Active Directory – zmiana nazwy domeny

Zmiana nazwy domeny Active Directory to coś, co niewielu administratorów AD kiedykolwiek zrobiło. Sam proces zmiany nazwy domeny jest dość prosty, ale musi być starannie zaplanowany, aby nie zepsuć całej infrastruktury korporacyjnej.

Potrzeba zmiany nazwy domeny AD pojawia się zazwyczaj w kontekście przejęcia korporacyjnego, zmiany marki, konsolidacji wielu jednostek biznesowych.

Przygotowanie do zmiany nazwy domeny AD

Przed przystąpieniem do zmiany nazwy domeny należy sprawdzić kilka rzeczy w konfiguracji domeny:

  • Wersja schematu AD co najmniej Windows Server 2003.
  • Jeśli urząd certyfikacji domeny (CA) jest wdrożony w domenie, upewnij się, że jest odpowiednio przygotowany (Przygotuj urzędy certyfikacji do zmiany nazwy domeny).
  • Domeny z lokalnym serwerem Exchange Server (z wyjątkiem wersji 2003) są niezgodne ze zmianą nazwy domeny. W tym przypadku jedynym rozwiązaniem jest migracja użytkowników, grup i komputerów do nowego lasu AD z Exchange przy użyciu narzędzia ADMT.
  • Istnieje kilka innych aplikacji firmy Microsoft i innych firm, które nie obsługują zmiany nazw domen (sprawdź dokumentację aplikacji).
  • Musisz utworzyć podstawową strefę DNS dla nowej nazwy domeny w usłudze AD.
  • Jeśli w Twojej infrastrukturze zaimplementowano przestrzenie nazw DFS, przekierowane foldery, profile użytkowników mobilnych itp., zbierz wszystkie istotne informacje na ich temat i zaplanuj migrację natychmiast po zmianie nazwy domeny.

Proces zmiany nazwy domeny

Zmienię nazwę domeny: beitadminpl.local na beitadmincom.local. Testową zmianę wykonuję na Windows Server 2019.

WAŻNE

Przed jakąkolwiek zmianą nazwy domeny należy wykonać backup wszelkich ustawień. Polecam wykonanie obrazu systemu DC i ewentualnie zwirtualizowanie DC, aby przetestować zmianę nazwy domeny. Do tego warto dodać testowy komputer, aby sprawdzić czy po zmianie będzie miał dostęp do zasobów domeny.

Dodanie strefy DNS

Uruchom DNS Manager
Kliknij prawym na Forward Lookup Zone i wybierz New Zone.

Utworzenie nowej strefy DNS

Kliknij Dalej (Next).

Kliknij Dalej

Wybierz Primary Zone oraz Store the zone…, następnie kliknij Dalej (Next).

Ustawienie Primary Zone

Replikacje wyślij do wszystkich DNS i kliknij Dalej (Next).

Replikacja do wszystkich kontrolerów domeny

Nadaj nową nazwę dla strefy beitadmincom.local i kliknij Dalej (Next).

Nowa nazwa strefy w DNS

Pozostaw poniże ustawienie.

Zezwolenie na dynamiczne aktualizacje w AD.

Potwierdź zmianę konfiguracji poprzez Koniec (Finish).

Potwierdzenie dodania nowej strefy

Dodana nowa strefa.

Dodana nowa strefa

Zmiana nazwy domeny AD za pomocą narzędzia RenDom

Aby zmienić nazwę domeny AD, musisz użyć narzędzia konsoli rendom, które jest dostępne na dowolnym kontrolerze domeny. Zaloguj się jako Administrator na kontroler domeny:

umożliwia wykonanie wszystkich niezbędnych czynności w celu zmiany nazwy domeny.

Uruchom następujące polecenie, aby wygenerować plik XML zawierający konfigurację Twojej domeny (obecną nazwę oraz dodaną powyżej):

Otwórz Domainlist.xml (plik w C:\Windows\System32\) za pomocą Notatnika:

Po uruchomieniu pliku należy zmienić wszystkie wystąpienia starej nazwy domeny (beitadminpl.local) na nową (beitadmincom.local), przy pomocy Ctrl+H, następnie wybierz Replace All.

Przygotowanie do zmiany nazwy domeny

Po zamianie, plik powinien wyglądać jak poniżej. Oczywiście plik należy zapisać (Ctrl+S).

Plik po zmianie nazwy domeny na nową

Po zapisaniu pliku, wydaj polecenie

Potwierdzenie zmiany nazwy domeny

Prześlij nowy plik konfiguracyjny do kontrolera domeny, w którym działa rola FSMO głównego kontrolera operacji nazw domen (Domain Naming Operations Master):

Upload zmian

Poczekaj, aż plik zawierający instrukcje zmiany nazwy domeny zostanie zreplikowany do wszystkich innych kontrolerów domeny w lesie (o ile takie istnieją). Możesz wymusić synchronizację zmian wprowadzonych na Domain Naming Master do wszystkich DC:

Polecenie tworzy plik DCclist.xml, który służy do śledzenia postępu i statusu każdego kontrolera domeny w lesie dla operacji zmiany nazwy domeny. W tym momencie Rendom zamraża las Active Directory, uniemożliwiając wprowadzanie jakichkolwiek zmian w jego konfiguracji (takich jak dodawanie/usuwanie kontrolerów domeny, konfigurowanie zaufania domeny itp.).

Sprawdź, czy domena jest gotowa na zaakceptowanie zmian (sprawdza dostępność wszystkich kontrolerów domeny):

Potwierdzenie, że zmiany zostaną wprowadzone

Jeżeli to polecenie nie zwróci żadnych błędów, możesz uruchomić operację zmiany nazwy:

Potwierdzenie zmiany nazwy domeny

Po wykonaniu tego polecenia, serwery domeny zostaną uruchomione ponownie w sposób automatyczny.

Wszystkie stacje robocze i serwery członkowskie przyłączone do domeny muszą zostać ponownie uruchomione dwukrotnie, aby zmiany zostały wprowadzone. Pierwsze ponowne uruchomienie pozwala członkowi domeny wykryć zmianę domeny i zmienić pełną nazwę komputera. Drugie służy do zarejestrowania nowej nazwy komputera w nowej strefie DNS.

Po drugim uruchomieniu stacja robocza zaktualizowała nazwę domeny

Teraz użytkownicy mogą logować się do komputerów, używając starych nazw użytkowników i haseł.

Po tym należy ręcznie zmienić nazwy wszystkich kontrolerów domeny (nie zmienią one automatycznie swoich nazw, aby odzwierciedlały nową domenę).

Aby zmienić nazwę każdego kontrolera domeny, użyj następującego polecenia (zmień nazwy DC oraz domeny na własne):

Zmiana nazwy DC

Po wykonaniu powyższych poleceń bez błędów należy uruchomić ponownie DC.

Kolejnym krokiem jest aktualizacja GPO, tak, aby działały z nową nazwą domeny:

Potwierdzenie zmiany domeny dla GPO

Następnie uruchom polecenie, aby naprawić nazwę NetBIOS domeny w obiektach GPO:

Zmiana NetBIOS dla GPO

Po takiej zmianie GPO Management przestanie działać (jeżeli był dodany skrót do paska lub pulpitu), trzeba dodać nową przystawkę wskazując jako nazwę nową domenę (beitadmincom.local).

Dodanie nowej domenie do przystawki GPO
Nowa domena dla GPO
Potwierdzenie dodania nowej domeny w GPO

Przedostatnim krokiem będzie usunięcie starej domeny.

Przed zmianą dostępne obydwie domeny

W tym celu wykonaj polecenie:

Usunięcie starej domeny
Zakończenie migracji domeny do nowej nazwy

Dodanie nowego użytkownika będzie przeprowadzone już w nowej domenie, stare konta mają dostęp tylko z poziomu nowej domeny.

Podsumowanie

Zmiana nazwy domeny nie jest trudna, jednak należy koniecznie przetestować ten proces w środowisku testowym, aby nie uszkodzić działającej domeny w organizacji.


Dziękuję Ci, za poświęcony czas na przeczytanie tego artykułu. Jeśli był on dla Ciebie przydatny, to gorąco zachęcam Cię do zapisania się na mój newsletter, jeżeli jeszcze Cię tam nie ma. Proszę Cię także o “polubienie” mojego bloga na Facebooku oraz kanału na YouTube – pomoże mi to dotrzeć do nowych odbiorców. Raz w tygodniu (niedziela punkt 17.00) otrzymasz powiadomienia o nowych artykułach / projektach zanim staną się publiczne. Możesz również pozostawić całkowicie anonimowy pomysł na wpis/nagranie.

Link do formularza tutaj: https://beitadmin.pl/pomysly

Pozostaw również komentarz lub napisz do mnie wiadomość odpisuję na każdą, jeżeli Masz jakieś pytania:).

2 komentarze do “Active Directory – zmiana nazwy domeny”

  1. Da się w AD ustawić domenę typu beitadmin.pl, tak by wnętrza organizacji był dostęp do strony www (i innych usług np. poczty) hostowanych zewnętrznie?

    Odpowiedz

Dodaj komentarz

beitadmin.pl - Droga Administratora IT