Переименование домена Active Directory на Windows Server 2008
Дано: Домен AD на Windows Server 2008 Standard в режиме Windows Server 2003, служба DNS. Простенький домен, который не успел еще обрасти службами и серверами. Один контроллер и рабочие станции. Изначально планировалось, что домен будет второго уровня вида example.com. Чуть позже, уже после того как я настроил политики безопасности, потребовалось из домена второго уровня сделать переименование в домен третьего уровня – вида corp.example.com. Пользовался Technet и небольшим англоязычным руководством.
Пропуская всяческие предупреждения о том, что это не лучший выход из ситуации переименования домена и что так делать не рекомендуется идем на technet.microsoft.com/ru-ru/windowsserver/bb405948.aspx и качаем утилиту rendom.exe (Средства переименования доменов Active Directory в Windows Server 2003). На любом сервере, входящем в нужный домен и не являющимся контроллером домена, устанавливаем эту утилиту.
Выполняем rendom /list — генерится файл domainlist.xml, в котором содержится текущая конфигурация леса. Лежать этот файл будет в папке C:\Users\User\AppData\Local\VirtualStore\Program Files\Microsoft Domain Rename Tools (путь в «семерке»). Открываем этот файл на исправление, меняем значения полей DNSname и NetBiosName. C помощью команды rendom /showforest можно просмотреть будущие изменения. Вносить изменения она не будет.
Запускаем rendom /upload, чтобы загрузить изменения на контроллер домена – хозяина ролей FSMO. При этом конфигурация леса замораживается, что не дает возможности вносить в конфигурацию любые изменения. Нужно подождать пока изменения реплицируются на остальные контроллеры домена либо провести принудительную репликацию командой repadmin /syncall. Командой rendom /prepare проверяем готовность всех контроллеров домена провести переименование. Ответом должно быть что все сервера на связи и ни один не вернул ошибки. Выполняем команду rendom /execute. Она применяет изменения сразу на всех контроллерах. Внимание, после завершения операции все контроллеры будут перезагружены автоматически. Если какой-то сервер вернул ошибку, необходимо понизить роль контроллера домена на этом сервере.
Запускаем утилиту gpfixup (устанавливается вместе с rendom) для обновления всех внутридоменных ссылок и ссылок на объекты групповых политик. В параметрах надо указать старые и новые DNSname и NetBiosName а также DNS-имя контроллера домена, пользователя – администратора домена и его пароль. Нюанс – DNS-имя DC нужно указывать еще старое, вида comp.example.com. Два раза перегружаем все клиентские машины и сервера, входящие в домен. DNS-cуффиксы на клиентских машинах изменятся, если включен параметр «Сменить основной DNS-суффикс при изменении членства в домене». Выполняем rendom /clean для удаления ссылок на старый домен из AD. Выполняем rendom /endдля разморозки конфигурации леса, чтобы разрешить вносить в будущем изменения. Отдельно необходимо вручную изменить DNS-суффикс контроллеров домена, это делается через дополнительные параметры системы.
Из замеченных глюков: на DC не все оснастки в консоли управления (MMC) автоматически переключились на новое имя домена, некоторым пришлось явно указывать. В целом операция прошла успешно и быстро. Более чем уверен, что в случае переименования домена с более сложной структурой вылезут глюки. Например если в домене присутствует Exchange сервер, то переименование невозможно в принципе. Так что лучше наверное как-то обходиться без этого. Удачи.