У меня есть домен Active Directory (мы позвоним OLD.TLD) в производстве и необходимо изменить имя (по причинам, которые я не буду вдаваться в подробности).
В этом домене очень много файлов со ссылками на пространство имен DFS. В основном они используют NetBIOS-имя, поэтому ссылка будет выглядеть примерно так: \\OLD\DFS\FOLDER который относится к \\SERVER\FOLDER.
В конце процесса все будет в новом домене (NEW.TLD) и сервер будет SERVER.NEW.TLD. Но это необходимо для \\OLD\DFS работать даже после того, как старый домен исчезнет.
Я рассмотрел возможность однократного переименования домена, изменив только полное доменное имя, но оставив имя NetBIOS без изменений. Но это нанесет большой ущерб людям, работающим из дома. (плюс в качестве требования будет сохранен NetBIOS).
Поэтому вместо этого я подумал о переходе на новый домен с ADMT.
Чтобы исследовать это, я:
TEST.TLD в новом лесуOLD.TLD и TEST.TLDOLD.TLD указать на TEST.TLDTEST.TLD ссылаться SERVER к SERVER.OLD.TLD и OLD к OLD.TLD. Также есть CNAME, указывающие старые контроллеры домена на старый домен.Итак, теперь счета в TEST.TLD может получить доступ \\OLD\DFS без проблем. Затем я попытался проверить, смогу ли я обмануть тестовую область, заставив думать, что \\OLD\DFS был в новом домене. Я предполагаю, что это будет последний этап миграции перед удалением доверия и отключением старых контроллеров домена.
TEMP.TLD и добавил к нему пару ссылок на папки, чтобы я мог отличить их друг от друга.TEMP.TLDOLD указать на TEST.TLD.Однако когда я пытаюсь получить доступ \\OLD\DFS, Я получаю все \\OLD.TLD\DFS папки. Есть ли еще один параметр, который мне нужно изменить? Можно ли вообще таким образом «создать псевдоним» для пространства имен DFS домена?
Я подозреваю, что здесь проблема в вашем двустороннем доверии. Я не могу придумать способ «спрятать» имя доверенного домена даже с помощью манипуляций с CNAME.
Вы можете заметить другой результат, если используете полные доменные имена. Что произойдет, если вы попробуете "OLD.TEST.TLD"? Я ожидал, что это произойдет в новом месте. Возможно.
Вот что можно попробовать: настройте свои CNAME с совершенно другим псевдонимом - это все еще работает? Если так, круто, это одно.
Затем избавьтесь от доверия с обеих сторон и избавьтесь от любых записей DNS, которые указывают на ваши пункты назначения или имена OLD.TLD. Хорошо потрите все это и дайте достаточно времени для повторения.
В среде TEST попробуйте подключиться к путям, которые принадлежали к OLD пространству имен, и убедитесь, что вы ничего не получили / имя не найдено. Если все прошло успешно, попробуйте снова настроить СТАРУЮ CNAME.
Если это сработает, то вы знаете, что туда вмешалось доверие.
Итак, вам понадобится отключение, чтобы подорвать доверие, чтобы завершить миграцию через вашу DFS в самом конце, с красивыми короткими TTL на всех ваших DNS.