В этой небольшой статье мы покажем вам, как правильно изменить имя домена Active Directory с test.com на resource.loc. На самом деле, переименование домена Active Directory — не самая лучшая идея. В больших и сложных инфраструктурах AD лучше перенести пользователей, компьютеры и серверы в новый домен. Однако для простых и небольших сред AD (тестовых, предварительных или DMZ) вы можете легко переименовать домен AD в соответствии с этим руководством
Прежде чем начать, убедитесь, что:
- У вас есть актуальная резервная копия контроллеров домена;
- Репликация работает корректно в вашем домене и нет критических ошибок контроллеров домена или DNS (Как проверить работоспособность Active Directory);
- В вашем домене нет Exchange. Вы не можете переименовать домен AD, если в нем развернут Exchange (за исключением Exchange Server 2003);
- Чтобы переименовать домен, вам нужен Windows Server 2003 или новее (в моем примере функциональный уровень моего домена и леса AD — Windows Server 2016).
Прежде всего создайте зону DNS для нового домена на текущих контроллерах домена. Чтобы сделать это, откройте dnsmgmt.msc оснастку, создайте новую основную зону Зона передового поиска с именем resource.loc и продублируйте ее на все DNS-серверы в старом домене test.com.
Вы можете создать новую зону DNS с помощью PowerShell:
Add-DnsServerPrimaryZone -Name resource.loc -ReplicationScope "Domain" –PassThru
Подождите, пока новая зона DNS не будет реплицирована на всех DC.
Запустите программу rendom /list команду, чтобы сгенерировать Domainlist.xml файл с текущей конфигурацией леса AD.
Get-Content .\Domainlist.xml
<Forest> <Domain> <!-- PartitionType:Application --> <Guid>6944a1cc-d79a-4bdb-9d1b-411fd417bbbc</Guid> <DNSname>DomainDnsZones.test.com</DNSname> <NetBiosName></NetBiosName> <DcName></DcName> </Domain> <Domain> <!-- PartitionType:Application --> <Guid>bb10d409-4897-4974-9781-77dd94f17d47</Guid> <DNSname>ForestDnsZones.test.com</DNSname> <NetBiosName></NetBiosName> <DcName></DcName> </Domain> <Domain> <!-- ForestRoot --> <Guid>b91bcb80-7cbc-49b7-8704-11d41b77d891</Guid> <DNSname>test.com</DNSname> <NetBiosName>TEST</NetBiosName> <DcName></DcName> </Domain> </Forest>
Откройте файл Domainlist.xml и замените все старые доменные имена на новые:
Notepad .\Domainlist.xml
Сохраните файл и выполните эту команду:
rendom /showforest
Команда покажет изменения, которые необходимо внести в конфигурацию.
Следующая команда загрузит файл Domainlist.xml с новой конфигурацией разделов AD на контроллер домена с ролью FSMO мастера именования домена:
rendom /upload
netdom query fsmo
После этого вы не сможете вносить изменения в конфигурацию леса AD, поскольку она будет заблокирована.
The rendom /prepare Команда проверит доступность всех DC в лесу и готовность их к переименованию.
Убедитесь, что команда не выдала никаких ошибок.
Waiting for DCs to reply. mun-dc02.test.com was prepared successfully mun-dc00.test.com was prepared successfully The operation completed successfully.
Приведенная ниже команда переименует домен (контроллеры домена будут недоступны некоторое время и автоматически перезапущены для применения новых настроек):
rendom /execute
Waiting for DCs to reply. The script was executed successfully on mun-dc02.test.com The script was executed successfully on mun-dc00.test.com 2 servers contacted, 0 servers returned Errors The operation completed successfully.
Убедитесь, что новое имя домена отображается в свойствах домена. Обратите внимание, что полное имя компьютера не изменилось.
newdomain\username для входа в DC.
Чтобы войти в DC, укажите учетную запись из домена. На контроллерах домена Windows Core можно указать другое имя пользователя, нажав несколько раз ESC.
Выполните следующую команду для обновления привязок GPO:
gpfixup /olddns:test.com /newdns:resource.loc
Group Policy fix up utility Version 1.1 (Microsoft) Start fixing group policy (GroupPolicyContainer) objects: Start fixing site group policy links: Start fixing non-site group policy links: gpfixup tool executed with success.
Затем обновите доменное имя NetBIOS:
gpfixup /oldnb:TEST /newnb:RESOURCE
Затем добавьте новые имена на каждом контроллере домена вручную и сделайте их основными:
netdom computername %COMPUTERNAME%.test.com /add:%COMPUTERNAME%.resource.loc
netdom computername %COMPUTERNAME%.test.com /makeprimary:%COMPUTERNAME%.resource.loc
Перезапустите контроллеры домена:
Shutdown –f –r –t 0
Это необходимо сделать после /execute и ДО выполнения rendom /clean команда.
Или вы можете использовать приведенные выше команды для повторного подключения компьютеров к новому домену.
Приведенная ниже команда удалит ссылки на старый домен из AD:
rendom /clean
Разблокируйте конфигурацию домена:
rendom /end
Откройте ADUC (dsa.msc) консоль и убедитесь, что она подключилась к новому доменному имени и вся структура OU, пользователи и компьютеры остались на месте.
После переименования домена проверьте состояние репликации AD и ошибки на DC (см. ссылку выше).