单域活动目录拆分

紧随微软步伐建立活动目录的大型公司大多都采用多域林的构架，每个域都有自己的管理员。经过一些年的运维，都发现了成本高，管理不灵活。于是又开始删除不必要的域，把管理对象合并到有限的几个域。本人所管理网络在全球各个站点分布着几十个域，是一个枝繁叶茂的典型的树结构，经过四五年的迁移删除，仅保留了两个域，其中一个还是空根域，实际管理只有一个子域，结构可以用一根光秃秃的树干来形容。

所以在构架上，工作基本就是用ADMT迁移用户，计算机和组，然后删除剩下的空域，大都是合并。唯一的一次分离是为了一个子公司上市，新建了林，和现有林建立信任，迁出该子公司的所有活动目录对象。

最近接到一个大洋洲小公司的咨询：网络为一个几百用户单域网络，澳大利亚站点独立，分离后只剩新西兰和中国两个站点。于是照方抓药：建议新建了两个林，和现有林建立信任，迁出各自活动目录对象，迁移完成后删除原有域。都没有仔细研究药方就得到强烈的反对：中，新部分只有两名IT人员，没有能力，也没有时间来采用新建了林的方案。

于是给出了第二个方案：新建两个子域：澳大利亚用一个，中，新共用一个，迁移完成后采用的空跟构架，最后再分离根。同样地，又得到了反对意见：一个空跟域还要占用两台服务器，公司财务紧张，客户欠货款太多。

最后只能采用我最不愿推荐，最不专业的方案：保留现有的域，供两家独立的公司使用，只是切断新西兰金额澳大利亚之间的链路，具体做法如下：

1. 考虑到中国没有域控，新西兰也只有一台，在物理网络分离之前：在中国站点添加一台域控，没有现有服务器，也要部署在中国的云端，这样既加速中国用户的登录，又有了一台冗余的域控。最后由于时间紧迫，还是用新西兰的现有服务器搭了一台域控。
2. 关键的拆分操作：在中国下班后（新西兰早已下班），断开新西兰与澳大利亚的网络链接，抢夺都在澳大利亚域控上的5个操作主机的角色，这些基本都可以在教科书里找到，这里就不再详述，PDC emulator操作必须在第二天上班之前完成,以保证不影响网络使用。
3. 澳大利亚用户及管理员账户删除，内置企业及域管理员密码更改。特别注意的是krbtgt的密码要更改两次，防止澳大利亚用户联上网络用在澳大利亚DC上获得的TGT来获得服务ticket。
4. 澳大利亚DC的metadata的清理，这也都是标准操作，上微软的网站也都有针对2003以前及2003SP1以后域具体做法。

还有一些不太关键的处理，比如更改目录还原模式的管理员密码，和其他的操作我一时也记不起来，这里也就不再叙述了。如有遗漏关键操作，请发表评论！