В этой небольшой статье мы покажем, как правильно изменить имя домена Active Directory с
test.com
на
resource.loc
. Вообще говоря, переименование домена Active Directory это не всегда самая лучшая идея. Для больших и сложных инфраструктур AD лучше выполнить постепенную миграцию пользователей, компьютеров и серверов в новый домен. Но и процедура переименования домена вполне рабочая.
Прежде чем начать, убедитесь, что:
- У вас есть актуальная резервная копия контроллеров домена;
- В вашем домене корректно работает репликация и нет критических ошибок контроллеров домена или DNS (проверка здоровья домена Active Directory);
- В вашем домене нет Exchange. Нельзя переименовать домен AD с развёрнутым в нем Exchange (кроме Exchange 2003);
- Для переименования домена нужен уровень не менее Windows Server 2003 (в моем примере функциональный уровень домена и леса – Windows Server 2016).
Сначала нужно создать DNS зону нового домена на контроллерах домена. Для этого откройте консоль
dnsmgmt.msc
, создайте новую первичную зону типа Forward Lookup Zone с именем resource.loc и реплицируйте ее по всем DNS серверам в старом домене test.com.
Можно создать новую зону DNS с помощью PowerShell:
Add-DnsServerPrimaryZone -Name resource.loc -ReplicationScope "Domain" –PassThru
Дождитесь окончания репликации новой зоны по всем DC.
Выполните команду
rendom /list
чтобы сгенерировать файл Domainlist.xml с текущей конфигурацией леса AD.
Get-Content .\Domainlist.xml
<Forest> <Domain> <!-- PartitionType:Application --> <Guid>31f818cc-e75a-4aea-9ed2-4ddfe4172a2c</Guid> <DNSname>DomainDnsZones.test.com</DNSname> <NetBiosName></NetBiosName> <DcName></DcName> </Domain> <Domain> <!-- PartitionType:Application --> <Guid>aad0e305-4897-4964-968d-67ee93fd6e47</Guid> <DNSname>ForestDnsZones.test.com</DNSname> <NetBiosName></NetBiosName> <DcName></DcName> </Domain> <Domain> <!-- ForestRoot --> <Guid>a5daca80-6c2c-49a6-8704-d1e4db76e851</Guid> <DNSname>test.com</DNSname> <NetBiosName>TEST</NetBiosName> <DcName></DcName> </Domain> </Forest>
Откройте файл Domainlist.xml на редактирование и замените все имена старого домена на новый:
Notepad .\Domainlist.xml
Сохраните файл и выполните команду:
rendom /showforest
Данная команда покажет какие изменения будут внесены в конфигурацию.
Следующая команда загрузит файл Domainlist.xml с новой конфигурацией разделов AD на контроллер домена с FSMO ролью Domain naming master:
rendom /upload
После этого блокируются любые изменении в конфигурация леса AD
Следующая команда
rendom /prepare
проверит доступность всех DC в лесу и проверить их готовность к переименованию.
Убедитесь, что эта команда не вернула ошибок.
Waiting for DCs to reply. msk-dc02.test.com was prepared successfully msk-dc00.test.com was prepared successfully The operation completed successfully.
Следующая команда выполнит переименование домена (контроллеры домена некоторое время будут недоступны и автоматически перезагрузятся, чтобы применить новые настройки):
rendom /execute
Waiting for DCs to reply. The script was executed successfully on msk-dc02.test.com The script was executed successfully on msk-dc00.test.com 2 servers contacted, 0 servers returned Errors The operation completed successfully.
Проверьте, что в свойствах DC теперь указано новое имя домена. Обратите внимание, что полное имя компьютер осталось старым.
Выполните следующую команду, чтобы обновить привязки GPO:
gpfixup /olddns:test.com /newdns:resource.loc
Group Policy fix up utility Version 1.1 (Microsoft) Start fixing group policy (GroupPolicyContainer) objects: Start fixing site group policy links: Start fixing non-site group policy links: gpfixup tool executed with success.
Затем обновите NetBIOS имя домена:
gpfixup /oldnb:TEST /newnb:RESOURCE
Следующая команда удалит из AD ссылки на старый домен:
rendom /clean
Разблокируйте конфигурацию домена:
rendom /end
Теперь нужно вручную добавить новые имена на каждом контроллере домена и сделать их основными:
netdom computername %COMPUTERNAME%.test.com /add:%COMPUTERNAME%.resource.loc
netdom computername %COMPUTERNAME%.test.com /makeprimary:%COMPUTERNAME%.resource.loc
И перезагрузить DC:
Shutdown –f –r –t 0
Запустите консоль ADUC (dsa.msc) и проверьте, что она подключилась к новому имени домена, а вся структура OU, пользователи и компьютеры остались на месте.
Осталось сменить “Full computer name” на всех компьютерах и серверах в домене. Для добавления компьютеров в домен можно использовать команды выше.
После окончания процедуры переименования домена обязательно проверьте состояние репликации и ошибки на DC (ссылка была выше).
К примерам приложений, несовместимых с переименованием домена, относятся следующие продукты:
Microsoft Exchange 2000 Server
Microsoft Exchange Server 2007
Microsoft Exchange Server 2010
Microsoft Exchange Server 2013
Microsoft Internet Security and Acceleration (ISA) Server 2004
Microsoft Live Communications Server 2005
Microsoft Operations Manager 2005
Microsoft SharePoint Portal Server 2003
Microsoft Systems Management Server (SMS) 2003
Microsoft Office Communications Server 2007
Microsoft Office Communications Server 2007 R2
Microsoft System Center Operations Manager 2007 SP1
Microsoft System Center Operations Manager 2007 R2
Microsoft Lync Server 2010
Microsoft Lync Server 2013
привет, а если у меня Exchange 2019 ?
Я бы не стал такое делать. Документации можно ли сделать смену имения домена с Exchange 2019 я не видел.
Подумайте, может быть вам просто добавить пользователям новый UPN суффикс + accepted domains в exchnage и забыть 🙂
Вручную переименовывать нужно только КД, остальные компьютеры и сервера можно перезагрузить два раза и они сами подхватят новый домен.
Делать это нужно после /execute и ДО выполнение команды rendom /clean
Очень полезная статья, самому приходилось пару раз этим заниматься. Очень сокращает время для поднятия нового DMZ.
немного оффтопик: после очередной штатной перезагрузки перестало разрешаться короткое (netbios) имя домена, недоступны общие папки по \\test\Namespace\share_name и в домен компьютер добавить по короткому имени (test), по полному (test.loc) все ок. Подскажите как это вообще проверять, это netbios или dns?
Это netbios. Проще всего сделай в DNS cname запись для contoso, указывающую на contoso.com
Переименовал домен по вашей инструкции, все прошло без проблем, котроллеры и сервера подцепились, клиенты тоже.
Но есть вопрос!
Как удалить все возможные следы старого имени домена? Они все равно остались, встретил их и в dhcp и в dns, возможно еще где-то остались.
Спасибо
Там нужно руками настройки править, они хранятся в конфигурации самих сервисом.
Либо выдумывать скрипты для автоматизации, что явно дольше…
добрый день
вопрос, если есть exchange online (on premise нету)
правильный ли такой сценарий?
1. добовляем пользователям AD почтовые алиасы нового домена, делаем их основными например
2. меняем имя домена AD как в статье
3. обновляем конфигаруацию AD sync
По логике все так. Только я бы сначала сделал адрес из нового домена вторичным через proxyAddresses и дождался синхронизации.
А зачем вам переименовывать on-prem AD? можно ведь обойтить дополнительным UPN суффиксом на земле https://winitpro.ru/index.php/2021/05/21/upn-suffiksy-userprincipalname-v-active-directory
спасибо за ответ
зачем переименновывать домен — у компании меняется имя вот и все
соответсвенно почтовые адреса должны поменяться
пути к сетевым дискам DFS, dns суфиксы компьютеров серверов, и так далее
У нас используется доменная система с двумя контроллерами домена на базе Microsoft Windows Server 2012 R2. Лес и домен работает в режиме Windows Server 2012 R2.
Клиентская база составляет порядка 200 ПК на базе ОС Windows 7 и Windows 10.
Т.к. вся система досталась нашему предприятию в наследство от поглощенного предприятия, то на нынешнем этапе встала необходимость «малой кровью» перейти на новое название домена.
Поэтому для образовательных целей развернул у себя тестовый домен, работающий, как и «боевой» в таком же режиме и состоящий из двух контроллеров и одного клиентского ПК.
Изучил в интернете довольно много материала по переименованию домена, в том числе и статью на эту тему «Как изменить имя (переименовать) домен Active Directory?» на Вашем сайте WinITPro.ru.
Провел на тестовом домене переименование. Как-будто домен с новым именем полностью работоспособен (провел рекомендуемые тесты по проверке его здоровья как и перед операцией переименования), но осталось несколько вопросов.
Может Вы согласитесь мне на них ответить.
Некоторые авторы, в том числе и Вы, в числе подготовительных работ, перед выполнением переименования, рекомендуют создать новую первичную зону типа Forward Lookup Zone с именем нового домена и реплицировать ее по всем DNS серверам в старом домене.
Это мотивируется тем, что это нужно для того, чтобы после успешного выполнения переименования домена наши рядовые серверы и клиенты могли без проблем присоединиться к новому доменному имени.
А если эту зону не создавать предварительно (некоторые авторы об этом не пишут)? По Вашему мнению смогут ли клиентские ПК и рядовые серверы без проблем присоединиться к новому доменному имени?
В Вашей статье не указано, на каком этапе выполнять переподключение клиентских ПК и рядовых серверов к новому доменному имени. Это нужно делать до выполнения команды rendom /clean, которая должна удалить из AD ссылки на старый домен,
и команды rendom /end, которая должна разблокировать конфигурацию домена или можно (или нужно) выполнять после выполнения указанных мной выше команд?
3. Нужно ли после выполнения переименования домена из Forward Lookup Zone удалять первичную зону с именем старого домена? И как быть с зоной _msdcs.старый домен? Ее тоже нужно удалить и «ручками» создать такую, но уже с именем нового домена в названии?
Этих моментов совсем нет в Вашей статье? Или у меня все же как-то «кривовато» прошла операция переименования?
1) Зону желательно создать предварительно, я не знаю создается ли она автоматически при переименовании. Я пробовал именно сценарий с ручным созданием зоны. Тем более это не сложно.
2) Переподключение рабочих станций в новый домен логично выполнять уже после завершения процедуры переименования.
3) Старую зону, если она вам не нужна конечно можно будет со временем удалить. Но я бы сделал это не сразу, а черен некоторое (с неделю выждать). Чтобы убедится, что на нее ничего не завязано, я бы сначал запретил в ее свойствах чтение для everyone и очистил DNS кэш на клиентах (ipconfig /flushdns). Выждать еще недельку и если ничего не всплывает, можно ее удалять.
Зона _msdcs.новый домен должна создаться автоматически.
Я не понял, какие все таки проблемы у вас остались после переименования стендового домена.
Зону с новым именем домена я создавал предварительно, а вот зона с именем _msdcs.новый домен у меня не создалась сама. Может ее тоже нужно было создать предварительно «ручками»?
По идее DC сам должен создать зону _msdcs. Попробуйте перезагрузить DC на стенде и посмотреть, создалась ли она автоматически.
Если нет, ну тогда вручную.
_https://servergurunow.wordpress.com/2017/09/29/recreate-the-_msdcs-dns-zone/
К сожалению уже не помню, делали ли это вручную или нет.
После переименования домена не смог добавить новый DC в AD. В мастере dc promote появилась ошибка:
A domain rename operation is already in progress
Оказалось, я забыл завершить процедуру и разблокировать домен:
rendom /end
🙁
После переименования домена, не могу править групповые политики, все поля которые можно менять показывает серым цветом и изменить нельзя соответственно. Можете подсказать в чем может быть проблема?
gpfixup делали?
Автоматическое переопределение рабочих станций в новый домен необходимо делать , как было упомянуто выше, ДО rendom /clean rendom /end. Иначе придется вручную.
Жаль не сказано , что надо делать с CA сервером.
Добрый день. Уточните, пожалуйста, после переопределения рабочих станций в новый домен пользователи логинятся в свой старый профиль? Настройки, ярлыки, обои — всё сохраняется?
Да, конкретно для пользователя ничего не меняется.
Добрый день!
Не понял, как происходит Автоматическое переопределение рабочих станций в новый домен?
Подскажите, плиз.
Ручное переопределение — это на каждом компе вручную вывести из старого домена и ввести в новый?
Есть четыре контроллера на трёх разных площадках. Переименовывал по статье. После команды rendom /prepare, которая сразу выдавала ошибку, необходимо ждать репликацию. У меня это заняло несколько часов. После команды rendom /execute и успешного выполнения КД перезагружались. После загрузки всех КД перезагрузил подчинённые сервера два раза и полные имена подтянулись как надо. КД переименовал руками. Обратите внимание на то что групповые политики не подтянуться на подчинённые сервера(и станции) если их не поправить командой gpfixup . После gpfixup перезагрузил подчинённые сервера в третий раз и политики подтянулись.
Предлагаю перезагружать подчинённые сервера после команды gpfixup но до команды rendom /clean . В этом случае и политики подтянутся и имена придут в норму.
Обратите внимание! В новой зоне прямого просмотра появятся только записи NS,A узлов присоединенных к домену. Записи CNAME а так же не узлов не присоединенных к домену, например маршрутизаторов и коммутаторов, не появятся! Необходимо добавлять руками.
Приветствую! Команда gpfixup /oldnb:SYSTEM /newnb:SYSTECH
Выдаёт ошибку:
Group Policy fix up utility Version 1.1 (Microsoft)
Could not get the domain controller name: 8007054b
The specified domain either does not exist or could not be contacted.
There are some errors during the execution of gpfixup tool, please check.
Подскажите как исправить
Пробовали перегрузить DC?
Плюсую, такая же проблема, Сервер 2022
Начните с диагнсотки того, что старое и новое имя домена доступны:
ping SYSTEM
ping SYSTECH
Если нет, смотреть DNS
nslookup SYSTEM
nslookup SYSTECH
Проверить, что вы можете найти DC в домене:
nltest /DSGETDC:SYSTEM
nltest /DSGETDC:SYSTECH
По резульаттам уже думать.
Да, он умер, окончательно. Снёс роль и поднял заново с нужным именем. Вариант переименования домена считаю рискованным. У меня благо ничего на нем завязано не было.
Добрый день не нашел в сети такого ответа…
Есть win сервер 2019 которому запустили в 2020 году процесс переименования. Сейчас нужно добавить новый сервер для репликации а первый завис в данной стадии(в процессе переименования). Подскажите пожалуйста. Есть ли механизм который может безболезненно прервать данную процедуру чтобы можно было работать дальше. Ибо создать новый домен можно но переводить туда 80 ПК с юзерами — дело довольно долгое..
Видимо процесс был запущен командой rendom /list
Самого переименования не было имя домена как было «olddomen» так и осталось «olddomen».
Команда rendom /list не запускает переименование. Это подготовительный шаг получения файла с текущей конфигурации.
Если до вас кто-то запускал процесс смены имени и не закончил его, вы можете проверить на каком этапе все остановилось, изучив файл DClist.xml в каталоге с которого запускали rendom.exe.
Там будет вижно на каком этапе смены имени находится каждый DC: