Соглашения об именовании в Active Directory для компьютеров, доменов, сайтов и подразделений
В этой статье описаны соглашения об именовании для учетных записей компьютеров в Windows, доменных имен NetBIOS, доменных имен DNS, сайтов Active Directory и подразделений, определенных в доменных службах Active Directory (AD DS).
Оригинальный номер базы знаний: 909264
Аннотация
В этом статье рассматриваются следующие темы:
- Допустимые символы для имен
- Минимальная и максимальная длина имени
- Зарезервированные имена
- Не рекомендуемые имена
- Общие рекомендации по поддержке AD DS в небольших, средних и крупных развертываниях
Для всех объектов, именованных в AD DS, режиме приложения Active Directory (ADAM) или службах Active Directory облегченного доступа к каталогу (AD LDS), применяется процесс сопоставления имен, основанный на алгоритме, описанном в следующей статье.
В этой статье это соглашение об именовании применяется к именам компьютеров, подразделениям и именам сайтов.
Имена компьютеров
NetBIOS-имена компьютеров
Допустимые символы: Имена компьютеров NetBIOS могут содержать все буквенно-цифровые символы, за исключением расширенных символов, которые отображаются в следующем списке запрещенных символов . Имена могут содержать точку, но не могут начинаться с нее.
Примечание.
Microsoft Windows NT позволяет использовать точки для имен, отличных от DNS. Точки не должны использоваться в Windows. При обновлении компьютера, имя NetBIOS которого содержит точку, измените имя компьютера. Дополнительные сведения см. в разделе Специальные символы далее в этом разделе.
Запрещенные символы: Имена компьютеров NetBIOS не могут содержать следующие символы:
- обратная косая черта (\)
- косая черта (/)
- Двоеточие (:)
- Звездочка (*)
- Вопросительный знак (?)
- Кавычка (?)
- меньше знака (<)
- больше знака (>)
- Вертикальная линия (|)
- Компьютеры, которые являются членами домена Active Directory, не могут иметь имена, содержащие только цифры. Это ограничение DNS.
Дополнительные сведения о синтаксисе NetBIOS-имен см. в разделе Синтаксис NetBIOS-имен.
Правила длины имен:
- Минимальная длина имени: один символ
- Максимальная длина имени: 15 символов
Примечание.
16-й символ имени компьютера NetBIOS зарезервирован для определения функциональных возможностей, установленных на зарегистрированном сетевом устройстве.
Зарезервированные имена: См . раздел Таблица зарезервированных слов.
Специальные символы: Точка (.)
Символ точки делит имя на идентификатор области NetBIOS и имя компьютера. Идентификатор области NetBIOS — это необязательная строка символов, которые обозначают логические сети NetBIOS, запущенные в одной физической сети TCP/IP. Для обеспечения работы NetBIOS между компьютерами они должны иметь одинаковый идентификатор области NetBIOS и уникальные имена компьютера.
Использование областей NetBIOS в именах является устаревшей конфигурацией. Его не следует использовать в лесах Active Directory. Дополнительные сведения о областях NetBIOS см. в следующих документах RFC:
Имена узлов DNS
Допустимые символы: DNS-имена могут содержать только алфавитные символы (A–Z), числовые символы (0–9), знак минус (-) и точку (.). Символы точки допускаются только в том случае, если они используются для разделения компонентов имен стилей доменов.
Система доменных имен Windows (DNS) поддерживает символы Юникода. В других реализациях службы DNS символы Юникода не поддерживаются. Не следует использовать знаки Юникода, если запросы будут передаваться на серверы с реализациями DNS, разработанными не корпорацией Майкрософт. Дополнительные сведения см. в следующих RFC:
Запрещенные символы: Имена узлов DNS не могут содержать следующие символы:
- Запятая (,)
- Тильда (~)
- Двоеточие (:)
- Восклицательный знак (!)
- Знак "@"
- Символ решетки (#)
- Знак доллара ($)
- Знак процента (%)
- Крышка (^)
- Амперсанд (&)
- Апостроф (')
- Точка (.)
- Круглые скобки (())
- фигурные скобки ({})
- подчеркивание (_);
- Пробел ( )
Примечание.
Символ подчеркивания играет особую роль. Его разрешается использовать для первого символа в записях SRV по определению RFC. Однако более новые DNS-серверы также могут разрешить его в любом месте в имени. Дополнительные сведения см. в разделе Соблюдение ограничений имен для узлов и доменов.
Процесс регистрации имени узла DNS заменяет символ дефиса (-) недопустимыми символами.
Правила длины имен:
- Полное доменное имя контроллера домена должно быть меньше 155 байт.
- Минимальная длина имени: два символа
- Максимальная длина имени: 63 символа
Примечание.
Если вы используете символы UTF-8 (Юникод), помните, что некоторые символы UTF-8 превышают один октет в длину. В этом случае нельзя определить размер имени путем подсчета символов. Максимальный размер имени узла и полного доменного имени (FQDN) составляет 63 байта на метку и 255 байт на полное доменное имя.
Windows не разрешает имена компьютеров, длина которых превышает 15 символов, и вы не можете указать имя узла DNS, отличающееся от имени узла NetBIOS. Однако вы можете создать заголовки узлов для веб-сайта, размещенного на компьютере. В этом случае заголовки узла подчиняются этому правилу.
Дополнительные правила для имен узлов DNS:
- Все символы, кроме ASCII, сохраняют регистр.
- Первый символ в имени узла DNS должен быть алфавитным или числовым.
- Последним символом не может быть знак "минус" или точка.
- Пользовательские строки языка определения дескриптора безопасности (SDDL), перечисленные в списке хорошо известных идентификаторов безопасности , нельзя использовать. В противном случае операции импорта, экспорта и управления завершаются со сбоем.
- Компьютеры, которые являются членами домена Active Directory, не могут иметь имена, содержащие только цифры. Это ограничение DNS.
Зарезервированные имена на RFC: Дополнительные сведения см. в статье RFC 952.
- ШЛЮЗА
- GW
- TAC
Зарезервированные имена в Windows: См . раздел Таблица зарезервированных слов.
Рекомендации: При создании имен для компьютеров в инфраструктуре Windows DNS следуйте приведенным ниже рекомендациям.
Используйте имя компьютера, которое легко запомнить пользователям.
Укажите владельца компьютера в имени.
Используйте имя, описывающее назначение компьютера.
Используйте для основного DNS-суффикса в имени компьютера то же значение, что и в доменном имени Active Directory. Дополнительные сведения см. в разделе Несвязанные пространства имен.
Используйте уникальное имя для каждого компьютера в организации. Избегайте использования одного и того же имени компьютера для компьютеров в разных доменах DNS.
Используйте символы ASCII. Это гарантирует взаимодействие с компьютерами, не работающими под управлением Windows.
При использовании символов ASCII не используйте регистр символов для указания владельца или назначения компьютера. Для символов ASCII в СЛУЖБЕ DNS не учитывается регистр. Windows и приложения Windows не сохраняют регистр во всех ситуациях.
Используйте только символы, перечисленные в RFC 1123. К ним относятся символы A-Z, a-z, 0-9 и дефис (-). Windows DNS позволяет использовать большинство символов UTF-8 в именах. Однако не следует использовать символы ASCII или UTF-8, если только их не поддерживают все DNS-серверы в вашей среде.
Доменные имена
В следующих разделах описаны доменные имена NetBIOS и доменные имена DNS.
NetBIOS-имена доменов
Допустимые символы: Доменные имена NetBIOS могут содержать все буквенно-цифровые символы, за исключением расширенных символов, которые отображаются в списке Запрещенные символы . Имена могут содержать точку, но не могут начинаться с нее.
Примечание.
Microsoft Windows NT позволяет использовать точки для имен, отличных от DNS. Точки не должны использоваться в доменных именах NetBIOS Active Directory. При обновлении компьютера, netBIOS-имя которого содержит точку, измените имя, переместив домен в новую структуру домена. Не используйте точки в новых доменных именах NetBIOS.
Символ амперсанда (&) в доменных именах NetBIOS был разрешен ранее и поддерживается только для исторических целей. Не создавайте новые домены Active Directory, имена доменов NetBIOS которых содержат символы амперсанда (&).
Запрещенные символы: Функция проверки имени узла DNS проверяет доменные имена NetBIOS. Эти имена не могут содержать следующие символы:
- Запятая (,)
- Тильда (~)
- Двоеточие (:)
- Восклицательный знак (!)
- Знак "@"
- Символ решетки (#)
- Знак доллара ($)
- Знак процента (%)
- Крышка (^)
- Апостроф (')
- Точка (.)
- Круглые скобки (())
- фигурные скобки ({})
- подчеркивание (_);
- Пробел ( )
- обратная косая черта (\)
- косая черта (/)
Примечание.
Компьютеры, которые являются членами домена Active Directory, не могут иметь имена, содержащие только числовые значения. Это ограничение DNS.
Правила длины имен:
- Минимальная длина имени: один символ
- Максимальная длина имени: 15 символов
Примечание.
16-й символ имени зарезервирован для идентификации функций, установленных на зарегистрированном сетевом устройстве.
Зарезервированные имена в Windows: См . раздел Таблица зарезервированных слов. Имена обновленного домена могут содержать зарезервированное слово. Однако в этом случае возникает сбой отношений доверия с другими доменами.
Специальные символы: Точка (.)
Символ точки делит имя на идентификатор области NetBIOS и имя компьютера. Идентификатор области NetBIOS — это необязательная строка символов, которые обозначают логические сети NetBIOS, запущенные в одной физической сети TCP/IP. Для обеспечения работы NetBIOS между компьютерами они должны иметь одинаковый идентификатор области NetBIOS и уникальные имена компьютера.
Важно!
Использование областей NetBIOS в именах является устаревшей конфигурацией. Его не следует использовать в лесах Active Directory. Это не неотъемлемая проблема. Однако некоторые приложения могут фильтровать имя и принимать DNS-имя, если точка найдена.
DNS-имена доменов
Допустимые символы: DNS-имена могут содержать только алфавитные символы (A–Z), числовые символы (0–9), знак минус (-) и точку (.). Символы точки допускаются только в том случае, если они используются для разделения компонентов имен стилей доменов.
Windows DNS поддерживает символы Юникода. В других реализациях службы DNS символы Юникода не поддерживаются. Не следует использовать знаки Юникода, если запросы будут передаваться на серверы с реализациями DNS, разработанными не корпорацией Майкрософт. Дополнительные сведения см. в статье RFC 952 и RFC 1123.
Запрещенные символы: Доменные имена DNS не могут содержать следующие символы:
- Запятая (,)
- Тильда (~)
- Двоеточие (:)
- Восклицательный знак (!)
- Знак "@"
- Символ решетки (#)
- Знак доллара ($)
- Знак процента (%)
- Крышка (^)
- Амперсанд (&)
- Апостроф (')
- Точка (.)
- Круглые скобки (())
- фигурные скобки ({})
- подчеркивание (_);
- Пробел ( )
Примечание.
Символ подчеркивания играет особую роль. Его разрешается использовать для первого символа в записях SRV по определению RFC. Но более новые DNS-серверы также могут разрешить его в любом месте в имени. При создании домена появляется предупреждающее сообщение о том, что символ подчеркивания может вызвать проблемы для некоторых DNS-серверов. Однако вы по-прежнему можете создать домен. Дополнительные сведения см. в разделе Соблюдение ограничений имен для узлов и доменов.
Дополнительные правила:
- Все символы, кроме ASCII, сохраняют регистр.
- Первый символ должен быть алфавитным или числовым.
- Последним символом не может быть знак "минус" или точка.
Правила длины имен:
Минимальная длина имени: два символа
Максимальная длина имени: 255 символов
Примечание.
Если вы используете символы UTF-8 (Юникод), помните, что некоторые символы UTF-8 превышают один октет в длину. В этом случае нельзя определить размер имени путем подсчета символов. Максимальный размер имени узла и полного доменного имени составляет 63 байта на метку и 255 байт на полное доменное имя.
Максимальная длина имени основана на требованиях
SYSVOL
путей, а также на ограниченииMAX_PATH
в 260 символов.
Путь вSYSVOL
похож на следующий пример:\\<FQDN domain name>\sysvol\<FQDN domain name>\policies\{<policy GUID>}\[user|machine]\<CSE-specific path>
Примечание.
Доменное имя AD FQDN отображается в пути два раза. Таким образом, длина доменного имени AD FQDN ограничена 64 символами.
< Путь>, зависящий от CSE, может содержать входные данные пользователя, например имя файла скрипта входа. Таким образом, он может быть значительно длинным.
Пространства доменных имен с одной меткой: Dns-имена с одной меткой — это имена, которые не содержат суффикс, например
.com
,.corp
,.net
,.org
илиcompanyname
. Примером однокомпонентного DNS-имени является имя host. Большинство интернет-регистраторов не выполняет регистрацию однокомпонентных DNS-имен.Корпорация Майкрософт рекомендует, чтобы DNS-имена для внутренних и внешних пространств имен были зарегистрированы в организациях (регистраторах), которые осуществляют координацию деятельности в Интернете. Это относится и к DNS-именам доменов Active Directory, которые не являются поддоменами DNS-имен, зарегистрированных данной организацией. Например,
corp.example.com
является поддоменомexample.com
. Регистрация DNS-имени у регистратора позволяет предотвратить конфликт имен. Конфликт имен может возникнуть, если другая организация пытается зарегистрировать то же DNS-имя или если ваша организация объединяется с другой организацией, которая использует то же DNS-имя.Проблемы, связанные с одноуровневыми пространствами имен, включают в себя следующее:
- Одноуровневые DNS-имена нельзя зарегистрировать с помощью интернет-регистраторов.
- Домен с одноуровневым DNS-именем нужно дополнительно настраивать.
- Служба DNS-сервера не может находить контроллеры домена в доменах с DNS-именами с одной меткой.
- По умолчанию члены домена Windows не предоставляют динамические обновления для зон DNS с одной меткой. Более детальную информацию см. в статье Развертывание и работа доменов Active Directory с одноуровневыми DNS-именами.
Зарезервированные имена: См . раздел Таблица зарезервированных слов. Не используйте доменные имена верхнего уровня в Интернете, такие как
.com
,.net
и.org
в интрасети. Если вы используете доменные имена верхнего уровня в интрасети, на компьютерах интрасети, которые также подключаются к Интернету, могут возникнуть ошибки разрешения. Кроме того, избегайте использования имен, которые используются в специальных функциях internet-standard, таких как.local
.
Несвязанные пространства имен
Несвязанное пространство имен возникает, если основной DNS-суффикс компьютера не соответствует домену DNS, членом которого он является. Например, несвязанное пространство имен возникает, если компьютер с DNS-именем dc1.contosocorp.com
находится в домене с DNS-именем contoso.com
.
Условия для возникновения несвязанных пространств имен:
- Основной контроллер домена Windows NT 4.0 обновляется до контроллера домена Windows 2000 Server с помощью исходной версии Windows 2000 Server. В элементе "Сеть" на панели управления определяется несколько DNS-суффиксов.
- Домен переименовывается, если лес находится на функциональном уровне леса Windows Server 2003. Кроме того, основной DNS-суффикс не изменяется для отражения нового доменного имени DNS.
Влияние несвязанного пространства имен:
Предположим, контроллер домена с именем DC1 находится в домене Windows NT 4.0, имя домена NetBIOS которого — contoso
. Этот контроллер домена обновлен до Windows 2000 Server. Во время обновления домен DNS переименовывается в contoso.com
. В исходной версии Windows 2000 Server подпрограмма обновления снимает флажок, который связывает основной DNS-суффикс контроллера домена с его dns-именем домена. Таким образом, основным DNS-суффиксом контроллера домена является DNS-суффикс Windows NT 4.0, определенный в списке поиска суффиксов Windows NT 4.0. В этом примере DNS-имя — DC1.northamerica.contoso.com
.
Контроллер домена динамически регистрирует свои записи обнаружения службы (SRV) в зоне DNS, соответствующей его DNS-имени домена. Однако контроллер домена регистрирует свои записи узлов в зоне DNS, соответствующей его основному DNS-суффиксу.
Дополнительные сведения о несвязанных пространствах имен см. в следующих статьях:
- Идентификаторы событий 5788 и 5789 возникают на компьютере под управлением Windows
- Создание несвязанного пространства имен
Другие факторы
Леса, которые подключаются к Интернету: Пространство имен DNS, которое подключается к Интернету, должно быть поддоменом домена верхнего или второго уровня пространства имен DNS в Интернете.
Максимальное количество доменов в лесу: В Windows Server максимальное число доменов на уровне 2 в лесу — 1200. Это ограничение является ограничением многозначных не связанных атрибутов в Windows Server.
Рекомендации
DNS-имена всех узлов, для которых требуется разрешение имен, включают в себя доменное имя DNS в Интернете организации. Так как система DNS является иерархической, при добавлении поддоменов в организацию размер DNS-имен домена увеличивается. Поэтому следует выбрать короткое и легко запоминающееся доменное имя DNS в Интернете. Короткие доменные имена делают имена компьютеров также легко запоминаться.
Если организация имеет присутствие в Интернете, используйте имена, которые относятся к зарегистрированным доменным именам DNS в Интернете. Например, если вы зарегистрировали доменное имя
contoso.com
DNS в Интернете , используйте доменное имя DNS, напримерcorp.contoso.com
для доменного имени интрасети.Не используйте в качестве доменного имени название существующей корпорации или существующего продукта. Это может привести к конфликту имен позже.
Избегайте универсального имени,
domain.localhost
например . Это связано с тем, что другая компания, с которым вы объединяетесь в будущем, может следовать той же практике.Не используйте в качестве доменного имени сокращения или аббревиатуры. Пользователи могут столкнуться с трудностями при распознавании подразделения, которое представляет аббревиатура.
Избегайте использования символов подчеркивания (_) в доменных именах. Приложения могут быть очень послушными в RFC и отклонять имя. Они также могут не устанавливаться или работать в вашем домене. Кроме того, могут возникнуть проблемы, влияющие на более старые DNS-серверы.
Не используйте имя подразделения или подразделения в качестве доменного имени. Бизнес-подразделения и другие подразделения меняются, и эти доменные имена могут вводить в заблуждение или устаревать.
Не используйте географические наименования, которые трудно произнести или запомнить.
Старайтесь не развертывать иерархию DNS-имен домена глубже пяти уровней от корневого домена. Ограничив расширения иерархии доменных имен, вы можете сократить административные расходы.
Если вы развертываете DNS в частной сети и не планируете создавать внешнее пространство имен, зарегистрируйте доменное имя DNS, создаваемое для внутреннего домена. В противном случае, если вы попытаетесь использовать его в Интернете или подключитесь к сети, которая подключается к Интернету, вы можете обнаружить, что имя недоступно.
Имена сайтов
При создании имени нового сайта рекомендуем использовать допустимое DNS-имя. В противном случае сайт будет доступен только там, где используется DNS-сервер Майкрософт. Дополнительные сведения о допустимых DNS-именах см. в разделе DNS-имена узлов.
Допустимые символы: DNS-имена могут содержать только алфавитные символы (A–Z), числовые символы (0–9), знак минус (-) и точку (.). Символы точки допускаются только в том случае, если они используются для разделения компонентов доменных имен стилей.
Windows DNS поддерживает символы Юникода. В других реализациях службы DNS символы Юникода не поддерживаются. Не следует использовать знаки Юникода, если запросы будут передаваться на серверы с реализациями DNS, разработанными не корпорацией Майкрософт. Дополнительные сведения см. в статье RFC 952 и RFC 1123.
Запрещенные символы: DNS-имена не могут содержать следующие символы:
- Запятая (,)
- Тильда (~)
- Двоеточие (:)
- Восклицательный знак (!)
- Знак "@"
- Символ решетки (#)
- Знак доллара ($)
- Знак процента (%)
- Крышка (^)
- Амперсанд (&)
- Апостроф (')
- Точка (.)
- Круглые скобки (())
- фигурные скобки ({})
- подчеркивание (_);
- Пробел ( )
Примечание.
Символ подчеркивания играет особую роль. Его разрешается использовать для первого символа в записях SRV по определению RFC. Но более новые DNS-серверы также могут разрешить его в любом месте в имени. Дополнительные сведения см. в разделе Соблюдение ограничений имен для узлов и доменов.
Дополнительные правила:
- Все символы, кроме символов ASCII, сохраняют форматирование регистра.
- Первый символ должен быть алфавитным или числовым.
- Последним символом не может быть знак "минус" или точка.
Правила длины имен:
- Минимальная длина имени: один символ
- Максимальная длина имени: 63 символа
Примечание.
Если вы используете символы UTF-8 (Юникод), помните, что некоторые символы UTF-8 превышают один октет в длину. В этом случае нельзя определить размер имени путем подсчета символов. Максимальная длина DNS-имени составляет 63 байта на метку.
Имена подразделений
Допустимые символы: Разрешены все символы, даже расширенные символы. Однако хотя компонент «Active Directory — пользователи и компьютеры» позволяет использовать в имени подразделения символы национального алфавита, рекомендуется использовать имена, которые описывают назначение подразделения и являются достаточно короткими, чтобы ими было легко управлять. Протокол LDAP не имеет ограничений, так как CN объекта помещается в кавычки.
Запрещенные символы: Никакие символы не запрещены.
Правила длины имен:
- Минимальная длина имени: один символ
- Максимальная длина имени: 64 символа
Специальные проблемы для подразделений
Если подразделение на корневом уровне домена имеет то же имя, что и будущий дочерний домен, могут возникнуть проблемы с базой данных. Рассмотрим сценарий, в котором вы удаляете подразделение с именем marketing , чтобы создать дочерний домен с тем же именем. Например, marketing.contoso.com
(самая левая метка имени доменного имени дочернего домена имеет то же имя).
Вы удаляете подразделение. Во время существования надгробия удаленного подразделения создается дочерний домен с тем же именем. Затем удалите дочерний домен и создадите его во второй раз. В этом случае дублирующееся имя записи в базе данных ESE вызывает фантомный конфликт имен при повторном создании дочернего домена. Эта проблема предотвращает репликацию контейнера конфигурации Active Directory.
Примечание.
Эта проблема не ограничивается типами имен контроллеров домена и подразделений. Аналогичный конфликт имен также может возникнуть для других типов имен RDN при определенных условиях.
Таблица зарезервированных слов
Зарезервированные слова для имен | Windows NT 4.0 | Windows 2000 | Windows Server 2003 | Windows Server 2008 и более поздних версий |
---|---|---|---|---|
ANONYMOUS | X | X | X | X |
AUTHENTICATED USER | X | X | X | |
BATCH | X | X | X | X |
BUILTIN | X | X | X | X |
CREATOR GROUP | X | X | X | X |
CREATOR GROUP SERVER | X | X | X | X |
СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ | X | X | X | X |
CREATOR OWNER SERVER | X | X | X | X |
DIALUP | X | X | X | X |
DIGEST AUTH | X | X | ||
DOMAIN | X | |||
ПРЕДПРИЯТИЯ | X | |||
INTERACTIVE | X | X | X | X |
INTERNET | X | X | X | |
LOCAL | X | X | X | X |
LOCAL SYSTEM | X | X | ||
NETWORK | X | X | X | X |
NETWORK SERVICE | X | X | ||
NT AUTHORITY | X | X | X | X |
NT DOMAIN | X | X | X | X |
NTLM AUTH | X | X | ||
NULL | X | X | X | X |
PROXY | X | X | X | |
REMOTE INTERACTIVE | X | X | ||
RESTRICTED | X | X | X | |
SCHANNEL AUTH | X | X | ||
SELF | X | X | X | |
SERVER | X | X | X | |
SERVICE | X | X | X | X |
SYSTEM | X | X | X | X |
TERMINAL SERVER | X | X | X | |
THIS ORGANIZATION | X | X | ||
USERS | X | X | ||
WORLD | X | X | X | X |