Zusammenhangloser Namespace

Ein nicht zusammenhängender Namespace tritt auf, wenn das primäre DNS-Suffix (Domain Name System) eines oder mehrerer Computer nicht mit dem DNS-Namen der Active Directory-Domäne übereinstimmt, deren Mitglieder sie sind. So wird auf einem Mitgliedscomputer, der das primäre DNS-Suffix „corp.fabrikam.com“ in einer Active Directory-Domäne mit der Bezeichnung „na.corp.fabrikam.com“ aufweist, ein nicht zusammenhängender Namespace verwendet.

Ein nicht zusammenhängender Namespace ist bei der Verwaltung, Wartung und Problembehandlung komplexer als ein zusammenhängender Namespace. In einem zusammenhängenden Namespace entspricht das primäre DNS-Suffix dem Active Directory-Domänennamen. Netzwerkanwendungen, die so geschrieben sind, dass der Active Directory-Namespace mit dem primären DNS-Suffix für alle Domänenmitgliedscomputer identisch ist, funktionieren in einem nicht zusammenhängenden Namespace nicht ordnungsgemäß.

Unterstützung für nicht zusammenhängende Namespaces

Domänenmitgliedscomputer, einschließlich Domänencontrollern, können in einem nicht zusammenhängenden Namespace funktionieren. Domänenmitgliedcomputer können ihren Hostressourcendatensatz (A) und den Host-(AAAA-)Ressourceneintrag der IP-Version 6 (IPv6) in einem nicht zusammenhängenden DNS-Namespace registrieren. Wenn Domänenmitgliedscomputer ihre Ressourceneinträge auf diese Weise registrieren, registrieren Domänencontroller weiterhin globale und standortspezifische Dienst-(SRV-)Ressourceneinträge in der DNS-Zone, die mit dem Active Directory-Domänennamen identisch ist.

Nehmen wir z. B. an, ein Domänencontroller für die Active Directory-Domäne mit dem Namen na.corp.fabrikam.com, der ein primäres DNS-Suffix von corp.fabrikam.com verwendet, registriert Host-(A-) und IPv6-Host-(AAAA-)Ressourceneinträge in der corp.fabrikam.com DNS-Zone. Der Domänencontroller registriert weiterhin globale und standortspezifische Dienst-(SRV-)Ressourcendatensätze in den DNS-Zonen _msdcs.na.corp.fabrikam.com und na.corp.fabrikam.com, wodurch es möglich wird, den Dienst zu lokalisieren.

Wichtig

Obwohl Windows-Betriebssysteme möglicherweise einen nicht zusammenhängenden Namespace unterstützen, funktionieren Anwendungen, die so geschrieben sind, dass das primäre DNS-Suffix mit dem Active Directory-Domänensuffix identisch ist, in einer solchen Umgebung möglicherweise nicht. Aus diesem Grund sollten Sie alle Anwendungen und ihre jeweiligen Betriebssysteme sorgfältig testen, bevor Sie einen nicht zusammenhängenden Namespace bereitstellen.

Ein nicht zusammenhängender Namespace sollte in den folgenden Situationen funktionieren (und wird unterstützt):

  • Wenn eine Gesamtstruktur mit mehreren Active Directory-Domänen einen einzelnen DNS-Namespace verwendet, der auch als DNS-Zone bezeichnet wird

    Ein Beispiel hierfür ist ein Unternehmen, das regionale Domänen mit Namen wie na.corp.fabrikam.com, sa.corp.fabrikam.com und asia.corp.fabrikam.com sowie einen einzelnen DNS-Namespace wie corp.fabrikam.com verwendet.

  • Wenn eine einzelne Active Directory-Domäne in separate DNS-Namespaces aufgeteilt wird

    Ein Beispiel hierfür ist ein Unternehmen mit einer Active Directory-Domäne mit corp.contoso.com, die DNS-Zonen wie hr.corp.contoso.com, production.corp.contoso.com und it.corp.contoso.com verwendet.

Ein nicht zusammenhängender Namespace funktioniert in den folgenden Situationen nicht ordnungsgemäß (und wird nicht unterstützt):

  • Ein nicht zusammenhängendes Suffix, das von Domänenmitgliedern verwendet wird, entspricht einem Active Directory-Domänennamen in dieser oder einer anderen Gesamtstruktur. Dadurch wird das Kerberos-Namenssuffixrouting unterbrochen.

  • Dasselbe nicht zusammenhängende Suffix wird in einer anderen Gesamtstruktur verwendet. Dadurch wird verhindert, dass diese Suffixe eindeutig zwischen Gesamtstrukturen weitergeleitet werden.

  • Wenn der Server einer Domänenmitgliedszertifizierungsstelle seinen vollqualifizierten Domänennamen (FQDN) so ändert, dass er nicht mehr das gleiche primäre DNS-Suffix verwendet, das von den Domänencontrollern der Domäne verwendet wird, der der Server der Zertifizierungsstelle angehört. In diesem Fall haben Sie möglicherweise Probleme beim Überprüfen von Zertifikaten, die der Zertifizierungsstellenserver ausgestellt hat, je nachdem, welche DNS-Namen in den Verteilungspunkten der Zertifikatsperrlisten verwendet werden. Wenn Sie jedoch einen Zertifizierungsstellenserver in einem stabilen nicht zusammenhängenden Namespace platzieren, funktioniert er ordnungsgemäß und wird unterstützt.

Überlegungen zu nicht zusammenhängenden Namespaces

Die folgenden Überlegungen helfen Ihnen möglicherweise bei der Entscheidung, ob Sie einen nicht zusammenhängenden Namespace verwenden sollten.

Anwendungskompatibilität

Wie bereits erwähnt, kann ein nicht zusammenhängender Namespace Probleme für alle Anwendungen und Dienste verursachen, die so geschrieben sind, dass ein primäres DNS-Suffix eines Computers mit dem Namen der Domäne übereinstimmt, deren Mitglied er ist. Bevor Sie einen nicht zusammenhängenden Namespace bereitstellen, müssen Sie die Anwendungen auf Kompatibilitätsprobleme überprüfen. Außerdem müssen Sie die Kompatibilität aller Anwendungen überprüfen, die Sie verwenden, wenn Sie Ihre Analyse durchführen. Hierzu gehören Anwendungen von Microsoft und anderen Softwareentwicklern.

Vorteile nicht zusammenhängender Namespaces

Die Verwendung nicht zusammenhängender Namespaces kann die folgenden Vorteile haben:

  • Da das primäre DNS-Suffix eines Computers unterschiedliche Informationen enthalten kann, können Sie den DNS-Namespace getrennt vom Active Directory-Domänennamen verwalten.

  • Sie können den DNS-Namespace basierend auf der Geschäftsstruktur oder dem geografischen Standort trennen. Beispielsweise können Sie den Namespace anhand der Namen der Geschäftseinheiten oder der physischen Standorte wie Kontinent, Land/Region oder Gebäude trennen.

Nachteile nicht zusammenhängender Namespaces

Die Verwendung nicht zusammenhängender Namespaces kann die folgenden Nachteile haben:

  • Sie müssen separate DNS-Zonen für jede Active Directory-Domäne in der Gesamtstruktur erstellen und verwalten, die über Mitgliedscomputer mit einem nicht zusammenhängenden Namespace verfügen. (Das heißt, es ist eine zusätzliche und komplexere Konfiguration erforderlich.)

  • Sie müssen manuelle Schritte ausführen, um das Active Directory-Attribut zu ändern und zu verwalten, mit dem Domänenmitglieder angegebene primäre DNS-Suffixe verwenden können.

  • Um die Namensauflösung zu optimieren, müssen Sie manuelle Schritte ausführen, um die Gruppenrichtlinie zum Konfigurieren von Mitgliedscomputern mit alternativen primären DNS-Suffixen zu ändern und zu verwalten.

Hinweis

Mit dem Windows Internet Name Service (WINS) könnten Sie diesen Nachteil ausgleichen, indem Sie Namen mit einer einzelnen Bezeichnung auflösen. Weitere Informationen zu WINS finden Sie in der technischen WINS-Referenz.

  • Wenn Ihre Umgebung mehrere primäre DNS-Suffixe erfordert, müssen Sie die Suchreihenfolge der DNS-Suffixe für alle Active Directory-Domänen in der Gesamtstruktur entsprechend konfigurieren.

    Um die Suchreihenfolge der DNS-Suffixe festzulegen, können Sie Gruppenrichtlinien-Objekte oder die Serviceparameter von Dynamic Host Configuration Protocol-(DHCP-)Servern verwenden. Sie können auch die Registrierung ändern.

  • Sie müssen alle Anwendungen sorgfältig auf Kompatibilitätsprobleme testen.

Weitere Informationen zu den Schritten, die Sie ausführen können, um diese Nachteile zu beheben, finden Sie unter Erstellen eines nicht zusammenhängenden Namespace.

Planen einer Namespaceumstellung

Bevor Sie einen Namespace ändern, stellen Sie die folgenden Überlegungen an, die für die Umstellung von zusammenhängenden Namespaces zu nicht zusammenhängenden Namespaces (oder umgekehrt) gelten:

  • Manuell konfigurierte Dienstprinzipalnamen (SPNs) entsprechen nach einer Namespaceänderung möglicherweise nicht mehr den DNS-Namen. Dies kann zu Authentifizierungsfehlern führen.

    Weitere Informationen finden Sie unter Fehler bei Dienstanmeldungen aufgrund falsch festgelegter SPNs.

    • Wenn Sie Windows Server 2003-basierte Computer mit eingeschränkter Delegierung verwenden, müssen Sie das Attribut msDS-AllowedToDelegateTo in Active Directory möglicherweise manuell bearbeiten. Weitere Informationen finden Sie unter ms-DS-Allowed-To-Delegate-To-Attribut.

    • Informationen zum Delegieren von Berechtigungen zum Ändern von SPNs an untergeordnete Administratoren finden Sie unter Delegieren der Befugnis zum Ändern von SPNs.

  • Wenn Sie Lightweight Directory Access Protocol (LDAP) über SSL (Secure Sockets Layer) (auch LDAPS genannt) mit einer Zertifizierungsstelle in einer Bereitstellung verwenden, die über Domänencontroller verfügt, die in einem nicht zusammenhängenden Namespace konfiguriert sind, müssen Sie beim Konfigurieren der LDAPS-Zertifikate den entsprechenden Active Directory-Domänennamen und das primäre DNS-Suffix verwenden.

    Weitere Informationen zu den Zertifikatanforderungen von Domänencontrollern finden Sie im Artikel 321051 in der Microsoft Knowledge Base Aktivieren von LDAP über SSL bei einer Drittanbieterzertifizierungsstelle.

    Hinweis

    Bei Domänencontrollern, die Zertifikate für LDAPS verwenden, müssen Zertifikate möglicherweise erneut bereitgestellt werden. Wenn Sie dies tun, können Domänencontroller ein entsprechendes Zertifikat erst dann auswählen, wenn sie neu gestartet werden. Weitere Informationen zur LDAP-Authentifizierung (Lightweight Directory Access Protocol) über SSL (Secure Sockets Layer) für Windows Server 2003 finden Sie im Artikel 938703 in der Microsoft Knowledge Base How to troubleshooting LDAP over SSL connection problems (LDAP-Problembehandlung bei SSL-Verbindungsproblemen).

Planen der Bereitstellung nicht zusammenhängender Namespaces

Treffen Sie die folgenden Vorsichtsmaßnahmen, wenn Sie Computer in einer Umgebung mit einem nicht zusammenhängenden Namespace bereitstellen:

  1. Benachrichtigen Sie alle Softwareanbieter, mit denen Sie Geschäfte tätigen, darüber, dass sie einen nicht zusammenhängenden Namespace testen und unterstützen müssen. Bitten Sie sie, zu überprüfen, ob sie ihre Anwendungen in Umgebungen unterstützen, in denen nicht zusammenhängende Namespaces verwendet werden.

  2. Testen Sie alle Versionen von Betriebssystemen und Anwendungen in nicht zusammenhängenden Namespace-Lab-Umgebungen. Befolgen Sie dabei die folgenden Empfehlungen:

    1. Beheben Sie alle Softwareprobleme, bevor Sie die Software in Ihrer Umgebung bereitstellen.

    2. Nehmen Sie nach Möglichkeit an Betatests von Betriebssystemen und Anwendungen teil, die Sie in nicht zusammenhängenden Namespaces bereitstellen möchten.

  3. Stellen Sie sicher, dass Administratoren und Helpdeskmitarbeiter über den nicht zusammenhängenden Namespace und seine Auswirkungen informiert sind.

  4. Erstellen Sie einen Plan, mit dem Sie bei Bedarf von einem nicht zusammenhängenden Namespace zu einem zusammenhängenden Namespace wechseln können.

  5. Informieren Sie Betriebssystem- und Anwendungsanbieter über die Bedeutung der Unterstützung nicht zusammenhängender Namespaces.