Risiken beim Umbenennen von Active Directory Domains

Als Systemadministrator wird man unter Umständen dazu gezwungen, Domains zu wechseln, zusammenzuführen oder umzubenennen. Gründe können in organisatorischen Umstrukturierungen, Fusionen, Übernahmen oder der Expansion eines Unternehmens liegen. Mit langen Checklisten,...
Michael Buckbee
2 minute gelesen
Letzte aktualisierung 21. April 2023

Als Systemadministrator wird man unter Umständen dazu gezwungen, Domains zu wechseln, zusammenzuführen oder umzubenennen. Gründe können in organisatorischen Umstrukturierungen, Fusionen, Übernahmen oder der Expansion eines Unternehmens liegen. Mit langen Checklisten, diversen Einschränkungen und Vorsichtsmaßnahmen ist das Umbenennen einer Domain keinesfalls ein leichtes Unterfangen.

Der benötigte Zeitaufwand für das Umbenennen wächst proportional zur vorhandenen AD-Infrastruktur. Also in direktem Bezug zur Anzahl der Domains, der Anzahl der Domain-Controller und der vorhandenen Computer. Ein weiteres Problem: Es gibt keine Schritt-für-Schritt-Anleitung, um Domains umzubenennen (jedenfalls konnte ich keine finden). Daher ist es besonders wichtig zu verstehen, welche Bereiche von der Änderung im Wesentlichen betroffen sein können. Eine umfassende Vorbereitung ist auch hier der Schlüssel zum Erfolg.

Beim Umbenennen der Domain sollten Sie meines Erachtens nach vor allem zwei wichtige Dinge berücksichtigen:

  1. Das Risiko, Anwender aus dem System auszuschließen, falls einzelne Schritte im Prozess vergessen worden sind
  2. Anwendungen, die Domain-Umbenennungen nicht unterstützen

Nutzer können sich nicht einloggen

Es gibt einige Schritte im Prozess des Umbenennens, die die User Experience gravierend beeinträchtigen, wenn sie nicht richtig geplant oder ausgeführt werden. Die Benutzer können sich dann oftmals nicht mehr im System einloggen. Daher sollten Sie besonderes Augenmerk auf folgende Punkte legen:

Während des Prozesses: Local vs. Remote

Während der Domain-Umbenennung verwenden Sie so viele Kabel-LAN Verbindungen wie möglich. Alle Computer die sich in die neue Domain mittels einer Remote-Verbindung (VPN) einwählen, müssen die alte Domainverknüpfung aufheben, um sich mit der neuen Domain einwählen zu können.

Zweimaliges Starten der Workstations

Sobald die Umbenennung abgeschlossen ist, muss jeder mit der neuen Domain verknüpfte Computer zweimal neu gestartet werden. Die Domain Controller müssen zu diesem Zeitpunkt wieder funktionieren. Der zweimalige Neustart gewährleistet, dass jeder Computer den neuen Domain-Namen speichert und auf alle Anwendungen des Benutzers anwendet. Dabei muss jeder Computer nach dem Einloggen mittels der Option „Herunterfahren“, beziehungsweise „Neu starten“ beendet und neu gestartet werden.

Entfernen Sie die alte Domain

Wenn die Domain Member aktualisiert worden sind, führen Sie den rendom/clean-Befehl aus. Dieser entfernt die alten Domain-Namen aus dem Active Directory. Nutzer, die ihr System nicht zweifach neu gestartet haben, werden Sie nach der Betätigung des rendom/clean-Befehls erneut der Domain hinzufügen müssen. Insofern der rendom/clean-Befehl vor dem zweimaligen Starten der zugehörigen Systeme ausgeführt wurde, können diese nicht auf die neue Domain zugreifen. Denn rendom/clean entfernt die alten Domain-Namen aus dem Active Directory, einschließlich „aller Werte vom ms-DS-DnsRootAlias aus dem Domain Name Operations Master[1]“.

Inkompatible Anwendungen bei der Domain-Umbenennung

Mit Exchange 2003 und 2008 kann das Active Directory DNS-Namen ändern. Allerdings gibt es eine Reihe von Exchange-Anwendungen, die nicht mit der Domain-Umbenennung kompatibel sind, einschließlich:

  • Microsoft Exchange 2000 Server
  • Microsoft Exchange Server 2007
  • Microsoft Exchange Server 2010
  • Microsoft Exchange Server 2013

Auch abseits von Exchange-Anwendungen existieren durchaus Inkompatibilitäten. Der E-Mail-Verkehr ist die noch immer am intensivsten genutzte Kommunikationsform und gleichzeitig am meisten von der Domain-Umbenennung betroffen. Hier sollte man also besonders behutsam vorgehen. Auch ein Umbenennen des NetBIOS-Domänennamens wird in keiner Version vom Exchange Server unterstützt. Anwendungen von anderen Herstellern unterstützen ebenfalls nicht immer Domain-Umbenennungen.

Wenn Sie also ein AD mit einer dazu inkompatiblen Version von Exchange umbenennen, müssen Sie zunächst eine neue AD-Gesamtstruktur erstellen. Wenn Sie Exchange in die neue Umgebung installieren, migrieren Sie alle notwendigen Objekte. Diese Arbeitsweise hat allerdings den Nachteil, dass sie sehr zeitintensiv und wenig effizient ist.

Ad-hoc-Lösung: Wenn Exchange nicht kompatibel zur Domain-Umbenennung ist

Sollten Sie doch ein Mal in Verlegenheit kommen mit einer für Domain-Umbenennungen inkompatiblen Exchange Anwendung arbeiten zu müssen, sollten Sie für den E-Mail-Verkehr folgende Schritte berücksichtigen:

  1. Registrieren Sie Ihre neue Domain
  2. Erstellen Sie eine Weiterleitung. So werden die E-Mails von Ihrer alten E-Mail- Adresse automatisch an die neue E-Mail-Adresse weitergeleitet

Weiterführende Literatur:

Die Umbenennung einer Domain ist keineswegs ein leichtes Unterfangen. Sind Sie mit einer solchen Aufgabe betraut worden, sollten Sie sich auf jeden Fall zunächst Microsofts “Understanding How Domain Rename Works” downloaden.


The post Risiken beim Umbenennen von Active Directory Domains appeared first on Varonis Deutsch.

Wie soll ich vorgehen?

Im Folgenden finden Sie drei Möglichkeiten, wie Sie das Datenrisiko in Ihrem Unternehmen verringern können:

1

Vereinbaren Sie eine Demo mit uns, um Varonis in Aktion zu erleben. Wir passen die Session an die Datensicherheitsanforderungen Ihres Unternehmens an und beantworten alle Fragen.

2

Sehen Sie sich ein Beispiel unserer Datenrisikobewertung an und erfahren Sie, welche Risiken in Ihrer Umgebung lauern könnten. Varonis DRA ist völlig kostenlos und bietet einen klaren Weg zur automatischen Sanierung.

3

Folgen Sie uns auf LinkedIn, YouTubeund X (Twitter), um kurze Einblicke in alle Themen der Datensicherheit zu erhalten, einschließlich Data Security Posture Management (DSPM), Bedrohungserkennung, KI-Sicherheit und mehr.

Testen Sie Varonis gratis.

Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
Ohne Bedingungen und Auflagen

Weiter lesen

Varonis bewältigt Hunderte von Anwendungsfällen und ist damit die ultimative Plattform, um Datenschutzverletzungen zu stoppen und Compliance sicherzustellen.

12-wege,-wie-varonis-sie-bei-der-steuerung-von-fusionen-und-übernahmen-unterstützt
12 Wege, wie Varonis Sie bei der Steuerung von Fusionen und Übernahmen unterstützt
Ein gut geordneter Plan für Fusionen und Übernahmen (M&A) reduziert den Zeitaufwand, die Kosten und die Risiken einer bevorstehenden Fusion und/oder Übernahme. Gartner rät Unternehmen, die ein Wachstum durch Übernahmen...
was-ist-netzwerksegmentierung?
Was ist Netzwerksegmentierung?
Unter Netzwerksegmentierung versteht man die Aufteilung eines Computernetzwerks in kleinere physische oder logische Komponenten, um die Sicherheit zu erhöhen und Daten zu schützen.
diese-vier-fragen-sollten-ceos-ihren-cios-stellen-(wenn-sie-sich-vor-den-antworten-nicht-fürchten)
Diese vier Fragen sollten CEOs ihren CIOs stellen (wenn sie sich vor den Antworten nicht fürchten)
Als Geschäftsführer oder Vorstand kommt man mittlerweile nicht mehr umhin, sich auch mit dem Thema IT-Sicherheit zu beschäftigen, sei es durch gesetzliche Vorgaben wie der DSGVO oder durch prominente Datenschutzverletzungen...
was-ist-eine-insider-bedrohung?-definition-und-beispiele
Was ist eine Insider-Bedrohung? Definition und Beispiele
Ein Insider-Risiko beschreibt ein Sicherheitsrisiko, das innerhalb des betroffenen Unternehmens verursacht wird. Das bedeutet nicht, dass der Täter ein aktiver Mitarbeiter oder eine Führungskraft im Unternehmen ist. Es könnte sich...