Переименование контроллера домена windows 2012 r2

Переименовать компьютер просто — достаточно зайти в его свойства, сменить имя и перезагрузиться. Но если компьютер является контроллером домена, то все становиться несколько сложнее.

При попытке изменить подобным способом имя на контроллере домена вы получите предупреждение  о том, что переименование может отрицательно повлиять на работу пользователей в домене. Действительно, изменения в доменной среде происходят не мгновенно и после переименования пользователи могут некоторое время обращаться к контроллеру по старому имени. В результате могут возникать ошибки авторизации, отказы в доступе к ресурсам и прочие неприятности. Избежать всего этого можно с помощью альтернативной процедуры переименования, предназначенной специально для контроллеров домена.

Мы с вами рассмотрим эту процедуру на примере сервера SRV2, который будет переименован в DC2.

Перед тем, как приступать к переименованию, надо соблюсти ряд условий:

• В домене должен быть еще как минимум один работоспособный контроллер домена;
• Функциональный уровень домена должен быть не ниже Windows Server 2003;
• На сервере не должно быть установлено роли центра сертификации (Certification Authority);

Если все условия выполнены, то можно приступать к переименованию. Для этого нам потребуется утилита командной строки NETDOM. Изначально эта утилита входила в состав  Windows Server 2003 Support Tools, а начиная с Windows Server 2008 ее добавили непосредственно в операционную систему и она по умолчанию есть на любом сервере с ОС Windows Server.

Запускать утилиту не обязательно на том контроллере домена, который будет переименован, можно использовать любой доменный компьютер. Но пользователь, от имени которого производится переименование, обязательно должен входить в группу администраторов домена (Domain Admins).

На первом шаге откроем командную консоль и выполним команду:

netdom computername srv2.test.local /add:dc2.test.local

Эта команда добавит серверу дополнительное доменное имя и зарегистрирует его в DNS. Для проверки откроем оснастку ADSIEdit и в свойствах сервера найдем атрибут msDS-AdditionalDnsHostName. Именно в этом атрибуте должно быть прописано новое имя.

Дополнительно заглянем в DNS и убедимся в наличии новой записи.

Теперь сделаем новое имя основным. Для этого выполним команду:

netdom computername srv2.test.local /makeprimary:dc2.test.local

Обратите внимание, что для применения изменений необходима перезагрузка сервера.

После перезагрузки произойдет смена имени. Для проверки откроем ADSIEdit и убедимся в том, что имя DC2 стало основным, а SRV2 — дополнительным.

Поскольку старое имя SRV2 нам больше не нужно, окончательно удалим его командой:

netdom computername dc2.test.local /remove:srv2.test.local

Имя сервера успешно изменено, но это еще не все. После переименования контроллера домена требуется обновить Distributed File System (DFS) или File Replication Service (FRS) Replication member object. Этот объект необходимо обновить с новым именем для того, чтобы контроллер смог реплицировать папку SYSVOL.

Для этого открываем оснастку Active Directory Users and Computers и в меню View отмечаем пункт Advanced Features.

Затем переходим в раздел System -> DFSR-GlobalSettings -> Domain System Volume -> Topology, находим объект msDFSR-Member со старым именем и переименовываем его.

Для проверки можно снова воспользоваться ADSIEdit. Надо найти объект DFSR-LocalSettings и убедиться в том, что у него в атрибуте msDFSR-MemberReference указано новое имя сервера.

На этом переименование закончено, остается только убедиться в том, что изменения реплицировались на все контроллеры домена.

Ну и в завершение.

При попытке добавить имя столкнулся с такой ошибкой: ″The specified domain either does not exist or could not be contacted″.

Как удалось выяснить, такая проблема может возникнуть при отсутствии на контроллере домена общего доступа к папке SYSVOL. Для избавления от ошибки надо в реестре, в разделе HKLMSYSTEMCurrentControlSetServicesNetlogonParameters найти параметр SysvolReady и задать ему значение 1.

После этого ошибка ушла и все команды отработали без проблем.

При попытке переименовать контроллер домена Active Directory так, как вы обычно переименовываете рядовые рабочие станции/сервера домена, появится предупреждение:

Domain controllers cannot be moved from one domain to another, they must first be demoted. Renaming this domain controller may cause it to become temporarily unavailable to users and computers. For information on renaming domain controllers, including alternate renaming methods, see Renaming a Domain Controller (http://go.microsoft.com/fwlink/?LinkID=177447). To continue renaming this domain controller, click OK.

Это не значит, что изменить имя контроллера домена невозможно. В этой статье мы покажем, как корректно переименовать контроллер домена Active Directory с dc2 в msk-dc02.

Вы можете переименовать контроллер домена, если:

• Функциональный уровень домена не ниже Windows Server 2003;
• В домене есть как минимум один работоспособный DC;
• На DC не должна быть установлена роль Certification Authority.

Запустите на контроллере домена командную сроку и добавьте дополнительное имя вашему DC:

netdom computername dc2.contoso.com /add:msk-dc02.contoso.com

Откройте консоль ADUC, найдите учетную запись контроллера домена и откройте его свойства. Перейдите на вкладку Attribute Editor и проверьте, что новое имя DC появилось в атрибуте msDS-AdditionalDnsHostName.

Команда netdom также должна зарегистрировать A запись для нового имени контроллера домена в DNS.

Теперь нужно сделать новое имя основным:

netdom computername dc2.contoso.com /makeprimary: msk-dc02.contoso.com

Проверьте в редакторе атрибутов, что у контроллера домена теперь основное имя msk-dc02, а dc2 стало дополнительным.

Теперь можно удалить старое имя командой:

netdom computername msk-dc02.contoso.com /remove: dc2.contoso.com

После смены имени контроллера домена нужно обновить имя контроллера домена в обьекте Distributed File System (DFS) или File Replication Service (FRS) . Если это не сделать, ваш DC не сможет реплицировать катало SYSVOL.

Откройте консоль ADUC и перейдите в раздел System -> DFSR-GlobalSettings -> Domain System Volume -> Topology (если этот раздел не отображается включите опцию Advanced Features в меню View). Найдите объект msDFSR-Member со старым именем и переименуйте его.

Запустите консоль ADSIEdit, разверните новый контроллер домена в OU=Domain Controller. Проверьте, что у объекта DFSR-LocalSettings в атрибуте msDFSR-MemberReference теперь указано новое имя DC.

Проверьте значение атрибута SysvolReady на контроллере домена в ветке HKLMSYSTEMCurrentControlSetServicesNetlogonParameters. Измените его значение на 1 и дождитесь окончания репликации AD.