none
Необходимо объединить два домена с одинаковыми названиями RRS feed

  • Вопрос

  • Существуют два домена на двух серверах Windfows 2003 AD, DNS, DHCP (раньше были в одном домене, потом их разнесли по разным предприятиям и на одном сделали захват ролей, теперь они оба имеют все роли).

    S.S1.local

    T.S1.local

    Пока они работают в разных сетях и не видят друг друга. Необходимо поставить оба сервера в одну пересекающуюся сеть, и чтобы пользователи могли работать с обоими серверами.

    Вот что пока приходит в голову:

    1) Изменить имя у одного из доменов, ввести их в один лес, и сделать доверие между ними.

    Насколько это правильно и возможно осуществить?

    2) Импортировать данные политик и учетных записей в другой (третий домен). Создать два дочерних и пользоватся ими.

    Может кто что посоветует как сделать это без лишних телодвижений и корректно.

    Где что есть почитать по этому вопросу?


    hotnew.ru
    5 августа 2009 г. 10:27

Ответы

  • Боюсь, что отвечающий невнимательно прочел описание и меющейся ситуации. Ключевым является тот момент, что оба домена были получены из одного. В этом случае SID'ы у объектов из разных доменов будут отличаться лишь в последней части, т.е. относительным идентификатором. Учитывая, что после разделения доменов в каждом из них работал свой RID-мастер, весьма вероятна ситуация наличия объектов с полностью совпадающими сидами.
    И я вообще не уверен, что в этой ситуации даже после переименования одного из доменов между ними может быть установлен траст. Так что обратное слияние таких доменов, даже при использовании такого мощного инструмента, как ADMT, - весьма нетривиальная задача. Хотя и вполне осуществимая, на мой взгляд.
    • Помечено в качестве ответа Nikita PanovModerator 21 августа 2009 г. 6:36
    20 августа 2009 г. 19:45

Все ответы

  • Если вы хотите их объединить два домена в один лес - то это предполагает прекращение существования имеющихся доменов и  их миграция в новый лес.
    Так что - только миграция в третий домен..... (Active Directory Migration tool. )

    Если ответ Вам помог, нажмите на изображение зеленой галочки - «пометить как ответ». Если ответ был для Вас полезен, Вы можете пометить это сообщение как «полезное», нажав на ссылку "проголосовать за полезное сообщение" в правом верхнем углу сообщения.
    5 августа 2009 г. 10:31
  • Один из доменов можно переименовать http://www.msexchange.org/tutorials/Domain-Rename.html
    Сазонов Илья http://www.itcommunity.ru/blogs/sie/
    5 августа 2009 г. 10:43
    Модератор
  • Один из доменов можно переименовать http://www.msexchange.org/tutorials/Domain-Rename.html
    Сазонов Илья http://www.itcommunity.ru/blogs/sie/

    Прочел статью. Подойдет ли данный способ решения задачи для DC не содержащих Exchange?
    hotnew.ru
    5 августа 2009 г. 12:26
  • Дело вот в этом инструменте, указанном в статье.
    http://technet.microsoft.com/en-us/windowsserver/bb405948.aspx
    Так что делайте спокойно.


    Поможем друг другу стать лучше! Отметим правильные ответы и полезные сообщения!
    12 августа 2009 г. 10:28
    Модератор
  • Боюсь, что отвечающий невнимательно прочел описание и меющейся ситуации. Ключевым является тот момент, что оба домена были получены из одного. В этом случае SID'ы у объектов из разных доменов будут отличаться лишь в последней части, т.е. относительным идентификатором. Учитывая, что после разделения доменов в каждом из них работал свой RID-мастер, весьма вероятна ситуация наличия объектов с полностью совпадающими сидами.
    И я вообще не уверен, что в этой ситуации даже после переименования одного из доменов между ними может быть установлен траст. Так что обратное слияние таких доменов, даже при использовании такого мощного инструмента, как ADMT, - весьма нетривиальная задача. Хотя и вполне осуществимая, на мой взгляд.
    • Помечено в качестве ответа Nikita PanovModerator 21 августа 2009 г. 6:36
    20 августа 2009 г. 19:45
  • VadimP прав, доверительные отношения и тем более миграция между такими доменами не пойдёт. Правильное решение - сливать оба домена в третий по очереди, или делать миграцию через промежуточный домен.


    Помечая сообщения как ответы, вы помогаете развивать комьюнити :-)
    21 августа 2009 г. 6:34
  • Спасибо за ответ.

    Поясните пожалуйста вот этот момент ".. сливать оба домена в третий по очереди".

    В чем его отличие от "... делать миграцию через промежуточный домен".
    hotnew.ru
    26 августа 2009 г. 3:56
  • Миграция через промежуточный домен это когда из ваших двух доменов один остается и в него вливается второй, но не сразу, а сначала во вспомогательный домен, а уже потом в ваш первый.

    Сливать в третий - создаете новый домен и переносите туда два ваших домена.

    В любом случае надо учесть, что если есть опасность совпадающих сидов, то надо мигрировать без истории сидов!
    Сазонов Илья http://www.itcommunity.ru/blogs/sie/
    26 августа 2009 г. 8:24
    Модератор
  • Спасибо за подробный ответ. Как последствия могут быть при миграции без истории сидов?
    hotnew.ru
    26 августа 2009 г. 11:14
  • Самые очевидные - нарушения доступа к ресурсам.


    Спасибо моей жене Кате, Клевогину С.П., Козлову С.В., Муравлянникову Н.А., Никитину И.Г., Шапиро Л.В. за мои знания! :)
    26 августа 2009 г. 11:19
    Отвечающий
  • Точнее сказать история сидов облегчает миграцию, т.к. учетная запись получает доступ не только по сиду нового домена. но и по старому - т.е. работают прежние права доступа. Но отказ от истории не страшен - просто надо мигрировать быстрее :-) или прописывать права доступа заново (если у вас права назначены через группы, то работы у вас будет немного ) 
    Сазонов Илья http://www.itcommunity.ru/blogs/sie/
    26 августа 2009 г. 11:47
    Модератор
  • В любом случае надо учесть, что если есть опасность совпадающих сидов, то надо мигрировать без истории сидов!
    Тот домен, в котором больше ресурсов, имеет смысл мигрировать с историей сидов.
    26 августа 2009 г. 12:39