不连续的命名空间
适用范围:Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012
当一个或多个域成员计算机的主域名服务 (DNS) 后缀与计算机所属的 Active Directory 域的 DNS 名称不匹配时,会出现非连续命名空间。 例如,在名为 na.corp.fabrikam.com 的 Active Directory 域中,使用 corp.fabrikam.com 作为主 DNS 后缀的成员计算机使用的就是非连续命名空间。
与连续命名空间相比,非连续命名空间的管理、维护和故障排除更复杂。 在连续命名空间中,主 DNS 后缀与 Active Directory 域名匹配。 在编写网络应用程序的过程中,如果假设 Active Directory 命名空间与所有域成员计算机的主 DNS 后缀相同,则网络应用程序在非连续命名空间中无法正常运行。
支持非连续命名空间
域成员计算机(包括域控制器)可以在非连续命名空间中运行。 域成员计算机可以在非连续 DNS 命名空间中注册其主机 (A) 资源记录和 IP 版本 6 (IPv6) 主机 (AAAA) 资源记录。 当域成员计算机以这种方式注册其资源记录时,域控制器继续在与 Active Directory 域名相同的 DNS 区域中注册全局的和特定于站点的服务 (SRV) 资源记录。
例如,假设名为 na.corp.fabrikam.com 的 Active Directory 域的域控制器使用主 DNS 后缀 corp.fabrikam.com 在 corp.fabrikam.com DNS 区域中注册主机 (A) 和 IPv6 主机 (AAAA) 资源记录。 域控制器继续在 _msdcs.na.corp.fabrikam.com 和 na.corp.fabrikam.com DNS 区域中注册全局的和特定于站点的服务 (SRV) 资源记录,这使得服务定位成为可能。
重要
尽管 Windows 操作系统可能支持非连续命名空间,但在编写应用程序的过程中,如果假设主 DNS 后缀与 Active Directory 域后缀相同,则应用程序可能无法在此类环境中运行。 因此,在部署非连续命名空间之前,应仔细测试所有应用程序及其各自的操作系统。
非连续命名空间应该在以下情况下工作(且会获得相应支持):
当具有多个 Active Directory 域的林使用单个 DNS 命名空间(也称为 DNS 区域)时
例如,一家公司使用名称为 na.corp.fabrikam.com、sa.corp.fabrikam.com 和 asia.corp.fabrikam.com 的区域域并使用单个 DNS 命名空间,如 corp.fabrikam.com。
将单个 Active Directory 域拆分为单独的 DNS 命名空间时
例如,一家公司的 Active Directory 域为 corp.contoso.com,它使用 DNS 区域,如 hr.corp.contoso.com、production.corp.contoso.com 和 it.corp.contoso.com。
在以下情况下,非连续命名空间无法正常工作(且不会获得相应支持):
域成员使用的非连续后缀与此林或其他林中的 Active Directory 域名匹配。 这会破坏 Kerberos 名称后缀路由。
在另一个林中使用相同的非连续后缀。 这可以防止在林之间以独一无二的方式路由这些后缀。
当域成员证书颁发机构 (CA) 服务器更改其完全限定的域名 (FQDN) 时,它不再使用 CA 服务器所属域的域控制器使用的同一主 DNS 后缀。 在这种情况下,验证 CA 服务器颁发的证书时可能会遇到问题,具体取决于 CRL 分发点中使用的 DNS 名称。 但是,如果将 CA 服务器放置在稳定的非连续命名空间中,则它会正常工作且会获得相应的支持。
非连续命名空间的注意事项
以下注意事项可能有助于确定是否应使用非连续命名空间。
应用程序兼容性
如前所述,在编写应用程序和服务的过程中,如果假设计算机主 DNS 后缀与其所属域的域名相同,则非连续命名空间可能会导致应用程序和服务出现问题。 在部署非连续命名空间之前,必须检查应用程序是否存在兼容性问题。 此外,请务必检查进行分析时使用的所有应用程序的兼容性。 这包括来自 Microsoft 和其他软件开发者的应用程序。
非连续命名空间的优点
使用非连续命名空间有以下优点:
由于计算机的主 DNS 后缀可以指示不同的信息,因此可以将 DNS 命名空间与 Active Directory 域名分开管理。
可以根据业务结构或地理位置来分隔 DNS 命名空间。 例如,可以根据业务部门名称或物理位置(如洲、国家/地区或建筑物)来分隔命名空间。
非连续命名空间的缺点
使用非连续命名空间有以下缺点:
必须为林中的每个 Active Directory 域创建和管理单独的 DNS 区域,这些域具有使用非连续命名空间的成员计算机。 (也就是说,它需要其他更复杂的配置。)
必须执行手动步骤来修改和管理允许域成员使用指定主 DNS 后缀的 Active Directory 属性。
若要优化名称解析,必须执行手动步骤来修改和维护组策略以配置具有备用主 DNS 后缀的成员计算机。
注意
Windows Internet 名称服务 (WINS) 可用于通过解析单标签名称来弥补这一缺点。 有关 WINS 的详细信息,请参阅 WINS 技术参考。
当环境需要多个主 DNS 后缀时,必须相应地为林中的所有 Active Directory 域配置 DNS 后缀搜索顺序。
若要设置 DNS 后缀搜索顺序,可以使用组策略对象或动态主机配置协议 (DHCP) 服务器服务参数。 还可以修改注册表。
必须仔细测试所有应用程序,看是否存在兼容性问题。
若要详细了解解决这些缺点的步骤,请参阅创建非连续命名空间。
规划命名空间转换
在修改命名空间之前,请查看以下注意事项,这些注意事项适用于从连续命名空间转换为非连续命名空间的操作(反之亦然):
进行命名空间更改后,手动配置的服务主体名称 (SPN) 可能不再与 DNS 名称匹配。 这可能会导致身份验证失败。
有关详细信息,请参阅服务登录因 SPN 设置不正确而失败。
如果使用具有约束委托的基于 Windows Server 2003 的计算机,这些计算机可能需要你在 Active Directory 中手动编辑 msDS-AllowedToDelegateTo 属性。 有关详细信息,请参阅 ms-DS-Allowed-To-Delegate-To 属性。
如果要将修改 SPN 的权限委托给下级管理员,请参阅委托修改 SPN 的权限。
如果在具有域控制器(在非连续命名空间中配置)的部署中将基于安全套接字层 (SSL) 的轻型目录访问协议 (LDAP)(称为 LDAPS)与 CA 配合使用,则必须在配置 LDAPS 证书时使用相应的 Active Directory 域名和主 DNS 后缀。
有关域控制器证书要求的详细信息,请参阅 Microsoft 知识库中的文章 321051:如何通过第三方证书颁发机构启用基于 SSL 的 LDAP。
注意
使用 LDAPS 证书的域控制器可能需要你重新部署其证书。 当你这样做时,域控制器在重启之前可能不会选择相应的证书。 若要详细了解用于 Windows Server 2003 的基于安全套接字层 (SSL) 的轻型目录访问协议 (LDAP) (LDAPS) 身份验证,请参阅 Microsoft 知识库中的文章 938703:如何排查基于 SSL 的 LDAP 的连接问题。
非连续命名空间部署的规划
如果在具有非连续命名空间的环境中部署计算机,请采取以下预防措施:
通知与你有业务往来的所有软件供应商,他们必须测试非连续命名空间并提供相应支持。 要求他们确认他们是否在使用非连续命名空间的环境中为其应用程序提供相应支持。
在非连续命名空间实验室环境中测试所有版本的操作系统和应用程序。 执行此操作时,请遵循以下建议:
在将软件部署到环境中之前,请解决所有软件问题。
如果可能,请参与你计划部署在非连续命名空间中的操作系统和应用程序的 Beta 测试。
确保管理员和支持人员了解非连续命名空间及其影响。
根据需要创建一个计划,使你能够从非连续命名空间转换到连续命名空间。
向操作系统和应用程序提供商宣传非连续命名空间支持的重要性。