我有一个单林、单域和冗余 AD 控制器。我需要拆分公司。将当前 AD 移至一台服务器,并在旧服务器上建立新域/公司。我需要保留相同的 GPO 策略并进行编辑。AD 也一样。
如果我从一台服务器上删除角色,AD 信息还会存在吗?基本上,正确的实现方法是什么?
答案1
除非有一台服务器需要离开现场,否则不要拆分它们。在当前林下创建一个新域,从现有域导出 GPO 并将其导入到新域中。
只有一个 DC 是灾难的根源。至少需要两个 DC。
答案2
使用 DCPROMO 降级其中一台服务器。
再次使用 DCPROMO 进行推广,创建一个新的林和域。
您应该能够备份您的 GPO 并从新域中的备份中恢复它们。具体过程可能因您的 Windows 版本而略有不同。
考虑使用 DNS 条件转发器或其他东西来允许两个林之间的名称解析。有多种方法可以实现此目的。
如果公司政策允许,请在两个域之间建立信任。这将允许两个新林之间进行身份验证。
它们可以位于同一网络上。如果您不想,则不必弄乱您的网络/路由器。
编辑:以下是一些可能有助于您迁移 GPO 的信息:http://technet.microsoft.com/en-us/library/cc781458%28WS.10%29.aspx