У меня есть домен washton.example.com
на Windows Server 2012 R2
. Для взаимодействия с office 365
моя организация решила переименовать доменное имя с Washington.example.com
на example.com
. В моей организации есть несколько контроллеров домена, которые подключаются к одному глобальному vpn.
Я пробовал сделать на виртуальных машинах переименование моего домена. В контроллере домена, на котором есть FSMO, я создал зону «example.com», произвел ручную репликацию между контроллерами домена. Затем я сделал контроллер домена, у которого есть FSMO, сделал rendom / list
от Enterprise Admin, затем отредактировал Domainlist.xml
, где я изменил имя домена. Затем я сделал несколько команд для реализации моих изменений rendom / upload
, rendom / prepare
, rendom / execute
. Последняя команда произвела перезагрузку всех контроллеров домена. Также я исправил GPO через gpfixup /olddns:washington.example.com
/newdns:example.com
.
Наконец, я сделал rendom / clean
и rendom / end
. Кроме того, я переименовал имя компьютера через netdom computername vm-dc.washington.example.com /add:vm-dc.example.com
и netdom computername washton.example.com / makeprimary: vm -dc.example.com
. Конечно, netdom
я делал для каждой виртуальной машины с контроллером домена.
Все работает. Компьютеры в изолированной сети после перезагрузки в новом домене. Но, как я прочитал с сайта Microsoft, эта процедура может вызвать некоторые проблемы, если у вас есть Центр сертификации
. На моем контроллере домена, который имеет FSMO, у меня есть этот центр сертификации
. В консоли центра сертификации
я вижу новые сертификаты для других контроллеров домена с обычными именами, например, в прошлом srv-dc.washington.example.com
, а теперь вижу новый сертификат srv-dc.example.com
. Но когда я смотрю в деталях, я вижу, что Issuer
CN = washington-VM-DC-CA
DC = washington
DC = example
DC = com
Итак, согласно этой теме, у меня есть два вопроса. Во-первых, правильно ли переименовать домен с работающим центром сертификации
. И второй вопрос, как обновить этот центр сертификации
в соответствии с новым доменным именем?
Для переписки с офисом 365, моя организация решила переименовать доменное имя с сайта washington.example.com на example.com.
Если вы делаете это для того, чтобы синхронизировать ваших пользователей AD в помещениях с Office 365/Azure AD, то вы делаете это неправильно.
Ваше доменное имя FQDN AD в помещениях не должно совпадать с вашим доменным именем с маршрутизацией в Office 365. Вам необходимо добавить и проверить ваше доменное имя с маршрутизацией в Office 365, а затем добавить соответствующий суффикс UPN в вашем внутреннем AD. Затем назначьте этот суффикс UPN своим учетным записям пользователей AD на территории предприятия. При последующей синхронизации ваших учетных записей пользователей AD на территории предприятия с Office 365/Azure AD, доменное имя UPN на территории предприятия станет Office 365/Azure AD UPN, и именно его пользователи будут использовать для входа в Office 365/Azure AD
.Нельзя переименовывать имя центра сертификации ADCS. Лучшее, что вы можете сделать, это установить отдельный ЦС, переместить клиентов в этот новый ЦС и затем вывести из эксплуатации старый ЦС.
При установке нового ЦС не выбирайте стандартный DN суффикс, поскольку он автоматически генерируется из информации AD. Используйте пользовательский DN суффикс, который привязан к вашей компании, а не к AD
После установки новой CA удалите все шаблоны сертификатов со старой CA и добавьте их в новую CA, чтобы новые клиенты работали только с новой CA. Чтобы заставить клиентов принудительно перерегистрировать сертификаты, откройте консоль certtmpl.msc
, выберите нужный шаблон, щелкните правой кнопкой мыши и выберите Перерегистрировать всех владельцев сертификатов
. Повторите это действие для всех остальных шаблонов, которые необходимо перепробросить.
Обратите внимание, что это сработает только в том случае, если в GPO включена автоматическая регистрация.
.