Continuando la nota anterior “Cambiar Nombre a un Dominio Active Directory (Parte 1 de 2” continuaré desarrollando el tema con las configuraciones faltantes y la verificación de operación de los clientes del Dominio
Aunque en la nota anterior vimos todo el proceso de renombrado y actualización del cambio de nombre en las GPOs, todavía nos falta mucho para trabajar con el servicio DNS para dejar todo “como debe ser”
Si visualizamos la consola del servicio DNS podemos ver dos cosas importantes:
- Han quedado las zonas correspondientes al nombre anterior
- Se ha creado la nueva zona “nuevodominio.test”, pero los datos correspondientes a “_msdcs.nuevodominio.test” han quedado dentro de la zona “nuevodominio.test”
Comencemos con el segundo punto mirando el tema del nombre del sufijo de Domino que no es tanto como aparenta ;)
No lo resalté, pero observen que cuando entramos en la ventana de cambio de nombre, aún muestra el viejo sufijo de Dominio. Vamos a ver un poco más esto ingresando por el botón “Change”
Y aceptando la advertencia
Pese a que está marcada la opción de cambiar automáticamente el sufijo de Dominio no lo ha hecho :(
Así que lo cambiaré a mano
Y debemos reinciar
Antes de seguir con los cambios en DNS, es un buen momento para hacer el cambio en los clientes, y verificar si se mantienen las configuraciones de usuario
Inicio sesión en el cliente (CL1) con la cuenta administradora con el nombre anterior porque están “cacheadas” localmente sus credenciales, de otra forma lo debería hacer un administrador local del cliente
Podemos observar en el cliente no conoce que se ha cambiado el nombre del Dominio Active Directory. Este cambio lo deberemos hacer manualmente en cada una de las máquinas clientes del Dominio :(
El siguiente mensaje de error no es para preocuparse, está tratando de contactar al “viejo” dominio para deshabilitar la cuenta
Y luego del reinicio iniciamos sesión con el usuario de prueba, para confirmar que se han mantenido sus configuraciones. Esto es muy importante porque nos demuestra que se ha cambiado el nombre del Dominio, pero se mantienen todos los SIDs del Dominio
Todo correcto :)
Volvamos a DC1 que tenemos que continuar con el tema de DNS
El problema que tenemos que solucionar es que el subdominio “_msdcs.nuevodominio.test” ha quedado en la zona “nuevodominio.test”
Esto no debe quedar así, puesto que la zona “_msdcs. …” debe replicarse a todos los Controladores de Dominio del Bosque, en cambio la zona “nuevodominio.test” debe replicarse a los Controladores de Dominio del propio Dominio. Todo esto teniendo en cuenta que lo reciban las máquinas que tengan el sevicio DNS instalado
Para el que no conozca mucho del tema hago la aclaración, en “_msdcs. …” del Dominio Raíz del Bosque es en el único lugar donde están registrados los Catalogo Global, y por lo tanto debe replicarse a todos los Controladores de Dominio del Bosque. Esto es así porque un Catalogo Global lo es del Bosque, no del Dominio
En un ambiente de un único Dominio esto no traería problemas, pero sólo mientras mantengamos esta configuración. Si en algún momento posteriormente tuviéramos que agregar otro Dominio al Bosque, entonces sí, traería problemas que deberíamos solucionar
Aunque no lo resalté en la captura de pantalla observen que los datos de “_msdcs.nuevodominio.test” están en la zona “nuevodominio.test”. Estos datos los debemos mover a una nueva zona con alcance de replicación a todos los Controladores de Dominio del Bosque
Y además, como lo hace el sistema operativo por omisión cuando se crea el Dominio hacer la delegación de zona a sí mismo (para que pueda usar y responder)
Comenzaremos creando manualmente la zona
Es importante marcar la opción correcta: que se replique a nivel de Bosque
Si no lo aparecieran los datos dentro de la nueva zona, reinicien el servicio NETLOGON y refresquen la consola
El paso siguiente es hacer la delegación de zona a sí mismo, y por lo tanto debemos comenzar borrando los datos “viejos”
Y comenzamos con la delegación de Dominio
Si hemos hecho bien la delegación, la zona delegada aparecerá color gris
Y reiniciemos el servicio NETLOGON para asegurarnos que queden todos los registros SRV actualizados
Para quien tenga curiosidad, el símobolo “&” sirve para concatenar dos comandos, y su uso doble “&&” es un indicativo de esperar que el primero se complete antes de iniciar el segundo
Es un buen momento para ver si en el servicio de DNS se produce algún error, o si todo lo hicimos bien
Como estamos en un ambiente de pruebas, y para facilitar la visualización primero voy a eliminar todas las entradas en el log de DNS sin guardarlos
Reiniciamos el Controlador de Dominio, y volvemos a la consola DNS para revisar si hubo algún error. Podemos observar que sólo la advertencia normal (4013), el resto son sólo los habituales eventos informativos
Llegados a este punto nos queda eliminar las zonas que hacen referencia al nombre anterior del Dominio
Comenzamos con “_msdcs.ad.guillermod.com.ar”
Y ahora “ad.guillermod.com.ar”
Quedará finalmente así
Y como una comprobación final que la configuración de DNS ha quedado correcta reinicio nuevamente al Controlador de Dominio y compruebo que no hay eventos que no sean los normales
Hemos comprobado que aún con una infraestructura muy simple, el cambio de nombre de un Dominio no es algo sencillo, y además va a conllevar no sólo trabajo, sino trabajo manual en cada máquina que forma parte del Dominio, y además interrupción de servicio
Por lo tanto es importante, que antes de crear su ambiente de Active Directory, piense, planifique, y vuelva a pensar :)
Les dejo un enlace con abundante información sobre el tema, vean sobre todo los dos enlaces del final de la nota: “Domain Rename Technical Reference”
WindowServer 
Comentarios
Excelente aporte, me sirvio mucho :D!
Me alegro Sergio
¡Gracias!
Alguna forma de realizar masivamente el cambio en los usuarios ??.
No sé si comprendo bien la pregunta, pero cuando se cambia el nombre del Dominio, los usuarios siguen pudiendo inciar sesión de la forma clásica NombreNuevo\NombreUsuario
Hola, Soy un seguidor de tu pagina, quisiera consultar por este tema, cuando cambias el nombre de dominio, los usuarios autentican con dominionuevo\usuario , esto crea un nuevo perfil de usuario, con indicación del dominio ejemplo c:\users\usuario.nuevodominio?
Hola Luis, no, no cambia la identidad de los usuarios, se mantienen el SID que es lo más importante
En mi caso si me creo un nuevo perfil de usuario en los equipos, que se puede hacer en esos casos ?
No tengo más esas máquinas virtuales para confirmar, pero lo importante es si mantiene las configuraciones del usuario, tal como muestra la nota. Si no es así entonces toca que revises el procedimiento para ver qué es lo que no está como indican las dos notas del tema
Excelente, solo una consulta al hacer esto que pasa con los usuarios de dominio hay que realizar algún cambio en ellos?
Hola Camilo, en los usuarios no hay que hacer nada, sólo recordarles el nuevo nombre del Dominio, así que cuando inician sesión deben usar «NombreNuevo\Usuario»
Perfecto Guillermo, me funcionó y además con todo lo que comentaste me ha servido para aclarar conceptos y funcionalidades del controlador de dominio.
Muchas gracias.
Hola, he seguido tus pasos, y actualmente me encuentro en lo siguiente:
he llegado a eliminar la zona antigua del dominio, pero en la nueva no recrea las rutas _msdcs,site zones,etc… digamos que eso ha desaparecido.
He intentado de todo, y no he conseguido llegar a que esa opcion vuelva a estar visible, con lo que actualmente no puedo loguearme en el dominio.
¿Serías amable de explicarme algún procedimiento para poder restaurar eso? Digamos de reinstalar o reconfigurar la opcion del DNS del controlador de dominio.
Muchas gracias
Un saludo
Hola Jesus, revisa los pasos que has hecho porque funciona, detallado como está en la nota, perfectamente. «_msdcs» por omisión queda dentro de la del Dominio, e inclusive la nota explica cómo transformarla en una zona independiente
Para forzar la registración en la zona «_msdcs. …» lo que hay que hacer si no aparecieran solos los registros, es reiniciar el servicio NETLOGON, y si así no fuera entonces hay alguna configuración anterior que no ha sido hecha correctamente
Hola Guillermo, gracias por responder.
Te comento, tenía todo correctamente configurado(dominio y active directory), pero hice el cambio del nombre del dominio y del equipo siguiendo tus pasos, y tambien revisando en otros manuales y videos que hay por ahí circulando.Eliminé la dependencia que había en la busqueda directa, en ella estaba (supongo) todo lo relacionado con el dominio.
He hecho lo de renombrar los dos ficheros que hay en la carpeta config, parar y arrancar el servicio de netlogon, y aún así no es capaz de realizar esa creación.
Es una cosa muy extraña.Si de alguna forma pudiera verla, le estaría muy agradecido.
Muchas gracias.
Hola Jesus, no, no hago soporte, respondo las preguntas relativas a la nota para orientar en lo que puedo, pero no es soporte
Para eso puedes recurrir a un soporte o foro de soporte, por ejemplo los de Technet en https://social.technet.microsoft.com/Forums/es-ES/home
Mencionas que además renombraste el equipo, cuidado que eso requiere otro procedimiento diferente: Windows Server 2012: Renombrar un Controlador de Dominio | WindowServer
https://windowserver.wordpress.com/2013/08/02/windows-server-2012-renombrar-un-controlador-de-dominio/
Trackbacks
[…] esta nota llegaremos hasta acá, y dejaremos para la próxima nota (“Cambiar Nombre a un Dominio Active Directory (Parte 2 de 2)”) todo lo que es la reconfiguración de DNS, el cambio de los clientes al nuevo nombre de […]