بررسی نحوه تغییر نام Domain

شما با استفاده از ابزار Active Directory Domain Rename Tool می توانید این کار را انجام دهید. این ابزار یک متدلوژی مناسب و ایمن برای rename کردن یک یا چند دامین در یک درخت را فراهم می اورند . همچنین DNS name و یا NetBIOS هم می تواند تغییر کند.

تذکر: این عمل در windows 2000 family امکان پذیر نیست.

توجه : دامین های Windows 2000 در صورتی که در Mixed mode باشند قابل Rename کردن هستند البته نه با یک روش مناسب. لذا در اینجا مورد بررسی قرار نمی گیرد.
تذکر: تغییر نام دامین عملیات حساسی است. از انجام همزمان آن در محیط عملیاتی در کنار مطالعه خودداری کنید.

دامین های + Windows Server 2003 پس از آنکه ساختار جنگل (Forest) آن ها ساخته شد قابل rename کردن هستند. راه تعییر ساختار سلسه مراتبی یک درخت tree موجود، تغییر نام شاخه های آن است. به عنوان مثال شما می توانید یک Child-Domain را rename کنید تا یک Parent-Domain دیگری داشته باشد و یا می توانید یک Child-Domain را rename کنید تا به یک Root-Domain تبدیل شود. Rename کردن یک domain در + windows server 2003 قابلیتی با شکل جدید است که ایجاد شده و فقط به عنوان انجام مراحل rename کردن به صورت پشتیبانی شده و در مواقع ضروری است. استفاده از این ابزار نباید به صورت یک روتین برای انجام عملیات مدیریتی تبدیل شود. عملیات قدری پیچیده است و نباید با سرعت و عجله انجام شود.

محدودیت ها

بازسازی جنگل در ویندوز سرور 2003 قابلیت جدید است که برای حل مسائلی است که در ویندوز 2000 آنها در نظر گرفته نشده بودند. در ویندوز سرور 2000 واقعا قابلیت بازسازی ساختار جنگل forest در نظر گرفته نشده بود و راه مناسب انجام این کار از نو ساختن اجزاء بود. در ویندوز 2000 شما نمی توانید :

1) اسم DNS و یا NetBIOS دامین را تغییر دهید. با اینکه نمی توانید Rename کنید می توانید با move کردن برخی از محتویات به دامین جدیدی در برخی سناریو ها مشکلات را حل کنید . ابزار Active Directory Object Manager MoveTree در خانواده ویندوز سرور 2000 پشتیبانی می شود .

2) جا به جا کردن یک domain در یک جنگل تنها با یک عملیات . مشابه بالا می توانید item ها را کپی کنید ولی نمی توانید تمام دامین در یک جنگل کپی کنید.

3) دو نیمه کردن (Spilt) یک دامین به دو دامین با یک عملیات . برای این کار باید یک دامین جدید ایجاد کنید و سپس اجزاء را به دامین دوم move کنید.

4) یکی کردن دو دامین (Merge) . برای این کار باید تمام اجزاء و مولفه ها را باید از یک دامین به دامین دیگر MOVE کنید و دامین خالی را decommission کنید.

بنابراین انجام عملیات مدیریتی در ویندوز سرور 2000 بیش از حد و به صورت دستی صورت می گیرد. در ویندوز سرور 2003 شما نمی توانید :

1) تغییر آنکه چه دامینی Forest-root است. البته امکان تغییر نام DNS و NetBIOS و هر دو نام در خصوص Forest-root امکان پذیر است.

2) بیرون انداختن و یا افزودن یک دامین در یک Forest . تعداد دامین ها در زمان قبل و بعد از ساخت یا بازسازی ساختار جنگل ثابت می ماند.

3) renameکردن یک دامین به نامی که به یک دامین با ساختار تک جنگلی (single forest) در عملیات بازسازی داده شده است.
آماده شدن برای تغییر نام

تغییر نام دامین نیازمند برنامه ریزی زمانی دقیق است. به غیر از آن، موارد تکنیکال متعددی وجود دارد که لازم است پیش از شروع تغییر نام در نظر گرفته شود.

1) Forest Functional Level

لازم است حوزه عملکرد جنگل حداقل Windows Server 2003 باشد

2) Trust Relationships

اگر قرار است با تغییر نام جایگاه دامین در ساختار درختی Active Directory تغییر کند، نیاز به بازبینی یا بازسازی روابط Trust وجود دارد. این روابط Trust جایگزینی هستند برای ارتباطات Tree-Root یا Parent-Child که در ساختار جدید از دست می روند. با ذکر سه مثال روابط Trust لازم توضیح داده می شود.

A) در این مثال ساختار درخت cohowinery.com نیاز به بازسازی دارد و دامنه ی products.sales.cohowinery.com به products.cohowinery.com تبدیل می گردد. پیش از انجام تغییر نام لازم است یک رابطه Shortcut Trust بین products.cohowinery.com و cohowinery.com ایجاد شود. توجه کنید که لازم است به صورت Transitive باشد.

review-how-to-change-the-domain-name-01_Technet24

B) در سناریویی که تغییرات بیشتر است و یک Domain که به عنوان یک Parent برای یک Child است بازساختار می یابد. لازم است روابط Trust بیشتری ساخته شود.

review-how-to-change-the-domain-name-02_Technet24

C) در زمانی که یک Root Tree جدید ایجاد می شود، لازم است یک Shortcut Trust به صورت Two-Way و Transitive با Forest Root برقرار گردد.

review-how-to-change-the-domain-name-03_Technet24
3) آماده سازی DNS zone

با توجه به پروسه DC Locator که پیش تر توضیح داده شد، اگر DNS Zone مناسب وجود نداشته باشد، Client ها قادر به logon کردن نخواهند بود. لذا لازم است پیش از انجام مراحل تغییر نام DNS Zone مورد نظر ایجاد شود و توصیه می شود قابلیت Secure Dynamic update را فعال کنید. مسائل مربوطه به DNS Zone برای تغییر نام دامین مشابه ایجاد یک دامین جدید است. به عنوان مثال اگر قرار است sales.cohovineyard.com به marketing.cohovineyard.com تغییر نام پیدا کند، لازم است DNS Zone جدید ایجاد و تنظیم گردد.
4) جایگذاری Roaming User Profile و Redirection Folder

اگر از این موارد استفاده می کنید و از DNS Name برای مشخص کردن Path آن ها استفاده کرده اید، لازم است آن را پیش از تغییر نام، ویرایش کنید.

5) تغییر نام memberها

به صورت پیش فرض نام DNS به عنوان پسوند (Suffix) به نام اعضای یک دامین اضافه می شود و در صورت تغییر membership به صورت خودکار تغییر می کند. همین روند برای زمانی که DNS Name کامپیوتری که در آن عضو است تغییر کند عمل می کند. به همین دلیل با تغییر نام دامین، نام کامپیوتر های آن دامین تغییر می کند. این تغییر خودکار زمانی رخ می دهد که هر دو مورد زیر صیحیح باشند:

A) هیچ Group Policy که در آن Primary DNS Suffix تنظیم شده باشد اعمال نشده باشد.

B) تنظیمات پیش فرض تغییر خودکار عوض نشده باشند.

تذکر: نام DNS دامین کنترلر هایی که دامین آنها تغییر نام پیدا می کند، بدون تغییر می ماند و لازم است در یک قدم جداگانه پس از تغییر نام دامین، نام دامین کنترلر ها تغییر کند.
تذکر: اگر نام تعداد زیادی کامپیوتر تغییر کند، حجم ترافیک Replication بسیار زیاد می شود. این مسئله می تواند مشکلاتی همچون saturation یا congestion در WAN Link ها ایجاد کند.

5) آماده سازی CA ها

بر اساس معماری Certificate ها لازم است تغییر کنند و Certificate های جدید صادر شود. همچنین پیشنهاد می شود Certificate های قدیم ابطال گردند. در اکثر سناریو ها لازم نیست عملیاتی پیش از تغییر نام انجام شود.

6) Microsoft Exchange

اگر جنگل دارای Exchange Server 2003 SP1 است با استفاده از ابزار Exchange Domain Rename Fix-up Tool لازم است Attribute های Exchange به روز شوند. توجه کنید که در صورت وجود سایر نسخ در Forest، عملیات پشتیبانی نمی گردد.

فرآیند تغییر نام

پس از برنامه ریزی برای فرایند تغییر نام دامین، ابتدا لازم است با استفاده از ابزار rendom یک لیست از نام ها دامین، شامل Application Directory Partition ها در ساختار جنگل ایجاد شود. سپس، با ویرایش این لیست، ساختار جنگل اصلاح خواهد شد. با توجه به ساختار سلسله مراتبی DNS ساختار حنگل نیز منطبق با آن است. علاوه بر تغییر نام DNS هر دامین نام NetBIOS را نیز می توانید ویرایش کنید.

1- ابتدا با اجرای دستور rendom /list لیستی از ساختار کنونی جنگل ایجاد شده و در یک فایل خروجی با نام پیش فرض Domainlist.xml ذخیره می گردد. این لیست شامل تمام دامین ها و Application Directory Partition ها همراه با نام DNS آن ها است. هر کدام توسط یک GUID معین شده اند که در فرآیند تغییر نام بلاتغییر باقی می ماند.

review-how-to-change-the-domain-name-04_Technet24

در لیست بالا مقادیر DNSname و NetBiosName را می توانید ویرایش کنید و توجه داشته باشید مقدار GUID نباید تغییر کند. پس از ویرایش لیست با استفاده از دستور rendom /showforest می توانید تغییرات ویرایش شده را مشاهده کنید توجه داشته باشید که این دستور تغییری روی forest ایجاد نمی کند.

2- پس از ویرایش فایل، در یک پروسه تغییرات توسط رشته ای از عملیات روی تمام دامین کنترلر ها به روز می شود. این پروسه در زمانی آغاز می شود که با دستور rendom /upload تغییرات معین شده روی فایل را در قالب پروسه ویرایش اعمال کنیم در نهایت با دستور  rendom /execute اعمال تغییرات نهایی می گردد. دستور rendom /upload دستورالعملی را برای دامین کنترلر ها ایجاد می کند. همچنین، این دستور State File را برای رهگیری فرآیند تغییر نام تولید می کند(به صورت پیش فرض   DClist.xml). توجه داشته باشید که تغییراتی که توسط این دستور اعمال می شود در فاز آماده سازی قرار دارد و هیچ ویرایش نامی در این گام اتفاق نمی افتد. اسکریپت تولید شده توسط rad یک سند کد شده با XML است که سه مولفه دارد:

  • Test: یک تراکنش خواندن برای اعتبار سنجی آنکه Replica روی DC در حالت مناسب برای انجام عملیات (Action) است.
  • Action: یک تراکنش به روز رسانی جهت انجام رویendom /uplo روی دایرکتوری
  • Signature: یک hash رمز شده، جهت تصدیق آنکه اسکریپت به صورت توسط Rendom تولید شده است. بنابراین، یک اسکریپت ساخته شده توسط شخص ثالث (نفوذگر) برای سیستم قابل تشخیص خواهد بود.

با اجرای دستور rendom /upload عملیات خاصی روی Operation master ها صورت می گیرد. در Domain Naming Master اسکریپتی که شامل فرایند تغییر نام است، به عنوان یک مقدار در ویژگی msDS-UpdateScript attribute در مسیر cn=partitions,cn=configuration,dc=ForestRootDomain نوشته می شود و بنابراین بین سایر DC ها Replicate می شود. دستور rendom /upload همچنین، DNS Alias های لازم برای عملیات تغییر نام را ایجاد می کند.

3- در این مرحله بررسی می کنیم آیا Datastore تمام Domain Controller های جنگل (Forest) کاملا آماده انجام تغییرات می باشند یا خیر. دستور rendom /prepare موارد زیر را بررسی می کند:

  • آیا اسکریبت مناسب در msDS-UpdateScript attribute قرار گرفته است؟
  • آیا روابط Trust مورد نیاز وجود دارند؟
  • آیا SPN های مورد نیاز برای تمام دامین کنترلر ها دوباره منتشر شده است؟

review-how-to-change-the-domain-name-05_Technet24

4- قدم نهایی اعمال تغییرات است. نکته قابل توجه آن است که این مرحله از Replication بی بهره است لذا باید به صورت روی هر دامین کنترلر به صورت دستی اعمال شود. در طی انجام این فرآنید اختلال هایی در محیط اکتیو دایرکتوری رخ می دهد و ممکن است برخی نواحی از سرویس خارج شوند. با پایان این فرآیند انتظار می رود تداخلی وجود نداشته باشد. برای اعمال تغییرات دستور rendom /execute را وارد کنید. در انجام این فرآیند، Datastore روی دامین کنترلر به single-user mode می رود. در این mode سرویس اکتیو دایرکتوری از ارائه سرویس سر باز می زند و تنها توسط یک Local Thread می تواند مورد خواندن/نوشتن قرار گیرد. پس از پایان عملیات لازم است دامین کنترلر Restart شود. اگر در حین عملیات هر خطایی صورت گیرد، تمامی تغییرات اعمال شده تا آن لحظه به حالت پیشین خود باز می گردد.

5- پس از تغییر نام دامین ها، به علت آنکه نام  DNS آن ها تغییر یافته است، مقدار مولفه gpLink بر اساس نام جدید دامین معتبر نخواهد بود. همچنین مقدار gpcFileSysPath که دارای مقادیر UNC Path است نیز ممکن است نا معتبر باشد. با استفاده از ابزار Gpfixup.exe می توانید پس از اعمال تغییرات، مقادیر فوق را به روز کنید.

6- پس از عملیات تغییر نام، برای پاک کردن مولفه های باقی مانده از دامین قبلی و فرآیند تغییر نام، لازم است از دستور  rendom /clean استفاده شود. تنها پس از انجام این فاز یک تغییر نام دیگر امکان پذیر خواهد بود.smile icon

4 دیدگاه
  1. reza_hashemi says

    خیلی مفید و عالی بود. ممنون

  2. mshayan21 says

    عالی مثل همیشه تشکر

  3. trevian396993 says

    Great information. Thanks!!!

  4. کوچینگ says

    مرسی مشکلم حل شد .

دیدگاه

آدرس ایمیل شما منتشر نخواهد شد.