我不是networkingpipe理员, 在我的公司里,我在IT方面有完全不同的angular色。 然而,我对服务器pipe理方面越来越感兴趣。 我了解AD的基本知识,领域,森林和树木,基本的身份证pipe理等,但是没有任何实际经验或AD的特别先进的知识。 目前我的公司有两个独立的AD系统分布在不同的地点,这是公司历史的遗产; 但它想要合并成一个。 这似乎是一个巨大而昂贵的事业。 然而,在这样的事情上,我作为一个外行人来到的问题是,为什么呢? 当然,并不是那么简单,只是将所有数据从一个复制到另一个。 不过为什么这样呢? 究竟是什么使两个独立的广告系统如此庞大的任务? 任何见解都会有所帮助。
合并多个活动目录(AD)部署需要计划和testing,但我不知道这是特别“庞大”或“乏味”。 该产品的devise并不是为了在不同的AD部署之间进行简单的“剪切/粘贴”,但有一些工具可以使这种迁移非常简单(例如,Active Directory迁移工具)。 AD中的安全主体在域中的成员计算机上的集成使得可以具有相当复杂的configuration,并具有大量需要在任何显着大小的迁移中探索的边缘情况。
抛开技术问题,我认为对AD环境进行彻底改变的沉默寡言来自于围绕产品成长的神话与对可能依赖于AD的configuration的实际担忧,但没有充分的文件logging。 我已经为合理规模的IT运营(财富1000强公司)制定了许多合同,因为担心“破产”而导致任何types的大规模变更(对任何系统,而不仅仅是AD)都几乎是“瘫痪” “现有的function。 对我来说,这是一个不好的变化控制措施和对产品的无知。
TL; DR- AD中的configuration信息“驱动”了许多function,特别是在logging和控制不好的环境中,许多人因为害怕“破坏东西”而不愿意修改AD。
合并(或其他转移)的问题之一是AD驱动但不受AD控制的辅助项目。 这些需要一个全面的清单,往往需要个人行动计划。 考虑两个可能执行跨服务器function的SQL服务器A和B(例如也涉及文件共享的日志传送),并且还使用集成authentication来服务多个网站。 每个站点都有不同的用户(比方说),他们在不同的时间迁移。 用户对每个用户的访问权限必须在用户移动时调整,并且在服务器迁移时必须(再次)调整。 当每个服务器迁移时,如果A和B不在一起,则跨服务器function中断(或者必须改变)。
(非常)小公司的简单解决scheme是把所有东西都搬到一起。 对于分布式组织来说,使用旅行电脑,多个站点等的实际答案是可能需要几个月的时间,并且随着每次configuration更改(例如服务器迁移),必须适应一组新的问题。
通常不是微软产品,他们往往是应用程序。 我已经做了三次这样的事情,并且每次用硬编码的域假设刷新(作为例子)应用程序。 即使没有硬编码到域X,他们也可能被硬编码为一次只能在一个域中工作,所以在迁移过程中会出现问题。 然后,你会发现没有人再维护一打这样的应用程序,而且有几个人没有源代码。 但是,即使是微软应用程序,也需要单独的行动计划(Exchange,例如,因版本而异,而且还包括SharePoint,SQL Server)。
而且不要忘记大型组织对SOX变更pipe理的要求。
简单的想法实验 – 如果你需要移动,你有多大可能拿出你需要发送地址变更的人,而不是错过任何? 除了整个企业之外,这几乎正是AD合并所需要的。 要成功执行迁移/合并,需要有一个全面的应用程序清单,并为每个应用程序确定如何使用AD,以及如何减轻迁移/合并。
在一个没有火箭科学的大型企业中,确切地说,是一个不可思议的细节被发现和处理。 而且总会有一些惊喜 – 例如,在某个stream氓服务器上,某人正在使用的应用程序从隐藏状态转移到“如果必须停止使用该FoxPro程序,整个公司将停止”。
有很多因素会使得难度更大,但是我会尽量把重点放在最重要的一点上,并缩短它。
就像你已经指出的那样,我们之所以有两个不同的森林/领域,是因为“历史”问题,无论是企业并购,还是不同的业务部门,都需要对环境进行不同的控制。 结果? 森林/域代表不同的业务需求,安全义务和程序。 合并两个森林/领域的大部分时间花费在如何就各方应该如何达成各方之间的协议上,达成一个通用的标准。
在技术层面上,您需要考虑如何保留现有的身份validation和授权基础架构。 您如何确保来自所有环境的用户仍然可以访问所有文件/文件夹/作品,而不pipe他们所在的目录林/域是否受到最小干扰。