Ich bin gerade dabei, aufzuräumen, nachdem eine Domain-Umbenennung schiefgelaufen ist. Die Umbenennung war von xxx.com in hq.xxx.com
Mein aktuelles Problem ist, dass ich mich nicht beim DC anmelden kann (der einzige DC im Netzwerk). Die Anmeldung bei anderen Computern ist kein Problem. Der Fehler lautet: „Die Sicherheitsdatenbank auf dem Server hat kein Computerkonto für diese Vertrauensbeziehung der Arbeitsstation.“ Die gute Nachricht ist, dass alle anderen Computer im Netzwerk problemlos Anmeldungen zulassen.
Ich habe eine VM auf derselben physischen Maschine mit Windows 2012 als Mitgliedsserver, auf dem ich Remote Management installiert habe. Ich kann „Aktive Benutzer und Computer“ ausführen. Wenn ich unter „Domänencontroller“ nachschaue, sehe ich den DC, aber der „DNS-Name:“ ist auf server.xxx.com eingestellt, statt auf server.hq.xxx.com. Es scheint keine Möglichkeit zu geben, beides zu ändern;
a) Ändern Sie den DNS-Namen:, oder b) Fügen Sie manuell einen anderen Server mit dem richtigen Namen hinzu.
Daher meine Frage: Wie kann ich den DNS-Namen auf einem Windows 2012-Domänencontroller ändern?
Außerdem: Bin ich auf dem Holzweg? Gibt es noch etwas, worauf ich achten sollte?
Ich schätze, da hat sich jemand aufgeregt, weil ich nicht alle Dinge aufgeführt habe, die ich recherchiert und ausprobiert habe.
Ich habe mehrere Stunden damit verbracht, den DNS manuell zu ändern und LDAP- und KErberos-Einträge zu entfernen, die den DC mit der alten (xxx.com) Domäne verknüpften. Als ich mich nach dem Neustart der Server nicht beim DC anmelden konnte, suchte ich nach weiteren Beispielen für dieses Problem, konnte aber keine relevanten Beispiele finden. Dann suchte ich nach den Remote-Verwaltungstools für 2012-Domänen, fand sie und installierte sie auf der VM, die einen Mitgliedsserver enthält. Dabei stellte ich fest, dass der oben definierte DNS-Name falsch war. Ich suchte vergeblich nach diesem Problem. Ich sah mir gezielt alle Elemente in ServerFault an, die damit zusammenhängen könnten, und fand nichts Nützliches.
Antwort1
Domänencontroller behalten nach einer Umbenennung ihren ursprünglichen FQDN. Um dies nach einer Domänenumbenennung zu korrigieren, müssen Sie ein bestimmtes Verfahren befolgen. Es wird in diesem TechNet-Artikel beschrieben:http://technet.microsoft.com/en-us/library/cc794925(v=ws.10).aspx
Mit diesem Verfahren können Sie Domänencontroller nach einer Domänenumbenennung umbenennen. Die Hostnamen des Domain Name System (DNS) der Domänencontroller in den umbenannten Domänen ändern sich infolge der Domänenumbenennung nicht automatisch. Anders ausgedrückt: Das DNS-Suffix im vollqualifizierten DNS-Hostnamen eines Domänencontrollers in der umbenannten Domäne spiegelt weiterhin den alten Domänennamen wider. Sie können den DNS-Hostnamen von Domänencontrollern in einer umbenannten Domäne zu einem späteren Zeitpunkt mithilfe eines speziellen Verfahrens ändern.
Eine Änderung des Computernamens führt zu Aktualisierungen der DNS- und Active Directory-Datenbanken. Der Computer führt diese Aktualisierungen automatisch durch. Nachdem die aktualisierten Daten an die DNS-Server und Active Directory-Domänencontroller weitergegeben wurden, die ein Clientcomputer verwendet, kann der Clientcomputer den umbenannten Domänencontrollercomputer lokalisieren und sich bei ihm authentifizieren. Die Replikationslatenz von DNS und Active Directory (die Zeit, die benötigt wird, um die Namensänderung in den Datenbanken zu reproduzieren) kann jedoch dazu führen, dass Clients den umbenannten Domänencontroller vorübergehend nicht finden oder authentifizieren können. Daher müssen Sie beim Umbenennen eines unternehmenskritischen Servers, z. B. eines Domänencontrollers, ein Vorbereitungsverfahren für die Computerumbenennung durchführen, bevor Sie den Domänencontroller umbenennen. Dieses Vorbereitungsverfahren stellt sicher, dass die Fähigkeit der Clientcomputer, den umbenannten Domänencontroller zu finden oder zu authentifizieren, nicht unterbrochen wird. Weitere Informationen zum Umbenennen eines Domänencontrollers finden Sie untersiehe Umbenennen eines Domänencontrollers.
Antwort2
Es klingt, als ob Ihre Domäne noch funktioniert und Anmeldungen verarbeitet werden. Sie müssen also einen funktionierenden DC bekommen. Ich glaube, der schnellste Weg wäre, einen neuen DC zu bauen, um diesen kaputten zu ersetzen.
- Erstellen einer neuen VM
- dcpromo es, um wieder einen funktionierenden DC zu bekommen
- dann den aktuellen DC neu erstellen
- die temporäre VM herabstufen
- Führen Sie anschließend die erforderliche Namensbereinigung durch.