在具有证书颁发机构的Active Directory中,重命名域

分享于 

4分钟阅读

互联网

 

问题:

我有域 washington.example.comWindows Server 2012 R2 对于具有 office 365的intergations,我的组织决定将域 NAME 从 washington.example.com 重命名为 example.com。 我的组织有几个域控制器,它们在一个全局vpn中连接。
我试图在虚拟机上重命名我的域。 在域控制器中,有 FSMO,我创建了区域"example.com",,在域控制器之间手动复制。 接下来,我在域控制器中创建了 FSMO,我从企业管理员那里创建了 rendom/list,然后编辑了 Domainlist.xml,在这里我更改了域。 接下来,我执行了几个命令来实现更改 rendom/uploadrendom/preparerendom/execute。 上次命令重新引导所有域控制器。 我也通过 gpfixup/olddns:washington.example.com/newdns:example.com
最后我做了 rendom/cleanrendom/end。 我还把电脑的NAME 改名为 netdom computername vm-dc.washington.example.com/add:vm-dc.example.comnetdom computername washington.example.com/makeprimary:vm-dc.example.com 当然,我为每个使用域控制器的虚拟机做了 netdom
一切正常。在新域重新引导后隔离网络中的计算机。 但是,我从微软网站读到,如果你有 Certificate authority,这个程序会带来一些麻烦。 在我的域控制器上,有 FSMO,我有这个 Certificate authority。 我看到了其他带有普通名称的域控制器的新证书,例如在过去的中,现在我看到了新的证书 srv-dc.example.com。 但是当我看到细节的时候我看到了 Issuer


CN = washington-VM-DC-CA


DC = washington


DC = example


DC = com



所以根据这个主题我有两个问题。 首先,使用工作 Certificate authority 重命名域是否正确。 第二个问题,如何根据新的域 NAME 更新这个 Certificate authority


回答 1:

你不能重命名adc的证书颁发机构 NAME。 最好是部署一个单独的,将客户机移动到这个新的,然后将旧的,。

部署新CA时不要选择默认的DN后缀,因为它是由广告信息自动生成的。 使用与你的公司绑定的自定义DN后缀,而不是广告。

部署新的CA后,从旧的CA删除所有证书模板并将它们添加到新的CA中,这样新的客户端才。 要强制客户端强行重新注册证书,请打开 certtmpl.msc 控制台,选择所需模板,右键单击并选择 Reenroll all certificate holders 对需要重新注册的所有其他模板重复这里操作。

注意,只有在GPO中启用自动注册时,这里操作才有效。


回答 2:

对于 Office 365的intergations,我的组织决定将域 NAME 从 washington.example.com 重命名为 example.com.

如果你这样做是为了同步你的前提广告用户 Office 365/Azure 广告,那么你做错了。

你在房地产领域的FQDN不应该与你的可以路由域 NAME 在 Office 365中相同。 你需要在 Office 365中添加并验证可以路由的域 NAME,然后在 premises AD中添加一个匹配的UPN后缀。 然后将这里UPN后缀分配给你的房地产用户帐户。 然后,在premises广告用户帐户 sync Office 365 AD premises premises UPN UPN UPN UPN UPN UPN UPN UPN sign sign sign sign/Azure。



DIR  act  auth  DOM  domain  Author  
相关文章