ドメインの分割

tag-icon tag-icon windows-server-2003 active-directory
ドメインの分割

いくつかのサイトにまたがるドメインがあります。特別なことは何もなく、ドメインは 1 つだけです。サイトはすべて VPN 経由で接続されており、各サイトには Windows 2003 R2 ドメイン コントローラーがあります。

さまざまな理由から、リモート サイトの 1 つが私の小さなドメイン「ファミリー」から離れることになりました。間もなく VPN を切断し、サイトを解放して自律的に動作させる予定です。そのサイトを独立して稼働させ続けるための最善のアプローチを考えています。VPN は切断されました。(VPN が切断された後、新しく切断されたサイトに物理的にアクセスできるようになることを述べておきます。)

いくつかのオプションがあります。

1) 何もしない。VPN が切断されたらドメイン管理者のパスワードを変更して、あとはそのままにしておきます。これで「孤立した」ドメイン コントローラーは問題に遭遇するでしょうか? 確かに、FSMO のすべての役割を持つわけではありませんが、修正できますか?

2) 現在の DC を降格します。新しいドメインに再度昇格します。クライアント マシンを古いドメインから削除し、新しいドメインに再度追加します。古いドメインのサービス アカウントとして実行されている SQL Server ボックスがいくつかあるので、修正する必要がありますが、それ以外は...?

3) より論理的な他のアイデアを受け入れる。

これにどう取り組みますか? どちらのオプションも実行可能でしょうか? オプション 2 が最も理にかなっていると思いますが、最も手間がかかります。これらを構成するのに必要な時間が限られているため、このオプションは少し不安です。

袖をまくる前に専門家に相談しようと思います。もっと良い方法があるのではないかと思わずにはいられません。

答え1

オプション 2 では、サービス アカウント、ユーザー プロファイル、ファイル共有アクセス許可、GPO の変更などに関して多くの作業が必要になります。

個人的には、いくつかの警告/注意事項付きでオプション 1 を支持します。

両方の DC が GC であることを確認し、DNS が AD 統合されていることを確認し、レプリケーションが正しいことを確認し、それ以上の変更 (オブジェクトの作成または変更) を停止し、レプリケーションが停止するまで待機し、ネットワークを切断し、孤立した DC の FSMO ロールを占有し、メタデータをクリーンアップして他の DC (両方のドメイン内) の痕跡をすべて削除し、2 つのネットワーク\ドメインが二度と接続されないようにします。

ここにいる他の人たちはきっとあなたに対して違う意見やアドバイスを持っているはずですから、決断を急がないでください。

*****編集*****

理論的には、オプション 1 は、ドメイン内の DC がドメインから「不法に」削除された場合と同じシナリオと同じタスクを提示するはずです。2 つのネットワーク\ドメインが再び接続されない限り、このオプションに問題はないと思います。

答え2

新しいドメインを作成し、リモート サイトのクライアントを切断して再参加させることを検討しています (クライアントが 100 個以上でない限り)。すべては、他のサイトで AD 展開を使用しているものによって異なります。SQL、SharePoint、Exchange など。お知らせください。

答え3

これについてよく考えてください。まず、スキーマなどのフォレスト レベルのものに問題がある可能性があります。面倒かもしれませんが、オプション 2 である可能性があります。長い間、私はあなたと同じ立場にいたことがないので、これを検討します。

答え4

この質問は次の項目と非常に似ています:http://www.petri.co.il/forums/showthread.php?p=72644

私も、まさに同じドメイン分割を行う可能性を調査しています。私たちにとっては、ネットワーク セキュリティ/コンプライアンス上の理由から、これは必要なことです。当社には、2003 AD ドメイン (現在は単一サイト) に接続された Web (IIS 6) および SQL サーバーが多数あり、ドメインを 2 つに分割する必要があります。半分はそのままにして (非準拠ネットワークとして今後 2 ~ 3 年で廃止)、もう半分には、より厳格なセキュリティを適用し、当社が目指しているセキュリティ規制に準拠するように更新を維持します (準拠ネットワーク)。

ドメインを分割し、ドメイン FSMO の役割を別のネットワークに引き継いだ後は、ドメインを絶対に再接続してはならないことは十分承知しています。

私は、上記に添付したスレッドのアドバイスを使用するつもりです。まず、複数の DC と 2 台の Web サーバーでラボ テストを実行して、このプロセスが機能することを証明します。私の状況では、別の Active Directory サイト (おそらく「準拠ネットワーク」などの名前) を作成し、分割するサーバーに新しい IP アドレスを発行して、これらのアドレスを「準拠ネットワーク」に関連付け、「Active Directory サイトとサービス」内のサーバーを新しい「準拠ネットワーク」サイトに移動すると、最も効果的だと思います。これにより、(準拠ネットワーク内で)「準拠ネットワーク」にないすべてのサーバーを削除でき、「非準拠ネットワーク」内では「準拠ネットワーク」に移動したサーバーのすべてのサーバー参照を削除できるため、その後の Active Directory クリーンアップが容易になります。

私はこれらの投稿に対する専門家のフィードバックやコメントに注目し、ラボのテストから発見したことをフィードバックします。

関連情報