我有一个跨越几个网站的域名。 没有什么奇特的,只有一个领域。 这些站点都通过VPN连接,每个站点都有一个Windows 2003 R2域控制器。
由于各种各样的原因,其中一个远程站点正在离开我的小领域“家庭”。 我将很快断开VPN,并将其变成自治的。 我正在思考最好的方法来保持该网站在VPN不见了以后独立运行。 (我应该提到,在VPN被丢弃之后,我将物理访问新断开的站点。)
我看到几个选项。
1)什么也不做。 那么,我会改变他们的域名pipe理员密码后VPN下降,但只是让事情孤单。 那现在“孤立的”域控制器会遇到问题吗? 它当然不会有所有FSMO的angular色…但是可以修复吗?
2)降级当前DC。 重新将它预示到一个新的领域。 从旧域中删除他们的客户机,并重新添加到新的域。 有一些SQl服务器框作为旧域的服务帐户运行,我不得不修复,否则…?
3)打开其他更合乎逻辑的想法。
你将如何处理这个? 我的select是否可行? 我认为选项2是最有意义的,但也是最大的努力。 我受限于多less时间,我必须得到这些configuration,所以这个选项确实让我有点紧张。
在卷起袖子之前,我会转向专家。 不禁怀疑还有更好的办法。
选项2将在服务帐户,用户configuration文件,文件共享权限,GPO修改等方面为您提供大量的工作。
就我个人而言,我有一些警告选项编号1 \警告:
确保两个DC都是GC,确保DNS是AD集成的,确保复制在金钱上,停止进行任何进一步的更改(创build或修改对象),等到复制停顿,断开networking,在FSMO上孤立FSMOangular色DC,清理metesata以删除任何其他DC(在两个域中)的任何跟踪,并确保两个networking\域永远不会再次连接在一起。
我相信这里的其他人会对你有其他的意见和build议,所以不要急于做出决定。
*****编辑*****
我在理论上认为,选项1应该提供相同的场景和相同的任务,就好像区域中的DC从域中被“非正常地”移除一样。 只要两个networking\域再也没有连接,我没有看到这个选项的任何问题。
在考虑创build一个新的主导地位,并且在远程站点上将客户端分离并重新join(只要有100多个客户端!),这一切都取决于在其他站点使用AD部署的内容。 SQL,SharePoint,Exchange等。 让我们知道
想一想这件事,你会发现你可能有一些像森林模式这样的森林级别的问题。 尽可能痛苦,可能是选项2.我会看看这个,因为我已经很久没有穿鞋了。
这个问题是非常相似的这个项目: http : //www.petri.co.il/forums/showthread.php ?p= 72644 。
我正在研究做同样的域名拆分的可能性。 对于我们来说,networking安全/遵从性原因是必要的。 我们有一些Web(IIS 6)和SQL服务器连接到一个2003 AD域(目前是单站点),并且需要将站点分成两半,保留原样(在接下来的2-3多年作为我们的不合规networking),而另一半则采用更严格的安全措施并不断更新,以符合我们正在努力实施的安全法规(合规networking)。
我清楚地知道,在拆分和域FSMOangular色被占领到单独的networking之后,域永远不会被重新连接。
我打算在上面提到的线程中使用这个build议,我首先运行一个用多个DC和一些Web服务器进行的实验室testing,以certificate这个过程是有效的。 我认为在我的情况下,如果我们创build一个单独的活动目录站点(可能命名为“兼容networking”或类似的!),我们将发布新的IP地址到服务器被拆分,然后将这些地址与“兼容的networking“,并将”Active Directory站点和服务“中的服务器移动到新的”兼容networking“站点。 之后,这将帮助Active Directory清理(在兼容networking中),我们将能够删除不在“兼容networking”和“非投诉networking”中的所有服务器,我们将能够删除所有的服务器引用已经移动到“兼容networking”的服务器
我会密切关注专家反馈和评论这些贴子 – 并反馈我从我的实验室testing中发现的内容。