我没有接受过正式的微软培训,所以请原谅我无法胜任讨论我们想要做什么以及如何去做。
我们目前有一个 MPLS 样式的网络,托管不同的站点,每个站点都有自己的 DC、OU 和文件/文件夹/打印共享。我们还在 MPLS 防火墙后面有一个位于中心的 PDC,可以从所有相关站点访问。我们需要做的是从域中移除一个现场 DC,保持以前的 AD 用户帐户、密码、文件/文件夹权限和打印共享 (GP) 完好无损,并更改域名,同时使其完全独立(将站点与 MPLS 连接分离)在其自己的新域上并将其提升为 PDC。我查看了 ADMT 工具,它似乎将所有 SiD 迁移到新的目标域,但据我所知,这样做需要使用一个新的盒子作为 PDC,这也意味着文件/文件夹权限不会转移到新域。如果可能的话,我想从站点 DC 执行此操作,而不使用任何其他盒子作为临时 DC 或类似的东西。
我想知道是否有人有做过这类任务的经验,以及是否有人对此有任何建议?
答案1
这个问题涉及的细节比一个简单的问题能够回答的要多得多,所以我将添加免责声明,即您确实需要聘请一位 AD 顾问来指导您完成这一过程。
由于 Active Directory 的存在,多年来一直没有“主域控制器”。一切都由 FSMO 角色处理,这些角色是域控制器提供的服务。其中一个角色是 PDC 模拟器,它允许旧系统继续与域通信。
无论如何,基本要点是,您要将所有 FSMO 角色移至您办公室中的那个角色,然后将另一个域控制器物理移至卫星站点。一旦它到达那里,并与其他域控制器断开连接,您就可以夺取 FSMO 角色,使其成为自己的小王国。
您需要解决的一个问题是用户在两个站点之间移动。计算机将非常不愿意与两个替代现实域交互。一种解决方案可能是在新站点上一切正常后迁移到新域。