Как изменить имя (переименовать) домен Active Directory?

В этой небольшой статье мы покажем, как правильно изменить имя домена Active Directory с
test.com
на
resource.loc
. Вообще говоря, переименование домена Active Directory это не всегда самая лучшая идея. Для больших и сложных инфраструктур AD лучше выполнить постепенную миграцию пользователей, компьютеров и серверов в новый домен. Но и процедура переименования домена вполне рабочая.

Прежде чем начать, убедитесь, что:

У вас есть актуальная резервная копия контроллеров домена;
В вашем домене корректно работает репликация и нет критических ошибок контроллеров домена или DNS (проверка здоровья домена Active Directory);
В вашем домене нет Exchange. Нельзя переименовать домен AD с развёрнутым в нем Exchange (кроме Exchange 2003);
Для переименования домена нужен уровень не менее Windows Server 2003 (в моем примере функциональный уровень домена и леса – Windows Server 2016).

Сначала нужно создать DNS зону нового домена на контроллерах домена. Для этого откройте консоль
dnsmgmt.msc
, создайте новую первичную зону типа Forward Lookup Zone с именем resource.loc и реплицируйте ее по всем DNS серверам в старом домене test.com.

Можно создать новую зону DNS с помощью PowerShell:

Add-DnsServerPrimaryZone -Name resource.loc -ReplicationScope "Domain" –PassThru

создать DNS зону для нового домена

Дождитесь окончания репликации новой зоны по всем DC.

Выполните команду
rendom /list
чтобы сгенерировать файл Domainlist.xml с текущей конфигурацией леса AD.

файл Domainlist.xml с текущей конфигурацией леса AD

Get-Content .Domainlist.xml




31f818cc-e75a-4aea-9ed2-4ddfe4172a2c
DomainDnsZones.test.com





aad0e305-4897-4964-968d-67ee93fd6e47
ForestDnsZones.test.com





 a5daca80-6c2c-49a6-8704-d1e4db76e851
test.com
TEST

Откройте файл Domainlist.xml на редактирование и замените все имена старого домена на новый:

Notepad .Domainlist.xml

задайте новое имя домена в файле Domainlist.xml

Сохраните файл и выполните команду:

rendom /showforest

Данная команда покажет какие изменения будут внесены в конфигурацию.

rendom /showforest

Следующая команда загрузит файл Domainlist.xml с новой конфигурацией разделов AD на контроллер домена с FSMO ролью Domain naming master:

rendom /upload

rendom /upload загрузка новой конфигурации схемы домена

После этого блокируются любые изменении в конфигурация леса AD

Следующая команда
rendom /prepare
проверит доступность всех DC в лесу и проверить их готовность к переименованию.

Убедитесь, что эта команда не вернула ошибок.

rendom /prepare проверка доступности всех DC в домене

Waiting for DCs to reply.
msk-dc02.test.com was prepared successfully
msk-dc00.test.com was prepared successfully
The operation completed successfully.

Следующая команда выполнит переименование домена (контроллеры домена некоторое время будут недоступны и автоматически перезагрузятся, чтобы применить новые настройки):

rendom /execute

rendom /execute переименовать домен active directory

Waiting for DCs to reply.
The script was executed successfully on msk-dc02.test.com
The script was executed successfully on msk-dc00.test.com
2 servers contacted, 0 servers returned Errors
The operation completed successfully.

Проверьте, что в свойствах DC теперь указано новое имя домена. Обратите внимание, что полное имя компьютер осталось старым.

новое имя домена в свойствах компьютера

Чтобы зайти на DC укажите учетную запись с домен. В Windows Core контроллерах домена можно указать другое имя пользователя, нажав ESС несколько раз.

вход на DC под учетной записью в новом домене

Выполните следующую команду, чтобы обновить привязки GPO:

gpfixup /olddns:test.com /newdns:resource.loc

gpfixup - обновить привязки групповых политик

Group Policy fix up utility Version 1.1 (Microsoft)
Start fixing group policy (GroupPolicyContainer) objects:
Start fixing site group policy links:
Start fixing non-site group policy links:
gpfixup tool executed with success.

Затем обновите NetBIOS имя домена:

gpfixup /oldnb:TEST /newnb:RESOURCE

Следующая команда удалит из AD ссылки на старый домен:

rendom /clean

Разблокируйте конфигурацию домена:

rendom /end

Теперь нужно вручную добавить новые имена на каждом контроллере домена и сделать их основными:

netdom computername %COMPUTERNAME%.test.com /add:%COMPUTERNAME%.resource.loc netdom computername %COMPUTERNAME%.test.com /makeprimary:%COMPUTERNAME%.resource.loc

И перезагрузить DC:

Shutdown –f –r –t 0

Запустите консоль ADUC (dsa.msc) и проверьте, что она подключилась к новому имени домена, а вся структура OU, пользователи и компьютеры остались на месте.

смена имени домена Active Directory

Осталось сменить “Full computer name” на всех компьютерах и серверах в домене. Для добавления компьютеров в домен можно использовать команды выше.

Обратите внимание, что для перенастройки некоторых сервисов (CA, Failover Clusters) на новый домен придется выполнить дополнительные шаги.

После окончания процедуры переименования домена обязательно проверьте состояние репликации и ошибки на DC (ссылка была выше).

Windows Server 2016
Как изменить имя (переименовать) домен Active Directory?