我目前正在尝试寻找将单个域拆分为两个不同的、功能齐全的域的最有效方法。
我们有两个站点和多个 DC。站点 A 和站点 B 通过 VPN 隧道连接。站点 A 包含 3 个 DC,包括承担所有 FSMO 角色的 DC。站点 B 仅包含 1 个 DC 以及一些客户端工作站。此域上未安装 Exchange,因为两个站点都使用基于云的电子邮件服务。由于企业内部的组织变化,两个站点现在将成为完全独立的实体 - 由不同的方控制和管理。因此,我们需要找到一种方法来在 AD 中实现此更改。显然,一种方法是简单地在站点 B 创建一个新域,然后使用 ADMT 或某些第三方工具将所需数据从站点 A 迁移到站点 B。但是,我知道我们需要一些额外的服务器硬件才能做到这一点,而 ADMT 迁移看起来并不是一个简单的过程。
我目前的计划是:简单地切断站点 A 和站点 B 之间的 VPN 连接。将所有 FSMO 角色转移到站点 B 的 DC 上。清理域控制器上的任何残留问题。如果一切按计划进行,我们最终应该会得到两个完全相同、功能齐全的域,并且两个站点都可以继续运行。在每个域上,我们只需删除其他 DC 的任何痕迹,就好像这些机器只是发生了故障一样。
我知道这很不合常规,但这是一个很糟糕的想法吗?这里有什么我应该注意的警告会阻止它按我预期的方式工作吗?以前有人尝试过这样的事情吗?
更新: 对于那些感兴趣的人,我们确实最终选择了这个计划。几个星期以来,我们还没有遇到任何问题。显然,由于微软不支持,因此这样做存在一定的风险——因此我不会向任何人推荐这个解决方案作为首选。但是,对于那些意识到风险并且像我们一样时间/资源不足的人来说,知道可以物理分割网络,并在清理/角色夺取后最终得到两个相同的工作域。将完整的 AD 迁移工作时间缩短到大约一小时后,我们对目前的决定感到满意。只有时间才能证明这是否是正确的选择。
答案1
完全不推荐按照您询问的方式执行此操作,尤其是如果两个域中的计算机有可能再次建立网络连接。此计划存在一些操作和安全风险。
话虽如此,但您可以按照您的计划进行,几乎与您描述的完全一样。假设 AD 运行正常且没有 DNS 重叠(如 TheCleaner 所述),它应该可以正常工作。
我不会推荐任何人做尽管如此 - 将 ADMT 放入站点 B 中的新域绝对是正确的方法。
此外,Windows 2003 太旧了,几乎不再受支持。在 B 中安装 Win2012 并正确执行此操作。