none
Migrar Ad RRS feed

  • Pregunta

  • Buenos dias.

    Por motivos de cambio de nombre de empresa, me han pedido que cambie en nombre del dominio para trabajar en vez de con "empresaA.local" pasarlo a "empresaB.local"

    Las features de mi red es bastante simple...

    Tengo una pequeña red en la cual dispongo, un par de DHCP´s, un par de file servers, y poco mas, y a este AD conectados unos 30 a 40 usuarios.

    Me gustaria que me indicaran que proceso seguir, ya que ando bastante perdido........tengo varias preguntas

    Por ejemplo:

    - ¿Se puede renombrar o es mejor migrarlo a un dominio nuevo?

    - ¿Tengo que sacar los servers y destokp del dominio actual y meterlo a mano en el nuevo uno a uno?

    - ¿Como hago para no perder los permisos ACL  de los FILE SERVERS (Es lo que mas miedo me da)

    En fin, nunca he realizado esto y me gustaria algo de ayuda en esto.....

    Muchas gracias.

    miércoles, 6 de febrero de 2013 22:16

Respuestas

  • Hola Mario!

    Ante todo, te seteo expectativas:

    • Sí, existe la posibilidad de renombrar dominios de Active Directory.
    • Sí, podés migrarlo a un dominio nuevo.
    • Además, tenés otras opciones alternativas que quizás te sirvan.

    Si te parece bien, voy a empezar de abajo hacia arriba con estos tres puntos para poder darte más info.

    Además, tenés otras opciones alternativas que quizás te sirvan

    Entiendo que en tu empresa van a cambiar de nombre, razón por lo cual quieren un cambio en el nombre interno de Active Directory. Desconozco los detalles del requerimiento, pero tené en cuenta que en Active Directory a partir de Windows 2000 se pueden utilizar UPN Suffix.

    Un UPN Suffix brinda la posibilidad al usuario de loguearse con el formato de una dirección de correo electrónico, por ejemplo "usuario@dominio.com", donde "dominio.com" puede ser distinto al nombre de dominio de Active Directory. Esto te permitiría que, por ejemplo, los usuarios que tenes actualmente en el dominio "empresaA.local" inicien sesión como "usuario@empresaB.com". Te dejo un link al respecto:

    Por supuesto, no es lo mismo que cambiar el nombre de dominio de Active Directory, el cual seguirá siendo "empresaA.local", tampoco te cambia el nombre de NETBIOS ("empresaA"). En realidad el nombre del dominio queda intacto, solo que a los usuarios se los identifica con un nombre de usuario tipo "correo electrónico" con el nombre de fantasía que quieras (no es necesario modificar DNS).

    En este caso, los permisos ACL de los FILE SERVERS quedarían intactos. Además, no requiere cambios en los equipos clientes de ningún tipo, solo en cómo inician sesión (usuario@midominio.com).


    Sí, podés migrarlo a un dominio nuevo

    En este punto, existen casos donde es inevitable realizar un cambio de nombre de dominio de Active Directory y nombre NETBIOS, razón por la cual realizan migración de un bosque a otro bosque de Active Directory. Este método te da un contexto de co-existencia posible y ordenado. Es decir, el procedimiento no es disruptivo ni de tipo "big-bang", sino que podés hacerlo progresivamente e ir migrando equipos clientes y usuarios de a poco. El proceso lo describe el siguiente flujo:

    Sobre este método, tenés información al respecto en el siguiente artículo de Microsoft:

    Notarás que se hace referencia a la herramienta ADMT (Active Directory Migration Tool). Te dejo dos links con info de la misma:

    En este caso, los permisos ACL de los FILE SERVERS deben remediarse. Durante el período de coexistencia, tendrás que agregar permisos extras (grupos específicos). Luego, en el escenario final, pasarás los recursos (datos) seteando los permisos nuevamente. Este método requiere cambios en los equipos clientes (disjoin y join al nuevo dominio) y cambiará su inicio de sesión.

    Sí, existe la posibilidad de renombrar dominios de Active Directory

    En lo personal no es lo que te recomiendo, pero existe la posibilidad de renombrar dominios de Active Directory. No te lo recomiendo por la simple razón que no es un proceso simple, genera disrupción de servicio y, además, tenés que ser muy cuidadoso, ordenado, planificado y (aún así) no puede salir como esperás.

    Tené en cuenta las siguientes aclaraciones:

    • No lo podés hacer con árboles de dominio de Windows 2000.
    • Sí lo podés hacer a partir de Windows 2003, con algunas restricciones.

    Te dejo, en este sentido, el siguiente artículo de Microsoft sobre este tema:

    Cierre

    Espero haber sido claro en las posibilidades que, a mi parecer, tenés. Veamos si otros compañeros pueden sumar alguna otra idea.

    Estamos en contacto!

    Saludos!!


    Pablo Ariel Di Loreto
    IT Consultant

    This posting is provided "AS IS" with no warranties and confers no rights! Always test ANY suggestion in a test environment before implementing!

    • Propuesto como respuesta Cavallin Jorge viernes, 8 de febrero de 2013 13:54
    • Marcado como respuesta Uriel Almendra viernes, 15 de marzo de 2013 17:56
    jueves, 7 de febrero de 2013 5:13

Todas las respuestas

  • Hola Mario!

    Ante todo, te seteo expectativas:

    • Sí, existe la posibilidad de renombrar dominios de Active Directory.
    • Sí, podés migrarlo a un dominio nuevo.
    • Además, tenés otras opciones alternativas que quizás te sirvan.

    Si te parece bien, voy a empezar de abajo hacia arriba con estos tres puntos para poder darte más info.

    Además, tenés otras opciones alternativas que quizás te sirvan

    Entiendo que en tu empresa van a cambiar de nombre, razón por lo cual quieren un cambio en el nombre interno de Active Directory. Desconozco los detalles del requerimiento, pero tené en cuenta que en Active Directory a partir de Windows 2000 se pueden utilizar UPN Suffix.

    Un UPN Suffix brinda la posibilidad al usuario de loguearse con el formato de una dirección de correo electrónico, por ejemplo "usuario@dominio.com", donde "dominio.com" puede ser distinto al nombre de dominio de Active Directory. Esto te permitiría que, por ejemplo, los usuarios que tenes actualmente en el dominio "empresaA.local" inicien sesión como "usuario@empresaB.com". Te dejo un link al respecto:

    Por supuesto, no es lo mismo que cambiar el nombre de dominio de Active Directory, el cual seguirá siendo "empresaA.local", tampoco te cambia el nombre de NETBIOS ("empresaA"). En realidad el nombre del dominio queda intacto, solo que a los usuarios se los identifica con un nombre de usuario tipo "correo electrónico" con el nombre de fantasía que quieras (no es necesario modificar DNS).

    En este caso, los permisos ACL de los FILE SERVERS quedarían intactos. Además, no requiere cambios en los equipos clientes de ningún tipo, solo en cómo inician sesión (usuario@midominio.com).


    Sí, podés migrarlo a un dominio nuevo

    En este punto, existen casos donde es inevitable realizar un cambio de nombre de dominio de Active Directory y nombre NETBIOS, razón por la cual realizan migración de un bosque a otro bosque de Active Directory. Este método te da un contexto de co-existencia posible y ordenado. Es decir, el procedimiento no es disruptivo ni de tipo "big-bang", sino que podés hacerlo progresivamente e ir migrando equipos clientes y usuarios de a poco. El proceso lo describe el siguiente flujo:

    Sobre este método, tenés información al respecto en el siguiente artículo de Microsoft:

    Notarás que se hace referencia a la herramienta ADMT (Active Directory Migration Tool). Te dejo dos links con info de la misma:

    En este caso, los permisos ACL de los FILE SERVERS deben remediarse. Durante el período de coexistencia, tendrás que agregar permisos extras (grupos específicos). Luego, en el escenario final, pasarás los recursos (datos) seteando los permisos nuevamente. Este método requiere cambios en los equipos clientes (disjoin y join al nuevo dominio) y cambiará su inicio de sesión.

    Sí, existe la posibilidad de renombrar dominios de Active Directory

    En lo personal no es lo que te recomiendo, pero existe la posibilidad de renombrar dominios de Active Directory. No te lo recomiendo por la simple razón que no es un proceso simple, genera disrupción de servicio y, además, tenés que ser muy cuidadoso, ordenado, planificado y (aún así) no puede salir como esperás.

    Tené en cuenta las siguientes aclaraciones:

    • No lo podés hacer con árboles de dominio de Windows 2000.
    • Sí lo podés hacer a partir de Windows 2003, con algunas restricciones.

    Te dejo, en este sentido, el siguiente artículo de Microsoft sobre este tema:

    Cierre

    Espero haber sido claro en las posibilidades que, a mi parecer, tenés. Veamos si otros compañeros pueden sumar alguna otra idea.

    Estamos en contacto!

    Saludos!!


    Pablo Ariel Di Loreto
    IT Consultant

    This posting is provided "AS IS" with no warranties and confers no rights! Always test ANY suggestion in a test environment before implementing!

    • Propuesto como respuesta Cavallin Jorge viernes, 8 de febrero de 2013 13:54
    • Marcado como respuesta Uriel Almendra viernes, 15 de marzo de 2013 17:56
    jueves, 7 de febrero de 2013 5:13
  • Gracias Pablo por tu buena respuesta.

    Para aclarar..........

    Lo que deberia hacer es, realizar la relacion de confianza entre ambos dominios, ¿a nivel de DNS como se configura esto?

    Exactamente en el file server ¿como tendria que proceder a la hora de hacer efectivas ACL sin que el servicio se pare?

    jueves, 7 de febrero de 2013 10:40
  • Hola Mario,

    Complementando el mensaje Pablo (tan extenso como correcto :-) ) para configurar la relación de confianza cada servidor DNS debe poder resolver el espacio de nombres del dominio con el que va a establecer la relación.

    Esto lo puedes hacer con forwarders condicionales en los servidores DNS de cada dominio. Es decir, el servidor DNS A del dominio origen configurale un forwarding condicional en DNS para el espacio de nombres del dominio target configurándole el DNS Server de ese dominio y viceversa.

    Una vez tengas resolucón podrás establecer la relación de confianza.

    A parte, en el enlace que te ha puesto Pablo de ADMT tienes explicado el proceso de traducción de ACLs.

    Un saludo

    Julio Rosua



    • Editado Julian Ros jueves, 7 de febrero de 2013 16:16
    jueves, 7 de febrero de 2013 16:14
  • Hola Mario!

    Tal como te comenta Julio, hay un proceso que permite realizar la relación de confianza. Te paso el detalle del checklist oficial de Microsoft:

    En alto nivel, primer se soluciona la resolución DNS entre los forests (normalmente con un Conditional Forwarder) y luego se realiza la relación de confianza.

    Contanos como te fue y si te sirvieron nuestras respuestas.

    Saludos!!


    Pablo Ariel Di Loreto
    IT Consultant

    This posting is provided "AS IS" with no warranties and confers no rights! Always test ANY suggestion in a test environment before implementing!

    miércoles, 13 de febrero de 2013 23:32
  • Hola Mario!

    ¿Cómo estás? ¿Han tomado alguna decisión en tu empresa? ¿Te podemos ayudar en algo más?

    Saludos!!


    Pablo Ariel Di Loreto
    IT Consultant

    This posting is provided "AS IS" with no warranties and confers no rights! Always test ANY suggestion in a test environment before implementing!

    martes, 19 de febrero de 2013 2:27