Как исправить Branch Office - Root Forest Domain с тем же именем, что и у HQ
У нас есть два офиса одинакового размера, с одним сервером в каждом. В настоящее время пользователи в офисе №2 вручную подключаются к VPN напрямую в офис №1 для доступа к ресурсам.
Я хочу заменить отдельные VPN на постоянную сеть VPN между двумя брандмауэрами / маршрутизаторами и настроить репликацию домена между два сервера.
Вот где я в недоумении: оба сервера являются корневыми доменами леса с тем же именем «company.local». Я нашел только эту ветку: Active Directory - доверительные отношения между лесами с тем же именем? -в котором нет разговоров о том, что делать в этой ситуации.
Моя цель - иметь один лес с одним доменом с двумя сайтами, подключенными через межсайтовый VPN. В идеале я бы также изменил доменное имя на "corp.company.com" с "company.local", но я думаю, что это будет еще сложнее.
Вот разбивка двух серверов:
Офис №1 под управлением Windows Server 2016 Standard с ролями:
- ADDS (корневой домен леса: company.local) / ADCS / DNS / DHCP / File & Storage (все наши сетевые папки) / IIS / NPAS / Print Services / Remote Access / Remote Службы рабочего стола
Офис №2 под управлением Windows Server 2016 Essentials с ролями:
- ADDS (корневой домен леса: company.local) / ADCS / DNS / DHCP / File & Storage (только системные папки) / IIS / IPAM / Remote Доступ
В обоих активных каталогах настроены отдельные пользователи / группы - пользователи имеют одинаковый домен \ логин \ пароль на обоих.
Мой план в настоящее время таков:
- Заставить работать VPN-соединение между сайтами, по адресу В этот момент я не уверен, какие проблемы могут возникнуть между двумя контроллерами домена, если таковые имеются.
- Включите DHCP на маршрутизаторе
- Удалите ADDS / DNS с сервера Office # 2
- Присоединиться к Office Сервер №2 в домене Office №1
- Установите ADDS / DNS на сервере Office №2, добавив в качестве контроллера домена в домене на втором сайте
- Отключите DHCP на маршрутизаторе, повторно включите в Office №2
- Укажите два контроллера домена для репликации друг от друга.
Мои вопросы:
- Возможен ли этот план?
- Не пропущены ли важные шаги?
- Будут ли проблемы с моими профилями пользователей на сайте №2?
- Стоит ли мне даже пытаться изменить домен с company.local на corp.company.com?
Спасибо за чтение. Будем очень признательны за любые мысли или указания по этому поводу!
Вы правы, предполагая, что один из два домена должны исчезнуть; вы не можете создать доверительные отношения между двумя доменами с одинаковым именем.
Удаление второго домена и повторное использование его сервера в качестве контроллера домена реплики для вашего основного домена действительно является решением; но это потребует повторного присоединения всех компьютеров в филиале к вашему домену, потому что даже если оба домена имеют одинаковое имя, это определенно не одно и то же; то же самое касается учетных записей пользователей и, следовательно, профилей пользователей.
Если вы хотите избежать повторного создания всех профилей пользователей, вы можете выполнить миграцию домена; но опять же, это невозможно между двумя доменами с одинаковыми именами.
Переименование одного из двух доменов может быть жизнеспособным выбором, но будьте осторожны: это обычно проблема почти на том же уровне, что и миграция домена.
] Если у вас небольшое количество пользователей и компьютеров в филиале, просто сделайте то, что вы запланировали: удалите их домен, настройте их сервер в качестве контроллера домена для своего домена и повторно присоедините к нему все компьютеры.
Если у вас много пользователей или вам абсолютно необходимо сохранить их профили пользователей, вам следует сначала переименовать один из доменов, а затем выполнить миграцию домена.
Если вы решите пойти по этому пути, я предлагаю переименовать ] их домен , который будет удален после миграции; переименованный домен более подвержен проблемам, поэтому лучше сделать это с доменом, который вы собираетесь удалить, чем с тем, который вы собираетесь сохранить.