我目前正试图find最有效的方法将单个域分成两个截然不同的function齐全的域。
我们有两个地点,还有几个区议会。 站点A,站点B通过VPN隧道连接。 站点A包含3个DC,包括拥有所有FSMOangular色的DC。 网站B只包含一个单一的DC,以及一些客户端工作站。 Exchange未安装在此域中,因为这两个站点都使用基于云的电子邮件服务。 由于企业内部的组织变化,现在这两个网站将成为完全独立的实体 – 由不同方控制和pipe理。 因此,我们需要find一种方法来在AD中实现这种变化。 显然,做到这一点的一种方法是简单地在站点B创build一个新域,然后使用ADMT或某些第三方工具将所需的数据从站点A迁移到站点B. 但是,据我所知,我们需要一些额外的服务器硬件才能做到这一点,而ADMT迁移看起来并不像一个简单的过程。
我目前的计划是这样的:只需要终止站点A和站点B之间的VPN连接。将所有FSMOangular色都占用到站点B的DC上。清除域控制器上的任何剩余问题。 如果一切按计划进行,我们最终应该有两个完全相同的function领域,这两个网站都可以继续他们的生活。 在每个域中,我们只是删除其他DC的任何痕迹,就好像这些机器简直失败了一样。
我知道这是非常规的,但这是一个完全可怕的想法? 有没有什么警告,我应该知道哪些可以防止这种方式工作我期望的方式? 有没有人尝试过这样的事情?
更新:对于那些感兴趣的,我们实际上最终与这个计划。 几个星期以来,我们迄今没有任何问题。 显然有这样的风险,因为它没有得到微软的支持 – 所以我不会推荐这个解决scheme给任何人作为第一select。 但是,对于那些意识到风险和时间/资源短缺的人来说,知道在清理/angular色检测之后,可能在物理上拆分networking,并最终得到两个完全相同的工作域。 将AD完全迁移到大约一小时的工作后,我们对迄今为止的决定感到满意。 只有时间才能说明这是否是正确的select。
根本不build议你这么做,特别是如果有可能来自任何一个域的机器再次互相连接networking。 这个计划有一些操作和安全方面的风险。
也就是说,可以按照你的计划去做,就像你所描述的一样。 假设AD是健康的并且没有DNS重叠(如TheCleaner所提到的),它应该可以正常工作。
我不会推荐给任何人这样做 – ADMT到B站点的新域名绝对是正确的路要走。
此外,Windows 2003是该死的老,几乎不受支持。 用Win2012在B中build立一个新的服务器,并且正确地做。