Моя текущая проблема заключается в следующем сценарии миграции:
Existing domain:
Domain-Controller (Windows Server 2003 x86) named "W2003SRV" with domain DOMAIN.LOCAL
Terminal-Server 1 (Windows Server 2008 R2 x64)
Terminal-Server 2 (Windows Server 2008 R2 x64)
Client computers
Теперь нам нужно заменить контроллер домена на новый компьютер, на котором также будет работать Windows Server 2008 R2 x64. Обычно я добавляю новый контроллер домена в домен, повышаю его до нового контроллера домена, передаю роли FSMO Active Directory, понижаю статус старого и покончил с этим.
Однако используемое нами собственное программное обеспечение запрещает любое изменение имени компьютера. Если сначала добавить новый DC в домен, это будет означать, что я должен дать ему другое имя, поскольку старый все еще используется существующим DC.
Если я вообще не перенастрою домен и создам новый домен DOMAIN.LOCAL только с новым сервером (названным W2003SRV, как старый), я бы выполнил критерии сохранения имени. Поскольку я бы оставил совершенно новый домен, все мои идентификаторы безопасности пользователей изменились бы, и даже после воссоздания пользователей и компьютеров в Active Directory новый профиль был бы принудительно создан для каждого пользователя (с его новым SID), и я бы потратил по крайней мере, день настройки новых профилей.
Какая еще у меня есть возможность?
Я подумал о том, чтобы сделать это таким образом и - после того, как новый сервер был повышен до DC - изменил имя нового DC на имя старого DC. Однако изменение имени (единственного) контроллера домена в домене не кажется таким разумным ... Или меня здесь слишком беспокоит?
Благодарю за каждый совет!
Обновить:
ADMT (средство миграции Active Directory) от Microsoft (как было предложено TheCleaner), похоже, является способом сделать это. Он сохраняет старые идентификаторы безопасности в истории SID, поэтому профили можно будет использовать повторно. Я изучил это и скачал документацию. Моя единственная проблема с этим будет в том, что он переносит объекты AD из одного домена в другой. У меня есть 2 домена, но, поскольку имя сервера и имя домена будут одинаковыми, я думаю, что это будет проблемой. Есть ли у кого-нибудь опыт работы с ADMT в таком случае?
Добавьте второй сервер, на котором выполняется только рассматриваемое программное обеспечение. Подумайте о жизненном цикле контроллера домена - это воля быть замененным в какой-то момент. Это одна из многих причин, по которым установка любого программного обеспечения для бизнеса на контроллер домена - наихудший вариант.
В качестве альтернативы вы можете добавить новый DC, а затем dcpromo отключить старый DC и оставить приложение на нем.
Я бы рассмотрел здесь два подхода, причем №2 был моим первым выбором. Вы всегда можете получить уровень домена и леса до 2008 R2, а затем при необходимости переименовать домен на этом этапе. Я также рекомендовал бы, если возможно, использовать сервер 2012 года, но это может быть невозможно в вашей среде.