Насильственно домен Active Directory разделения 2003 года
Я в настоящее время пытаюсь найти самый эффективный способ разделить единственный домен на два, отличные, полностью функциональные домены.
У нас есть два сайта и несколько DCS. Сайты, Сайт A, и Сайт B, соединены посредством туннеля VPN. Сайт A содержит 3 DCS, включая DC, который содержит все роли FSMO. Сайт B просто содержит 1 единственный DC, а также некоторые клиентские рабочие станции. Exchange не установлен на этом домене, поскольку оба сайта используют облачный почтовый сервис. Из-за организационных изменений в бизнесе, оба сайта теперь будут абсолютно отдельными объектами - управляемый и управляемый различными сторонами. По сути, мы должны найти способ реализовать это изменение в AD. Очевидно, один способ сделать это должно было бы просто создать новый домен на Site B и переместить необходимые данные из Сайта на Сайт B использующий ADMT или некоторый сторонний инструмент. Однако я понимаю, что нам было бы нужно некоторое дополнительное серверное оборудование, чтобы сделать это, и миграция ADMT не похожа на простой процесс.
Мой текущий план - это: просто уничтожьте соединение VPN между Сайтом A и Сайтом B. Захватите ВСЕ роли FSMO на DC на Site B. Очистите любые проблемы остатка о контроллерах домена. Если все идет согласно плану, мы должны закончить с двумя идентичными, функциональными доменами, и оба сайта могут продолжать свои жизни. На каждом домене мы просто удалили бы любые трассировки другого DCS, как будто эти машины просто перестали работать.
Я знаю, что это является нетрадиционным, но действительно ли это - абсолютно ужасная идея? Есть ли какие-либо протесты здесь, что я должен знать, который препятствовал бы тому, чтобы это проложило себе путь, я ожидаю? Кто-либо попробовал что-нибудь как это прежде?
Обновление: Для заинтересованных, мы действительно на самом деле заканчивали тем, что шли с этим планом. Несколько недель в, у нас не было проблем до сих пор. Очевидно, существует некоторый риск для этого, учитывая тот факт, что он не поддерживается Microsoft - таким образом, я не рекомендовал бы это решение никому как первая опция. Однако для тех, которые знают о рисках и короткий вовремя/, ресурсы, как мы были, знают, что возможно физически разделить сеть и закончиться с двумя идентичными рабочими доменами после очистки / ролевая занятость. Уменьшив полную AD миграцию приблизительно до одного часа работы, мы довольны решением до сих пор. Только время покажет, действительно ли это было правильным выбором.
Совсем не рекомендуется делать это так, как вы спрашиваете, особенно если есть шанс, что машины из любого домена когда-либо снова будут подключаться друг к другу по сети. Этот план связан с некоторыми операционными рисками и угрозами безопасности.
Тем не менее, вы можете следовать своему плану, почти так же, как вы описали. Если предположить, что AD исправен и нет перекрытия DNS (как упоминает TheCleaner), он должен работать нормально.
Я бы никому не рекомендовал делать это таким образом - ADMT в новый домен на сайте B определенно правильный путь.
Кроме того, Windows 2003 чертовски старая и почти не поддерживается. Настройте новый сервер в B с Win2012 и сделайте это правильно.