Windows Server 2012: Renombrar un Controlador de Dominio

Todos en algún momento tuvimos que cambiar el nombre de una máquina ya instalada: es fácil, pero lo que no es tan sencillo es si ya lo hemos promovido como Controlador de Dominio

Esto nos puede suceder generalmente por dos motivos: no haber pensado con anterioridad una buena convención de nombres, o simplemente por apurados :-) ya que por omisión una instalación queda con un nombre generado en forma aleatoria

Tener que cambiar el nombre a un Controlador lleva algunos pasos más que renombrar un simple servidor miembro del Dominio, tanto por las comprobaciones adicionales que debemos hacer, como el paso adicional para asegurarnos no tener problemas con la replicación de SYSVOL

Como adicional podemos agregar que el procedimiento es válido para versiones anteriores por lo menos desde Windows Server 2003

Para esta demostración usaré tres máquinas: dos Controladores de Dominio, y un cliente para verificar que no se vea afectado

Las máquinas usadas son:

  • Controlador de Dominio 1
    • Sistema operativo: Windows Server 2012
    • Nombre: dc1.root.guillermod.com.ar
    • Configuración IP. 192.168.1.201/24
  • Controlador de Dominio 2
    • Sistema operativo: Windows Server 2012
    • Nombre se cambiará a: dc2.root.guillermod.com.ar
    • Configuración IP: 192.168.1.202
  • Cliente del Dominio
    • Sistema operativo Windows 7
    • Nombre: cl2.root.guillermod.com.ar
    • Configuración IP: 192.168.1.1
    • Configuración DNS: 192.168.1.201 y 192.168.1.202

En la siguiente pantalla podemos ver la configuración inicial de DC2 que es el Controlador de Dominio con el “nombre incorrecto”

Comenzaremos en la forma clásica de cambiar nombres de máquina, simplemente pulsamos el ratón sobre el nombre del equipo y vamos siguiendo los pasos que supongo conocidos por todos

Los administradores generalmente tienen “dedos muy rápidos”, o quizás por la costumbre de ver continuamente advertencias. Cada vez que aparece un cuadro le damos a “Ok” sin leer detenidamente

¿Leyó lo que decía? ¿revisó el enlace que propone? ¡Ah! ¡ya me parecía! :-)
Ese es el que avisa sobre el paso adicional. Ya lo veremos acá

Cambiamos el nombre

Y por supuesto reiniciamos como nos lo pedirá

Luego del reinicio vamos a DC1 a hacer comprobaciones adicionales. Darle unos minutos para darle tiempo para que se actualice lo más posible

Lo primero que voy a controlar es DNS, y me llevo ya una sorpresa: aunque se registró con el nuevo nombre, queda el registro anterior. Debemos borrarlo manualmente

Controlo “Active Directory Users and Computers” y observo que acá la información se actualizó correctamente con el nuevo nombre

Voy también a “Active Directory Sites and Services” y puedo ver que acá también se actualizó correctamente la información

¿Entonces ya es todo? No. Recuerden que hay un paso adicional respecto a SYSVOL

Debemos ingresar a “Active Directory Users and Computers”y elegir “View / Advanced Features”

Y luego ir a: “System / DFSR-GlobalSettings / Domain System Volume / Topology” donde encontraremos todavía el nombre anterior
Debemos renombrar la “carpeta” poniendo el nuevo nombre que le hemos dado al Controlador de Dominio, simplemente con botón derecho y “Rename”

Quedará así

Si quieren una comprobación adicional, podemos probar con un cliente (CL2). Simplemente inicio sesión, observo que que fue autenticado por DC1

Luego apago DC1, reinicio el cliente, y nuevamente inicio sesión, observando que ahora fue autenticado por DC2

Siempre es conveniente pensar una buena convención de nombres para las máquinas, especialmente si son Controladores de Dominio, pero si en algún momento tenemos que cambiarle el nombre, no es tan complicado, sólo el paso adicional para que se actualice SYSVOL

Anuncios
Post a comment or leave a trackback: Trackback URL.

Comentarios

  • LuADS  On 02/10/2013 at 16:34

    Hola Guillermo, he seguido tu tuto probando en virtualización, primero migré de server 2003 a 2012 despromocioné y eliminé el 2003 y después he cambiado el nombre al controlador de dominio, pero al reiniciar no me deja iniciar sesión con el administrador del dominio por pérdida de confianza y tampoco me deja en local…

    • Guillermo Delprato  On 02/10/2013 at 17:01

      Cuidado que son dos temas diferenes y delicados ambos. Mucho mejor si lo estás probando en virtual

      Entiendo que la actualización desde W2003 a W2012 fue si problemas ¿si?
      Siempre conviene dejar pasar unos días antes de despromocionar el Controlador de Dominio que ya no se usará, eso asegura que en caso de problemas siempre hay otro
      Y también un riesgo muy grande es tener un único Controlador de Dominio, ya que no hay tolerancia a fallas

      Centrándonos en el tema que pones ahora, es muy raro eso de que se rompa la relación de confianza si estás iniciando sesión directamente desde el propio Controlador de Dominio
      Realmente no se me ocurren muchas alternativas de solución, al ser el único Controlador de Dominio y no poder inciar sesión, ya que para hacer el cambio que indica la nota es necesario que Active Directory se esté ejecutando

      ¿Haz buscado en Internet con el mensaje exacto del error que da al intentar iniciar sesión? a ver si a alguien más le ha sucedido? Pero te digo que es muy muy raro eso que que se rompió la relación de confianza en el propio Controlador de Dominio, nunca la he visto anteriormente

      • LuADS  On 02/10/2013 at 17:56

        He probado intentar iniciar en local y tampoco me deja, le cambié el nombre y le puse el del antiguo DC. Al migrar, el único problema que me dio fue a la hora de hacer la réplica, no me pasaba la carpeta Sysvol y netlogon pero lo solucioné. Estaba probando en virtual porque lo voy a tener que hacer y el DC está detrás de un firewall, le quería poner el mismo nombre y la IP al nuevo, pero ahora, viendo este problema no creo que lo haga, la IP sí pero cambiaré los script de los mapeos y todo lo que haga referencia al nombre…

      • Guillermo Delprato  On 02/10/2013 at 19:43

        Un Controlador de Dominio nunca permite incio con cuenta local, salvo cuando se inicia en modo restauración de Active Directory, aunque en este caso como se necesita AD en funcionamiento para hacer el cambio propuesto en la nota no serviría tampoco

        Si no replicaba la carpeta Sysvol, ese es un problema grave, y por lo tanto si fue despromovido el DC “viejo” no hay forma de recrearla

        Si entre los DCs hay un firewall cuidado, porque usa RPC, lo que implica que es impredecible qué puertos utilizará. Si buscas en la web de Technet había, no sé si seguirá estando, un artículo que se llama “Active Directory Replication over Firewalls”

        Si la despromoción es correcta no debería haber problemas en que luego lo renombres con el nombre del que ya no está, y haciendo, reitero, el cambio como está en el artículo, siempre y cuando la despromoción fuera hecha en forma satisfactoria, y eliminando la cuenta en AD

        Me queda sólo la duda con el cambio de nombre… que quizás pudiera existir algún problema, ya que cuando algo se borra en AD, en realidad más que borrarse se marca como “tombstoned” o sea sigue estando por 180 días, aunque oculto y marcado como eliminado.
        Si estás en ambiente de pruebas, lo mejor es probarlo ;)

      • Guillermo Delprato  On 02/10/2013 at 20:06

        El tema me ha quedado dando vueltas en la cabeza :)
        Revisa estos dos enlaces que tiene información que te puede ayudar, están en inglés …

        Esto es por si lo quieres renombrar con el nombre del anterior, y lo que te comentaba de los registros “tombstoned”

        Domain Controller Demotion and Metadata Cleanup – TechNet Articles – United States (English) – TechNet Wiki:
        http://social.technet.microsoft.com/wiki/contents/articles/3984.domain-controller-demotion-and-metadata-cleanup.aspx

        Clean up server metadata: Active Directory:
        http://technet.microsoft.com/en-us/library/cc816907%28WS.10%29.aspx

  • LuADS  On 03/10/2013 at 01:56

    Gracias Guillermo, estoy en virtual para hacer pruebas, ahora mismo no estoy trabajando detrás del firewall, es la instalación verdadera la que tiene un firewall con sus configuraciones de seguridad, VPN, etc, de ahí que quiero poner la IP y el nombre del DC antiguo al nuevo cuando haya comprobado que funciona.
    El tema de la replicación de SYSVOL lo solucioné siguiendo este artículo y me replicó la carpeta sin problemas:
    http://social.technet.microsoft.com/Forums/windowsserver/es-ES/c08610e5-03ce-4cc6-819f-975b0dbe7f8f/error-13508-en-el-servicio-de-replicacin-de-archivos

    He eliminado las máquinas virtuales y voy a empezar de cero para probar de nuevo.

    • Guillermo Delprato  On 04/10/2013 at 15:16

      ¿Hay un enlace WAN con Routers de por medio? porque en ese caso lo más fácil es hacer una VPN de Router a Router (Site-To-Site VPN), en el firewall no tocas nada, y dentro de la VPN no limitas el tráfico entre los servidores

      • LuADS  On 05/10/2013 at 03:39

        Gracias Guillermo, he repetido la prueba y me salió bien, cambié la IP y el nombre al DC02 después de despromocionar y eliminar de AD a DC01 y lo hizo bien. Me volvió a dar problemas la replicación de SYSVOL desde DC01 a DC02, pero al final después de modificar el registro para JRNL_WRAP_ERROR y reiniciar varias veces FSR en los dos servidores lo replicó. No me deja muy tranquilo, la verdad, me imagino un panorama en el que despromocione el DC01 y le cambie el nombre a DC02 y no me arranque… no sé qué hacer, igual es mejor no cambiar el nombre y cambiar en el dominio todo lo que haga referencia al DC01 original. EN cuanto al tema de firewall, los routers son distintos en las dos sucursales y el firewall es el que da todos los servicios, internet, VPN, etc. Son Juniper.

      • Guillermo Delprato  On 05/10/2013 at 07:56

        Me extraña mucho que tengas problemas para la replicación de Sysvol, y más con todo limpio.Lo único que se me ocurre ¿le haz dado el tiempo suficiente para que replique? porque el tema es que NTDS.DIT usa un protocolo, topología y frecuencia de replicación, pero Sysvol es totalmente diferente. Conviene dejarlo 30 minutos o más la primera vez para estar seguro que se crean los objetos conexión y comienza todo a “normalizarse”

        Cambiar un path UNC es muy sencillo o no tanto, depende cómo asignas los scripts de inicio (si es por mapeos de disco). Si los tienes asignados por usuario, a la vieja usanza es más complicado; pero si lo haces por GPO es sólo cambiar en la GPO

        Respecto a los firewall con cuidado, porque abrir los puertos que usa un DC para replicar, sobre la interfaz de Internet es un problema serio: RPC es dinámico, o sea que hay que abrir “todo”. Aunque hay un configuración para fijarlo manualmente, luego los problemas quedan “adentro”. Yo armaría la VPN, o movería el servidor para promoverlo, pero no haría eso en el firewall

  • Hola Guillermo,
    Tengo una inquietud con respecto al tuto, tengo un entorno de 2 DC 2012 R2 con nivel funcional 2008 R2, la carpeta DFSR-GlobalSettings no me aparece, ¿es por el nivel funcional?..

  • Marcos  On 15/04/2016 at 10:02

    Buen día Guillermo.
    En mi caso tengo solo un DC. puedo hacerlo sin problema?

    • Guillermo Delprato  On 15/04/2016 at 10:27

      Hola Marcos, no debería darte problemas, pero cuidado que es mucho más riesgoso
      Al tener un único Controlador de Dominio ¿qué sucede si algo saliera mal? Siempre, siempre, siempre, ten una copia de seguridad total del servidor, y además que hayas probado poder recuperarla en otra máquina

  • Iber  On 11/02/2017 at 22:16

    PRECAUCION!!!!

    Se complico bastante, luego de haber eliminado el viejo nombre del servidor en el dns. Esto produjo que el NetLOGON services se detuviera y no permitiera iniciar.

    Estoy buscando las vueltas ahora.

    Saludos.

    • Guillermo Delprato  On 13/02/2017 at 07:20

      Hola Iber, por supuesto que hay que tener precauciones con una operación como esta, pero que funciona si está hecho como muestra la nota te garantizo que sí.
      Revisa si no te haz saltado alguno de los pasos, o que no hubieran errores anteriores que pudieran estar causando que luego del cambio de nombre produzca el inconveniente
      Si tuvieras problemas, y como esto no es un foro de soporte, te recomiendo acudas a alguno, por ejemplo los de Technet, en https://social.technet.microsoft.com/Forums/es-ES/home

Trackbacks

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: