Назад | Перейти на главную страницу

Миграция дочернего домена в родительский домен

Наша компания планирует перейти от одного леса с несколькими доменами к одному лесу с одним доменом.

Это моя инфраструктура:

Лесной корень

ROOT-DC.techtunes.lan
ROOT-ADC.techtunes.lan
ROOT-ADC2.techtunes.lan

МЕСТА:

Кембридж 

dc1cam.cambrdige.techtunes.lan
adc1cam.cambrdige.techtunes.lan

Оксфорд 

dc1oxf.oxford.techtunes.lan
adc1oxf.oxford.techtunes.lan

Карачи

dc1khi.karachi.techtunes.lan
adc1khi.karachi.techtunes.lan

Теперь мы планируем переместить наши дочерние домены на root-dc.techtunes.lan, затем мы создадим отдельные OU для каждого сайта, а также разместим глобальные каталоги на каждом сайте для целей резервного копирования.

Я прочитал, что средство миграции Active Directory версии 3.2 является важным инструментом для миграции наших пользователей, но у меня есть несколько вопросов по этому поводу.

Что происходит с пользователями, имена которых дублируются в каждом домене? Например: один пользователь с именем abc находится в Кембридже, а также в Карачи. Что происходит, когда мы перемещаем оба acb аккаунты в один домен?

А как насчет других служб, таких как DHCP и DNS? Мы хотим запустить DHCP локально на каждом сайте.

Буду признателен за ответы о том, как действовать.

Вы обязательно захотите использовать ADMT для этого процесса. Версия, которую вы используете, будет зависеть от того, какие системы вам нужно перенести. Например, если вам нужно перенести компьютеры с Windows 7 / или server 2008 R2, вам нужно будет запустить ADMT v3.2, который можно запустить только при установке Server 2008 R2. Если у вас нет компьютеров Server 2008/2008 R2 / Windows Vista / Windows 7, вы можете использовать ADMT v3.0, который можно установить на Server 2003.

Как отметил Марк, вы не можете использовать ADMT для миграции DC. Вам нужно будет начать миграцию с DCpromo, отключив один DC на сайте, который вы переносите. Когда это будет выполнено и полностью реплицируется по всей вашей топологии (для проверки подойдет программа replmon.exe), вы можете затем использовать ADMT для миграции сервера. После завершения миграции вы можете использовать DCpromo в корневом домене.

DNS должен быть установлен на контроллерах домена, если еще не установлен, и AD будет реплицировать ваши зоны AD-I (зону корневого домена) на контроллеры домена, добавленные в ваш корневой домен. Вам необходимо будет повторно авторизовать DHCP-серверы после их миграции в корневой домен (требуется учетная запись с правами администратора Enterprise).

Я обнаружил, что мне подходит следующий порядок миграции:

  1. Перенести группы
  2. Перенос пользователей (переименуйте конфликты перед переносом, это избавит вас от хлопот)
  3. ADMT настроит ваших пользователей на смену пароля при следующем входе в систему после миграции.
    1. Если вы не хотите, чтобы им приходилось менять пароли, установите для каждого пользователя запрет на изменение пароля.
  4. DCpromo из одного DC, Migrate, DCPromo в новый домен
  5. Перенесите любые другие серверы файлов и приложений (обязательно спланируйте влияние на приложения и уточните у поставщиков изменения, которые необходимо внести).
  6. Перенести ПК
  7. DCpromo из 2-го DC, миграция, DCpromo в новый домен

При правильном планировании воздействие на пользователей должно быть минимальным. Я выполнил миграцию полных сайтов с более чем 100 ПК и серверами в течение периода обслуживания около 6-8 часов.

Есть и другие вещи, которые вам нужно учитывать, например, использование службы экспорта паролей для переноса паролей.

Это Большое дело™. Вам следует сначала подумать о найме консультанта, который, по крайней мере, поможет вам спланировать и координировать это, если у вас нет собственного опыта. Если это не вариант, то вы на правильном пути, посмотрев на ADMT.

Вы не можете запустить ADMT для миграции контроллера домена. Если у вас есть только один DC на каждом сайте, вам нужно разместить там новый, который присоединен к целевому домену, и выполнить миграцию таким образом. Вы не должны списывать все контроллеры домена на сайте, пока все с этого сайта не будет успешно перенесено.

Что вам нужно сделать, так это запустить ADMT для каждого ПК, сервера и учетной записи пользователя, которые существуют в доменах, которые вы переносите. Его можно автоматизировать и запускать удаленно, и это хорошо задокументированы. На каждый компьютер может уйти до 10 минут, поэтому не планируйте делать это во время обеденного перерыва для всего офиса. По всей вероятности, вам понадобятся как минимум выходные. Учетные записи пользователей и группы переносятся намного быстрее.

Если есть повторяющиеся имена пользователей, ADMT может делать несколько вещей. Он может игнорировать их и не переносить дубликаты. Он может перезаписывать дубликаты в целевом домене. И он может объединить два объекта. Последний вариант важен, потому что он также передает членство в группе. Использование слияния предоставит дублированным учетным записям все членство. Если ваши дубликаты предназначены для пользователей, которые не являются одним и тем же фактическим лицом, и вы не хотите их объединять, вы также можете переименовать дубликаты с помощью ADMT, хотя я, вероятно, рассмотрел бы переименование их до миграции, если их всего несколько.

Насчет DHCP и DNS. Я не уверен, о чем вы спрашиваете. Вы можете продолжать запускать эти службы на каждом сайте, как сейчас.