Kezdőlap > Windows Server > Rendom /Clean

Rendom /Clean


Egy több lépésből álló folyamat során eljött az a pillanat, amikor egy SBS2003-ra épülő tartományt át kell nevezni úgy, hogy az SBS-en található Exchange levelezés működőképes maradjon.

A forgatókönyv alapján az SBS-en beállítottuk az RPC over HTTP-t, hogy a kliensek HTTPS protokollon keresztül levelezzenek. A cél érdekében felvettünk egy új tartományvezérlőt, teljesen rendbetettük a tartományt/szinkronizációt, majd átadtuk az új DC-nek a FSMO szerepköröket. Ezután jött a “köldökzsinór” elvágása: fizikai kapcsolat megszakítása után mindkét kiszolgálón megszüntettük az összes, másikra mutató hivatkozást, illetve az SBS tűzfalán is csak a bejövő leveleknek nyitottuk meg az SMTP 25-ös portját, a kliensek irányába pedig a HTTPS 443-as, illetve bizonyos speciális felhasználók miatt a POP3 110-es portot hagytuk nyitva.

Az előkészítések után jött a tényleges domain-átnevezés, amely rengeteg cikkben le van írva részletesen, képekkel dokumentálva, így csak röviden felsorolom a szerintem helyes sorrendet:

– létrehozzuk az új tartomány DNS-zónáját
– rendom /list : kilistázzuk a jelenlegi állapotot
– Domainlist.xml szerkesztése : előkészítjük a módosítást
– rendom /showforest : ellenőrizzük a módosítás hatásának feltételezett eredményét
– rendom /upload : feltöltjük a módosítást, egyben zároljuk a tartomány állapotát
– rendom /prepare : ellenőrizzük a DC-k elérhetőségét és átnevezésre kész állapotát
– rendom /execute : elindítjuk az átnevezést, ami újraindítja a DC-ket (utána javasolt még egyszer ezt megtenni velük)
– gpfixup /olddns:DNS.Old /newdns:DNS.New : házirendek hivatkozásainak rendbetétele
– gpfixup /oldnb:OldNetBios /newnb:NewNetBios : előbbi, ha változott a tartomány Netbios neve
– rendom /end : befejezzük az átnevezést, megszüntetve a „rendom /upload” lépésben létrejött zárolást
– rendom /clean : eltávolítunk magunk után

Most az utolsó lépésről szeretnék írni (amit helyenként utolsó előttiként sorolnak fel). A neten nagyjából mindenhol el van hanyagolva, igazából csak Adrian blogjában található utalás arra, hogy ezt csak akkor szabad elvégezni, ha minden kliens már kétszer újraindításra kerül, ezzel átkerült az új tartományba. Véleményem szerint (egy nagyobb hálózatot feltételezve) az utolsó két lépést a tartomány átnevezése után 1-2 hónappal végezném el, biztosítva a szabadságon levők/hálózatba ritkán kapcsolódók átkerülését is. Amit furcsállok, hogy ez ennyire el van bagatelizálva – apró mozzanatok, mint pl. a DC DNS-utótagjának és a DHCP által kiosztott DNS-utótag módosítása vagy a DC-k FQDN-jének módosítása (netdom computername OldFQDN /add:NewFQDN, majd netdom computername OldFQDN /makeprimary:NewFQDN, újraindítás után netdom computername NewFQDN /remove:OldFQDN), meg van említve, de az, hogy VÁRJUNK ezzel a paranccsal, nincs.

De miért is fontos? Ezzel a lépéssel távolítjuk el ugyanis azt a mechanizmust, ami a kliens-gépeknek a tudomására hozza a tartomány nevének változását. Ha ezt túl korán végezzük, akkor a gépek nem értesülnek róla, gépenként a gyorsító-tárazott régi tartományi profilba belépve, manuálisan kell átléptetnünk őket az új tartományba. Sőt, egyes Win7 gépeken ezután egy olyan gond is felmerülhet, hogy a tartományi rendszergazdák nem kerülnek be a kliens helyi rendszergazdai csoportjába – a további, rejtett problémák elkerülése során ilyenkor inkább javasolt munkacsoportba áttenni, majd “vissza”léptetni az új tartományba.

S hogy mi történik ilyenkor a háttérben, a tisztítás során? Nos, az /Upload során felkerül néhány érték a Domain Naming FSMO-szerepkörrel rendelkező kiszolgálóra, a Partíciók konténerbe, ezek eltávolítása valósul meg: a kliensek részére használt msDS-DnsRootAlias érték, valamint a kiszolgálók átléptetését szolgáló script a msDS-UpdateScript attribútumba.

Ha kiváncsiak vagyunk, előbbit az ADSIEdit / Configuration naming / CN=Partitions / ForestDNS, DomainDNS, CN=DC / Tulajdonságok fülein találjuk, az értéke eleinte az új tartomány neve (pl. NewDomain.Com), míg a dnsRoot a régi nevet tartalmazza. Az /execute során a régi és az új érték (dnsRoot és msDS-DnsRootAlias) kicserélődik. A csere után, eltávolításkor a replikáció során a tartományvezérlőkön a Net logon szolgáltatás megszünteti a régi tartománynévre vonatkozó DNS Locator és DNS CNAME erőforrás-rekordokat is.

Az előbb említett helyen kereshetjük a msDS-UpdateScript attribútumot is: ADSIEdit / Configuration naming / CN=Partitions / Tulajdonságok között található.

A script a /end opcióval, míg a DnsRootAlias a /clean segítségével kerül eltakarításra (ezeket az opciókat érdemes egy félbehagyott, már feltöltött módosítás esetén is lefuttatni).

S amiért részben a cikk íródott: amennyiben túl hamar futtattuk le a tisztítást, bizonyos esetekben kézileg beírva a jelzett helyre az msDS-DnsRootAlias értékét (természetesen a régi névre), még részben menthető a helyzet, a gépek automatikusan átkerülhetnek az új tartományba – bár a bejelentkezés során látható login-név a régi állapotot fogja mutatni. Ezért is érdemes inkább kivárni, a tartomány-átnevezés utolsó két parancsát tényleg ráér később is lefuttatni (viszont ne felejtkezzünk el róla, hiszen ellenkező esetben további bonyodalmaknak lehetünk tanúi).

Néhány dolog itt még részletesebben le van írva.

u.i. Egy másik apró mozzanat, ami nincs feltüntetve, az a DC FQDN-módosítása után esetleg szükségessé váló ismételt DHCP-autorizáció (a régi érvényességének elvesztése miatt).

Reklámok
Kategóriák:Windows Server Címke: ,
  1. jpetrenyi
    augusztus 5, 2014 - 8:18 de.

    Csak szólok, mert nem láttam a cikkben megemlítve. Ugye megvolt ez a lépés is?
    http://support.microsoft.com/kb/842116

    • augusztus 5, 2014 - 8:33 de.

      Nem, itt az a stratégia volt, hogy utána tisztítottuk az “új” AD-t, s “független” Exch került fel (nem látta a másikat).
      Amúgy teljesen jogos, én is gondolkoztam, hogy írjak róla, de más a cikk fókusza, így kihagytam. Kommentként viszont jól jön 🙂

  1. No trackbacks yet.

Vélemény, hozzászólás?

Adatok megadása vagy bejelentkezés valamelyik ikonnal:

WordPress.com Logo

Hozzászólhat a WordPress.com felhasználói fiók használatával. Kilépés / Módosítás )

Twitter kép

Hozzászólhat a Twitter felhasználói fiók használatával. Kilépés / Módosítás )

Facebook kép

Hozzászólhat a Facebook felhasználói fiók használatával. Kilépés / Módosítás )

Google+ kép

Hozzászólhat a Google+ felhasználói fiók használatával. Kilépés / Módosítás )

Kapcsolódás: %s

%d blogger ezt kedveli: