Переименование контроллера домена Windows Server 2008, 2012
Переименование контроллера домена осуществляется достаточно просто. Единственное, что может помешать данной операции – это присутствие на контроллере домена Центра Сертификации (CA), который, как известно, не позволяет ни менять имя сервера, ни менять его доменной роли.
Переименование контроллера домена производится при помощи команды NETDOM, причем запускать эту команду не обязательно на том контроллере домена, который будет переименовываться. Главное, чтобы пользователь, из-под которого запускается эта команда, обладал соответствующими правами Администратора домена.
Необходимо сразу отметить, что процесс переименования требует перезагрузки контроллера. Домен должен работать, как минимум, на уровне Windows 2003.
В процессе переименования в DNS появится новая запись (A) с новым именем контроллера. Не удаляете из DNS до окончания процесса.
Мы будем менять имя сервера Server.domain.ru на Superserver.domain.ru.
1. В командной строке пишем
Эта команда обновляет атрибут SPN в Active Directory для нашего сервера и регестрирует запись в DNS. После этого необходимо дождаться репликации нового атрибута SPN и передачи записи на все полномочные DNS-серверы.
Проверить добавление нового имени можно при помощи adsiedit.msc. Нужно найти объект нашего компьютера и найти в его свойствах атрибут msDS-AdditionalDnsHostName
2. Проверяем, что аккаунт компьютера обновлен и DNS записи появились, затем пишем:
И снова можно проверить результат выполнения команды при помощи adsiedit.msc, причем в msDS-AdditionalDnsHostName все еще будет видно старое имя.
3. Перезагружаем сервер.
4. В командной строке пишем
5. Убедитесь, что все изменения реплицировались на другие контроллеры.
Как правильно переименовать контроллер домена
Переименовать компьютер просто — достаточно зайти в его свойства, сменить имя и перезагрузиться. Но если компьютер является контроллером домена, то все становиться несколько сложнее.
При попытке изменить подобным способом имя на контроллере домена вы получите предупреждение о том, что переименование может отрицательно повлиять на работу пользователей в домене. Действительно, изменения в доменной среде происходят не мгновенно и после переименования пользователи могут некоторое время обращаться к контроллеру по старому имени. В результате могут возникать ошибки авторизации, отказы в доступе к ресурсам и прочие неприятности. Избежать всего этого можно с помощью альтернативной процедуры переименования, предназначенной специально для контроллеров домена.
Мы с вами рассмотрим эту процедуру на примере сервера SRV2, который будет переименован в DC2.
Перед тем, как приступать к переименованию, надо соблюсти ряд условий:
• В домене должен быть еще как минимум один работоспособный контроллер домена;
• Функциональный уровень домена должен быть не ниже Windows Server 2003;
• На сервере не должно быть установлено роли центра сертификации (Certification Authority);
Если все условия выполнены, то можно приступать к переименованию. Для этого нам потребуется утилита командной строки NETDOM. Изначально эта утилита входила в состав Windows Server 2003 Support Tools, а начиная с Windows Server 2008 ее добавили непосредственно в операционную систему и она по умолчанию есть на любом сервере с ОС Windows Server.
Запускать утилиту не обязательно на том контроллере домена, который будет переименован, можно использовать любой доменный компьютер. Но пользователь, от имени которого производится переименование, обязательно должен входить в группу администраторов домена (Domain Admins).
На первом шаге откроем командную консоль и выполним команду:
netdom computername srv2.test.local /add:dc2.test.local
Эта команда добавит серверу дополнительное доменное имя и зарегистрирует его в DNS. Для проверки откроем оснастку ADSIEdit и в свойствах сервера найдем атрибут msDS-AdditionalDnsHostName. Именно в этом атрибуте должно быть прописано новое имя.
Дополнительно заглянем в DNS и убедимся в наличии новой записи.
Теперь сделаем новое имя основным. Для этого выполним команду:
netdom computername srv2.test.local /makeprimary:dc2.test.local
Обратите внимание, что для применения изменений необходима перезагрузка сервера.
После перезагрузки произойдет смена имени. Для проверки откроем ADSIEdit и убедимся в том, что имя DC2 стало основным, а SRV2 — дополнительным.
Поскольку старое имя SRV2 нам больше не нужно, окончательно удалим его командой:
netdom computername dc2.test.local /remove:srv2.test.local
Имя сервера успешно изменено, но это еще не все. После переименования контроллера домена требуется обновить Distributed File System (DFS) или File Replication Service (FRS) Replication member object. Этот объект необходимо обновить с новым именем для того, чтобы контроллер смог реплицировать папку SYSVOL.
Для этого открываем оснастку Active Directory Users and Computers и в меню View отмечаем пункт Advanced Features.
Затем переходим в раздел System -> DFSR-GlobalSettings -> Domain System Volume -> Topology, находим объект msDFSR-Member со старым именем и переименовываем его.
Для проверки можно снова воспользоваться ADSIEdit. Надо найти объект DFSR-LocalSettings и убедиться в том, что у него в атрибуте msDFSR-MemberReference указано новое имя сервера.
На этом переименование закончено, остается только убедиться в том, что изменения реплицировались на все контроллеры домена.
При попытке добавить имя столкнулся с такой ошибкой: ″The specified domain either does not exist or could not be contacted″.
Как удалось выяснить, такая проблема может возникнуть при отсутствии на контроллере домена общего доступа к папке SYSVOL. Для избавления от ошибки надо в реестре, в разделе HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters найти параметр SysvolReady и задать ему значение 1.
После этого ошибка ушла и все команды отработали без проблем.
Смена имени домена windows server 2012
Вопрос
Доброго времени суток, друзья.
В связи с некоторыми изменениям в структуре компании появилась необходимость переименовать домен. Перед тем как писать сюда разумеется досконально прогуглил эту тему и перечитал много форумов здесь, однако остались некоторые неясные моменты. Поэтому прошу помощи. Домен нужно переименовать с вида corp.contoso.com в contoso.ru
ОС Windows Server 2012R2;
Уровень леса соответственно 2012R2;
Домена вида corp.contoso.com; К реальному домену contoso.com доступа разумеется нет.
В домене нет Exchange и других сервисов критичных к переименованию;
DC в единственном экземпляре пока что;
На DC подняты AD, DNS, DHCP, FS, RDS, IIS, Сервер администрирования Касперского;
Машин в сети около 80 разнесенные по трем разным офисам соединенных с главным по VPN;
1. Во всех статьях на переименование домена ссылаются на утилиту rendom.exe, но все ссылки, где скачать не действительны, где ж ее взять? (хотя может она и не нужна, отсюда следующий вопрос)
2. Везде описывается процедура переименования домена в среде Windows Server 2008(2008r2) или 2003 с помощью rendom.exe. В Windows Server 2012R2 это делается так же или есть отличия.
3. Думал о возможности создать новый домен в новом лесу и туда мигрировать, но есть одно но у старого домена NetBIOS-имя contoso и в новом нужно что бы было такое же(обязательно), поэтому новый домен с таким же именем не создать
Может кто-то подскажет что делать в таком случае и нужный порядок действий, и какие тараканы могут выползти?
Ответы
Got answer:
HEADER:
opcode = QUERY, rcode = NXDOMAIN
Означает «нет такой записи». Обычно в конце журнала есть более подробная информация, вроде
fqdnDNSserver can’t find fqdnresourcerecord.ru: Non-existent domain
Вы уверены что правильный вопрос задали и такая запись в зоне есть?
В серверах пересылки стоит только ip dns-сервера провайдера интернет.
Просто очистите поле и не пишите туда ничего. Внезапно может оказаться, что серверы вашего доблестного провайдера ведут себя намного хуже, чем root hints.
Ничего не взорвется, поэтому просто выпилите их оттуда и посмотрите на свои тесты, обычный и рекурсивный. М.б. они не так быстро отвечают на запрос, отсюда и ошибка. Или не отвечают вообще, я не вижу со своего стула данных по сетевому дампу.
Все ответы
Лучше скажите зачем вашему руководство понадобилось переименование домена.
Им не нравится вводить corp.contoso.com\учетка в логине на комп/ноутбук? Ну тогда просто создайте дополнительный upn-суффикс и пусть ваши начальники логинятся как учетка@upn-суффикс.
Ну как минимум, текущий домен(внешний) contoso.com более не будет использоваться, будет contoso.ru, и планируется в организации в скором времени развертывание Exchange. Насколько я знаю нужно что бы было соответствие между внутренним и внешним доменам, что бы получить потом корректный(красивый) SSL сертификат. Может быть я не прав конечно.
У вас сейчас всё как нужно и вполне соответствует современным рекомендациям (Имеем внешний домен contoso.com и внутренний Active Directory — как поддомен: corp.contoso.com.). Поэтому нет никакой необходимости что-либо менять. Называть домен AD так же как внешнее доменное имя — как раз таки и не рекомендуется.
Да все хорошо, но внешний домен contoso.com для меня останется недоступным, формально им будет владеть кто другой, в этом нет никаких проблем? А то знаете ли всякое пишут на формах.
Что на форумах пишут? Процитируйте. Хочется знать какое представление у вас в голове сформировано об этой теме.
Называть домен AD чужим реальным публичным именем это конечно минус большой. Но если домен малоизвестный и, к тому же, вы используете домен третьего уровня, то последствия будут минимальными.
Если вас сильно беспокоит имя вашего домена, то конечно вы можете его переименовать, я не буду вас отговаривать. Процесс хорошо документирован и гуглится на раз-два. Тем более эксча у вас сейчас нет.
Только вопрос: если вашему руководству снова вздумается переименовать организацию, вы снова будете возиться с инфраструктурой? Продумайте этот момент. Ну и конечно же обратите внимание на совет Александра —
Называть домен AD так же как внешнее доменное имя — как раз таки и не рекомендуется.
используйте приписку corp или office, чтобы потом не было проблем с разрешением имен.
Спасибо всем за советы.
Домен вида corp.contoso.com для AD это вполне нормально, даже с учетом того, что внешний домен contoso.com не имеет(не будет в скором будущем) отношения к организации. Проблем с Exch и другими сервисами не возникнет, и не повлияет тот факт, что NetBIOS-имя домена contoso, а не corp, что было бы логичнее(наверное).
Если все так, то смысла в переименовании домена нет. Но все же, общего развития по сабжу, переименование домена в 2012r2 осуществляется как в 2008(r2), или есть отличия?
И немного оффтопа. У меня на DNS сервере при проведении любого из тестов (просто или рекурсивного, выдает fail). В журнале по этому поводу вообще нет ничего. Хотя нареканий к работе службы DNS в принципе нет. Полагал что проблема связана именно с ситуацией описанной мной в первом посте, и раз уж придется переименовывать домен это исправиться. Проблему искать в другом?.
Отличий нет. Программа давно включена в дистрибутив.
По поводу оффтопа, есть волшебные параметры отладки у nslookup
Просто включите их и попрашивайте ваш сервер за жизнь. Посмотрите на ответы. Неплохо также поставить нетмон и им собрать траффик используя простой встроенный DNS фильтр.
Это поможет найти причину проблемы. Хотя я могу предположить что возможно она кроется в некорректной настройке серверов пересылки. Нет ли там самих контроллеров домена часом?
В серверах пересылки стоит только ip dns-сервера провайдера интернет.
По команде nslookup на сервер dns с включенным set debug выдает вот что(реальные имена доменов заменены):
Got answer:
HEADER:
opcode = QUERY, rcode = NXDOMAIN
header flags: response, auth. answer, want recursion, recursion avail.
questions = 1, answers = 0, authority records = 1, additional = 0
QUESTIONS:
srv-dc-01.contoso.com.corp.contoso.com, type = A, > AUTHORITY RECORDS:
-> corp.contoso.com
ttl = 3600 (1 hour)
primary name server = srv-dc-01.corp.contoso.com
responsible mail addr = hostmaster.corp.contoso.com
serial = 10963
refresh = 900 (15 mins)
retry = 600 (10 mins)
expire = 86400 (1 day)
default TTL = 3600 (1 hour)
————
————
Got answer:
HEADER:
opcode = QUERY, rcode = NXDOMAIN
header flags: response, auth. answer, want recursion, recursion avail.
questions = 1, answers = 0, authority records = 1, additional = 0
QUESTIONS:
srv-dc-01.contoso.com.corp.contoso.com, type = AAAA, > AUTHORITY RECORDS:
-> corp.contoso.com
ttl = 3600 (1 hour)
primary name server = srv-dc-01.corp.contoso.com
responsible mail addr = hostmaster.corp.contoso.com
serial = 10963
refresh = 900 (15 mins)
retry = 600 (10 mins)
expire = 86400 (1 day)
default TTL = 3600 (1 hour)
————
————
Got answer:
HEADER:
opcode = QUERY, rcode = NOERROR
header flags: response, want recursion, recursion avail.
questions = 1, answers = 1, authority records = 0, additional = 0
QUESTIONS:
srv-dc-01.corp.com.contoso.com, type = A, > ANSWERS:
-> srv-dc-01.corp.com.contoso.com
internet address = xx.xx.xxx.xx
ttl = 3600 (1 hour)
————
Не заслуживающий доверия ответ:
————
Got answer:
HEADER:
opcode = QUERY, rcode = NOERROR
header flags: response, want recursion, recursion avail.
questions = 1, answers = 0, authority records = 1, additional = 0