В этой небольшой статье мы покажем, как правильно изменить имя домена Active Directory с test.com
на resource.loc
. Вообще говоря, переименование домена Active Directory это не всегда самая лучшая идея. Для больших и сложных инфраструктур AD лучше выполнить постепенную миграцию пользователей, компьютеров и серверов в новый домен. Но и процедура переименования домена вполне рабочая.
Прежде чем начать, убедитесь, что:
- У вас есть актуальная резервная копия контроллеров домена ;
- В вашем домене корректно работает репликация и нет критических ошибок контроллеров домена или DNS ( проверка здоровья домена Active Directory );
- В вашем домене нет Exchange. Нельзя переименовать домен AD с развёрнутым в нем Exchange (кроме Exchange 2003);
- Для переименования домена нужен уровень не менее Windows Server 2003 (в моем примере функциональный уровень домена и леса – Windows Server 2016).
Сначала нужно создать DNS зону нового домена на контроллерах домена. Для этого откройте консоль dnsmgmt.msc
, создайте новую первичную зону типа Forward Lookup Zone с именем resource.loc и реплицируйте ее по всем DNS серверам в старом домене test.com.
Можно создать новую зону DNS с помощью PowerShell :
Add-DnsServerPrimaryZone -Name resource.loc -ReplicationScope "Domain" –PassThru
Дождитесь окончания репликации новой зоны по всем DC.
Выполните команду rendom /list
чтобы сгенерировать файл Domainlist.xml с текущей конфигурацией леса AD.
Get-Content .Domainlist.xml
_x000D_<Forest>_x000D_<Domain>_x000D_<!-- PartitionType:Application -->_x000D_<Guid>31f818cc-e75a-4aea-9ed2-4ddfe4172a2c</Guid>_x000D_<DNSname>DomainDnsZones.test.com</DNSname>_x000D_<NetBiosName></NetBiosName>_x000D_<DcName></DcName>_x000D_</Domain>_x000D_<Domain>_x000D_<!-- PartitionType:Application -->_x000D_<Guid>aad0e305-4897-4964-968d-67ee93fd6e47</Guid>_x000D_<DNSname>ForestDnsZones.test.com</DNSname>_x000D_<NetBiosName></NetBiosName>_x000D_<DcName></DcName>_x000D_</Domain>_x000D_<Domain>_x000D_<!-- ForestRoot -->_x000D_ <Guid>a5daca80-6c2c-49a6-8704-d1e4db76e851</Guid>_x000D_<DNSname>test.com</DNSname>_x000D_<NetBiosName>TEST</NetBiosName>_x000D_<DcName></DcName>_x000D_</Domain>_x000D_</Forest>
Откройте файл Domainlist.xml на редактирование и замените все имена старого домена на новый:
Notepad .Domainlist.xml
Сохраните файл и выполните команду:
rendom /showforest
Данная команда покажет какие изменения будут внесены в конфигурацию.
Следующая команда загрузит файл Domainlist.xml с новой конфигурацией разделов AD на контроллер домена с FSMO ролью Domain naming master:
rendom /upload
После этого блокируются любые изменении в конфигурация леса AD
Следующая команда rendom /prepare
проверит доступность всех DC в лесу и проверить их готовность к переименованию.
Убедитесь, что эта команда не вернула ошибок.
Waiting for DCs to reply._x000D_msk-dc02.test.com was prepared successfully_x000D_msk-dc00.test.com was prepared successfully_x000D_The operation completed successfully.
Следующая команда выполнит переименование домена (контроллеры домена некоторое время будут недоступны и автоматически перезагрузятся, чтобы применить новые настройки):
rendom /execute
Waiting for DCs to reply._x000D_The script was executed successfully on msk-dc02.test.com_x000D_The script was executed successfully on msk-dc00.test.com_x000D_2 servers contacted, 0 servers returned Errors_x000D_The operation completed successfully.
Проверьте, что в свойствах DC теперь указано новое имя домена. Обратите внимание, что полное имя компьютер осталось старым.
Выполните следующую команду, чтобы обновить привязки GPO:
gpfixup /olddns:test.com /newdns:resource.loc
Group Policy fix up utility Version 1.1 (Microsoft)_x000D_Start fixing group policy (GroupPolicyContainer) objects:_x000D_Start fixing site group policy links:_x000D_Start fixing non-site group policy links:_x000D_gpfixup tool executed with success.
Затем обновите NetBIOS имя домена:
gpfixup /oldnb:TEST /newnb:RESOURCE
Следующая команда удалит из AD ссылки на старый домен:
rendom /clean
Разблокируйте конфигурацию домена:
rendom /end
Теперь нужно вручную добавить новые имена на каждом контроллере домена и сделать их основными:
netdom computername %COMPUTERNAME%.test.com /add:%COMPUTERNAME%.resource.loc
netdom computername %COMPUTERNAME%.test.com /makeprimary:%COMPUTERNAME%.resource.loc
И перезагрузить DC:
Shutdown –f –r –t 0
Запустите консоль ADUC (dsa.msc) и проверьте, что она подключилась к новому имени домена, а вся структура OU, пользователи и компьютеры остались на месте.
Осталось сменить “Full computer name” на всех компьютерах и серверах в домене. Для добавления компьютеров в домен можно использовать команды выше.
После окончания процедуры переименования домена обязательно проверьте состояние репликации и ошибки на DC (ссылка была выше).