Domain-Name-System

遷移到新的 AD 域,但保留舊的 DFS 根

  • July 13, 2020

我在生產中有一個 Active Directory 域(我們將呼叫OLD.TLD它)並且需要更改名稱(原因我不會詳細說明)。

在這個域中有很多很多文件連結到 DFS 命名空間。他們主要使用 NetBIOS 名稱,因此引用類似於\\OLD\DFS\FOLDERwhich 引用\\SERVER\FOLDER.

在該過程結束時,所有內容都將位於新域 ( NEW.TLD) 中,伺服器將位於SERVER.NEW.TLD. 但是\\OLD\DFS即使在舊域消失後也需要工作。

我考慮過一次性域名重命名,只更改 FQDN,但保持 NetBIOS 名稱不變。但這將對在家工作的人造成很大的破壞。(另外它將保留 NetBIOS 作為要求)。

因此,我考慮使用 ADMT 遷移到新域。

為了調查這一點,我:

  • TEST.TLD在新林中創建了一個測試域
  • OLD.TLD在和之間創建了雙向森林信任TEST.TLD
  • 在其中創建了一個 DNS 存根區域OLD.TLD以指向TEST.TLD
  • 在中創建 DNS CNAME 記錄以TEST.TLD引用和SERVER指向. 還有 CNAME 將舊域控制器指向舊域。SERVER.OLD.TLD``OLD``OLD.TLD

所以現在,帳戶TEST.TLD可以\\OLD\DFS毫無問題地訪問。接下來,我試圖看看我是否可以欺騙測試域,使其認為它\\OLD\DFS在新域中。這是我設想的一個過程,它是在移除信任並關閉舊域控制器之前遷移的最後一步。

  • 為它創建了一個域 DFS 命名空間TEMP.TLD並添加了幾個文件夾引用,這樣我就可以將兩者區分開來。
  • 在 TCP/IP 上禁用 NetBIOSTEMP.TLD
  • 將 CNAME 記錄更改為OLD指向TEST.TLD
  • 清除所有三個 DFS 記憶體,以及 DNS 伺服器和本地記憶體。

但是,當我嘗試訪問時\\OLD\DFS,我得到了所有\\OLD.TLD\DFS文件夾。我需要更改其他設置嗎?甚至可以以這種方式為域 DFS 命名空間“別名”嗎?

我懷疑您的雙向信任可能是這裡的問題。即使使用帶有 CNAME 的 jiggery-pokery,我也想不出一種“隱藏”受信任域名的方法。

如果您使用 FQDN,您可能會注意到不同的結果。當您嘗試“OLD.TEST.TLD”時會發生什麼?我希望它會到達新的位置。可能。

這裡有一些嘗試:使用完全不同的別名設置您的 CNAME - 這仍然有效嗎?如果是這樣,很酷,這是一回事。

接下來,擺脫雙方的信任,並擺脫任何指向您的 OLD.TLD 目的地或名稱的 DNS 記錄。給它一個很好的擦洗,並留出足夠的時間來複製。

在 TEST 環境中,嘗試連接到屬於 OLD 命名空間的路徑,並確保您沒有找到任何內容/未找到名稱。如果一切都測試乾淨,然後嘗試再次設置您的舊 CNAME。

如果這行得通,那麼您就知道是信任在干擾那裡。

因此,您需要通過中斷來打破信任,最終在您的 DFS 上完成遷移,並在您的所有 DNS 上使用漂亮的短 TTL。

引用自:https://serverfault.com/questions/1023659