Назад | Перейти на главную страницу

Сохранение конфигурации AD (пользователь / группы / подразделения) после удаления роли «доменных служб Active Directory»

У меня есть несколько уникальная проблема: я пытаюсь перенести старый устаревший сервер с локально установленной версии Доменная служба Active Directory к централизованно управляемому AWS Directory Service. В рамках этой миграции я буду реплицировать учетные записи пользователей с этого же сервера на эту новую службу (с помощью серии сценариев PowerShell). Пока этот процесс не будет передавать пароли пользователей, большинство структур будет перенесено автоматически (Пользователи / Группы / Подразделения / и т. д.) через скрипты.

Я хотел бы интегрировать эту миграцию в мою структуру DevOps (включая необходимость создания скрипт автоматического отката). Однако в рамках процесса миграции с помощью сценария PowerShell мне потребуется удалить локально установленную версию AD и подключите сервер к новой централизованно управляемой службе. Я считаю, что в рамках этого процесса я потеряю любую информацию, хранящуюся в настоящее время в AD (не позволяющую мне откатиться).

Есть ли способ сохранить эту информацию (включая пароли) без создания образа всего сервера, или этот сложный процесс с участием других серверов и ADMT и т. д., чтобы, если бы я хотел отменить миграцию на новую службу, я мог бы просто запустить какой-нибудь сценарий и восстановить сервер до предварительно перенесенной версии, при этом локальный сервер AD все еще установлен, а мои учетные данные все еще сохранены.

Я считаю, что это должно быть возможно, мне бы очень хотелось как-то отключить (но не удалить) службу AD на локальном сервере, затем присоединить ее к моей централизованной службе домена, а затем, если мне нужно откатиться, снова включить моя служба AD и повторно подключиться к ней локально.

Поиск вокруг, похоже, не приводит к появлению каких-либо зацепок по «отключению» роли «доменных служб Active Directory», однако, безусловно, ведутся дискуссии по поводу процесс удаления. Может быть, одна из этих опций где-то сохранит конфигурацию AD (так что, если я переустановлю ее, она все равно будет там)?

Вы не можете присоединить контроллер домена к другому домену Active Directory.

Целый Смысл DC управляет доменом, просто невозможно удалить его из домена, которым он управляет, и / или присоединить к другому. Это настолько важно для контроллера домена, что, если службы AD не могут запуститься должным образом, сервер будет просто синим экраном.

Чтобы иметь возможность переместить сервер в другой домен, вам необходимо понизить его статус, и при этом вы уничтожите базу данных Active Directory (которую вы не можете просто скопировать в другое место, это единственный способ сделать резервную копию). DC должен выполнять резервное копирование состояния системы).

Если у вас было несколько контроллеров домена (что вам и следовало бы), то вы можете понизить и переместить один из них, а после проверки того, что все работает, понизить и переместить другой (уничтожив исходный домен в процессе, потому что домен существует только если им управляет хотя бы один DC).

Но если у вас только один DC, как только вы понизите его, домен станет ушел, для блага.

Тем не менее, если у вас есть единственный контроллер домена, вас не беспокоят проблемы репликации; таким образом, вы можете безопасно создать его образ и восстановить его, если что-то пойдет не так.