При попытке переименовать контроллер домена Active Directory так, как вы обычно переименовываете рядовые рабочие станции/сервера домена (через консоль sysdm.cpl или с помощью PowerShell командлета Rename-Computer), появится предупреждение:
Domain controllers cannot be moved from one domain to another, they must first be demoted. Renaming this domain controller may cause it to become temporarily unavailable to users and computers. For information on renaming domain controllers, including alternate renaming methods, see Renaming a Domain Controller (http://go.microsoft.com/fwlink/?LinkID=177447). To continue renaming this domain controller, click OK.
Это не значит, что изменить имя контроллера домена невозможно. В этой статье мы покажем, как корректно переименовать контроллер домена Active Directory с dc2 в msk-dc02.
Подготовка к переименованию контроллера домена Active Directory
Вы можете переименовать контроллер домена, если:
- Функциональный уровень домена не ниже Windows Server 2003;
- В домене есть как минимум один работоспособный DC;
- На DC не должна быть установлена роль Certification Authority;
- Ваша учетна запись добавлена в доменную группу Domain Admins.
Проверьте, запущены ли роли FSMO (Flexible Single-Master Operation) на котроллере домена, который вы хотите переименовать:
netdom query fsmo
Если в этом списке есть ваш DC, перенесите его FSMO роли на другой контроллер домена (например на msk-dc01) с помощью PowerShell командлета Move-ADDirectoryServerOperationMasterRole.
Move-ADDirectoryServerOperationMasterRole -Identity msk-dc01 -OperationMasterRole SchemaMaster, RIDMaster
Также рекомендуем создать резервную копию вашего контроллера домена перед сменой имени (можно создать резервную копию DC с помощью встроенной роли Windows Server Backup).
Изменить имя контроллера домена AD с помощью Netdom
Запустите на контроллере домена командную сроку и добавьте дополнительное имя вашему DC:
netdom computername dc2.contoso.com /add:msk-dc02.contoso.com
netdom computername OldDCName /add:NewDCName
Указывайте FQDN имена.
Откройте консоль Active Directory Users and Computers (команда dsa.msc), разверните контейнер Domain Controllers, найдите учетную запись вашего контроллера домена и откройте его свойства. Перейдите на вкладку Attribute Editor и проверьте, что новое имя DC появилось в атрибуте msDS-AdditionalDnsHostName.
Команда netdom также должна зарегистрировать A запись для нового имени контроллера домена в DNS. Если A запись не появилась, выполните команду:
ipconfig /registerdns
Ваш компьютер повторно пропишет себя на DNS серверах.
Дождитесь окончания репликации новых записей по всему домену прежде чем переходить к следующему шагу.
repadmin /syncall
Теперь нужно сделать новое имя основным:
netdom computername dc2.contoso.com /makeprimary: msk-dc02.contoso.com
Successfully made msk-dc02.contoso.com the primary name for the computer. The computer must be rebooted for this name change to take effect. Until then this computer may not be able to authenticate users and other computers, and may not be authenticated by other computers in the forest. The specified new name was removed from the list of alternate computer names. The primary computer name will be set to the specified new name after the reboot. The command completed successfully.
Перезагрузите контроллер домена.
Проверьте в редакторе атрибутов, что у контроллера домена теперь основное имя msk-dc02, а dc2 стало дополнительным.
Откройте консоль DNS Manager, выберите ваш домен и разверните папку _msdcs. проверьте, что SRV записи контроллера домена были обновлены во всех сервисных секциях _msdscs. Если здесь присутствует NS запись для старого имени DC, переименуйте ее.
dnscmd msk-dc02.contoso.com /recorddelete contoso.com dc2 A /f
Теперь можно удалить старое имя командой:
netdom computername msk-dc02.contoso.com /remove: dc2.contoso.com
Проверьте, что у сервера осталось только одно имя:netdom computername msk-dc02.contoso.com /enumerate
Также в оснастке ADUC вручную удалите старое имя DC в атрибуте msDS—AdditionalDnsHostName контроллера домена.
После смены имени контроллера домена нужно обновить имя контроллера домена в объекте Distributed File System (DFS) или File Replication Service (FRS). Если это не сделать, ваш DC не сможет реплицировать каталог SYSVOL.
Откройте консоль ADUC и перейдите в раздел System -> DFSR-GlobalSettings -> Domain System Volume -> Topology (если этот раздел не отображается включите опцию Advanced Features в меню View). Найдите объект msDFSR-Member со старым именем и переименуйте его.
Запустите консоль ADSIEdit, разверните новый контроллер домена в OU=Domain Controller. Проверьте, что у объекта DFSR-LocalSettings в атрибуте msDFSR-MemberReference теперь указано новое имя DC.
Проверьте значение атрибута SysvolReady на контроллере домена в ветке HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters. Измените его значение на 1 и дождитесь окончания репликации AD.
Проверьте логи контроллера домена и выполните команду dcdiag чтобы проверить, что ADDS работает корректно.
При переименовании контроллера домена таким образом, в учетной записи DC остается SPN, который не будет удален автоматически. Если вы попробуете использовать это имя в домене, появится ошибка:
The operation failed because SPN value provided for addition/modification is not unique forest-wide.
Чтобы удалить старую SPN запись, выполните:
setspn -l dc2.contoso.com
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ComputerName\ActiveComputerName\ComputerName
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ComputerName\ComputerName\ComputerName
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Hostname
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NV Hostname
1 comment
А как сменть ip адреса контроллера домена