AD退網域流程

ad 退網域

gongc9433 2021-10-24 11:32:01 ‧ 4114 瀏覽

分享至

各位前輩好

目前有一台新電腦要沿用舊電腦的HOSTNAME名稱和IP位址，
我的作法是先將舊電腦退網域，再到AD上將舊電腦的電腦物件和DNS紀錄刪除，但前輩說不需要這樣做，只用將舊電腦退網域，直接在新電腦上把舊電腦名稱和IP設上去，不須到AD網域上將舊電腦的電腦物件和DNS紀錄刪除，這樣的說法正確嗎?

舜~ iT邦高手 1 級 ‧ 2021-10-24 18:27:48 檢舉

我的經驗是會加不進去，因為電腦名稱重複。
要不然就是變更電腦名稱，事後再從AD把舊的刪掉

窮嘶發發發 iT邦高手 1 級 ‧ 2021-10-25 09:15:43 檢舉

正確，問題點在於你加入新電腦的時候對舊電腦的AD物件有沒有修改的權限
如果都是用 DOMAIN ADMIN 鐵定沒問題，但如果是分管帳戶就不一定了
要看該分管帳戶有沒有權限更新該AD物件

接下來說說 DHCP 跟 DNS ，你前輩應該有上過AD相關的證照課程
他說的是對的，首先 DHCP 必須登錄給AD才能在 AD 的 PC 物件散發IP
而DHCP在確認 AD PC 收到 IP 指派後，會自動跟 AD DNS 登錄資訊
而 DNS 只要他是 AD 同步更新，任何操作 AD 物件的動作也都會收到同步更新，就這麼簡單，建議如果真的不清楚請去K書，別道聽塗說亂搞

我管理域從 NT > AD 都有 20年了，還真沒聽過同一個PC名要舊的先下才能上新的PC，甚至有時候你還希望新的直接取代舊的，最好連 SID 都一樣
這樣這台PC分享過的資源的SID都不會變，USER那要做的設定會少很多

setsuna iT邦新手 2 級 ‧ 2021-10-25 21:15:32 檢舉

你前輩講的是對的，直接加就可以。

因為電腦名稱重複無法加網域這事，我在Win2000和Win2003DC 混用時有遇過，但我之前找到一篇說明有提到似乎在2000或2003網域前才會有這狀況。

依我的經驗，我確定新電腦用舊電腦名稱和IP可以直接加網域，甚至不需把舊機退網域。因為網域電腦帳戶對應的是DNS。

你可以先到DC上查看舊電腦網域電腦帳戶的SID，然後把舊電腦斷線(不用退網域)將新電腦直接取同一電腦名稱後加入網域，然後在新電腦上用 "psgetsid %computername%$" 查詢新電腦上取得的網域電腦帳戶SID，然後你會發現取得的SID會跟網域控制站裡的舊電腦網域電腦帳戶是一致的，而在DC上電腦帳戶SID一致就會視為同一物件。

登入發表討論