У меня есть домен, охватывающий несколько сайтов. Ничего особенного, просто один домен. Все сайты подключены через VPN, и у каждого сайта есть контроллер домена Windows 2003 R2.
По ряду причин один из этих удаленных сайтов покидает мою маленькую доменную "семью". Скоро я отключу VPN и отпущу их, чтобы они стали автономными. Я размышляю о лучшем подходе, чтобы сохранить этот сайт и работать независимопослеVPN больше нет. (Следует отметить, что у меня будет физический доступ к недавно отключенному сайту после того, как VPN будет отключен.)
Я вижу несколько вариантов.
1) Ничего не делать. Ну, я бы сменил пароль администратора домена после падения VPN, но потом просто оставил бы все как есть. Возникнут ли проблемы у этого теперь "осиротевшего" контроллера домена? У него, конечно, не будет всех ролей FSMO... но можно ли это исправить?
2) Понизьте текущий DC. Повторно поднимите его в новый домен. Удалите их клиентские машины из старого домена и заново добавьте их в новый домен. Есть несколько ящиков SQL Server, работающих как учетные записи служб из старого домена, которые мне придется исправить, но в остальном...?
3) Открытость для других, более логичных идей.
Как бы вы подошли к этому? Какой-либо из моих вариантов жизнеспособен? Я думаю, что вариант 2 имеет наибольший смысл, но и требует наибольших усилий. Я немного ограничен тем, сколько времени у меня будет на их настройку, поэтому этот вариант меня немного нервирует.
Думаю, я бы обратился к экспертам, прежде чем засучить рукава. Не могу не подозревать, что есть лучший способ.
решение1
Вариант 2 потребует от вас большого объема работы с учетными записями служб, профилями пользователей, разрешениями на общий доступ к файлам, изменениями групповой политики и т. д.
Лично я за вариант номер 1 с несколькими предупреждениями\оговорками:
Убедитесь, что оба контроллера домена являются GC, убедитесь, что DNS интегрирован с AD, убедитесь, что репликация работает правильно, прекратите вносить дальнейшие изменения (создавать или изменять объекты), дождитесь остановки репликации, отключите сети, заберите роли FSMO на потерянном контроллере домена, очистите метаданные, чтобы удалить все следы другого контроллера домена (в обоих доменах), и убедитесь, что две сети/домена никогда больше не будут соединены вместе.
Я уверен, что у других здесь найдутся другие мнения и советы для вас, поэтому не спешите принимать решение.
*****РЕДАКТИРОВАТЬ*****
Я думаю, что в теории вариант 1 должен представлять тот же сценарий и те же задачи, как если бы DC в домене был "неблаговидно" удален из домена. Пока две сети\домена никогда больше не будут соединены, я не вижу никаких проблем с этим вариантом.
решение2
подумайте о том, чтобы просто создать новый домен и отключить и снова подключить клиентов на удаленном сайте (если их не сотни!), все зависит от того, что использует ваше развертывание AD на другом сайте. SQL, SharePoint, Exchange и т. д. Дайте нам знать.
решение3
Подумайте об этом как следует, поскольку вы обнаружите, что у вас могут быть некоторые проблемы с вещами уровня леса, такими как схема для начала. Как бы болезненно это ни было, это может быть вариант 2. Я взгляну на это, поскольку я давно не был на вашем месте.
решение4
Этот вопрос очень похож на этот пункт:http://www.petri.co.il/forums/showthread.php?p=72644.
Я изучаю возможность сделать такое же разделение домена. Для нас это необходимо по соображениям безопасности сети / соответствия. У нас есть несколько веб-серверов (IIS 6) и SQL-серверов, подключенных к домену AD 2003 (в настоящее время это один сайт), и нам нужно разделить домен на две части, оставив одну половину как есть (вывести из строя в течение следующих 2-3 лет как нашу несоответствующую сеть), в то время как к другой половине будут применены более жесткие меры безопасности, и она будет обновляться для соответствия правилам безопасности, к которым мы стремимся (соответствующая сеть).
Я прекрасно понимаю, что домены НИКОГДА не должны повторно подключаться после разделения и передачи ролей FSMO домена в отдельную сеть.
Я планирую воспользоваться советом в теме, которую я прикрепил выше. Сначала я провожу лабораторный тест с несколькими контроллерами домена и парой веб-серверов, чтобы доказать, что этот процесс работает. Я думаю, в моей ситуации будет лучше всего, если мы создадим отдельный сайт Active Directory (вероятно, назовем его «совместимая сеть» или что-то подобное!) и выдадим новые IP-адреса серверам, которые будут отделены, а затем свяжем эти адреса с «совместимой сетью» и переместим серверы в пределах «сайтов и служб Active Directory» на новый сайт «совместимой сети». Это затем поможет в последующей очистке Active Directory, поскольку (в совместимой сети) мы сможем удалить все серверы, не находящиеся в «совместимой сети», а в «несовместимой сети» мы сможем удалить все ссылки на серверы, которые были перемещены в «совместимую сеть».
Я буду следить за отзывами экспертов и комментариями к этим публикациям, а также сообщать о том, что я узнаю в ходе своих лабораторных исследований.