Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Ett disjoint namnområde inträffar när en eller flera domänmedlemsdatorer har ett primärt DNS-suffix (Domain Name Service) som inte matchar DNS-namnet på den Active Directory-domän som datorerna är medlemmar i. En medlemsdator som till exempel använder ett primärt DNS-suffix för corp.fabrikam.com i en Active Directory-domän med namnet na.corp.fabrikam.com använder ett disjoint namnområde.
Ett osammanhängande namnområde är mer komplext att administrera, underhålla och felsöka än ett sammanhängande namnområde. I ett sammanhängande namnområde matchar det primära DNS-suffixet Active Directory-domännamnet. Nätverksprogram som skrivs för att anta att Active Directory-namnområdet är identiskt med det primära DNS-suffixet för alla domänmedlemsdatorer fungerar inte korrekt i ett disjoint namnområde.
Stöd för icke-sammanhängande namnområden
Domänmedlemsdatorer, inklusive domänkontrollanter, kan fungera i ett osammanhängande namnområde. Domänmedlemsdatorer kan registrera sina värdresursposter (A) och IP version 6 (IPv6) värdresursposter (AAAA) i ett osammanhängande DNS-namnområde. När domänmedlemsdatorer registrerar sina resursposter på det här sättet fortsätter domänkontrollanter att registrera globala och platsspecifika tjänstresurser (SRV) i DNS-zonen som är identiska med Active Directory-domännamnet.
Anta till exempel att en domänkontrollant för Active Directory-domänen med namnet na.corp.fabrikam.com som använder ett primärt DNS-suffix för corp.fabrikam.com registrerar resursposterna för värdar (A) och IPv6-värdar (AAAA) i corp.fabrikam.com DNS-zonen. Domänkontrollanten fortsätter att registrera globala och platsspecifika tjänstresursposter (SRV) i DNS-zonerna _msdcs.na.corp.fabrikam.com och na.corp.fabrikam.com, vilket gör tjänstplatsen möjlig.
Important
Även om Windows-operativsystem kan ha stöd för ett disjoint namnområde kan program som är skrivna för att anta att det primära DNS-suffixet är detsamma som Active Directory-domänsuffixet kanske inte fungerar i en sådan miljö. Därför bör du testa alla program och deras respektive operativsystem noggrant innan du distribuerar ett osammanhängande namnområde.
En uppdelad namnrymd bör fungera (och stöds) i följande situationer:
När en skog med flera Active Directory-domäner använder ett enda DNS-namnområde, vilket även kallas en DNS-zon
Ett exempel på detta är ett företag som använder regionala domäner med namn som na.corp.fabrikam.com, sa.corp.fabrikam.com och asia.corp.fabrikam.com och använder ett enda DNS-namnområde, till exempel corp.fabrikam.com.
När en enskild Active Directory-domän delas upp i separata DNS-namnområden
Ett exempel på detta är ett företag med en Active Directory-domän med corp.contoso.com som använder DNS-zoner som hr.corp.contoso.com, production.corp.contoso.com och it.corp.contoso.com.
En uppdelad namnrymd fungerar inte korrekt (och stöds inte) i följande situationer:
Ett disjoint suffix som används av domänmedlemmar matchar ett Active Directory-domännamn i denna eller någon annan domänskog. Detta bryter routning av namnsuffix i Kerberos.
Samma disjoint-suffix används i en annan skog. Detta förhindrar att dessa suffix dirigeras unikt mellan skogar.
När en certifikatutfärdare för domänmedlemmar (CA) ändrar sitt fullständigt kvalificerade domännamn (FQDN) så att den inte längre använder samma primära DNS-suffix som används av domänkontrollanterna i domänen som CA-servern är medlem i. I det här fallet kan du ha problem med att verifiera certifikat som ca-servern har utfärdat, beroende på vilka DNS-namn som används i CRL-distributionsplatserna. Men om du placerar en CA-server i ett stabilt disjoint-namnområde fungerar den korrekt och stöds.
Överväganden för skilda namnområden
Följande överväganden kan hjälpa dig att avgöra om du ska använda ett osammanhängande namnområde.
Programkompatibilitet
Som tidigare nämnts kan ett disjoint namnområde orsaka problem för alla program och tjänster som är skrivna för att anta att en dators primära DNS-suffix är identiskt med namnet på domännamnet som det är medlem i. Innan du distribuerar ett disjoint-namnområde måste du kontrollera om program har kompatibilitetsproblem. Se också till att kontrollera kompatibiliteten för alla program som du använder när du utför analysen. Detta inkluderar program från Microsoft och från andra programutvecklare.
Fördelar med diskreta namnområden
Det kan ha följande fördelar med att använda ett disjoint-namnområde:
Eftersom det primära DNS-suffixet för en dator kan indikera annan information kan du hantera DNS-namnområdet separat från Active Directory-domännamnet.
Du kan avgränsa DNS-namnområdet baserat på företagsstruktur eller geografisk plats. Du kan till exempel separera namnområdet baserat på företagsenhetsnamn eller fysisk plats, till exempel kontinent, land/region eller byggnad.
Nackdelar med uppdelade namnområden
Att använda ett disjoint namnområde kan ha följande nackdelar:
Du måste skapa och hantera separata DNS-zoner för varje Active Directory-domän i skogen som har medlemsdatorer som använder ett disjoint namnområde. (Det innebär att det krävs ytterligare en och mer komplex konfiguration.)
Du måste utföra manuella steg för att ändra och hantera Active Directory-attributet som gör att domänmedlemmar kan använda angivna primära DNS-suffix.
För att optimera namnupplösning måste du utföra manuella steg för att ändra och underhålla Gruppolicy så att medlemsdatorer konfigureras med alternativa primära DNS-suffix.
Note
Windows Internet Name Service (WINS) kan användas för att avhjälpa denna nackdel genom att lösa enstaka namn. Mer information om WINS finns i den tekniska WINS-referensen.
När din miljö kräver flera primära DNS-suffix måste du konfigurera DNS-suffixsökningsordningen för alla Active Directory-domäner i skogen på rätt sätt.
Om du vill ange sökordningen för DNS-suffixet kan du använda grupprincipobjekt eller DHCP-servertjänstparametrar (Dynamic Host Configuration Protocol). Du kan också ändra registret.
Du måste noggrant testa alla program för kompatibilitetsproblem.
Mer information om de steg du kan vidta för att åtgärda dessa nackdelar finns i Skapa ett disjoint namnområde.
Planera en namnområdesövergång
Innan du ändrar ett namnområde bör du granska följande överväganden, som gäller för övergångar från sammanhängande namnområden till uppdelade namnområden (eller tvärtom):
Manuellt konfigurerade tjänsthuvudnamn (SPN) kanske inte längre matchar DNS-namn efter en namnområdesändring. Detta kan orsaka autentiseringsfel.
Mer information finns i Tjänstinloggning misslyckas på grund av felaktigt inställda SPN.
Om du använder Windows Server 2003-baserade datorer med begränsad delegering kan dessa datorer kräva att du redigerar attributet msDS-AllowedToDelegateTo manuellt i Active Directory. Mer information finns i attributetms-DS-Allowed-To-Delegate-To.
Om du vill delegera behörighet för att ändra SPN:er till underordnade administratörer kan du läsa Delegera behörighet att ändra SPN:er.
Om du använder Lightweight Directory Access Protocol (LDAP) över Secure Sockets Layer (SSL) (kallas LDAPS) med en certifikatutfärdare i en distribution som har domänkontrollanter som är konfigurerade i ett osammanhängande namnområde, måste du använda lämpligt Active Directory-domännamn och primärt DNS-suffix när du konfigurerar LDAPS-certifikaten.
Mer information om certifikatkrav för domänkontrollanter finns i artikeln 321051 i Microsoft Knowledge Base, How to enable LDAP over SSL with a third-party certification authority (Så här aktiverar du LDAP över SSL med en tredjepartscertifikatutfärdare).
Note
Domänkontrollanter som använder certifikat för LDAPS kan kräva att du distribuerar om deras certifikat. När du gör det kanske domänkontrollanter inte väljer ett lämpligt certifikat förrän de startas om. Mer information om LDAP-autentisering (Lightweight Directory Access Protocol) över SSL-autentisering (Secure Sockets Layer) (LDAPS) för Windows Server 2003 finns i artikeln 938703 i Microsoft Knowledge Base, Så här felsöker du LDAP över SSL-anslutningsproblem.
Planera för distributioner av disjoint-namnområden
Vidta följande försiktighetsåtgärder om du distribuerar datorer i en miljö som har ett osammanhängande namnområde:
Meddela alla programvaruleverantörer som du gör affärer med att de måste testa och stödja ett osammanhängande namnområde. Be dem att kontrollera att de stöder sina program i miljöer som använder olika namnområden.
Testa alla versioner av operativsystem och program i olika namnområdeslabbmiljöer. När du gör det följer du dessa rekommendationer:
Lös alla programvaruproblem innan du distribuerar programvaran till din miljö.
När det är möjligt kan du delta i betatester av operativsystem och program som du planerar att distribuera i olika namnområden.
Se till att administratörer och supportpersonal är medvetna om det uppdelade namnområdet och dess inverkan.
Skapa en plan som gör det möjligt för dig att övergå från ett osammanhängande namnområde till ett sammanhängande namnområde om det behövs.
Evangelisera vikten av disjoint namespace-stöd med operativsystem och programleverantörer.