Déploiement et fonctionnement de domaines Active Directory configurés à l’aide de noms DNS à étiquette unique

Cet article contient des informations sur le déploiement et le fonctionnement des domaines Active Directory (AD) configurés à l’aide de noms DNS à étiquette unique.

Numéro de la base de connaissances d’origine : 300684

Résumé

Le souhait de supprimer la configuration de domaine à étiquette unique est une raison fréquente pour renommer un domaine. Les informations de compatibilité des applications contenues dans cet article s’appliquent à tous les scénarios dans lesquels vous pouvez envisager de renommer un domaine.

Pour les raisons suivantes, la meilleure pratique consiste à créer des domaines Active Directory qui ont des noms DNS complets :

  • Les noms DNS à étiquette unique ne peuvent pas être enregistrés à l’aide d’un bureau d’enregistrement Internet.

  • Les ordinateurs clients et les contrôleurs de domaine joints à des domaines à étiquette unique nécessitent une configuration supplémentaire pour inscrire dynamiquement des enregistrements DNS dans des zones DNS à étiquette unique.

  • Les ordinateurs clients et les contrôleurs de domaine peuvent nécessiter une configuration supplémentaire pour résoudre les requêtes DNS dans des zones DNS à étiquette unique.

  • Certaines applications basées sur un serveur ne sont pas compatibles avec les noms de domaine à étiquette unique. La prise en charge de l’application peut ne pas exister dans la version initiale d’une application, ou la prise en charge peut être supprimée dans une version ultérieure.

  • La transition d’un nom de domaine DNS à étiquette unique à un nom DNS complet n’est pas triviale et se compose de deux options. Migrez des utilisateurs, des ordinateurs, des groupes et d’autres états vers une nouvelle forêt. Vous pouvez également renommer le domaine existant. Certaines applications basées sur un serveur ne sont pas compatibles avec la fonctionnalité de renommage de domaine prise en charge dans Windows Server 2003 et les contrôleurs de domaine plus récents. Ces incompatibilités bloquent la fonctionnalité de renommage de domaine ou rendent l’utilisation de la fonctionnalité de changement de domaine plus difficile lorsque vous essayez de renommer un nom DNS en une seule étiquette en nom de domaine complet.

  • L’Assistant Installation d’Active Directory (Dcpromo.exe) dans Windows Server 2008 vous avertit de la création de domaines qui ont des noms DNS en une seule étiquette. Étant donné qu’il n’existe aucune raison professionnelle ou technique de créer de nouveaux domaines avec des noms DNS en une seule étiquette, l’Assistant Installation d’Active Directory dans Windows Server 2008 R2 bloque explicitement la création de ces domaines.

Les produits suivants sont des exemples d’applications incompatibles avec le changement de nom de domaine :

  • Microsoft Exchange 2000 Server
  • Microsoft Exchange Server 2007
  • Microsoft Exchange Server 2010
  • Microsoft Exchange Server 2013
  • Microsoft Internet Security and Acceleration (ISA) Server 2004
  • Microsoft Live Communications Server 2005
  • Microsoft Operations Manager 2005
  • Microsoft SharePoint Portal Server 2003
  • Microsoft Systems Management Server (SMS) 2003
  • Microsoft Office Communications Server 2007
  • Microsoft Office Communications Server 2007 R2
  • Microsoft System Center Operations Manager 2007 SP1
  • Microsoft System Center Operations Manager 2007 R2
  • Microsoft Lync Server 2010
  • Microsoft Lync Server 2013

Informations supplémentaires

Les noms de domaine Active Directory recommandés sont constitués d’un ou de plusieurs sous-domaines qui sont combinés à un domaine de niveau supérieur séparé par un point (« . »). Voici quelques exemples :

  • contoso.com
  • corp.contoso.com

Les noms à étiquette unique se composent d’un seul mot comme « contoso ».

Le domaine de niveau supérieur occupe l’étiquette la plus à droite dans un nom de domaine. Les domaines de niveau supérieur courants sont les suivants :

  • .Com
  • .Net
  • .Org
  • Domaines de premier niveau de code de pays à deux lettres (ccTLD) tels que .nz

Les noms de domaine Active Directory doivent se composer de deux étiquettes ou plus pour le système d’exploitation actuel et futur, ainsi que pour l’expérience et la fiabilité de l’application.

Les requêtes de domaine de premier niveau non valides signalées par le comité consultatif de sécurité et de stabilité de l’ICANN se trouvent dans Requêtes de domaine de niveau supérieur non valides au niveau racine du système de noms de domaine.

Inscription de noms DNS auprès d’un bureau d’enregistrement Internet

Nous vous recommandons d’inscrire les noms DNS pour les espaces de noms DNS internes et externes les plus hauts auprès d’un bureau d’enregistrement Internet. Qui inclut le domaine racine de forêt des forêts Active Directory, sauf s’il s’agit de sous-domaines de noms DNS inscrits par le nom de votre organisation (par exemple, le domaine racine de forêt « corp.example.com » est un sous-domaine d’un espace de noms interne « example.com ». Lorsque vous inscrivez vos noms DNS auprès d’un bureau d’enregistrement Internet, cela permet aux serveurs DNS Internet de résoudre votre domaine maintenant ou à un moment donné au cours de la durée de vie de votre forêt Active Directory. De plus, cette inscription permet d’éviter d’éventuels conflits de noms par d’autres organisations.

Symptômes possibles lorsque les clients ne peuvent pas inscrire dynamiquement des enregistrements DNS dans une zone de recherche directe à étiquette unique

Si vous utilisez un nom DNS à étiquette unique dans votre environnement, les clients peuvent ne pas être en mesure d’inscrire dynamiquement des enregistrements DNS dans une zone de recherche directe à étiquette unique. Les symptômes spécifiques varient en fonction de la version de Microsoft Windows installée.

La liste suivante décrit les symptômes qui peuvent se produire :

  • Après avoir configuré Microsoft Windows pour un nom de domaine en une seule étiquette, tous les serveurs qui ont le rôle de contrôleur de domaine peuvent ne pas être en mesure d’inscrire des enregistrements DNS. Le journal système du contrôleur de domaine peut journaliser de manière cohérente les avertissements NETLOGON 5781 qui ressemblent à l’exemple suivant :

    Remarque

    Le code d’état 0000232a correspond au code d’erreur suivant :

    DNS_ERROR_RCODE_SERVER_FAILURE

  • Les codes d’état et d’erreur supplémentaires suivants peuvent apparaître dans les fichiers journaux tels que Netdiag.log :

    Code d’erreur DNS : 0x0000251D = DNS_INFO_NO_RECORDS
    DNS_ERROR_RCODE_ERROR
    RCODE_SERVER_FAILURE

  • Les ordinateurs Windows configurés pour les mises à jour dynamiques DNS ne s’inscrivent pas dans un domaine à étiquette unique. Les événements d’avertissement qui ressemblent aux exemples suivants sont enregistrés dans le journal système de l’ordinateur :

Comment permettre aux clients Windows d’effectuer des requêtes et des mises à jour dynamiques avec des zones DNS à étiquette unique

Par défaut, Windows n’envoie pas de mises à jour aux domaines de niveau supérieur. Toutefois, vous pouvez modifier ce comportement à l’aide de l’une des méthodes décrites dans cette section. Utilisez l’une des méthodes suivantes pour permettre aux clients Windows d’effectuer des mises à jour dynamiques des zones DNS à étiquette unique.

En outre, sans modification, un membre de domaine Active Directory dans une forêt qui ne contient aucun domaine qui n’a pas de noms DNS en une seule étiquette n’utilise pas le service serveur DNS pour localiser les contrôleurs de domaine dans les domaines qui ont des noms DNS à étiquette unique qui se trouvent dans d’autres forêts. L’accès client aux domaines qui ont des noms DNS en une seule étiquette échoue si la résolution de noms NetBIOS n’est pas configurée correctement.

Méthode 1 : Utiliser l’Éditeur du Registre

  • Configuration du localisateur de contrôleur de domaine pour Windows XP Professionnel et versions ultérieures de Windows

    Importante

    Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour une meilleure protection, sauvegardez le registre avant de le modifier. Vous pouvez alors le restaurer en cas de problème. Pour plus d’informations, consultez Comment sauvegarder et restaurer le Registre dans Windows.

    Sur un ordinateur Windows, un membre de domaine Active Directory nécessite une configuration supplémentaire pour prendre en charge les noms DNS à étiquette unique pour les domaines. Plus précisément, le localisateur de contrôleur de domaine sur le membre de domaine Active Directory n’utilise pas le service serveur DNS pour localiser les contrôleurs de domaine dans un domaine qui a un nom DNS à étiquette unique, sauf si ce membre de domaine Active Directory est joint à une forêt qui contient au moins un domaine et que ce domaine a un nom DNS à étiquette unique.

    Pour permettre à un membre de domaine Active Directory d’utiliser DNS afin de localiser des contrôleurs de domaine dans des domaines qui ont des noms DNS en une seule étiquette qui se trouvent dans d’autres forêts, procédez comme suit :

    1. Sélectionnez Démarrer, Exécuter, tapez regedit, puis sélectionnez OK.

    2. Recherchez et sélectionnez la sous-clé suivante : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

    3. Dans le volet d’informations, recherchez l’entrée AllowSingleLabelDnsDomain . Si l’entrée AllowSingleLabelDnsDomain n’existe pas, procédez comme suit :

      1. Dans le menu Modifier , pointez sur Nouveau, puis sélectionnez Valeur DWORD.
      2. Tapez AllowSingleLabelDnsDomain comme nom d’entrée, puis appuyez sur Entrée.
    4. Double-cliquez sur l’entrée AllowSingleLabelDnsDomain .

    5. Dans la zone Données de la valeur , tapez 1, puis sélectionnez OK.

    6. Fermez l’Éditeur du Registre.

  • Configuration du client DNS

    Importante

    Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour une meilleure protection, sauvegardez le registre avant de le modifier. Vous pouvez alors le restaurer en cas de problème. Pour plus d’informations, consultez Comment sauvegarder et restaurer le Registre dans Windows.

    Les membres de domaine Active Directory et les contrôleurs de domaine qui se trouvent dans un domaine qui a un nom DNS à étiquette unique doivent généralement inscrire dynamiquement les enregistrements DNS dans une zone DNS à étiquette unique qui correspond au nom DNS de ce domaine. Si un domaine racine de forêt Active Directory a un nom DNS en une seule étiquette, tous les contrôleurs de domaine de cette forêt doivent généralement inscrire dynamiquement les enregistrements DNS dans une zone DNS à étiquette unique qui correspond au nom DNS de la racine de la forêt.

    Par défaut, les ordinateurs clients DNS Windows ne tentent pas de mettre à jour dynamiquement la zone racine « . » ou les zones DNS à étiquette unique. Pour permettre aux ordinateurs clients DNS Windows d’essayer les mises à jour dynamiques d’une zone DNS à étiquette unique, procédez comme suit :

    1. Sélectionnez Démarrer, Exécuter, tapez regedit, puis sélectionnez OK.

    2. Recherchez et sélectionnez la sous-clé suivante : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DnsCache\Parameters

    3. Dans le volet d’informations, recherchez l’entrée UpdateTopLevelDomainZones . Si l’entrée UpdateTopLevelDomainZones n’existe pas, procédez comme suit :

      1. Dans le menu Modifier , pointez sur Nouveau, puis sélectionnez Valeur DWORD.
      2. Tapez UpdateTopLevelDomainZones comme nom d’entrée, puis appuyez sur Entrée.
    4. Double-cliquez sur l’entrée UpdateTopLevelDomainZones .

    5. Dans la zone Données de la valeur , tapez 1, puis sélectionnez OK.

    6. Fermez l’Éditeur du Registre.

    Ces modifications de configuration doivent être appliquées à tous les contrôleurs de domaine et aux membres d’un domaine qui ont des noms DNS à étiquette unique. Si un domaine qui a un nom de domaine en une seule étiquette est une racine de forêt, ces modifications de configuration doivent être appliquées à tous les contrôleurs de domaine de la forêt, sauf si les zones distinctes _msdcs. ForestName, _sites. ForestName, _tcp. ForestName, and_udp. Les forestName sont délégués à partir de la zone ForestName .

    Pour que les modifications prennent effet, redémarrez les ordinateurs sur lesquels vous avez modifié les entrées de Registre.

    Remarque

    • Pour Windows Server 2003 et versions ultérieures, l’entrée UpdateTopLevelDomainZones a été déplacée vers la sous-clé de Registre suivante :
      HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient
    • Sur un contrôleur de domaine Microsoft Windows 2000 SP4, l’ordinateur signale l’erreur d’inscription de nom suivante dans le journal des événements système si le paramètre UpdateTopLevelDomainZones n’est pas activé :
    • Sur un contrôleur de domaine Windows 2000 SP4, vous devez redémarrer votre ordinateur après avoir ajouté le paramètre UpdateTopLevelDomainZones.

Méthode 2 : Utiliser une stratégie de groupe

Utilisez la stratégie de groupe pour activer la stratégie Mettre à jour les zones de domaine de niveau supérieur et l’emplacement des contrôleurs de domaine hébergeant un domaine avec une seule stratégie de nom DNS, comme indiqué dans le tableau suivant sous l’emplacement du dossier sur le conteneur de domaine racine dans Utilisateurs et ordinateurs, ou sur toutes les unités d’organisation (UO) qui hébergent des comptes d’ordinateurs membres, et pour les contrôleurs de domaine dans le domaine.

Stratégie Emplacement du dossier
Mettre à jour les zones de domaine de niveau supérieur Configuration ordinateur\Modèles d’administration\Réseau\Client DNS
Emplacement des contrôleurs de domaine hébergeant un domaine avec un nom DNS à étiquette unique Configuration ordinateur\Modèles d’administration\System\Net Logon\Dc Locator DNS Records

Remarque

Ces stratégies sont prises en charge uniquement sur les ordinateurs Windows Server 2003 et windows XP.

Pour activer ces stratégies, procédez comme suit sur le conteneur de domaine racine :

  1. Sélectionnez Démarrer, Exécuter, tapez gpedit.msc, puis sélectionnez OK.
  2. Sous Stratégie de l’ordinateur local, développez Configuration de l’ordinateur.
  3. Développez Modèles d’administration.
  4. Activez la stratégie Mettre à jour les zones de domaine de premier niveau. Pour ce faire, procédez comme suit :
    1. Développez Réseau.
    2. Sélectionnez Client DNS.
    3. Dans le volet d’informations, double-cliquez sur Mettre à jour les zones de domaine de niveau supérieur.
    4. Sélectionnez Activé.
    5. Sélectionnez Apply (Appliquer), puis OK.
  5. Activez l’emplacement des contrôleurs de domaine hébergeant un domaine avec une stratégie de nom DNS à étiquette unique. Pour cela, procédez comme suit :
    1. Développez Système.
    2. Développez Connexion au réseau.
    3. Sélectionnez Enregistrements DNS du localisateur de contrôleurs de domaine.
    4. Dans le volet d’informations, double-cliquez sur Emplacement des contrôleurs de domaine hébergeant un domaine avec un nom DNS en une seule étiquette.
    5. Sélectionnez Activé.
    6. Sélectionnez Apply (Appliquer), puis OK.
  6. Quittez la stratégie de groupe.

Sur les serveurs DNS Windows Server 2003 et versions ultérieures, assurez-vous que les serveurs racines ne sont pas créés involontairement.

Sur les serveurs DNS Windows 2000, vous devrez peut-être supprimer la zone racine « . » pour que les enregistrements DNS soient correctement déclarés. La zone racine est automatiquement créée lorsque le service serveur DNS est installé, car le service serveur DNS ne peut pas atteindre les indicateurs racine. Ce problème a été corrigé dans les versions ultérieures de Windows.

Les serveurs racines peuvent être créés par l’Assistant DCpromo. Si la zone « . » existe, un serveur racine a été créé. Pour que la résolution de noms fonctionne correctement, vous devrez peut-être supprimer cette zone.

Paramètres de stratégie DNS nouveaux et modifiés pour Windows Server 2003 et versions ultérieures

  • Stratégie Mettre à jour les zones de domaine de niveau supérieur

    Si cette stratégie est spécifiée, elle crée une REG_DWORD UpdateTopLevelDomainZones entrée sous la sous-clé de Registre suivante : HKLM\Software\Policies\Microsoft\Windows NT\DNSClient
    Voici les valeurs d’entrée pour UpdateTopLevelDomainZones: - Activé (0x1). Un paramètre 0x1 signifie que les ordinateurs peuvent essayer de mettre à jour les zones TopLevelDomain. Autrement dit, si le UpdateTopLevelDomainZones paramètre est activé, les ordinateurs auxquels cette stratégie est appliquée envoient des mises à jour dynamiques à toute zone faisant autorité pour les enregistrements de ressources que l’ordinateur doit mettre à jour, à l’exception de la zone racine. - Désactivé (0x0). Un paramètre 0x0 signifie que les ordinateurs ne sont pas autorisés à essayer de mettre à jour les zones TopLevelDomain. Autrement dit, si ce paramètre est désactivé, les ordinateurs auxquels cette stratégie est appliquée n’envoient pas de mises à jour dynamiques à la zone racine ou aux zones de domaine de niveau supérieur faisant autorité pour les enregistrements de ressources que l’ordinateur doit mettre à jour. Si ce paramètre n’est pas configuré, la stratégie n’est appliquée à aucun ordinateur et les ordinateurs utilisent leur configuration locale.

  • La stratégie Inscrire les enregistrements PTR

    Une nouvelle valeur possible, 0x2, de l’entrée REG_DWORD RegisterReverseLookup a été ajoutée sous la sous-clé de Registre suivante :
    HKLM\Software\Policies\Microsoft\Windows NT\DNSClient

    Voici les valeurs d’entrée pour RegisterReverseLookup: - 0x2. Inscrivez-vous uniquement si l’inscription de l’enregistrement « A » réussit. Les ordinateurs tentent d’implémenter l’inscription des enregistrements de ressources PTR uniquement s’ils ont correctement inscrit les enregistrements de ressource « A » correspondants. - 0x1. Registre. Les ordinateurs tentent d’implémenter l’inscription des enregistrements de ressources PTR, quelle que soit la réussite de l’inscription des enregistrements « A ». - 0x0. Ne vous inscrivez pas. Les ordinateurs n’essaient jamais d’implémenter l’inscription des enregistrements de ressources PTR.

References