Tenho um domínio que abrange alguns sites. Nada sofisticado, apenas um domínio. Os sites estão todos conectados via VPN e cada site possui um controlador de domínio do Windows 2003 R2.
Por uma série de razões, um desses sites remotos está deixando minha pequena “família” de domínio. Em breve desconectarei a VPN e os soltarei para serem autônomos. Estou pensando na melhor abordagem para manter esse site funcionando de forma independentedepoisa VPN desapareceu. (Devo mencionar que terei acesso físico ao site recém-desconectado após a queda da VPN.)
Vejo algumas opções.
1) Não faça nada. Bem, eu mudaria a senha de administrador do domínio após a queda da VPN, mas deixaria as coisas como estão. Esse controlador de domínio agora "órfão" terá problemas? Certamente não terá todas as funções do FSMO... mas isso pode ser consertado?
2) Rebaixar o DC atual. Pré-mote-o novamente em um novo domínio. Remova suas máquinas clientes do domínio antigo e adicione-as novamente ao novo domínio. Existem algumas caixas do SQL Server em execução como contas de serviço do domínio antigo que eu teria que consertar, mas caso contrário...?
3) Aberto a outras ideias mais lógicas.
Como você abordaria isso? Alguma das minhas opções é viável? Acho que a opção 2 faz mais sentido, mas também exige mais esforço. Estou um pouco limitado pelo tempo que terei para configurá-los, então essa opção me deixa um pouco nervoso.
Pensei em recorrer aos especialistas antes de arregaçar as mangas. Não posso deixar de suspeitar que existe uma maneira melhor.
Responder1
A opção 2 vai deixar você com muito trabalho em termos de contas de serviço, perfis de usuário, permissões de compartilhamento de arquivos, modificações de GPO, etc.
Pessoalmente, sou a favor da opção número 1 com alguns avisos\ressalvas:
Certifique-se de que ambos os DCs sejam GCs, certifique-se de que o DNS esteja integrado ao AD, certifique-se de que a replicação esteja correta, pare de fazer quaisquer alterações adicionais (criando ou modificando objetos), espere até que a replicação seja encerrada, desconecte as redes, capture as funções FSMO no órfão DC, limpe os metadados para remover qualquer vestígio do outro DC (em ambos os domínios) e certifique-se de que as duas redes\domínios nunca mais estejam conectadas juntas novamente.
Tenho certeza de que outras pessoas aqui terão outras opiniões e conselhos para você, então não se apresse em tomar uma decisão.
*****EDITAR*****
Estou pensando que, em teoria, a opção 1 deveria apresentar o mesmo cenário e as mesmas tarefas como se um DC no domínio fosse removido "indelicadamente" do domínio. Contanto que as duas redes\domínios nunca mais sejam conectadas, não vejo nenhum problema com esta opção.
Responder2
ao pensar em apenas criar um novo domínio e separar e unir novamente os clientes no site remoto (desde que não haja centenas deles!), Tudo depende do que está usando sua implantação de AD no outro site. SQL, SharePoint, Exchange etc. Nos informe.
Responder3
Pense bem sobre isso, pois você descobrirá que pode ter alguns problemas com coisas no nível da floresta, como um esquema, para começar. Por mais doloroso que seja, pode ser a opção 2. Vou dar uma olhada nisso, pois não estou no seu lugar há muito tempo.
Responder4
Esta questão é muito semelhante a estes itens:http://www.petri.co.il/forums/showthread.php?p=72644.
Estou pesquisando a possibilidade de fazer a mesma divisão de domínio. Para nós, é necessário por motivos de segurança/conformidade da rede. Temos vários servidores Web (IIS 6) e SQL anexados a um domínio AD de 2003 (Site único atualmente) e precisamos dividir o domínio em 2 com metade para ser deixada como está (atropelado nos próximos 2-3 anos como nossa rede não compatível), enquanto a outra metade tem uma segurança mais rigorosa aplicada e mantida atualizada para estar em conformidade com os regulamentos de segurança para os quais estamos trabalhando (rede compatível).
Estou bem ciente de que os domínios NUNCA devem ser reconectados após a divisão e as funções FSMO do domínio terem sido apreendidas para a rede separada.
Pretendo usar o conselho do tópico anexado acima. Primeiro, estou executando um teste de laboratório com vários controladores de domínio e alguns servidores da web, para provar que esse processo funciona. Acho que na minha situação funcionará melhor se criarmos um site separado do Active Directory (provavelmente chamado de 'rede compatível' ou similar!) e emitiremos novos endereços IP para os servidores a serem divididos e, em seguida, associaremos esses endereços ao ' rede compatível' e mover os servidores em 'Sites e Serviços do Active Directory' para o novo site de 'rede compatível'. Isso ajudará na limpeza do Active Directory posteriormente, pois (na rede compatível) seremos capazes de remover todos os servidores que não estão na 'rede compatível' e na 'rede sem reclamação' poderemos remover todas as referências de servidor para servidores que mudaram para a 'rede compatível'
Ficarei de olho nos comentários e comentários dos especialistas sobre essas postagens - e comentarei o que descobrir em meus testes de laboratório.