Varonis debuts trailblazing features for securing Salesforce. Learn More

Wir stellen vor: Die Least Privilege Automation für Microsoft 365, Google Drive und Box

Mehr erfahren
Blog Datensicherheit

Risiken beim Umbenennen von Active Directory Domains

Als Systemadministrator wird man unter Umständen dazu gezwungen, Domains zu wechseln, zusammenzuführen oder umzubenennen. Gründe können in organisatorischen Umstrukturierungen, Fusionen, Übernahmen oder der Expansion eines Unternehmens liegen. Mit langen Checklisten,...
Michael Buckbee
2 minute gelesen
Letzte aktualisierung 21. April 2023

Inhalt

    Als Systemadministrator wird man unter Umständen dazu gezwungen, Domains zu wechseln, zusammenzuführen oder umzubenennen. Gründe können in organisatorischen Umstrukturierungen, Fusionen, Übernahmen oder der Expansion eines Unternehmens liegen. Mit langen Checklisten, diversen Einschränkungen und Vorsichtsmaßnahmen ist das Umbenennen einer Domain keinesfalls ein leichtes Unterfangen.

    Der benötigte Zeitaufwand für das Umbenennen wächst proportional zur vorhandenen AD-Infrastruktur. Also in direktem Bezug zur Anzahl der Domains, der Anzahl der Domain-Controller und der vorhandenen Computer. Ein weiteres Problem: Es gibt keine Schritt-für-Schritt-Anleitung, um Domains umzubenennen (jedenfalls konnte ich keine finden). Daher ist es besonders wichtig zu verstehen, welche Bereiche von der Änderung im Wesentlichen betroffen sein können. Eine umfassende Vorbereitung ist auch hier der Schlüssel zum Erfolg.

    Beim Umbenennen der Domain sollten Sie meines Erachtens nach vor allem zwei wichtige Dinge berücksichtigen:

    1. Das Risiko, Anwender aus dem System auszuschließen, falls einzelne Schritte im Prozess vergessen worden sind
    2. Anwendungen, die Domain-Umbenennungen nicht unterstützen

    Nutzer können sich nicht einloggen

    Es gibt einige Schritte im Prozess des Umbenennens, die die User Experience gravierend beeinträchtigen, wenn sie nicht richtig geplant oder ausgeführt werden. Die Benutzer können sich dann oftmals nicht mehr im System einloggen. Daher sollten Sie besonderes Augenmerk auf folgende Punkte legen:

    Während des Prozesses: Local vs. Remote

    Während der Domain-Umbenennung verwenden Sie so viele Kabel-LAN Verbindungen wie möglich. Alle Computer die sich in die neue Domain mittels einer Remote-Verbindung (VPN) einwählen, müssen die alte Domainverknüpfung aufheben, um sich mit der neuen Domain einwählen zu können.

    Zweimaliges Starten der Workstations

    Sobald die Umbenennung abgeschlossen ist, muss jeder mit der neuen Domain verknüpfte Computer zweimal neu gestartet werden. Die Domain Controller müssen zu diesem Zeitpunkt wieder funktionieren. Der zweimalige Neustart gewährleistet, dass jeder Computer den neuen Domain-Namen speichert und auf alle Anwendungen des Benutzers anwendet. Dabei muss jeder Computer nach dem Einloggen mittels der Option „Herunterfahren“, beziehungsweise „Neu starten“ beendet und neu gestartet werden.

    Entfernen Sie die alte Domain

    Wenn die Domain Member aktualisiert worden sind, führen Sie den rendom/clean-Befehl aus. Dieser entfernt die alten Domain-Namen aus dem Active Directory. Nutzer, die ihr System nicht zweifach neu gestartet haben, werden Sie nach der Betätigung des rendom/clean-Befehls erneut der Domain hinzufügen müssen. Insofern der rendom/clean-Befehl vor dem zweimaligen Starten der zugehörigen Systeme ausgeführt wurde, können diese nicht auf die neue Domain zugreifen. Denn rendom/clean entfernt die alten Domain-Namen aus dem Active Directory, einschließlich „aller Werte vom ms-DS-DnsRootAlias aus dem Domain Name Operations Master[1]“.

    Inkompatible Anwendungen bei der Domain-Umbenennung

    Mit Exchange 2003 und 2008 kann das Active Directory DNS-Namen ändern. Allerdings gibt es eine Reihe von Exchange-Anwendungen, die nicht mit der Domain-Umbenennung kompatibel sind, einschließlich:

    • Microsoft Exchange 2000 Server
    • Microsoft Exchange Server 2007
    • Microsoft Exchange Server 2010
    • Microsoft Exchange Server 2013

    Auch abseits von Exchange-Anwendungen existieren durchaus Inkompatibilitäten. Der E-Mail-Verkehr ist die noch immer am intensivsten genutzte Kommunikationsform und gleichzeitig am meisten von der Domain-Umbenennung betroffen. Hier sollte man also besonders behutsam vorgehen. Auch ein Umbenennen des NetBIOS-Domänennamens wird in keiner Version vom Exchange Server unterstützt. Anwendungen von anderen Herstellern unterstützen ebenfalls nicht immer Domain-Umbenennungen.

    Wenn Sie also ein AD mit einer dazu inkompatiblen Version von Exchange umbenennen, müssen Sie zunächst eine neue AD-Gesamtstruktur erstellen. Wenn Sie Exchange in die neue Umgebung installieren, migrieren Sie alle notwendigen Objekte. Diese Arbeitsweise hat allerdings den Nachteil, dass sie sehr zeitintensiv und wenig effizient ist.

    Ad-hoc-Lösung: Wenn Exchange nicht kompatibel zur Domain-Umbenennung ist

    Sollten Sie doch ein Mal in Verlegenheit kommen mit einer für Domain-Umbenennungen inkompatiblen Exchange Anwendung arbeiten zu müssen, sollten Sie für den E-Mail-Verkehr folgende Schritte berücksichtigen:

    1. Registrieren Sie Ihre neue Domain
    2. Erstellen Sie eine Weiterleitung. So werden die E-Mails von Ihrer alten E-Mail- Adresse automatisch an die neue E-Mail-Adresse weitergeleitet

    Weiterführende Literatur:

    Die Umbenennung einer Domain ist keineswegs ein leichtes Unterfangen. Sind Sie mit einer solchen Aufgabe betraut worden, sollten Sie sich auf jeden Fall zunächst Microsofts “Understanding How Domain Rename Works” downloaden.

    The post Risiken beim Umbenennen von Active Directory Domains appeared first on Varonis Deutsch.

    What you should do now

    Below are three ways we can help you begin your journey to reducing data risk at your company:

    1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
    2. Download our free report and learn the risks associated with SaaS data exposure.
    3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
    Michael Buckbee
    Michael Buckbee

    Michael hat als Systemadministrator und Softwareentwickler für Startups im Silicon Valley, die US Navy und alles dazwischen gearbeitet.

    Testen Sie Varonis gratis.
    Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
    Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
    Ohne Bedingungen und Auflagen
    Erste Schritte Vorschau des Beispielreports
    Keep reading
    hinter-dem-varonis-rebranding
    Hinter dem Varonis-Rebranding
    hinter-dem-varonis-rebranding
    Courtney Bernard
    20. Februar 2024
    Entdecken Sie die Strategie, die hinter dem Rebranding von Varonis steht – mit einem Übergang zu einem Heldenarchetyp und der Einführung von Protector 22814.
    cybersecurity-trends-2024:-was-sie-wissen-müssen
    Cybersecurity-Trends 2024: Was Sie wissen müssen
    cybersecurity-trends-2024:-was-sie-wissen-müssen
    Lexi Croisdale
    16. Januar 2024
    Erfahren Sie mehr über Datensicherheitsmanagement, KI-Sicherheitsrisiken, Änderungen bei der Compliance und mehr, um Ihre Cybersecurity-Strategie für 2024 vorzubereiten.
    das-war-2023 – so-wird-2024
    Das war 2023 – so wird 2024
    das-war-2023 – so-wird-2024
    Sebastian Mehle
    13. Dezember 2023
    Im Kielwasser der massiven Verbreitung von WannaCry im letzten Monat sorgt gerade eine neue Variante von Ransomware für massive Störungen, dieses Mal unter der Bezeichnung „NotPetya“. Fast den gesamten Morgen...
    podcast-empfehlung:-alles,-was-sie-zu-data-security-posture-management
    Podcast-Empfehlung: Alles, was Sie zu Data Security Posture Management
    podcast-empfehlung:-alles,-was-sie-zu-data-security-posture-management
    Sebastian Mehle
    8. Dezember 2023
    Im Gespräch mit Oliver Schonschek, News-Analyst bei Insider Research, hatte ich die Möglichkeit, das Konzept Data Security Posture Management zu erklären und zu zeigen, wie es sich in der Praxis umsetzen lässt. Dabei stand zunächst die Frage im Raum, ob und inwieweit wir unsere bisherigen Security-Konzepte neu denken müssen. Werden durch DSPM bewährte Praktiken wie Endpoint-Sicherheit, Firewalls und ähnliches gar obsolet?