我有一个跨越几个站点的域。没什么花哨的,只有一个域。这些站点都通过 VPN 连接,每个站点都有一个 Windows 2003 R2 域控制器。
由于种种原因,其中一个远程站点正在离开我的小域“家庭”。我将很快断开 VPN 并将它们松开以实现自治。我正在考虑在VPN 消失后保持该站点正常运行并独立运行的最佳方法。(我应该提到,在 VPN 被删除后,我将可以物理访问新断开的站点。)
我看到几个选项。
1)什么都不做。好吧,我会在 VPN 删除后更改他们的域管理员密码,然后就不用管了。现在“孤立”的域控制器会遇到问题吗?它当然不会拥有所有 FSMO 角色……但这可以解决吗?
2)降级当前的DC。将其重新预置到一个新域中。从旧域中删除他们的客户端计算机并将它们重新添加到新域中。有一些 SQl 服务器框作为来自旧域的服务帐户运行,我必须修复它们,否则......?
3)对其他更合乎逻辑的想法持开放态度。
你会如何处理这个问题?我的任何一个选项都可行吗?我认为选项 2 最有意义,但也是最努力的。我必须花多少时间来配置这些,所以这个选项确实让我有点紧张。
图在我卷起袖子之前,我会求助于专家。不禁怀疑有更好的方法。
选项 2 将在服务帐户、用户配置文件、文件共享权限、GPO 修改等方面为您留下大量工作。
就我个人而言,我支持选项 1,但有一些警告\注意事项:
确保两个 DC 都是 GC,确保 DNS 是 AD 集成的,确保复制在金钱上,停止进行任何进一步的更改(创建或修改对象),等到复制停止,断开网络,在孤儿上占用 FSMO 角色DC,清理元数据以删除其他 DC(在两个域中)的任何痕迹,并确保两个网络\域永远不会再次连接在一起。
我相信这里的其他人会对你有其他的意见和建议,所以不要急于做出决定。
*****编辑*****
我认为理论上选项 1 应该呈现相同的场景和相同的任务,就好像域中的 DC 被“不优雅地”从域中删除一样。只要两个网络\域不再连接,我就看不到此选项有任何问题。
在考虑创建一个新的域并分离并重新加入远程站点的客户端(只要没有 100 个客户端!)这一切都取决于在其他站点使用您的 AD 部署的内容。SQL、SharePoint、Exchange 等。让我们知道。
仔细考虑这一点,因为您会发现您可能对 Forest 级别的东西(例如 Schema)有一些问题。尽管它可能很痛苦,但它可能是选项 2。我会看看这个,因为我已经很久没有穿上你的鞋子了。
这个问题与这个项目非常相似:http ://www.petri.co.il/forums/showthread.php?p=72644 。
我正在研究进行相同域拆分的可能性。对我们来说,出于网络安全/合规性的原因,这是必要的。我们有许多 Web (IIS 6) 和 SQL 服务器连接到 2003 AD 域(目前为单站点),需要将域分成 2 部分,其中一半保持原样(在接下来的 2-3 中运行)年作为我们的不合规网络),而另一半应用了更严格的安全性并不断更新以符合我们正在努力实现的安全法规(合规网络)。
我很清楚,在分割和域 FSMO 角色被占用到单独的网络之后,永远不能重新连接域。
我计划使用上面附加的线程中的建议,我首先使用多个 DC 和几个 Web 服务器运行实验室测试,以证明这个过程有效。我认为在我的情况下,如果我们创建一个单独的 Active Directory 站点(可能名为“兼容网络”或类似名称!),我们将向要拆分的服务器发出新的 IP 地址,然后将这些地址与“合规网络”并将“Active Directory 站点和服务”中的服务器移动到新的“合规网络”站点。这将有助于之后的 Active Directory 清理,因为(在合规网络中)我们将能够删除不在“合规网络”和“非投诉网络”中的所有服务器
我将密切关注专家对这些帖子的反馈和评论 - 并反馈我从实验室测试中发现的内容。