Eu tenho um domínio do Active Directory (chamaremos OLD.TLD) em produção e preciso alterar o nome (por motivos que não detalharei).
Há muitos, muitos arquivos com links para um namespace DFS neste domínio. Eles usam principalmente o nome NetBIOS, então uma referência seria algo como o \\OLD\DFS\FOLDERque se refere a \\SERVER\FOLDER.
Ao final do processo, tudo estará no novo domínio ( NEW.TLD) e o servidor será SERVER.NEW.TLD. Mas é necessário \\OLD\DFSque funcione mesmo depois que o antigo domínio se foi.
Eu considerei a renomeação de domínio one-shot, alterando apenas o FQDN, mas deixando o nome NetBIOS intacto. Mas isso causará muitos estragos para as pessoas que trabalham em casa. (além disso, manterá o NetBIOS como requisito).
Então, em vez disso, pensei em migrar para um novo domínio com o ADMT.
Para investigar isso, eu:
- criou um domínio de teste
TEST.TLDem uma nova floresta - criou uma relação de confiança de floresta bidirecional entre
OLD.TLDeTEST.TLD - criou uma zona de stub de DNS
OLD.TLDpara apontar paraTEST.TLD - criou registros DNS CNAME
TEST.TLDpara se referirSERVERaSERVER.OLD.TLDeOLDparaOLD.TLD. Também existem CNAMEs para apontar os controladores de domínio antigos para o domínio antigo.
Então agora, as contas TEST.TLDpodem acessar \\OLD\DFSsem problemas. Em seguida, tentei ver se conseguia enganar o domínio de teste para pensar que \\OLD\DFSestava no novo domínio. Este é um processo que imagino acontecendo como a etapa final da migração antes de remover a confiança e derrubar os controladores de domínio antigos.
- Criei um namespace DFS de domínio
TEMP.TLDe adicionei algumas referências de pasta a ele, para que eu possa distinguir os dois. - Desativado NetBIOS sobre TCP/IP em
TEMP.TLD - Alterado o registro CNAME para
OLDapontar paraTEST.TLD. - limpou todos os três caches DFS, bem como o servidor DNS e os caches locais.
No entanto, quando tento acessar \\OLD\DFS, recebo todas as \\OLD.TLD\DFSpastas. Existe outra configuração que preciso alterar? É possível 'alias' um namespace DFS de domínio dessa maneira?
Suspeito que sua confiança bidirecional pode ser o problema aqui. Não consigo pensar em uma maneira de "esconder" um nome de domínio confiável, mesmo com o jiggery-pokery com CNAMEs.
Você pode notar um resultado diferente se usar FQDNs. O que acontece quando você tenta "OLD.TEST.TLD"? Eu esperaria que isso atingisse o novo local. Talvez.
Aqui está algo para tentar: configure seus CNAMEs com um alias completamente diferente - isso ainda funciona? Se sim, legal, isso é uma coisa.
Em seguida, livre-se da confiança de ambos os lados e de quaisquer registros DNS que apontem para seus destinos ou nomes OLD.TLD. Dê a tudo uma boa esfoliação e permita bastante tempo para replicar.
No ambiente TEST, tente conectar-se aos caminhos que pertenciam ao namespace OLD e certifique-se de obter nada/nome não encontrado. Se tudo estiver limpo, tente configurar seu CNAME ANTIGO novamente.
Se isso funcionar, então você sabe que foi a confiança interferindo lá.
Portanto, você precisará de uma interrupção para quebrar a confiança e finalizar a migração pelo seu DFS no final, com bons TTLs curtos em todo o seu DNS.