Как организовать два независимых DC в одной физической сети?
Доброго дня, коллеги!
(возможные реализации через VPN не рассматриваются)
Появилась необходимость поднять, помимо имеющегося домена, второй, независимый от первого.
Предполагается что у них будет разная подсеть. Половина пользователей в последствии переедет в с первого во второй домен.
1. Реально ли сожительство в одной физической сети двух таких DC?
Предполагаю, что DC1 будет AD,DNS,DHCP, второй же просто AD и DNS (ПК на статических IP будут)
( DC1 192.168.0.0/24 DC2 192.168.1.0/24)
2. Если настроить доверие между доменами и все такое, реально ли впоследствии перенос, а точнее полную миграцию пользователей с DC1 в DC2?
3. Если миграция пользователей возможно, профили пользователей на машинах останутся прежними или создадутся новые?
1. Да. Можно даже на все ПК раздавать настройки по DHCP, только между доменами должно быть доверие. Контроллер первого домена будет переадресовывать запросы ПК к первому контроллеру второго домена на авторизацию.
2. Нет, миграция пользователей (c SID) не возможна.
3. В варианте по умолчанию - создадутся новые профили пользователей. Однако, если использовать программу Profile Wizard, то при переводе ПК из первого домена в второй, можно указать, что такой то профиль пользователя на ПК соответствует такой то учетной записи в новом домене. После этого у пользователя сохранятся все настройки рабочего стола, программ, расположение ярлыков. Все что требует для работы сертификаты (КриптоПРО, клиентбанки) придется переустановить и зарегистрировать заново. Кэшированные пароли в Диспетчере учетных данных лучше вычистить.
DC могут жить нормально, правда некоторый затык может быть с DNS.
Но вы можете через DHCP сделать два пула адресов с разными DNS серверами и по макадресу сделать резервацию.
Доверительные отношения между доменами - еще лучше.
Половина пользователей в последствии переедет в с первого во второй домен.
Или физически переедут в другое место вместе со вторым DC в другую, не связанную с этой, сеть?
Если Да, то второй домен не нужен. Переедут компы и DC физически в другое место со своими СИДами и профилями, проведете захват ролей на уехавшем DC, и всё.