ในบทความสั้นๆ นี้ เราจะแสดงวิธีการเปลี่ยนชื่อโดเมน Active Directory อย่างถูกต้องจาก test.com ไปที่ resource.loc . อันที่จริง ไม่ควรเปลี่ยนชื่อโดเมน Active Directory ในโครงสร้างพื้นฐาน AD ขนาดใหญ่และซับซ้อน ควรย้ายผู้ใช้ คอมพิวเตอร์ และเซิร์ฟเวอร์ไปยังโดเมนใหม่ อย่างไรก็ตาม สำหรับสภาพแวดล้อม AD ที่เรียบง่ายและขนาดเล็ก (test, pre-prod หรือ DMZ ) คุณสามารถเปลี่ยนชื่อโดเมน AD ของคุณได้อย่างง่ายดายตามคู่มือนี้
ก่อนเริ่ม ตรวจสอบให้แน่ใจว่า:
- คุณมีข้อมูลสำรองที่เป็นปัจจุบันของตัวควบคุมโดเมนของคุณ
- การจำลองแบบทำงานอย่างถูกต้องในโดเมนของคุณ และไม่มีข้อผิดพลาดร้ายแรงของตัวควบคุมโดเมนหรือ DNS (วิธีตรวจสอบความสมบูรณ์ของ Active Directory)
- ไม่มีการแลกเปลี่ยนในโดเมนของคุณ คุณไม่สามารถเปลี่ยนชื่อโดเมน AD ได้หากมีการปรับใช้ Exchange (ยกเว้น Exchange Server 2003)
- ในการเปลี่ยนชื่อโดเมน คุณต้องมี Windows Server 2003 หรือใหม่กว่า (ในตัวอย่างของฉัน ระดับการทำงานของโดเมน AD และฟอเรสต์ของฉันคือ Windows Server 2016)
ก่อนอื่น สร้างโซน DNS สำหรับโดเมนใหม่ของคุณบนตัวควบคุมโดเมนปัจจุบันของคุณ โดยเปิด dnsmgmt.msc snap-in สร้าง Forward Lookup Zone หลักใหม่ ด้วยชื่อ resource.loc และทำซ้ำบนเซิร์ฟเวอร์ DNS ทั้งหมดในโดเมน test.com เก่าของคุณ
คุณสามารถสร้างโซน DNS ใหม่โดยใช้ PowerShell:
Add-DnsServerPrimaryZone -Name resource.loc -ReplicationScope "Domain" –PassThru
รอจนกว่าโซน DNS ใหม่จะถูกจำลองบน DC ทั้งหมด
เรียกใช้ rendom /list คำสั่งเพื่อสร้าง Domainlist.xml ไฟล์ที่มีการกำหนดค่าฟอเรสต์ AD ปัจจุบัน
Get-Content .\Domainlist.xml
<Forest> <Domain> <!-- PartitionType:Application --> <Guid>6944a1cc-d79a-4bdb-9d1b-411fd417bbbc</Guid> <DNSname>DomainDnsZones.test.com</DNSname> <NetBiosName></NetBiosName> <DcName></DcName> </Domain> <Domain> <!-- PartitionType:Application --> <Guid>bb10d409-4897-4974-9781-77dd94f17d47</Guid> <DNSname>ForestDnsZones.test.com</DNSname> <NetBiosName></NetBiosName> <DcName></DcName> </Domain> <Domain> <!-- ForestRoot --> <Guid>b91bcb80-7cbc-49b7-8704-11d41b77d891</Guid> <DNSname>test.com</DNSname> <NetBiosName>TEST</NetBiosName> <DcName></DcName> </Domain> </Forest>
เปิด Domainlist.xml และแทนที่ชื่อโดเมนเก่าทั้งหมดด้วยชื่อใหม่:
Notepad .\Domainlist.xml
บันทึกไฟล์และเรียกใช้คำสั่งนี้:
rendom /showforest
คำสั่งจะแสดงการเปลี่ยนแปลงที่จะทำในการกำหนดค่า
คำสั่งต่อไปนี้จะอัปโหลด Domainlist.xml ด้วยการกำหนดค่าใหม่ของพาร์ติชัน AD ไปยังตัวควบคุมโดเมนที่มีบทบาท FSMO หลักในการตั้งชื่อโดเมน:
rendom /upload
netdom query fsmo
หลังจากนั้น คุณจะไม่สามารถเปลี่ยนแปลงการกำหนดค่าฟอเรสต์ AD ได้ เนื่องจากการกำหนดค่าจะถูกล็อค
rendom /prepare คำสั่งจะตรวจสอบความพร้อมใช้งานของ DC ทั้งหมดในฟอเรสต์และหากพร้อมที่จะเปลี่ยนชื่อ
ตรวจสอบให้แน่ใจว่าคำสั่งไม่ได้ส่งคืนข้อผิดพลาดใดๆ
Waiting for DCs to reply. mun-dc02.test.com was prepared successfully mun-dc00.test.com was prepared successfully The operation completed successfully.
คำสั่งด้านล่างจะเปลี่ยนชื่อโดเมน (ตัวควบคุมโดเมนจะไม่สามารถใช้งานได้ในบางครั้งและเริ่มต้นใหม่โดยอัตโนมัติเพื่อใช้การตั้งค่าใหม่):
rendom /execute
Waiting for DCs to reply. The script was executed successfully on mun-dc02.test.com The script was executed successfully on mun-dc00.test.com 2 servers contacted, 0 servers returned Errors The operation completed successfully.
ตรวจสอบให้แน่ใจว่าชื่อโดเมนใหม่แสดงในคุณสมบัติของโดเมน โปรดทราบว่าชื่อเต็มของคอมพิวเตอร์ไม่เปลี่ยนแปลง
newdomain\username เพื่อเข้าสู่ระบบ DC หากต้องการไปที่ DC ให้ระบุบัญชีจากโดเมน ในตัวควบคุมโดเมน Windows Core คุณสามารถระบุชื่อผู้ใช้อื่นได้โดยกด ESC หลายๆ ครั้ง
เรียกใช้คำสั่งต่อไปนี้เพื่ออัปเดตการเชื่อมโยง GPO:
gpfixup /olddns:test.com /newdns:resource.loc
Group Policy fix up utility Version 1.1 (Microsoft) Start fixing group policy (GroupPolicyContainer) objects: Start fixing site group policy links: Start fixing non-site group policy links: gpfixup tool executed with success.
จากนั้นอัปเดตชื่อโดเมน NetBIOS:
gpfixup /oldnb:TEST /newnb:RESOURCE
จากนั้นเพิ่มชื่อใหม่บนตัวควบคุมโดเมนแต่ละตัวด้วยตนเองและทำให้เป็นชื่อหลัก:
netdom computername %COMPUTERNAME%.test.com /add:%COMPUTERNAME%.resource.loc
netdom computername %COMPUTERNAME%.test.com /makeprimary:%COMPUTERNAME%.resource.loc
รีสตาร์ท DC:
Shutdown –f –r –t 0
ต้องทำหลังจาก /execute และก่อนที่จะดำเนินการ rendom /clean คำสั่ง
หรือคุณสามารถใช้คำสั่งด้านบนเพื่อเข้าร่วมคอมพิวเตอร์กับโดเมนใหม่อีกครั้ง
คำสั่งด้านล่างจะลบลิงก์ไปยังโดเมนเก่าของคุณออกจาก AD:
rendom /clean
ปลดล็อกการกำหนดค่าโดเมน:
rendom /end
เปิด ADUC (dsa.msc ) ควบคุมและตรวจสอบให้แน่ใจว่าได้เชื่อมต่อกับชื่อโดเมนใหม่และโครงสร้าง OU ทั้งหมด ผู้ใช้ และคอมพิวเตอร์ยังคงอยู่
หลังจากเปลี่ยนชื่อโดเมนของคุณแล้ว ให้ตรวจสอบสถานะการจำลองแบบ AD และข้อผิดพลาดใน DC (ดูลิงก์ด้านบน)
