Forçosamente dividir o domínio do Active Directory 2003

4

No momento, estou tentando encontrar a maneira mais eficiente de dividir um único domínio em dois domínios distintos e totalmente funcionais.

Temos dois sites e vários DCs. Os sites, Site A e Site B, são conectados por meio de um túnel VPN. Site A contém 3 CDs, incluindo o controlador de domínio que contém todas as funções FSMO. O site B contém apenas um único DC, bem como algumas estações de trabalho clientes. O Exchange não está instalado neste domínio, pois ambos os sites usam um serviço de email baseado em nuvem. Devido a mudanças organizacionais dentro do negócio, ambos os sites serão entidades completamente separadas - controladas e gerenciadas por diferentes partes. Como tal, precisamos encontrar uma maneira de implementar essa alteração no AD. Obviamente, uma maneira de fazer isso seria simplesmente criar um novo domínio no Site B e migrar os dados necessários do Site A para o Site B usando o ADMT ou alguma ferramenta de terceiros. No entanto, eu entendo que precisaríamos de algum hardware de servidor adicional para fazer isso, e uma migração do ADMT não parece um processo simples.

Meu plano atual é este: simplesmente eliminar a conexão VPN entre o Site A e o Site B. Aproveitar TODAS as funções FSMO no DC no Site B. Limpar os problemas remanescentes nos controladores de domínio. Se tudo correr conforme o planejado, devemos ter dois domínios funcionais idênticos, e ambos os sites podem continuar com suas vidas. Em cada domínio, nós apenas removeríamos quaisquer vestígios dos outros CDs, como se essas máquinas tivessem simplesmente falhado.

Eu sei que não é convencional, mas esta é uma ideia completamente terrível? Há alguma ressalva aqui que eu deveria estar ciente de que impediria isso de funcionar da maneira que eu esperava? Alguém já tentou algo assim antes?

Atualização: Para os interessados, acabamos de fato indo com esse plano. Várias semanas depois, não tivemos problemas até agora. Obviamente, há algum risco para isso, dado o fato de que ele não é suportado pela Microsoft - então eu não recomendaria essa solução para ninguém como uma primeira opção. No entanto, para aqueles que estão cientes dos riscos e da escassez de tempo / recursos, sabemos que é possível dividir fisicamente a rede e terminar com dois domínios de trabalho idênticos após a limpeza / captura de funções. Tendo reduzido uma migração completa do AD para cerca de uma hora de trabalho, estamos satisfeitos com a decisão até agora. Só o tempo dirá se esta foi ou não a escolha certa.

    
por netnovice 24.10.2014 / 21:32

1 resposta

4

Não é recomendado para todos fazerem do jeito sobre o qual você está perguntando, especialmente se houver uma chance de que as máquinas de qualquer um dos domínios tenham conectividade de rede entre si novamente. Há algum risco operacional e de segurança para este plano.

Dito isto, é possível seguir o seu plano, exatamente como você descreveu. Assumindo que o AD é saudável e não há sobreposição de DNS (como TheCleaner menciona), ele deve funcionar bem.

Eu não recomendaria a ninguém fazer dessa forma - ADMT em um novo domínio no site B é definitivamente o caminho certo a seguir.

Além disso, o Windows 2003 é muito antigo e está quase sem suporte. Configure um novo servidor em B com o Win2012 e faça isso corretamente.

    
por 24.10.2014 / 21:40