单域活动目录拆分

紧随微软步伐建立活动目录的大型公司大多都采用多域林的构架,每个域都有自己的管理员。经过一些年的运维,都发现了成本高,管理不灵活。于是又开始删除不必要的域,把管理对象合并到有限的几个域。本人所管理网络在全球各个站点分布着几十个域,是一个枝繁叶茂的典型的树结构,经过四五年的迁移删除,仅保留了两个域,其中一个还是空根域,实际管理只有一个子域,结构可以用一根光秃秃的树干来形容。


所以在构架上,工作基本就是用ADMT迁移用户,计算机和组,然后删除剩下的空域,大都是合并。唯一的一次分离是为了一个子公司上市,新建了林,和现有林建立信任,迁出该子公司的所有活动目录对象。


最近接到一个大洋洲小公司的咨询:网络为一个几百用户单域网络,澳大利亚站点独立,分离后只剩新西兰和中国两个站点。于是照方抓药:建议新建了两个林,和现有林建立信任,迁出各自活动目录对象,迁移完成后删除原有域。都没有仔细研究药方就得到强烈的反对:中,新部分只有两名IT人员,没有能力,也没有时间来采用新建了林的方案。


于是给出了第二个方案:新建两个子域:澳大利亚用一个,中,新共用一个,迁移完成后采用的空跟构架,最后再分离根。同样地,又得到了反对意见:一个空跟域还要占用两台服务器,公司财务紧张,客户欠货款太多。


最后只能采用我最不愿推荐,最不专业的方案:保留现有的域,供两家独立的公司使用,只是切断新西兰金额澳大利亚之间的链路,具体做法如下:


1. 考虑到中国没有域控,新西兰也只有一台,在物理网络分离之前:在中国站点添加一台域控,没有现有服务器,也要部署在中国的云端,这样既加速中国用户的登录,又有了一台冗余的域控。最后由于时间紧迫,还是用新西兰的现有服务器搭了一台域控。
2. 关键的拆分操作:在中国下班后(新西兰早已下班),断开新西兰与澳大利亚的网络链接,抢夺都在澳大利亚域控上的5个操作主机的角色,这些基本都可以在教科书里找到,这里就不再详述,PDC emulator操作必须在第二天上班之前完成,以保证不影响网络使用。
3. 澳大利亚用户及管理员账户删除,内置企业及域管理员密码更改。特别注意的是krbtgt的密码要更改两次,防止澳大利亚用户联上网络用在澳大利亚DC上获得的TGT来获得服务ticket。
4. 澳大利亚DC的metadata的清理,这也都是标准操作,上微软的网站也都有针对2003以前及2003SP1以后域具体做法。


还有一些不太关键的处理,比如更改目录还原模式的管理员密码,和其他的操作我一时也记不起来,这里也就不再叙述了。如有遗漏关键操作,请发表评论!

你可能感兴趣的:(活动目录)