Рекомендации по доменам Active Directory, которые используют одноуровневые имена DNS

Итоги

В этой статье содержатся сведения о развертывании и работе доменов Доменных служб Active Directory (AD DS), использующих DNS-имена с одной меткой.

Исходный номер базы знаний: 300684

В этой статье содержатся сведения о совместимости приложений для сценариев, в которых вы рассматриваете вопрос о переименовании домена. Как правило, этот подход можно рассмотреть для удаления конфигурации системы доменных имен с одной меткой (DNS).

По следующим причинам создайте новые домены Active Directory с полными доменными именами DNS (FQDN):

  • Вы не можете использовать интернет-регистратор для регистрации имен DNS с одной меткой.

  • При присоединении к доменам с одной меткой клиентским компьютерам (присоединённым к домену и не присоединённым к домену) и контроллерам домена требуется дополнительная настройка для динамической регистрации записей DNS в зонах DNS с одной меткой.

  • Клиентские компьютеры (присоединенные к домену, не присоединенные к домену и присоединенные к Microsoft Entra ID) и контроллеры домена требуют дополнительной настройки для разрешения запросов DNS в зонах DNS с одной меткой.

  • Некоторые серверные приложения несовместимы с именами доменов с одной меткой. Недавно выпущенные приложения могут не поддерживать dns-имена с одной меткой, а приложения, поддерживающие имена DNS с одной меткой, могут отказаться от поддержки в будущем.

  • Переход от доменного имени DNS с одной меткой к полностью квалифицированному доменному имени является сложной задачей и включает два варианта:

    • Перенос пользователей, компьютеров, групп и других состояний в новый лес.

    • Переименуйте существующий домен.

      Важно!

      Текущие приложения Майкрософт не поддерживают переименование домена. Поэтому не пытайтесь переименовать DNS-имя с одной меткой в полное доменное имя.

  • В Windows Server 2008 мастер установки Active Directory (Dcpromo.exe) предупреждает о создании новых доменов с именами DNS с одной меткой. Нет бизнес- или технической причины для создания новых доменов с одноуровневыми DNS-именами. В Windows Server 2008 R2 и более поздних версиях мастер установки Active Directory явно блокирует создание таких доменов.

В предыдущих версиях этой статьи перечислены приложения Майкрософт, которые специально не поддерживали переименование домена. В настоящее время приложения Майкрософт не поддерживают переименование домена. Поэтому различие, предоставленное этим списком, больше не требуется.

Дополнительная информация

Имена одноклеек состоят из одного слова, например contoso.

Рекомендуется использовать доменные имена Active Directory, состоящие из одного или нескольких поддоменов, которые объединяются с доменом верхнего уровня. Период (".") разделяет два компонента, как показано в следующих примерах:

  • contoso.com
  • corp.contoso.com

Домен верхнего уровня занимает самую правильную метку в доменном имени. Доступно большое количество доменов верхнего уровня. Распространенные домены верхнего уровня включают следующие примеры:

  • .com
  • .net
  • .org
  • Двухбуквенный код страны верхнего уровня (ccTLD), например .nz
  • Универсальные имена, такие как "local". Однако в таких ситуациях универсальные имена могут вызвать другие проблемы.

Для поддержки текущих и будущих операционных систем и надежных приложений используйте две или более меток для доменных имен Active Directory. Примеры недопустимых запросов к домену верхнего уровня см. в разделе "Недопустимые запросы домена верхнего уровня" на корневом уровне системы доменных имен (Консультативный комитет по безопасности и стабильности ICANN ) .

Регистрация DNS-имен с помощью регистратора Интернета

Используйте интернет-регистратор, чтобы зарегистрировать DNS-имена для самых главных внутренних и внешних пространств имен DNS вашего домена. Эти пространства имен DNS включают корневые домены любого леса Active Directory, кроме случаев, когда такие имена являются поддоменами ранее зарегистрированных доменов. (Например, корневой домен леса "corp.example.com" является поддоменом внутреннего пространства имен "example.com". При регистрации ваших DNS-имен с интернет-регистратором, DNS-серверы в интернете разрешают ваш домен либо сразу, либо в какой-то момент в течение жизненного цикла вашего леса Active Directory.) Данная регистрация также помогает предотвратить конфликты имен, вызванные другими организациями.

Симптомы, указывающие, что клиенты не могут динамически регистрировать записи DNS в зоне прямого поиска с одной меткой

Если в вашей среде используется DNS-имя с одной меткой, клиенты могут быть не в состоянии динамически зарегистрировать записи DNS в зоне прямого поиска с одной меткой. Конкретные симптомы зависят от различных версий Windows, но могут включать следующие симптомы:

  • После настройки одноуровневого домена контроллеры домена не могут зарегистрировать записи DNS. Системные журналы контроллера домена последовательно регистрируют Идентификатор события NetLogon 5781, "Динамическая регистрация или удаление одной или нескольких записей DNS, связанных с доменом DNS "intranet.example.com". Сбой".

  • Клиенты получают ошибки DNS, похожие на следующие коды ошибок:

    • 0000232A DNS_ERROR_RCODE_SERVER_FAILURE
    • 0x0000251D DNS_INFO_NO_RECORDS
    • DNS_ERROR_RCODE_ERROR
    • 0x0000232A RCODE_SERVER_FAILURE

  • Компьютеры под управлением Windows, настроенные для динамических обновлений DNS, не регистрируются в домене DNS с одной меткой. Windows регистрирует соответствующие события в системном журнале.

Как разрешить клиентам Windows отправлять запросы и динамические обновления при использовании зон DNS с одной меткой

Компьютер под управлением Windows требует дополнительной конфигурации для поддержки имен DNS с одной меткой для доменов Active Directory. В частности, в домене с одноуровневым DNS-именем служба DC Locator на компьютере, являющемся членом домена Active Directory, не использует службу DNS-сервера для поиска контроллеров домена. Эту дополнительную конфигурацию необходимо применить ко всем компьютерам во всех лесах.

Рассмотрим следующую конфигурацию:

  • Компьютеры-члены домена находятся в лесу, который не содержит домены DNS с одной меткой.
  • Контроллеры домена находятся в доменах DNS с одной меткой в другом лесу.

В этой конфигурации вы увидите следующее поведение по умолчанию:

  • По умолчанию клиентские компьютеры не используют службу DNS-сервера для поиска контроллеров домена.
  • По умолчанию клиенты Windows DNS не отправляют обновления в домены верхнего уровня.

Это поведение приводит к проблемам с разрешением DNS. Чтобы устранить проблемы, необходимо изменить конфигурации клиентских компьютеров Windows (присоединенных к домену, не присоединенных к домену или присоединенных к Microsoft Entra ID) и контроллеров домена. Чтобы изменить конфигурации, используйте один из двух методов в этом разделе.

Важно!

Прежде чем использовать любой метод, убедитесь, что разрешение имен NetBIOS работает правильно в вашей среде. В противном случае клиенты не могут получить доступ к доменам с именами DNS с одной меткой.

Метод 1. Использование редактора реестра

Важно!

В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому убедитесь, что вы внимательно выполните следующие действия. Для защиты создайте резервную копию реестра перед его изменением, чтобы в случае возникновения проблем можно было восстановить его. Для получения дополнительной информации о том, как создать резервную копию и восстановить реестр, см. Как создать резервную копию и восстановить реестр в Windows.

Шаг 1. Изменение конфигурации службы локатора DC

На клиентских компьютерах Windows, присоединенных к домену, выполните следующие действия.

  1. В поле поиска введите regedit и выберите редактор реестра.
  2. Найдите и выберите HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters подраздел.
  3. В области деталей найдите запись AllowSingleLabelDnsDomain. Если запись не существует, выполните следующие действия.
    1. Выберите Редактировать>Новое>значение DWORD.
    2. В поле "Имя" введите AllowSingleLabelDnsDomain.
  4. Дважды щелкните запись AllowSingleLabelDnsDomain, а затем в данных значения введите 1.
  5. Закройте редактор реестра и перезагрузите компьютер.
Шаг 2. Изменение конфигурации динамического обновления для корневой зоны DNS или зон DNS с одной меткой

Примените эти изменения ко всем контроллерам домена и клиентам Windows (входящим в домен, не входящим в домен, или присоединенным к Microsoft Entra ID), которые имеют одноуровневые суффиксы DNS. Если домен с одноклейным DNS-именем является корневым доменом леса, примените эти изменения ко всем контроллерам домена в лесу, если только следующие отдельные зоны не делегированы из зоны ForestName : _msdcs. ForestName, _sites. ForestName, _tcp. Имя леса и _udp. ForestName.

Выполните следующие действия:

  1. В поле поиска введите regedit и выберите редактор реестра.
  2. Найдите и выберите HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient подраздел.
  3. В панели сведений найдите запись UpdateTopLevelDomainZones. Если запись не существует, выполните следующие действия.
    1. Выберите Изменить>Новое>Значение DWORD.
    2. В поле "Имя" введите UpdateTopLevelDomainZones.
  4. Дважды щелкните запись UpdateTopLevelDomainZones и введите 1 в значение данных.
  5. Закройте редактор реестра и перезагрузите компьютер.

Метод 2. Использование групповой политики

Используйте групповую политику, чтобы включить политику Обновление зон доменов верхнего уровня и Расположение контроллеров домена, которые размещают домен с одноуровневым DNS-именем. Настройте эти политики в местоположении папки в корневом контейнере домена в "Пользователи и компьютеры", а также во всех организационных подразделениях (ОП), которые размещают учетные записи компьютеров для членских компьютеров и для контроллеров домена. Используйте значения, указанные в следующей таблице.

Политика Расположение папки
Обновление доменных зон верхнего уровня Конфигурация компьютера\Административные шаблоны\Сеть\DNS-клиент
Расположение контроллеров домена, на котором размещен домен с одним dns-именем метки Конфигурация компьютера\Административные шаблоны\System\Net Logon\DC Locator DNS Records

Чтобы включить эти политики, выполните следующие действия в корневом контейнере домена:

  1. В консоли управления групповыми политиками (GPMC) дважды щелкните политику домена, которую требуется настроить. Если вы хотите, чтобы все компьютеры работали одинаково, дважды щелкните глобальную политику, например политику домена по умолчанию.

  2. Разверните Конфигурация компьютера>Административные шаблоны>Сеть>DNS-Клиент.

  3. В области сведений дважды щелкните Использовать разрешение имен DNS для однополосных доменных имен вместо разрешения имен NetBIOS, чтобы найти контроллер домена.

  4. Нажмите кнопку "Включить", нажмите кнопку "Применить" и нажмите кнопку "ОК".

  5. В разделе Административные шаблоны разверните Система>Net Logon>DNS записи DC Locator.

  6. В области сведений дважды щелкните расположение контроллеров домена, на котором размещен домен с dns-именем одной метки.

  7. Нажмите кнопку "Включить", нажмите кнопку "Применить" и нажмите кнопку "ОК".

  8. Закройте редактор групповой политики и GPMC.

Примечание.

Параметры можно определить с помощью политик службы конфигурации (CSPs). Дополнительные сведения см. в следующих статьях:

Проверьте DNS-серверы, чтобы убедиться, что корневые серверы не создаются непреднамеренно. Мастер DCpromo может создавать корневые серверы. Если зона "." существует, DCpromo создал корневой сервер. Чтобы разрешение DNS-имен работало правильно, может потребоваться удалить эту зону.

Новые и измененные параметры политики DNS для Windows

  • Обновление доменных зон верхнего уровня

    Если вы включите эту политику, будет создана запись REG_DWORD UpdateTopLevelDomainZones в подразделе реестра HKLM\Software\Policies\Microsoft\Windows NT\DNSClient. Вы можете выбрать одно из следующих значений.

    Ценность Имя Description
    0x1 Включен Компьютеры могут попытаться обновить зоны TopLevelDomain. Если этот параметр включен UpdateTopLevelDomainZones , компьютеры отправляют динамические обновления в любую зону, которая является авторитетной для записей ресурсов, которые компьютер должен обновить, за исключением корневой зоны.
    0x0 Disabled Компьютеры не могут пытаться обновить зоны TopLevelDomain. Если этот параметр отключен, компьютеры не отправляют динамические обновления в корневую зону или в зоны домена верхнего уровня, которые являются доверенными для записей ресурсов, которые компьютер должен обновить. Если этот параметр не настроен, политика не применяется к компьютерам, а компьютеры используют локальную конфигурацию.

  • Регистрация записей PTR

    Эта политика не является новой, но она имеет новое возможное значение. Если эта политика включена, она создает REG_DWORD RegisterReverseLookup запись в подразделе HKLM\Software\Policies\Microsoft\Windows NT\DNSClient реестра. Вы можете выбрать одно из следующих значений.

    Ценность Имя Description
    0x2 Зарегистрируйтесь только в том случае, если регистрация записи A завершается успешно. Компьютеры пытаются реализовать регистрацию записей ресурсов PTR, только если они успешно зарегистрировали соответствующие записи ресурсов A.
    0x1 Register Компьютеры пытаются выполнить регистрацию ресурсов PTR независимо от успешности регистрации записей A.
    0x0 Не регистрируйте Компьютеры никогда не пытаются реализовать регистрацию записей ресурсов PTR.

Ссылки

  • Last updated on