我有一个独特的挑战,我正在尝试从本地安装的版本迁移旧的遗留服务器Active Directory 域服务集中管理AWS 目录服务。作为迁移的一部分,我将把用户帐户从同一台服务器复制到这项新服务(通过一系列 powershell 脚本)。虽然这个过程不会泄露用户密码,大多数结构将通过脚本自动引入(用户/组/OU/等...)。
我想将这次迁移集成到我的 DevOps 框架中(这包括需要创建一个自动回滚脚本)。但是作为通过 powershell 脚本进行迁移过程的一部分,我需要删除本地安装的 AD 版本并将服务器加入新的集中管理服务。作为该过程的一部分,我相信我将丢失当前存储在 AD 中的所有信息(阻止我回滚)。
有没有办法保存这些信息(包括密码),而无需对整个服务器进行映像处理,或者这个涉及其他服务器和 ADMT 等的复杂过程。,这样如果我想撤消向新服务的迁移,我只需运行某种脚本并将服务器恢复到迁移前的版本,同时仍安装本地 AD 服务器并且仍保留我的凭据。
我觉得这应该是可能的,我真正想要的是以某种方式禁用(但不卸载)本地服务器上的 AD 服务,然后将其加入到我的集中域服务,然后如果我需要回滚,则重新启用我的 AD 服务并在本地重新加入它。
四处搜索似乎没有找到关于“禁用”“Active Directory 域服务”角色的任何线索,但是肯定有很多关于卸载过程。也许其中一个选项会将 AD 的配置保存在某处(这样如果我重新安装它,它仍然会在那里)?
答案1
您不能将域控制器加入到不同的 Active Directory 域。
整体存在的理由DC 正在管理域,因此根本无法将其从其管理的域中移除和/或将其加入到其他域中。这对于 DC 来说至关重要,因为如果 AD 服务无法正常启动,服务器将直接出现蓝屏。
为了能够将服务器移动到不同的域,您需要将其降级,这样做会破坏 Active Directory 数据库(这不是您可以简单地复制到其他地方的东西,备份 DC 的唯一方法是执行系统状态备份)。
如果您有多个 DC(您应该有),那么您可以降级并移动其中一个,然后在测试一切正常后,降级并移动另一个(在此过程中破坏原始域,因为只要至少有一个 DC 管理它,域就会存在)。
但如果你只有一个 DC,只要你将其降级,该域就会消失了,永远。
也就是说,如果您有一个 DC,那么您就不必担心复制问题;因此,如果出现任何问题,您可以安全地对其进行映像处理并恢复映像。