Rose debug info
---------------

Переименовывание контроллеров домена AD 2003 2008 2012

Процедура переименования рядового сервера (Windows 2000/2003/2008) очень проста. Достаточно зайти в свойства системы, изменить имя и перегрузиться. Однако для контроллеров домена данный подход не годится. В этой статье мы рассмотрим правильную процедуру переименования контроллера.

Команда


Для переименования контроллера домена нам необходимо использовать команду NETDOM. В Windows Server 2008 данная команда встроена в операционную систему и не требует отдельной установки как в предыдущих версиях ОС.

Для начала вам необходимо указать новое полное доменное имя для контроллера домена. Все остальные контроллеры домена должны содержать обновленный SPN атрибут и все DNS сервера в домене должны содержать A запись нового имени. Оба имени — и старое и новое поддерживаются до тех пор, пока вы не удалите старое имя. Это гарантирует что не будет никаких проблем с аутентификацией клиентов.

Важно: Для переименования контроллера домена с помощью утилиты NETDOM функциональный уровень домена должен быть как минимум Windows Server 2003.

Плохая новость: Как обычно, нам необходимо перегружать переименованный контроллер.

Отличная новость: Вам не нужно находиться непосредственно за контроллером, который вы переименовываете. Вы можете сделать это с любого компьютера где установлена утилита NETDOM, конечно если у вас есть соответствующие полномочия.

Права


Вы должны быть членом группы Domain Admins.

Процедура


Для переименования DC с именем KUKU-SERVER в домене WINDOWS-DOMAIN.LOCAL на имя DC-SERVER выполните следующие шаги:

  1. Откройте командную строку и наберите команду:
NETDOM computername KUKU-SERVER.WINDOWS-DOMAIN.LOCAL /add:DC-SERVER.WINDOWS-DOMAIN.LOCAL

Эта команда обновит атрибут SPN в Active Directory для данного аккаунта компьютера и зарегистрирует нужные DNS записи для нового имени. Значение SPN должно быть реплицировано на все контроллеры домена и DNS записи должны разойтись по всем полномочным DNS серверам в домене. Если это не произойдет перед удалением старого имени то некоторые клиенты могут не найти данный контроллер домена ни по одному из имен. Поэтому очень важно чтобы Active Directory завершила полный цикл репликации. Вы можете проверить это с помощью утилит REPADMIN и REPLMON.

Вы можете проверить что новое имя добавлено к компьютеру с помощью ADSIEDIT.MSC. Перейдите в нужный объект и нажмите на нем правой кнопкой. Выберите Свойства:

Прокрутите список доступных параметров до атрибута с именем msDS-AdditionalDnsHostName.

  1. После этого можно выполнить следующую команду:
NETDOM computername KUKU-SERVER.WINDOWS-DOMAIN.LOCAL /makeprimary:DC-SERVER.WINDOWS-DOMAIN.LOCAL

На данном этапе вы опять можете посмотреть изменения через ADSIEDIT.MSC. Найдите тот же параметр что был указан в предыдущем пункте и убедитесь что там присутствует старое имя сервера.

  1. Перегрузите компьютер.
  1. Введите в командной строке следующую команду:
NETDOM computername DC-SERVER.WINDOWS-DOMAIN.LOCAL /remove:KUKU-SERVER.WINDOWS-DOMAIN.LOCAL
  1. Убедитесь что изменения были успешно реплицированы на все контроллеры домена.
Поделиться
Отправить
 11   2021   active directory   AD   server   win   win2012