Renommer un domaine AD

Avant de renommer un domaine, il faut bien vérifier les applications qui reposent sur ce dernier. Il n’est pas supporté par exemple de renommer un domaine qui contient Exchange (2007+). De manière générale, il est souvent impossible de renommer un domaine AD de production à cause de l’interraction avec les applications présentes.

Depuis un poste membre du domaine, installer les RSAT AD.

Créer une zone principale dans le DNS avec le nom du futur domaine

2017-04-04_17h24_47

ouvrir une fenêtre powershell en tant qu’administrateur et lancer

rendom /list

2017-04-04_17h27_26

Un fichier xml est crée contenant la liste des informations du domaine actuel.

2017-04-04_17h28_33.png

Ouvrir le fichier avec notepad et modifier les entrées correspondant à l’ancien domaine par le nouveau nom choisi puis sauvegarder.

2017-04-04_17h28_40

Pour vérifier exécuter


rendom /showforest

 

Mettre à jour les modification dans la partition de configuration AD

Ensuite exécuter


rendom /upload

 

2017-04-04_17h32_28

Préparer le nouveau domaine

rendom /prepare

2017-04-04_17h33_26

Exécuter le changement de domaine

rendom /execute

2017-04-04_17h33_48

L’action va redémarrer tous les controlleurs de domaine automatiquement.

On peut vérifier après le reboot que la console utilisateurs et ordinateur active directory pointe bien vers le nouveau domaine

2017-04-04_17h34_41

Les postes de travails et serveurs doivent être redémarrer 2 fois pour appliquer les changements. Les mots de passes et noms d’utilisateurs resteront inchangés mais le nom de domaine sera le nouveau.

Les contrôleurs de domaine ne sont pas renommés lors du processus de renommage du domaine.

2017-04-04_17h36_46

Il est nécessaire de les renommer soit graphiquement, soit via les commandes

netdom computername DC.contoso.com /add:DC.canitpro.local

netdom computername DC.contoso.com /makeprimary:DC.canitpro.local

Rebooter ensuite le DC

2017-04-04_17h39_05

Ensuite, il est nécessaire de résoudre les problèmes de GPO. L’ancien nom de domaine est toujours utilisé.

2017-04-04_17h39_50.png

Il faut renseigner en invite de commande


gpfixup /olddns:contoso.com /newdns:canitpro.local

 

2017-04-04_17h47_06


gpfixup /oldnb:CONTOSO /newnb:canitpro

 

2017-04-04_17h47_35


rendom /cleanup

 

2017-04-04_17h47_55

Publicités

Gestion des serveurs

Activer l’authentification credssp sur le client

Enable-WSManCredSSP -role Client -DelegateComputer '*contoso.com'

 

Activer l’authentification credssp sur le serveur

Enable-WSManCredSSP -role Server

 

Il est également nécessaire de paramétrer la GPO ordinateur -> modèle d’admin -> système -> délégation -> nouvelle délégation et mettre *.contoso.com

Se connecter à distance depuis le client

Enter-PSSession -ComputerName dc -Authentification Credssp -Credential 'contoso\administrateur'

Active Directory

Connaitre le niveau fonctionnel de la forêt

(Get-ADForest).ForestMode

Connaitre le niveau fonctionnel du domaine

(Get-ADDomain).DomainMode

Changer le niveau fonctionnel de domaine

Set-ADDomainMode -Identity contoso.com -DomainMode Windows2008R2Domain