Quanto a ver que ocorreu uma operação de renomeação de domínio, sim.
Event ID: 1875
Level: Warning
Source: ActiveDirectory_DomainService
Log: Directory Service
Active Directory Domain Services has detected that the replication
epoch (as indicated by the msDS-ReplicationEpoch attribute of the following object)
of the local domain controller has been changed.
This typically occurs as part of the domain rename process.
Object:
CN=NTDS Settings,CN=CONTOSO01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Contoso,DC=com
Old replication epoch:
0
New replication epoch:
1
As a result, replication between this domain controller and domain controllers
that are using the old replication epoch is no longer allowed. Replication can
occur only with those domain controllers using the new replication epoch.
Event ID: 1882
Level: Information
Source: ActiveDirectory_DomainService
Log: Directory Service
Active Directory Domain Services is shutting down the system to
complete the domain rename operation.
Quanto a ver quem fez isso ... é um pouco mais complicado. Espero que você não tenha mais do que um pequeno punhado de pessoas que poderiam tê-lo feito. Basicamente, habilite a auditoria de acesso a objetos por meio da Política de Grupo e observe as alterações no objeto DC=Domain,DC=com
.
Editar: Só queria esclarecer um pouco sobre essa última parte.
Use
repadmin /showobjmeta . "CN=NTDS Settings,CN=CONTOSO01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Contoso,DC=Com"
E se o atributo msDS-ReplicationEpoch
tiver sido alterado, ele mostrará a você de qual controlador de domínio foi originado pela alteração (o "DSA de origem") e a que horas. A partir daí, você precisaria inspecionar os registros de segurança no DC de origem para ver quem estava conectado naquele momento.