Переименование домена в Active Directory с помощью центра сертификации
У меня есть домен washton.example.com на Windows Server 2012 R2 . Для взаимодействия с office 365 моя организация решила переименовать доменное имя с Washington.example.com на example.com . В моей организации есть несколько контроллеров домена, которые подключаются к одному глобальному vpn.
Я пробовал сделать на виртуальных машинах переименование моего домена. В контроллере домена, на котором есть FSMO, я создал зону «example.com», произвел ручную репликацию между контроллерами домена. Затем я сделал контроллер домена, у которого есть FSMO, сделал rendom / list от Enterprise Admin, затем отредактировал Domainlist.xml , где я изменил имя домена. Затем я сделал несколько команд для реализации моих изменений rendom / upload , rendom / prepare , rendom / execute . Последняя команда произвела перезагрузку всех контроллеров домена. Также я исправил GPO через gpfixup /olddns:washington.example.com
/newdns:example.com.
Наконец, я сделал rendom / clean и rendom / end . Кроме того, я переименовал имя компьютера через netdom computername vm-dc.washington.example.com /add:vm-dc.example.com и netdom computername washton.example.com / makeprimary: vm -dc.example.com . Конечно, netdom я делал для каждой виртуальной машины с контроллером домена.
Все работает. Компьютеры в изолированной сети после перезагрузки в новом домене. Но, как я прочитал с сайта Microsoft, эта процедура может вызвать некоторые проблемы, если у вас есть Центр сертификации . На моем контроллере домена, который имеет FSMO, у меня есть этот центр сертификации . В консоли центра сертификации я вижу новые сертификаты для других контроллеров домена с обычными именами, например, в прошлом srv-dc.washington.example.com , а теперь вижу новый сертификат srv-dc.example.com . Но когда я смотрю в деталях, я вижу, что Issuer
CN = washington-VM-DC-CA
DC = washington
DC = example
DC = com
Итак, согласно этой теме, у меня есть два вопроса. Во-первых, правильно ли переименовать домен с работающим центром сертификации . И второй вопрос, как обновить этот центр сертификации в соответствии с новым доменным именем?
Для переписки с офисом 365, моя организация решила переименовать доменное имя с сайта washington.example.com на example.com.
Если вы делаете это для того, чтобы синхронизировать ваших пользователей AD в помещениях с Office 365/Azure AD, то вы делаете это неправильно.
Ваше доменное имя FQDN AD в помещениях не должно совпадать с вашим доменным именем с маршрутизацией в Office 365. Вам необходимо добавить и проверить ваше доменное имя с маршрутизацией в Office 365, а затем добавить соответствующий суффикс UPN в вашем внутреннем AD. Затем назначьте этот суффикс UPN своим учетным записям пользователей AD на территории предприятия. При последующей синхронизации ваших учетных записей пользователей AD на территории предприятия с Office 365/Azure AD, доменное имя UPN на территории предприятия станет Office 365/Azure AD UPN, и именно его пользователи будут использовать для входа в Office 365/Azure AD
.Нельзя переименовывать имя центра сертификации ADCS. Лучшее, что вы можете сделать, это установить отдельный ЦС, переместить клиентов в этот новый ЦС и затем вывести из эксплуатации старый ЦС.
При установке нового ЦС не выбирайте стандартный DN суффикс, поскольку он автоматически генерируется из информации AD. Используйте пользовательский DN суффикс, который привязан к вашей компании, а не к AD
После установки новой CA удалите все шаблоны сертификатов со старой CA и добавьте их в новую CA, чтобы новые клиенты работали только с новой CA. Чтобы заставить клиентов принудительно перерегистрировать сертификаты, откройте консоль certtmpl.msc, выберите нужный шаблон, щелкните правой кнопкой мыши и выберите Перерегистрировать всех владельцев сертификатов . Повторите это действие для всех остальных шаблонов, которые необходимо перепробросить.
Обратите внимание, что это сработает только в том случае, если в GPO включена автоматическая регистрация.
.