Как изменить имя (переименовать) домен Active Directory?

В этой небольшой статье мы покажем, как правильно изменить имя домена Active Directory с test.com на resource.loc . Вообще говоря, переименование домена Active Directory это не всегда самая лучшая идея. Для больших и сложных инфраструктур AD лучше выполнить постепенную миграцию пользователей, компьютеров и серверов в новый домен. Но и процедура переименования домена вполне рабочая.

Прежде чем начать, убедитесь, что:

1. У вас есть актуальная резервная копия контроллеров домена ;
2. В вашем домене корректно работает репликация и нет критических ошибок контроллеров домена или DNS ( проверка здоровья домена Active Directory );
3. В вашем домене нет Exchange. Нельзя переименовать домен AD с развёрнутым в нем Exchange (кроме Exchange 2003);
4. Для переименования домена нужен уровень не менее Windows Server 2003 (в моем примере функциональный уровень домена и леса – Windows Server 2016).

Сначала нужно создать DNS зону нового домена на контроллерах домена. Для этого откройте консоль dnsmgmt.msc , создайте новую первичную зону типа Forward Lookup Zone с именем resource.loc и реплицируйте ее по всем DNS серверам в старом домене test.com.

Можно создать новую зону DNS с помощью PowerShell :

Add-DnsServerPrimaryZone -Name resource.loc -ReplicationScope "Domain" –PassThru

Дождитесь окончания репликации новой зоны по всем DC.

Выполните команду rendom /list чтобы сгенерировать файл Domainlist.xml с текущей конфигурацией леса AD.

Get-Content .Domainlist.xml

_x000D_<Forest>_x000D_<Domain>_x000D_<!-- PartitionType:Application -->_x000D_<Guid>31f818cc-e75a-4aea-9ed2-4ddfe4172a2c</Guid>_x000D_<DNSname>DomainDnsZones.test.com</DNSname>_x000D_<NetBiosName></NetBiosName>_x000D_<DcName></DcName>_x000D_</Domain>_x000D_<Domain>_x000D_<!-- PartitionType:Application -->_x000D_<Guid>aad0e305-4897-4964-968d-67ee93fd6e47</Guid>_x000D_<DNSname>ForestDnsZones.test.com</DNSname>_x000D_<NetBiosName></NetBiosName>_x000D_<DcName></DcName>_x000D_</Domain>_x000D_<Domain>_x000D_<!-- ForestRoot -->_x000D_ <Guid>a5daca80-6c2c-49a6-8704-d1e4db76e851</Guid>_x000D_<DNSname>test.com</DNSname>_x000D_<NetBiosName>TEST</NetBiosName>_x000D_<DcName></DcName>_x000D_</Domain>_x000D_</Forest>

Откройте файл Domainlist.xml на редактирование и замените все имена старого домена на новый:

Notepad .Domainlist.xml

Сохраните файл и выполните команду:

rendom /showforest

Данная команда покажет какие изменения будут внесены в конфигурацию.

Следующая команда загрузит файл Domainlist.xml с новой конфигурацией разделов AD на контроллер домена с FSMO ролью Domain naming master:

rendom /upload

После этого блокируются любые изменении в конфигурация леса AD

Следующая команда rendom /prepare проверит доступность всех DC в лесу и проверить их готовность к переименованию.

Убедитесь, что эта команда не вернула ошибок.

Waiting for DCs to reply._x000D_msk-dc02.test.com was prepared successfully_x000D_msk-dc00.test.com was prepared successfully_x000D_The operation completed successfully.

Следующая команда выполнит переименование домена (контроллеры домена некоторое время будут недоступны и автоматически перезагрузятся, чтобы применить новые настройки):

rendom /execute

Waiting for DCs to reply._x000D_The script was executed successfully on msk-dc02.test.com_x000D_The script was executed successfully on msk-dc00.test.com_x000D_2 servers contacted, 0 servers returned Errors_x000D_The operation completed successfully.

Проверьте, что в свойствах DC теперь указано новое имя домена. Обратите внимание, что полное имя компьютер осталось старым.

Выполните следующую команду, чтобы обновить привязки GPO:

gpfixup /olddns:test.com /newdns:resource.loc

Group Policy fix up utility Version 1.1 (Microsoft)_x000D_Start fixing group policy (GroupPolicyContainer) objects:_x000D_Start fixing site group policy links:_x000D_Start fixing non-site group policy links:_x000D_gpfixup tool executed with success.

Затем обновите NetBIOS имя домена:

gpfixup /oldnb:TEST /newnb:RESOURCE

Следующая команда удалит из AD ссылки на старый домен:

rendom /clean

Разблокируйте конфигурацию домена:

rendom /end

Теперь нужно вручную добавить новые имена на каждом контроллере домена и сделать их основными:

netdom computername %COMPUTERNAME%.test.com /add:%COMPUTERNAME%.resource.loc
netdom computername %COMPUTERNAME%.test.com /makeprimary:%COMPUTERNAME%.resource.loc

И перезагрузить DC:

Shutdown –f –r –t 0

Запустите консоль ADUC (dsa.msc) и проверьте, что она подключилась к новому имени домена, а вся структура OU, пользователи и компьютеры остались на месте.

Осталось сменить “Full computer name” на всех компьютерах и серверах в домене. Для добавления компьютеров в домен можно использовать команды выше.

После окончания процедуры переименования домена обязательно проверьте состояние репликации и ошибки на DC (ссылка была выше).