我的公司目前有两个办事处。我们的设置非常简单 - 总部是主 Windows Server 2003 R2 域控制器,另一个办事处是辅助 Windows Server 2003 R2 域控制器。
第二家办事处正在作为自己的公司出售,因此需要拆分网络并将电子邮件等托管到其他地方。
为此做准备,由于缺乏更好的描述,是否可以迁移辅助 DC 使其成为其自己域的主 DC,并将所有用户和权限等转移到新域。
一旦完成,是否可以通过信托允许当前访问级别持续到新公司上线日期?
AD 迁移工具是否支持这种情况?
希望这有意义...
非常感谢。
答案1
首先,在 Active Directory 环境中,没有主域控制器或辅助域控制器之分,它是一个多主设置,因此所有 DC 都是主控制器。也就是说,有许多角色(称为 FSMO 角色)位于特定域控制器上。如果其中任何一个位于您总部的 DC 上(因为我假设当前域仍将存在)。这是一篇关于如何做到这一点的好文章。
为了让您的分支机构拥有一个新域,您不能只是迁移它,您需要降级域控制器(一旦 FSMO 角色被移动,以及域服务(如 DNS<DHCP 等)),以便将其从原始域中删除。完成此操作后,您可以将这台机器提升为其自己域的域控制器,并相应地设置您的网络。完成此操作后,您可以在这两个域之间建立信任以允许它们之间的访问。
但是,设置 AD 信任并允许两个网络之间的访问并不是一件简单的任务,如果您对 AD 的了解不够充分,那么我建议您找个人来为您处理整个过程,因为有很多可能出错的地方。