Несвязанное пространство имен
Несвязанное пространство имен возникает, когда один или несколько компьютеров-членов домена имеют основной суффикс службы доменных имен (DNS), который не соответствует DNS-имени домена Active Directory, в котором компьютеры являются членами. Например, компьютер-член, использующий первичный DNS-суффикс corp.fabrikam.com в домене Active Directory с именем na.corp.fabrikam.com использует разрозненные пространства имен.
Несвязанное пространство имен является более сложным для администрирования, обслуживания и устранения неполадок, чем непрерывное пространство имен. В непрерывном пространстве имен основной DNS-суффикс соответствует доменному имени Active Directory. Сетевые приложения, записываемые для предположения о том, что пространство имен Active Directory идентично основному DNS-суффиксу для всех компьютеров-членов домена, не работает должным образом в разобщенном пространстве имен.
Поддержка несвязанных пространств имен
Компьютеры-члены домена, включая контроллеры домена, могут функционировать в несвязанном пространстве имен. Компьютеры-члены домена могут зарегистрировать запись ресурсов узла (A) и запись ресурсов узла IPv6 версии 6 (AAAA) в разных пространствах имен DNS. Когда компьютеры-члены домена регистрируют свои записи ресурсов таким образом, контроллеры домена продолжают регистрировать глобальные и записи ресурсов службы (SRV) в зоне DNS, идентичной доменному имени Active Directory.
Например, предположим, что контроллер домена Active Directory с именем na.corp.fabrikam.com, использующий первичный DNS-суффикс corp.fabrikam.com регистрирует записи ресурсов узла (A) и IPv6 (AAAA) в зоне DNS corp.fabrikam.com. Контроллер домена продолжает регистрировать глобальные и учетные записи ресурсов службы (SRV) в зонах DNS _msdcs.na.corp.fabrikam.com и na.corp.fabrikam.com, что делает расположение службы возможным.
Внимание
Хотя операционные системы Windows могут поддерживать несвязанное пространство имен, приложения, записываемые для того чтобы предположить, что основной DNS-суффикс совпадает с суффиксом домена Active Directory, может не работать в такой среде. По этой причине перед развертыванием разрознаного пространства имен необходимо тщательно протестировать все приложения и соответствующие операционные системы.
Несвязанное пространство имен должно работать (и поддерживается) в следующих ситуациях:
Если лес с несколькими доменами Active Directory использует одно пространство имен DNS, которое также называется зоной DNS.
Примером этого является компания, использующая региональные домены с такими именами, как na.corp.fabrikam.com, sa.corp.fabrikam.com и asia.corp.fabrikam.com и использующая одно пространство имен DNS, например corp.fabrikam.com.
Если один домен Active Directory разделен на отдельные пространства имен DNS
Примером этого является компания с доменом Active Directory corp.contoso.com, использующими зоны DNS, такие как hr.corp.contoso.com, production.corp.contoso.com и it.corp.contoso.com.
Несвязанное пространство имен работает неправильно (и не поддерживается) в следующих ситуациях:
Несвязанный суффикс, используемый членами домена, соответствует имени домена Active Directory в этом или другом лесу. Это нарушает маршрутизацию kerberos name-suffix.
Тот же несвязанный суффикс используется в другом лесу. Это предотвращает маршрутизацию этих суффиксов однозначно между лесами.
Если сервер сертификации членов домена изменяет полное доменное имя (FQDN), чтобы он больше не использовал тот же основной DNS-суффикс, который используется контроллерами домена домена, на который сервер ЦС является членом. В этом случае у вас могут возникнуть проблемы с проверкой сертификатов, выданных сервером ЦС, в зависимости от того, какие DNS-имена используются в точках распространения CRL. Но если вы размещаете сервер ЦС в стабильном несвязанном пространстве имен, он работает правильно и поддерживается.
Рекомендации по развязанным пространствам имен
Следующие рекомендации помогут вам решить, следует ли использовать разрознённое пространство имен.
Совместимость приложений
Как упоминалось ранее, разрозненное пространство имен может вызвать проблемы для любых приложений и служб, написанных для того чтобы предположить, что основной DNS-суффикс компьютера идентичен имени домена, в котором он является членом. Перед развертыванием несвязанного пространства имен необходимо проверить приложения на наличие проблем совместимости. Кроме того, обязательно проверьте совместимость всех приложений, используемых при выполнении анализа. К ним относятся приложения корпорации Майкрософт и другие разработчики программного обеспечения.
Преимущества разных пространств имен
Использование несвязанного пространства имен может иметь следующие преимущества:
Так как основной DNS-суффикс компьютера может указывать разные сведения, вы можете управлять пространством имен DNS отдельно от доменного имени Active Directory.
Пространство имен DNS можно разделить на основе бизнес-структуры или географического расположения. Например, можно разделить пространство имен на основе имен бизнес-единиц или физического расположения, например континента, страны или региона или здания.
Недостатки несвязанных пространств имен
Использование несвязанного пространства имен может иметь следующие недостатки:
Необходимо создать отдельные зоны DNS и управлять ими для каждого домена Active Directory в лесу с компьютерами-членами, используюющими разрозненное пространство имен. (То есть требуется дополнительная и более сложная конфигурация.)
Для изменения атрибута Active Directory и управления ими необходимо выполнить вручную действия, позволяющие членам домена использовать указанные суффиксы DNS.
Чтобы оптимизировать разрешение имен, необходимо выполнить вручную действия по изменению и поддержанию групповой политики для настройки компьютеров-членов с альтернативными основными суффиксами DNS.
Примечание.
Служба имен Интернета Windows (WINS) может использоваться для смещения этого недостатка путем разрешения имен одноклеек. Дополнительные сведения о WINS см. в техническом справочнике по WINS.
Если для вашей среды требуется несколько первичных DNS-суффиксов, необходимо настроить порядок поиска DNS-суффикса для всех доменов Active Directory в лесу соответствующим образом.
Чтобы задать порядок поиска DNS-суффикса, можно использовать объекты групповой политики или параметры службы сервера динамической конфигурации узла (DHCP). Вы также можете изменить реестр.
Необходимо тщательно протестировать все приложения для проблем совместимости.
Дополнительные сведения о шагах, которые можно предпринять для устранения этих недостатков, см. в разделе "Создание пространства имен с разсоединенным".
Планирование перехода пространства имен
Перед изменением пространства имен ознакомьтесь со следующими рекомендациями, которые применяются к переходу из смежных пространств имен на развязанные пространства имен (или обратное):
Настроенные вручную имена субъектов-служб (SPN) больше не могут совпадать с DNS-именами после изменения пространства имен. Это может привести к сбоям проверки подлинности.
Дополнительные сведения см. в статье "Сбой входа в службу из-за неправильного задания имен субъектов-служб".
Если вы используете компьютеры под управлением Windows Server 2003 с ограниченным делегированием, эти компьютеры могут потребовать вручную изменить атрибут msDS-AllowedToDelegateTo в Active Directory. Дополнительные сведения см. в атрибуте ms-DS-Allowed-To-To.
Если вы хотите делегировать разрешения на изменение имен субъектов-служб подчиненным администраторам, см . раздел "Делегирование центра для изменения имен субъектов-служб".
Если вы используете протокол LDAP через протокол SSL (SSL) (известный как LDAPS) с ЦС в развертывании с контроллерами домена, настроенными в разных пространствах имен, необходимо использовать соответствующее доменное имя и основной DNS-суффикс Active Directory при настройке сертификатов LDAPS.
Дополнительные сведения о требованиях к сертификату контроллера домена см. в статье 321051 в Базе знаний Майкрософт, как включить ПРОТОКОЛ LDAP по протоколу SSL с помощью стороннего центра сертификации.
Примечание.
Контроллеры домена, использующие сертификаты для LDAPS, могут потребовать повторного развертывания сертификатов. При этом контроллеры домена могут не выбрать соответствующий сертификат, пока они не будут перезапущены. Дополнительные сведения о протоколе LDAP по протоколу LDAP по протоколу SSL (SSL) для Windows Server 2003 см. в статье 938703 базы знаний Майкрософт, как устранить неполадки с подключением LDAP по протоколу SSL.
Планирование разрознения развертываний пространства имен
При развертывании компьютеров в среде с несвязанным пространством имен выполните следующие меры предосторожности:
Уведомляйте всех поставщиков программного обеспечения, с которыми вы делаете бизнес, что они должны тестировать и поддерживать разрознённое пространство имен. Попросите их убедиться, что они поддерживают свои приложения в средах, использующих несвязанные пространства имен.
Проверьте все версии операционных систем и приложений в разных средах лаборатории пространства имен. При этом следуйте приведенным ниже рекомендациям.
Перед развертыванием программного обеспечения в среде устраняйте все проблемы с программным обеспечением.
По возможности примите участие в бета-тестах операционных систем и приложений, которые планируется развернуть в разных пространствах имен.
Убедитесь, что администраторы и сотрудники службы технической поддержки знают о несвязанном пространстве имен и его влиянии.
Создайте план, который позволяет при необходимости перейти с развязанного пространства имен в непрерывное пространство имен.
Евангельизация важности поддержки разных пространств имен с поставщиками операционных систем и приложений.