使用單一標籤 DNS 名稱設定的 Active Directory 網域部署和作業

  • 發行項

本文包含使用單一標籤 DNS 名稱設定之 Active Directory (AD) 網域的部署和作業相關信息。

適用於:Windows Server 2008 R2 Service Pack 1、Windows Server 2012 R2、Windows Server 2016、Windows Server 2019 Windows 10 版本 1809
原始 KB 編號: 300684

摘要

想要移除單一卷標網域設定是重新命名網域的常見原因。 本文中的應用程式相容性資訊適用於您可能會考慮重新命名網域的所有案例。

基於下列原因,最佳做法是建立具有完整 DNS 名稱的新 Active Directory 網域:

  • 單一標籤 DNS 名稱無法使用因特網註冊機構註冊。

  • 加入單一標籤網域的用戶端電腦和域控制器需要額外的設定,才能在單一標籤 DNS 區域中動態註冊 DNS 記錄。

  • 用戶端計算機和域控制器可能需要額外的設定,才能解析單一標籤 DNS 區域中的 DNS 查詢。

  • 某些伺服器型應用程式與單一標籤變數名稱不相容。 應用程式支援可能不存在於應用程式的初始版本中,或在未來版本中可能會卸除支援。

  • 從單一標籤 DNS 功能變數名稱轉換為完整 DNS 名稱並非一般,而且包含兩個選項。 將使用者、計算機、群組和其他狀態 移轉 至新的樹系。 或者,請重新命名現有網域的網域。 某些伺服器型應用程式與 Windows Server 2003 和更新版本域控制器中支援的網域重新命名功能不相容。 當您嘗試將單一標籤 DNS 名稱重新命名為完整功能變數名稱時,這些不相容性會封鎖網域重新命名功能,或使網域重新命名功能的使用變得更困難。

  • Windows Server 2008 中的 [Active Directory 安裝精靈] (Dcpromo.exe) 會警告您不要建立具有單一卷標 DNS 名稱的新網域。 因為沒有任何商業或技術理由可以建立具有單一卷標 DNS 名稱的新網域,所以 Windows Server 2008 R2 中的 [Active Directory 安裝精靈] 會明確封鎖建立這類網域。

與網域重新命名不相容的應用程式範例包括但不限於下列產品:

  • Microsoft Exchange 2000 Server
  • Microsoft Exchange Server 2007
  • Microsoft Exchange Server 2010
  • Microsoft Exchange Server 2013
  • MICROSOFT Internet Security and Acceleration (ISA) Server 2004
  • Microsoft Live Communications Server 2005
  • Microsoft Operations Manager 2005
  • Microsoft SharePoint Portal Server 2003
  • Microsoft Systems Management Server (SMS) 2003
  • Microsoft Office Communications Server 2007
  • Microsoft Office Communications Server 2007 R2
  • Microsoft System Center Operations Manager 2007 SP1
  • Microsoft System Center Operations Manager 2007 R2
  • Microsoft Lync Server 2010
  • Microsoft Lync Server 2013

其他相關資訊

最佳做法 Active Directory 功能變數名稱是由一或多個子域所組成,這些子域與以點字元分隔 (」的最上層網域結合。」) 。 以下是一些範例:

  • contoso.com
  • corp.contoso.com

單一標籤名稱是由單一字組組成,例如 「contoso」。。

最上層網域會佔用功能變數名稱中最右邊的標籤。 常見的最上層網域包括下列專案:

  • .com
  • 。網
  • 。組織
  • 兩個字母的國家/地區代碼最上層網域 (ccTLD) ,例如 .nz

Active Directory 功能變數名稱應該包含目前和未來操作系統的兩個或多個標籤,以及應用程式體驗和可靠性。

ICANN 安全性與穩定性諮詢委員會報告的無效最上層網域查詢,可以在 域名系統根層級的無效最上層網域查詢中找到。

向因特網註冊機構註冊 DNS 名稱

建議您向因特網註冊機構註冊最上層內部和外部 DNS 命名空間的 DNS 名稱。 這包括任何 Active Directory 樹系的樹系根域,除非這類名稱是組織名稱註冊的 DNS 名稱子域 (例如, 樹系根域 “corp.example.com” 是內部 “example.com.” 命名空間的子域。) 當您向因特網註冊機構註冊 DNS 名稱時,這可讓因特網 DNS 伺服器立即或在 Active Directory 樹系生命週期的某個時間點解析您的網域。 此外,此註冊有助於防止其他組織可能的名稱衝突。

用戶端無法在單一標籤正向對應區域中動態註冊 DNS 記錄時的可能徵兆

如果您在環境中使用單一標籤 DNS 名稱,用戶端可能無法在單一標籤正向對應區域中動態註冊 DNS 記錄。 特定徵兆會根據安裝的 Microsoft Windows 版本而有所不同。

下列清單描述可能發生的徵兆:

  • 為單一標籤變數名稱設定 Microsoft Windows 之後,具有域控制器角色的所有伺服器可能都無法註冊 DNS 記錄。 域控制器的系統記錄檔可能會持續記錄類似下列範例的 NETLOGON 5781 警告:

    注意事項

    狀態代碼 0000232a 對應至下列錯誤碼:

    DNS_ERROR_RCODE_SERVER_FAILURE

  • 下列其他狀態代碼和錯誤碼可能會出現在記錄檔中,例如Netdiag.log:

    DNS 錯誤碼:0x0000251D = DNS_INFO_NO_RECORDS
    DNS_ERROR_RCODE_ERROR
    RCODE_SERVER_FAILURE

  • 針對 DNS 動態更新設定的 Windows 計算機不會在單一標籤網域中註冊。 類似下列範例的警告事件會記錄在電腦的系統記錄檔中:

如何讓以 Windows 為基礎的用戶端使用單一標籤 DNS 區域執行查詢和動態更新

根據預設,Windows 不會將更新傳送至最上層網域。 不過,您可以使用本節所述的其中一種方法來變更此行為。 使用下列其中一種方法,讓以 Windows 為基礎的用戶端對單一卷標 DNS 區域執行動態更新。

此外,如果沒有修改,樹系中沒有包含單一標籤 DNS 名稱之網域的 Active Directory 網域成員也不會使用 DNS 伺服器服務,在具有單一卷標 DNS 名稱的網域中找出位於其他樹系中的域控制器。 如果未正確設定 NetBIOS 名稱解析,用戶端存取具有單一標籤 DNS 名稱的網域會失敗。

方法 1:使用登錄 編輯器

  • Windows XP Professional 和更新版本 Windows 的域控制器定位器設定

    重要事項

    這個章節、方法或工作包含修改登錄的步驟。 然而,不當修改登錄可能會發生嚴重的問題。 因此,請務必謹慎地依照這些步驟執行。 為了有多一層保護,請先備份登錄再進行修改。 如此一來,您就可以在發生問題時還原登錄。 如需詳細資訊,請 參閱如何在 Windows 中備份和還原登錄

    在以 Windows 為基礎的計算機上,Active Directory 網域成員需要額外的設定,才能支援網域的單一卷標 DNS 名稱。 具體而言,Active Directory 網域成員上的域控制器定位器不會使用 DNS 伺服器服務,在具有單一卷標 DNS 名稱的網域中尋找域控制器,除非該 Active Directory 網域成員已加入至少包含一個網域的樹系,而且此網域具有單一卷標 DNS 名稱。

    若要讓 Active Directory 網域成員能夠使用 DNS 在具有單一標籤 DNS 名稱的網域中找出位於其他樹系中的域控制器,請遵循下列步驟:

    1. 依序選取 [ 開始]、[ 執行]、輸入 regedit,然後選取 [ 確定]

    2. 找出並選取下列子機碼: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

    3. 在詳細數據窗格中,找出 AllowSingleLabelDnsDomain 專案。 如果 AllowSingleLabelDnsDomain 專案不存在,請遵循下列步驟:

      1. 在 [ 編輯] 功能表上,指向 [ 新增],然後選取 [DWORD 值]
      2. 輸入 AllowSingleLabelDnsDomain 做為專案名稱,然後按 ENTER

    4. 按兩下 AllowSingleLabelDnsDomain 專案。

    5. 在 [ 值數據] 方塊中,輸入 1,然後選取 [ 確定]

    6. 結束 [登錄編輯程式]。

  • DNS 用戶端設定

    重要事項

    這個章節、方法或工作包含修改登錄的步驟。 然而,不當修改登錄可能會發生嚴重的問題。 因此,請務必謹慎地依照這些步驟執行。 為了有多一層保護,請先備份登錄再進行修改。 如此一來,您就可以在發生問題時還原登錄。 如需詳細資訊,請 參閱如何在 Windows 中備份和還原登錄

    在具有單一標籤 DNS 名稱的網域中,Active Directory 網域成員和域控制器通常必須在符合該網域 DNS 名稱的單一標籤 DNS 區域中動態註冊 DNS 記錄。 如果 Active Directory 樹系根域具有單一標籤 DNS 名稱,該樹系中的所有域控制器通常必須在符合樹系根目錄 DNS 名稱的單一標籤 DNS 區域中動態註冊 DNS 記錄。

    根據預設,Windows 型 DNS 用戶端電腦不會嘗試對根區域 「.」 或單一標籤 DNS 區域進行動態更新。 若要讓以 Windows 為基礎的 DNS 用戶端電腦嘗試單一標籤 DNS 區域的動態更新,請遵循下列步驟:

    1. 依序選取 [ 開始]、[ 執行]、輸入 regedit,然後選取 [ 確定]

    2. 找出並選取下列子機碼: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DnsCache\Parameters

    3. 在詳細數據窗格中,找出 UpdateTopLevelDomainZones 專案。 如果 UpdateTopLevelDomainZones 專案不存在,請遵循下列步驟:

      1. 在 [ 編輯] 功能表上,指向 [ 新增],然後選取 [DWORD 值]
      2. 輸入 UpdateTopLevelDomainZones 作為專案名稱,然後按 ENTER

    4. 按兩下 UpdateTopLevelDomainZones 專案。

    5. 在 [ 值數據] 方塊中,輸入 1,然後選取 [ 確定]

    6. 結束 [登錄編輯程式]。

    這些組態變更應該套用至具有單一標籤 DNS 名稱之網域的所有域控制器和成員。 如果具有單一卷標功能變數名稱的網域是樹系根目錄,則除非個別區域_msdcs,否則這些設定變更應該套用至樹系中的所有域控制器。 ForestName,_sites。 ForestName,_tcp。 ForestName,and_udpForestName 是從 ForestName 區域委派。

    若要讓變更生效,請重新啟動您變更登錄專案所在的計算機。

    注意事項

    • 針對 Windows Server 2003 和更新版本,UpdateTopLevelDomainZones 專案已移至下列登錄子機碼:
      HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient
    • 在 Microsoft Windows 2000 SP4 型域控制器上,如果未啟用 UpdateTopLevelDomainZones 設定,計算機會在系統事件記錄檔中報告下列名稱註冊錯誤:
    • 在 Windows 2000 SP4 型域控制器上,您必須在新增 UpdateTopLevelDomainZones 設定之後重新啟動電腦。

方法 2:使用 群組原則

使用 群組原則 來啟用更新最上層網域區域原則,以及下表在使用者和計算機根域容器的資料夾位置底下指定,以單一卷標 DNS 名稱原則裝載網域的 DC 位置,或在所有組織單位上 (OU) 主計算機帳戶的成員計算機上, 網域中域控制器的 和 。

原則 資料夾位置
更新最上層網域區域 計算機設定\系統管理範本\網络\DNS 用戶端
裝載具有單一標籤 DNS 名稱之網域的 DC 位置 計算機設定\系統管理範本\System\Net 登入\DC 定位器 DNS 記錄

注意事項

只有 Windows Server 2003 型電腦和 Windows XP 型電腦才支援這些原則。

若要啟用這些原則,請在根域容器上遵循下列步驟:

  1. 取 [開始],選取 [ 執行],輸入 gpedit.msc,然後選取 [ 確定]
  2. 在 [ 本機計算機原則] 底下,展開 [ 計算機設定]
  3. 展開 [ 系統管理範本]
  4. 啟用更新最上層網域區域原則。 如果要執行這項操作,請依照下列步驟執行:
    1. 展開 [網络]
    2. 選取 [DNS 用戶端]
    3. 在詳細數據窗格中,按兩下 [更新最上層網域區域]
    4. 選取 已啟用
    5. 取 [套用],然後選取 [ 確定]
  5. 啟用裝載具有單一標籤 DNS 名稱之網域的 DC 位置原則。 如果要執行這項操作,請依照下列步驟執行:
    1. 展開 [系統]
    2. 展開 [Net Logon]
    3. 選取 [DC 定位器 DNS 記錄]
    4. 在詳細數據窗格中,按兩下 裝載具有單一卷標 DNS 名稱之網域的DC位置
    5. 選取 已啟用
    6. 取 [套用],然後選取 [ 確定]
  6. 結束 群組原則。

在 Windows Server 2003 型和更新版本的 DNS 伺服器上,請確定不會無意中建立根伺服器。

在 Windows 2000 型 DNS 伺服器上,您可能必須刪除根區域 “.”,才能正確宣告 DNS 記錄。 安裝 DNS 伺服器服務時會自動建立根區域,因為 DNS 伺服器服務無法連線到根提示。 此問題已在更新版本的 Windows 中更正。

根伺服器可由 DCpromo 精靈建立。 如果 「.」 區域存在,則已建立根伺服器。 若要讓名稱解析正確運作,您可能必須移除此區域。

適用於 Windows Server 2003 和更新版本的新 DNS 原則設定

  • 更新最上層網域區域原則

    如果指定此原則,它會在下列登錄子機碼下建立 REG_DWORD UpdateTopLevelDomainZones 專案: HKLM\Software\Policies\Microsoft\Windows NT\DNSClient
    以下是 的項目值 UpdateTopLevelDomainZones: - 已啟用 (0x1) 。 0x1設定表示計算機可能會嘗試更新 TopLevelDomain 區域。 也就是說,如果 UpdateTopLevelDomainZones 啟用此設定,則套用此原則的計算機會將動態更新傳送至計算機必須更新之資源記錄授權的任何區域,但根區域除外。 - 停用 (0x0) 。 0x0設定表示不允許電腦嘗試更新 TopLevelDomain 區域。 也就是說,如果停用此設定,則套用此原則的計算機不會將動態更新傳送至根區域,也不會傳送至對計算機必須更新之資源記錄具有權威性的最上層網域區域。 如果未設定此設定,原則就不會套用至任何計算機,而且計算機會使用其本機設定。

  • 註冊 PTR 記錄原則

    下列登錄子機碼下新增專案的新可能值0x2 REG_DWORD RegisterReverseLookup
    HKLM\Software\Policies\Microsoft\Windows NT\DNSClient

    以下是 的項目值 RegisterReverseLookup: - 0x2。 只有在 「A」 記錄註冊成功時才註冊。 計算機只有在成功註冊對應的 「A」 資源記錄時,才會嘗試實作 PTR 資源記錄註冊。 - 0x1。 註冊。 無論 「A」 記錄註冊成功,計算機都會嘗試實作 PTR 資源記錄註冊。 - 0x0。 請勿註冊。 計算機永遠不會嘗試實作 PTR 資源記錄註冊。

參考資料