我有一个跨多个站点的域。没什么特别的,只有一个域。这些站点都通过 VPN 连接,每个站点都有一个 Windows 2003 R2 域控制器。
由于各种原因,其中一个远程站点即将离开我的小域“家庭”。我将很快断开 VPN 连接,让它们独立运行。我正在思考让该站点独立运行的最佳方法后VPN 已断开。(我应该提到,VPN 断开后,我将可以物理访问新断开的站点。)
我看到了一些选择。
1) 什么也不做。好吧,我会在 VPN 断开后更改他们的域管理员密码,然后就不管它了。现在“孤立”的域控制器会遇到问题吗?它肯定不会拥有所有的 FSMO 角色……但这能修复吗?
2) 降级当前 DC。将其重新远程部署到新域中。从旧域中删除它们的客户端计算机,然后将它们重新添加到新域中。有一些 SQl Server 框作为旧域中的服务帐户运行,我必须对其进行修复,但除此之外……?
3)接受其他更合乎逻辑的想法。
你会如何处理这个问题?我的两个选项都可行吗?我认为选项 2 最有意义,但也需要付出最大的努力。我配置这些的时间有点有限,所以这个选项确实让我有点紧张。
我想在撸起袖子之前先向专家请教。忍不住怀疑还有更好的方法。
答案1
选项 2 将让您在服务帐户、用户配置文件、文件共享权限、GPO 修改等方面做大量工作。
就我个人而言,我支持选项 1,但有几点警告\注意事项:
确保两个 DC 都是 GC,确保 DNS 已集成 AD,确保复制正确,停止进行任何进一步的更改(创建或修改对象),等到复制停止,断开网络,在孤立 DC 上获取 FSMO 角色,清理元数据以删除其他 DC(在两个域中)的任何痕迹,并确保两个网络\域永远不会再连接在一起。
我相信这里的其他人也会给你其他的意见和建议,所以不要急着做出决定。
*****编辑*****
我认为,理论上,选项 1 应该呈现与域中的 DC 被“不当”从域中删除时相同的场景和任务。只要两个网络\域不再连接,我认为此选项不会有任何问题。
答案2
考虑一下是否只需创建一个新的域并断开并重新加入远程站点上的客户端(只要它们不是 100 个!)这完全取决于在另一个站点上使用 AD 部署的内容。SQL、SharePoint、Exchange 等。让我们知道。
答案3
仔细考虑一下,你会发现你可能在森林级别的东西上遇到了一些问题,比如一开始的 Schema。虽然这可能很痛苦,但可能是选项 2。我会看看这个,因为我很久没有处于你的境地了。
答案4
这个问题与以下问题非常相似:http://www.petri.co.il/forums/showthread.php?p=72644。
我正在研究进行相同域拆分的可能性。出于网络安全/合规性原因,对我们来说这是必要的。我们有许多 Web(IIS 6)和 SQL 服务器连接到 2003 AD 域(当前为单个站点),需要将域拆分为两部分,一半保持原样(在未来 2-3 年内作为我们的非合规网络耗尽),而另一半则应用了更严格的安全性并保持更新以符合我们正在努力实现的安全法规(合规网络)。
我很清楚,在拆分之后,并且域 FSMO 角色被转移到单独的网络之后,绝对不能重新连接域。
我计划使用上面附加的线程中的建议,我首先使用多个 DC 和几个 Web 服务器运行实验室测试,以证明此过程有效。我认为在我的情况下,如果我们创建一个单独的 Active Directory 站点(可能命名为“兼容网络”或类似名称!),我们将向要分离的服务器发布新的 IP 地址,然后将这些地址与“兼容网络”关联,并将“Active Directory 站点和服务”中的服务器移动到新的“兼容网络”站点,效果会更好。这将有助于之后的 Active Directory 清理,因为(在兼容网络中)我们将能够删除所有不在“兼容网络”中的服务器,而在“非兼容网络”中,我们将能够删除已移动到“兼容网络”的服务器的所有服务器引用
我会密切关注专家对这些帖子的反馈和评论 - 并反馈我在实验室测试中发现的内容。