Les risques du renommage de domaine avec Active Directory

En tant qu’administrateur système, il y a des moments où vous avez besoin de changer, de fusionner ou de renommer votre domaine. Différentes raisons peuvent motiver une telle nécessité : une...
Carl Groves
3 minute de lecture
Dernière mise à jour 21 avril 2023

En tant qu’administrateur système, il y a des moments où vous avez besoin de changer, de fusionner ou de renommer votre domaine. Différentes raisons peuvent motiver une telle nécessité : une restructuration de l’entreprise, une fusion, un rachat ou une expansion. Gardez en tête qu’un renommage n’est pas conçu pour concrétiser une fusion de forêts ou le déplacement d’un domaine entre deux forêts.

Assorti de longues check-lists, de contraintes et de précautions, le renommage d’un domaine n’est pas une affaire simple, et le temps que cela exige est proportionnel à la forêt de domaines AD déployée, en fonction du nombre de domaines, de contrôleurs et de machines. Il n’existe pas de procédure standard à suivre (je n’en ai en tout cas pas trouvé), et le secret d’un renommage réussi est de se consacrer sérieusement à toute la préparation utile et de bien comprendre tous les aspects qui seront impactés par le changement de nom.

Lorsqu’il s’agit de renommer un domaine, les deux points les plus importants, à mes yeux, sont les suivants :

  1. Le risque d’empêcher toute connexion des utilisateurs si des étapes du processus n’ont pas été effectuées
  2. Les applications incompatibles avec un renommage de domaine

Des utilisateurs incapables de se connecter

Il y a deux ou trois étapes, vers la fin du processus de renommage du domaine qui, si elles ne sont pas planifiées et effectuées correctement, seront potentiellement néfastes pour vos utilisateurs, c’est-à-dire les empêcheront de se reconnecter. Voici les points à vérifier (et à revérifier plusieurs fois) :

Pendant le renommage de domaine : Local vs Distant

Pendant l’opération de renommage du domaine, connectez autant de postes de travail que possible par liaison locale câblée. Toute machine non raccordée directement et se connectant au nouveau domaine par une liaison à distance, par exemple de type RPV, aura besoin de quitter l’ancien domaine et de se lier au nouveau.

Redémarrez deux fois les postes de travail

Une fois le renommage du domaine terminé, chaque ordinateur client lié au domaine renommé doit être redémarré deux fois APRÈS que tous les contrôleurs du domaine soient de nouveau en service. Ce double redémarrage garantit que la machine de chaque utilisateur non seulement « apprend » le nouveau nom du domaine mais aussi le propage vis-à-vis de toutes les applications qui tournent sur la machine. Le redémarrage s’effectue en ouvrant une session sur l’ordinateur et en sélectionnant l’option Arrêter/Redémarrer. Ne redémarrez pas une machine en coupant l’alimentation et en la rétablissant.

Suppression de l’ancien domaine

Une fois tous les membres du domaine mis à jour, exécutez la commande rendom /clean pour supprimer toutes les occurrences de l’ancien nom du domaine dans Active Directory. Notez que si vous exécutez cette commande alors que certains des membres du domaine n’ont pas encore été redémarrés deux fois, vous devrez les réinscrire dans le domaine.

Notez aussi que si vous exécutez rendom /clean avant ce double redémarrage de toutes les machines, ces dernières n’auront pas accès au domaine, car random / clean efface l’ancien nom du domaine d’Active Directory, y compris « la suppression de toutes les valeurs de ms-DS-DnsRootAlias du bloc-maître opérationnel du nom de domaine ».1

Applications incompatibles avec un renommage de domaine

Avec Exchange 2003 et 2008, le nom du DNS d’Active Directory peut être modifié, mais un certain nombre d’applications Exchange sont incompatibles avec un renommage de domaine, notamment :

  • Microsoft Exchange 2000 Server
  • Microsoft Exchange Server 2007
  • Microsoft Exchange Server 2010
  • Microsoft Exchange Server 2013

Il y a également des applications autres qu’Exchange qui peuvent être affectées, mais si l’accent est particulièrement mis sur Exchange, c’est que le courrier électronique est le mode de communication le plus utilisé et que le renommage peut donc avoir les conséquences les plus gênantes sur cette application. Notez par ailleurs que le changement du nom NetBIOS du domaine n’est reconnu par aucune version d’Exchange Server. Enfin, gardez à l’esprit que les applications autres que celles de Microsoft peuvent également être incompatibles avec un changement de nom de domaine.

Si vous effectuez un renommage de domaine AD avec une version non compatible d’Exchange, vous devrez recréer une forêt AD, installer Exchange dans cette nouvelle forêt, et y faire migrer tous les objets. Comme vous l’imaginez, un tel processus est très coûteux en temps et assez irréaliste à envisager.

Palliatif en cas d’Exchange incompatible avec le renommage de domaine

Vous pouvez vous retrouver dans une situation où votre version d’Exchange est incompatible avec un renommage de domaine, mais où il vous est demandé de créer un nouveau nom de domaine externe pour des raisons ayant à voir avec l’application e-mail. Voici comment procéder :

  1. Enregistrez le nouveau nom de domaine.
  2. Créez uneredirection de sorte que tous les messages envoyés aux adresses de l’ancien domaine soient automatiquement retransmis à celles correspondantes du nouveau.

Si vous procédez ainsi, tous les correspondants de vos utilisateurs connaîtront le nouveau nom de domaine « bien-mieux » figurant dans les nouvelles adresses, votre domaine AD n’aura pas besoin d’être renommé et les utilisateurs ne risqueront aucune conséquence fâcheuse.

Autre lecture recommandée

Le renommage d’un domaine est une opération considérable, et si jamais vous en êtes chargé, la première chose à faire est de lire le guide de Microsoft intitulé “Understanding How Domain Rename Works”.

Que dois-je faire maintenant ?

Vous trouverez ci-dessous trois solutions pour poursuivre vos efforts visant à réduire les risques liés aux données dans votre entreprise:

1

Planifiez une démonstration avec nous pour voir Varonis en action. Nous personnaliserons la session en fonction des besoins de votre organisation en matière de sécurité des données et répondrons à vos questions.

2

Consultez un exemple de notre évaluation des risques liés aux données et découvrez les risques qui pourraient subsister dans votre environnement. Cette évaluation est gratuite et vous montre clairement comment procéder à une remédiation automatisée.

3

Suivez-nous sur LinkedIn, YouTube et X (Twitter) for pour obtenir des informations sur tous les aspects de la sécurité des données, y compris la DSPM, la détection des menaces, la sécurité de l’IA et plus encore.

Essayez Varonis gratuitement.

Obtenez un rapport détaillé sur les risques liés aux données basé sur les données de votre entreprise.
Se déploie en quelques minutes.

Keep reading

Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

attaque-par-ransomware-inspirée-de-petya-:-ce-que-vous-devez-savoir
Attaque par ransomware inspirée de Petya : ce que vous devez savoir
Dans la foulée de l’attaque massive de WannaCry le mois dernier, des entreprises du monde entier sont de nouveau victimes d’un piratage majeur par ransomware qui utilise une nouvelle variante...
qu’est-ce-que-le-dns,-comment-fonctionne-t-il-et-quelles-sont-ses-vulnérabilités-?
Qu’est-ce que le DNS, comment fonctionne-t-il et quelles sont ses vulnérabilités ?
Le Domain Name System (Système de noms de domaine – DNS) est la version Internet des Pages jaunes. Dans le bon vieux temps, lorsque vous aviez besoin de trouver l’adresse d’une...
vos-données-sont-elles-protégées-contre-les-menaces-internes ?-protégez-vos-secrets-en-cinq-étapes
Vos données sont-elles protégées contre les menaces internes ? Protégez vos secrets en cinq étapes
Cet article décrit cinq mesures que vous pouvez prendre pour évaluer votre degré de préparation face à un initié malveillant ou à un hacker externe qui voudrait compromettre le compte ou l’ordinateur d’une personne interne.
pourquoi-les-responsables-de-la-cybersécurité-devraient-partir-du-principe-qu’une-intrusion-a-eu-lieu ?
Pourquoi les responsables de la cybersécurité devraient partir du principe qu’une intrusion a eu lieu ?
Tout système, compte ou personne peut à tout moment constituer un vecteur d’attaque potentiel. Avec une surface d’attaque aussi vaste, vous devez partir du principe que les hackers vont violer au moins un vecteur, s’ils ne l’ont pas déjà fait.