none
Переименование контроллера домена RRS feed

  • Вопрос

  • Коллеги,  доброго времени суток.

    Есть 5 контроллеров и по политическим соображением необходимо изменить имя самого первого КД, на котором все fsmo роли.

    Теоретически, логика подсказывает , и документация, что нужно переместить fsmo на другие КД (что уже и сделал), понизить его до рядовой станции и вместо него уже подготовить новый КД, с новым именем.

    Провел тест на стенде, при понижении не удаляется КД из оснастки Сайтов, так же остаются связи и возможно какие-то остатки в лесу, так же остаётся его А-запись в DNS.

    Подскажите, кто сталкивался, может проще как-то произвести переименование КД? или как вообще поступить наиболее рационально? Спасибо

    22 июля 2018 г. 17:47

Все ответы


  • Провел тест на стенде, при понижении не удаляется КД из оснастки Сайтов, так же остаются связи и возможно какие-то остатки в лесу, так же остаётся его А-запись в DNS.


    Оттуда надо удалить его вручную, или из оснастки Пользователи и компьютеры из контейнера Domain Controllers. А-запись дропнуть несложно.

    Вы все правильно мыслите, лучше ввести новый, а старый убрать, это более правильно и безопасно.

    Некоторое дополнение к вашему порядку действий:

    - уберите КД из выдачи dhcp

    - уберите КД из зон DNS

    22 июля 2018 г. 18:19
  • Оттуда надо удалить его вручную, или из оснастки Пользователи и компьютеры из контейнера Domain Controllers. А-запись дропнуть несложно.

    Вы все правильно мыслите, лучше ввести новый, а старый убрать, это более правильно и безопасно.

    Некоторое дополнение к вашему порядку действий:

    - уберите КД из выдачи dhcp

    - уберите КД из зон DNS

    Именно так и сделал, только понижал КД через Диспетчер серверов средством удаления роли AD DS и как итог, КД пропал из OU Domain Controllers, и А-запись, и наличие в "Сайтах" удалял руками (на стенде), связи вроде как поднялись (правда через оснастку "Сайты" на каждом КД делал "Репликация с выбранного КД и Репликация на выбранный КД", но так понимаю их можно и руками прописать (или лучше так не делать?)

    - КД не используется в качестве DHCP сервера, DHCP - отдельный рядовой сервер.

    Единственное, что вызвало вопросы - не проходил тест dns - dcdiag /test:dns , репорт ссылался на то, что помимо А-записи не доступен сервер, который понижен и удалён. Стал проверять DNSы на всех КД и вот с чем столкнулся (хотя понятной документации для себя не нашёл) - на всех DNS в "Зоне прямого просмотра" - "Имя домена" - "_msdcs" - вот тут статическая запись сервера имён, что понижен (он же был самым первым КД в этом домене). Починил тем, что добавил туда остальные DNSы, что имеются. На сколько это верно?

    Спасибо

    22 июля 2018 г. 18:54
  • Еще проверьте, что у серверов со статическим ip, не указан в dns этот утилизированный кд.
    22 июля 2018 г. 20:03
  • Еще проверьте, что у серверов со статическим ip, не указан в dns этот утилизированный кд.

    Это само собой разумеется)

    Меня больше заботит "_msdcs"

    23 июля 2018 г. 3:57
  • Почитайте https://blog.bissquit.com/windows/windows-server/dns-_msdcs-forestname-otsutstvuet/
    23 июля 2018 г. 11:48
  • Всё правильно сделали. Эта статическая запись, типа NS - это запись делегирования зоны поддомена. Она нужна для поиска серверов, полномочных для зоны поддомена. В ней должны быть указаны все серверы DNS для зоны (при настройки области репликации поддомена _msdcs по умолчанию это будут все контроллеры домена в лесу).

    На практике же, если в качестве серверов DNS на всех членах домена указаны только контроллеры домена, эта запись по факту не используется, т.к. все контроллеры домена являются полномочными для этой зоны и искать им ничего не нужно.


    Слава России!

    23 июля 2018 г. 18:07
  • Спасибо, коллеги. На неделе с предварительным бекапам всех КД попробую произвести понижение и запуск КД с новым именем
    24 июля 2018 г. 5:28
  • Коллеги, спасибо большое.

    Сегодня ещё раз забекапился по уши, перетащил предварительно FSMO роли с данного сервера, понизил с уровня КД до уровня рядового сервера, лишил членства в домене.

    В DNS, в _msdcs убрал запись и добавил остальные DNS сервера. Так же произвёл очистку в "Сайтах". Новому серверу предоставил освободившийся IP, поднял до уровня КД, указав источник синхронизации. Связи поднялись. В целом, всё. Наблюдаю, но полагаю, что всё прошло нормально

    25 июля 2018 г. 12:01
  • Я как то раз проделывал процедуру переименования контроллера домена, по сути вы правильно описали алгоритм по передаче ролей, а потом переименовыванию, по теме я вам посоветовал бы почитать вот эту заметку, там вроде все описано подробно, как все делается.
    26 июля 2018 г. 7:40
  • Я как то раз проделывал процедуру переименования контроллера домена, по сути вы правильно описали алгоритм по передаче ролей, а потом переименовыванию, по теме я вам посоветовал бы почитать вот эту заметку, там вроде все описано подробно, как все делается.

    Я читал эту статью. Всё же, имхо, при переименовании есть шанс скривить лес, на сколько толково переименуются атрибуты - тоже спорный вопрос.

    Потому всё же самым адекватным решением считаю понижение "не нужного" домена и добавление "правильного"

    30 июля 2018 г. 5:14