好孩子不要學系列 - 改變域名命名(Rename Active Directory)
開始這篇文章是因為年內有出現過幾位論壇朋友
因為某種原因, 想要改變域名的命名
由於改變域名關乎到整個域的命脈, 步驟複雜, 風險也大
所以如非必要, 例如只是域名的大小寫, 或者是純粹看得不順眼…
我都是不建議背負著整個公司的命運去改
,
因為另類的手段既簡單又沒有風險
可是我們這種系統管理人員, 總需要有明知不可為而為之的覺悟…
就著這些我永遠都不想碰到的問題~就開始第一篇 好孩子不要學 系列嚕..(不知道會不會有第二篇)
事先聲明, 雖然我盡量都依微軟KB去做, 不過這裡的過程只供參考
請自行衡量風險, 而且實驗環境跟你的作業環境大大不同,
所以你還是要先溫習功課, 再實作幾次才下手噢
(而且我沒有告訴你噢~我也試過失敗, 請你不要100%相信我呀
)
還有就是改變域名並不保證你其他軟件能正常運作,
有時會出現網域名稱是改了, 可是一堆程式出現問題(尤其第3方軟件)…
再次說一篇, AD我是不建議改名的
如果你發現我以下步驟有錯誤/遺漏, 請一定要告訴我修改~
學習的材料最好還是到微軟去閱讀
Administering Active Directory Domain Rename
http://technet.microsoft.com/en-us/library/cc794869(v=ws.10).aspx
微軟還提供了一份整理清單, 讓你檢查前期準備有沒有做好
強列建議你列印出來一步步去做, 我也是按這份文件做藍本的
http://technet.microsoft.com/en-us/library/cc816631(v=ws.10).aspx
實驗環境是3台虛擬電腦, 分別已加入名為justinlab.local的域裡
1. win2012e, Windows Server 2012 Essential (域控制器)
2. WIN2012member, Windows Server 2012 Standard (整個步驟的控制電腦)
3. win7client-PC, Windows 7 Professional (測試用的客戶端)
目標是改變域名成為 justintothe.world
改變域名有個東西特別需要提醒,
如果你的環境裡有Exchange 2007或Exchange 2010, 你是不可以繼續做下去的
因為這會做成Exchange不能運作.
可是Exchange 2003 SP1可以, 其他Exchange 2003都不可以,
原因是它有工具幫助它處理域名改變後的問題
正式開始前, 請你確認環境裡容許你把所有電腦重新啟動, 而且最好沒有人使用網域資源
因為往後某個時間你的AD會處於暫時不能運作的狀態
我們先檢查AD Forest Level有沒有提升到Windows Server 2003以上
好了, 現在可以在清單上加上勾勾…甚麼, 你還沒有印出來?
再來確認你有AD裡的Enterprise Admins帳號
Windows Server 2012 AD預設把Administrator帳號Disable, 所以真的要再確認
我們要選一台控制站, 這台機器是用來進行整個進程的, 不能以域控制站來進行
只要是Windows Server 2008, 已加入網域就可以, 我會用這台WIN2012member.justinlab.local
如果你有DFS服務, 你要確認服務器在Windows Server 2000 SP3以上
由於我沒有啟用DFS, 所以就省卻了
再次確認你沒有使用 Exchange 2003 SP1以外的Exchange版本!
檢查你有沒有建立域互信關係, 如果有的話先建立好新的捷徑互信
建立新的DNS Zone. 這個步驟是很重要的, 關乎到整個過程的成敗
你可以利用另一份檢查清單去幫助你做這個步驟
http://technet.microsoft.com/en-us/library/cc794955(v=ws.10).aspx
建立新的DNS Zone
選擇Primary Zone in AD, 如下圖
允許域內DNS對這個DNS Zone的互相覆寫
填寫新的域名DNS名稱
允許DNS的Dynamic Updates, 請再三確認有選到
不然新的DNS紀錄就不能寫入了
好了, 由於我只有一台DNS, 所以我不用擔心各DNS間的覆寫問題
可是大家的投產環境不會只有一台DNS, 所以查看覆寫狀況是必須的
鍵入repadmin /showrepl, 確認所有檢查項目都寫著成功完成 (我這幅圖不能作準…)
現在要把過程中需要用到的兩個工具抄到WIN2012member上
分別是rendom.exe和gpfixup.exe
rendom.exe是用作改變域名, gpfixup.exe是用來後期修理群組原則的
它們的位置在DC的Windows\System32\
以系統管理員身份打開命令提示字元,
鍵入rendom.exe /list
會產生一個domainlist.xml 的文件, 把它改名為domainlist_temp.xml
我要把所有justinlab.local 改為justintothe.world
NETBIOS 改為JUSTINTOTHE, 再三檢查有沒有錯字
儲存成domainlist.xml
鍵入rendom.exe /upload, 你會發現再產生兩個文件
DcList.xml
DNSRecords.txt
回到DC, 你會發現DNS Record已經自己產生出來
在主控電腦(WIN2012member)鍵入
rendom /prepare
rendom /execute
如果你發現有任何錯誤報告, 請等候一會再試試指令,
AD的準備視乎環境規模而需要不同的時間
這時AD會進入Single User Mode, 不能進行任何加入, 退出網域的動作
完成進程的DC會自動重新啟動
現在是最緊張的時候了, 靜待DC重新啟動
過程順利的話你會發現DC的登入域名已經改變了! 
登入後使用者帳號還在~(還記得上一篇介紹的ADmodify嗎?)
現在所有域內的成員電腦只要重新啟動, 就可以改變域的設定
完全所有重新啟動後, 注意是全部噢, 一部都不能少!!
再到控制服務器(win2012member)打
rendom.exe /end
rendom.exe /cleanup
就真的完全整個改名步驟了
現在再在DC上修理群組原則的域名關聯, 指令是
gpfixup.exe /olddns:justinlab.local /newdns:justintothe.world (改變DNS名稱)
gpfixup.exe /oldnb:JUSTINLAB /newnb:JUSTINTOTHE (改變NETBIOS名稱)
最最最後你會發現
雖然網域是改變了…
DC的FQDN還沒有改變, 需要用netdom去改一下
netdom computername win2012e.justinlab.local /add:win2012e.justintothe.world
netdom computername win2012e.justinlab.local /makeprimary:win2012e.justintothe.world
重新啟動電腦即成
