные сведения о несвязанных пространствах имен см. в следующих статьях:

Другие факторы

  • Леса, которые подключаются к Интернету: Пространство имен DNS, которое подключается к Интернету, должно быть поддоменом домена верхнего или второго уровня пространства имен DNS в Интернете.

  • Максимальное количество доменов в лесу: В Windows Server максимальное число доменов на уровне 2 в лесу — 1200. Это ограничение является ограничением многозначных не связанных атрибутов в Windows Server.

  • Рекомендации

    • DNS-имена всех узлов, для которых требуется разрешение имен, включают в себя доменное имя DNS в Интернете организации. Так как система DNS является иерархической, при добавлении поддоменов в организацию размер DNS-имен домена увеличивается. Поэтому следует выбрать короткое и легко запоминающееся доменное имя DNS в Интернете. Короткие доменные имена делают имена компьютеров также легко запоминаться.

    • Если организация имеет присутствие в Интернете, используйте имена, которые относятся к зарегистрированным доменным именам DNS в Интернете. Например, если вы зарегистрировали доменное имя contoso.comDNS в Интернете , используйте доменное имя DNS, например corp.contoso.com для доменного имени интрасети.

    • Не используйте в качестве доменного имени название существующей корпорации или существующего продукта. Это может привести к конфликту имен позже.

    • Избегайте универсального имени, domain.localhostнапример . Это связано с тем, что другая компания, с которым вы объединяетесь в будущем, может следовать той же практике.

    • Не используйте в качестве доменного имени сокращения или аббревиатуры. Пользователи могут столкнуться с трудностями при распознавании подразделения, которое представляет аббревиатура.

    • Избегайте использования символов подчеркивания (_) в доменных именах. Приложения могут быть очень послушными в RFC и отклонять имя. Они также могут не устанавливаться или работать в вашем домене. Кроме того, могут возникнуть проблемы, влияющие на более старые DNS-серверы.

    • Не используйте имя подразделения или подразделения в качестве доменного имени. Бизнес-подразделения и другие подразделения меняются, и эти доменные имена могут вводить в заблуждение или устаревать.

    • Не используйте географические наименования, которые трудно произнести или запомнить.

    • Старайтесь не развертывать иерархию DNS-имен домена глубже пяти уровней от корневого домена. Ограничив расширения иерархии доменных имен, вы можете сократить административные расходы.

    • Если вы развертываете DNS в частной сети и не планируете создавать внешнее пространство имен, зарегистрируйте доменное имя DNS, создаваемое для внутреннего домена. В противном случае, если вы попытаетесь использовать его в Интернете или подключитесь к сети, которая подключается к Интернету, вы можете обнаружить, что имя недоступно.

Имена сайтов

При создании имени нового сайта рекомендуем использовать допустимое DNS-имя. В противном случае сайт будет доступен только там, где используется DNS-сервер Майкрософт. Дополнительные сведения о допустимых DNS-именах см. в разделе DNS-имена узлов.

  • Допустимые символы: DNS-имена могут содержать только алфавитные символы (A–Z), числовые символы (0–9), знак минус (-) и точку (.). Символы точки допускаются только в том случае, если они используются для разделения компонентов доменных имен стилей.

    Windows DNS поддерживает символы Юникода. В других реализациях службы DNS символы Юникода не поддерживаются. Не следует использовать знаки Юникода, если запросы будут передаваться на серверы с реализациями DNS, разработанными не корпорацией Майкрософт. Дополнительные сведения см. в статье RFC 952 и RFC 1123.

  • Запрещенные символы: DNS-имена не могут содержать следующие символы:

    • Запятая (,)
    • Тильда (~)
    • Двоеточие (:)
    • Восклицательный знак (!)
    • Знак "@"
    • Символ решетки (#)
    • Знак доллара ($)
    • Знак процента (%)
    • Крышка (^)
    • Амперсанд (&)
    • Апостроф (')
    • Точка (.)
    • Круглые скобки (())
    • фигурные скобки ({})
    • подчеркивание (_);
    • Пробел ( )

      Примечание.

      Символ подчеркивания играет особую роль. Его разрешается использовать для первого символа в записях SRV по определению RFC. Но более новые DNS-серверы также могут разрешить его в любом месте в имени. Дополнительные сведения см. в разделе Соблюдение ограничений имен для узлов и доменов.

  • Дополнительные правила:

    • Все символы, кроме символов ASCII, сохраняют форматирование регистра.
    • Первый символ должен быть алфавитным или числовым.
    • Последним символом не может быть знак "минус" или точка.

  • Правила длины имен:

    • Минимальная длина имени: один символ
    • Максимальная длина имени: 63 символа

      Примечание.

      Если вы используете символы UTF-8 (Юникод), помните, что некоторые символы UTF-8 превышают один октет в длину. В этом случае нельзя определить размер имени путем подсчета символов. Максимальная длина DNS-имени составляет 63 байта на метку.

Имена подразделений

  • Допустимые символы: Разрешены все символы, даже расширенные символы. Однако хотя компонент «Active Directory — пользователи и компьютеры» позволяет использовать в имени подразделения символы национального алфавита, рекомендуется использовать имена, которые описывают назначение подразделения и являются достаточно короткими, чтобы ими было легко управлять. Протокол LDAP не имеет ограничений, так как CN объекта помещается в кавычки.

  • Запрещенные символы: Никакие символы не запрещены.

  • Правила длины имен:

    • Минимальная длина имени: один символ
    • Максимальная длина имени: 64 символа

Специальные проблемы для подразделений

Если подразделение на корневом уровне домена имеет то же имя, что и будущий дочерний домен, могут возникнуть проблемы с базой данных. Рассмотрим сценарий, в котором вы удаляете подразделение с именем marketing , чтобы создать дочерний домен с тем же именем. Например, marketing.contoso.com (самая левая метка имени доменного имени дочернего домена имеет то же имя).

Вы удаляете подразделение. Во время существования надгробия удаленного подразделения создается дочерний домен с тем же именем. Затем удалите дочерний домен и создадите его во второй раз. В этом случае дублирующееся имя записи в базе данных ESE вызывает фантомный конфликт имен при повторном создании дочернего домена. Эта проблема предотвращает репликацию контейнера конфигурации Active Directory.

Примечание.

Эта проблема не ограничивается типами имен контроллеров домена и подразделений. Аналогичный конфликт имен также может возникнуть для других типов имен RDN при определенных условиях.

Таблица зарезервированных слов

Зарезервированные слова для имен Windows NT 4.0 Windows 2000 Windows Server 2003 Windows Server 2008 и более поздних версий
ANONYMOUS X X X X
AUTHENTICATED USER X X X
BATCH X X X X
BUILTIN X X X X
CREATOR GROUP X X X X
CREATOR GROUP SERVER X X X X
СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ X X X X
CREATOR OWNER SERVER X X X X
DIALUP X X X X
DIGEST AUTH X X
DOMAIN X
ПРЕДПРИЯТИЯ X
INTERACTIVE X X X X
INTERNET X X X
LOCAL X X X X
LOCAL SYSTEM X X
NETWORK X X X X
NETWORK SERVICE X X
NT AUTHORITY X X X X
NT DOMAIN X X X X
NTLM AUTH X X
NULL X X X X
PROXY X X X
REMOTE INTERACTIVE X X
RESTRICTED X X X
SCHANNEL AUTH X X
SELF X X X
SERVER X X X
SERVICE X X X X
SYSTEM X X X X
TERMINAL SERVER X X X
THIS ORGANIZATION X X
USERS X X
WORLD X X X X