Namespace não contíguo
Um namespace não contíguo ocorre quando um ou mais computadores membros do domínio têm um sufixo DNS (Serviço de Nomes de Domínio) primário que não corresponde ao nome DNS do domínio do Active Directory do qual os computadores são membros. Por exemplo, um computador membro que usa um sufixo DNS primário de corp.fabrikam.com em um domínio do Active Directory chamado na.corp.fabrikam.com está usando um namespace não contíguo.
Um namespace não contíguo é mais complexo de administrar, manter e solucionar problemas do que um namespace contíguo. Em um namespace contíguo, o sufixo DNS primário corresponde ao nome de domínio do Active Directory. Os aplicativos de rede gravados para assumir que o namespace do Active Directory é idêntico ao sufixo DNS primário em todos os computadores membros do domínio não funcionam corretamente em um namespace não contíguo.
Suporte para namespaces não contíguos
Computadores membros do domínio, incluindo controladores de domínio, podem funcionar em um namespace não contíguo. Os computadores membros do domínio podem registrar o registro de recurso do host (A) e o registro de recurso (AAAA) host (IPv6) do IP versão 6 em um namespace DNS não contíguo. Quando os computadores membros do domínio registram seus registros de recursos dessa maneira, os controladores de domínio continuam registrando registros de recursos SRV (serviço global e específico do site) na zona DNS idêntica ao nome de domínio do Active Directory.
Por exemplo, considerando que um controlador de domínio para o domínio do Active Directory chamado na.corp.fabrikam.com que usa um sufixo DNS primário de corp.fabrikam.com registra registros de recursos do host (A) e do host IPv6 (AAAA) na zona DNS corp.fabrikam.com. O controlador de domínio continua registrando registros de recursos SRV nas zonas DNS _msdcs.na.corp.fabrikam.com e na.corp.fabrikam.com, o que possibilita a localização do serviço.
Importante
Embora os sistemas operacionais do Windows possam dar suporte a um namespace não contíguo, os aplicativos gravados para assumir que o sufixo DNS primário é o mesmo que o sufixo de domínio do Active Directory podem não funcionar nesse ambiente. Por esse motivo, você deve testar todos os aplicativos e seus respectivos sistemas operacionais cuidadosamente antes de implantar um namespace não contíguo.
Um namespace não contíguo deve funcionar (e tem suporte) nas seguintes situações:
Quando uma floresta com vários domínios do Active Directory usa um único namespace DNS, que também é conhecido como uma zona DNS
Um exemplo disso é uma empresa que usa domínios regionais com nomes como na.corp.fabrikam.com, sa.corp.fabrikam.com e asia.corp.fabrikam.com e usa um único namespace DNS, como corp.fabrikam.com.
Quando um único domínio do Active Directory é dividido em namespaces DNS separados
Um exemplo disso é uma empresa com um domínio do Active Directory de corp.contoso.com que usa zonas DNS, como hr.corp.contoso.com, production.corp.contoso.com e it.corp.contoso.com.
Um namespace não contíguo não funciona corretamente (e não tem suporte) nas seguintes situações:
Um sufixo não contíguo usado por membros do domínio corresponde a um nome de domínio do Active Directory nesta ou em outra floresta. Isso interrompe o roteamento de sufixo de nome Kerberos.
O mesmo sufixo não contíguo é usado em outra floresta. Isso impede o roteamento desses sufixos exclusivamente entre florestas.
Quando um servidor de CA (autoridade de certificação) membro do domínio altera seu FQDN (nome de domínio totalmente qualificado) para que ele não use mais o mesmo sufixo DNS primário usado pelos controladores de domínio do domínio para o qual o servidor de CA é membro. Nesse caso, você pode ter problemas para validar certificados emitidos pelo servidor de CA, dependendo de quais nomes DNS são usados nos Pontos de distribuição de CRL. Mas se você colocar um servidor de CA em um namespace não contíguo estável, ele funcionará corretamente e terá suporte.
Considerações sobre namespaces não contíguos
As considerações a seguir podem ajudá-lo a decidir se você deve usar um namespace não contíguo.
Compatibilidade de aplicativos
Conforme mencionado anteriormente, um namespace não contíguo pode causar problemas para todos os aplicativos e serviços gravados para considerar que um sufixo DNS primário do computador é idêntico ao nome do domínio do qual ele é membro. Antes de implantar um namespace não contíguo, você deve verificar se há problemas de compatibilidade nos aplicativos. Além disso, verifique a compatibilidade de todos os aplicativos que você usa ao executar sua análise. Isso inclui aplicativos da Microsoft e de outros desenvolvedores de software.
Vantagens dos namespaces não contíguos
O uso de um namespace não contíguo pode oferecer as seguintes vantagens:
Como o sufixo DNS primário de um computador pode indicar informações diferentes, você pode gerenciar o namespace DNS separadamente do nome de domínio do Active Directory.
Você pode separar o namespace DNS com base na estrutura de negócios ou na localização geográfica. Por exemplo, você pode separar o namespace com base em nomes de unidade de negócios ou local físico, como continente, país/região ou edifício.
Desvantagens dos namespaces não contíguos
O uso de um namespace não contíguo pode oferecer as seguintes desvantagens:
Você deve criar e gerenciar zonas DNS separadas para cada domínio do Active Directory na floresta que tenha computadores membros que usam um namespace não contíguo. (Ou seja, ele exige uma configuração adicional e mais complexa.)
Você deve executar etapas manuais para modificar e gerenciar o atributo do Active Directory que permite que os membros do domínio usem sufixos DNS primários especificados.
Para otimizar a resolução de nomes, você deve executar etapas manuais para modificar e manter a Política de Grupo para configurar computadores membros com sufixos DNS primários alternativos.
Observação
O WINS (Serviço de Nomes da Internet do Windows) pode ser usado para compensar essa desvantagem resolvendo nomes de rótulo único. Para obter mais informações sobre o WINS, confira Referência técnica do WINS.
Quando seu ambiente exigir vários sufixos DNS primários, você deve configurar a ordem de pesquisa de sufixo DNS para todos os domínios do Active Directory na floresta adequadamente.
Para definir a ordem de pesquisa do sufixo DNS, você pode usar objetos da Política de Grupo ou parâmetros de serviço do servidor DHCP (Protocolo DHCP). Você também pode modificar o registro.
Você deve testar cuidadosamente todos os aplicativos em relação à problemas de compatibilidade.
Para obter mais informações sobre as etapas que você pode realizar para resolver essas desvantagens, consulte Criar um namespace não contíguo.
Planejar uma transição de namespace
Antes de modificar um namespace, revise as seguintes considerações, que se aplicam as transições de namespaces contíguos para namespaces não contíguos (ou o inverso):
Os SPNs (Nomes de Entidade de Serviço) configurados manualmente podem não corresponder mais aos nomes DNS após uma alteração de namespace. Isso pode causar falhas de autenticação.
Para obter mais informações, consulte Falha de logons de serviço devido a SPNs definidos incorretamente.
Se você usar computadores baseados no Windows Server 2003 com delegação restrita, esses computadores poderão exigir que você edite manualmente o atributo msDS-AllowedToDelegateTo no Active Directory. Para obter mais informações, confira o atributo ms-DS-Allowed-To-Delegate-To.
Se desejar delegar permissões para modificar os SPNs aos administradores subordinados, confira Como delegar a autoridade para modificar SPNs.
Se você usar o Protocolo LDAP (Protocolo LDAP) em SSL (Protocolo SSL) (conhecido como LDAPS) com uma CA em uma implantação que tenha controladores de domínio configurados em um namespace não contíguo, você deverá usar o nome de domínio do Active Directory apropriado e o sufixo DNS primário ao configurar os certificados LDAPS.
Para obter mais informações sobre os requisitos de certificado do controlador de domínio, confira o artigo 321051 na Base de Dados de Conhecimento Microsoft Como habilitar o LDAP via SSL com uma autoridade de certificação de terceiros.
Observação
Os controladores de domínio que usam certificados para LDAPS podem exigir que você reimplante certificados deles. Quando você faz isso, os controladores de domínio podem não selecionar um certificado apropriado até que sejam reiniciados. Para obter mais informações sobre a autenticação LDAPS (LDAP sobre SSL) para o Windows Server 2003, confira o artigo 938703 na Base de Dados de Conhecimento Microsoft Como solucionar problemas de conexão LDAP sobre SSL.
Planejar implantações de namespace não contíguas
Tome as seguintes precauções se você implantar computadores em um ambiente que tenha um namespace não contíguo:
Notifique todos os fornecedores de software com os quais você faz negócios que eles devem testar e dar suporte a um namespace não contíguo. Peça que eles verifiquem se dão suporte aos aplicativos deles em ambientes que usam namespaces não contíguos.
Teste todas as versões de sistemas operacionais e aplicativos em ambientes de laboratório de namespace não contíguos. Após fazer isso, siga estas recomendações:
Resolva todos os problemas de software antes de implantar o software no ambiente.
Sempre que possível, participe de testes beta de sistemas operacionais e aplicativos que você planeja implantar em namespaces não contíguos.
Verifique se os administradores e a equipe de assistência técnica estão cientes do namespace não contíguo e seu impacto.
Crie um plano que possibilite a transição de um namespace não contíguo para um namespace contíguo, se necessário.
Promova a importância do suporte a namespaces não contíguos para provedores de aplicativos e sistema operacional.