Вопросы Теги

Стратегия консолидации Active Directory после слияния/приобретения

Вы просто не были бы более обеспеченным использованием чего-то как черный список ДЗЭН Spamhaus (http://www.spamhaus.org/zen/) вместо этого? Это свободно, если почтовый трафик Вашей организации является меньше чем 100 000 соединений SMTP и 300,000 запросов DNSBL в день.

Предоставленный, их требования использования (http://www.spamhaus.org/organization/dnsblusage.html) могут потребовать подписки к каналу Данных, если Вы делаете намного больше ежедневного почтового трафика, но на том уровне использования (считайте мелкий шрифт внизу страницы), Вы, вероятно, не хотите административной нагрузки управления Вашим собственным черным списком так или иначе.

7
задан 9 October 2009 в 13:54
5 ответов

Я запланировал бы на disusing один из лесов Active Directory и повреждения его. Поддерживая многодоменное, уже не говоря о мультилесе, Active Directory является просто болью.

Если у Вас нет большого количества пользователей / компьютеры или сложные полномочия файловой системы в лесу, являющемся вышедшим из употребления, я даже не обеспокоился бы инструментом как Инструмент Миграции Active Directory.

Инструменты миграции хорошо для получения чего-то сделанного быстро, но если у Вас есть время для установки доверительных отношений между лесами, и перемещать сознательно Вас может дать все полномочия файла, приложения и любые другие сервисы, которые полагаются на Active Directory истинный обзор от начала до конца и ассимилируют приобретенную компанию в Ваш Active Directory управляемым и скоординированным способом, вместо того, чтобы принести по большому количеству багажа от их AD, это окажется жерновом "прежней версии" о Вашей шее в течение последующих лет.

Я установил бы доверительные отношения между лесами, таким образом, что пользователи от одного домена могут войти в систему к компьютерам в другом. Затем доменное членство клиентских компьютеров становится несколько не важным. Я развернул бы много контроллеров домена для целевого домена в офис приобретенной компании. Вы могли даже развернуть их как VMs на существующих контроллерах домена, Windows, лицензирующий непротивостояние.

Я планировал бы то, для чего используется Групповая политика в лесу, являющемся вышедшим из употребления, и сайты этапа и OUs в целевом лесу для корпуса компьютеров, поскольку Вы перемещаете их. Вы, вероятно, найдете, что они действительно не используют Групповую политику для большой части ничего (кажется, уныло, все еще имеет место спустя 9 лет после Active Directory, и Групповая политика прибыла на сцену), но определенно уделите ему некоторое внимание.

Я развернул бы сценарий запуска с помощью инструмента "NETDOM" (см. http://technet.microsoft.com/en-us/library/cc781853 (WS.10) .aspx) разъединить клиентские компьютеры от леса, являющегося вышедшим из употребления и присоединиться к ним до целевого леса. Пользовательские входы в систему продолжат работать, как они всегда имеют для пользователей леса, являющегося вышедшим из употребления.

Переместить ли пользователей, и группы от леса, являющегося вышедшим из употребления, зависели бы от числа пользователей и групп и трудности просто воссоздания пользователей, групп и файловой системы ACLs в целевом лесу.

Вы не упоминали Exchange. Если Exchange находится в игре, у Вас есть перекрестный лес / перекрестная организационная миграция почтового ящика для волнения о. Я воздержусь от комментария к той проблеме, если Вы не обновите и говорите необходимость в информации об этом.

5
ответ дан 2 December 2019 в 23:30
  • 1
    Да, Exchange является проблемой для нас также. Прокомментируйте, и спасибо до сих пор. –  user11189 19 October 2009 в 09:55
  • 2
    О каком количестве пользователей / почтовые ящики - Вы говорящий в исходном лесу? –  Evan Anderson 19 October 2009 в 22:39

Вы смотрите на два различных способа сделать это: 1. Доменное (простое) доверие: создает ссылку между Вашими двумя доменами, так, чтобы можно было предоставить пользователям в домене доступ к совместно используемым ресурсам в домене B и наоборот. Можно также создать одностороннее доверие, которое только работает в одном направлении 2. Доменная миграция: Переместите все объекты (пользователи, компьютеры и так далее) от одного домена до другого. ADMT (Инструмент Миграции Active Directory) является панелью инструментов, которую Вы обычно используете здесь. Если оба из доменов установили Exchange Server, Вы также смотрите на миграцию почтового ящика от одного Exchange Org к другому (существуют непосредственные отношения между Exchange и Лесами Active Directory, таким образом, Вы не можете просто переместить обмен между AD лесами).

Как Sam указывает, это - то, где Вы захотите протестировать, протестируете и протестировать еще немного! Сама миграция не состоит в том, что сложный, но любой провал могло potentionally иметь катастрофические последствия.

4
ответ дан 2 December 2019 в 23:30

Evan Anderson собирается дать Вам действительно хороший ответ на этом, но пока он не обнаруживается, я могу дать Вам некоторый материал исследованию.

В основном у Вас есть Active Directory "дерево". Это - Ваш домен. Ваша новая компания имеет один, также. Их "дерево" является их доменом. То, что Вы хотите сделать, помещается оба "дерева" в том же "лесу". Я не являюсь милым, это фактические условия.

Я только знаю достаточно технически, чтобы знать, что я не знаю ответ. Google обеспечивает некоторые красивые результаты, но определенно говорите с кем-то, кто знает, прежде чем Вы сделаете это. Есть ли кто-либо в другой компании с большим опытом Windows?

Кроме того, я рекомендовал бы забрать AD книгу для версии Windows Server, который Вы используете. Они поучительны, и как парень Linux самостоятельно, видя, что их мышление немного тревожно во время, но оно обычно работает. Это просто отличается.

Удачи!

1
ответ дан 2 December 2019 в 23:30
  • 1
    I' d также предлагают настроить достойную тестовую среду для испытания этих вещей, you' ll учатся лучше всего путем выполнения, но его очень легкое, чтобы сделать и затем повредить AD! –  Sam Cogan 9 October 2009 в 15:00
  • 2
    +1 Sam, я собирался предложить взломать VMWare Workstation и настроить подобную тестовую среду с " VM Team". можно даже моделировать канал WAN... Снимок/откат действительно очень прост в той среде. –  tomfanning 9 October 2009 в 15:16
  • 3
    Допустите ошибку... Вы can' t чернослив и деревья пересадки ткани между AD лесами. –  James Risto 9 October 2009 в 16:26
  • 4
    Я отдыхал, когда этот был отправлен. Упустивший возможность на этом немного. –  Evan Anderson 17 October 2009 в 01:11
  • 5
    Здорово, you' ре, не позволенное отдыхать!! Who' s собирающийся брать слабое здесь? –  Matt Simmons 17 October 2009 в 04:59

Обычно Вы заканчиваете тем, что использовали что-то как ADMT или Quest для миграции всех соответствующих объектов (пользователи, группы, компьютеры, серверы, и т.д.) из домена (доменов), принадлежавшего одной компании и в домен других.

Это требует некоторого значительного планирования, и необходимо будет посмотреть на серверы на приложении основанием приложения. Некоторые вещи довольно легко переместить, например, файловые серверы и серверы печати, в то время как другие, например, SQL/SharePoint намного более вовлечены.

ADMT и подобный может сделать работу касания всех машин для Вас, а также копирования принципалов.

1
ответ дан 2 December 2019 в 23:30

Сохраните co-existance максимально коротким. Выполнение обоих доменов приведет к только проблеме. Если один AD ясно лучше (где лучше =, лучшая административная модель, контроль, и т.д.), чем другой, (или DCS конец жизни в одной), перемещают пользователей в это. Иначе установите новый домен и мигрируйте на это за предопределенный промежуток времени.

0
ответ дан 2 December 2019 в 23:30

Теги

Похожие вопросы