Как изменить имя домена windows server 2012 r2

В этой небольшой статье мы покажем, как правильно изменить имя домена Active Directory с
test.com
на
resource.loc
. Вообще говоря, переименование домена Active Directory это не всегда самая лучшая идея. Для больших и сложных инфраструктур AD лучше выполнить постепенную миграцию пользователей, компьютеров и серверов в новый домен. Но и процедура переименования домена вполне рабочая.

Прежде чем начать, убедитесь, что:

1. У вас есть актуальная резервная копия контроллеров домена;
2. В вашем домене корректно работает репликация и нет критических ошибок контроллеров домена или DNS (проверка здоровья домена Active Directory);
3. В вашем домене нет Exchange. Нельзя переименовать домен AD с развёрнутым в нем Exchange (кроме Exchange 2003);
4. Для переименования домена нужен уровень не менее Windows Server 2003 (в моем примере функциональный уровень домена и леса – Windows Server 2016).

Сначала нужно создать DNS зону нового домена на контроллерах домена. Для этого откройте консоль
dnsmgmt.msc
, создайте новую первичную зону типа Forward Lookup Zone с именем resource.loc и реплицируйте ее по всем DNS серверам в старом домене test.com.

Можно создать новую зону DNS с помощью PowerShell:

Add-DnsServerPrimaryZone -Name resource.loc -ReplicationScope "Domain" –PassThru

Дождитесь окончания репликации новой зоны по всем DC.

Выполните команду
rendom /list
чтобы сгенерировать файл Domainlist.xml с текущей конфигурацией леса AD.

Get-Content .Domainlist.xml

<Forest>
<Domain>
<!-- PartitionType:Application -->
<Guid>31f818cc-e75a-4aea-9ed2-4ddfe4172a2c</Guid>
<DNSname>DomainDnsZones.test.com</DNSname>
<NetBiosName></NetBiosName>
<DcName></DcName>
</Domain>
<Domain>
<!-- PartitionType:Application -->
<Guid>aad0e305-4897-4964-968d-67ee93fd6e47</Guid>
<DNSname>ForestDnsZones.test.com</DNSname>
<NetBiosName></NetBiosName>
<DcName></DcName>
</Domain>
<Domain>
<!-- ForestRoot -->
<Guid>a5daca80-6c2c-49a6-8704-d1e4db76e851</Guid>
<DNSname>test.com</DNSname>
<NetBiosName>TEST</NetBiosName>
<DcName></DcName>
</Domain>
</Forest>

Откройте файл Domainlist.xml на редактирование и замените все имена старого домена на новый:

Notepad .Domainlist.xml

Сохраните файл и выполните команду:

rendom /showforest

Данная команда покажет какие изменения будут внесены в конфигурацию.

Следующая команда загрузит файл Domainlist.xml с новой конфигурацией разделов AD на контроллер домена с FSMO ролью Domain naming master:

rendom /upload

После этого блокируются любые изменении в конфигурация леса AD

Следующая команда
rendom /prepare
проверит доступность всех DC в лесу и проверить их готовность к переименованию.

Убедитесь, что эта команда не вернула ошибок.

Waiting for DCs to reply.
msk-dc02.test.com was prepared successfully
msk-dc00.test.com was prepared successfully
The operation completed successfully.

Следующая команда выполнит переименование домена (контроллеры домена некоторое время будут недоступны и автоматически перезагрузятся, чтобы применить новые настройки):

rendom /execute

Waiting for DCs to reply.
The script was executed successfully on msk-dc02.test.com
The script was executed successfully on msk-dc00.test.com
2 servers contacted, 0 servers returned Errors
The operation completed successfully.

Проверьте, что в свойствах DC теперь указано новое имя домена. Обратите внимание, что полное имя компьютер осталось старым.

Выполните следующую команду, чтобы обновить привязки GPO:

gpfixup /olddns:test.com /newdns:resource.loc

Group Policy fix up utility Version 1.1 (Microsoft)
Start fixing group policy (GroupPolicyContainer) objects:
Start fixing site group policy links:
Start fixing non-site group policy links:
gpfixup tool executed with success.

Затем обновите NetBIOS имя домена:

gpfixup /oldnb:TEST /newnb:RESOURCE

Следующая команда удалит из AD ссылки на старый домен:

rendom /clean

Разблокируйте конфигурацию домена:

rendom /end

Теперь нужно вручную добавить новые имена на каждом контроллере домена и сделать их основными:

netdom computername %COMPUTERNAME%.test.com /add:%COMPUTERNAME%.resource.loc
netdom computername %COMPUTERNAME%.test.com /makeprimary:%COMPUTERNAME%.resource.loc

И перезагрузить DC:

Shutdown –f –r –t 0

Запустите консоль ADUC (dsa.msc) и проверьте, что она подключилась к новому имени домена, а вся структура OU, пользователи и компьютеры остались на месте.

Осталось сменить “Full computer name” на всех компьютерах и серверах в домене. Для добавления компьютеров в домен можно использовать команды выше.

Обратите внимание, что для перенастройки некоторых сервисов (CA, Failover Clusters) на новый домен придется выполнить дополнительные шаги.

После окончания процедуры переименования домена обязательно проверьте состояние репликации и ошибки на DC (ссылка была выше).

Доброго времени суток, друзья.

В связи с некоторыми изменениям в структуре компании появилась необходимость переименовать домен. Перед тем как писать сюда разумеется досконально прогуглил эту тему и перечитал много форумов
здесь, однако остались некоторые неясные моменты. Поэтому прошу помощи. Домен нужно переименовать с вида corp.contoso.com в contoso.ru

Исходники:

ОС Windows Server 2012R2;

Уровень леса соответственно 2012R2;

Домена вида corp.contoso.com; К реальному домену contoso.com
доступа разумеется нет.

В домене нет Exchange и других сервисов критичных к переименованию;

DC в единственном экземпляре пока что;

На DC подняты AD, DNS, DHCP, FS,  RDS, IIS, Сервер администрирования Касперского;

Машин в сети около 80 разнесенные по трем разным офисам соединенных с главным по VPN;

1. Во всех статьях на переименование домена ссылаются на утилиту
rendom.exe, но все ссылки, где скачать не действительны, где ж ее взять? (хотя может она и не нужна, отсюда следующий вопрос)

2. Везде описывается процедура переименования домена в среде Windows Server 2008(2008r2) или 2003 с помощью rendom.exe. В Windows Server 2012R2 это делается
так же или есть отличия???

3. Думал о возможности создать новый домен в новом лесу и туда мигрировать, но есть одно но у старого домена
NetBIOS-имя contoso и в новом нужно что бы было такое же(обязательно), поэтому новый домен с таким же именем не создать

Может кто-то подскажет что делать в таком случае и нужный порядок действий, и какие тараканы могут выползти?

Переименование домена Active Directory

В редких случаях перед администратором доменных служб может встать задача, связанная с переименованием текущего домена. Причины могут быть разными, однако такая ситуация вполне возможна. Несмотря на то что эту задачу нельзя назвать тривиальной, но изредка приходится с ней сталкиваться, крайне важно сделать все правильно, так как в противном случае исход событий может быть критически опасным, вплоть до полностью нерабочей корпоративной инфраструктуры. Итак, далее в этой статье вы узнаете о предварительных требованиях для выполнения этой операции, о некоторых ограничениях, а также о том, как можно переименовать свой домен. Прежде чем начнем, настоятельная просьба: не выполняйте этих действий в производственной среде до тех пор, пока вы не переименуете удачно свой тестовый домен в лабораторной среде. Начнем.

Предварительные требования

Перед тем как начать переименовывать свой домен обязательно примите во внимание следующие сведения:

• Функциональный уровень леса Active Directory. Выполнять задачи по переименованию доменов можно лишь в том случае, если все домены в лесу оснащены как минимум операционной системой Windows Server 2003 (в этом случае по редакциям нет никаких ограничений). Более того, функциональный уровень должен быть повышен по меньшей мере до уровня Windows Server 2003. То есть, если у вас в лесу выбран функциональный уровень Windows Server 2000, то выполнение следующей операции попросту станет невозможным;
• Расположение домена. В лесу Active Directory может быть разный уровень доменов. То есть, могут быть либо отдельный домен, либо лес может включать дочерние домены. В том случае если вы будете менять расположение контроллера домена внутри леса, вам придется создать доверительные отношения;
• Зона DNS. Еще до выполнения операции переименования домена вам необходимо создать новую зону DNS;
• Административные учетные данные. Для выполнения операции переименования домена вы должны выполнить вход в систему под административной учетной записью, которая является членом группы администраторов предприятия (Enterprise Admins);
• Серверы распределенной файловой системы (DFS). Если в вашей корпоративной среде развернуты службы DFS или настроены перемещаемые профили, то обратите внимание на то, что корневые DFS-серверы должны работать, как минимум, под управлением операционной системы Windows Server 2000 с пакетом обновления 3 или под более современными версиями операционных системам;
• Несовместимость с серверами Microsoft Exchange. Самый неприятный момент заключается в том, что если в вашем лесу Active Directory развернут почтовый сервер Microsoft Exchange Server 2003 Service Pack 1, то переименование домена будет выполнено без каких-либо проблем, но учетная запись пользователя, под которой будет выполняться сам процесс переименование домена должна быть членом группы Full Exchange Administrator. Все более современные почтовые серверы (включая Exchange Server 2016) несовместимы с операциями переименования доменов.

Также обратите внимание на тот факт, что на время переименования домена вы должны заморозить все предстоящие операции по конфигурации леса Active Directory. Другими словами, вы должны удостовериться в том, что конфигурация вашего леса не изменится до тех пор, пока операция по переименованию домена не будет полностью завершена (подробную информацию о выполнении этого действия вы увидите ниже). К таким операциям можно отнести: создание или удаление доменов внутри вашего леса Active Directory, создание или удаление разделов каталога приложений, добавление или удаление контроллеров домена в лесу, создание или удаление установленного напрямую доверия, а также добавление или удаление атрибутов, которые будут реплицированы в глобальный каталог.

На всякий случай я бы еще вам посоветовал сделать полную резервную копию состояния системы на каждом контроллере домена в лесу Active Directory. В случае выполнения этой задачи, данная предосторожность точно не будет лишней.

В том случае, если ваша инфраструктура соответствует выше упомянутым требованиям и сделаны все требуемые резервные копии, вы можете приступать к процессу переименования домена.

Процесс переименования домена Active Directory

Далее вы наглядно узнаете о том, как можно переименовать домен. В качестве примера будет изменено имя домена с «biopharmaceutic.local» на «biopharm.local».

Для начала, для того чтобы проверить первоначальное имя вашего домена, вы можете открыть окно свойств системы. Как видно на соответствующей иллюстрации, мой домен называется «Biopharmaceutic.local»:

Рис. 1. Проверка изначального имени домена Active Directory

Теперь следует создать новую зону DNS «biopharm.local» для того чтобы после успешного выполнения переименования домена ваши рядовые серверы и клиенты могли без проблем присоединиться к новому доменному имени. Для этого откройте «Диспетчер DNS» (DNS Manager) и находясь в «Зоне прямого просмотра» (Forward Lookup Zone) выберите опцию оп созданию новой зоны. По сути, зона создается как обычно: на первой странице мастера создания новой зоны следует прочитать вступительную информацию и перейти ко второй странице. На странице типа зоны выберите основную зону (Primary Zone) и обратите внимание на то, чтобы была активирована опция сохранения зоны в Active Directory. На странице области репликации зоны следует оставить опцию, выбранную по умолчанию – «Для всех DNS-серверов, работающих на контроллерах домена в этом домене: Biopharmaceutic.local» (To all DNS servers running on domain controllers in this domain: Biopharmaceutic.local). На странице имени зоны следует указать новое имя домена (biopharm.local), а на странице динамического обновления также оставьте опцию «Разрешить только безопасные динамические обновления (рекоменд. для Active Directory)» (Allow only secure dynamic updates (recommended for Active Directory)), которая выбрана по умолчанию. Несколько этапов создания новой зоны вы можете увидеть ниже:

Рис. 2. Создание новой зоны DNS

Следующим этапом переименования домена будет генерация описания текущего состояния леса. По сути, это первая операция по переименованию домена, в которой будет использоваться утилита командной строки Rendom. При помощи этой утилиты будет сгенерировано текстовое описания вашей текущей структуры леса в виде XML-файла с именем Domainlist.xml. Этот файл содержит список всех разделов каталога домена, а также разделов каталога приложений, которые находятся в вашем лесу Active Directory. Каждая запись для каждого раздела каталога домена и приложения ограничена тегами XML и . Более того, каждая запись содержит данные, включающие глобальный уникальный идентификатор объекта (GUID) корневого объекта раздела, имя DNS домена или каталога приложений, а также имя NetBIOS для домена.

Для создания такого файла следует под соответствующей учетной записью открыть командную строку и в ней выполнить команду «random /list». Сгенерированный файл будет сохранен в корневом каталоге учетной записи вашего пользователя. Далее вам нужно будет открыть этот файл при помощи любого текстового редактора.

Внутри этого файла вам нужно изменить имя домена внутри секции, которая ограничена тегами и и имя NetBIOS внутри тегов и ). Обязательно обратите внимание на то, что вы не должны менять идентификатор GUID внутри соответствующих тегов.

На следующей иллюстрации вы увидите процесс выполнения вышеупомянутой команды, расположение файла Domainlist.xml и изменения для первой секции этого файла. В моем случае имя домена в этом конфигурационном будет изменено 4 раза:

Рис. 3. Генерация и изменение файла Domainlist.xml

Для того чтобы удостовериться в том, что вы внесли в соответствующий файл требуемые изменения, вы можете выполнить команду «rendom /showforest». Как видите на следующей иллюстрации, у меня все записи изменились на «Bopharm»:

Рис. 4. Просмотр потенциальных изменений

При выполнении следующей команды (rendom /upload) утилита Rendom переводит новую структуру леса, указанную в отредактированном файле, в последовательность инструкций по обновлению каталога, которые будут запускаться локально и удаленно на каждом контроллере домена в лесу. Если говорить в общих чертах, то на этом этапе в разделе каталога конфигурации мастера именования доменов будут внесены изменения для переименования домена Active Directory. Помимо этого, будет создан файл Dclist.xml, который используется для отслеживания прогресса и состояния каждого контроллера домена в лесу для операции переименования домена. Между прочим, в этот момент утилита Rendom замораживает ваш лес Active Directory от внесения любых изменений в его конфигурацию. Процесс выполнения этой команды виден ниже:

Рис. 5. Выполнение команды rendom /upload

Следующая команда выполняется для проверки готовности контроллеров домена перед операцией по переименованию домена. Во время выполнения этого этапа вы должны запустить команду подготовительной проверки на каждом контроллере домена в лесу. Это необходимо для того, чтобы быть уверенным, что база данных Active Directory на каждом контроллере домена в лесу находится в правильном состоянии и готова выполнить изменения, которые позволят переименовать ваш домен. Следовательно, выполните команду «rendom /prepare», как это сделано на следующей иллюстрации:

Рис. 6. Подготовка домена к переименованию

Самый ответственный момент. Выполнение команды «rendom /execute». Во время выполнения этой команды на домене выполняются инструкции по переименованию домена. По сути, в этот самый момент выполняется обращение к каждому контроллеру домена в лесу индивидуально, что заставляет каждый контроллер домена выполнять инструкции по переименованию домена. По выполнению этой операции каждый контроллер домена будет перезагружен. Процесс выполнения переименования домена смотрите на следующей иллюстрации:

Рис. 7. Процесс переименования домена

Но это еще не все. Несмотря на то, что ваш домен, по сути, уже переименован, вам еще предстоит задача по исправлению объектов групповой политики и их ссылок после завершения операции переименования домена. Для восстановления объектов групповой политики, а также ссылок GPO в каждом переименованном домене используется утилита командной строки Gpfixup.exe. Нельзя пренебрегать этой процедурой ввиду того, что без ее использования, после завершения операции переименования домена в новом лесу, групповые политики попросту не буду правильно функционировать. Учтите, что эта команда должна быть запущена единожды в каждом переименованном домене. Следовательно, один раз выполните команду gpfixup с параметрами /olddns:Biopharmaceutic.local (старое имя переименованного вами домена) и /newdns:Biopharm.local (новое имя переименованного домена), а затем команду gpfixup с параметрами /oldnb:Biopharmaceutic и /newnb:Biopharm (соответственно, старое и новое NETBIOS-имя вашего домена). Эта процедура видна ниже:

Рис. 8. Исправление объектов групповой политики

Осталось выполнить лишь две команды: команду «rendom /clean», которая позволяет удалить все ссылки на старые имена домена внутри вашей Active Directory, а также команду «rendom /end», по сути, размораживающую лес Active Directory от внесения изменений в его конфигурацию. Процесс выполнения этих команд вы можете увидеть на следующей иллюстрации:

Рис. 9. Завершение переименования домена Active Directory

Чтобы изменения применились на рядовые серверы и на конечных клиентов, вам придется дважды перезагрузить их компьютеры. Однако контроллеры домена вам придется переименовать вручную. Как видно на следующей иллюстрации, имя моего контроллера домена осталось старым:

Рис. 10. Переименованный домен Active Directory со старым именем контроллера домена

Для того чтобы его правильно переименовать, мы воспользуемся еще одной утилитой командной строки, а именно командой «netdom». Для начала выполните команду «netdom computername DC.biopharmaceutic.local /add:DC.biopharm.local». А после этого еще надо выполнить команду «netdom computername DC.biopharmaceutic.local /makeprimary:DC.biopharm.local».

Выполнение этих двух команд изображено ниже:

Рис. 11. Переименование контроллера домена

После перезагрузки, как видно на последней иллюстрации, имя контроллера домена будет правильно изменено:

Рис. 12. Переименованный контроллер домен

Заключение

На этом статья подходит к концу. Из материала данной статьи вы узнали о том, как можно правильно переименовать домен Active Directory. Вы узнали о предварительных требованиях и ограничениях по выполнению этих действий, а также об использовании утилит Rendom и Gpfixup и, естественно, о самом процессе переименования домена. До встреч!

Источник

Как правильно переименовать контроллер домена

Переименовать компьютер просто — достаточно зайти в его свойства, сменить имя и перезагрузиться. Но если компьютер является контроллером домена, то все становиться несколько сложнее.

При попытке изменить подобным способом имя на контроллере домена вы получите предупреждение о том, что переименование может отрицательно повлиять на работу пользователей в домене. Действительно, изменения в доменной среде происходят не мгновенно и после переименования пользователи могут некоторое время обращаться к контроллеру по старому имени. В результате могут возникать ошибки авторизации, отказы в доступе к ресурсам и прочие неприятности. Избежать всего этого можно с помощью альтернативной процедуры переименования, предназначенной специально для контроллеров домена.

Мы с вами рассмотрим эту процедуру на примере сервера SRV2, который будет переименован в DC2.

Перед тем, как приступать к переименованию, надо соблюсти ряд условий:

• В домене должен быть еще как минимум один работоспособный контроллер домена;
• Функциональный уровень домена должен быть не ниже Windows Server 2003;
• На сервере не должно быть установлено роли центра сертификации (Certification Authority);

Если все условия выполнены, то можно приступать к переименованию. Для этого нам потребуется утилита командной строки NETDOM. Изначально эта утилита входила в состав Windows Server 2003 Support Tools, а начиная с Windows Server 2008 ее добавили непосредственно в операционную систему и она по умолчанию есть на любом сервере с ОС Windows Server.

Запускать утилиту не обязательно на том контроллере домена, который будет переименован, можно использовать любой доменный компьютер. Но пользователь, от имени которого производится переименование, обязательно должен входить в группу администраторов домена (Domain Admins).

На первом шаге откроем командную консоль и выполним команду:

netdom computername srv2.test.local /add:dc2.test.local

Эта команда добавит серверу дополнительное доменное имя и зарегистрирует его в DNS. Для проверки откроем оснастку ADSIEdit и в свойствах сервера найдем атрибут msDS-AdditionalDnsHostName. Именно в этом атрибуте должно быть прописано новое имя.

Дополнительно заглянем в DNS и убедимся в наличии новой записи.

Теперь сделаем новое имя основным. Для этого выполним команду:

netdom computername srv2.test.local /makeprimary:dc2.test.local

Обратите внимание, что для применения изменений необходима перезагрузка сервера.

После перезагрузки произойдет смена имени. Для проверки откроем ADSIEdit и убедимся в том, что имя DC2 стало основным, а SRV2 — дополнительным.

Поскольку старое имя SRV2 нам больше не нужно, окончательно удалим его командой:

netdom computername dc2.test.local /remove:srv2.test.local

Имя сервера успешно изменено, но это еще не все. После переименования контроллера домена требуется обновить Distributed File System (DFS) или File Replication Service (FRS) Replication member object. Этот объект необходимо обновить с новым именем для того, чтобы контроллер смог реплицировать папку SYSVOL.

Для этого открываем оснастку Active Directory Users and Computers и в меню View отмечаем пункт Advanced Features.

Затем переходим в раздел System -> DFSR-GlobalSettings -> Domain System Volume -> Topology, находим объект msDFSR-Member со старым именем и переименовываем его.

Для проверки можно снова воспользоваться ADSIEdit. Надо найти объект DFSR-LocalSettings и убедиться в том, что у него в атрибуте msDFSR-MemberReference указано новое имя сервера.

На этом переименование закончено, остается только убедиться в том, что изменения реплицировались на все контроллеры домена.

При попытке добавить имя столкнулся с такой ошибкой: ″The specified domain either does not exist or could not be contacted″.

Как удалось выяснить, такая проблема может возникнуть при отсутствии на контроллере домена общего доступа к папке SYSVOL. Для избавления от ошибки надо в реестре, в разделе HKLMSYSTEMCurrentControlSetServicesNetlogonParameters найти параметр SysvolReady и задать ему значение 1.

После этого ошибка ушла и все команды отработали без проблем.

Источник

Переименование контроллера домена осуществляется достаточно просто. Единственное, что может помешать данной операции – это присутствие на контроллере домена Центра Сертификации (CA), который, как известно, не позволяет ни менять имя сервера, ни менять его доменной роли.

NETDOM computername Superserver.domain.ru /remove:Server.domain.ru

Переименование контроллера домена производится при помощи команды NETDOM, причем запускать эту команду не обязательно на том контроллере домена, который будет переименовываться. Главное, чтобы пользователь, из-под которого запускается эта команда, обладал соответствующими правами Администратора домена.

Необходимо сразу отметить, что процесс переименования требует перезагрузки контроллера. Домен должен работать, как минимум, на уровне Windows 2003.

В процессе переименования в DNS появится новая запись (A) с новым именем контроллера. Не удаляете из DNS до окончания процесса.

Мы будем менять имя сервера Server.domain.ru на Superserver.domain.ru.
1. В командной строке пишем

NETDOM computername Server.domain.ru /add:Superserver.domain.ru

Эта команда обновляет атрибут SPN в Active Directory для нашего сервера и регестрирует запись в DNS. После этого необходимо дождаться репликации нового атрибута SPN и передачи записи на все полномочные DNS-серверы.

Проверить добавление нового имени можно при помощи adsiedit.msc. Нужно найти объект нашего компьютера и найти в его свойствах атрибут msDS-AdditionalDnsHostName

2. Проверяем, что аккаунт компьютера обновлен и DNS записи появились, затем пишем:

NETDOM computername Server.domain.ru /makeprimary:Superserver.domain.ru

И снова можно проверить результат выполнения команды при помощи adsiedit.msc, причем в msDS-AdditionalDnsHostName все еще будет видно старое имя.

3. Перезагружаем сервер.

4. В командной строке пишем

NETDOM computername Superserver.domain.ru /remove:Server.domain.ru

5. Убедитесь, что все изменения реплицировались на другие контроллеры.

Join @AdmNtsRu on Telegram

Переименовать компьютер просто — достаточно зайти в его свойства, сменить имя и перезагрузиться. Но если компьютер является контроллером домена, то все становиться несколько сложнее.

При попытке изменить подобным способом имя на контроллере домена вы получите предупреждение  о том, что переименование может отрицательно повлиять на работу пользователей в домене. Действительно, изменения в доменной среде происходят не мгновенно и после переименования пользователи могут некоторое время обращаться к контроллеру по старому имени. В результате могут возникать ошибки авторизации, отказы в доступе к ресурсам и прочие неприятности. Избежать всего этого можно с помощью альтернативной процедуры переименования, предназначенной специально для контроллеров домена.

Мы с вами рассмотрим эту процедуру на примере сервера SRV2, который будет переименован в DC2.

Перед тем, как приступать к переименованию, надо соблюсти ряд условий:

• В домене должен быть еще как минимум один работоспособный контроллер домена;
• Функциональный уровень домена должен быть не ниже Windows Server 2003;
• На сервере не должно быть установлено роли центра сертификации (Certification Authority);

Если все условия выполнены, то можно приступать к переименованию. Для этого нам потребуется утилита командной строки NETDOM. Изначально эта утилита входила в состав  Windows Server 2003 Support Tools, а начиная с Windows Server 2008 ее добавили непосредственно в операционную систему и она по умолчанию есть на любом сервере с ОС Windows Server.

Запускать утилиту не обязательно на том контроллере домена, который будет переименован, можно использовать любой доменный компьютер. Но пользователь, от имени которого производится переименование, обязательно должен входить в группу администраторов домена (Domain Admins).

На первом шаге откроем командную консоль и выполним команду:

netdom computername srv2.test.local /add:dc2.test.local

Эта команда добавит серверу дополнительное доменное имя и зарегистрирует его в DNS. Для проверки откроем оснастку ADSIEdit и в свойствах сервера найдем атрибут msDS-AdditionalDnsHostName. Именно в этом атрибуте должно быть прописано новое имя.

Дополнительно заглянем в DNS и убедимся в наличии новой записи.

Теперь сделаем новое имя основным. Для этого выполним команду:

netdom computername srv2.test.local /makeprimary:dc2.test.local

Обратите внимание, что для применения изменений необходима перезагрузка сервера.

После перезагрузки произойдет смена имени. Для проверки откроем ADSIEdit и убедимся в том, что имя DC2 стало основным, а SRV2 — дополнительным.

Поскольку старое имя SRV2 нам больше не нужно, окончательно удалим его командой:

netdom computername dc2.test.local /remove:srv2.test.local

Имя сервера успешно изменено, но это еще не все. После переименования контроллера домена требуется обновить Distributed File System (DFS) или File Replication Service (FRS) Replication member object. Этот объект необходимо обновить с новым именем для того, чтобы контроллер смог реплицировать папку SYSVOL.

Для этого открываем оснастку Active Directory Users and Computers и в меню View отмечаем пункт Advanced Features.

Затем переходим в раздел System -> DFSR-GlobalSettings -> Domain System Volume -> Topology, находим объект msDFSR-Member со старым именем и переименовываем его.

Для проверки можно снова воспользоваться ADSIEdit. Надо найти объект DFSR-LocalSettings и убедиться в том, что у него в атрибуте msDFSR-MemberReference указано новое имя сервера.

На этом переименование закончено, остается только убедиться в том, что изменения реплицировались на все контроллеры домена.

Ну и в завершение.

При попытке добавить имя столкнулся с такой ошибкой: ″The specified domain either does not exist or could not be contacted″.

Как удалось выяснить, такая проблема может возникнуть при отсутствии на контроллере домена общего доступа к папке SYSVOL. Для избавления от ошибки надо в реестре, в разделе HKLMSYSTEMCurrentControlSetServicesNetlogonParameters найти параметр SysvolReady и задать ему значение 1.

После этого ошибка ушла и все команды отработали без проблем.

От предыдущего администратора «в наследство» достался домен на Windows Server 2012. Не смогу, вероятно, пояснить, чем руководствовался предыдущий администратор, задав при конфигурации Active Directory различающиеся имена полного имени домена, например, corp.company.com и имени NetBIOS, которое, исходя из примера, будет COMPANYCORP.

Насколько мне было известно, так называемые the best practice такого делать не рекомендуют. Поэтому возникла проблема переименования NetBIOS домена. Домен «сносить» было нельзя, так как некоторые очень важные компьютеры работали в составе домена и установленное на них ПО уже было настроено под работу в домене.

После некоторых поисков решение было найдено на блоге http://argon.pro  И хотя оно касалось переименования всего домена Windows 2008, было решение предпринять попытку попробовать его на домене Windows 2012.

Порядок действий, который «сработал»

Прежде всего убедитесь, что вы обладаете правами администратора предприятия (Enterprise Administrator). Для надёжности командную строку запускайте с правами администратора.

1. Перейти в  %SystemDrive%WindowsSystem32  и запустить  rendom /list 

В результате в  %SystemDrive%WindowsSystem32  появится файл Domainlist.xml, в котором содержится всё описание леса.

2. Скопировать Domainlist.xml в папку, в которой Вы его сможете изменить.

3. Открыть Domainlist.xml в блокноте.

4. Найти в третьей по счету секции Domain  строку
    <NetBiosName>companycorp</NetBiosName>
    и указать правильное имя, например, corp.

5. Перезаписать Domainlist.xml в %SystemDrive%WindowsSystem32

6. Выполнить  rendom /upload , в результате чего конфигурационные параметры из Domainlist.xml загрузятся на каждый контролер домена.

7. Проверить доступность всех контролеров домена по сети и отвечают ли они на сетевые запросы. Для этого запустить  rendom /prepare  Все контролеры домена должны ответить на запросы этой команды и ошибок не должно быть.

8. Выполнить  rendom /execute   Дождаться завершения процесса, после чего все контролеры домена будут автоматически перезагружены.

А теперь ложка «дёгтя в бочку мёда»

После этого возникнет ситуация, когда пользователи не могут снова зайти в систему. Это обусловлено тем, что в существующем сеансе пользователь уже зашёл в систему под старым NetBIOS имя домена (например, companycorp). Необходимо завершить сеанс и при входе в систему выбрать другого пользователя. Ввести логин того пользователя, сеанс которого был только что завершён. По умолчанию, NetBIOS имя домена (например, corp) уже будет подставлено.

В дальнейшем необходимо произвести идентификацию каждого компьютера в сети: Компьютер – Свойства – Имя компьютера – Идентификация… 

После этого система подлежит перезагрузке и пользователи будут входить в неё так как надо.

Постепенно в сетевом окружении старое NetBIOS имя домена исчезнет и появится новое.

Переименование домена рекомендуется производить только в случае острой необходимости. До начала работ ознакомьтесь со всеми ограничениями, связанными с конфигурацией системного и прикладного ПО (при наличии некоторых версий Microsoft Exchange, Internet Security and Acceleration (ISA) Server, Microsoft Live Communications Server, Microsoft Operations Manager, Microsoft SharePoint, Microsoft Systems Management Server (SMS), Microsoft Office Communications Server и т.д.). В нашем примере мы переименуем домен «TEST.LOCAL» в «LABA.CORP«.

Очередность выполнения следующая:

1. Прежде всего проверьте наличие прав администратора предприятия («Enterprise Admins») и текущий функциональный уровень леса, который должен быть не ниже Windows 2003.
2. Если процедура выполняется на серверах под Windows 2003, необходимо установить «Support Tools«, которые находятся на инсталляционном диске с ОС.
3. Подготовьте две новые интегрированные в Active Directory зоны прямого просмотра, в которые будет переезжать ваш домен:
— создайте зону «_msdcs.ВАШ.ДОМЕН» («_msdcs.laba.corp«), при настройке укажите репликацию на все DNS-серверы в этом лесу;
— создайте зону «ВАШ.ДОМЕН» («laba.corp«), укажите репликацию на все DNS-серверы в этом домене;
4. Когда репликация DNS завершится, можно приступать к процедуре переименования. Откройте командную строку с повышенными привилегиями на любом контроллере домена и выполните «rendom /list«. В текущей директории командной строки сгенерируется файл «

Domainlist.xml

» с текущими DNS и NetBIOS именами домена.

5. Теперь можно открыть данный файл с помощью любого текстового редактора и заменить в нашем случае DNS имя «TEST.LOCAL» на «LABA.CORP«, а NetBIOS имя «TEST» на «LABA«. Сохраните сделанные изменения.

6. Выполните «rendom /showforest» для просмотра потенциальных изменений в конфигурации.
7. Загрузите командой «rendom /upload» инструкции переименования и дождитесь полной репликации по всему лесу. Ускорить репликацию можно командой «repadmin /syncall» или с помощью оснастки «

dssite.msc

«.
8. Выполните команду «rendom /prepare» для проверки готовности всех
контроллеров домена в лесу к процедуре переименования. Контроллеры сообщат о готовности, ошибок при этом быть не должно.
9. Командой «rendom /execute» будет запущена процедура переименования для каждого
контроллера. На период выполнения прерывается работа домена. После
окончания процедуры контроллеры будут перезагружены. Если в период
выполнения процедуры произойдет ошибка, выполнится откат изменений.
Поэтому любой контроллер домена, который завершил процедуру
переименования с ошибкой, должен быть понижен до рядового сервера.
10. После загрузки контроллеров домена выполните из командой строки «gpfixup» с необходимыми параметрами для обновления всех ссылок на групповые политики. Пример выполнения на рисунке ниже.

11. Все клиентские компьютеры и рядовые сервера, входящие в домен, должны быть дважды перезагружены. DNS-суффикс на машинах будет обновлен автоматически, если
установлена опция «

Сменить основной DNS-суффикс при смене членства в домене

«.
12. Как только пройдет полная репликация в домене после переименования, выполните команду «rendom /clean» для удаления ссылок на устаревшее имя домена из Active Directory.
13. Выполните команду «rendom /end» для прекращения заморозки конфигурации леса и разрешения дальнейших изменений.
14. Дождитесь полной репликации в лесу и приступите к переименованию контроллеров согласно данной инструкции. Это необходимо сделать потому, что на доменных контроллерах суффикс останется прежним («test.local«).

Переименовываем каждый контроллер в нашем примере следующим образом: «ИМЯ_СЕРВЕРА.TEST.LOCAL» на «ИМЯ_СЕРВЕРА.LABA.CORP«.

15. После вышеописанных шагов убедитесь в корректной работе леса. При появлении ошибок первым делом проверьте корректно ли были сконфигурированы новые зоны DNS. Внесите необходимые поправки.
16. Если все работы проведены успешно и Active Directory функционирует корректно, можно удалить старые доменные зоны DNS («_msdcs.test.local» и «test.local«), но в том случае, если они не используются в организации для других целей.

Доменом в  Windows Server называют отдельную область безопасности компьютерной сети.

В домене может быть один или несколько серверов выполняющих различные роли. Разрешения, применяемые администратором, распространяются на все компьютеры в домене.

Пользователь, имеющий учетную запись в домене, может войти в систему на любом компьютере, иметь учетную запись на локальном компьютере не требуется.

В домене могут работать несколько тысяч пользователей, при этом компьютеры могут принадлежать к разным локальным сетям.

Несколько доменов имеющих одну и ту же конфигурацию и глобальный каталог называют деревом доменов. Несколько деревьев могут быть объединены в лес.

В домене есть такое понятие как групповая политика. Под групповой политикой понимают настройки системы, которые применяются к группе пользователей. Изменения групповой политики затрагивают всех пользователей входящих в эту политику.

Параметры групповой политики хранятся в виде объектов групповой политики (Group Policy Object, GPO). Эти объекты хранятся в каталоге подобно другим объектам. Различают два вида объектов групповой политики  –  объекты групповой политики, создаваемые в контексте службы каталога, и локальные объекты групповой политики.

Не будем подробно вдаваться в теорию и перейдем к практике.

Запускаем Диспетчер серверов -> «Добавить роли и компоненты».

На первой странице мастер напоминает, что необходимо сделать перед началом добавления роли на сервер. Нажмите «Далее».

На втором шаге нужно выбрать «Установка ролей и компонентов» и нажать «Далее».

Выбираем сервер, на который нужно установить Active Directory (он у нас один), «Далее».

Теперь нужно выбрать роль, которую нужно добавить. Выбираем «Доменные службы Active Directory». После чего откроется окно, в котором будет предложено установить службы ролей или компоненты, необходимые для установки роли Active Directory, нажмите кнопку «Добавить компоненты», после чего кликните «Далее».

PЗатем нажимайте «Далее», «Далее» и «Установить».

Перезапустите компьютер.

После того, как роль была добавлена на сервер, необходимо настроить доменную службу, то есть установить и настроить контроллер домена.

Настройка контроллера домена Windows Server

Запустите «Мастер настройки доменных служб Active Directory», для чего нажмите на иконку «Уведомления» в диспетчере сервера, затем нажмите «Повысить роль этого сервера до уровня контроллера домена».

Выберите пункт «Добавить новый лес», затем введите имя домена в поле «Имя корневого домена». Домены в сети Windows имеют аналогичные названия с доменами в интернете. Я ввел имя домена buzov.com. Нажимаем «Далее».

На этом шаге можно изменить совместимость режима работы леса и корневого домена. Оставьте настройки по умолчанию. Задайте пароль для DSRM (Directory Service Restore Mode – режим восстановления службы каталога) и нажмите «Далее».

Затем нажимайте «Далее» несколько раз до процесса установки.

Когда контроллер домена установиться компьютер будет перезагружен.

Добавление и настройка групп и пользователей в домене Windows Server

Теперь нужно добавить пользователей домена, что бы присоединить к сети рабочие места сотрудников.

Отроем «Пользователи и компьютеры Active Directory». Для этого перейдите в Пуск –> Панель управления –> Система и безопасность –> Администрирование –> Пользователи и компьютеры Active Directory.

Создадим отдел «Бухгалтерия», для этого выделите название домена и вызовите контекстное меню, в котором выберите (Создать – Подразделение). Введите имя отдела (бухгалтерия) и нажмите «OK»

Подразделения служат для управления группами компьютеров пользователей. Как правило их именуют в соответствии с подразделениями организации.

Создайте учетную запись пользователя в новом подразделении. Для этого в контекстном меню нового подразделения выберите пункт Создать –> Пользователь. Пусть первым пользователем будет Бухгалтер.

После ввода имени пользователя и учетной записи нажмите «Далее». Теперь нужно ввести пароль. По умолчанию пароль должен соответствовать требованиям сложности, то есть содержать три из четырех групп символов: заглавные буквы, строчные буквы, цифры, специальные знаки ( . , + – = ? № $ и так далее). Установите параметр «Требовать смену пароля при следующем входе в систему».

Создайте учетную запись группы безопасности. Для этого в контекстном меню нового подразделения (бухгалтерия) выберите пункт (Создать – Группа). При создании новой группы безопасности необходимо ввести имя, область действия и тип группы. Область действия определяет видимость данной группы в службе каталога. Глобальная группа видна в любом домене службы каталога и ей могут назначаться привилегии доступа к ресурсам других доменов. Локальная группа видна только в своем домене, то есть ей будут доступны ресурсы только ее домена. Группы безопасности позволяют
объединять пользователей и другие группы для назначения им одинаковых привилегий на различные объекты. Группы распространения используются для рассылки сообщений, они не участвуют в разграничении прав доступа.

Теперь нужно ввести компьютер в домен и зайти под новым пользователем. Для этого на клиентском компьютере нужно указать DNS-адрес. Для этого откройте «Свойства сетевого подключения» (Пуск –> Панель управления –> Сеть и Интернет – >Центр управления сетями и общим доступом – Изменение параметров адаптера), вызовите контекстное меню подключения и выберите «Свойства».

Выделите «Протокол Интернета версии 4 (TCP/IPv4)», нажмите кнопку «Свойства», выберите «Использовать следующие адреса DNS-серверов» и в поле «Предпочитаемый DNS-сервер» укажите адрес вашего DNS-сервера. Проверьте, что задан IP-адрес и маска той же подсети, в которой находится сервер.

Присоединение компьютера к домену

Откройте свойства системы (Пуск –> Панель управления –> Система и безопасность –> Система –> Дополнительные параметры системы). Выберите вкладку «Имя компьютера» и нажмите «Изменить». Выберите «Компьютер является членом домена» и введите имя домена.

После этого необходимо ввести логин и пароль пользователя с правами присоединения к домену (обычно администратора домена). Если вы всё указали правильно, то появиться приветственное сообщение «Добро пожаловать в домен …».

Для того чтобы завершить присоединение, необходима перезагрузка.

После перезагрузки войдите в систему под доменной учётной записью пользователя, которая была создана ранее

После ввода пароля операционная система попросит вас сменить пароль.

Вернемся на сервер. Нажмите «Пуск» -> Администрирование и перейдите в окно Управления групповой политикой. Выбираем наш лес, домен, Объекты групповой политики, щелкаем правой кнопкой мыши -> создать. Называем его buh (это объект групповой политики для группы Бухгалтерия).

Теперь необходимо привязать данный объект групповой политики к созданной группе. Для этого нажмите правой кнопкой на созданное подразделение (Бухгалтерия) и выберите «Связать существующий объект групповой политики…», затем выберите созданный ранее объект в списке и нажмите «ОК».

Далее выбираем созданный объект.

Выбранный объект должен появиться в списке связанных объектов групповой политики. Для редактирования параметров, определяемых данным объектом, нажмите на него правой кнопкой и выберите «Изменить».

Установка параметров безопасности

Установка параметров безопасности — завершающий этап настройка домена и групповых политик в Windows Server.

Ограничения парольной защиты

Ограничение на параметры парольной системы защиты задаются в контексте «Конфигурация компьютера». Выберите Конфигурация Windows –> Параметры безопасности –> Политики учетных записей –> Политика паролей.

В данном разделе объекта групповой политики определяются следующие параметры:

1. «Минимальный срок действия пароля» задает периодичность смены пароля.
2. «Минимальная длина пароля» определяет минимальное количество знаков пароля.
3. «Максимальный срок действия пароля» определяет интервал времени, через который разрешается менять пароль.
4. «Пароль должен отвечать требованиям сложности» определяет требования к составу групп знаков, которые должен включать пароль.
5. «Хранить пароли, используя обратимое шифрование» задает способ хранения пароля в базе данных учетных записей.
6. «Вести журнал паролей» определяет количество хранимых устаревших паролей пользователя.

Тут нужно указать необходимые параметры (определите самостоятельно).

Политика ограниченного использования программ

Объекты групповой политики позволяют запретить запуск определенных программ на всех компьютерах, на которые распространяется действие политики. Для этого необходимо в объекте групповой политики создать политику ограниченного использования программ и создать необходимые правила. Как это сделать.

Выберите раздел Конфигурация пользователя –> Политики –> Конфигурация Windows –> Параметры безопасности –> Политики ограниченного использования программ. Нажмите правой кнопкой на «Политики ограниченного использования программ», далее заходим в «Дополнительные правила» и жмем правой кнопкой мыши, затем выбираем «Создать правило для пути».

После обновления объекта групповой политики на рабочей станции, политика ограниченного использования программ вступит в действие и запуск программ, соответствующих правилам, будет невозможен.

Давайте запретим использовать командную строку на клиентском компьютере.

Запрет запуска командной строки (cmd.exe).

На этом все. Если у вас остались вопросы, обязательно задайте их в комментариях.

При попытке запустить командную строку на клиентской машине вы получите сообщение.