У меня есть домен, охватывающий несколько сайтов. Ничего особенного, только один домен. Все сайты подключены через VPN, и на каждом сайте есть контроллер домена Windows 2003 R2.
По ряду причин один из этих удаленных сайтов покидает мою маленькую доменную «семью». Я скоро отключу VPN и сделаю их автономными. Я думаю о том, как лучше всего поддерживать работу этого сайта независимо после VPN больше нет. (Я должен упомянуть, что у меня будет физический доступ к недавно отключенному сайту после того, как VPN будет отключен.)
Я вижу несколько вариантов.
1) Ничего не делать. Что ж, я бы изменил пароль администратора домена после отказа от VPN, но потом просто оставил бы все как есть. Возникнут ли проблемы с этим «осиротевшим» контроллером домена? Конечно, у него не будет всех ролей FSMO ... но можно ли это исправить?
2) Понизьте текущий DC. Перенесите его в новый домен. Удалите их клиентские машины из старого домена и повторно добавьте их в новый домен. Есть некоторые серверы SQl, работающие как учетные записи служб из старого домена, которые мне пришлось бы исправить, но в противном случае ...?
3) Откройте для себя другие, более логичные идеи.
Как бы вы к этому подойти? Возможен ли какой-либо из моих вариантов? Я думаю, что вариант 2 имеет наибольший смысл, но также требует больших усилий. Я немного ограничен тем, сколько времени мне нужно, чтобы настроить их, поэтому этот вариант действительно заставляет меня немного нервничать.
Я бы обратился к экспертам, прежде чем закатать рукава. Не могу не подозревать, что есть способ получше.
Вариант 2 оставит вам много работы с точки зрения учетных записей служб, профилей пользователей, разрешений общего доступа к файлам, модификаций GPO и т. Д.
Лично я за вариант номер 1 с несколькими предупреждениями \ оговорками:
Убедитесь, что оба контроллера домена являются сборщиками мусора, убедитесь, что DNS интегрирован с AD, убедитесь, что репликация идет на деньги, прекратите вносить любые дальнейшие изменения (создание или изменение объектов), дождитесь стабилизации репликации, отключите сети, заблокируйте роли FSMO на сироте DC, очистите метаданные, чтобы удалить любые следы другого DC (в обоих доменах), и убедитесь, что две сети \ домена никогда больше не соединяются вместе.
Я уверен, что у других здесь будут другие мнения и советы для вас, поэтому не спешите принимать решение.
*****РЕДАКТИРОВАТЬ*****
Я думаю, что теоретически вариант 1 должен представлять тот же сценарий и те же задачи, как если бы DC в домене был «некрасиво» удален из домена. Пока две сети \ домена никогда больше не будут подключены, я не вижу проблем с этой опцией.
если подумать, просто создать новый домин и разъединить и снова присоединиться к клиентам на удаленном сайте (пока их нет 100!), все зависит от того, что использует ваше развертывание AD на другом сайте. SQL, SharePoint, Exchange и т. Д. Дайте нам знать.
Подумайте об этом как следует, так как вы обнаружите, что у вас могут быть некоторые проблемы с такими вещами на уровне леса, как схема для начала. Каким бы болезненным это ни было, это может быть вариант 2. Я посмотрю на него, потому что я давно не был на вашем месте.
Этот вопрос очень похож на этот вопрос: http://www.petri.co.il/forums/showthread.php?p=72644.
Я изучаю возможность такого же разделения домена. Для нас это необходимо по соображениям сетевой безопасности / соответствия требованиям. У нас есть несколько веб-серверов (IIS 6) и SQL-серверов, подключенных к домену AD 2003 г. (в настоящее время - один сайт), и нам необходимо разделить домен на 2 части, оставив одну половину как есть (запускается в течение следующих 2-3 лет в качестве нашей несоответствующей сети), в то время как другая половина имеет более строгую защиту и постоянно обновляется в соответствии с правилами безопасности, над которыми мы работаем (совместимая сеть).
Я прекрасно понимаю, что домены НИКОГДА не должны повторно подключаться после того, как разделение и роли FSMO домена перешли в отдельную сеть.
Я планирую воспользоваться советом из темы, которую я прикрепил выше. Сначала я запускаю лабораторный тест с несколькими контроллерами домена и парой веб-серверов, чтобы доказать, что этот процесс работает. Я думаю, что в моей ситуации лучше всего будет работать, если мы создадим отдельный сайт Active Directory (вероятно, с названием «совместимая сеть» или аналогичный!), И мы выдадим новые IP-адреса серверам, которые будут разделены, а затем свяжем эти адреса с « совместимая сеть »и переместите серверы из« Active Directory Sites and Services »на новый сайт« совместимой сети ». После этого это поможет очистке Active Directory, поскольку (в соответствующей сети) мы сможем удалить все серверы, не входящие в «совместимую сеть», а в «сети без жалоб» мы сможем удалить все ссылки на серверы для серверы, которые перешли в «совместимую сеть»
Я буду следить за отзывами экспертов и комментариями к этим публикациям, а также за сообщениями о том, что я узнаю из своих лабораторных тестов.