En tant qu’administrateur système, il y a des moments où vous avez besoin de changer, de fusionner ou de renommer votre domaine. Différentes raisons peuvent motiver une telle nécessité : une restructuration de l’entreprise, une fusion, un rachat ou une expansion. Gardez en tête qu’un renommage n’est pas conçu pour concrétiser une fusion de forêts ou le déplacement d’un domaine entre deux forêts.
Assorti de longues check-lists, de contraintes et de précautions, le renommage d’un domaine n’est pas une affaire simple, et le temps que cela exige est proportionnel à la forêt de domaines AD déployée, en fonction du nombre de domaines, de contrôleurs et de machines. Il n’existe pas de procédure standard à suivre (je n’en ai en tout cas pas trouvé), et le secret d’un renommage réussi est de se consacrer sérieusement à toute la préparation utile et de bien comprendre tous les aspects qui seront impactés par le changement de nom.
Lorsqu’il s’agit de renommer un domaine, les deux points les plus importants, à mes yeux, sont les suivants :
- Le risque d’empêcher toute connexion des utilisateurs si des étapes du processus n’ont pas été effectuées
- Les applications incompatibles avec un renommage de domaine
Des utilisateurs incapables de se connecter
Il y a deux ou trois étapes, vers la fin du processus de renommage du domaine qui, si elles ne sont pas planifiées et effectuées correctement, seront potentiellement néfastes pour vos utilisateurs, c’est-à-dire les empêcheront de se reconnecter. Voici les points à vérifier (et à revérifier plusieurs fois) :
Pendant le renommage de domaine : Local vs Distant
Pendant l’opération de renommage du domaine, connectez autant de postes de travail que possible par liaison locale câblée. Toute machine non raccordée directement et se connectant au nouveau domaine par une liaison à distance, par exemple de type RPV, aura besoin de quitter l’ancien domaine et de se lier au nouveau.
Redémarrez deux fois les postes de travail
Une fois le renommage du domaine terminé, chaque ordinateur client lié au domaine renommé doit être redémarré deux fois APRÈS que tous les contrôleurs du domaine soient de nouveau en service. Ce double redémarrage garantit que la machine de chaque utilisateur non seulement « apprend » le nouveau nom du domaine mais aussi le propage vis-à-vis de toutes les applications qui tournent sur la machine. Le redémarrage s’effectue en ouvrant une session sur l’ordinateur et en sélectionnant l’option Arrêter/Redémarrer. Ne redémarrez pas une machine en coupant l’alimentation et en la rétablissant.
Suppression de l’ancien domaine
Une fois tous les membres du domaine mis à jour, exécutez la commande rendom /clean pour supprimer toutes les occurrences de l’ancien nom du domaine dans Active Directory. Notez que si vous exécutez cette commande alors que certains des membres du domaine n’ont pas encore été redémarrés deux fois, vous devrez les réinscrire dans le domaine.
Notez aussi que si vous exécutez rendom /clean avant ce double redémarrage de toutes les machines, ces dernières n’auront pas accès au domaine, car random / clean efface l’ancien nom du domaine d’Active Directory, y compris « la suppression de toutes les valeurs de ms-DS-DnsRootAlias du bloc-maître opérationnel du nom de domaine ».1
Applications incompatibles avec un renommage de domaine
Avec Exchange 2003 et 2008, le nom du DNS d’Active Directory peut être modifié, mais un certain nombre d’applications Exchange sont incompatibles avec un renommage de domaine, notamment :
- Microsoft Exchange 2000 Server
- Microsoft Exchange Server 2007
- Microsoft Exchange Server 2010
- Microsoft Exchange Server 2013
Il y a également des applications autres qu’Exchange qui peuvent être affectées, mais si l’accent est particulièrement mis sur Exchange, c’est que le courrier électronique est le mode de communication le plus utilisé et que le renommage peut donc avoir les conséquences les plus gênantes sur cette application. Notez par ailleurs que le changement du nom NetBIOS du domaine n’est reconnu par aucune version d’Exchange Server. Enfin, gardez à l’esprit que les applications autres que celles de Microsoft peuvent également être incompatibles avec un changement de nom de domaine.
Si vous effectuez un renommage de domaine AD avec une version non compatible d’Exchange, vous devrez recréer une forêt AD, installer Exchange dans cette nouvelle forêt, et y faire migrer tous les objets. Comme vous l’imaginez, un tel processus est très coûteux en temps et assez irréaliste à envisager.
Palliatif en cas d’Exchange incompatible avec le renommage de domaine
Vous pouvez vous retrouver dans une situation où votre version d’Exchange est incompatible avec un renommage de domaine, mais où il vous est demandé de créer un nouveau nom de domaine externe pour des raisons ayant à voir avec l’application e-mail. Voici comment procéder :
- Enregistrez le nouveau nom de domaine.
- Créez uneredirection de sorte que tous les messages envoyés aux adresses de l’ancien domaine soient automatiquement retransmis à celles correspondantes du nouveau.
Si vous procédez ainsi, tous les correspondants de vos utilisateurs connaîtront le nouveau nom de domaine « bien-mieux » figurant dans les nouvelles adresses, votre domaine AD n’aura pas besoin d’être renommé et les utilisateurs ne risqueront aucune conséquence fâcheuse.
Autre lecture recommandée
Le renommage d’un domaine est une opération considérable, et si jamais vous en êtes chargé, la première chose à faire est de lire le guide de Microsoft intitulé “Understanding How Domain Rename Works”.
What you should do now
Below are three ways we can help you begin your journey to reducing data risk at your company:
- Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
- Download our free report and learn the risks associated with SaaS data exposure.
- Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
-1.png)