斷續命名空間
適用於:Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012
當一或多部網域成員電腦擁有的主要網域名稱服務 (DNS) 尾碼與這些電腦所屬 Active Directory 網域的 DNS 名稱不符時,就會出現脫離的命名空間。 例如,在名為 na.corp.fabrikam.com 的 Active Directory 網域中,使用主要 DNS 尾碼 corp.fabrikam.com 的成員電腦就是使用脫離的命名空間。
脫離的命名空間在管理、維護和疑難排解方面比連續命名空間更複雜。 在連續命名空間中,主要 DNS 尾碼符合 Active Directory 網域名稱。 寫入以假設 Active Directory 命名空間與所有網域成員電腦的主要 DNS 尾碼完全相同的網路應用程式,無法在脫離的命名空間中正常運作。
支援脫離的命名空間
網域成員電腦,包括網域控制站,可以在脫離的命名空間中運作。 網域成員電腦可以在脫離的 DNS 命名空間中註冊其主機 (A) 資源記錄和 IP 第 6 版 (IPv6) 主機 (AAAA) 資源記錄。 當網域成員電腦以這種方式註冊其資源記錄時,網域控制站會繼續在 DNS 區域中註冊與 Active Directory 網域名稱相同的全域和網站特定服務 (SRV) 資源記錄。
例如,假設名為 na.corp.fabrikam.com 的 Active Directory 網域網域控制站,會使用 corp.fabrikam.com 的主要 DNS 尾碼在 corp.fabrikam.com DNS 區域註冊主機 (A) 和 IPv6 主機 (AAAA) 資源記錄。 網域控制站會繼續在 _msdcs.na.corp.fabrikam.com 和 na.corp.fabrikam.com DNS 區域中註冊全域和網站特定服務 (SRV) 資源記錄,讓服務位置成為可能。
重要
雖然 Windows 作業系統可能支援脫離的命名空間,但是寫入以假設主要 DNS 尾碼與 Active Directory 網域尾碼相同的應用程式可能無法在這類環境中運作。 基於這個理由,您應該先仔細測試所有應用程式及其各自的作業系統,再部署脫離的命名空間。
在下列情況下,脫離的命名空間應該能夠運作 (且受到支援):
當具有多個 Active Directory 網域的樹系使用單一 DNS 命名空間時,也稱為 DNS 區域
其中一個範例是使用區域網域的公司,其名稱如 na.corp.fabrikam.com、sa.corp.fabrikam.com 和 asia.corp.fabrikam.com,並使用單一 DNS 命名空間,例如 corp.fabrikam.com。
當單一 Active Directory 網域分割成個別的 DNS 命名空間時
其中一個範例是具有 Active Directory 網域 corp.contoso.com 的公司,其使用 DNS 區域,例如 hr.corp.contoso.com、production.corp.contoso.com 和 it.corp.contoso.com。
在下列情況下,脫離的命名空間無法正常運作 (且不受支援):
網域成員所使用的脫離尾碼符合此樹系或其他樹系中的 Active Directory 網域名稱。 這會中斷 Kerberos 名稱尾碼路由。
在另一個樹系中使用相同的脫離尾碼。 這可防止在樹系之間唯一路由傳送這些尾碼。
當網域成員憑證授權單位單位 (CA) 伺服器變更其完整網域名稱 (FQDN) 時,不再使用 CA 伺服器所屬網域的網域控制站所使用的相同主要 DNS 尾碼。 在此情況下,根據 CRL 發佈點中使用的 DNS 名稱而定,您在驗證 CA 伺服器所簽發的憑證時可能會發生問題。 但是,如果您將 CA 伺服器放在穩定的脫離命名空間中,會正常運作且受到支援。
脫離的命名空間考量
下列考量可協助您決定是否應該使用脫離的命名空間。
應用程式相容性
如先前所述,脫離的命名空間可能會造成寫入以假設電腦主要 DNS 尾碼與其所屬網域的名稱相同之任何應用程式和服務的問題。 部署脫離的命名空間之前,您必須先檢查應用程式是否有相容性問題。 此外,請務必檢查您在執行分析時使用的所有應用程式相容性。 這包括來自 Microsoft 和其他軟體開發人員的應用程式。
脫離的命名空間優點
使用脫離的命名空間有下列優點:
由於電腦的主要 DNS 尾碼可以指出不同的資訊,因此您可以將 DNS 命名空間與 Active Directory 網域名稱分開管理。
您可以根據商務結構或地理位置來分隔 DNS 命名空間。 例如,您可以根據業務單位名稱或實體位置來分隔命名空間,例如大陸、國家/地區或建築物。
脫離的命名空間缺點
使用脫離的命名空間有下列缺點:
您必須為樹系中的每個 Active Directory 網域建立和管理個別的 DNS 區域,其中具有使用脫離的命名空間的成員電腦。 (也就是說,需要額外且更複雜的組態。)
您必須執行手動步驟來修改和管理 Active Directory 屬性,讓網域成員能夠使用指定的主要 DNS 尾碼。
若要最佳化名稱解析,您必須執行手動步驟來修改和維護群組原則,以替代主要 DNS 尾碼來設定成員電腦。
注意
Windows 網際網路名稱服務 (WINS) 可用來藉由解析單一標籤名稱來抵消此缺點。 如需 WINS 的詳細資訊,請參閱 WINS 技術參考。
當您的環境需要多個主要 DNS 尾碼時,您必須適當地設定樹系中所有 Active Directory 網域的 DNS 尾碼搜尋順序。
若要設定 DNS 尾碼搜尋順序,您可以使用群組原則物件或動態主機設定通訊協定 (DHCP) 伺服器服務參數。 您也可以修改登錄。
您必須仔細測試所有應用程式是否有相容性問題。
如需您可以採取以解決這些缺點之步驟的詳細資訊,請參閱建立脫離的命名空間。
規劃命名空間轉換
修改命名空間之前,請先檢閱下列考量,其適用於從連續命名空間轉換為脫離的命名空間 (或反向):
手動設定的服務主體名稱 (SPN) 在命名空間變更後可能不再符合 DNS 名稱。 這會造成驗證失敗。
如需詳細資訊,請參閱由於未正確設定 SPN 所造成的服務登入失敗。
如果您使用具有限制委派的 Windows Server 2003 型電腦,這些電腦可能需要手動編輯 Active Directory 中的 msDS-AllowedToDelegateTo 屬性。 如需詳細資訊,請參閱 ms-DS-Allowed-To-Delegate-To 屬性。
如果您想要將修改 SPN 的權限委派給次級系統管理員,請參閱委派授權單位修改 SPN。
如果您在部署中搭配使用 Lightweight Directory Access Protocol (LDAP) over Secure Sockets Layer (SSL) (稱為 LDAPS) 和 CA,其中具有在脫離的命名空間中設定的網域控制站,當您設定 LDAPS 憑證時,必須使用適當的 Active Directory 網域名稱和主要 DNS 尾碼。
如需網域控制站憑證需求的詳細資訊,請參閱 Microsoft 知識庫中的文章 321051:如何使用第三方憑證授權單位啟用 LDAP over SSL。
注意
使用 LDAPS 憑證的網域控制站可能需要重新部署其憑證。 當您這樣做時,網域控制站在重新啟動之前可能不會選取適當的憑證。 如需適用於 Windows Server 2003 的 Lightweight Directory Access Protocol (LDAP) over Secure Sockets Layer (SSL) (LDAPS) 驗證的詳細資訊,請參閱 Microsoft 知識庫文章 938703:如何針對 LDAP over SSL 連線問題進行疑難排解。
規劃脫離的命名空間部署
如果您在具有脫離的命名空間的環境中部署電腦,請採取下列預防措施:
通知您合作的所有軟體廠商,他們必須測試並支援脫離的命名空間。 要求他們確認他們在使用脫離的命名空間的環境中支援其應用程式。
在脫離的命名空間實驗室環境中測試所有作業系統和應用程式版本。 當您這麼做時,請遵循以下建議進行:
將軟體部署至環境之前,請先解決所有軟體問題。
可能的話,請參與您打算在脫離的命名空間中部署之作業系統和應用程式的 Beta 測試。
請確定系統管理員和技術支援人員知道脫離的命名空間及其影響。
建立一個計劃,讓您可以視需要從脫離的命名空間轉換為連續命名空間。
向作業系統和應用程式提供者推廣脫離的命名空間支援的重要性。