Trong bài viết ngắn này, chúng tôi sẽ hướng dẫn bạn cách thay đổi đúng cách một tên miền Active Directory từ test.com tới resource.loc . Trên thực tế, đổi tên miền Active Directory không phải là ý tưởng tốt nhất. Trong cơ sở hạ tầng AD lớn và phức tạp, tốt hơn là nên di chuyển người dùng, máy tính và máy chủ sang một miền mới. Tuy nhiên, đối với các môi trường AD đơn giản và nhỏ (thử nghiệm, pre-prod hoặc DMZ), bạn có thể dễ dàng đổi tên miền AD của mình theo hướng dẫn này
Trước khi bắt đầu, hãy đảm bảo rằng:
- Bạn có một bản sao lưu cập nhật của bộ điều khiển miền của mình;
- Bản sao hoạt động chính xác trong miền của bạn và không có lỗi nghiêm trọng nào đối với bộ điều khiển miền hoặc DNS (Cách kiểm tra tình trạng của Active Directory);
- Không có Exchange trong miền của bạn. Bạn không thể đổi tên miền AD nếu Exchange được triển khai trong đó (ngoại trừ Exchange Server 2003);
- Để đổi tên miền, bạn cần có Windows Server 2003 hoặc mới hơn (trong ví dụ của tôi, cấp chức năng của rừng và miền AD của tôi là Windows Server 2016).
Trước hết, hãy tạo vùng DNS cho miền mới của bạn trên bộ điều khiển miền hiện tại của bạn. Để thực hiện, hãy mở dnsmgmt.msc snap-in, tạo Vùng tra cứu chuyển tiếp chính mới với tên resource.loc và sao chép nó trên tất cả các máy chủ DNS trong miền test.com cũ của bạn.
Bạn có thể tạo vùng DNS mới bằng PowerShell:
Add-DnsServerPrimaryZone -Name resource.loc -ReplicationScope "Domain" –PassThru
Chờ cho đến khi vùng DNS mới được sao chép trên tất cả các DC.
Chạy rendom /list lệnh để tạo Domainlist.xml tệp với cấu hình rừng AD hiện tại.
Get-Content .\Domainlist.xml
<Forest> <Domain> <!-- PartitionType:Application --> <Guid>6944a1cc-d79a-4bdb-9d1b-411fd417bbbc</Guid> <DNSname>DomainDnsZones.test.com</DNSname> <NetBiosName></NetBiosName> <DcName></DcName> </Domain> <Domain> <!-- PartitionType:Application --> <Guid>bb10d409-4897-4974-9781-77dd94f17d47</Guid> <DNSname>ForestDnsZones.test.com</DNSname> <NetBiosName></NetBiosName> <DcName></DcName> </Domain> <Domain> <!-- ForestRoot --> <Guid>b91bcb80-7cbc-49b7-8704-11d41b77d891</Guid> <DNSname>test.com</DNSname> <NetBiosName>TEST</NetBiosName> <DcName></DcName> </Domain> </Forest>
Mở Domainlist.xml và thay thế tất cả các tên miền cũ bằng những tên miền mới:
Notepad .\Domainlist.xml
Lưu tệp và chạy lệnh này:
rendom /showforest
Lệnh sẽ hiển thị các thay đổi được thực hiện trong cấu hình.
Lệnh sau sẽ tải lên Domainlist.xml với cấu hình mới của phân vùng AD lên bộ điều khiển miền với vai trò FSMO chủ đặt tên miền:
rendom /upload
netdom query fsmo
Sau đó, bạn sẽ không thể thực hiện thay đổi đối với cấu hình khu rừng quảng cáo vì nó sẽ bị khóa.
rendom /prepare lệnh sẽ kiểm tra tính khả dụng của tất cả các DC trong rừng và liệu chúng đã sẵn sàng để đổi tên hay chưa.
Đảm bảo rằng lệnh không trả về bất kỳ lỗi nào.
Waiting for DCs to reply. mun-dc02.test.com was prepared successfully mun-dc00.test.com was prepared successfully The operation completed successfully.
Lệnh dưới đây sẽ đổi tên miền (bộ điều khiển miền sẽ không khả dụng trong một thời gian và tự động khởi động lại để áp dụng cài đặt mới):
rendom /execute
Waiting for DCs to reply. The script was executed successfully on mun-dc02.test.com The script was executed successfully on mun-dc00.test.com 2 servers contacted, 0 servers returned Errors The operation completed successfully.
Đảm bảo rằng tên miền mới được hiển thị trong thuộc tính miền. Lưu ý rằng tên máy tính đầy đủ không thay đổi.
newdomain\username để đăng nhập vào DC. Để đến DC, hãy chỉ định tài khoản từ miền. Trên bộ điều khiển miền Windows Core, bạn có thể chỉ định tên người dùng khác bằng cách nhấn ESC nhiều lần.
Chạy lệnh sau để cập nhật liên kết GPO:
gpfixup /olddns:test.com /newdns:resource.loc
Group Policy fix up utility Version 1.1 (Microsoft) Start fixing group policy (GroupPolicyContainer) objects: Start fixing site group policy links: Start fixing non-site group policy links: gpfixup tool executed with success.
Sau đó cập nhật tên miền NetBIOS:
gpfixup /oldnb:TEST /newnb:RESOURCE
Sau đó, thêm tên mới trên từng bộ điều khiển miền theo cách thủ công và đặt chúng thành tên chính:
netdom computername %COMPUTERNAME%.test.com /add:%COMPUTERNAME%.resource.loc
netdom computername %COMPUTERNAME%.test.com /makeprimary:%COMPUTERNAME%.resource.loc
Khởi động lại các DC:
Shutdown –f –r –t 0
Điều này phải được thực hiện sau khi / thực thi và TRƯỚC KHI thực hiện rendom / clean lệnh.
Hoặc bạn có thể sử dụng các lệnh trên để tham gia lại máy tính vào miền mới.
Lệnh bên dưới sẽ xóa các liên kết đến miền cũ của bạn khỏi AD:
rendom /clean
Mở khóa cấu hình miền:
rendom /end
Mở ADUC (dsa.msc ) bảng điều khiển và đảm bảo rằng nó đã kết nối với tên miền mới và tất cả cấu trúc đơn vị tổ chức, người dùng và máy tính vẫn ở nguyên vị trí.
Sau khi đổi tên miền của bạn, hãy kiểm tra trạng thái sao chép quảng cáo và lỗi trên các DC (xem liên kết ở trên).