使用单标签 DNS 名称配置的 Active Directory 域的部署和操作

本文包含有关使用单标签 DNS 名称配置的 Active Directory (AD) 域的部署和操作的信息。

原始 KB 编号: 300684

摘要

希望删除单标签域配置是重命名域的常见原因。 本文中的应用程序兼容性信息适用于你可能考虑重命名域的所有方案。

出于以下原因,最佳做法是创建具有完全限定 DNS 名称的新 Active Directory 域:

  • 单标签 DNS 名称不能使用 Internet 注册机构注册。

  • 加入单标签域的客户端计算机和域控制器需要额外的配置才能在单标签 DNS 区域中动态注册 DNS 记录。

  • 客户端计算机和域控制器可能需要额外的配置才能解析单标签 DNS 区域中的 DNS 查询。

  • 某些基于服务器的应用程序与单标签域名不兼容。 应用程序的初始版本中可能不存在应用程序支持,或者在将来的版本中可能会放弃支持。

  • 从单标签 DNS 域名转换为完全限定的 DNS 名称并非易事,由两个选项组成。 将用户、计算机、组和其他状态 迁移到 新林。 或者,对现有域进行域重命名。 某些基于服务器的应用程序与 Windows Server 2003 和更新的域控制器中支持的域重命名功能不兼容。 当你尝试将单标签 DNS 名称重命名为完全限定的域名时,这些不兼容性会阻止域重命名功能或使域重命名功能的使用更加困难。

  • Windows Server 2008 中的 Active Directory 安装向导 (Dcpromo.exe) 警告不要创建具有单标签 DNS 名称的新域。 由于没有业务或技术原因来创建具有单标签 DNS 名称的新域,因此 Windows Server 2008 R2 中的 Active Directory 安装向导会显式阻止创建此类域。

与域重命名不兼容的应用程序示例包括但不限于以下产品:

  • Microsoft Exchange 2000 Server
  • Microsoft Exchange Server 2007
  • Microsoft Exchange Server 2010
  • Microsoft Exchange Server 2013
  • Microsoft Internet Security and Acceleration (ISA) Server 2004
  • Microsoft Live Communications Server 2005
  • Microsoft Operations Manager 2005
  • Microsoft SharePoint Portal Server 2003
  • Microsoft Systems Management Server (SMS) 2003
  • Microsoft Office Communications Server 2007
  • Microsoft Office Communications Server 2007 R2
  • Microsoft System Center Operations Manager 2007 SP1
  • Microsoft System Center Operations Manager 2007 R2
  • Microsoft Lync Server 2010
  • Microsoft Lync Server 2013

更多信息

最佳做法 Active Directory 域名由一个或多个子域组成,这些子域与由点字符 (“分隔的顶级域相结合。) 。 下面是一些示例:

  • contoso.com
  • corp.contoso.com

单标签名称由单个单词组成,例如“contoso”。

顶级域占据域名中最右侧的标签。 常见的顶级域包括:

  • .com
  • .net
  • .org
  • (ccTLD) 的双字母国家/地区代码顶级域,例如 .nz

Active Directory 域名应包含两个或更多标签,用于当前和未来的操作系统以及应用程序体验和可靠性。

域名系统的根级别上的无效顶级域查询中,可以找到安全与稳定顾问委员会报告的无效顶级域查询。

向 Internet 注册机构注册 DNS 名称

建议使用 Internet 注册机构为最顶层内部和外部 DNS 命名空间注册 DNS 名称。 这包括任何 Active Directory 林的林根域,除非此类名称是按组织名称注册的 DNS 名称的子域 (例如,林根域“corp.example.com”是内部“example.com”命名空间的子域。) 向 Internet 注册机构注册 DNS 名称时,这允许 Internet DNS 服务器立即或在 Active Directory 林生命周期的某个时间点解析域。 而且,此注册有助于防止其他组织发生可能的名称冲突。

客户端无法在单标签正向查找区域中动态注册 DNS 记录时的可能症状

如果在环境中使用单标签 DNS 名称,则客户端可能无法在单标签正向查找区域中动态注册 DNS 记录。 具体症状因安装的 Microsoft Windows 版本而异。

以下列表描述了可能出现的症状:

  • 为单个标签域名配置 Microsoft Windows 后,具有域控制器角色的所有服务器可能无法注册 DNS 记录。 域控制器的系统日志可能始终记录 NETLOGON 5781 警告,类似于以下示例:

    注意

    状态代码 0000232a 映射到以下错误代码:

    DNS_ERROR_RCODE_SERVER_FAILURE

  • 以下附加状态代码和错误代码可能会出现在日志文件(例如Netdiag.log)中:

    DNS 错误代码:0x0000251D = DNS_INFO_NO_RECORDS
    DNS_ERROR_RCODE_ERROR
    RCODE_SERVER_FAILURE

  • 为 DNS 动态更新配置的基于 Windows 的计算机不会在单标签域中注册。 类似于以下示例的警告事件记录在计算机的系统日志中:

如何启用基于 Windows 的客户端使用单标签 DNS 区域执行查询和动态更新

默认情况下,Windows 不会将更新发送到顶级域。 但是,可以使用本部分中介绍的方法之一来更改此行为。 使用以下方法之一使基于 Windows 的客户端能够对单标签 DNS 区域执行动态更新。

此外,如果不进行任何修改,林中的 Active Directory 域成员不包含具有单标签 DNS 名称的域,则不会使用 DNS 服务器服务在其他林中具有单标签 DNS 名称的域中查找域控制器。 如果未正确配置 NetBIOS 名称解析,客户端对具有单标签 DNS 名称的域的访问将失败。

方法 1:使用注册表编辑器

  • 适用于 Windows XP Professional 和更高版本的 Windows 的域控制器定位器配置

    重要

    此部分(或称方法或任务)介绍了修改注册表的步骤。 但是,注册表修改不当可能会出现严重问题。 因此,请务必严格按照这些步骤操作。 为了加强保护,应先备份注册表,再进行修改。 如果出现问题,可以还原注册表。 有关详细信息,请参阅 如何在 Windows 中备份和还原注册表

    在基于 Windows 的计算机上,Active Directory 域成员需要其他配置来支持域的单标签 DNS 名称。 具体而言,Active Directory 域成员上的域控制器定位器不使用 DNS 服务器服务在具有单标签 DNS 名称的域中查找域控制器,除非该 Active Directory 域成员已加入包含至少一个域的林,并且此域具有单标签 DNS 名称。

    若要使 Active Directory 域成员能够使用 DNS 在其他林中具有单标签 DNS 名称的域中查找域控制器,请执行以下步骤:

    1. 依次选择“ 开始”、“ 运行”、“regedit”和“ 确定”。

    2. 找到并选择以下子项: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

    3. 在详细信息窗格中,找到 AllowSingleLabelDnsDomain 条目。 如果 AllowSingleLabelDnsDomain 条目不存在,请执行以下步骤:

      1. “编辑” 菜单上,指向“ 新建”,然后选择“ DWORD 值”。
      2. 键入 AllowSingleLabelDnsDomain 作为条目名称,然后按 Enter
    4. 双击 AllowSingleLabelDnsDomain 条目。

    5. “值数据 ”框中,键入 1,然后选择“ 确定”。

    6. 退出注册表编辑器。

  • DNS 客户端配置

    重要

    此部分(或称方法或任务)介绍了修改注册表的步骤。 但是,注册表修改不当可能会出现严重问题。 因此,请务必严格按照这些步骤操作。 为了加强保护,应先备份注册表,再进行修改。 如果出现问题,可以还原注册表。 有关详细信息,请参阅 如何在 Windows 中备份和还原注册表

    具有单标签 DNS 名称的域中的 Active Directory 域成员和域控制器通常必须在与该域的 DNS 名称匹配的单标签 DNS 区域中动态注册 DNS 记录。 如果 Active Directory 林根域具有单标签 DNS 名称,则该林中的所有域控制器通常必须在与林根的 DNS 名称匹配的单标签 DNS 区域中动态注册 DNS 记录。

    默认情况下,基于 Windows 的 DNS 客户端计算机不会尝试对根区域“.”或单标签 DNS 区域进行动态更新。 若要使基于 Windows 的 DNS 客户端计算机能够尝试单标签 DNS 区域的动态更新,请执行以下步骤:

    1. 依次选择“ 开始”、“ 运行”、“regedit”和“ 确定”。

    2. 找到并选择以下子项: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DnsCache\Parameters

    3. 在详细信息窗格中,找到 UpdateTopLevelDomainZones 条目。 如果 UpdateTopLevelDomainZones 条目不存在,请执行以下步骤:

      1. “编辑” 菜单上,指向“ 新建”,然后选择“ DWORD 值”。
      2. 键入 UpdateTopLevelDomainZones 作为条目名称,然后按 Enter
    4. 双击 UpdateTopLevelDomainZones 条目。

    5. “值数据 ”框中,键入 1,然后选择“ 确定”。

    6. 退出注册表编辑器。

    这些配置更改应应用于具有单标签 DNS 名称的域的所有域控制器和成员。 如果具有单标签域名的域是林根,则这些配置更改应应用于林中的所有域控制器,除非_msdcs单独的区域。 ForestName,_sites。 ForestName,_tcp。 ForestName,and_udpForestNameForestName 区域委托。

    要使更改生效,请重启在其中更改了注册表项的计算机。

    注意

    • 对于 Windows Server 2003 及更高版本,UpdateTopLevelDomainZones 条目已移至以下注册表子项:
      HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient
    • 在基于 Microsoft Windows 2000 SP4 的域控制器上,如果未启用 UpdateTopLevelDomainZones 设置,计算机将在系统事件日志中报告以下名称注册错误:
    • 在基于 Windows 2000 SP4 的域控制器上,必须在添加 UpdateTopLevelDomainZones 设置后重新启动计算机。

方法 2:使用组策略

使用组策略启用更新顶级域区域策略和托管具有单标签 DNS 名称的域的 DC 的位置策略,如下表中指定的用户和计算机根域容器上的文件夹位置,或所有组织单位 (OU) 该主机计算机帐户的成员计算机帐户, 和 ,用于域中的域控制器。

Policy 文件夹位置
更新顶级域区域 计算机配置\管理模板\网络\DNS 客户端
托管具有单个标签 DNS 名称的域的 DC 的位置 计算机配置\管理模板\System\Net Logon\DC 定位符 DNS 记录

注意

这些策略仅在基于 Windows Server 2003 的计算机和基于 Windows XP 的计算机上受支持。

若要启用这些策略,请在根域容器上执行以下步骤:

  1. 依次选择“ 开始”、“ 运行”、“gpedit.msc”和“ 确定”。
  2. 在“ 本地计算机策略”下,展开 “计算机配置”。
  3. 展开 “管理模板”。
  4. 启用更新顶级域区域策略。 要执行此操作,请执行以下步骤:
    1. 展开 “网络”。
    2. 选择“ DNS 客户端”。
    3. 在详细信息窗格中,双击“ 更新顶级域区域”。
    4. 选择“已启用”。
    5. 选择“ 应用”,然后选择“ 确定”。
  5. 启用托管具有单个标签 DNS 名称的域的 DC 的位置策略。 为此,请按照下列步骤操作:
    1. 展开 “系统”。
    2. 展开 “净登录”。
    3. 选择“ DC 定位符 DNS 记录”。
    4. 在详细信息窗格中,双击 托管具有单个标签 DNS 名称的域的 DC 的位置
    5. 选择“已启用”。
    6. 选择“ 应用”,然后选择“ 确定”。
  6. 退出组策略。

在基于 Windows Server 2003 和更高版本的 DNS 服务器上,请确保不会无意中创建根服务器。

在基于 Windows 2000 的 DNS 服务器上,可能需要删除根区域“.”才能正确声明 DNS 记录。 安装 DNS 服务器服务时会自动创建根区域,因为 DNS 服务器服务无法访问根提示。 此问题已在更高版本的 Windows 中更正。

根服务器可由 DCpromo 向导创建。 如果存在“.”区域,则表示已创建根服务器。 若要正常使用名称解析,可能需要删除此区域。

Windows Server 2003 及更高版本的新增和修改的 DNS 策略设置

  • 更新顶级域区域策略

    如果指定了此策略,它将在以下注册表子项下创建一个 REG_DWORD UpdateTopLevelDomainZones 条目: HKLM\Software\Policies\Microsoft\Windows NT\DNSClient
    以下是 的条目值 UpdateTopLevelDomainZones: - Enabled (0x1) 。 0x1设置意味着计算机可能会尝试更新 TopLevelDomain 区域。 也就是说,如果 UpdateTopLevelDomainZones 启用设置,则应用此策略的计算机会将动态更新发送到对计算机必须更新的资源记录具有权威性的任何区域,根区域除外。 - 禁用 (0x0) 。 0x0设置意味着不允许计算机尝试更新 TopLevelDomain 区域。 也就是说,如果禁用此设置,则应用此策略的计算机不会向根区域或顶级域区域发送动态更新,这些更新对于计算机必须更新的资源记录具有权威性。 如果未配置此设置,则策略不会应用于任何计算机,并且计算机使用其本地配置。

  • 注册 PTR 记录策略

    在以下注册表子项下添加了项的新可能值0x2 REG_DWORD RegisterReverseLookup
    HKLM\Software\Policies\Microsoft\Windows NT\DNSClient

    下面是 : - 0x2 的 RegisterReverseLookup条目值。 仅当“A”记录注册成功时注册。 仅当计算机成功注册了相应的“A”资源记录时,计算机才会尝试实现 PTR 资源记录注册。 - 0x1。 注册。 无论“A”记录注册是否成功,计算机都会尝试实现 PTR 资源记录注册。 - 0x0。 不要注册。 计算机从不尝试实现 PTR 资源记录注册。

参考