我在washington.example.com上有一个域Windows Server 2012 R2。为了与 进行集成office 365,我的组织决定将域名从 重命名washington.example.com为example.com。我的组织有多个域控制器,它们连接到一个全局 vpn。
我尝试在虚拟机上重命名我的域。在具有 FSMO 的域控制器中,我创建了区域“example.com”,我在域控制器之间进行了手动复制。接下来,我在具有 FSMO 的域控制器中rendom /list从 Enterprise Admin 进行创建,然后编辑Domainlist.xml,在其中更改了域名。接下来,我创建了几个命令来实现我的更改rendom /upload、rendom /prepare、rendom /execute。最后一条命令重新启动了所有域控制器。我还通过 修复了 GPO gpfixup /olddns:washington.example.com /newdns:example.com。
最后我创建了rendom /clean和。此外,我通过和rendom /end重命名了计算机名称。当然,我对每个带有域控制器的虚拟机都进行了此操作。 一切正常。在新域中重新启动后,计算机处于隔离网络中。但是,我从微软网站了解到,如果您有 ,此过程可能会带来一些麻烦。在我的域控制器上,我有这个。在控制台中,我看到了其他具有正常名称的域控制器的新证书,例如过去和现在,我看到了新证书。但是,当我查看详细信息时,我看到netdom computername vm-dc.washington.example.com /add:vm-dc.example.comnetdom computername washington.example.com /makeprimary:vm-dc.example.comnetdomCertificate authorityCertificate authorityCertificate authoritysrv-dc.washington.example.comsrv-dc.example.comIssuer
CN = washington-VM-DC-CA
DC = washington
DC = example
DC = com
因此,根据这个主题,我有两个问题。首先,使用工作重命名域名是否正确Certificate authority。第二个问题,如何Certificate authority根据新域名进行更新?
答案1
您无法重命名 ADCS 认证机构名称。您能做的最好的事情就是部署一个单独的 CA,将客户端移至这个新 CA,然后停用旧 CA。
部署新 CA 时,请勿选择默认 DN 后缀,因为它是根据 AD 信息自动生成的。请使用与您的公司(而非 AD)绑定的自定义 DN 后缀。
部署新 CA 后,从旧 CA 中删除所有证书模板并将其添加到新 CA,这样新客户端就只能使用新 CA。为了强制客户端强制重新注册证书,请打开certtmpl.msc控制台,选择所需模板,右键单击并选择Reenroll all certificate holders。对需要重新注册的所有其他模板重复此操作。
请注意,仅当在 GPO 中启用自动注册时,此功能才会起作用。
答案2
为了与 Office 365 集成,我的组织决定将域名从 washington.example.com 重命名为 example.com。
如果您这样做是为了将本地 AD 用户同步到 Office 365/Azure AD,那么您做错了。
您的本地 AD 域 FQDN 不应与 Office 365 中的可路由域名相同。您需要在 Office 365 中添加并验证可路由域名,然后在本地 AD 中添加匹配的 UPN 后缀。然后将此 UPN 后缀分配给您的本地 AD 用户帐户。当您将本地 AD 用户帐户同步到 Office 365/Azure AD 时,本地 UPN 将成为 Office 365/Azure AD UPN,您的用户将使用它来登录 Office 365/Azure AD。