如何重命名 Active Directory 域名？

在这篇短文中，我们将向您展示如何正确更改 Active Directory 域名

test.com

到

resource.loc

。事实上，重命名 Active Directory 域并不是最好的主意。在大型且复杂的 AD 基础设施中，最好将用户、计算机和服务器迁移到新域。但是，对于简单且小型的 AD 环境（测试、预生产或 DMZ），您可以根据本指南轻松重命名您的 AD 域

在开始之前，请确保：

• 您拥有域控制器的最新备份；

• 复制在您的域中正常工作，并且域控制器或 DNS 没有严重错误（如何检查 Active Directory 运行状况）；

• 您的域中没有 Exchange。如果 AD 域中部署了 Exchange（Exchange Server 2003 除外），则无法重命名 AD 域；

• 要重命名域，您需要 Windows Server 2003 或更高版本（在我的示例中，我的 AD 域和林的功能级别是 Windows Server 2016）。

首先，在当前的域控制器上为新域创建一个 DNS 区域。为此，请打开

dnsmgmt.msc

管理单元中，创建一个名为 resources.loc 的新主正向查找区域，并将其复制到旧 test.com 域中的所有 DNS 服务器上。

您可以使用 PowerShell 创建新的 DNS 区域：

Add-DnsServerPrimaryZone -Name resource.loc -ReplicationScope "Domain" -PassThru

等待新的 DNS 区域复制到所有 DC 上。

跑过

rendom /list

命令生成具有当前 AD 林配置的 Domainlist.xml 文件。

Get-Content .\Domainlist.xml

<Forest>
<Domain>
<!-- PartitionType:Application -->
<Guid>6944a1cc-d79a-4bdb-9d1b-411fd417bbbc</Guid>
<DNSname>DomainDnsZones.test.com</DNSname>
<NetBiosName></NetBiosName>
<DcName></DcName>
</Domain>
<Domain>
<!-- PartitionType:Application -->
<Guid>bb10d409-4897-4974-9781-77dd94f17d47</Guid>
<DNSname>ForestDnsZones.test.com</DNSname>
<NetBiosName></NetBiosName>
<DcName></DcName>
</Domain>
<Domain>
<!-- ForestRoot -->
<Guid>b91bcb80-7cbc-49b7-8704-11d41b77d891</Guid>
<DNSname>test.com</DNSname>
<NetBiosName>TEST</NetBiosName>
<DcName></DcName>
</Domain>
</Forest>

打开 Domainlist.xml 并将所有旧域名替换为新域名：

Notepad .\Domainlist.xml

保存文件并运行以下命令：

rendom /showforest

该命令将显示要在配置中进行的更改。

以下命令将使用 AD 分区的新配置将 Domainlist.xml 上传到具有域命名主机 FSMO 角色的域控制器：

rendom /upload

FSMO 角色所有者可以显示如下：

netdom query fsmo

之后，您将无法更改 AD 林配置，因为它将被锁定。

这

rendom /prepare

命令将检查林中所有 DC 的可用性以及它们是否准备好重命名。

确保该命令未返回任何错误。

Waiting for DCs to reply.
mun-dc02.test.com was prepared successfully
mun-dc00.test.com was prepared successfully
The operation completed successfully.

以下命令将重命名域（域控制器将在一段时间内不可用并自动重新启动以应用新设置）：

rendom /execute

Waiting for DCs to reply.
The script was executed successfully on mun-dc02.test.com
The script was executed successfully on mun-dc00.test.com
2 servers contacted, 0 servers returned Errors
The operation completed successfully.

确保新域名显示在域属性中。请注意，完整的计算机名称没有更改。

您必须提供以下格式的帐户名

newdomain\username

登录 DC。

要访问 DC，请指定域中的帐户。在 Windows 核心域控制器上，您可以通过按几次 ESC 来指定不同的用户名。

运行以下命令来更新 GPO 绑定：

gpfixup /olddns:test.com /newdns:resource.loc

Group Policy fix up utility Version 1.1 (Microsoft)
Start fixing group policy (GroupPolicyContainer) objects:
Start fixing site group policy links:
Start fixing non-site group policy links:
gpfixup tool executed with success.

然后更新NetBIOS域名：

gpfixup /oldnb:TEST /newnb:RESOURCE

然后手动在每个域控制器上添加新名称并将其设为主要名称：

netdom computername %COMPUTERNAME%.test.com /add:%COMPUTERNAME%.resource.loc
netdom computername %COMPUTERNAME%.test.com /makeprimary:%COMPUTERNAME%.resource.loc

重新启动 DC：

Shutdown -f -r -t 0

只有域控制器需要手动重命名。其余的计算机和服务器可以重新启动两次，它们将自动切换到新域。

这必须在 /execute 之后和执行 rendom /clean 命令之前完成。

或者您可以使用上面的命令将计算机重新加入新域。

以下命令将从 AD 中删除指向旧域的链接：

rendom /clean

解锁域配置：

rendom /end

打开 ADUC（

dsa.msc

) 控制台并确保它已连接到新域名并且所有 OU 结构、用户和计算机保持不变。

请注意，您必须执行一些额外的步骤才能将某些服务（CA、故障转移群集）重新配置到新域。

重命名域后，检查 DC 上的 AD 复制状态和错误（请参阅上面的链接）。