у меня есть домен, washington.example.com на Windows Server 2012 R2. Для взаимодействия с office 365, моя организация решила переименовать доменное имя из washington.example.com к example.com. В моей организации есть несколько контроллеров домена, которые подключаются к одному глобальному vpn.
Я пробовал сделать на виртуальных машинах переименование моего домена. В контроллере домена, который имеет FSMO, я создал зону «example.com», произвел ручную репликацию между контроллерами домена. Затем я сделал контроллер домена с FSMO, я сделал rendom /list из Enterprise Admin, затем я отредактировал Domainlist.xml, где я изменил имя домена. Затем я сделал несколько команд для реализации моих изменений rendom /upload, rendom /prepare, rendom /execute. Последняя команда произвела перезагрузку всех контроллеров домена. Также я исправил GPO через gpfixup /olddns:washington.example.com
/newdns:example.com.
Наконец я сделал rendom /clean и rendom /end. Также я переименовал имя компьютера через netdom computername vm-dc.washington.example.com /add:vm-dc.example.com и netdom computername washington.example.com /makeprimary:vm-dc.example.com. Конечно netdom я делал для каждой виртуальной машины с контроллером домена.
Все работает. Компьютеры в изолированной сети после перезагрузки в новом домене. Но я прочитал с сайта Microsoft, что эта процедура может вызвать некоторые проблемы, если у вас Certificate authority. На моем контроллере домена, у которого есть FSMO, у меня есть это Certificate authority. В консоли Certificate authority я вижу новые сертификаты для других контроллеров домена с обычными именами, например в прошлом srv-dc.washington.example.com и теперь я вижу новый сертификат srv-dc.example.com. Но когда я смотрю в деталях, я вижу, что Issuer
CN = washington-VM-DC-CA
DC = washington
DC = example
DC = com
Итак, по этой теме у меня два вопроса. Во-первых, правильно ли переименовывать домен с рабочим Certificate authority. И второй вопрос, как обновить эту Certificate authority по новому доменному имени?
Для взаимодействия с Office 365 моя организация решила переименовать доменное имя с washton.example.com на example.com.
Если вы делаете это для синхронизации локальных пользователей AD с Office 365 / Azure AD, то вы делаете это неправильно.
Полное доменное имя вашего локального домена AD не должно совпадать с именем маршрутизируемого домена в Office 365. Вам необходимо добавить и подтвердить свое маршрутизируемое доменное имя в Office 365, а затем добавить соответствующий суффикс UPN в локальный AD. Затем назначьте этот суффикс UPN своим локальным учетным записям пользователей AD. Когда вы затем синхронизируете свои локальные учетные записи пользователей AD с Office 365 / Azure AD, локальное имя участника-пользователя станет UPN Office 365 / Azure AD, и именно это ваши пользователи будут использовать для входа в Office 365 / Azure AD.
Вы не можете переименовать имя центра сертификации ADCS. Лучшее, что вы можете сделать, - это развернуть отдельный ЦС, переместить клиентов в этот новый ЦС, а затем списать старый ЦС.
При развертывании нового центра сертификации не выбирайте суффикс DN по умолчанию, поскольку он автоматически создается из информации AD. Используйте собственный суффикс DN, который привязан к вашей компании, а не к AD.
После развертывания нового ЦС удалите все шаблоны сертификатов из старого ЦС и добавьте их в новый ЦС, чтобы новые клиенты работали только с новым ЦС. Чтобы заставить клиентов принудительно повторно регистрировать сертификаты, откройте certtmpl.msc консоли, выберите нужный шаблон, щелкните правой кнопкой мыши и выберите Reenroll all certificate holders. Повторите это действие для всех остальных шаблонов, которые нужно повторно зарегистрировать.
Обратите внимание, что это будет работать, только если в GPO включена автоматическая подача заявок.