Hernoemen van Windows 2008 R2 domein - Serversoftware en clouddiensten

vrijdag 16 november 2012 20:41

Acties:

Verwijderd

Topicstarter

Ik heb 2x een DC waarvan ik de domeinnaam wil veranderen van
domein.local naar domein.nl

Echter blijven de DC's nog steeds dc1.domein.local heten en dc2.domein.local
Het domein zelf is wel aangepast.

Ik heb de onderstaande stappen gevolgd:

http://www.shariqsheikh.c...ndows-server-2008-domain/

Is het een probleem dat ze deze dezelfde naam blijven houden?

zaterdag 17 november 2012 12:03

Acties:

CMD-Snake

Dan heb je de wijziging niet volledig uitgevoerd. Je hebt dan met behulp van rendom.exe wel de domeinnaam veranderd, maar je moet je DNS zone ook aanpassen.

Heb je wel na het omnoemen van je domein een nieuwe primary zone gemaakt in DNS voor je nieuwe domeinnaam ?

Zie in dit Technet blog een .pdf die beschrijft hoe je een domein hernoemt, maar ook DNS aanpast dat alle machines met de juiste nieuwe suffix eindigen:

http://blogs.technet.com/...e-operation-document.aspx

zaterdag 17 november 2012 15:04

Acties:

Verwijderd

Topicstarter

Jep, ik heb een nieuwe zonne domein.nl toegevoegd.
Echter blijft het, het zelfde. Ik zal jou document eens doornemen.

Overigens doet Exchange 2010 SP2 nu ook niets meer, deze zoekt uiteraard nog naar
de oude DC. Kan ik hier iets aan doen?
Ik las al op de website van Microsoft dat dit niet ondersteund word.
Maar zou ik hier iets aan kunnen doen, zonder deze opnieuw te hoeven installeren?

zaterdag 17 november 2012 17:29

Acties:

CMD-Snake

Een domein hernoemen is niet iets waar ik zelf een fan van ben. Het kan vanaf 2008R2, maar dan nog. Iets als de benaming van je domein moet je al goed gepland hebben als je het domein opricht.

Ik zou eerst de DNS fixen, al je machines lijken nog de oude suffix te hebben. Het document op Technet beschrijft in ieder geval de hele procedure, ook hoe je alle DNS gerelateerde zaken omzet. Mogelijk dat als je dit deel op orde hebt dat dan Exchange zichzelf oplost. Het lijkt erop dat je toch een paar stappen niet gedaan hebt.

Overigens, is dit een bedrijfsnetwerk? Ik hoop het ergens niet....

zaterdag 17 november 2012 21:14

Acties:

_Arthur

blub

Verwijderd schreef op vrijdag 16 november 2012 @ 20:41:
Ik heb 2x een DC waarvan ik de domeinnaam wil veranderen van
domein.local naar domein.nl

Waarom ga je van een prima situatie naar een sub-optimale situatie?

zaterdag 17 november 2012 21:23

Acties:

downtime

Everybody lies

_Arthur schreef op zaterdag 17 november 2012 @ 21:14:
[...]

Waarom ga je van een prima situatie naar een sub-optimale situatie?

Wat is er sub-optimaal aan een .nl domein? Ik zie het gebruik van .local namen juist als strijdig met de principes van DNS omdat het geen globaal unieke domeinnamen garandeert.

zaterdag 17 november 2012 21:58

Acties:

alt-92

ye olde farte

Verwijderd schreef op zaterdag 17 november 2012 @ 15:04:
Overigens doet Exchange 2010 SP2 nu ook niets meer, deze zoekt uiteraard nog naar
de oude DC. Kan ik hier iets aan doen?
Ik las al op de website van Microsoft dat dit niet ondersteund word.

Kom je lekker op tijd achter dan.

http://technet.microsoft....ry/cc816848(v=ws.10).aspx

The domain rename operation is not supported in Microsoft Exchange Server 2007 or Exchange Server 2010.

Information about configuring Active Directory domains by using single-label DNS names

Kortom:
Disaster Recovery doen van je omgeving naar de situatie vóór je rename, en dan een AD Migration inzetten.
Je kan met Exch2010 wel een disjoined namespace hanteren, dan laat je één DC & je exchange als een resourceforest fungeren voor je userforest op 2008r2 wat je na je restore gaat opzetten.

Je had toch backups?

[ Voor 5% gewijzigd door alt-92 op 17-11-2012 22:02 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

zaterdag 17 november 2012 22:00

Acties:

_Arthur

blub

downtime schreef op zaterdag 17 november 2012 @ 21:23:
Wat is er sub-optimaal aan een .nl domein? Ik zie het gebruik van .local namen juist als strijdig met de principes van DNS omdat het geen globaal unieke domeinnamen garandeert.

En, wat maakt een globaal unieke domeinnaam voor een interne AD uit? Trouwens, iedereen kan intern zijn AD gewoon microsoft.com, google.com, tweakers.net of nu.nl noemen, als men dat leuk vind.

Je wilt juist de interne AD naam 'loskoppelen' van bestaande 'echte' domeinnamen op internet. Door het gebruik van een domein.nl domeinnaam, suggereert de TS dat de naam "domein.nl" ook echt op internet bestaat.

zaterdag 17 november 2012 22:03

Acties:

alt-92

ye olde farte

_Arthur schreef op zaterdag 17 november 2012 @ 22:00:
Trouwens, iedereen kan intern zijn AD gewoon microsoft.com, google.com, tweakers.net of nu.nl noemen, als men dat leuk vind.

Dat het kan wil niet zeggen dat het handig is.

Je wilt juist de interne AD naam 'loskoppelen' van bestaande 'echte' domeinnamen op internet. Door het gebruik van een domein.nl domeinnaam, suggereert de TS dat de naam "domein.nl" ook echt op internet bestaat.

En als je dat nu net wel wil?

De guidance is tegenwoordig iets anders dan dat jij suggereert. Loskoppelen is een designkeuze, niet een verplichting.

[ Voor 4% gewijzigd door alt-92 op 17-11-2012 22:04 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

zaterdag 17 november 2012 22:16

Acties:

_Arthur

blub

alt-92 schreef op zaterdag 17 november 2012 @ 22:03:
En als je dat nu net wel wil?

Dan mag de TS ook lekker met split-DNS gaan spelen

_{(Want hij gaat kennelijk geen ad.domein.nl bouwen)}

[ Voor 14% gewijzigd door _Arthur op 17-11-2012 22:16 ]

zaterdag 17 november 2012 23:04

Acties:

CMD-Snake

downtime schreef op zaterdag 17 november 2012 @ 21:23:
[...]

Wat is er sub-optimaal aan een .nl domein? Ik zie het gebruik van .local namen juist als strijdig met de principes van DNS omdat het geen globaal unieke domeinnamen garandeert.

De externe en interne DNS zones gescheiden houden is dacht ik zelfs een best practice van Microsoft. Het heeft mijn voorkeur wel. De buitenwereld heeft niets te zoeken in de interne resources.

zaterdag 17 november 2012 23:05

Acties:

downtime

Everybody lies

_Arthur schreef op zaterdag 17 november 2012 @ 22:00:
En, wat maakt een globaal unieke domeinnaam voor een interne AD uit? Trouwens, iedereen kan intern zijn AD gewoon microsoft.com, google.com, tweakers.net of nu.nl noemen, als men dat leuk vind.

Ik heb niet gezegd dat het niet kan. Maar ik vind het een "sub-optimale" keuze. Een .local domein heeft geen voordelen behalve die paar euro per jaar die je op een domeinregistratie bespaart. En als je het domein al bezit, dan valt zelfs dat voordeel weg.

Je wilt juist de interne AD naam 'loskoppelen' van bestaande 'echte' domeinnamen op internet. Door het gebruik van een domein.nl domeinnaam, suggereert de TS dat de naam "domein.nl" ook echt op internet bestaat.

Ik ga er dan ook van uit dat hij eigenaar van domein.nl is. Zo niet, dan kan ie inderdaad beter een .local naam ofzo gebruiken.

zondag 18 november 2012 00:09

Acties:

Verwijderd

Topicstarter

Beste allen,

Het is een draaiend netwerk echter heb ik er gewoon backups van.
Momenteel ben ik hier mee aan het testen, en ik kan gewoon weer de situatie naar start terug zetten.
Echter heb ik fictieve domeinnamen gebruikt, echter wil het feit dat de 12 jaar geleden ooit door iemand ervoor gekozen is om de domein, domein.bv te noemen, ik wil deze graag hernoemen naar domein.nl of domein.local (als zegt mijn certificaatuitgever dat dit straks ook een probleem vormt).

Het zit namelijk zo, ik wil een UCC certificaat aanvragen, echter omdat de interne domein naam domein.bv is kan dit niet. Dit omdat dit domein van een of ander Boldavisch eiland is.
Nu dacht ik dan vraag ik die domein aan, maar ook dat gaat helaas niet omdat, dit eiland besloten heeft dat niet te doen. Ofwel volgens de instantie waarbij ik mijn certificaat wil aanschaffen moet ik mijn interne domeinnaam hernoemen. Of jullie moeten een andere mogelijkheid zien? Ik wil extern voor de webmail een certificaat, en intern krijg ik nu foutmeldingen.

Ik zou de domein het liefst hernoemen zonder dat ik de Exchange server opnieuw hoef te installeren.
Maar is dit mogelijk? Of zou ik nog iets anders kunnen doen, om toch een certificaat aan te kunnen vragen zonder de domein.bv..?

zondag 18 november 2012 00:26

Acties:

downtime

Everybody lies

Verwijderd schreef op zondag 18 november 2012 @ 00:09:
Echter heb ik fictieve domeinnamen gebruikt, echter wil het feit dat de 12 jaar geleden ooit door iemand ervoor gekozen is om de domein, domein.bv te noemen, ik wil deze graag hernoemen naar domein.nl of domein.local (als zegt mijn certificaatuitgever dat dit straks ook een probleem vormt).

Dat was ik alweer vergeten maar de strakkere regels voor certificaten zijn inderdaad wel een reden om alleen nog geregistreerde domeinen te gebruiken.

Ofwel volgens de instantie waarbij ik mijn certificaat wil aanschaffen moet ik mijn interne domeinnaam hernoemen. Of jullie moeten een andere mogelijkheid zien? Ik wil extern voor de webmail een certificaat, en intern krijg ik nu foutmeldingen.

Onder voorbehoud: Ik weet weinig of niks van Exchange. Maar volgens mij staat je interne domainnaam (de naam die je voor AD gebruikt) helemaal los van je maildomain. Anders zou een bedrijf wat webmail voor meerdere domeinen moet afhandelen immers in de problemen komen omdat een server geen lid van meerdere AD domeinen kan zijn.

zondag 18 november 2012 00:30

Acties:

Verwijderd

Topicstarter

Ik registreer altijd ook de interne volledige servernaam, ofwel server.domein.local
Ik weet niet anders, dat dit noodzakelijk is omdat je anders in je interne netwerk certificaatfouten krijgt.
Volgens de certificeringsinstantie moet dit ook.. maar volgens mij moet het inderdaad wel anders kunnen.. maar hoe.
(ik vind het namelijk ook niet echt wenselijk dat de hele wereld mijn interne domein in het certificaat kan zien)
En wijzigen van de interne domein zie ik eigenlijk nog minder zitten.

zondag 18 november 2012 00:35

Acties:

CMD-Snake

Verwijderd schreef op zondag 18 november 2012 @ 00:09:
Het zit namelijk zo, ik wil een UCC certificaat aanvragen, echter omdat de interne domein naam domein.bv is kan dit niet. Dit omdat dit domein van een of ander Boldavisch eiland is.

Als je het certificaat alleen intern gaat gebruiken zou je ook kunnen overwegen een eigen certificaat te maken. Je kan dit eenvoudig toevoegen aan alle domein PC's en servers. Alleen buiten je eigen domein kan het vervelend zijn.

Wel ongelukkig gekozen dan zo die domeinnaam. Ik vind voor intern .local nog altijd het beste.

zondag 18 november 2012 01:43

Acties:

Verwijderd

Topicstarter

Helaas moet ik hem intern en extern gaan gebruiken.
Wat ik begreep is dat .local over 2 jaar ook niet meer gecertificeerd kan worden.

zondag 18 november 2012 12:14

Acties:

CMD-Snake

Verwijderd schreef op zondag 18 november 2012 @ 01:43:
Helaas moet ik hem intern en extern gaan gebruiken.

Je zou een apart certificaat kunnen aanvragen voor je externe domein. En dan maak je een eigen certificaat voor intern gebruik. Als de situatie het toestaat.

Wat ik begreep is dat .local over 2 jaar ook niet meer gecertificeerd kan worden.

Ja, dat had ik ook begrepen. Maar dan nog, je kan voor eigen gebruik ook certificaten maken. Als je het alleen intern gebruikt is dat een prima optie.

zondag 18 november 2012 12:21

Acties:

_Arthur

blub

Verwijderd schreef op zondag 18 november 2012 @ 01:43:
Wat ik begreep is dat .local over 2 jaar ook niet meer gecertificeerd kan worden.

Over 3 jaar (per 1 November 2015) en alleen voor Domain Validated domainnames.

http://www.networking4all...tes/faq/change+san+issue/

Until now, the amended legislation applies only for domain validated (DV) SAN certificates. Certificates for which the organization has been validated (OV) do not have to deal with this change. Upgrading your DV certificate to an OV certificate is another alternative.

zondag 18 november 2012 18:42

Acties:

Verwijderd

Topicstarter

@CMD-Snake
Hoe zou ik dat het best op kunnen pakken?
Hoe laat ik Exchange 2010 intern naar een self-signed certificaat kijken,
en extern naar het third-party certificaat.
(volgens de certificeringsinstantie is dat alleen mogelijk bij Exchange 2007)

maandag 19 november 2012 08:47

Acties:

CMD-Snake

Verwijderd schreef op zondag 18 november 2012 @ 18:42:
@CMD-Snake
Hoe zou ik dat het best op kunnen pakken?
Hoe laat ik Exchange 2010 intern naar een self-signed certificaat kijken,
en extern naar het third-party certificaat.
(volgens de certificeringsinstantie is dat alleen mogelijk bij Exchange 2007)

Ik kan dit helaas niet (snel) vinden voor Exchange 2010. Zo te zien werkt die met een certificaat voor alles en is het of self signed of van een externe CA maar niet allebei. Als mensen vanaf hun thuis computer, of welke vreemde computer wat dat betreft, hun OWA bekijken dan moet je wel een certicaat hebben van een externe CA. Mensen leren om die rode balk te negeren is niet goed.

Als je wilt hernoemen dan vrees ik dat je Exchange opnieuw zal moeten installeren.

maandag 19 november 2012 10:16

Acties:

_Arthur

blub

http://msunified.net/2010...ternal-and-external-urls/

Daar heb je een mooi script en wat uitleg voor Exchange 2010.

maandag 19 november 2012 10:43

Acties:

Jazzy

Moderator SSC/PB

Moooooh!

Het is een goed idee om één certificaat voor Exchange 2010 te gebruiken met daarop alle namen die je nodig hebt. Als je CA er geen .bv naam op wil zetten omdat jij niet kunt aantonen dat je eigenaar bent van dat domein dan moet je misschien voorkomen dat je deze naam nodig hebt. Dat is een stuk makkelijker dan je AD domein hernoemen (wat dus niet kan).

Waar het op neer komt is dat je intern ook webmail.domein.nl (of wat je dan ook maar extern gebruikt) gaat gebruiken om Exchange te benaderen. Volgorde:
- Intern DNS record aanmaken voor webmail.domein.nl die verwijst naar Exchange 2010
- AutoDiscoverURI aanpassen in https://webmail.domein.nl/autodiscover/autodiscover.xml (dit is wat Outlook clients in AD vinden en naar toe connecten voor autodiscover)
- InternalURL op de andere virtual directories aanpassen in webmail.domein.nl
- Vertrouwd certificaat met webmail.domein.nl installeren in Exchange en koppelen aan IIS

Exchange en Office 365 specialist. Mijn blog.

donderdag 29 november 2012 00:52

Acties:

Verwijderd

Topicstarter

Ik heb het perfect kunnen oplossen met het script van _Arthur

donderdag 29 november 2012 10:00

Acties:

_Arthur

blub

Verwijderd schreef op donderdag 29 november 2012 @ 00:52:
Ik heb het perfect kunnen oplossen met het script van _Arthur

Het is niet mijn script he

Maar mooi dat het is opgelost zonder al te moeilijke Domain-rename acties.

vrijdag 30 november 2012 20:04

Acties:

wagenveld

Wat na de maaltijd, maar toevallig ben ik net bezig geweest met IIS ARR (Application Request Routing). Omdat TMG discontinued is was ik wat alternatieven aan het testen.
Het is vrij eenvoudig om een server op te zetten voor reverse proxy met je publieke certificaat erop. Daarna kun je gewoon een intern certificaat gebruiken op Exchange. Wellicht wat overkill in een kleine omgeving maar het is een mooiere oplossing in het algemeen aangezien je niet direct naar je Exchange server HTTPS hoeft te openen.

maandag 3 december 2012 10:06

Acties:

Jazzy

Moderator SSC/PB

Moooooh!

wagenveld schreef op vrijdag 30 november 2012 @ 20:04:
Wat na de maaltijd, maar toevallig ben ik net bezig geweest met IIS ARR (Application Request Routing). Omdat TMG discontinued is was ik wat alternatieven aan het testen.
Het is vrij eenvoudig om een server op te zetten voor reverse proxy met je publieke certificaat erop. Daarna kun je gewoon een intern certificaat gebruiken op Exchange. Wellicht wat overkill in een kleine omgeving maar het is een mooiere oplossing in het algemeen aangezien je niet direct naar je Exchange server HTTPS hoeft te openen.

Ik zie je post nu pas, sorry dat ik een beetje laat ben.

Maar wat is de meerwaarde daarvan dan precies? Je doet geen inspectie van het verkeer op applicatieniveau en kunt geen pre-authenticatie doen. Veel meer dan een doorgeefluikje is het dan niet, of mis ik wat?

Exchange en Office 365 specialist. Mijn blog.

maandag 3 december 2012 11:33

Acties:

wagenveld

Nee dat klopt wel Jazzy. Voor Lync is het wat meer van toepassing omdat je zonder reverse proxy in de knoei komt. Het punt is meer dat we een alternatief voor TMG moeten hebben. Aangezien er toch in 99% van de setups een firewall voor de reverse proxy zit is het gebrek aan inspectie geen groot probleem? Terwijl je nog steeds een workgroup machine in je DMZ hebt die hetzelfde resultaat geeft.