在过去的几年工作中,接触了客户的上百个域,绝大部分看起来都是很随意地搭建起来,后期的生产维护要多花很多时间。只有一个是咨询了美国最著名的网络安全公司建立起来的,几乎符合大多教科书的命名及安全规范,堪称典范。后来才了解到:该公司还设计了美国国防部,诺思罗普-格鲁曼公司(全球最著名的军火商,没之一,航母设计者)以及美国众议院的网络。
随着微软活动目录的开发,新的功能不断添加,最初的设计缺陷可以在后来的运维当中改正,域改名(domain rename)便是其中之一。在Windows 2000中,即使是域控,也不能改名,改名只能通过降级提升的办法;到了Windows 2003,安装光盘就提供了域改名工具rendom.exe;从2008开始,该工具随活动目录一起安装,变成了内置的基本命令,似乎改名变成了日常的例行操作!
域改名从单个域的角度来看非常简单,仅仅是改变域的名称。若从林的角度来看,改名实质是林中域的重组。如果拿一片树林做类比,单个域就好比树的枝条,域的重组就像枝条的嫁接,这样域枝条可以接到不同的树上,但这种嫁接却不能嫁接挪动树根,对其操作只有改名,改变树林根的名称。
我们可以看出:林的重组非常像公司的重组。实际上,域改名最主要的应用就是针对公司重组后网络的改动。我在实际中遇到单域林的改名主要是解决采用互联网存在的域名为企业内网域名所产生的DNS解析的问题。域改名还有一个应用就是解决单边域的问题,不过这个问题在Windows 2000时代比较常见,后来越来越少。我估计:越来越多的管理员已经知道单边域的问题,已有的单边域已经完成了改名。最近我也注意到:Windows server 2012已经不能建立单边域。
域的改名涉及到域的底层操作,在实际改名之前,要彻底通读微软网站上的文档, https://technet.microsoft.com/en-us/library/cc781575(v=ws.10).aspx 。由于这类资料比较少,所能查到的第三方资料仅供参考,很多对命令的执行顺序表述的都不一致,我的经验是运行rendom本身,不加任何参数,就提供了rendom命令的执行顺序:
C:\Windows\System32>rendom.exe
Usage: must have one and only one of the Following
[/list | /showforest | /upload | /prepare | /execute | /end | /clean]
最后笔者建议:搭建最接近实际系统的虚拟机环境,模拟改名操作!