我在生产中有一个 Active Directory 域(我们将调用OLD.TLD它)并且需要更改名称(原因我不会详细说明)。
在这个域中有很多很多文件链接到 DFS 命名空间。他们主要使用 NetBIOS 名称,因此引用类似于\\OLD\DFS\FOLDERwhich 引用\\SERVER\FOLDER.
在该过程结束时,所有内容都将位于新域 ( NEW.TLD) 中,服务器将位于SERVER.NEW.TLD. 但是\\OLD\DFS即使在旧域消失后也需要工作。
我考虑过一次性域名重命名,只更改 FQDN,但保持 NetBIOS 名称不变。但这将对在家工作的人造成很大的破坏。(另外它将保留 NetBIOS 作为要求)。
因此,我考虑使用 ADMT 迁移到新域。
为了调查这一点,我:
TEST.TLD在新林中创建了一个测试域OLD.TLD在和之间创建了双向森林信任TEST.TLD- 在其中创建了一个 DNS 存根区域
OLD.TLD以指向TEST.TLD - 在中创建 DNS CNAME 记录以
TEST.TLD引用和SERVER指向. 还有 CNAME 将旧域控制器指向旧域。SERVER.OLD.TLDOLDOLD.TLD
所以现在,帐户TEST.TLD可以\\OLD\DFS毫无问题地访问。接下来,我试图看看我是否可以欺骗测试域,使其认为它\\OLD\DFS在新域中。这是我设想的一个过程,它是在移除信任和关闭旧域控制器之前迁移的最后一步。
- 为它创建了一个域 DFS 命名空间
TEMP.TLD并添加了几个文件夹引用,这样我就可以将两者区分开来。 - 在 TCP/IP 上禁用 NetBIOS
TEMP.TLD - 将 CNAME 记录更改为
OLD指向TEST.TLD。 - 清除所有三个 DFS 缓存,以及 DNS 服务器和本地缓存。
但是,当我尝试访问时\\OLD\DFS,我得到了所有\\OLD.TLD\DFS文件夹。我需要更改其他设置吗?甚至可以以这种方式为域 DFS 命名空间“别名”吗?
我怀疑您的双向信任可能是这里的问题。即使使用带有 CNAME 的 jiggery-pokery,我也想不出一种“隐藏”受信任域名的方法。
如果您使用 FQDN,您可能会注意到不同的结果。当您尝试“OLD.TEST.TLD”时会发生什么?我希望它会到达新的位置。也许。
这里有一些尝试:使用完全不同的别名设置您的 CNAME - 这仍然有效吗?如果是这样,很酷,这是一回事。
接下来,摆脱双方的信任,并摆脱任何指向您的 OLD.TLD 目的地或名称的 DNS 记录。给它一个很好的擦洗,并留出足够的时间来复制。
在 TEST 环境中,尝试连接到属于 OLD 命名空间的路径,并确保您没有找到任何内容/未找到名称。如果一切都测试干净,然后尝试再次设置您的旧 CNAME。
如果这行得通,那么您就知道是信任在干扰那里。
因此,您需要通过中断来打破信任,最终在您的 DFS 上完成迁移,并在您的所有 DNS 上使用漂亮的短 TTL。