我们目前正在开展一个所谓的分拆项目,即大公司 OLDCO 的一部分被单独出售,新实体建立了一个新的 Active Directory 域 NEWCO。在过渡阶段,OLDCO 域控制器和 NEWCO 域控制器以及客户端共享 IP 地址空间。NEWCO 域暂时信任 OLDCO 域,因此例如可以使用 OLDCO 用户帐户对 NEWCO 客户端机器进行身份验证。
显然,到过渡阶段结束时,OLDCO AD 将消失,可能是通过仅在某个遥远的未来发生的网络分离。
我们现在正在寻找一种方法来确保我们可以测试应用程序对 OLDCO 的依赖性。即,如果我们已将应用程序 X 移动到作为 NEWCO 域成员的新服务器,我们如何确保我们不再使用任何 OLDCO 资源而不可能注意到。
我们考虑实施一些可以轻松打开和关闭的防火墙规则,这将暂时阻止任何迁移的应用程序服务器对 OLDCO 域控制器的任何访问,作为“不再存在”的最佳模拟,但这会是一个有效的测试吗?
不太确定 AD 内部结构,例如,我不知道 NEWCO 域控制器是否可能缓存来自 OLDCO 域的任何数据,只要信任存在并且该缓存可能在 OLDCO DC 将到期的时间点过期已经消失了,在看起来很成功的测试之后,问题会困扰我们很长时间。
以前有没有人成功地完成过这样的项目,并且可能有任何其他想法如何模拟,例如在 AD 森林中进行分割?