我有一個跨越幾個網站的網域。沒什麼特別的,只是一個網域。這些站點均透過 VPN 連接,每個站點都有 Windows 2003 R2 網域控制站。
由於各種原因,其中一個遠端站點正在離開我的小域“家庭”。我很快就會斷開 VPN 並讓它們變得自治。我正在考慮保持網站獨立運作的最佳方法後VPN 消失了。 (我應該提到的是,在 VPN 斷開後,我將可以物理訪問新斷開的網站。)
我看到幾個選項。
1)什麼也不做。好吧,我會在 VPN 斷開後更改他們的網域管理員密碼,但之後就不管這些了。現在「孤立」的網域控制器會遇到問題嗎?它肯定不會擁有所有 FSMO 角色……但這可以解決嗎?
2) 降級目前DC。將其重新提升到新域中。從舊網域中刪除它們的客戶端電腦並將它們重新新增到新網域中。有一些 SQl Server 框作為來自舊網域的服務帳戶運行,我必須修復它們,但否則...?
3)接受其他更合乎邏輯的想法。
你會如何處理這個問題?我的兩個選擇是否可行?我認為選項2最有意義,但也是最省力的。我需要花多少時間來配置這些,所以這個選項確實讓我有點緊張。
我想在我捲起袖子之前先向專家求助。忍不住懷疑還有更好的方法。
答案1
選項 2 會讓您在服務帳戶、使用者設定檔、檔案共用權限、GPO 修改等方面進行大量工作。
就我個人而言,我支援選項 1,但有一些警告\警告:
確保兩個 DC 都是 GC,確保 DNS 是 AD 整合的,確保複製是有成本的,停止進行任何進一步的更改(創建或修改物件),等到複製停止,斷開網路連接,鎖定孤兒上的 FSMO 角色DC,清理元資料以刪除其他DC(在兩個網域中)的任何痕跡,並確保兩個網路\網域永遠不會再次連接在一起。
我相信這裡的其他人也會有其他的意見和建議給你,所以不要急於做出決定。
*****編輯*****
我認為理論上選項 1 應該呈現相同的場景和相同的任務,就好像域中的 DC 被「不禮貌地」從域中刪除一樣。只要兩個網路\網域不再連接,我就看不到此選項有任何問題。
答案2
在考慮建立新的網域並中斷並重新加入遠端網站上的用戶端(只要沒有 100 個用戶端!)時,這完全取決於其他網站上使用 AD 部署的內容。 SQL、SharePoint、Exchange 等。讓我們知道。
答案3
仔細考慮這一點,因為您會發現您可能會遇到森林級的東西(例如模式)的一些問題。儘管這可能很痛苦,但可能是選擇2。
答案4
這個問題與這個項目非常相似:http://www.petri.co.il/forums/showthread.php?p=72644。
我正在研究進行相同域分割的可能性。對我們來說,出於網路安全/合規性原因,這是必要的。我們有許多 Web (IIS 6) 和 SQL 伺服器附加到 2003 AD 網域(目前為單一站點),需要將網域一分為二,其中一半保持原樣(在接下來的 2-3 個月內運行)作為我們的不合規網路),而另一半則應用了更嚴格的安全性並不斷更新,以符合我們正在努力實現的安全法規(合規網路)。
我很清楚,在分割和網域 FSMO 角色被捕捉到單獨的網路後,網域絕不能重新連線。
我計劃使用上面附加的線程中的建議,我首先使用多個 DC 和幾個 Web 伺服器運行實驗室測試,以證明此過程有效。我認為在我的情況下,如果我們建立一個單獨的Active Directory 網站(可能命名為「相容網路」或類似名稱!),並且我們將向要分離的伺服器發出新的IP 位址,然後將這些位址與“合規網路”,並將“Active Directory 網站和服務”內的伺服器移至新的“合規網路”網站。這將有助於之後的 Active Directory 清理,因為(在合規網路中)我們將能夠刪除不在「合規網路」中的所有伺服器,而在「非合規網路」中我們將能夠刪除所有伺服器引用已移至「合規網路」的伺服器
我將密切關注專家對這些貼文的回饋和評論,並回饋我從實驗室測試中發現的內容。