Как изменить имя (переименовать) домен Active Directory?

06.10.2022

Active Directory, Windows Server 2016

В этой небольшой статье мы покажем, как правильно изменить имя домена Active Directory с test.com на resource.loc . Вообще говоря, переименование домена Active Directory это не всегда самая лучшая идея. Для больших и сложных инфраструктур AD лучше выполнить постепенную миграцию пользователей, компьютеров и серверов в новый домен. Но и процедура переименования домена вполне рабочая.

Прежде чем начать, убедитесь, что:

У вас есть актуальная резервная копия контроллеров домена;

В вашем домене корректно работает репликация и нет критических ошибок контроллеров домена или DNS (проверка здоровья домена Active Directory);
В вашем домене нет Exchange. Нельзя переименовать домен AD с развёрнутым в нем Exchange (кроме Exchange 2003);
Для переименования домена нужен уровень не менее Windows Server 2003 (в моем примере функциональный уровень домена и леса – Windows Server 2016).

Сначала нужно создать DNS зону нового домена на контроллерах домена. Для этого откройте консоль dnsmgmt.msc , создайте новую первичную зону типа Forward Lookup Zone с именем resource.loc и реплицируйте ее по всем DNS серверам в старом домене test.com.

Можно создать новую зону DNS с помощью PowerShell:

Add-DnsServerPrimaryZone -Name resource.loc -ReplicationScope "Domain" –PassThru

создать DNS зону для нового домена

Дождитесь окончания репликации новой зоны по всем DC.

Выполните команду rendom /list чтобы сгенерировать файл Domainlist.xml с текущей конфигурацией леса AD.

файл Domainlist.xml с текущей конфигурацией леса AD

Get-Content .\Domainlist.xml

<Forest>
<Domain>
<!-- PartitionType:Application -->
<Guid>31f818cc-e75a-4aea-9ed2-4ddfe4172a2c</Guid>
<DNSname>DomainDnsZones.test.com</DNSname>
<NetBiosName></NetBiosName>
<DcName></DcName>
</Domain>
<Domain>
<!-- PartitionType:Application -->
<Guid>aad0e305-4897-4964-968d-67ee93fd6e47</Guid>
<DNSname>ForestDnsZones.test.com</DNSname>
<NetBiosName></NetBiosName>
<DcName></DcName>
</Domain>
<Domain>
<!-- ForestRoot -->
 <Guid>a5daca80-6c2c-49a6-8704-d1e4db76e851</Guid>
<DNSname>test.com</DNSname>
<NetBiosName>TEST</NetBiosName>
<DcName></DcName>
</Domain>
</Forest>

Откройте файл Domainlist.xml на редактирование и замените все имена старого домена на новый:

Notepad .\Domainlist.xml

задайте новое имя домена в файле Domainlist.xml

Сохраните файл и выполните команду:

rendom /showforest

Данная команда покажет какие изменения будут внесены в конфигурацию.

rendom /showforest

Следующая команда загрузит файл Domainlist.xml с новой конфигурацией разделов AD на контроллер домена с FSMO ролью Domain naming master:

rendom /upload

rendom /upload загрузка новой конфигурации схемы домена

Владельцев FSMO ролей можно вывести так:

netdom query fsmo

fsmo роли

После этого блокируются любые изменении в конфигурация леса AD

Следующая команда rendom /prepare проверит доступность всех DC в лесу и проверить их готовность к переименованию.

Убедитесь, что эта команда не вернула ошибок.

rendom /prepare проверка доступности всех DC в домене

Waiting for DCs to reply.
msk-dc02.test.com was prepared successfully
msk-dc00.test.com was prepared successfully
The operation completed successfully.

Следующая команда выполнит переименование домена (контроллеры домена некоторое время будут недоступны и автоматически перезагрузятся, чтобы применить новые настройки):

rendom /execute

rendom /execute переименовать домен active directory

Waiting for DCs to reply.
The script was executed successfully on msk-dc02.test.com
The script was executed successfully on msk-dc00.test.com
2 servers contacted, 0 servers returned Errors
The operation completed successfully.

Проверьте, что в свойствах DC теперь указано новое имя домена. Обратите внимание, что полное имя компьютер осталось старым.

новое имя домена в свойствах компьютера

Чтобы зайти на DC укажите учетную запись с домен. В Windows Core контроллерах домена можно указать другое имя пользователя, нажав ESС несколько раз.

вход на DC под учетной записью в новом домене

Выполните следующую команду, чтобы обновить привязки GPO:

gpfixup /olddns:test.com /newdns:resource.loc

gpfixup - обновить привязки групповых политик

Group Policy fix up utility Version 1.1 (Microsoft)
Start fixing group policy (GroupPolicyContainer) objects:
Start fixing site group policy links:
Start fixing non-site group policy links:
gpfixup tool executed with success.

Затем обновите NetBIOS имя домена:

gpfixup /oldnb:TEST /newnb:RESOURCE

Следующая команда удалит из AD ссылки на старый домен:

rendom /clean

Разблокируйте конфигурацию домена:

rendom /end

Теперь нужно вручную добавить новые имена на каждом контроллере домена и сделать их основными:

netdom computername %COMPUTERNAME%.test.com /add:%COMPUTERNAME%.resource.loc netdom computername %COMPUTERNAME%.test.com /makeprimary:%COMPUTERNAME%.resource.loc

И перезагрузить DC:

Shutdown –f –r –t 0

Запустите консоль ADUC (dsa.msc) и проверьте, что она подключилась к новому имени домена, а вся структура OU, пользователи и компьютеры остались на месте.

смена имени домена Active Directory

Можно переименовать и контроллеры домена AD.

Осталось сменить “Full computer name” на всех компьютерах и серверах в домене. Для добавления компьютеров в домен можно использовать команды выше.

Обратите внимание, что для перенастройки некоторых сервисов (CA, Failover Clusters) на новый домен придется выполнить дополнительные шаги.

После окончания процедуры переименования домена обязательно проверьте состояние репликации и ошибки на DC (ссылка была выше).

Предыдущая статья Следующая статья

Аудит DNS запросов клиентов в Windows Server, логи DNS

Проверка здоровья контроллеров домена Active Directory и репликации

Установка контроллера домена AD на Windows Server Core

Настройка двухфакторной аутентификации (2FA) в Windows с помощью MultiOTP

Напоминание об истечении срока пароля в домене AD

Подключение сетевых дисков в Windows с помощью групповых политик

Настройка перенаправления папок пользователей в AD с помощью GPO

Комментариев: 32 Оставить комментарий

serg 29.04.2021
К примерам приложений, несовместимых с переименованием домена, относятся следующие продукты:
Microsoft Exchange 2000 Server
Microsoft Exchange Server 2007
Microsoft Exchange Server 2010
Microsoft Exchange Server 2013
Microsoft Internet Security and Acceleration (ISA) Server 2004
Microsoft Live Communications Server 2005
Microsoft Operations Manager 2005
Microsoft SharePoint Portal Server 2003
Microsoft Systems Management Server (SMS) 2003
Microsoft Office Communications Server 2007
Microsoft Office Communications Server 2007 R2
Microsoft System Center Operations Manager 2007 SP1
Microsoft System Center Operations Manager 2007 R2
Microsoft Lync Server 2010
Microsoft Lync Server 2013
Ответить
- Антон 28.01.2022
  привет, а если у меня Exchange 2019 ?
  Ответить
  - itpro 31.01.2022
    Я бы не стал такое делать. Документации можно ли сделать смену имения домена с Exchange 2019 я не видел.
    Подумайте, может быть вам просто добавить пользователям новый UPN суффикс + accepted domains в exchnage и забыть 🙂
    Ответить
Александр 05.05.2021
Вручную переименовывать нужно только КД, остальные компьютеры и сервера можно перезагрузить два раза и они сами подхватят новый домен.
Делать это нужно после /execute и ДО выполнение команды rendom /clean
Ответить
Влад 06.05.2021
Очень полезная статья, самому приходилось пару раз этим заниматься. Очень сокращает время для поднятия нового DMZ.
Ответить
thehotery 11.05.2021
немного оффтопик: после очередной штатной перезагрузки перестало разрешаться короткое (netbios) имя домена, недоступны общие папки по \\test\Namespace\share_name и в домен компьютер добавить по короткому имени (test), по полному (test.loc) все ок. Подскажите как это вообще проверять, это netbios или dns?
Ответить
- serg 20.05.2021
  Это netbios. Проще всего сделай в DNS cname запись для contoso, указывающую на contoso.com
  Ответить
Сергей 04.03.2022
Переименовал домен по вашей инструкции, все прошло без проблем, котроллеры и сервера подцепились, клиенты тоже.
Но есть вопрос!
Как удалить все возможные следы старого имени домена? Они все равно остались, встретил их и в dhcp и в dns, возможно еще где-то остались.
Спасибо
Ответить
- itpro 14.03.2022
  Там нужно руками настройки править, они хранятся в конфигурации самих сервисом.
  Либо выдумывать скрипты для автоматизации, что явно дольше…
  Ответить
Алексей К. 14.06.2022
добрый день
вопрос, если есть exchange online (on premise нету)
правильный ли такой сценарий?
1. добовляем пользователям AD почтовые алиасы нового домена, делаем их основными например
2. меняем имя домена AD как в статье
3. обновляем конфигаруацию AD sync
Ответить
- itpro 16.06.2022
  По логике все так. Только я бы сначала сделал адрес из нового домена вторичным через proxyAddresses и дождался синхронизации.
  А зачем вам переименовывать on-prem AD? можно ведь обойтить дополнительным UPN суффиксом на земле https://winitpro.ru/index.php/2021/05/21/upn-suffiksy-userprincipalname-v-active-directory
  Ответить
  - Алексей К. 17.06.2022
    спасибо за ответ
    зачем переименновывать домен — у компании меняется имя вот и все
    соответсвенно почтовые адреса должны поменяться
    пути к сетевым дискам DFS, dns суфиксы компьютеров серверов, и так далее
    Ответить
Александр 28.10.2022
У нас используется доменная система с двумя контроллерами домена на базе Microsoft Windows Server 2012 R2. Лес и домен работает в режиме Windows Server 2012 R2.
Клиентская база составляет порядка 200 ПК на базе ОС Windows 7 и Windows 10.
Т.к. вся система досталась нашему предприятию в наследство от поглощенного предприятия, то на нынешнем этапе встала необходимость «малой кровью» перейти на новое название домена.
Поэтому для образовательных целей развернул у себя тестовый домен, работающий, как и «боевой» в таком же режиме и состоящий из двух контроллеров и одного клиентского ПК.
Изучил в интернете довольно много материала по переименованию домена, в том числе и статью на эту тему «Как изменить имя (переименовать) домен Active Directory?» на Вашем сайте WinITPro.ru.
Провел на тестовом домене переименование. Как-будто домен с новым именем полностью работоспособен (провел рекомендуемые тесты по проверке его здоровья как и перед операцией переименования), но осталось несколько вопросов.
Может Вы согласитесь мне на них ответить.
Некоторые авторы, в том числе и Вы, в числе подготовительных работ, перед выполнением переименования, рекомендуют создать новую первичную зону типа Forward Lookup Zone с именем нового домена и реплицировать ее по всем DNS серверам в старом домене.
Это мотивируется тем, что это нужно для того, чтобы после успешного выполнения переименования домена наши рядовые серверы и клиенты могли без проблем присоединиться к новому доменному имени.
А если эту зону не создавать предварительно (некоторые авторы об этом не пишут)? По Вашему мнению смогут ли клиентские ПК и рядовые серверы без проблем присоединиться к новому доменному имени?
В Вашей статье не указано, на каком этапе выполнять переподключение клиентских ПК и рядовых серверов к новому доменному имени. Это нужно делать до выполнения команды rendom /clean, которая должна удалить из AD ссылки на старый домен,
и команды rendom /end, которая должна разблокировать конфигурацию домена или можно (или нужно) выполнять после выполнения указанных мной выше команд?
3. Нужно ли после выполнения переименования домена из Forward Lookup Zone удалять первичную зону с именем старого домена? И как быть с зоной _msdcs.старый домен? Ее тоже нужно удалить и «ручками» создать такую, но уже с именем нового домена в названии?
Этих моментов совсем нет в Вашей статье? Или у меня все же как-то «кривовато» прошла операция переименования?
Ответить
- itpro 28.10.2022
  1) Зону желательно создать предварительно, я не знаю создается ли она автоматически при переименовании. Я пробовал именно сценарий с ручным созданием зоны. Тем более это не сложно.
  2) Переподключение рабочих станций в новый домен логично выполнять уже после завершения процедуры переименования.
  3) Старую зону, если она вам не нужна конечно можно будет со временем удалить. Но я бы сделал это не сразу, а черен некоторое (с неделю выждать). Чтобы убедится, что на нее ничего не завязано, я бы сначал запретил в ее свойствах чтение для everyone и очистил DNS кэш на клиентах (ipconfig /flushdns). Выждать еще недельку и если ничего не всплывает, можно ее удалять.
  Зона _msdcs.новый домен должна создаться автоматически.
  Я не понял, какие все таки проблемы у вас остались после переименования стендового домена.
  Ответить
  - Александр 31.10.2022
    Зону с новым именем домена я создавал предварительно, а вот зона с именем _msdcs.новый домен у меня не создалась сама. Может ее тоже нужно было создать предварительно «ручками»?
    Ответить
    - itpro 08.11.2022
      По идее DC сам должен создать зону _msdcs. Попробуйте перезагрузить DC на стенде и посмотреть, создалась ли она автоматически.
      Если нет, ну тогда вручную.
      _https://servergurunow.wordpress.com/2017/09/29/recreate-the-_msdcs-dns-zone/
      К сожалению уже не помню, делали ли это вручную или нет.
      Ответить
serg 09.03.2023
После переименования домена не смог добавить новый DC в AD. В мастере dc promote появилась ошибка:
A domain rename operation is already in progress
Оказалось, я забыл завершить процедуру и разблокировать домен:
rendom /end
🙁
Ответить
Денис 04.08.2023
После переименования домена, не могу править групповые политики, все поля которые можно менять показывает серым цветом и изменить нельзя соответственно. Можете подсказать в чем может быть проблема?
Ответить
- dk 04.08.2023
  gpfixup делали?
  Ответить
Curic 30.08.2023
Автоматическое переопределение рабочих станций в новый домен необходимо делать , как было упомянуто выше, ДО rendom /clean rendom /end. Иначе придется вручную.
Жаль не сказано , что надо делать с CA сервером.
Ответить
- Михаил 01.09.2023
  Добрый день. Уточните, пожалуйста, после переопределения рабочих станций в новый домен пользователи логинятся в свой старый профиль? Настройки, ярлыки, обои — всё сохраняется?
  Ответить
  - Curic 27.09.2023
    Да, конкретно для пользователя ничего не меняется.
    Ответить
- Олег 18.03.2024
  Добрый день!
  Не понял, как происходит Автоматическое переопределение рабочих станций в новый домен?
  Подскажите, плиз.
  Ручное переопределение — это на каждом компе вручную вывести из старого домена и ввести в новый?
  Ответить
Ярослав 21.03.2024
Есть четыре контроллера на трёх разных площадках. Переименовывал по статье. После команды rendom /prepare, которая сразу выдавала ошибку, необходимо ждать репликацию. У меня это заняло несколько часов. После команды rendom /execute и успешного выполнения КД перезагружались. После загрузки всех КД перезагрузил подчинённые сервера два раза и полные имена подтянулись как надо. КД переименовал руками. Обратите внимание на то что групповые политики не подтянуться на подчинённые сервера(и станции) если их не поправить командой gpfixup . После gpfixup перезагрузил подчинённые сервера в третий раз и политики подтянулись.
Предлагаю перезагружать подчинённые сервера после команды gpfixup но до команды rendom /clean . В этом случае и политики подтянутся и имена придут в норму.
Ответить
- Ярослав 21.03.2024
  Обратите внимание! В новой зоне прямого просмотра появятся только записи NS,A узлов присоединенных к домену. Записи CNAME а так же не узлов не присоединенных к домену, например маршрутизаторов и коммутаторов, не появятся! Необходимо добавлять руками.
  Ответить
Tosha 04.06.2024
Приветствую! Команда gpfixup /oldnb:SYSTEM /newnb:SYSTECH
Выдаёт ошибку:
Group Policy fix up utility Version 1.1 (Microsoft)
Could not get the domain controller name: 8007054b
The specified domain either does not exist or could not be contacted.
There are some errors during the execution of gpfixup tool, please check.
Подскажите как исправить
Ответить
- itpro 06.06.2024
  Пробовали перегрузить DC?
  Ответить
- Андрей 16.07.2024
  Плюсую, такая же проблема, Сервер 2022
  Ответить
  - itpro 19.07.2024
    Начните с диагнсотки того, что старое и новое имя домена доступны:
    ping SYSTEM ping SYSTECH
    Если нет, смотреть DNS
    nslookup SYSTEM nslookup SYSTECH
    Проверить, что вы можете найти DC в домене:
    nltest /DSGETDC:SYSTEM nltest /DSGETDC:SYSTECH
    По резульаттам уже думать.
    Ответить
Tosha 11.06.2024
Да, он умер, окончательно. Снёс роль и поднял заново с нужным именем. Вариант переименования домена считаю рискованным. У меня благо ничего на нем завязано не было.
Ответить
Сергей 06.12.2024
Добрый день не нашел в сети такого ответа…
Есть win сервер 2019 которому запустили в 2020 году процесс переименования. Сейчас нужно добавить новый сервер для репликации а первый завис в данной стадии(в процессе переименования). Подскажите пожалуйста. Есть ли механизм который может безболезненно прервать данную процедуру чтобы можно было работать дальше. Ибо создать новый домен можно но переводить туда 80 ПК с юзерами — дело довольно долгое..
Видимо процесс был запущен командой rendom /list
Самого переименования не было имя домена как было «olddomen» так и осталось «olddomen».
Ответить
- itpro 11.12.2024
  Команда rendom /list не запускает переименование. Это подготовительный шаг получения файла с текущей конфигурации.
  Если до вас кто-то запускал процесс смены имени и не закончил его, вы можете проверить на каком этапе все остановилось, изучив файл DClist.xml в каталоге с которого запускали rendom.exe.
  Там будет вижно на каком этапе смены имени находится каждый DC:
  Ответить

Оставить комментарий