Tengo un dominio que abarca algunos sitios. Nada especial, sólo un dominio. Todos los sitios están conectados a través de VPN y cada sitio tiene un controlador de dominio Windows 2003 R2.
Por diversas razones, uno de esos sitios remotos está abandonando mi pequeña "familia" de dominio. Pronto desconectaré la VPN y la soltaré para que sea autónoma. Estoy reflexionando sobre cuál es el mejor enfoque para mantener ese sitio en funcionamiento de forma independiente.despuésla VPN se ha ido. (Debo mencionar que tendré acceso físico al sitio recién desconectado después de que se desconecte la VPN).
Veo algunas opciones.
1) No hacer nada. Bueno, cambiaría la contraseña de administrador de su dominio después de la caída de la VPN, pero luego dejaría las cosas como están. ¿Ese controlador de dominio ahora "huérfano" tendrá problemas? Ciertamente no tendrá todas las funciones de FSMO... pero ¿se puede solucionar eso?
2) Degradar el DC actual. Vuelva a promocionarlo en un nuevo dominio. Elimine sus máquinas cliente del dominio anterior y vuelva a agregarlas al nuevo dominio. Hay algunas cajas de SQl Server ejecutándose como cuentas de servicio del antiguo dominio que tendría que arreglar pero, de lo contrario...
3) Abierto a otras ideas más lógicas.
¿Cómo abordarías esto? ¿Alguna de mis opciones es viable? Creo que la opción 2 tiene más sentido, pero también la que supone más esfuerzo. Estoy un poco limitado por el tiempo que tendré para configurarlos, por lo que esta opción me pone un poco nervioso.
Supongo que recurriría a los expertos antes de arremangarme. No puedo evitar sospechar que hay una mejor manera.
Respuesta1
La opción 2 le dejará mucho trabajo en términos de cuentas de servicio, perfiles de usuario, permisos para compartir archivos, modificaciones de GPO, etc.
Personalmente, estoy a favor de la opción número 1 con algunas advertencias:
Asegúrese de que ambos DC sean GC, asegúrese de que DNS esté integrado en AD, asegúrese de que la replicación sea rentable, deje de realizar más cambios (creación o modificación de objetos), espere hasta que la replicación se detenga, desconecte las redes, asuma los roles de FSMO en el huérfano DC, limpie los metadatos para eliminar cualquier rastro del otro DC (en ambos dominios) y asegúrese de que las dos redes/dominios nunca vuelvan a conectarse entre sí.
Estoy seguro de que otros aquí tendrán otras opiniones y consejos para usted, así que no se apresure a tomar una decisión.
*****EDITAR*****
Estoy pensando que, en teoría, la opción 1 debería presentar el mismo escenario y las mismas tareas que si un DC en el dominio fuera eliminado "sin gracia" del dominio. Mientras las dos redes\dominios nunca vuelvan a conectarse, no veo ningún problema con esta opción.
Respuesta2
al pensar en simplemente crear un nuevo dominio y separar y volver a unir a los clientes en el sitio remoto (¡siempre que no haya cientos de ellos!), todo depende de qué está utilizando su implementación de AD en el otro sitio. SQL, SharePoint, Exchange, etc. Haznos saber.
Respuesta3
Piense detenidamente en esto, ya que, para empezar, encontrará que puede tener algunos problemas con elementos de nivel de bosque, como un esquema. Por más doloroso que sea, puede ser la opción 2. Echaré un vistazo a esto porque no he estado en tu lugar durante mucho tiempo.
Respuesta4
Esta pregunta es muy similar a estos artículos:http://www.petri.co.il/forums/showthread.php?p=72644.
Estoy investigando la posibilidad de hacer la misma división de dominio. Para nosotros es necesario por motivos de seguridad/cumplimiento de la red. Tenemos varios servidores Web (IIS 6) y SQL conectados a un dominio AD de 2003 (sitio único actualmente) y necesitamos dividir el dominio en 2 y dejar la mitad como está (descargar durante los siguientes 2-3). años como nuestra Red No Cumplida), mientras que a la otra mitad se le ha aplicado una seguridad más estricta y se mantiene actualizada para cumplir con las normas de seguridad en las que estamos trabajando (Red Cumplida).
Soy muy consciente de que los dominios NUNCA deben volver a conectarse después de que la división y los roles de dominio FSMO se hayan asignado a la red separada.
Planeo utilizar los consejos del hilo que adjunté anteriormente. Primero estoy ejecutando una prueba de laboratorio con varios DC y un par de servidores web para demostrar que este proceso funciona. Creo que en mi situación funcionará mejor si creamos un sitio de Active Directory separado (¡probablemente llamado 'red compatible' o similar!) y emitiremos nuevas direcciones IP a los servidores que se dividirán y luego asociaremos estas direcciones con el ' red compatible" y mover los servidores dentro de "Sitios y servicios de Active Directory" al nuevo sitio de "red compatible". Esto ayudará a la limpieza posterior de Active Directory ya que (en la red compatible) podremos eliminar todos los servidores que no estén en la 'red compatible' y en la 'red no compatible' podremos eliminar todas las referencias de servidor para servidores que se han movido a la 'red compatible'
Estaré atento a las aportaciones y comentarios de los expertos sobre estas publicaciones, y a lo que descubro en mis pruebas de laboratorio.