1/24

IntroductionDans cet article nous allons voir comment renommer un domaine sous Windows 2003 Server. En effet, les noms de domaine d'une entreprise sont amenés à changer pendant la vie de celle-ci du fait de restructurations, de rachats ou de fusions. Nous allons donc voir les étapes de la mise en œuvre d'une procédure de renommage de domaine dans un environnement Windows Server 2003.Avant le renommage   :

2/24

Après le renommage   :

1. Pré-requis Fonctionnalités de la forêt : le renommage de domaine ne peut se faire que dans une

forêt dans laquelle tous les contrôleurs de domaine exécutent Windows Server 2003 Standard Edition, Windows Server 2003 Entreprise Edition, Windows Server 2003

3/24

Datacenter Edition, et un niveau fonctionnel de la forêt Active Directory augmenté au niveau fonctionnel Windows Server 2003.  

Privilèges administratifs : La procédure de renommage de domaine nécessite les privilèges Administrateur d’entreprise.  

Station de contrôle : l’ordinateur qui sera utilisé pour la procédure de renommage doit être un membre du domaine (pas contrôleur de domaine) sous Windows Server 2003 Standard Edition, Windows Server 2003 Entreprise Edition, Windows Server 2003 Datacenter Edition.

2. PréparationLa phase de préparation va nous permettre de nous assurer que tous les pré-requis pour l’opération de renommage de domaine sont en place.2.1 Augmenter le niveau fonctionnel de la forêtComme nous l’avons vu précédemment la procédure de renommage de domaine ne peut s’effectuer que dans une forêt Active Directory avec un niveau fonctionnel Windows Server 2003. Pour ce faire : 1.   Ouvrez la console Active Directory « Domaines et approbations »2.   Dans le panneau de gauche, faîtes un clic droit sur « Domaines et approbations Active Directory », puis cliquez sur « Augmenter le niveau fonctionnel de la forêt ». 3.   Dans la liste déroulante, sélectionnez « Windows Server 2003 ».Cliquez sur « OK » pour confirmer l’augmentation du niveau fonctionnel.·         Fonctionnalités de la forêt : le renommage de domaine ne peut se faire que dans une forêt dans laquelle tous les contrôleurs de domaine exécutent Windows Server 2003 Standard Edition, Windows Server 2003 Entreprise Edition, Windows Server 2003 Datacenter Edition, et un niveau fonctionnel de la forêt Active Directory augmenté au niveau fonctionnel Windows Server 2003. SERVER1.PICSOU.COM

4/24

5/24

SERVER2.HR.PICSOU.COM

SERVER4.PRODUCTS.PICSOU.COM

6/24

SERVER3.SALES.PICSOU.COM

7/24

2.2 Créer les raccourcis de relations d'approbation nécessaireNous devons vérifier que nous que tous les domaines enfants du domaine PICSOU.COM ont des relations d’approbation avec le domaine racine de la forêt. Pour ce faire :1.           Ouvrez la console « Domaines et approbations Active Directory » en tapant « domain.msc » dans la console « Exécuter ».2.           Faîtes un clic droit sur le domaine PICSOU.COM et cliquez sur « Propriétés ».3.           Allez dans l’onglet « Approbations » et vérifier qu’il existe bien une relation d’approbation entre le domaine PICSOU.COM et chaque enfant (HR.PICSOU.COM, SALES.PICSOU.COM, PRODUCTS.PICSOU.COM).Relations d’approbation de SERVER1.PICSOU.COM

Relations d’approbation de SERVER2.HR.PICSOU.COM

8/24

Relations d’approbation de SERVER4.PRODUCTS.PICSOU.COM

9/24

Relations d’approbation de SERVER3.SALES.PICSOU.COM

2.3 Préparer les zones DNSEn vue du renommage de domaine nous devons préparer les nouvelles zones DNS pour pouvoir accueillir le nouveau nom de domaine. Plus concrètement nous devons recréer l’arborescence de domaine existante mais avec le nouveau nom. C'est-à-dire : Zones DNS actuelles :

PICSOU.COM o HR o SALES o PRODUCTS

Zones à ajouter : DONALD.COM

o HR o SALES o PRODUCTS

Pour ce faire : 1. Ouvrez la console « DNS » en tapant dans la fenêtre « Exécuter » la commande

« dnsmgmt.msc » 2. Faîtes un clic droit sur « Zones de recherche directes » et cliquez sur « Ajouter une

zone de recherche directe » 3. Ajouter la zone DONALD.COM 4. Puis faîtes de même avec mes zones HR, SALES et PRODUCTS.

10/24

2.4 Configurer les ordinateurs membres pour les changements de nom d’hôteDans le processus de renommage d’un domaine Windows Server 2003, le suffixe DNS primaire, et donc le nom DNS complet d’un ordinateur membre d’un domaine Active Directory change quand le domaine est renommé. Pour mener à bien cette étape, il faut que deux conditions soient réunies :

Le suffixe DNS de m’ordinateur est configuré pour être mis à jour quand l’appartenance à un domaine change.

Aucune stratégie de groupe spécifiant un suffixe DNS primaire n’est appliqué. Pour vérifier que vous n’avez pas de stratégie de groupe qui définissent le suffixe DNS primaire effectuez les étapes suivantes :

Dans le prompt, tapez « gpresult ». Dans le résultat renvoyé, sous « objets de stratégie de groupe appliqués », regardez

si le suffixe DNS est listé. Dans la console Active Directory (dsa.msc) cliquer droit sur l’objet Ordinateurs et

sélectionnez « Toutes les tâches » et cliquer sur « Resultant Set of Policy (Logging) »

Ouvrez un prompt (cmd).  Tapez  « IPCONFIG /ALL » et vérifier le suffixe DNS retourné. Si celui-ci ne

correspond pas à celui figurant dans le panneau de configuration alors une stratégie de groupe définissant le suffixe DNS primaire est appliqué.

Dans le registre, vérifier la présence de la clé HKLM\SOFTWARE\POLICIES\MICROSOFT\SYSTEM\DNSclient. Si une valeur y est présente alors une stratégie de groupe définissant le suffixe DNS primaire est appliquée.

Par défaut, le suffixe DNS primaire d’un ordinateur membre d’un domaine Active Directory est configuré pour changer automatiquement sous Windows 2000, Windows XP ainsi que toute la gamme Windows Server 2003. Nous allons donc vérifier que tous nos serveurs sont

11/24

configurés pour mettre à jour le suffixe DNS primaire de l’ordinateur quand l’appartenance à un domaine change. Pour ce faire :

1. Faîtes un clic droit sur le poste de travail, et cliquez sur « Propriétés » 2. Allez dans l’onglet « Nom de l’ordinateur » puis cliquez sur « Modifier » et sur

« Autres » ensuite. 3. Vérifiez comme le montre les fenêtres suivantes que la case « Modifier le suffixe

DNS principal lorsque les adhésions au domaine sont modifiées ». SERVER1.PICSOU.COM

SERVER2.HR.PICSOU.COM

SERVER4.PRODUCTS.PICSOU.COM

SERVER3.SALES.PICSOU.COM

12/24

3. ProcédureNous allons maintenant entamer la procédure de renommage de domaine. A la fin de celle-ci le changement de nom de domaine sera effectif. Assurez vous donc d’avoir bien mis en place les pré-requis.  Toutes les étapes de cette section sont à exécutées sur la station de contrôle !3.1 Sauvegarder l'état de tout les contrôleurs de domaineFaîtes une sauvegarde complète de  l’état système de tous  vos contrôleurs de domaine dans présents dans la forêt.3.2 Configurer la station de contrôleCette étape va consister à la configuration d’un ordinateur en tant que station de contrôle du processus de renommage de domaine.  Pré requis pour la station de contrôle :

L’ordinateur doit être membre d’un domaine  de la forêt dans laquelle le processus de renommage va se dérouler

L’ordinateur doit exécuter Windows Server 2003 Standard Edition, Server 2003 Entreprise Edition, Server 2003 Datacenter Edition.

Avoir le CD de Windows Server 2003 Standard Edition, Server 2003 Entreprise Edition, Server 2003 Datacenter Edition.

Etre membre du groupe d’administrateurs locaux de la station de contrôle. Pour la configuration de celle-ci nous allons commencer par  créer un dossier  (C:\DomainRename) sur le disque local de la station de contrôle à partir duquel nous les exécuterons les outils de renommage.Dossier à créer sur le disque local de la station de contrôle

13/24

Ensuite nous allons copier le contenu du dossier «X:\VALUEADD\MSFT\MGMT\DOMREN» dans le dossier « C:\DomainRename » que nous venons de créer sur le disque local de la station de contrôle.Fichier à copier

Ensuite installez les Support Tools présents sur le CD de Windows Server 2003 (X:\SUPPORT\TOOLS) et double cliquez sur le fichier SUPTOOLS.MSI.

14/24

Une fois les différents outils installés, ouvrez une fenêtre de Prompt et allez dans le dossier créer juste avant contenant les outils de renommage (C:\DomainRename) et vérifier que les outils  GPFIXUP.EXE ET RENDOM.EXE. 

3.3 Générer la description de la forêt actuelleNous allons générer la description de la structure de  la forêt actuelle sous forme de fichier XML. Ce fichier XML va contenir la liste de toutes les partitions de domaine  ainsi que les partitions d’applications.  Ce fichier XML va nous servir de base pour effectuer les changements de nom de domaine.Pour générer ce fichier, allez dans le prompt et assurez vous d’être dans le dossier « C:\DomainRename » et exécutez la commande « RENDOM /LIST ».

15/24

1. Allez dans le dossier « C:\DomainRenanme » et vérifier la présence du fichier « domainlist.xml ».

2. Tapez la commande suivante pour sauvegarder la structure de la forêt « copy domainlist.xml domainlist-save.xml ».

3. Editez le fichier « domainlist.xml ». 3.4 Spécifier la description de la nouvelle forêtNous allons maintenant spécifier le nouveau nom de domaine pour la future structure. Pour cela nous allons nous basé sur le fichier XML obtenu précédemment contenant la structure actuelle que nous allons éditer à l’aide de l’éditeur de texte standard de Windows et changer les noms DNS de toutes les zones que nous souhaitons changer pour établir la structure de la future forêt. Pour ce faire changer les baises <DNSname></DNSname>et <NetBiosName></NetBiosName>. Attention les balises <Guid></Guid>ne doivent pas changer.Dans notre cas nous obtenons le fichier suivant :

Vérifier la nouvelle structure de forêt à l’aide la commande « RENDOM /SHOWFOREST ».

16/24

3.5 Générer les instructions de renommage de domaineA cette étape nous allons utiliser RENDOM pour générer les instructions requises pour construire la nouvelle structure de forêt. RENDOM va traduire la structure de forêt exprimée en fichier éditable par une séquence d’instructions de mises à jour qui vont être exécutées individuellement et à distance sur chaque contrôleur de domaine de la forêt.Pré requis :

Faire partie du groupe Administrateurs d’entreprise de la forêt cible Faire partie du groupe Administrateurs locaux  sur la station de contrôle

Pour générer les instructions de renommage et les envoyées aux serveurs DNS exécutez la commande « RENDOM /UPLOAD » et vérifier que le fichier dclist.xml à bien été généré dans « C:\DomainRename ».

Editer le fichier dclist.xml.

17/24

3.6 Envoyer les instructions de renommage de domaine à tous les contrôleurs de domaine et vérifier la disponibilité des serveurs DNSDans cette étape nous allons forcer la réplication d’Active directory  pour envoyer les instructions de renommage qui ont été uploadées à tous les contrôleurs de domaine de la forêt PICSOU.COM.Pour ce faire ouvrez la console « Sites et services Actives Directory » (dssite.msc). Déroulez l’arborescence « PICSOU »  puis SERVER1 et cliquez gauche sur « NTDS Settings ». Faîtes un clic droit sur chaque partenaires de réplication présents dans le panneau de droite et cliquez ensuite sur « Répliquer maintenant ».

18/24

Refaites cette étape de réplication pour tous les contrôleurs de domaine présent dans la forêt.3.7 Vérifier la disponibilité des contrôleurs de domaineCette étape va consister à  lancer une vérification sur tous les contrôleurs de domaine de la forêt pour vérifier que les bases de données AD de chaque contrôleur de domaine sont en bon état et prêtes à recevoir les modifications en vue du renommage de domaine.Ouvrez une fenêtre de Prompt et tapez la commande suivante : « RENDOM /PREPARE ».

19/24

Une fois que la commande s’est exécutée, vérifier dans le « fichier dclist.xml »  pour déterminer que tous les contrôleurs de domaine sont à l’état « Prepared » ce qui signifie qu’ils sont prêts.

Si tous les DCs ne sont pas à l’état prêt ré exécutez la commande « RENDOM /PREPARE » jusqu’à ce que tous les DCs soient à l’état prêt.3.8 Exécuter les instructions de renommage de domaineNous allons maintenant exécuter les instructions de renommage de domaine. Attention à ce que tous les DCs soient bien dans l’état « Prepared » dans le fichier « dclist.xml » avant de continuer.Pour exécuter les instructions de renommage exécutez la commande suivante dans le Prompt : « RENDOM /execute ».Une fois la commande exécutée, vérifiez dans le fichier « dclist.xml » pour vérifier que tous les contrôleurs de domaine sont dans l’état « Done » ce qui signifie que le processus de renommage s’est bien déroulé.

20/24

Si tous les DCs ne sont pas dans l’état « Done » éditez le « fichier dclist.xml » et mettez  les balises <RETRY /> à « yes » et comme suit « <RETRY>yes</RETRY> » et relancez la commande « RENDOM /EXECUTE ».Si tous ce passe bien tous les DCs redémarreront automatiquement. Si tel n’est pas le cas faîtes le manuellement.3.9 Débloquer la configuration de la forêt

1. Pendant l’exécution de la commande précédente toute la forêt était gelée  pour pouvoir recevoir les modifications. Nous allons donc utiliser l’outil RENDOM pour dégeler la forêt.

2. Redémarrez la station de contrôle deux fois pour être sûr que les changements aient bien été pris en compte.

3. Exécutez la commande suivante dans la fenêtre de Prompt pour envoyer les instructions dégèlement de la forêt : « RENDOM /END ».

21/24

3.10 Réparer les liens et les GPO (Group Policy Object)Nous allons maintenant réparer à l’aide de l’outil gpfixup.exe les GPOs et leurs références dans tous les domaines renommés. Cette procédure doit être effectuée sur tous les contrôleurs de domaine présent lors du renommage de domaine.Gpfixup /olddns :picsou.com /newdns :donald.com /oldnb :picsou /newnb :donald /dc :server1.donald.com 2>1 >gpfixup.log

Ensuite forcez la réplication Active Directory sur tous les contrôleurs de domaine.

 4. Post configuration4.1 Réparer les raccourcis « Stratégie de sécurité du domaine » et « Stratégie de sécurité du contrôleur de domaine ».Sur les contrôleurs de domaine les raccourcis vers les stratégies de sécurité sont rendus inactifs du fait du renommage de domaine. Il faut donc modifier la cible des raccourcis pour l’adapter à la nouvelle structure. Pour ce faire, sur chaque DC de la forêt exécuter les étapes suivantes :

Dans le menu « Démarrer \Programmes\Outils d’administration\ » faites un clic droit sur « Stratégie de sécurité du domaine » puis sur « Propriétés ».

22/24

Modifiez ensuite dans le champ « cible » le paramètre « /gpobject » et remplacer l’ancien nom DNS par le nouveau.

23/24

Faites de même pour « Stratégie de sécurité du contrôleur de domaine ».

24/24

Supprimer tous les enregistrements DNS relatifs aux anciennes zones DNS.4.2 Sauvegarder l’état des contrôleurs de domaine

4.3 Redémarrer les ordinateurs membresRedémarrez les ordinateurs membres deux fois pour qu’ils prennent en compte et propagent toutes les modifications effectuées lors du processus de renommage.4.4 Nettoyage des attributsLa phase de nettoyage ne doit avoir lieu qu’après avoir rebooté tous les DCs deux fois.Exécutez la commande « RENDOM /CLEAN » à partir de la station de contrôle.

5. ConclusionNous venons donc de voir comment renommer un domaine Windows 2003 Server sans repositionnement dans la forêt. Cependant il existe de nombreux autres cas de figure pour lesquels un renommage de domaine peut avoir lieu.