Сохранение конфигурации AD (пользователи / группы / OUs) После удаления роли «Active Directory Domain Services»
У меня в некотором роде уникальная проблема, я пытаюсь перенести старый устаревший сервер с локальной версии доменной службы Active Directory в централизованно управляемый AWS Directory. Сервис . В рамках этой миграции я буду реплицировать учетные записи пользователей с этого же сервера на эту новую службу (с помощью серии сценариев PowerShell). Хотя этот процесс не передает пароли пользователей , большинство структур будет перенесено автоматически (Пользователи / Группы / Подразделения / и т.д.) через сценарии.
Я бы хотел чтобы интегрировать эту миграцию в мою структуру DevOps (это включает в себя необходимость создания сценария автоматического отката ). Однако в рамках процесса миграции с помощью сценария PowerShell мне потребуется удалить локально установленную версию AD и присоединить сервер к новой централизованно управляемой службе. В рамках этого процесса, я считаю, что я потеряю любую информацию, хранящуюся в настоящее время в AD (не позволяющую мне откатиться назад).
Есть ли способ сохранить эту информацию (включая пароли), не создавая образа всего сервера, или этот сложный процесс с участием других серверов и ADMT и т. Д. , так что если я захочу отменить миграцию на новую службу, я мог просто запустить какой-то сценарий и восстановить сервер до предварительно перенесенной версии , при этом локальный сервер AD все еще установлен, а мои учетные данные все еще сохранены.
Я считаю, что это должно быть возможно, мне действительно хотелось бы каким-то образом отключить (но не удалять) службу AD на локальном сервере, а затем присоединиться его в мою централизованную службу домена, а затем, если мне нужно откатиться, повторно включите мою службу AD и снова подключитесь к ней локально.
Поиск вокруг, похоже, не дает никаких подсказок по "отключению" "доменных служб Active Directory" Роль, однако, безусловно, есть много дискуссий вокруг процесс удаления . Может быть, одна из этих опций где-то сохранит конфигурацию AD (так что если я переустановлю ее, она все еще будет там)?
Вы не можете присоединить контроллер домена к другому домену Active Directory.
Вся смысл существования контроллера домена заключается в управлении доменом, просто невозможно удалить его из домена, которым он управляет, и/или присоединить его к другому домену. Это настолько критично для контроллера домена, что если службы AD не запустятся должным образом, сервер просто выдаст синий экран.
Чтобы иметь возможность переместить сервер в другой домен, вам нужно понизить его, и при этом вы уничтожите базу данных Active Directory (которую нельзя просто скопировать куда-то еще, это единственный способ сделать резервную копию контроллера домена означает выполнить резервное копирование состояния системы).
Если у вас было более одного контроллера домена (что и должно быть), вы можете понизить и переместить один из них, а после проверки того, что все работает, понизить и переместить другой (уничтожив при этом исходный домен, потому что домен существует только до тех пор, пока им управляет хотя бы один контроллер домена).
Но если у вас есть только один контроллер домена, как только вы понизите его статус, домен удалится навсегда.
Тем не менее, если у вас есть один контроллер домена, вас не беспокоят проблемы репликации; таким образом, вы можете безопасно создать образ и восстановить его, если что-то пойдет не так.