遷移到新的 AD 域,但保留舊的 DFS 根
我在生產中有一個 Active Directory 域(我們將呼叫
OLD.TLD
它)並且需要更改名稱(原因我不會詳細說明)。在這個域中有很多很多文件連結到 DFS 命名空間。他們主要使用 NetBIOS 名稱,因此引用類似於
\\OLD\DFS\FOLDER
which 引用\\SERVER\FOLDER
.在該過程結束時,所有內容都將位於新域 (
NEW.TLD
) 中,伺服器將位於SERVER.NEW.TLD
. 但是\\OLD\DFS
即使在舊域消失後也需要工作。我考慮過一次性域名重命名,只更改 FQDN,但保持 NetBIOS 名稱不變。但這將對在家工作的人造成很大的破壞。(另外它將保留 NetBIOS 作為要求)。
因此,我考慮使用 ADMT 遷移到新域。
為了調查這一點,我:
TEST.TLD
在新林中創建了一個測試域OLD.TLD
在和之間創建了雙向森林信任TEST.TLD
- 在其中創建了一個 DNS 存根區域
OLD.TLD
以指向TEST.TLD
- 在中創建 DNS CNAME 記錄以
TEST.TLD
引用和SERVER
指向. 還有 CNAME 將舊域控制器指向舊域。SERVER.OLD.TLD``OLD``OLD.TLD
所以現在,帳戶
TEST.TLD
可以\\OLD\DFS
毫無問題地訪問。接下來,我試圖看看我是否可以欺騙測試域,使其認為它\\OLD\DFS
在新域中。這是我設想的一個過程,它是在移除信任並關閉舊域控制器之前遷移的最後一步。
- 為它創建了一個域 DFS 命名空間
TEMP.TLD
並添加了幾個文件夾引用,這樣我就可以將兩者區分開來。- 在 TCP/IP 上禁用 NetBIOS
TEMP.TLD
- 將 CNAME 記錄更改為
OLD
指向TEST.TLD
。- 清除所有三個 DFS 記憶體,以及 DNS 伺服器和本地記憶體。
但是,當我嘗試訪問時
\\OLD\DFS
,我得到了所有\\OLD.TLD\DFS
文件夾。我需要更改其他設置嗎?甚至可以以這種方式為域 DFS 命名空間“別名”嗎?
我懷疑您的雙向信任可能是這裡的問題。即使使用帶有 CNAME 的 jiggery-pokery,我也想不出一種“隱藏”受信任域名的方法。
如果您使用 FQDN,您可能會注意到不同的結果。當您嘗試“OLD.TEST.TLD”時會發生什麼?我希望它會到達新的位置。可能。
這裡有一些嘗試:使用完全不同的別名設置您的 CNAME - 這仍然有效嗎?如果是這樣,很酷,這是一回事。
接下來,擺脫雙方的信任,並擺脫任何指向您的 OLD.TLD 目的地或名稱的 DNS 記錄。給它一個很好的擦洗,並留出足夠的時間來複製。
在 TEST 環境中,嘗試連接到屬於 OLD 命名空間的路徑,並確保您沒有找到任何內容/未找到名稱。如果一切都測試乾淨,然後嘗試再次設置您的舊 CNAME。
如果這行得通,那麼您就知道是信任在干擾那裡。
因此,您需要通過中斷來打破信任,最終在您的 DFS 上完成遷移,並在您的所有 DNS 上使用漂亮的短 TTL。