在本指南中,我们将向您展示如何将 Active Directory 域名从 test.com 更改为 resource.loc。请注意,通常不建议重命名 Active Directory 域。对于大型且复杂的 AD 环境,最佳做法是将用户、计算机和服务器迁移到一个全新的域中。然而,对于简单且规模较小的 AD 环境(如测试环境、预生产环境或 DMZ),您可以按照以下步骤重命名您的 AD 域。
开始之前,请确保:
- 确保您拥有域控制器的最新备份;
- 复制正常工作,并且域控制器或 DNS 没有严重错误;
- 确认您的域中没有部署 Exchange(除了 Exchange Server 2003)。如果 AD 域中部署了 Exchange(Exchange Server 2003 除外),则无法重命名 AD 域;
- 确保您使用的是 Windows Server 2003 或更高版本。在本示例中,AD 域和林的功能级别是 Windows Server 2016。
Active Directory 域重命名过程:
首先在当前域控制器上为新域创建一个 DNS 区域。通过打开 dnsmgmt.msc 管理单元,创建一个名为 resource.loc 的新主正向查找区域,并将此区域复制到旧 test.com 域中的所有 DNS 服务器上。
您可以使用以下 PowerShell 命令创建新的DNS区域:
powershell
Add-DnsServerPrimaryZone -Name resource.loc -ReplicationScope "Domain" –PassThru
图片
等待新的 DNS 区域复制到所有域控制器上。
运行命令 rendom /list 以使用当前AD林配置生成 Domainlist.xml 文件,并检查其内容:
powershell
Get-Content .\Domainlist.xml
图片
打开 Domainlist.xml 文件,并将所有旧域名替换为新域名。以下是文件的示例内容:
xml
<Forest>
<Domain>
<!-- PartitionType:Application -->
<Guid>6944a1cc-d79a-4bdb-9d1b-411fd417bbbc</Guid>
<DNSname>DomainDnsZones.resource.loc</DNSname>
<NetBiosName></NetBiosName>
<DcName></DcName>
</Domain>
<Domain>
<!-- PartitionType:Application -->
<Guid>bb10d409-4897-4974-9781-77dd94f17d47</Guid>
<DNSname>ForestDnsZones.resource.loc</DNSname>
<NetBiosName></NetBiosName>
<DcName></DcName>
</Domain>
<Domain>
<!-- ForestRoot -->
<Guid>b91bcb80-7cbc-49b7-8704-11d41b77d891</Guid>
<DNSname>resource.loc</DNSname>
<NetBiosName>RESOURCE</NetBiosName>
<DcName></DcName>
</Domain>
</Forest>保存文件,并执行以下命令以预览配置更改:
powershell
rendom /showforest
图片
使用以下命令将 Domainlist.xml 上传到具有域命名主机 FSMO 角色的域控制器:
powershell
rendom /upload
图片
此后,您将无法更改 AD 林配置,因为它将被锁定。
使用 rendom /prepare 命令检查林中所有域控制器的可用性以及它们是否准备好进行重命名。
powershell
rendom /prepare使用 netdom query fsmo 命令查看 FSMO 角色所有者:
powershell
netdom query fsmo执行域重命名
以下命令将重命名域(请注意,域控制器将在一段时间内不可用并自动重新启动以应用新设置):
powershell
rendom /execute
图片
确保新域名显示在域属性中。请注意,完整的计算机名称没有更改。
图片
运行以下命令来更新 GPO 绑定:
powershell
gpfixup /olddns:test.com /newdns:resource.loc
更新 NetBIOS 域名
运行以下命令更新 NetBIOS 域名:
powershell
gpfixup /oldnb:TEST /newnb:RESOURCE然后手动在每个域控制器上添加新名称并将其设为主要名称:
powershell
netdom computername %COMPUTERNAME%.test.com /add:%COMPUTERNAME%.resource.loc
netdom computername %COMPUTERNAME%.test.com /makeprimary:%COMPUTERNAME%.resource.loc重新启动域控制器:
powershell
Shutdown –f –r –t 0使用以下命令从 AD 中删除指向旧域的链接,并解锁域配置:
powershell
rendom /clean
rendom /end打开 dsa.msc 控制台并确保它已连接到新域名,并且所有 OU 结构、用户和计算机保持不变。
图片
注意事项
- 只有域控制器需要手动重命名。其余的计算机和服务器可以重新启动两次,它们将自动切换到新域。这必须在执行 rendom /execute 之后、执行 rendom /clean 命令之前完成。
- 或者,您可以使用上述命令将计算机重新加入新域。
- 请注意,您必须执行一些额外的步骤才能将某些服务(如 CA、故障转移群集)重新配置到新域。
检查和验证
重命名域后,检查域控制器上的 AD 复制状态和错误。
参考链接:https://woshub.com/rename-active-directory-domain/
