Zmiana nazwy domeny Windows 2008 R2 z przykładami

Tekst inspirowany głownie artykułem SzymonaN na blogu http://www.microcreative.pl/blog/?p=211

Rzadko bo rzadko ale przychodzi nieraz taki moment, kiedy musimy zmienić nazwę domeny Windows. Chociażby tak jak u mnie – centralizacja zarządzania IT trzech spółek z grupy zaowocowała połączeniem domen. Aby nie komplikować środowiska zdecydowaliśmy się na jedną domenę bazującą na środowisku jednej ze spółek. Dlatego zaszła potrzeba zmiany nazwy na obejmującą obecny stan. Od strony technicznej nazwa nie jest ważna (szczególnie NetBIOSwa) ale wizerunkowo jak najbardziej. W końcu tylko to podczas logowania widzi zarząd.

1. Środowisko

  • Obecna nazwa domeny Windows:
    FQDN: ads.test.vm
    NetBIOS: TESTVM
  • Docelowa nazwa domeny
    FQDN: ads.nowadomena.vm
    NetBIOS: NOWADOMENA
  • Nazwy kontrolerów domen
    dc1.ads.test.vm
    dc2.ads.test.vm
  • Docelowe nazwy kontrolerów domen
    dc1.ads.nowadomena.vm
    dc2.ads.nowadomena.vm

2. Wymagania wstępne

  • Domena jest zdrowa i działa z poziomem zabezpieczeń Windows 2003 \ Windows Server 2008
  • posiadamy uprawnienia administratora domeny

3. Proces zmiany nazwy domeny

  • wykonanie pełnego backupu kontrolerów domen
  • wylistowanie wszystkich statycznych wpisów (rekordów A i CNAME) – rekordy te będzie trzeba ręcznie przepisać do strefy DNS nowej domeny
  • na serwerze DNS jednego z kontrolerów utworzenie strefy wyszukiwania do przodu ads.nowadomena.vm
  • wymuszenie replikacji i sprawdzenie czy drugi kontroler zareplikował zmiany
  • wykonanie polecenia – rendom /list
    wynikiem polecenia będzie plik Domainlist.xml z następująca zawartością:

  • przygotowanie nowego pliku Domainlist.xml uwzględniającego zmiany
  • wykonanie polecenie rendom /showforest – to polecenie pokaże nam jakie zmiany zostaną wprowadzone w lesie i w domenie
  • wykonanie polecenia rendom /upload (załadowanie konfiguracji z pliku Domainlist.xml przygotowanego w poprzednim punkcie)
  • wykonanie polecenia repadmin /syncall i odczekanie ok. 5 min – czas potrzebny na replikacje kontrolerów (w opisywanym środowisku mam dwa kontrolery w sieci lokalnej. W większym środowisku, za site’ami, WANem te czasy oczywiście będą większe.)
  • wykonanie polecenia rendom /prepare i odczekanie ok. 5 min – czas potrzebny na replikacje kontrolerów. W wyniku polecenia będzie widać ile kontrolerów odpowiedziało i ile zwróciło błędy. Oczywiście zakładamy ze odpowiedzą wszystkie a 0 (czyli żaden) zwróci błędy
  • wykonanie polecenia rendom /execute – wynikiem będzie restart obu kontrolerów
  • po zalogowaniu wykonanie polecenia gpfixup /olddns:ads.test.vm /newdns:ads.nowadomena.vm
  • wykonanie polecenia gpfixup /oldnb:TESTVM /newnb:NOWADOMENA
  • w tym momencie należy dwukrotnie zrestartować wszystkie serwery członkowskie domeny oraz stacje robocze użytkowników
    UWAGA: Jeżeli któraś ze stacji roboczych nie będzie zrestartowana przed zakończeniem procesu zmiany nazwy domeny (czyli przed wydaniem poleceń rendom /clean i rendom /end) nie zostanie automatycznie przeniesiona do nowej domeny. W takim przypadku należy ją wypiąć ze starej i wpiąć do nowej domeny

    UWAGA 2: Jeżeli na kontrolerze lub serwerze członkowskim mamy uruchomiony serwer DHCP, autoryzowany w danej (starej) domenie, po zmianie nazwy domeny i restarcie kontrolerów oraz serwerów członkowskich, będzie go trzeba ponownie autoryzować w nowej domenie (oczywiście najpierw deautoryzując). W innym przypadku DHCP nie będzie rozdzielał adresów IP. Wtedy będziemy mieć problem z zalogowaniem sie na stacjach roboczych użytkownikami domenowymi, którzy są już przeniesieni do nowej domeny. Otrzymamy komunikat / błąd: Nie ma obecnie serwerów logowania dostępnych do obsługi żądania logowania

  • wykonanie polecenia rendom /clean
  • wykonanie polecenia rendom /end
  • dopisanie do strefy DNS ads.nowadomena.vm wszystkich wpisów wylistowanych na początku procesu zmiany nazwy

4. Zmiana nazw kontrolerów domen

Ostatnim etapem procesu zmiany nazwy domeny jest zmiana sufiksu domeny obu kontrolerów. Niestety musimy to zrobić ręcznie. Zmianę tą wykonujemy w przystawce Właściwości Systemu > Zmiana nazwy komputera/domeny > sufix podstawowej domeny DNS tego komputera gdzie pole edycji wpisujemy asd.nowadomena.vm
Po restarcie wykonujemy sprawdzenie wpisów w serwerach DNS pod względem poprawności zmiany nazwy oraz rozwiązywania nazw domenowych uwzględniających nową nazwę domeny i kontrolerów:

    nslookup ads.nowadomena.vm
    nslookup dc1.ads.nowadomena.vm
    nslookup dc2.ads.nowadomena.vm

O ile jest to możliwe wskazane byłoby wyłączyć wszystkie serwery członkowskie i stacje robocze w czasie procesu. Jeśli pójdzie coś nie tak i będziemy musieli przywrócić środowisko (kontrolery) z backupu będziemy mieć pewność, że żadne zmiany na klientach się nie wykonają.

Dokładniejszy opis http://technet.microsoft.com/en-us/library/cc781575%28v=ws.10%29.aspx
Zmiana domeny a Exchange http://www.msexchange.org/tutorials/Domain-Rename.html

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *