Ich habe eine Domäne, die mehrere Sites umfasst. Nichts Besonderes, nur eine Domäne. Die Sites sind alle über VPN verbunden und jede Site verfügt über einen Windows 2003 R2-Domänencontroller.
Aus verschiedenen Gründen verlässt eine dieser Remote-Sites meine kleine Domain-"Familie". Ich werde das VPN bald trennen und sie in die Lage versetzen, autonom zu sein. Ich denke über den besten Ansatz nach, um diese Site unabhängig am Laufen zu halten.nachdas VPN ist weg. (Ich sollte erwähnen, dass ich nach der Trennung des VPN physischen Zugriff auf die neu getrennte Site haben werde.)
Ich sehe ein paar Optionen.
1) Nichts tun. Nun, ich würde ihr Domänenadministratorkennwort nach dem VPN-Abbruch ändern, aber dann einfach alles so lassen, wie es ist. Wird dieser jetzt „verwaiste“ Domänencontroller auf Probleme stoßen? Er wird sicherlich nicht alle FSMO-Rollen haben … aber kann das behoben werden?
2) Den aktuellen DC herabstufen. Ihn erneut in eine neue Domäne verschieben. Die Client-Rechner aus der alten Domäne entfernen und sie der neuen Domäne erneut hinzufügen. Es gibt einige SQL Server-Boxen, die als Dienstkonten aus der alten Domäne laufen und die ich reparieren müsste, aber sonst...?
3) Offen für andere, logischere Ideen.
Wie würden Sie das angehen? Ist eine meiner Optionen realisierbar? Ich denke, Option 2 ist am sinnvollsten, erfordert aber auch den größten Aufwand. Ich bin ein wenig durch die Zeit eingeschränkt, die ich für die Konfiguration habe, daher macht mich diese Option etwas nervös.
Ich dachte, ich würde mich an die Experten wenden, bevor ich die Ärmel hochkrempele. Ich kann nicht anders, als zu vermuten, dass es einen besseren Weg gibt.
Antwort1
Bei Option 2 entsteht Ihnen viel Arbeit im Hinblick auf Dienstkonten, Benutzerprofile, Dateifreigabeberechtigungen, GPO-Änderungen usw.
Persönlich bin ich für Option Nummer 1 mit ein paar Warnungen/Vorbehalten:
Stellen Sie sicher, dass beide DCs GCs sind, stellen Sie sicher, dass DNS in AD integriert ist, stellen Sie sicher, dass die Replikation korrekt ist, nehmen Sie keine weiteren Änderungen vor (Erstellen oder Ändern von Objekten), warten Sie, bis die Replikation beendet wird, trennen Sie die Netzwerke, beschlagnahmen Sie die FSMO-Rollen auf dem verwaisten DC, bereinigen Sie die Metadaten, um alle Spuren des anderen DCs zu entfernen (in beiden Domänen) und stellen Sie sicher, dass die beiden Netzwerke/Domänen nie wieder miteinander verbunden werden.
Ich bin sicher, dass andere hier andere Meinungen und Ratschläge für Sie haben, also treffen Sie keine voreilige Entscheidung.
*****BEARBEITEN*****
Ich denke, dass Option 1 theoretisch dasselbe Szenario und dieselben Aufgaben darstellen sollte, als ob ein DC in der Domäne „unbeholfen“ aus der Domäne entfernt worden wäre. Solange die beiden Netzwerke/Domänen nie wieder verbunden werden, sehe ich bei dieser Option keine Probleme.
Antwort2
ich denke, ich erstelle einfach eine neue Domäne und trenne und füge die Clients am Remote-Standort wieder hinzu (sofern es nicht Hunderte davon gibt!). Es hängt alles davon ab, was Ihre AD-Bereitstellung am anderen Standort verwendet. SQL, SharePoint, Exchange usw. usw. Lassen Sie es uns wissen.
Antwort3
Denken Sie gründlich darüber nach, denn Sie werden feststellen, dass Sie möglicherweise Probleme mit Dingen auf Forest-Ebene wie einem Schema haben. So schmerzhaft es auch sein mag, es könnte Option 2 sein. Ich werde mir das ansehen, da ich schon lange nicht mehr in Ihrer Lage war.
Antwort4
Diese Frage ist diesen Punkten sehr ähnlich:http://www.petri.co.il/forums/showthread.php?p=72644.
Ich untersuche die Möglichkeit, genau dieselbe Domänenaufteilung vorzunehmen. Für uns ist dies aus Gründen der Netzwerksicherheit/Compliance erforderlich. Wir haben eine Reihe von Web- (IIS 6) und SQL-Servern, die an eine 2003 AD-Domäne angeschlossen sind (derzeit Single Site) und müssen die Domäne in zwei Hälften aufteilen, wobei eine Hälfte so bleiben soll, wie sie ist (in den nächsten 2-3 Jahren als unser nicht konformes Netzwerk heruntergefahren), während auf die andere Hälfte strengere Sicherheitsmaßnahmen angewendet und sie auf dem neuesten Stand gehalten wird, um den Sicherheitsvorschriften zu entsprechen, auf die wir hinarbeiten (konformes Netzwerk).
Mir ist durchaus bewusst, dass die Domänen NIEMALS wieder verbunden werden dürfen, nachdem die Aufteilung und die Domänen-FSMO-Rollen für das separate Netzwerk übernommen wurden.
Ich habe vor, die Ratschläge aus dem oben angehängten Thread zu befolgen. Ich führe zunächst einen Labortest mit mehreren Domänencontrollern und einigen Webservern durch, um zu beweisen, dass dieser Prozess funktioniert. Ich denke, in meiner Situation funktioniert es am besten, wenn wir eine separate Active Directory-Site erstellen (wahrscheinlich mit dem Namen „kompatibles Netzwerk“ oder ähnlich!) und den abzuspaltenden Servern neue IP-Adressen zuweisen, diese Adressen dann dem „kompatiblen Netzwerk“ zuordnen und die Server innerhalb der „Active Directory-Sites und -Dienste“ zur neuen Site „kompatibles Netzwerk“ verschieben. Dies erleichtert dann die anschließende Bereinigung des Active Directory, da wir (im kompatiblen Netzwerk) alle Server entfernen können, die sich nicht im „kompatiblen Netzwerk“ befinden, und im „nicht kompatiblen Netzwerk“ alle Serververweise für Server entfernen können, die in das „kompatible Netzwerk“ verschoben wurden.
Ich werde das Feedback und die Kommentare der Experten zu diesen Postings im Auge behalten – und meine Erkenntnisse aus meinen Labortests weitergeben.