В настоящее время я пытаюсь найти наиболее эффективный способ разделить один домен на два отдельных полнофункциональных домена.
У нас есть два сайта и несколько DC. Сайты, сайт A и сайт B, связаны с помощью туннеля VPN. Сайт A содержит 3 DC, включая DC, который выполняет все роли FSMO. Сайт B просто содержит один DC, а также несколько клиентских рабочих станций. Exchange не установлен в этом домене, поскольку оба сайта используют облачную почтовую службу. В связи с организационными изменениями внутри бизнеса оба сайта теперь станут полностью отдельными объектами, контролируемыми и управляемыми разными сторонами. Таким образом, нам нужно найти способ реализовать это изменение в AD. Очевидно, что один из способов сделать это - просто создать новый домен на сайте B и перенести необходимые данные с сайта A на сайт B с помощью ADMT или какого-либо стороннего инструмента. Однако я понимаю, что для этого нам понадобится дополнительное серверное оборудование, и миграция ADMT не выглядит простым процессом.
Мой текущий план таков: просто отключите VPN-соединение между сайтом A и сайтом B. Захватите ВСЕ роли FSMO на DC на сайте B. Устраните все остаточные проблемы на контроллерах домена. Если все пойдет по плану, мы получим два идентичных функциональных домена, и оба сайта смогут продолжать свою жизнь. В каждом домене мы просто удаляли все следы других контроллеров домена, как если бы эти машины просто вышли из строя.
Я знаю, что это необычно, но разве это ужасная идея? Есть ли здесь какие-либо предостережения, о которых я должен знать, которые могут помешать этому работать так, как я ожидаю? Кто-нибудь пробовал что-нибудь подобное раньше?
Обновить: Для тех, кто заинтересован, мы действительно остановились на этом плане. Спустя несколько недель у нас пока нет проблем. Очевидно, что в этом есть некоторый риск, учитывая тот факт, что он не поддерживается Microsoft, поэтому я бы никому не рекомендовал это решение в качестве первого варианта. Тем не менее, для тех, кто осознает риски и нехватку времени / ресурсов, как и мы, знает, что можно физически разделить сеть и получить два идентичных рабочих домена после очистки / захвата роли. Сократив полную миграцию AD примерно до одного часа работы, мы пока довольны этим решением. Только время покажет, был ли это правильный выбор.
Совсем не рекомендуется сделать это так, как вы просите, особенно если есть шанс, что машины из любого домена когда-либо снова будут подключены к сети друг к другу. Этот план связан с некоторыми операционными рисками и угрозами безопасности.
Тем не менее, вы можете следовать своему плану, почти так же, как вы описали. Предполагая, что AD исправен и нет перекрытия DNS (как упоминает TheCleaner), он должен работать нормально.
Я бы никому не рекомендовал делать это так - ADMT в новый домен на сайте B определенно правильный путь.
К тому же Windows 2003 чертовски старая и почти не поддерживается. Настройте новый сервер в B с Win2012 и сделайте это правильно.