Divisão de um domínio

Navegue suas respostas
3

Eu tenho um domínio que abrange alguns sites. Nada extravagante, apenas um domínio. Os sites estão todos conectados via VPN e cada site tem um controlador de domínio do Windows 2003 R2.

Por uma variedade de razões, um desses sites remotos está deixando minha pequena "família" de domínio. Eu estarei desconectando a VPN em breve e soltando-os para serem autônomos. Eu estou pensando sobre a melhor abordagem para manter o site funcionando de forma independente após a VPN desapareceu. (Devo mencionar que terei acesso físico ao site recém desconectado depois que a VPN for descartada.)

Eu vejo algumas opções.

1) Não faça nada. Bem, eu mudaria sua senha de administrador de domínio após a queda da VPN, mas depois deixaria as coisas em paz. Será que agora o controlador de domínio "órfão" terá problemas? Certamente não terá todos os papéis FSMO ... mas isso pode ser corrigido?

2) Demote o DC atual. Reestoque-o em um novo domínio. Remova as máquinas clientes do domínio antigo e adicione-as novamente ao novo domínio. Existem algumas caixas do SQl Server sendo executadas como contas de serviço do domínio antigo que eu teria que consertar, mas de outra forma ...?

3) Aberto a outras ideias mais lógicas.

Como você abordaria isso? As minhas opções são viáveis? Eu acho que a opção 2 faz mais sentido, mas também o maior esforço. Eu estou limitado um pouco com o tempo que terei para configurá-los, então esta opção me deixa um pouco nervoso.

Figura eu voltaria para os especialistas antes de arregaçar as mangas. Não posso deixar de suspeitar que há uma maneira melhor.

    
por Chris_K 19.01.2010 / 22:11

4 respostas

3

A opção 2 vai deixar você com muito trabalho em termos de contas de serviço, perfis de usuários, permissões de compartilhamento de arquivos, modificações de GPO, etc.

Pessoalmente, sou a opção número 1 com alguns avisos \ advertências:

Certifique-se de que os controladores de domínio sejam do GC, verifique se o DNS está integrado ao AD, certifique-se de que a replicação está no dinheiro, pare de fazer alterações (crie ou modifique objetos), espere até que a replicação fique quieta, desconecte as redes no DC órfão, limpe os metadados para remover qualquer vestígio do outro DC (em ambos os domínios), e certifique-se de que as duas redes \ domínios nunca, nunca estão conectadas novamente.

Tenho certeza que os outros aqui terão outras opiniões e conselhos para você, então não se apresse em tomar uma decisão.

***** EDIT *****

Estou pensando que, em teoria, a opção 1 deve apresentar o mesmo cenário e as mesmas tarefas como se um controlador de domínio no domínio fosse removido "desagradável" do domínio. Contanto que as duas redes \ domínios nunca sejam conectadas novamente, não vejo problemas com essa opção.

    
por 19.01.2010 / 22:24
1

pensando em apenas fazer um novo domínio e separar e reingressar os clientes no site remoto (contanto que não haja mais de 100 deles!), tudo depende do que está usando sua implantação do AD no outro site. SQL, SharePoint, Exchange etc. ect. Deixe-nos saber.

    
por 19.01.2010 / 22:58
0

Pense bem sobre isso, pois você pode ter alguns problemas com o nível de floresta, como um esquema, para começar. Por mais doloroso que seja, pode ser a opção 2. Vou dar uma olhada nisso, já que não estou no seu lugar há muito tempo.

    
por 19.01.2010 / 22:54
0

Esta questão é muito semelhante a estes itens: link .

Estou pesquisando a possibilidade de fazer a mesma divisão de domínio. Para nós, é necessário um motivo de segurança / conformidade da rede. Temos um número de servidores Web (IIS 6) e SQL anexados a um domínio do AD 2003 (Site Único atualmente) e precisamos dividir o domínio em 2 com um meio para ser deixado como está (executar nos próximos 2-3 anos como nossa Rede Incompleta), enquanto a outra metade tem segurança mais rigorosa aplicada e mantida atualizada para estar em conformidade com os regulamentos de segurança para os quais estamos trabalhando (Compliant Network).

Estou ciente de que os domínios NUNCA PODEM SER reconectados após a divisão das funções FSMO do Domínio terem sido confiscadas para a rede separada.

Eu pretendo usar o conselho no tópico que eu anexei acima. Primeiro, estou executando um teste de laboratório com vários CDs e alguns servidores da web para provar que esse processo funciona. Acho que na minha situação funcionará melhor se criarmos um Site do Active Directory separado (provavelmente chamado 'rede compatível' ou semelhante!) E emitiremos novos endereços IP para os servidores a serem separados e associaremos esses endereços ao ' rede compatível 'e mover os servidores dentro de' Sites e Serviços do Active Directory 'para o novo site de' rede compatível '. Isso ajudará a limpeza do Active Directory posteriormente, pois (na rede compatível) poderemos remover todos os servidores que não estão na 'rede compatível' e na 'rede sem reclamações', poderemos remover todas as referências de servidor para servidores que foram movidos para a 'rede compatível'

Vou ficar de olho nos comentários dos especialistas e comentários sobre essas postagens - e dar feedback do que eu descobri em meu (s) teste (s) de laboratório.

    
por 27.01.2010 / 22:11

Tags

Restaurar backup no servidor sql ERROR 2002 (HY000): Não é possível conectar-se ao MySQL local