Zmiana nazwy domeny Active Directory to coś, co niewielu administratorów AD kiedykolwiek zrobiło. Sam proces zmiany nazwy domeny jest dość prosty, ale musi być starannie zaplanowany, aby nie zepsuć całej infrastruktury korporacyjnej.
Potrzeba zmiany nazwy domeny AD pojawia się zazwyczaj w kontekście przejęcia korporacyjnego, zmiany marki, konsolidacji wielu jednostek biznesowych.
Przygotowanie do zmiany nazwy domeny AD
Przed przystąpieniem do zmiany nazwy domeny należy sprawdzić kilka rzeczy w konfiguracji domeny:
- Wersja schematu AD co najmniej Windows Server 2003.
- Jeśli urząd certyfikacji domeny (CA) jest wdrożony w domenie, upewnij się, że jest odpowiednio przygotowany (Przygotuj urzędy certyfikacji do zmiany nazwy domeny).
- Domeny z lokalnym serwerem Exchange Server (z wyjątkiem wersji 2003) są niezgodne ze zmianą nazwy domeny. W tym przypadku jedynym rozwiązaniem jest migracja użytkowników, grup i komputerów do nowego lasu AD z Exchange przy użyciu narzędzia ADMT.
- Istnieje kilka innych aplikacji firmy Microsoft i innych firm, które nie obsługują zmiany nazw domen (sprawdź dokumentację aplikacji).
- Musisz utworzyć podstawową strefę DNS dla nowej nazwy domeny w usłudze AD.
- Jeśli w Twojej infrastrukturze zaimplementowano przestrzenie nazw DFS, przekierowane foldery, profile użytkowników mobilnych itp., zbierz wszystkie istotne informacje na ich temat i zaplanuj migrację natychmiast po zmianie nazwy domeny.
Proces zmiany nazwy domeny
Zmienię nazwę domeny: beitadminpl.local na beitadmincom.local. Testową zmianę wykonuję na Windows Server 2019.
WAŻNE
Przed jakąkolwiek zmianą nazwy domeny należy wykonać backup wszelkich ustawień. Polecam wykonanie obrazu systemu DC i ewentualnie zwirtualizowanie DC, aby przetestować zmianę nazwy domeny. Do tego warto dodać testowy komputer, aby sprawdzić czy po zmianie będzie miał dostęp do zasobów domeny.
Dodanie strefy DNS
Uruchom DNS Manager
Kliknij prawym na Forward Lookup Zone i wybierz New Zone.
Kliknij Dalej (Next).
Wybierz Primary Zone oraz Store the zone…, następnie kliknij Dalej (Next).
Replikacje wyślij do wszystkich DNS i kliknij Dalej (Next).
Nadaj nową nazwę dla strefy beitadmincom.local i kliknij Dalej (Next).
Pozostaw poniże ustawienie.
Potwierdź zmianę konfiguracji poprzez Koniec (Finish).
Dodana nowa strefa.
Zmiana nazwy domeny AD za pomocą narzędzia RenDom
Aby zmienić nazwę domeny AD, musisz użyć narzędzia konsoli rendom, które jest dostępne na dowolnym kontrolerze domeny. Zaloguj się jako Administrator na kontroler domeny:
1 |
cd C:\Windows\System32\ |
umożliwia wykonanie wszystkich niezbędnych czynności w celu zmiany nazwy domeny.
Uruchom następujące polecenie, aby wygenerować plik XML zawierający konfigurację Twojej domeny (obecną nazwę oraz dodaną powyżej):
1 |
rendom /list |
Otwórz Domainlist.xml (plik w C:\Windows\System32\) za pomocą Notatnika:
1 |
notepad Domainlist.xml |
Po uruchomieniu pliku należy zmienić wszystkie wystąpienia starej nazwy domeny (beitadminpl.local) na nową (beitadmincom.local), przy pomocy Ctrl+H, następnie wybierz Replace All.
Po zamianie, plik powinien wyglądać jak poniżej. Oczywiście plik należy zapisać (Ctrl+S).
Po zapisaniu pliku, wydaj polecenie
1 |
rendom /showforest |
Prześlij nowy plik konfiguracyjny do kontrolera domeny, w którym działa rola FSMO głównego kontrolera operacji nazw domen (Domain Naming Operations Master):
1 |
rendom /upload |
Poczekaj, aż plik zawierający instrukcje zmiany nazwy domeny zostanie zreplikowany do wszystkich innych kontrolerów domeny w lesie (o ile takie istnieją). Możesz wymusić synchronizację zmian wprowadzonych na Domain Naming Master do wszystkich DC:
1 |
repadmin.exe /syncall /d /e /P /q Other_DC_Name |
Polecenie tworzy plik DCclist.xml, który służy do śledzenia postępu i statusu każdego kontrolera domeny w lesie dla operacji zmiany nazwy domeny. W tym momencie Rendom zamraża las Active Directory, uniemożliwiając wprowadzanie jakichkolwiek zmian w jego konfiguracji (takich jak dodawanie/usuwanie kontrolerów domeny, konfigurowanie zaufania domeny itp.).
Sprawdź, czy domena jest gotowa na zaakceptowanie zmian (sprawdza dostępność wszystkich kontrolerów domeny):
1 |
rendom /prepare |
Jeżeli to polecenie nie zwróci żadnych błędów, możesz uruchomić operację zmiany nazwy:
1 |
rendom /execute |
Po wykonaniu tego polecenia, serwery domeny zostaną uruchomione ponownie w sposób automatyczny.
Wszystkie stacje robocze i serwery członkowskie przyłączone do domeny muszą zostać ponownie uruchomione dwukrotnie, aby zmiany zostały wprowadzone. Pierwsze ponowne uruchomienie pozwala członkowi domeny wykryć zmianę domeny i zmienić pełną nazwę komputera. Drugie służy do zarejestrowania nowej nazwy komputera w nowej strefie DNS.
Teraz użytkownicy mogą logować się do komputerów, używając starych nazw użytkowników i haseł.
Po tym należy ręcznie zmienić nazwy wszystkich kontrolerów domeny (nie zmienią one automatycznie swoich nazw, aby odzwierciedlały nową domenę).
Aby zmienić nazwę każdego kontrolera domeny, użyj następującego polecenia (zmień nazwy DC oraz domeny na własne):
1 |
netdom computername DC2019GPO.beitadminpl.local /add:DC2019GPO.beitadmincom.local<br>netdom computername DC2019GPO.beitadminpl.local /makeprimary:DC2019GPO.beitadmincom.local |
Po wykonaniu powyższych poleceń bez błędów należy uruchomić ponownie DC.
Kolejnym krokiem jest aktualizacja GPO, tak, aby działały z nową nazwą domeny:
1 |
gpfixup /olddns:beitadminpl.local /newdns:beitadmincom.local |
Następnie uruchom polecenie, aby naprawić nazwę NetBIOS domeny w obiektach GPO:
1 |
gpfixup /oldnb:BEITADMINPL.LOCAL /newnb:BEITADMINCOM.LOCAL |
Po takiej zmianie GPO Management przestanie działać (jeżeli był dodany skrót do paska lub pulpitu), trzeba dodać nową przystawkę wskazując jako nazwę nową domenę (beitadmincom.local).
Przedostatnim krokiem będzie usunięcie starej domeny.
W tym celu wykonaj polecenie:
1 |
rendom /clean |
1 |
rendom /end |
Dodanie nowego użytkownika będzie przeprowadzone już w nowej domenie, stare konta mają dostęp tylko z poziomu nowej domeny.
Podsumowanie
Zmiana nazwy domeny nie jest trudna, jednak należy koniecznie przetestować ten proces w środowisku testowym, aby nie uszkodzić działającej domeny w organizacji.
Dziękuję Ci, za poświęcony czas na przeczytanie tego artykułu. Jeśli był on dla Ciebie przydatny, to gorąco zachęcam Cię do zapisania się na mój newsletter, jeżeli jeszcze Cię tam nie ma. Proszę Cię także o “polubienie” mojego bloga na Facebooku oraz kanału na YouTube – pomoże mi to dotrzeć do nowych odbiorców. Raz w tygodniu (niedziela punkt 17.00) otrzymasz powiadomienia o nowych artykułach / projektach zanim staną się publiczne. Możesz również pozostawić całkowicie anonimowy pomysł na wpis/nagranie.
Link do formularza tutaj: https://beitadmin.pl/pomysly
Pozostaw również komentarz lub napisz do mnie wiadomość odpisuję na każdą, jeżeli Masz jakieś pytania:).
Da się w AD ustawić domenę typu beitadmin.pl, tak by wnętrza organizacji był dostęp do strony www (i innych usług np. poczty) hostowanych zewnętrznie?
Rekordy DNS typu A lub MX mogą być pomocne.