Cambiar el nombre de un dominio de Active Directory. Descripción del nombre de dominio local de los dominios de Active Directory

💖 ¿Te gusta? Comparte el enlace con tus amigos
0

En casos excepcionales, un administrador de servicios de dominio puede enfrentarse a la tarea de cambiar el nombre del dominio actual. Las razones pueden ser diferentes, pero esta situación es bastante posible. A pesar de que esta tarea no puede llamarse trivial, pero ocasionalmente tiene que lidiar con ella, es extremadamente importante hacer todo bien, porque de lo contrario, el resultado de los eventos puede ser críticamente peligroso, hasta una infraestructura corporativa completamente inoperante. Entonces, más adelante en este artículo, aprenderá sobre los requisitos previos para realizar esta operación, algunas restricciones y cómo puede cambiar el nombre de su dominio. Antes de comenzar, le pedimos amablemente que no realice estos pasos en un entorno de producción hasta que haya cambiado correctamente el nombre de su dominio de prueba en un entorno de laboratorio. Empecemos.

requisitos previos

Antes de comenzar a cambiar el nombre de su dominio, asegúrese de tener en cuenta la siguiente información:

  • Nivel funcional del bosque de Active Directory. Solo puede realizar tareas de cambio de nombre de dominio si todos los dominios del bosque ejecutan al menos Windows Server 2003 (no hay restricciones de edición en este caso). Además, el nivel funcional debe elevarse al menos al nivel de Windows Server 2003. Es decir, si tiene seleccionado el nivel funcional de Windows Server 2000 en el bosque, la siguiente operación simplemente se vuelve imposible;
  • ubicación del dominio. Puede haber diferentes niveles de dominios en un bosque de Active Directory. Es decir, puede haber un único dominio o el bosque puede incluir dominios secundarios. En caso de que cambie la ubicación del controlador de dominio dentro del bosque, deberá crear una relación de confianza;
  • zona DNS. Incluso antes de realizar la operación de cambio de nombre de dominio, debe crear una nueva zona DNS;
  • Credenciales administrativas. Para realizar una operación de cambio de nombre de dominio, debe iniciar sesión con una cuenta administrativa que sea miembro del grupo Administradores de empresas;
  • Servidores de sistema de archivos distribuidos (DFS). Si su entorno corporativo tiene DFS implementado o perfiles de roaming configurados, tenga en cuenta que los servidores raíz DFS deben ejecutarse al menos Sistema operativo Windows Server 2000 Service Pack 3 o superior versiones modernas sistemas operativos;
  • Incompatibilidad con los servidores de Microsoft Exchange. Lo más molesto es que si se implementa un servidor de correo Microsoft Exchange Server 2003 Service Pack 1 en su bosque de Active Directory, el cambio de nombre del dominio se completará sin ningún problema, pero la cuenta de usuario con la que se realizará el proceso de cambio de nombre del dominio debe ser miembro del grupo Administrador de Exchange completo. Todos los servidores de correo más nuevos (incluido Exchange Server 2016) no son compatibles con las operaciones de cambio de nombre de dominio.

También tenga en cuenta que debe congelar todas las operaciones pendientes de configuración del bosque de Active Directory mientras se cambia el nombre del dominio. En otras palabras, debe asegurarse de que la configuración de su bosque no cambie hasta que se complete la operación de cambio de nombre del dominio (consulte a continuación para obtener detalles sobre cómo realizar esta acción). Estas operaciones incluyen: la creación o eliminación de dominios dentro de su bosque de Active Directory, la creación o eliminación de particiones de directorio de aplicaciones, la adición o eliminación de controladores de dominio en el bosque, la creación o eliminación de una confianza establecida directamente y la adición o eliminación de atributos que se replicarán en el entorno global. catalogar.

Por si acaso, también le aconsejo que haga una copia de seguridad completa del estado del sistema en cada controlador de dominio en el bosque de Active Directory. Si se completa esta tarea, esta precaución definitivamente no será superflua.

En el caso de que su infraestructura cumpla con los requisitos anteriores y todos los requisitos copias de seguridad, puede continuar con el proceso de cambio de nombre de dominio.

Proceso de cambio de nombre de dominio de Active Directory

Para empezar, para comprobar el nombre original de su dominio, puede abrir la ventana de propiedades del sistema. Como puede ver en la ilustración correspondiente, mi nombre de dominio es "Biofarmaceutica.local":

Arroz. 1. Comprobación del nombre de dominio original de Active Directory

Ahora debe crear una nueva zona DNS "biopharm.local" para que, después de completar con éxito el cambio de nombre del dominio, sus servidores miembros y clientes puedan unirse fácilmente al nuevo nombre de dominio. Para ello, abra Administrador de DNS» ( Administrador de DNS) y estar en " Zona de búsqueda directa» ( Zona de búsqueda directa) seleccione la opción para crear una nueva zona. Básicamente, la zona se crea como de costumbre: en la primera página del Asistente para nueva zona, lea la información introductoria y continúe con la segunda página. En la página de tipo de zona, seleccione la zona principal ( Zona Primaria) y asegúrese de que la opción para guardar la zona en Active Directory esté habilitada. En la página de ámbito de replicación de zona, deje la opción seleccionada de forma predeterminada: " Para todos los servidores DNS que se ejecutan en controladores de dominio en este dominio: Biopharmaceutic.local» ( A todos los servidores DNS que se ejecutan en controladores de dominio en este dominio: Biopharmaceutic.local). En la página de nombre de zona, debe especificar el nuevo nombre de dominio (biopharm.local), y en la página de actualización dinámica, también deje la opción " Permitir solo actualizaciones dinámicas seguras (recomendado para Active Directory)» ( Permitir solo actualizaciones dinámicas seguras (recomendado para Active Directory)), que está seleccionado de forma predeterminada. Puede ver varias etapas de la creación de una nueva zona a continuación:

Arroz. 2. Crear una nueva zona DNS

El siguiente paso en el cambio de nombre del dominio es generar una descripción del estado actual del bosque. De hecho, esta es la primera operación de cambio de nombre de dominio que utilizará la utilidad de línea de comandos Rendom. Esta utilidad generará una descripción textual de la estructura de su bosque actual como un archivo XML llamado Domainlist.xml. Este archivo contiene una lista de todas las particiones de directorio de dominio, así como las particiones de directorio de aplicaciones que se encuentran en su bosque de Active Directory. Cada entrada para cada dominio y partición de directorio de aplicaciones está delimitada por etiquetas XML Y. Además, cada entrada contiene datos que incluyen el identificador de objeto único global (GUID) del objeto raíz de la partición, el nombre DNS del dominio o directorio de la aplicación y el nombre NetBIOS del dominio.

Para crear un archivo de este tipo, ábralo con la cuenta adecuada línea de comando y en ella ejecutar el comando " aleatorio / lista". El archivo generado se guardará en el directorio raíz de su cuenta de usuario. A continuación, deberá abrir este archivo con cualquier editor de texto.

Dentro de este archivo, debe cambiar el nombre de dominio dentro de la sección que está delimitada por etiquetas Y y el nombre de NetBIOS dentro de las etiquetas Y). Asegúrese de tener en cuenta que no debe cambiar el GUID dentro de las etiquetas correspondientes.

En la siguiente ilustración, verá el proceso de ejecución del comando anterior, la ubicación del archivo Domainlist.xml y los cambios para la primera sección de este archivo. En mi caso, el nombre de dominio en esta configuración se cambiará 4 veces:

Arroz. 3. Generación y modificación del archivo Domainlist.xml

Para asegurarse de haber realizado los cambios necesarios en el archivo correspondiente, puede ejecutar el comando " aleatorio / bosque de espectáculos". Como puede ver en la siguiente ilustración, todas mis entradas han cambiado a "Bopharm":

Arroz. 4. Ver cambios potenciales

Al ejecutar el siguiente comando ( aleatorio /subir), la utilidad Rendom traduce la nueva estructura del bosque especificada en el archivo editado en una secuencia de instrucciones de actualización del catálogo que se ejecutará local y remotamente en cada controlador de dominio del bosque. En términos generales, este paso realizará cambios en la sección del directorio de configuración del Asistente para nombres de dominio para cambiar el nombre del dominio de Active Directory. Además, se generará un archivo Dclist.xml que se utiliza para realizar un seguimiento del progreso y el estado de cada controlador de dominio en el bosque para la operación de cambio de nombre de dominio. Por cierto, en este punto, la utilidad Rendom congela su bosque de Active Directory para que no realice ningún cambio en su configuración. El proceso de ejecución de este comando se ve a continuación:

Arroz. 5. Ejecute el comando rendom/subir

El siguiente comando se ejecuta para verificar la preparación de los controladores de dominio antes de la operación de cambio de nombre del dominio. Durante este paso, debe ejecutar el comando de verificación preparatoria en cada controlador de dominio en el bosque. Esto es para garantizar que la base de datos de Active Directory en cada controlador de dominio del bosque esté en el estado correcto y lista para realizar cambios que le permitirán cambiar el nombre de su dominio. Por lo tanto, ejecute el comando " aleatorio /preparar", como se hace en la siguiente ilustración:

Arroz. 6. Preparando el dominio para el cambio de nombre

El momento más importante. Ejecutando el comando " aleatorio/ejecutar". Cuando este comando se ejecuta en el dominio, se ejecutan las instrucciones para cambiar el nombre del dominio. Esencialmente, en este mismo momento, cada controlador de dominio en el bosque se contacta individualmente, lo que hace que cada controlador de dominio ejecute instrucciones para cambiar el nombre del dominio. Al completar esta operación, se reiniciará cada controlador de dominio. Consulte la siguiente ilustración para conocer el proceso de cambio de nombre de un dominio:

Arroz. 7. Proceso de cambio de nombre de dominio

Pero eso no es todo. Aunque su dominio, de hecho, ya ha sido renombrado, todavía tiene la tarea de corregir los GPO y sus referencias después de que se complete la operación de cambio de nombre del dominio. Se utiliza una utilidad de línea de comandos para restaurar GPO y enlaces de GPO en cada dominio renombrado. gpfixup.exe. Este procedimiento no puede pasarse por alto porque sin él, después de que se complete la operación de cambio de nombre de dominio en el nuevo bosque, las políticas de grupo simplemente no funcionarán correctamente. Tenga en cuenta que este comando debe ejecutarse una vez en cada dominio renombrado. Por lo tanto, ejecute el comando una vez gpfixup con parámetros /olddns:Biopharmaceutic.local(el antiguo nombre del dominio que renombraste) y /newdns:Biopharm.local(el nuevo nombre del dominio renombrado) y luego el comando gpfixup con parámetros /oldnb:Biofarmacéutica Y /newnb:biofarmacia(respectivamente, el nombre NETBIOS antiguo y nuevo de su dominio). Este procedimiento es visible a continuación:

Arroz. 8. Corrección de GPO

Solo quedan dos comandos por ejecutar: el comando " aleatorio / limpio", que le permite eliminar todas las referencias a nombres de dominio antiguos dentro de su Active Directory, así como el comando " aleatorio / final”, de hecho, descongelando el bosque de Active Directory para que no realice cambios en su configuración. Puede ver el proceso de ejecución de estos comandos en la siguiente ilustración:

Arroz. 9. Complete el cambio de nombre del dominio de Active Directory

Para que los cambios surtan efecto en los servidores miembros y en los clientes finales, deberá reiniciar sus equipos dos veces. Sin embargo, deberá cambiar manualmente el nombre de los controladores de dominio. Como puede ver en la siguiente ilustración, el nombre de mi controlador de dominio sigue siendo el mismo.

En resumen, AD le permite utilizar un único punto de administración para todos los recursos publicados. AD se basa en el estándar de nombres X.500, el Sistema de nombres de dominio (DNS) se usa para determinar la ubicación y el Protocolo ligero de acceso a directorios (LDAP) se usa como protocolo subyacente.

AD combina la estructura lógica y física de una red. La estructura lógica de AD consta de los siguientes elementos:

  • unidad organizacional - un subgrupo de computadoras, por regla general, que refleja la estructura de la empresa;
  • dominio – un grupo de ordenadores que comparten una base de datos de directorio común;
  • árbol de dominio – uno o más dominios que comparten un espacio de nombres contiguo;
  • bosque de dominio – uno o más árboles que comparten información de directorio.

La estructura física incluye los siguientes elementos:

  • subred – un grupo de red con un rango específico de direcciones IP y una máscara de red;
  • sitio una o más subredes. El sitio se utiliza para configurar el acceso al directorio y para la replicación.

El directorio almacena tres tipos de información: datos de dominio, datos de esquema y datos de configuración. AD usa solo controladores de dominio. Los datos del dominio se replican en todos los controladores de dominio. Todos los controladores de dominio son iguales, es decir, todos los cambios realizados desde cualquier controlador de dominio se replicarán en todos los demás controladores de dominio. Los datos de esquema y configuración se replican en todos los dominios de un árbol o bosque. Además, todos los objetos de dominio individuales y algunas propiedades de objetos de bosque se replican en el catálogo global (GC). Esto significa que el controlador de dominio almacena y replica el esquema del árbol o bosque, la información de configuración de todos los dominios del árbol o bosque y todos los objetos y propiedades del directorio de su propio dominio.

El controlador de dominio que aloja el GC mantiene y replica la información del esquema para el bosque, la información de configuración para todos los dominios del bosque y un conjunto limitado de propiedades para todos los objetos de directorio en el bosque (que solo se replica entre los servidores del GC), y todos los objetos y propiedades del directorio para su dominio.

Los controladores de dominio pueden tener diferentes funciones de maestro de operaciones. El maestro de operaciones realiza tareas que son inconvenientes para realizar en un modelo de replicación de varios maestros.

Hay cinco roles de maestro de operaciones que se pueden asignar a uno o más controladores de dominio. Algunas funciones deben ser únicas a nivel de bosque, otras a nivel de dominio.

Los siguientes roles existen en cada bosque de AD:

  • maestro de esquema – administra las actualizaciones y los cambios en el esquema del directorio. La actualización del esquema de catálogo requiere acceso al maestro de esquema. Para determinar qué servidor es actualmente el maestro de esquema en el dominio, debe escribir el comando en la ventana de la línea de comandos servidor dsquery - esquema hasfsmo
  • maestro de nombres de dominio - gestiona la adición y eliminación de dominios en el bosque. Agregar o eliminar un dominio requiere acceso al maestro de nombres de dominio. Para determinar qué servidor es actualmente el maestro de nombres de dominio, en una ventana del símbolo del sistema, escriba dsquery server -hasismo name

Estos roles son comunes al bosque en su conjunto y son únicos en él.

Cada dominio de AD tiene las siguientes funciones:

  • Maestro de ID relativo - Asigna identificadores relativos a los controladores de dominio. Cada vez que se crea un objeto de usuario, grupo o computadora, los controladores asignan un SID único al objeto, que consiste en un SID de dominio y un identificador único que fue asignado por el maestro de identificadores relativos. Para determinar qué servidor es actualmente el maestro de los identificadores de dominio relativos, en el símbolo del sistema, escriba dsquery server -hasfsmo rid
  • Emulador de PDC (emulador de PDC) - Actúa como un controlador de dominio principal de Windows NT en modo de dominio mixto o provisional. Autentica el inicio de sesión de Windows, maneja los cambios de contraseña y replica las actualizaciones del BDC, si las hay. Para determinar qué servidor es actualmente el emulador de PDC del dominio, en el símbolo del sistema, escriba dsquery server -hasfsmo pdc
  • Maestro de infraestructura - Actualiza las referencias de objetos comparando sus datos de directorio con los datos de GC. Si los datos están desactualizados, solicita actualizaciones del GC y las replica en el resto de los controladores de dominio. Para determinar qué servidor es actualmente el maestro de la infraestructura del dominio, en el símbolo del sistema, escriba dsquery server -hasfsmo infr

Estos roles son comunes a todo el dominio y deben ser únicos dentro de él.

Los roles de maestro de operaciones se asignan automáticamente al primer controlador del dominio, pero usted puede reasignarlos más adelante. Si solo hay un controlador en el dominio, realiza todas las funciones de maestro de operaciones a la vez.

No recomendamos separar las funciones de maestro de esquema y maestro de nombres de dominio. Si es posible, asígnelos al mismo controlador de dominio. Para mayor eficiencia, es deseable que el maestro de identificadores relativos y el emulador de PDC también residan en el mismo controlador, aunque estas funciones se pueden separar si es necesario. En una gran red donde cargas pesadas reducir el rendimiento, el maestro de ID relativo y el emulador de PDC deben colocarse en diferentes controladores. Además, no recomendamos alojar el maestro de infraestructura en un controlador de dominio que contenga el catálogo global.

Instalación de un controlador de dominio (DC) de Windows Server 2003 mediante el asistente de instalación de Active Directory

El controlador de dominio se instala mediante el asistente de instalación de Active Directory. Para promover un servidor a un controlador de dominio, debe asegurarse de que se cumplan todos los requisitos necesarios para esto:

  1. El servidor debe tener al menos una partición NTFS para alojar el volumen del sistema SYSVOL.
  2. El servidor debe tener acceso a servidor DNS y. Es recomendable instalar el servicio DNS en el mismo servidor. Si se utiliza un servidor independiente, debe asegurarse de que admita los registros de recursos de ubicación del servicio (RFC 2052) y el protocolo de actualizaciones dinámicas (RFC 2136).
  3. Debe tener una cuenta con derechos de administrador local en el servidor.

Consideremos en detalle la promoción de la función del servidor al controlador de dominio de Active Directory en pasos:

Conceptos básicos de administración de dominios de Active Directory

Varias herramientas en los complementos de Microsoft Management Console (MMC) facilitan el trabajo con Active Directory.

El complemento (Usuarios y equipos de Active Directory) es una consola de administración de MMC que puede usar para administrar y publicar información en el directorio. Es la principal herramienta de administración de Active Directory y se utiliza para realizar todas las tareas relacionadas con usuarios, grupos y equipos, así como para gestionar unidades organizativas.

Para iniciar el complemento (Usuarios y equipos de Active Directory), seleccione el comando del mismo nombre en el menú Herramientas administrativas.

De forma predeterminada, la consola Usuarios y equipos de Active Directory funciona con el dominio al que pertenece su equipo. Puede acceder a los objetos de computadora y usuario en este dominio a través del árbol de la consola o conectarse a otro dominio. Las herramientas de la misma consola le permiten ver parámetros adicionales de objetos y buscarlos.

Una vez que haya obtenido acceso al dominio, verá un conjunto estándar de carpetas:

  • Consultas guardadas (Consultas guardadas): criterios de búsqueda guardados que le permiten repetir rápidamente una búsqueda realizada anteriormente en Active Directory;
  • Construido en – lista de cuentas de usuario integradas;
  • ordenadores – contenedor predeterminado para cuentas de computadora;
  • Controladores de dominio – contenedor predeterminado para controladores de dominio;
  • ExtranjeroSeguridadPrincipals – contiene información sobre objetos de un dominio externo de confianza. Normalmente, estos objetos se crean cuando se agrega un objeto de un dominio externo al grupo de dominio actual;
  • Usuarios es el contenedor predeterminado para los usuarios.

Algunas carpetas de la consola no se muestran de forma predeterminada. Para mostrarlos, seleccione el comando Funciones avanzadas en el menú Ver. Estas carpetas adicionales son:

  • Objetos perdidos – propietarios perdidos, objetos de directorio;
  • Cuotas de NTDS – datos sobre las cuotas del servicio de directorio;
  • Datos del programa – Datos almacenados en el servicio de directorio para aplicaciones de Microsoft;
  • Sistema – parámetros del sistema integrados.

Puede agregar carpetas para unidades organizativas al árbol AD ​​usted mismo.

Considere un ejemplo de creación de una cuenta de usuario de dominio. Para crear una cuenta de usuario, haga clic con el botón derecho en el contenedor en el que desea colocar la cuenta de usuario, seleccione Nuevo en el menú contextual y luego Usuario. Se abrirá la ventana Nuevo objeto: asistente de usuario:

  1. Ingrese el nombre, la inicial y el apellido del usuario en los campos correspondientes. Esta información será necesaria para generar el nombre para mostrar del usuario.
  2. Edite el nombre completo. Debe ser único dentro del dominio y no más de 64 caracteres.
  3. Introduzca su nombre de inicio de sesión. Utilice la lista desplegable para seleccionar el dominio con el que se asociará la cuenta.
  4. Si es necesario, cambie el nombre de usuario de inicio de sesión para los sistemas que ejecutan Windows NT 4.0 o anterior. Predeterminado como nombre de inicio de sesión con anterior Versiones de Windows se utilizan los primeros 20 caracteres del nombre completo del usuario. Este nombre también debe ser único dentro del dominio.
  5. Hacer clic Siguiente siguiente). Especifique una contraseña para el usuario. Su configuración debe coincidir con su política de contraseñas;
    Confirmar contraseña: un campo utilizado para confirmar la corrección de la contraseña ingresada;
    El usuario debe cambiar la contraseña en el próximo inicio de sesión(Requerir cambio de contraseña en el próximo inicio de sesión): si esta casilla está marcada, el usuario deberá cambiar la contraseña en el próximo inicio de sesión;
    El usuario no puede cambiar la contraseña: si esta casilla está marcada, el usuario no puede cambiar la contraseña;
    La contraseña nunca caduca: si esta casilla está marcada, la contraseña de esta cuenta no caduca (esta configuración anula la política de cuenta de dominio);
    La cuenta está deshabilitada: si está marcada, la cuenta está deshabilitada (útil para evitar temporalmente que alguien use la cuenta).

Las cuentas le permiten almacenar información de contacto del usuario, así como información sobre la participación en varios grupos de dominio, la ruta del perfil, el script de inicio de sesión, la ruta de la carpeta de inicio, la lista de computadoras desde las cuales el usuario puede ingresar al dominio, etc.

Los scripts de inicio de sesión definen los comandos que se ejecutan en cada inicio de sesión. Le permiten configurar la hora del sistema, las impresoras de red, las rutas de las unidades de red, etc. Los scripts se utilizan para ejecutar comandos una vez y la configuración del entorno establecida por los scripts no se guarda para su uso posterior. Los scripts de inicio de sesión pueden ser archivos de Windows Script Server con extensiones .VBS, .JS y otros, archivos por lotes con extensión .BAT, archivos de comando con extensión .CMD, programas con extensión .EXE.

Puede asignar a cada cuenta su propia carpeta de inicio para almacenar y restaurar los archivos del usuario. La mayoría de las aplicaciones abren la carpeta de inicio de forma predeterminada para las operaciones de abrir y guardar archivos, lo que facilita a los usuarios encontrar sus datos. En la línea de comando, la carpeta de inicio es el directorio actual inicial. La carpeta de inicio se puede ubicar en el disco duro local del usuario o en una unidad de red compartida.

al dominio cuentas las computadoras y los usuarios pueden aplicar políticas de grupo. La política de grupo simplifica la administración al brindar a los administradores un control centralizado sobre los privilegios, permisos y capacidades de los usuarios y las computadoras. La política de grupo le permite:

  • crear carpetas especiales administradas centralmente, como Mis documentos (Mis documentos);
  • administrar el acceso a los componentes de Windows, los recursos del sistema y de la red, las herramientas del panel de control, el escritorio y el menú Inicio;
  • configurar scripts de usuario y de computadora para ejecutar una tarea en un momento específico;
  • configure políticas para contraseñas y bloqueos de cuentas, auditoría, asignaciones de derechos de usuario y seguridad.

Además de gestionar usuarios cuentas y grupos, hay muchas otras tareas de gestión de dominios. Hay otras herramientas y aplicaciones para esto.

aparejo Dominios y fideicomisos de Active Directory(Active Directory - Domains and Trusts) se utiliza para trabajar con dominios, árboles de dominios y bosques de dominios.

aparejo Sitios y servicios de Active Directory(Directorio activo: sitios y servicios) le permite administrar sitios y subredes, así como la replicación entre sitios.

Para administrar los objetos de AD, existen herramientas de línea de comandos que le permiten realizar una amplia gama de tareas administrativas:

  • Dsadd - Agrega computadoras, contactos, grupos, unidades organizativas y usuarios a Active Directory. Para obtener ayuda, escriba dsadd /? , como dsadd computer/?
  • dsmod - Modifica las propiedades de los equipos, contactos, grupos, unidades organizativas, usuarios y servidores registrados en Active Directory. Para obtener ayuda, escriba dsmod /? , por ejemplo servidor dsmod /?
  • mover – Mueve un solo objeto a una nueva ubicación dentro de un dominio, o cambia el nombre de un objeto sin moverlo.
  • Dsget - Muestra las propiedades de las computadoras, contactos, grupos, unidades organizativas, usuarios, sitios, subredes y servidores registrados en Active Directory. Para obtener ayuda, escriba dsget /? , por ejemplo, subred dsget /?
  • dsquery – busca equipos, contactos, grupos, unidades organizativas, usuarios, sitios, subredes y servidores en Active Directory según criterios específicos.
  • Drrm – elimina un objeto de Active Directory.
  • Ntdsutil - le permite ver información del sitio, dominio o servidor, administrar maestros de operaciones y mantener la base de datos de Active Directory.

También hay herramientas de soporte de Active Directory:

  • ldp – Realiza operaciones en Administración de Active Directory utilizando el protocolo LDAP.
  • Reemplazar – Gestiona la replicación y muestra sus resultados en una interfaz gráfica.
  • Dsacls – Administra las ACL (Listas de control de acceso) para los objetos de Active Directory.
  • Dfsutil - gestiona distribuido sistema de archivos(Distributed File System, DFS) y muestra información sobre su funcionamiento.
  • dnscmd – Administra las propiedades de los servidores, las zonas y los registros de recursos DNS.
  • Movetree – Mueve objetos de un dominio a otro.
  • repadmin – Administra la replicación y muestra sus resultados en una ventana de línea de comandos.
  • sdcbeck – Analiza la distribución, la replicación y la herencia de las listas de control de acceso.
  • caminante – Especifica listas de control de acceso para objetos que anteriormente pertenecían a cuentas movidas, eliminadas o huérfanas.
  • netdom – Le permite administrar dominios y relaciones de confianza desde la línea de comandos.

Como se puede ver en este artículo, combinar grupos de computadoras en dominios basados ​​en Active Directory le permite reducir significativamente los costos de las tareas administrativas al centralizar la administración de cuentas de dominio para computadoras y usuarios, y también le permite administrar de manera flexible los derechos de los usuarios. seguridad y una serie de otros parámetros. Se pueden encontrar materiales más detallados sobre la organización de dominios en la literatura relevante.

Este procedimiento es mucho más complicado que cambiar el nombre de un servidor miembro que es un miembro normal de un dominio. Para esta tarea, necesitamos la utilidad " NETDOM", que, a partir de ventanas 2008 es parte de sistema operativo, y para ventanas 2003 necesita instalar " Herramientas de apoyo ".

Para cambiar el nombre de un controlador de dominio, proceda de la siguiente manera:
1. Primero, asegúrese de que el nivel funcional del dominio no sea inferior a ventanas 2003 y verifique los permisos Administradores de dominio " ("Administradores de dominio ").
2. Abra un símbolo del sistema elevado y agregue un nombre adicional para el controlador al que vamos a cambiar el nombre (en nuestro ejemplo SRV-DC1-OLD.TEST.LOCAL renombrar a SRV-DC1.PRUEBA.LOCAL ):

NETDOM nombre de equipo SRV-DC1-OLD.TEST.LOCAL /add:SRV-DC1.TEST.LOCAL


3. Usando el editor " ADSIEDIT.msc" asegúrese de que el nombre se haya agregado correctamente. En el editor, busque el objeto del controlador de dominio y verifique el valor de la propiedad " msDS-AdditionalDnsHostName", que debe ser igual a" SRV-DC1.PRUEBA.LOCAL ".


4. Ahora debe asegurarse de que la actualización SPN los atributos se han replicado completamente en otros controladores de dominio del bosque. La utilidad nos ayudará con esto " REPADMINO" o " REPLMON" Para ventanas 2003.


Para acelerar el proceso, se puede forzar la replicación en el " DSSITE.msc". Simplemente haga clic derecho en la conexión y seleccione " replicar ahora".


5. Ahora hacemos que el nuevo nombre del controlador de dominio sea primario:

NETDOM nombre de equipo SRV-DC1-OLD.TEST.LOCAL /makeprimary:SRV-DC1.TEST.LOCAL


6. Sobrecargamos el servidor.
7. De nuevo comprobamos que la actualización SPN atributos y entradas en DNS logró replicar completamente a otros controladores de dominio y servidores DNS en el bosque, y el valor de la propiedad " msDS-AdditionalDnsHostName" ahora es igual al antiguo nombre del servidor.


Cuando hay una escasez aguda de tiempo, puede forzar la replicación nuevamente y sobrecargar las zonas DNS en otros controladores si muestran el nombre anterior de nuestro servidor.
8. Ahora elimine el antiguo nombre del controlador, que ahora es opcional:

NETDOM nombre de equipo SRV-DC1.TEST.LOCAL /remove:SRV-DC1-OLD.TEST.LOCAL


9. Forzamos o esperamos la replicación completa, y al final recargamos y verificamos las zonas de dominio hacia adelante y hacia atrás DNS para entradas con el nombre antiguo. Si encontramos alguno, lo borramos o lo corregimos, si es necesario, con un nuevo nombre. También vale la pena verificar el valor del atributo " msDS-AdditionalDnsHostName", que debe estar vacío.

Al final del procedimiento, cuando se completan los pasos anteriores, revisamos cuidadosamente los registros Directorio Activo en todos los controladores de dominio en busca de errores y usando el " DCDIAG“Nos aseguramos de que el bosque funcione correctamente.

El año es 2015, Internet se ha generalizado, cada empresa que se precie tiene su propio sitio web durante mucho tiempo. No es necesario ir muy lejos, incluso todos los hospitales de la ciudad tienen sus propios recursos web. Sin embargo, de todos modos, los administradores de sistemas no han aprendido a crear nombres normales para sus dominios.

El costo de un dominio de segundo nivel (por ejemplo, bissquit.com) es un poco más de 500 rublos por año. Esto es muy poco incluso para los ciudadanos comunes, como tú y yo, y estos son meros centavos para las empresas, más aún. Compré mi dominio mucho antes de que apareciera la idea de iniciar este blog. Es conveniente. Incluso tomemos una conexión remota a través de rdp: ingreso el nombre de mi dominio, en lugar de una dirección IP aburrida.

En Internet, en respuesta a la solicitud de "mejores prácticas de dominio de directorio activo", casi todos los sitios han escrito recomendaciones integrales para nombrar dominios de AD y explican por qué se debe hacer de esa manera. Echemos un vistazo más de cerca a las recomendaciones de las que estamos hablando:

  • Para nombrar un dominio AD, use un subdominio del dominio registrado oficialmente de su organización.

Lo has hecho bien, solo un consejo. ¡Esto es todo! Puede hablar mucho sobre los detalles y pequeños matices, pero el 80-90% del razonamiento se reduce a un solo consejo, mencionado anteriormente. Todos los problemas provienen del hecho de que una persona sabe que es necesario hacer esto, pero no entiende por qué es imposible o es muy recomendable no hacerlo de otra manera. Más detalles a partir de ahora.

1. ¿Por qué no puede usar nombres internos que no se pueden resolver externamente como .local, .corp, .lan?

Poder. Más como sea posible. La mayoría de ellos los usan. Tengo ejemplos entre amigos que tienen más de 2000 personas en organizaciones y usan el dominio .local. Todas las dificultades comenzarán si de repente necesita un dominio AD real. Esto puede suceder cuando se utilizan implementaciones de nube híbrida (Exchange + Office365 es un excelente ejemplo). "¿Por qué no simplemente cambiar el nombre del dominio, porque con una determinada versión de AD es muy posible?" - usted pregunta. Sí, en principio es posible, pero tendrás que enfrentarte a las dificultades de migrar servicios dependientes del dominio. Entre ellos están el mismo Exchange y otros, pero aquí un Exchange es más que suficiente.

2. "Está bien, compramos un nombre externo real: my-company.com, también llamaremos el dominio AD", tampoco es una opción. Habrá problemas de permisos con otros recursos ubicados en my-company.com, como el sitio web de la empresa. Y además, sus servidores DNS no tendrán autoridad para este dominio, aunque se considerarán como tales. Esto también causará problemas.

Hay otras consideraciones para la denominación de dominio, entre ellas la creación de un dominio real similar pero en un TLD diferente. Pero me parece que no tiene mucho sentido hacer esto, porque algunos de los problemas aún persisten, y simplemente no hay ventajas obvias en comparación con usar el dominio corp.my-company.com (el nombre se toma como ejemplo ).

Para aquellos a los que les gusta hacer todo a su manera, recientemente también se agregarán problemas con los certificados, por lo que no tiene sentido usar nombres internos ahora.

La cuestión de elegir un nombre de dominio técnicamente se basa en la línea en la que escribe el nombre al crear el dominio AD y nada más. Sin embargo, las consecuencias que traerá la mala elección del nombre le causarán muchos problemas en el futuro, y por eso es muy importante hacer todo con calidad en la etapa de planificación. Una vez más, es bueno leer artículos de administradores experimentados.

Ayer, nuestro estudio recibió una carta de nuestro lector habitual Andrey, con la pregunta:

Disfruto leyendo su blog, aprendí muchas cosas útiles para mí, quería saber su opinión sobre el nombre de dominio de Active Directory, muchos escriben que debería llamarse *organización*.local, y alguien escribe que debería llamarse igual que el dominio.

Echemos un vistazo rápido a cuál es el mejor nombre para usar al nombrar un dominio dentro de una organización.

Como muestra la práctica, elegir un nombre de dominio puede confundir incluso a un administrador de sistemas experimentado. Cuando inicie la utilidad por primera vez dcpromo el nombre de dominio se generará de forma automática y aleatoria, si el nombre de dominio no se ajusta a las reglas necesarias ya en esta etapa, será más difícil cambiar el nombre de dominio en el futuro. consideremos opciones posibles en orden de su popularidad.

1. Dominio llamado ejemplo.local

El líder de nuestra lista de éxitos es un nombre de dominio que termina en local. Hay otras variaciones sobre este tema, por ejemplo prueba, firme, fábrica, nn, ubicación, etcétera. Ahora ni te acuerdas de dónde salió tanto amor, en todos sus libros, Microsoft siempre usa su propia denominación de la forma contoso.com donde podemos ver claramente formato de nombre de dominio. Sin embargo, durante casi 10 años, el dominio .local ocupó una posición de liderazgo. La situación comenzó a estabilizarse con la llegada de los servicios que utilizan en su trabajo certificados SSL. Donde el uso de dominios "no importa y así será" se vuelve imposible. Vea, suponga que su empresa utiliza internamente Servidor de intercambio, que necesita un certificado SSL para cifrar las conexiones de los clientes. Según su escenario, necesita un certificado para realizar esta tarea CA externa, en el que debe especificar todos los nombres de los servidores utilizados para la conexión externa. Parecería que tal cosa, anotamos todos los nombres de los servidores y solicitamos la emisión de certificados, pero hay una cosa. Con el nombre de tal dominio no podrás validar, ya que el dominio "no me importa y lo hará" no existe y recibirá una negativa suave para tratar de explicarle a una autoridad de certificación externa que necesita poner el nombre FQDN de un dominio inexistente en la SAN :

No es posible, solo emitimos certificados para nombres de dominio reales.

Pero hay un problema más. Usar un nombre de dominio no es tuyo en un nombre de dominio puede tener consecuencias desastrosas. Imagina la situación si la zona local será público. como una zona com o es. No creo que valga la pena continuar.

2. El nombre de dominio es el mismo que el nombre de dominio externo

El segundo lugar de nuestro hit parade. A pesar de que tal escenario es menos popular, todavía tiene derecho a la vida. Además del hecho de que en un futuro cercano aún recibirá algunos inconvenientes al mantener la red, nada más lo amenaza. El principal problema en este escenario es que tendrá que mantener dos servidores DNS: interno y externo. Bajo esta condición, las computadoras dentro de la red usarán el servidor DNS interno para la resolución de nombres, y las computadoras fuera del perímetro de la empresa usarán uno externo. Supongamos que su dominio tiene un nombre orgulloso ejemplo.com. EN DMZ zona que tienes sitio web empresas nombradas ejemplo.com. En el escenario descrito anteriormente, las computadoras ubicadas adentro organizaciones no poder acceder porque para ellos example.com es nombre de dominio y cuando ingrese esta dirección en el navegador, irán a controlador de dominio. Como señalé anteriormente, aparte de los inconvenientes, esto no conducirá a nada. Siempre puede usar muletas que lo redirigirán a un sitio externo, pero acepte que esto no es un trabajo doble necesario, o use un nombre de sitio que comience con www o afuera.

3. Nombre de dominio de una palabra

Quizás la opción más incorrecta de las anteriores. Dominios de un solo nivel: Dominio de etiqueta única es un dominio que contiene solo un componente. Aparentemente comenzaron a usarse en los días de NT, cuando Microsoft adoptó la exitosa experiencia de Novell. Dio la casualidad de que inicialmente yo era el administrador de FreeBSD y una gran flota de servidores NetWare a partir de la versión 4.11, por lo que en esos tiempos antiguos NetWare usaba Bindery en su trabajo, que son solo los nombres. esquema de dominio de un solo nivel, que luego fue adquirida por Microsoft.

mejores prácticas

Es hora de resumirlo. ¿Qué nombre de dominio usar? Solo un dominio de tercer nivel en el dominio que posee. No utilice los nombres de dominio más bonitos de otras personas :-). Puede ver un ejemplo de dicho dominio a continuación.

decirles a los amigos
Gorjeo
Después de la compra...
Artículo siguiente
Leer también
Técnica y programas para un blogger - un principiante
Técnica y programas para un blogger - un principiante
2023-03-08 18:46:22
Cómo desbloquear a una persona en Instagram: instrucciones paso a paso
Cómo desbloquear a una persona en Instagram: instrucciones paso a paso
2023-02-25 09:31:48
Cómo crear tu propio hosting VPS desde cero y empezar a ganar dinero con él (introducción)
Cómo crear tu propio hosting VPS desde cero y empezar a ganar dinero con él (introducción)
2023-01-15 14:21:10
Qué hacer si el antivirus bloquea Internet Cómo eliminar el virus que bloquea la instalación del antivirus
Qué hacer si el antivirus bloquea Internet Cómo eliminar el virus que bloquea la instalación del antivirus
2022-12-11 12:38:06