我在生产中有一个 Active Directory 域(我们称之为OLD.TLD),需要更改名称(出于原因我不会详细说明)。
此域中有许多文件带有指向 DFS 命名空间的链接。它们大多使用 NetBIOS 名称,因此引用将类似于\\OLD\DFS\FOLDER指向\\SERVER\FOLDER。
在该过程结束时,所有内容都将位于新域名 ( NEW.TLD) 中,并且服务器将是。但即使在旧域名消失后, 也SERVER.NEW.TLD必须 才能工作。\\OLD\DFS
我考虑过一次性域名重命名,只更改 FQDN 但保留 NetBIOS 名称不变。但这会给在家工作的人带来很大麻烦。(此外,它仍将 NetBIOS 作为一项要求)。
因此,我考虑使用 ADMT 迁移到新域。
为了调查此事,我:
TEST.TLD在新林中创建测试域OLD.TLD在和之间建立了双向林信任TEST.TLD- 创建 DNS 存根区域以
OLD.TLD指向TEST.TLD - 在 中创建了 DNS CNAME 记录以
TEST.TLD引用SERVER和。此外SERVER.OLD.TLD,还有 CNAME 将旧域控制器指向旧域。OLDOLD.TLD
现在,账户可以毫无问题地TEST.TLD访问。接下来,我尝试看看我是否可以欺骗测试域,让它认为它是在新域中。我设想这个过程是迁移的最后一步,然后删除信任,并关闭旧的域控制器。\\OLD\DFS\\OLD\DFS
- 创建了一个域 DFS 命名空间
TEMP.TLD并向其中添加了几个文件夹引用,以便我可以区分两者。 - 在 TCP/IP 上禁用 NetBIOS
TEMP.TLD - 将 的 CNAME 记录更改为
OLD指向TEST.TLD。 - 清除所有三个 DFS 缓存以及 DNS 服务器和本地缓存。
但是当我尝试访问时\\OLD\DFS,我得到了所有\\OLD.TLD\DFS文件夹。我需要更改其他设置吗?是否可以通过这种方式为域 DFS 命名空间设置“别名”?
答案1
我怀疑你的双向信任可能是这里的问题所在。我想不出有什么办法可以“隐藏”受信任的域名,即使使用 CNAME 的欺骗手段。
如果您使用 FQDN,您可能会注意到结果有所不同。当您尝试“OLD.TEST.TLD”时会发生什么?我预计它会到达新位置。也许吧。
这里有一种方法可以尝试:用完全不同的别名设置您的 CNAME - 这还能用吗?如果能,太棒了,这是一回事。
接下来,取消双方的信任,并删除指向您的 OLD.TLD 目的地或名称的任何 DNS 记录。彻底清理所有内容并留出足够的时间来进行复制。
在测试环境中,尝试连接到属于旧命名空间的路径,并确保没有找到任何内容/名称未找到。如果所有测试都正常,则尝试再次设置旧 CNAME。
如果可行,那么您就知道这是信任在干扰。
因此,您需要中断信任以最终完成 DFS 迁移,并且在所有 DNS 上设置较短的 TTL。