我们有两个大小相似的办公室,每个办公室都有一台服务器。目前,办公室 #2 的用户直接通过 VPN 访问办公室 #1 以访问资源。
我想用两个防火墙/路由器之间的持久站点到站点 VPN 替换单个 VPN,并在两个服务器之间设置域复制。
这是我感到困惑的地方:两台服务器都是具有相同名称“company.local”的森林根域。我只找到了这个线程:Active Directory - 同名林之间的林信任?- 没有讨论在那种情况下该做什么。
我的目标是拥有一个单一林,该林包含两个站点,并通过站点到站点 VPN 进行连接。理想情况下,我会将域名从“company.local”更改为“corp.company.com”,但我认为这会更加困难。
以下是两台服务器的细分:
Office #1 运行 Windows Server 2016 Standard,其角色如下:
- ADDS(林根域:company.local)/ ADCS / DNS / DHCP / 文件和存储(我们所有的网络文件夹)/ IIS / NPAS / 打印服务 / 远程访问 / 远程桌面服务
办公室#2 运行 Windows Server 2016 Essentials,其角色如下:
- ADDS(林根域:company.local)/ ADCS / DNS / DHCP / 文件和存储(仅系统文件夹)/ IIS / IPAM / 远程访问
两个 Active Directory 都设置了单独的用户/组 - 用户在两个 Active Directory 上都有相同的域\登录名\密码。
我的计划目前是这样的:
- 使站点到站点的 VPN 正常工作,此时我不确定这会在两个 DC 之间引起什么问题(如果有的话)。
- 在路由器上打开 DHCP
- 从 Office #2 服务器卸载 ADDS/DNS
- 将办公室 #2 服务器加入办公室 #1 的域
- 在 Office #2 服务器上安装 ADDS/DNS,并将其作为 DC 添加到第二个站点的域中
- 关闭路由器上的 DHCP,在办公室 #2 上重新启用
- 将两个 DC 指向彼此进行复制
我的问题:
- 这个计划可行吗?
- 我是否遗漏了重要的步骤?
- 我位于站点 #2 的用户资料会出现问题吗?
- 我是否应该尝试将域名从 company.local 更改为 corp.company.com?
感谢您的阅读。任何关于此问题的想法或指导都将不胜感激!
答案1
您正确地假设两个域中的一个需要离开;您不能在两个同名的域之间建立信任。
删除第二个域并将其服务器重新用作主域的副本域控制器确实是一个解决方案;但这需要将分支机构的所有计算机重新加入到您的域中,因为即使两个域具有相同的名称,它们也绝对不是同一个东西;用户帐户也是如此,因此用户配置文件也是如此。
如果您想避免重新创建所有用户配置文件,您可以执行域迁移;但同样,在两个同名的域之间这是不可能的。
重命名两个域中的一个可能是一个可行的选择,但要注意:这通常与域迁移几乎处于同一级别的麻烦。
如果分支机构中的用户和计算机数量很少,请按计划进行操作:删除他们的域,将他们的服务器设置为您的域的域控制器,然后将所有计算机重新加入该域。
如果您有很多用户,或者您确实需要保留他们的用户配置文件,那么您应该首先重命名其中一个域,然后执行域迁移。
如果你选择走这条路,我建议重命名他们的域,该域将在迁移后被删除;重命名的域更容易出现问题,因此最好对要删除的域而不是要保留的域执行此操作。