Назад | Перейти на главную страницу

Как исправить Branch Office - Root Forest Domain с тем же именем, что и HQ

У нас есть два офиса примерно одинакового размера, в каждом по одному серверу. В настоящее время пользователи в офисе №2 вручную подключаются к VPN напрямую в офис №1 для доступа к ресурсам.

Я хочу заменить отдельные VPN на постоянную VPN типа "сеть-сеть" между двумя брандмауэрами / маршрутизаторами и настроить репликацию домена между двумя серверами.

Вот где я в недоумении: оба сервера являются корневыми доменами леса с тем же именем «company.local». Я нашел только эту ветку: Active Directory - доверие между лесами между лесами с одинаковым именем? - в котором нет разговоров о том, что делать в этой ситуации.

Моя цель - иметь один лес с одним доменом с двумя сайтами, подключенными через VPN типа "сеть-сеть". В идеале я бы также изменил доменное имя на "corp.company.com" с "company.local", но я думаю, что это будет еще сложнее.

Вот разбивка двух серверов:

Офис №1 под управлением Windows Server 2016 Standard с ролями:

Офис №2 под управлением Windows Server 2016 Essentials с ролями:

В обоих Active Directory настроены отдельные пользователи / группы - пользователи имеют одинаковый домен \ логин \ пароль на обоих.

В настоящее время мой план таков:

  1. Заставьте работать VPN-соединение между сайтами, и в этот момент я не уверен, какие проблемы это вызовет между двумя DC, если таковые имеются.
  2. Включите DHCP на роутере
  3. Удалите ADDS / DNS с сервера Office # 2
  4. Присоедините сервер Office # 2 к домену Office # 1
  5. Установите ADDS / DNS на сервере Office # 2, добавив в качестве DC в домен на втором сайте
  6. Отключите DHCP на маршрутизаторе, снова включите в Офисе №2.
  7. Направьте два контроллера домена на копирование друг друга

Мои вопросы:

  1. Возможен ли этот план?
  2. Я пропускаю важные шаги?
  3. Будут ли проблемы с моими профилями пользователей на сайте №2?
  4. Стоит ли мне вообще пытаться изменить домен с company.local на corp.company.com?

Спасибо за чтение. Будем очень признательны за любые мысли или указания по этому поводу!

Вы правы, предполагая, что один из двух доменов должен уйти; вы не можете создать доверительные отношения между двумя доменами с одинаковым именем.

Удаление второго домена и повторное использование его сервера в качестве контроллера домена реплики для вашего основного домена действительно является решением; но это потребует повторного присоединения всех компьютеров в филиале к вашему домену, потому что даже если оба домена имеют одинаковое имя, это определенно не одно и то же; то же самое касается учетных записей пользователей и, следовательно, профилей пользователей.

Если вы хотите избежать повторного создания всех профилей пользователей, вы можете выполнить миграцию домена; но опять же, это невозможно между двумя доменами с одинаковым именем.

Переименование одного из двух доменов может быть жизнеспособным выбором, но будьте осторожны: это обычно проблема почти на том же уровне, что и миграция домена.

Если у вас небольшое количество пользователей и компьютеров в филиале, просто сделайте то, что вы запланировали: удалите их домен, настройте их сервер в качестве контроллера домена для своего домена и повторно присоедините к нему все компьютеры.

Если у вас много пользователей или вам абсолютно необходимо сохранить их профили пользователей, вам следует сначала переименовать один из доменов, а затем выполнить миграцию домена.

Если вы решите пойти по этому пути, я предлагаю переименовать их домен, который будет удален после миграции; переименованный домен более подвержен проблемам, поэтому лучше сделать это с доменом, который вы собираетесь удалить, чем с тем, который вы собираетесь сохранить.