Categories: Active DirectoryWindows Server 2016

Как изменить имя (переименовать) домен Active Directory?

В этой небольшой статье мы покажем, как правильно изменить имя домена Active Directory с test.com на resource.loc . Вообще говоря, переименование домена Active Directory это не всегда самая лучшая идея. Для больших и сложных инфраструктур AD лучше выполнить постепенную миграцию пользователей, компьютеров и серверов в новый домен. Но и процедура переименования домена вполне рабочая.

Прежде чем начать, убедитесь, что:

У вас есть актуальная резервная копия контроллеров домена ;
В вашем домене корректно работает репликация и нет критических ошибок контроллеров домена или DNS ( проверка здоровья домена Active Directory );
В вашем домене нет Exchange. Нельзя переименовать домен AD с развёрнутым в нем Exchange (кроме Exchange 2003);
Для переименования домена нужен уровень не менее Windows Server 2003 (в моем примере функциональный уровень домена и леса – Windows Server 2016).

Сначала нужно создать DNS зону нового домена на контроллерах домена. Для этого откройте консоль dnsmgmt.msc , создайте новую первичную зону типа Forward Lookup Zone с именем resource.loc и реплицируйте ее по всем DNS серверам в старом домене test.com.

Можно создать новую зону DNS с помощью PowerShell :

Add-DnsServerPrimaryZone -Name resource.loc -ReplicationScope "Domain" –PassThru

Дождитесь окончания репликации новой зоны по всем DC.

Выполните команду rendom /list чтобы сгенерировать файл Domainlist.xml с текущей конфигурацией леса AD.

Get-Content .Domainlist.xml

_x000D_<Forest>_x000D_<Domain>_x000D_<!-- PartitionType:Application -->_x000D_<Guid>31f818cc-e75a-4aea-9ed2-4ddfe4172a2c</Guid>_x000D_<DNSname>DomainDnsZones.test.com</DNSname>_x000D_<NetBiosName></NetBiosName>_x000D_<DcName></DcName>_x000D_</Domain>_x000D_<Domain>_x000D_<!-- PartitionType:Application -->_x000D_<Guid>aad0e305-4897-4964-968d-67ee93fd6e47</Guid>_x000D_<DNSname>ForestDnsZones.test.com</DNSname>_x000D_<NetBiosName></NetBiosName>_x000D_<DcName></DcName>_x000D_</Domain>_x000D_<Domain>_x000D_<!-- ForestRoot -->_x000D_ <Guid>a5daca80-6c2c-49a6-8704-d1e4db76e851</Guid>_x000D_<DNSname>test.com</DNSname>_x000D_<NetBiosName>TEST</NetBiosName>_x000D_<DcName></DcName>_x000D_</Domain>_x000D_</Forest>

Откройте файл Domainlist.xml на редактирование и замените все имена старого домена на новый:

Notepad .Domainlist.xml

Сохраните файл и выполните команду:

rendom /showforest

Данная команда покажет какие изменения будут внесены в конфигурацию.

Следующая команда загрузит файл Domainlist.xml с новой конфигурацией разделов AD на контроллер домена с FSMO ролью Domain naming master:

rendom /upload

Владельцев FSMO ролей можно вывести так:

netdom query fsmo

После этого блокируются любые изменении в конфигурация леса AD

Следующая команда rendom /prepare проверит доступность всех DC в лесу и проверить их готовность к переименованию.

Убедитесь, что эта команда не вернула ошибок.

Waiting for DCs to reply._x000D_msk-dc02.test.com was prepared successfully_x000D_msk-dc00.test.com was prepared successfully_x000D_The operation completed successfully.

Следующая команда выполнит переименование домена (контроллеры домена некоторое время будут недоступны и автоматически перезагрузятся, чтобы применить новые настройки):

rendom /execute

Waiting for DCs to reply._x000D_The script was executed successfully on msk-dc02.test.com_x000D_The script was executed successfully on msk-dc00.test.com_x000D_2 servers contacted, 0 servers returned Errors_x000D_The operation completed successfully.

Проверьте, что в свойствах DC теперь указано новое имя домена. Обратите внимание, что полное имя компьютер осталось старым.

Чтобы зайти на DC укажите учетную запись с домен. В Windows Core контроллерах домена можно указать другое имя пользователя, нажав ESС несколько раз.

Выполните следующую команду, чтобы обновить привязки GPO:

gpfixup /olddns:test.com /newdns:resource.loc

Group Policy fix up utility Version 1.1 (Microsoft)_x000D_Start fixing group policy (GroupPolicyContainer) objects:_x000D_Start fixing site group policy links:_x000D_Start fixing non-site group policy links:_x000D_gpfixup tool executed with success.

Затем обновите NetBIOS имя домена:

gpfixup /oldnb:TEST /newnb:RESOURCE

Следующая команда удалит из AD ссылки на старый домен:

rendom /clean

Разблокируйте конфигурацию домена:

rendom /end

Теперь нужно вручную добавить новые имена на каждом контроллере домена и сделать их основными:

netdom computername %COMPUTERNAME%.test.com /add:%COMPUTERNAME%.resource.loc netdom computername %COMPUTERNAME%.test.com /makeprimary:%COMPUTERNAME%.resource.loc

И перезагрузить DC:

Shutdown –f –r –t 0

Запустите консоль ADUC (dsa.msc) и проверьте, что она подключилась к новому имени домена, а вся структура OU, пользователи и компьютеры остались на месте.

Можно переименовать и контроллеры домена AD .

Осталось сменить “Full computer name” на всех компьютерах и серверах в домене. Для добавления компьютеров в домен можно использовать команды выше.

Обратите внимание, что для перенастройки некоторых сервисов (CA, Failover Clusters) на новый домен придется выполнить дополнительные шаги.

После окончания процедуры переименования домена обязательно проверьте состояние репликации и ошибки на DC (ссылка была выше).

admin