我在washington.example.com
上有一个域Windows Server 2012 R2
。为了与 进行集成office 365
,我的组织决定将域名从 重命名washington.example.com
为example.com
。我的组织有多个域控制器,它们连接到一个全局 vpn。
我尝试在虚拟机上重命名我的域。在具有 FSMO 的域控制器中,我创建了区域“example.com”,我在域控制器之间进行了手动复制。接下来,我在具有 FSMO 的域控制器中rendom /list
从 Enterprise Admin 进行创建,然后编辑Domainlist.xml
,在其中更改了域名。接下来,我创建了几个命令来实现我的更改rendom /upload
、rendom /prepare
、rendom /execute
。最后一条命令重新启动了所有域控制器。我还通过 修复了 GPO gpfixup /olddns:washington.example.com /newdns:example.com
。
最后我创建了rendom /clean
和。此外,我通过和rendom /end
重命名了计算机名称。当然,我对每个带有域控制器的虚拟机都进行了此操作。 一切正常。在新域中重新启动后,计算机处于隔离网络中。但是,我从微软网站了解到,如果您有 ,此过程可能会带来一些麻烦。在我的域控制器上,我有这个。在控制台中,我看到了其他具有正常名称的域控制器的新证书,例如过去和现在,我看到了新证书。但是,当我查看详细信息时,我看到netdom computername vm-dc.washington.example.com /add:vm-dc.example.com
netdom computername washington.example.com /makeprimary:vm-dc.example.com
netdom
Certificate authority
Certificate authority
Certificate authority
srv-dc.washington.example.com
srv-dc.example.com
Issuer
CN = washington-VM-DC-CA
DC = washington
DC = example
DC = com
因此,根据这个主题,我有两个问题。首先,使用工作重命名域名是否正确Certificate authority
。第二个问题,如何Certificate authority
根据新域名进行更新?
答案1
您无法重命名 ADCS 认证机构名称。您能做的最好的事情就是部署一个单独的 CA,将客户端移至这个新 CA,然后停用旧 CA。
部署新 CA 时,请勿选择默认 DN 后缀,因为它是根据 AD 信息自动生成的。请使用与您的公司(而非 AD)绑定的自定义 DN 后缀。
部署新 CA 后,从旧 CA 中删除所有证书模板并将其添加到新 CA,这样新客户端就只能使用新 CA。为了强制客户端强制重新注册证书,请打开certtmpl.msc
控制台,选择所需模板,右键单击并选择Reenroll all certificate holders
。对需要重新注册的所有其他模板重复此操作。
请注意,仅当在 GPO 中启用自动注册时,此功能才会起作用。
答案2
为了与 Office 365 集成,我的组织决定将域名从 washington.example.com 重命名为 example.com。
如果您这样做是为了将本地 AD 用户同步到 Office 365/Azure AD,那么您做错了。
您的本地 AD 域 FQDN 不应与 Office 365 中的可路由域名相同。您需要在 Office 365 中添加并验证可路由域名,然后在本地 AD 中添加匹配的 UPN 后缀。然后将此 UPN 后缀分配给您的本地 AD 用户帐户。当您将本地 AD 用户帐户同步到 Office 365/Azure AD 时,本地 UPN 将成为 Office 365/Azure AD UPN,您的用户将使用它来登录 Office 365/Azure AD。