Als Systemadministrator wird man unter Umständen dazu gezwungen, Domains zu wechseln, zusammenzuführen oder umzubenennen. Gründe können in organisatorischen Umstrukturierungen, Fusionen, Übernahmen oder der Expansion eines Unternehmens liegen. Mit langen Checklisten, diversen Einschränkungen und Vorsichtsmaßnahmen ist das Umbenennen einer Domain keinesfalls ein leichtes Unterfangen.
Der benötigte Zeitaufwand für das Umbenennen wächst proportional zur vorhandenen AD-Infrastruktur. Also in direktem Bezug zur Anzahl der Domains, der Anzahl der Domain-Controller und der vorhandenen Computer. Ein weiteres Problem: Es gibt keine Schritt-für-Schritt-Anleitung, um Domains umzubenennen (jedenfalls konnte ich keine finden). Daher ist es besonders wichtig zu verstehen, welche Bereiche von der Änderung im Wesentlichen betroffen sein können. Eine umfassende Vorbereitung ist auch hier der Schlüssel zum Erfolg.
Beim Umbenennen der Domain sollten Sie meines Erachtens nach vor allem zwei wichtige Dinge berücksichtigen:
Nutzer können sich nicht einloggen
Es gibt einige Schritte im Prozess des Umbenennens, die die User Experience gravierend beeinträchtigen, wenn sie nicht richtig geplant oder ausgeführt werden. Die Benutzer können sich dann oftmals nicht mehr im System einloggen. Daher sollten Sie besonderes Augenmerk auf folgende Punkte legen:
Während des Prozesses: Local vs. Remote
Während der Domain-Umbenennung verwenden Sie so viele Kabel-LAN Verbindungen wie möglich. Alle Computer die sich in die neue Domain mittels einer Remote-Verbindung (VPN) einwählen, müssen die alte Domainverknüpfung aufheben, um sich mit der neuen Domain einwählen zu können.
Zweimaliges Starten der Workstations
Sobald die Umbenennung abgeschlossen ist, muss jeder mit der neuen Domain verknüpfte Computer zweimal neu gestartet werden. Die Domain Controller müssen zu diesem Zeitpunkt wieder funktionieren. Der zweimalige Neustart gewährleistet, dass jeder Computer den neuen Domain-Namen speichert und auf alle Anwendungen des Benutzers anwendet. Dabei muss jeder Computer nach dem Einloggen mittels der Option „Herunterfahren“, beziehungsweise „Neu starten“ beendet und neu gestartet werden.
Entfernen Sie die alte Domain
Wenn die Domain Member aktualisiert worden sind, führen Sie den rendom/clean-Befehl aus. Dieser entfernt die alten Domain-Namen aus dem Active Directory. Nutzer, die ihr System nicht zweifach neu gestartet haben, werden Sie nach der Betätigung des rendom/clean-Befehls erneut der Domain hinzufügen müssen. Insofern der rendom/clean-Befehl vor dem zweimaligen Starten der zugehörigen Systeme ausgeführt wurde, können diese nicht auf die neue Domain zugreifen. Denn rendom/clean entfernt die alten Domain-Namen aus dem Active Directory, einschließlich „aller Werte vom ms-DS-DnsRootAlias aus dem Domain Name Operations Master[1]“.
Inkompatible Anwendungen bei der Domain-Umbenennung
Mit Exchange 2003 und 2008 kann das Active Directory DNS-Namen ändern. Allerdings gibt es eine Reihe von Exchange-Anwendungen, die nicht mit der Domain-Umbenennung kompatibel sind, einschließlich:
Auch abseits von Exchange-Anwendungen existieren durchaus Inkompatibilitäten. Der E-Mail-Verkehr ist die noch immer am intensivsten genutzte Kommunikationsform und gleichzeitig am meisten von der Domain-Umbenennung betroffen. Hier sollte man also besonders behutsam vorgehen. Auch ein Umbenennen des NetBIOS-Domänennamens wird in keiner Version vom Exchange Server unterstützt. Anwendungen von anderen Herstellern unterstützen ebenfalls nicht immer Domain-Umbenennungen.
Wenn Sie also ein AD mit einer dazu inkompatiblen Version von Exchange umbenennen, müssen Sie zunächst eine neue AD-Gesamtstruktur erstellen. Wenn Sie Exchange in die neue Umgebung installieren, migrieren Sie alle notwendigen Objekte. Diese Arbeitsweise hat allerdings den Nachteil, dass sie sehr zeitintensiv und wenig effizient ist.
Ad-hoc-Lösung: Wenn Exchange nicht kompatibel zur Domain-Umbenennung ist
Sollten Sie doch ein Mal in Verlegenheit kommen mit einer für Domain-Umbenennungen inkompatiblen Exchange Anwendung arbeiten zu müssen, sollten Sie für den E-Mail-Verkehr folgende Schritte berücksichtigen:
Weiterführende Literatur:
Die Umbenennung einer Domain ist keineswegs ein leichtes Unterfangen. Sind Sie mit einer solchen Aufgabe betraut worden, sollten Sie sich auf jeden Fall zunächst Microsofts “Understanding How Domain Rename Works” downloaden.
The post Risiken beim Umbenennen von Active Directory Domains appeared first on Varonis Deutsch.