如何重新命名ActiveDirectory域名

2025-05-10 20:12 新鈦雲服

 新鈦雲服已累計為您分享810篇技術乾貨
在本指南中,我們將向您展示如何將 Active Directory 域名從 test.com 更改為 resource.loc。請注意,通常不建議重新命名 Active Directory 域。對於大型且複雜的 AD 環境,最佳做法是將使用者、計算機和伺服器遷移到一個全新的域中。然而,對於簡單且規模較小的 AD 環境(如測試環境、預生產環境或 DMZ),您可以按照以下步驟重新命名您的 AD 域。
開始之前,請確保:
  • 確保您擁有域控制器的最新備份;
  • 複製正常工作,並且域控制器或 DNS 沒有嚴重錯誤;
  • 確認您的域中沒有部署 Exchange(除了 Exchange Server 2003)。如果 AD 域中部署了 Exchange(Exchange Server 2003 除外),則無法重新命名 AD 域;
  • 確保您使用的是 Windows Server 2003 或更高版本。在本示例中,AD 域和林的功能級別是 Windows Server 2016。
Active Directory 域重新命名過程:
首先在當前域控制器上為新域建立一個 DNS 區域。透過開啟 dnsmgmt.msc 管理單元,建立一個名為 resource.loc 的新主正向查詢區域,並將此區域複製到舊 test.com 域中的所有 DNS 伺服器上。
您可以使用以下 PowerShell 命令建立新的DNS區域:
powershellAdd-DnsServerPrimaryZone -Name resource.loc -ReplicationScope "Domain" –PassThru
等待新的 DNS 區域複製到所有域控制器上。
執行命令 rendom /list 以使用當前AD林配置生成 Domainlist.xml 檔案,並檢查其內容:
powershellGet-Content .\Domainlist.xml
開啟 Domainlist.xml 檔案,並將所有舊域名替換為新域名。以下是檔案的示例內容:
xml<Forest> <Domain> <!-- PartitionType:Application --> <Guid>6944a1cc-d79a-4bdb-9d1b-411fd417bbbc</Guid> <DNSname>DomainDnsZones.resource.loc</DNSname> <NetBiosName></NetBiosName> <DcName></DcName> </Domain> <Domain> <!-- PartitionType:Application --> <Guid>bb10d409-4897-4974-9781-77dd94f17d47</Guid> <DNSname>ForestDnsZones.resource.loc</DNSname> <NetBiosName></NetBiosName> <DcName></DcName> </Domain> <Domain> <!-- ForestRoot --> <Guid>b91bcb80-7cbc-49b7-8704-11d41b77d891</Guid> <DNSname>resource.loc</DNSname> <NetBiosName>RESOURCE</NetBiosName> <DcName></DcName> </Domain></Forest>
儲存檔案,並執行以下命令以預覽配置更改:
powershellrendom /showforest
使用以下命令將 Domainlist.xml 上傳到具有域命名主機 FSMO 角色的域控制器:
powershellrendom /upload
此後,您將無法更改 AD 林配置,因為它將被鎖定。
使用 rendom /prepare 命令檢查林中所有域控制器的可用性以及它們是否準備好進行重新命名。
powershellrendom /prepare
使用 netdom query fsmo 命令檢視 FSMO 角色所有者:
powershellnetdom query fsmo
執行域重新命名
以下命令將重新命名域(請注意,域控制器將在一段時間內不可用並自動重新啟動以應用新設定):
powershellrendom /execute
確保新域名顯示在域屬性中。請注意,完整的計算機名稱沒有更改。
執行以下命令來更新 GPO 繫結:
powershellgpfixup /olddns:test.com /newdns:resource.loc
更新 NetBIOS 域名
執行以下命令更新 NetBIOS 域名:
powershellgpfixup /oldnb:TEST /newnb:RESOURCE
然後手動在每個域控制器上新增新名稱並將其設為主要名稱:
powershellnetdom computername %COMPUTERNAME%.test.com /add:%COMPUTERNAME%.resource.locnetdom computername %COMPUTERNAME%.test.com /makeprimary:%COMPUTERNAME%.resource.loc
重新啟動域控制器:
powershellShutdown –f –r –t 0
使用以下命令從 AD 中刪除指向舊域的連結,並解鎖域配置:
powershellrendom /cleanrendom /end
開啟 dsa.msc 控制檯並確保它已連線到新域名,並且所有 OU 結構、使用者和計算機保持不變。
注意事項
  • 只有域控制器需要手動重新命名。其餘的計算機和伺服器可以重新啟動兩次,它們將自動切換到新域。這必須在執行 rendom /execute 之後、執行 rendom /clean 命令之前完成。
  • 或者,您可以使用上述命令將計算機重新加入新域。
  • 請注意,您必須執行一些額外的步驟才能將某些服務(如 CA、故障轉移群集)重新配置到新域。
檢查和驗證
重新命名域後,檢查域控制器上的 AD 複製狀態和錯誤。

相關文章