Процедура переименования контроллера домена Windows Server 2008

Процедура переименования рядового сервера (Windows 2000/2003/2008) очень проста. Достаточно зайти в свойства системы, изменить имя и перегрузиться. Однако для контроллеров домена данный подход не годится. В этой статье мы рассмотрим правильную процедуру переименования контроллера.

Команда

Для переименования контроллера домена нам необходимо использовать команду NETDOM. В Windows Server 2008 данная команда встроена в операционную систему и не требует отдельной установки как в предыдущих версиях ОС.
Для начала вам необходимо указать новое полное доменное имя для контроллера домена. Все остальные контроллеры домена должны содержать обновленный SPN атрибут и все DNS сервера в домене должны содержать A запись нового имени. Оба имени – и старое и новое поддерживаются до тех пор, пока вы не удалите старое имя. Это гарантирует что не будет никаких проблем с аутентификацией клиентов.
Важно: Для переименования контроллера домена с помощью утилиты NETDOM функциональный уровень домена должен быть как минимум Windows Server 2003.
Плохая новость: Как обычно, нам необходимо перегружать переименованный контроллер.
Отличная новость: Вам не нужно находиться непосредственно за контроллером, который вы переименовываете. Вы можете сделать это с любого компьютера где установлена утилита NETDOM, конечно если у вас есть соответствующие полномочия.

Права

Вы должны быть членом группы Domain Admins.

Процедура

Для переименования DC с именем KUKU-SERVER в домене WINDOWS-DOMAIN.LOCAL на имя DC-SERVER выполните следующие шаги:
1. Откройте командную строку и наберите команду:

NETDOM computername KUKU-SERVER.WINDOWS-DOMAIN.LOCAL /add:DC-SERVER.WINDOWS-DOMAIN.LOCAL

Эта команда обновит атрибут SPN в Active Directory для данного аккаунта компьютера и зарегистрирует нужные DNS записи для нового имени. Значение SPN должно быть реплицировано на все контроллеры домена и DNS записи должны разойтись по всем полномочным DNS серверам в домене. Если это не произойдет перед удалением старого имени то некоторые клиенты могут не найти данный контроллер домена ни по одному из имен. Поэтому очень важно чтобы Active Directory завершила полный цикл репликации. Вы можете проверить это с помощью утилит REPADMIN и REPLMON.
Вы можете проверить что новое имя добавлено к компьютеру с помощью ADSIEDIT.MSC. Перейдите в нужный объект и нажмите на нем правой кнопкой. Выберите Свойства:
Прокрутите список доступных параметров до атрибута с именем msDS-AdditionalDnsHostName.
2. После этого можно выполнить следующую команду:

NETDOM computername KUKU-SERVER.WINDOWS-DOMAIN.LOCAL /makeprimary:DC-SERVER.WINDOWS-DOMAIN.LOCAL

На данном этапе вы опять можете посмотреть изменения через ADSIEDIT.MSC. Найдите тот же параметр что был указан в предыдущем пункте и убедитесь что там присутствует старое имя сервера.
3. Перегрузите компьютер.
4. Введите в командной строке следующую команду:

NETDOM computername DC-SERVER.WINDOWS-DOMAIN.LOCAL /remove:KUKU-SERVER.WINDOWS-DOMAIN.LOCAL

5. Убедитесь что изменения были успешно реплицированы на все контроллеры домена.

Ошибка времени при репликации

И по поводу DNS - было такое пару раз, лечилось явным указанием адреса DNS-сервера. Почему-то 127.0.0.1 переставал восприниматься как верный адрес.

Возникла ошибка. Код события (EventID): 0x0000002E

            Время создания: 02/04/2010   04:40:27

            Строка события:

            Служба времени обнаружила ошибку и была вынуждена завершить работу.

Передача ролей при обновлении домена

- хозяин идентификаторов;
- хозяин схемы;
- хозяин именования;
- хозяин инфраструктуры;
- контроллер домена;

Проверка репликации

Run dcdiag, netdiag and repadmin in verbose mode.
->  DCDIAG /V /C /D /E /s:yourdcname > c:\dcdiag.log
->  netdiag.exe /v > c:\netdiag.log     (On each dc)
->  repadmin.exe /showrepl dc* /verbose /all /intersite > c:\repl.txt

Распространение сертификатов на клиентские компьютеры с помощью групповой политики

1. На контроллере домена в лесу организации партнера по учетным записям нажмите кнопку Пуск, выберите пункт Администрирование, а затем выберите пункт Управление групповой политикой.
   
2. Найдите существующий объект групповой политики или создайте новый объект для параметров сертификата. Сопоставьте объект групповой политики с доменом, сайтом или подразделением, в котором находятся нужные учетные записи пользователей и компьютеров.
   
3. Щелкните правой кнопкой мыши объект групповой политики и выберите команду Изменить.
   
4. В дереве консоли выберите пункты Конфигурация компьютера\Политики\Конфигурация Windows\Параметры безопасности\Политики открытого ключа, щелкните правой кнопкой мыши пункт Доверенные корневые центры сертификации и выберите команду Импорт.
   
5. На странице Мастер импорта сертификатов нажмите кнопку Далее.
   
6. На странице Импортируемый файл введите путь к нужным файлам сертификата (например, \\adfsresource\c$\adfsresource.cer) и нажмите кнопку Далее.
   
7. На странице Хранилище сертификатов выберите пункт Поместить все сертификаты в следующее хранилище, а затем нажмите кнопку Далее.
   
8. На странице Завершение мастера импорта сертификатов проверьте правильность всех введенных данных и нажмите кнопку Готово.
   
9. Повторите действия 2—6 для добавления дополнительных сертификатов для каждого из серверов служб федерации Active Directory.
   

Ограничение DNS-сервера прослушиванием только выбранных адресов и интерфейсов

Ограничение DNS-сервера прослушиванием только выбранных адресов

Чтобы ограничить DNS-сервер прослушиванием только выбранных адресов

• С помощью интерфейса Windows
• Использование командной строки

С помощью интерфейса Windows

1. Откройте оснастку DNS.
2. В дереве консоли щелкните применимый DNS-сервер.
   Где?
   
   • DNS/соответствующий DNS-сервер
3. В меню Действие выберите команду Свойства.
4. На вкладке Интерфейсы выберите параметр только по указанным IP-адресам.
5. В поле IP-адрес введите IP-адрес DNS-сервера, который следует включить для использования, и нажмите кнопку Добавить.
6. По мере необходимости повторяйте предыдущий шаг для добавления IP-адресов других серверов, включаемых для использования данным DNS-сервером.
   Если требуется удалить IP-адрес из списка, выберите этот адрес и нажмите кнопку Удалить.

Примечания

• Для выполнения данной процедуры необходимо входить в группу "Администраторы" на локальном компьютере или получить соответствующие полномочия путем делегирования. Если компьютер присоединен к домену, эту процедуру могут выполнять члены группы "Администраторы домена". При этом по соображениям безопасности рекомендуется использовать команду Запуск от имени.
• Чтобы открыть компонент "DNS", нажмите кнопку Пуск, выберите пункт Панель управления, дважды щелкните значок Администрирование, а затем дважды щелкните значок DNS.
• Служба DNS-сервер по умолчанию прослушивает все сообщения DNS по всем IP-адресам, указанным в конфигурации сервера.
• Для IP-адресов серверов, добавленных в список, требуется статическое управление. Если в дальнейшем потребуется изменить указанные здесь адреса или удалить их из конфигурации TCP/IP, поддерживаемой на данном сервере, необходимо соответствующим образом изменить список.
• Для ввода в действие нового списка ограниченных интерфейсов после его изменения или обновления необходимо остановить, а затем снова запустить DNS-сервер.
• Ограничение для службы «DNS-сервер», предусматривающее только прослушивание конкретных IP-адресов, является эффективной мерой безопасности, поскольку доступ к серверу будут иметь только узлы одной и той же подсети или узлы с маршрутизатором, соединяющим их с тем же самым сегментом.

Использование командной строки

1. Откройте окно «Командная строка».
2. Введите:
   dnscmdИмяСервера/ResetListenAddresses [ПрослушиватьАдрес ...]

 

Значение	Описание
dnscmd	Указывает имя программы, запускаемой из командной строки.
ИмяСервера	Обязательный параметр. Указывает имя DNS-узла DNS-сервера. Можно также ввести IP-адрес DNS-сервера. Чтобы указать DNS-сервер на локальном компьютере, можно также ввести точку (.).
/ResetListenAddresses	Обязательный параметр. Переустанавливает IP-адреса интерфейсов, которые прослушивает DNS-сервер.
ПрослушиватьАдрес...	Указывает один или несколько IP-адресов интерфейсов, которые DNS-сервер должен прослушивать. Служба «DNS-сервер» по умолчанию прослушивает все сообщения DNS по всем IP-адресам, указанным в конфигурации сервера.

Примечания

• Для выполнения данной процедуры необходимо входить в группу "Администраторы" на локальном компьютере или получить соответствующие полномочия путем делегирования. Если компьютер присоединен к домену, эту процедуру могут выполнять члены группы "Администраторы домена". При этом по соображениям безопасности рекомендуется использовать команду Запуск от имени.
• Чтобы открыть окно командной строки, нажмите кнопку Пуск и выберите команды Все программы, Стандартные и Командная строка.
• Для выполнения этой процедуры необходима служебная программа Dnscmd. Дополнительные сведения об установке средств поддержки Windows см. по ссылке «См. также».
• Чтобы просмотреть полный синтаксис этой команды, введите в командной строке:
  dnscmdИмяСервера/ResetListenAddresses/help
• Для IP-адресов серверов, добавленных в список, требуется статическое управление. Если в дальнейшем потребуется изменить указанные здесь адреса или удалить их из конфигурации TCP/IP, поддерживаемой на данном сервере, необходимо соответствующим образом изменить список.
• Для ввода в действие нового списка ограниченных интерфейсов после его изменения или обновления необходимо остановить, а затем снова запустить DNS-сервер.
• Ограничение для службы «DNS-сервер», предусматривающее только прослушивание конкретных IP-адресов, является эффективной мерой безопасности, поскольку доступ к серверу будут иметь только узлы одной и той же подсети или узлы с маршрутизатором, соединяющим их с тем же самым сегментом.

Условные обозначения форматирования

 

Формат	Описание
Курсив	Сведения, вводимые пользователем
Полужирный шрифт	Элементы, вводимые без изменений
Многоточие (...)	Параметр может быть введен в командной строке несколько раз
В квадратных скобках ([])	Необязательные элементы
В фигурных скобках ({}), варианты, разделенные вертикальной линией (|). Пример: {четные|нечетные}	Набор вариантов, из которых необходимо выбрать один
Courier font	Программа или выходные данные

Сведения о функциональных различиях

Сервер может вести себя по-разному в зависимости от версии и выпуска установленной операционной системы, прав и разрешений вашей учетной записи и настроек меню. Дополнительные сведения см. по ссылке Просмотр справки в Интернете.

Включение SAN в корневом ЦС

certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2
и перезапустить сам ЦС:
net stop certsvc
net start certsvc