こんにちは、ミツシマです。
今回、ADドメイン名の変更作業について個人的に検証してみましたので手順を記載してみました
検証したくなった理由については、単一ラベルのドメイン名を使用しているとWindows10 1803?等でAD参加出来なくなったり、日本でよく使われている「〜.local」というのが最近では非推奨とかで、将来的に変更作業に直面する機会が出るのかな〜と思ったので
検証環境は以下の通り
仮想環境:Virtual Box 5.2.22
DC:Windows Server2012R2 ※FSMO1台のみ
本来であればDCが1台の環境なんて皆無だろうが、今回はあくまで手順の検証が主な目的のため1台で検証
まずはDCを用意
DCサーバ名:ad-sv
ドメイン名:mitsushima.local
NetBIOS名:MITSUSHIMA
変更後のドメイン名とNetBIOS名は
ドメイン名:local.mitsushima.work
NetBIOS名:MITSU

そして、ドメイン名を変更する準備としてまずは変更後の新ドメインと同名の前方参照ゾーンを作成
※その際、プライマリゾーンで作成し、動的更新を受け付けるようにするようだ



ここからrendomコマンドにて実際に変更をしてみる
(注)本来、DCが複数台ある環境であれば各DCのレプリケーション状況を確認し、エラーが無いことが前提となるようです。
1.管理者権限でコマンドプロンプトを開き、「rendom /list」を実行

2.ここで出力された「Domeinlist.xml」をメモ帳なので開き、旧ドメイン名と旧NetBIOS名の箇所をそれぞれ新しいものに書き直して保存
※変更前

※変更後

3.コマンド「rendom /showforest」を実行し内容を検証する
4.検証が正常に終了したのち「rendom /upload」を実行し設定変更スクリプトをアップロードする

5.「DNSRecords.txt」と「DcList.xml」が生成された後、「DcList.xml」の中身に対象となるすべてのDCが記述されていることを確認 ※今回は1台しか記述はないわけだが、、、、

6.コマンド「rendom /prepare」を実行し名前変更に対応出来るかを確認
7.コマンド「rendom /execute」を実行し設定変更
(注)実行がサーバは自動で再起動がされます。そしてDCが複数あれば他のサーバも設定反映後に
自動再起動みたい

8.再起動後のログインではユーザー表示が旧ドメイン名の為、新ドメイン名に変更してログイン
9.再度出力されている「DcList.xml」を開き、State要素が「Done」になっていることを確認
※エラーが発生していたりするとこの項目が「Error」になるよう・・・・

10.管理者権限でコマンドプロンプト開き、rendomコマンドを使用したカレントディレクトリに移動して「rendom /end」を実行

これでひとまずはrendomコマンドの使用は完了のよう
その後はDNSやグループポリシーの調整を実施
11.手動で作成した新ドメイン名の前方参照ゾーンにて、ゾーンを「ActiveDirectory統合」に動的更新を「セキュリティ保護のみ」に変更

12.DNSにて「_msdns〜」というのが新ドメインにて見当たらないので手動作成

13.フルコンピュータ名を確認したところ、DNSサフィックスが古いままだったので、そちらをシステムのプロパティから変更し、再起動


※これでDNSでの値が旧ホスト名から新ホスト名に変わっていました!!

14.管理者権限でコマンドプロンプトを開き、「gpfixup /olddns:古ドメイン /newdns:新ドメイン」と「gpfixup /oldnb:古ドメイン /newnb:新ドメイン」を実行

ちなみに上記コマンド実行前はグループポリシーの管理がエラーで開きませんでした。。。

再起動後に無事グループポリシーの管理も確認出来る形に!!

以上で本検証は終了。
基本的な操作は間違えなければ難しい操作ではないですが、やはりどこに影響が出てくるかわからないので可能な限り本番環境ではやりたくない作業ですね。。。^^;
とりあえずドメイン参加していたPCもドメイン再参加することでADユーザーでログイン出来ることが出来ました!!
2019/02/26追記
ADユーザーのプロパティを確認していたところ、UPNサフィックスが変更前のドメイン名のままであることを発見!!

とりあえず変更出来るみたいなのでしてみる
変更後は当たり前ですが、旧ドメイン名の選択がなくなりました。
※UPNサフィックスを使用してログインすることも少ないかとは思うので大丈夫かもしれませんが、これも変更した方が無難かもしれませんね。。。。
ちなみ、複数ユーザを選択して一括で変更することも可能でした。

今回、ADドメイン名の変更作業について個人的に検証してみましたので手順を記載してみました
検証したくなった理由については、単一ラベルのドメイン名を使用しているとWindows10 1803?等でAD参加出来なくなったり、日本でよく使われている「〜.local」というのが最近では非推奨とかで、将来的に変更作業に直面する機会が出るのかな〜と思ったので
検証環境は以下の通り
仮想環境:Virtual Box 5.2.22
DC:Windows Server2012R2 ※FSMO1台のみ
本来であればDCが1台の環境なんて皆無だろうが、今回はあくまで手順の検証が主な目的のため1台で検証
まずはDCを用意
DCサーバ名:ad-sv
ドメイン名:mitsushima.local
NetBIOS名:MITSUSHIMA
変更後のドメイン名とNetBIOS名は
ドメイン名:local.mitsushima.work
NetBIOS名:MITSU

そして、ドメイン名を変更する準備としてまずは変更後の新ドメインと同名の前方参照ゾーンを作成
※その際、プライマリゾーンで作成し、動的更新を受け付けるようにするようだ



ここからrendomコマンドにて実際に変更をしてみる
(注)本来、DCが複数台ある環境であれば各DCのレプリケーション状況を確認し、エラーが無いことが前提となるようです。
1.管理者権限でコマンドプロンプトを開き、「rendom /list」を実行

2.ここで出力された「Domeinlist.xml」をメモ帳なので開き、旧ドメイン名と旧NetBIOS名の箇所をそれぞれ新しいものに書き直して保存
※変更前

※変更後

3.コマンド「rendom /showforest」を実行し内容を検証する
4.検証が正常に終了したのち「rendom /upload」を実行し設定変更スクリプトをアップロードする

5.「DNSRecords.txt」と「DcList.xml」が生成された後、「DcList.xml」の中身に対象となるすべてのDCが記述されていることを確認 ※今回は1台しか記述はないわけだが、、、、

6.コマンド「rendom /prepare」を実行し名前変更に対応出来るかを確認
7.コマンド「rendom /execute」を実行し設定変更
(注)実行がサーバは自動で再起動がされます。そしてDCが複数あれば他のサーバも設定反映後に
自動再起動みたい

8.再起動後のログインではユーザー表示が旧ドメイン名の為、新ドメイン名に変更してログイン
9.再度出力されている「DcList.xml」を開き、State要素が「Done」になっていることを確認
※エラーが発生していたりするとこの項目が「Error」になるよう・・・・

10.管理者権限でコマンドプロンプト開き、rendomコマンドを使用したカレントディレクトリに移動して「rendom /end」を実行

これでひとまずはrendomコマンドの使用は完了のよう
その後はDNSやグループポリシーの調整を実施
11.手動で作成した新ドメイン名の前方参照ゾーンにて、ゾーンを「ActiveDirectory統合」に動的更新を「セキュリティ保護のみ」に変更

12.DNSにて「_msdns〜」というのが新ドメインにて見当たらないので手動作成

13.フルコンピュータ名を確認したところ、DNSサフィックスが古いままだったので、そちらをシステムのプロパティから変更し、再起動


※これでDNSでの値が旧ホスト名から新ホスト名に変わっていました!!

14.管理者権限でコマンドプロンプトを開き、「gpfixup /olddns:古ドメイン /newdns:新ドメイン」と「gpfixup /oldnb:古ドメイン /newnb:新ドメイン」を実行

ちなみに上記コマンド実行前はグループポリシーの管理がエラーで開きませんでした。。。

再起動後に無事グループポリシーの管理も確認出来る形に!!

以上で本検証は終了。
基本的な操作は間違えなければ難しい操作ではないですが、やはりどこに影響が出てくるかわからないので可能な限り本番環境ではやりたくない作業ですね。。。^^;
とりあえずドメイン参加していたPCもドメイン再参加することでADユーザーでログイン出来ることが出来ました!!
2019/02/26追記
ADユーザーのプロパティを確認していたところ、UPNサフィックスが変更前のドメイン名のままであることを発見!!

とりあえず変更出来るみたいなのでしてみる
変更後は当たり前ですが、旧ドメイン名の選択がなくなりました。
※UPNサフィックスを使用してログインすることも少ないかとは思うので大丈夫かもしれませんが、これも変更した方が無難かもしれませんね。。。。
ちなみ、複数ユーザを選択して一括で変更することも可能でした。

スポンサードリンク
コメント