Переименование домена Active Directory

Панель задач и PowerShellВ редких случаях перед администратором доменных служб может встать задача, связанная с переименованием текущего домена. Причины могут быть разными, однако такая ситуация вполне возможна. Несмотря на то что эту задачу нельзя назвать тривиальной, но изредка приходится с ней сталкиваться, крайне важно сделать все правильно, так как в противном случае исход событий может быть критически опасным, вплоть до полностью нерабочей корпоративной инфраструктуры. Итак, далее в этой статье вы узнаете о предварительных требованиях для выполнения этой операции, о некоторых ограничениях, а также о том, как можно переименовать свой домен. Прежде чем начнем, настоятельная просьба: не выполняйте этих действий в производственной среде до тех пор, пока вы не переименуете удачно свой тестовый домен в лабораторной среде. Начнем.

Предварительные требования

Перед тем как начать переименовывать свой домен обязательно примите во внимание следующие сведения:

  • Функциональный уровень леса Active Directory. Выполнять задачи по переименованию доменов можно лишь в том случае, если все домены в лесу оснащены как минимум операционной системой Windows Server 2003 (в этом случае по редакциям нет никаких ограничений). Более того, функциональный уровень должен быть повышен по меньшей мере до уровня Windows Server 2003. То есть, если у вас в лесу выбран функциональный уровень Windows Server 2000, то выполнение следующей операции попросту станет невозможным;
  • Расположение домена. В лесу Active Directory может быть разный уровень доменов. То есть, могут быть либо отдельный домен, либо лес может включать дочерние домены. В том случае если вы будете менять расположение контроллера домена внутри леса, вам придется создать доверительные отношения;
  • Зона DNS. Еще до выполнения операции переименования домена вам необходимо создать новую зону DNS;
  • Административные учетные данные. Для выполнения операции переименования домена вы должны выполнить вход в систему под административной учетной записью, которая является членом группы администраторов предприятия (Enterprise Admins);
  • Серверы распределенной файловой системы (DFS). Если в вашей корпоративной среде развернуты службы DFS или настроены перемещаемые профили, то обратите внимание на то, что корневые DFS-серверы должны работать, как минимум, под управлением операционной системы Windows Server 2000 с пакетом обновления 3 или под более современными версиями операционных системам;
  • Несовместимость с серверами Microsoft Exchange. Самый неприятный момент заключается в том, что если в вашем лесу Active Directory развернут почтовый сервер Microsoft Exchange Server 2003 Service Pack 1, то переименование домена будет выполнено без каких-либо проблем, но учетная запись пользователя, под которой будет выполняться сам процесс переименование домена должна быть членом группы Full Exchange Administrator. Все более современные почтовые серверы (включая Exchange Server 2016) несовместимы с операциями переименования доменов.

Также обратите внимание на тот факт, что на время переименования домена вы должны заморозить все предстоящие операции по конфигурации леса Active Directory. Другими словами, вы должны удостовериться в том, что конфигурация вашего леса не изменится до тех пор, пока операция по переименованию домена не будет полностью завершена (подробную информацию о выполнении этого действия вы увидите ниже). К таким операциям можно отнести: создание или удаление доменов внутри вашего леса Active Directory, создание или удаление разделов каталога приложений, добавление или удаление контроллеров домена в лесу, создание или удаление установленного напрямую доверия, а также добавление или удаление атрибутов, которые будут реплицированы в глобальный каталог.

На всякий случай я бы еще вам посоветовал сделать полную резервную копию состояния системы на каждом контроллере домена в лесу Active Directory. В случае выполнения этой задачи, данная предосторожность точно не будет лишней.

В том случае, если ваша инфраструктура соответствует выше упомянутым требованиям и сделаны все требуемые резервные копии, вы можете приступать к процессу переименования домена.

Процесс переименования домена Active Directory

Далее вы наглядно узнаете о том, как можно переименовать домен. В качестве примера будет изменено имя домена с «biopharmaceutic.local» на «biopharm.local».

Для начала, для того чтобы проверить первоначальное имя вашего домена, вы можете открыть окно свойств системы. Как видно на соответствующей иллюстрации, мой домен называется «Biopharmaceutic.local»:

Проверка изначального имени домена Active Directory

Рис. 1. Проверка изначального имени домена Active Directory

Теперь следует создать новую зону DNS «biopharm.local» для того чтобы после успешного выполнения переименования домена ваши рядовые серверы и клиенты могли без проблем присоединиться к новому доменному имени. Для этого откройте «Диспетчер DNS» (DNS Manager) и находясь в «Зоне прямого просмотра» (Forward Lookup Zone) выберите опцию оп созданию новой зоны. По сути, зона создается как обычно: на первой странице мастера создания новой зоны следует прочитать вступительную информацию и перейти ко второй странице. На странице типа зоны выберите основную зону (Primary Zone) и обратите внимание на то, чтобы была активирована опция сохранения зоны в Active Directory. На странице области репликации зоны следует оставить опцию, выбранную по умолчанию – «Для всех DNS-серверов, работающих на контроллерах домена в этом домене: Biopharmaceutic.local» (To all DNS servers running on domain controllers in this domain: Biopharmaceutic.local). На странице имени зоны следует указать новое имя домена (biopharm.local), а на странице динамического обновления также оставьте опцию «Разрешить только безопасные динамические обновления (рекоменд. для Active Directory)» (Allow only secure dynamic updates (recommended for Active Directory)), которая выбрана по умолчанию. Несколько этапов создания новой зоны вы можете увидеть ниже:

Создание новой зоны DNS

Рис. 2. Создание новой зоны DNS

Следующим этапом переименования домена будет генерация описания текущего состояния леса. По сути, это первая операция по переименованию домена, в которой будет использоваться утилита командной строки Rendom. При помощи этой утилиты будет сгенерировано текстовое описания вашей текущей структуры леса в виде XML-файла с именем Domainlist.xml. Этот файл содержит список всех разделов каталога домена, а также разделов каталога приложений, которые находятся в вашем лесу Active Directory. Каждая запись для каждого раздела каталога домена и приложения ограничена тегами XML <Domain> и </Domain>. Более того, каждая запись содержит данные, включающие глобальный уникальный идентификатор объекта (GUID) корневого объекта раздела, имя DNS домена или каталога приложений, а также имя NetBIOS для домена.

Для создания такого файла следует под соответствующей учетной записью открыть командную строку и в ней выполнить команду «random /list». Сгенерированный файл будет сохранен в корневом каталоге учетной записи вашего пользователя. Далее вам нужно будет открыть этот файл при помощи любого текстового редактора.

Внутри этого файла вам нужно изменить имя домена внутри секции, которая ограничена тегами <DNSName> и </DNSname> и имя NetBIOS внутри тегов <NetBiosName> и </NetBiosName>). Обязательно обратите внимание на то, что вы не должны менять идентификатор GUID внутри соответствующих тегов.

На следующей иллюстрации вы увидите процесс выполнения вышеупомянутой команды, расположение файла Domainlist.xml и изменения для первой секции этого файла. В моем случае имя домена в этом конфигурационном будет изменено 4 раза:

Генерация и изменение файла Domainlist.xml

Рис. 3. Генерация и изменение файла Domainlist.xml

Для того чтобы удостовериться в том, что вы внесли в соответствующий файл требуемые изменения, вы можете выполнить команду «rendom /showforest». Как видите на следующей иллюстрации, у меня все записи изменились на «Bopharm»:

Просмотр потенциальных изменений

Рис. 4. Просмотр потенциальных изменений

При выполнении следующей команды (rendom /upload) утилита Rendom переводит новую структуру леса, указанную в отредактированном файле, в последовательность инструкций по обновлению каталога, которые будут запускаться локально и удаленно на каждом контроллере домена в лесу. Если говорить в общих чертах, то на этом этапе в разделе каталога конфигурации мастера именования доменов будут внесены изменения для переименования домена Active Directory. Помимо этого, будет создан файл Dclist.xml, который используется для отслеживания прогресса и состояния каждого контроллера домена в лесу для операции переименования домена. Между прочим, в этот момент утилита Rendom замораживает ваш лес Active Directory от внесения любых изменений в его конфигурацию. Процесс выполнения этой команды виден ниже:

Выполнение команды rendom /upload

Рис. 5. Выполнение команды rendom /upload

Следующая команда выполняется для проверки готовности контроллеров домена перед операцией по переименованию домена. Во время выполнения этого этапа вы должны запустить команду подготовительной проверки на каждом контроллере домена в лесу. Это необходимо для того, чтобы быть уверенным, что база данных Active Directory на каждом контроллере домена в лесу находится в правильном состоянии и готова выполнить изменения, которые позволят переименовать ваш домен. Следовательно, выполните команду «rendom /prepare», как это сделано на следующей иллюстрации:

Подготовка домена к переименованию

Рис. 6. Подготовка домена к переименованию

Самый ответственный момент. Выполнение команды «rendom /execute». Во время выполнения этой команды на домене выполняются инструкции по переименованию домена. По сути, в этот самый момент выполняется обращение к каждому контроллеру домена в лесу индивидуально, что заставляет каждый контроллер домена выполнять инструкции по переименованию домена. По выполнению этой операции каждый контроллер домена будет перезагружен. Процесс выполнения переименования домена смотрите на следующей иллюстрации:

Процесс переименования домена

Рис. 7. Процесс переименования домена

Но это еще не все. Несмотря на то, что ваш домен, по сути, уже переименован, вам еще предстоит задача по исправлению объектов групповой политики и их ссылок после завершения операции переименования домена. Для восстановления объектов групповой политики, а также ссылок GPO в каждом переименованном домене используется утилита командной строки Gpfixup.exe. Нельзя пренебрегать этой процедурой ввиду того, что без ее использования, после завершения операции переименования домена в новом лесу, групповые политики попросту не буду правильно функционировать. Учтите, что эта команда должна быть запущена единожды в каждом переименованном домене. Следовательно, один раз выполните команду gpfixup с параметрами /olddns:Biopharmaceutic.local (старое имя переименованного вами домена) и /newdns:Biopharm.local (новое имя переименованного домена), а затем команду gpfixup с параметрами /oldnb:Biopharmaceutic и /newnb:Biopharm (соответственно, старое и новое NETBIOS-имя вашего домена). Эта процедура видна ниже:

Исправление объектов групповой политики

Рис. 8. Исправление объектов групповой политики

Осталось выполнить лишь две команды: команду «rendom /clean», которая позволяет удалить все ссылки на старые имена домена внутри вашей Active Directory, а также команду «rendom /end», по сути, размораживающую лес Active Directory от внесения изменений в его конфигурацию. Процесс выполнения этих команд вы можете увидеть на следующей иллюстрации:

Завершение переименования домена Active Directory

Рис. 9. Завершение переименования домена Active Directory

Чтобы изменения применились на рядовые серверы и на конечных клиентов, вам придется дважды перезагрузить их компьютеры. Однако контроллеры домена вам придется переименовать вручную. Как видно на следующей иллюстрации, имя моего контроллера домена осталось старым:

Переименованный домен Active Directory со старым именем контроллера домена

Рис. 10. Переименованный домен Active Directory со старым именем контроллера домена

Для того чтобы его правильно переименовать, мы воспользуемся еще одной утилитой командной строки, а именно командой «netdom». Для начала выполните команду «netdom computername DC.biopharmaceutic.local /add:DC.biopharm.local». А после этого еще надо выполнить команду «netdom computername DC.biopharmaceutic.local /makeprimary:DC.biopharm.local».

Выполнение этих двух команд изображено ниже:

Переименование контроллера домена

Рис. 11. Переименование контроллера домена

После перезагрузки, как видно на последней иллюстрации, имя контроллера домена будет правильно изменено:

Переименованный контроллер домен

Рис. 12. Переименованный контроллер домен

Заключение

На этом статья подходит к концу. Из материала данной статьи вы узнали о том, как можно правильно переименовать домен Active Directory. Вы узнали о предварительных требованиях и ограничениях по выполнению этих действий, а также об использовании утилит Rendom и Gpfixup и, естественно, о самом процессе переименования домена. До встреч!

VN:F [1.9.22_1171]
Rating: 10.0/10 (2 votes cast)
Переименование домена Active Directory, 10.0 out of 10 based on 2 ratings

4 комментария

  1. Спасибо за статью. Вопрос а переименование домена с плоским именем, типа DOMEN в DOMEN.ru будет иметь свои особенности?

    VA:F [1.9.22_1171]
    Rating: 0 (from 0 votes)
    1. В принципе, основные нюансы я расписал, но, как правило, различные особенности и подводные камни могут возникнуть из-за уже существующей инфраструктуры (пример — тот же Exchange, о котором я упомянул)..

      VN:F [1.9.22_1171]
      Rating: 0 (from 0 votes)
      1. Вот это меня и беспокоит: планирую переименование, но есть Lync 2013, Enterprise Root CA на одном из КД и есть аутентификация Wi-Fi через АД. Что из этого может сломаться. Знаю что Lync не поддерживает переименование домена 🙁

        VA:F [1.9.22_1171]
        Rating: 0 (from 0 votes)

Leave a Reply

Ваш e-mail не будет опубликован. Обязательные поля помечены *