Необходимо объединить два домена с одинаковыми названиями

[rassini]

Существуют два домена на двух серверах Windfows 2003 AD, DNS, DHCP (раньше были в одном домене, потом их разнесли по разным предприятиям и на одном сделали захват ролей, теперь они оба имеют все роли).

S.S1.local

T.S1.local

Пока они работают в разных сетях и не видят друг друга. Необходимо поставить оба сервера в одну пересекающуюся сеть, и чтобы пользователи могли работать с обоими серверами.

Вот что пока приходит в голову:

1) Изменить имя у одного из доменов, ввести их в один лес, и сделать доверие между ними.

Насколько это правильно и возможно осуществить?

2) Импортировать данные политик и учетных записей в другой (третий домен). Создать два дочерних и пользоватся ими.

Может кто что посоветует как сделать это без лишних телодвижений и корректно.

Где что есть почитать по этому вопросу?

[refresh]

Цитата: Сообщение от rassini Существуют два домена на двух серверах Windfows 2003 AD, DNS, DHCP (раньше были в одном домене, потом их разнесли по разным предприятиям и на одном сделали захват ролей, теперь они оба имеют все роли). S.S1.local T.S1.local Пока они работают в разных сетях и не видят друг друга. Необходимо поставить оба сервера в одну пересекающуюся сеть, и чтобы пользователи могли работать с обоими серверами. Вот что пока приходит в голову: 1) Изменить имя у одного из доменов, ввести их в один лес, и сделать доверие между ними. Насколько это правильно и возможно осуществить? 2) Импортировать данные политик и учетных записей в другой (третий домен). Создать два дочерних и пользоватся ими. Может кто что посоветует как сделать это без лишних телодвижений и корректно. Где что есть почитать по этому вопросу?

1) Лес для двух доменов? :-)) Переименование домена - дело не благодарное, для 2003 возможно лишь для Native mode (rendom и gpfixup в помощь), займен минут 15. На продолжительную и безотказную работу можно лишь надеяться...

2) Политики это набор ini-файлов.. Там особо и импортировать ничего не надо. Учетки разных доменов в один собрать через LDIFDE, конечно можно.. Но тогда проще в один из двух, а не в третий. В одном создать OU, переместить туда учетки юзеров и группы, сделать экспорт. На втором импортировать. Убить домен на первом, и сделать реплику AD со второго, в качестве дополнительного контроллера домена.

В обоих случаях будут ошибки. Если пользователей меньше 20, быстрее и надежнее создать новый домен, группы, политики и юзеров. Убедившись в корректности работы, добавить дополнительный контроллер домена.

[yampo]

Цена вопроса - настройки приложений, групповых политик и проч. Что мы хотим сохранить ? Самый простой путь - создать новый чистый домен и промигрировать пользователей в него, так как при объединении некоторые рабочии станции, например, могут оказаться удаленными на одном DC и присутствовать на другом, и наоборот. Такая же ситуация с GPO. Непонятна ситуация с SID-ами учетных записей.... Про безопасность и прозрачность инфраструктуры можно забыть. ADMT 3 практически все сделает в автоматическом режиме.

[Trojanets]

А я бы сделал так:
s1.local:
создать OU1, занести туда всех пользователей с GPO
также с компами OU2

для s2.local:
с S1.local в s2.local пользователи + компьютеры

на s1.local полная инсталяция с установкой в качесте PDC, после реплики AD все будет работать нормально.

для структуры IIS есть system state backup. а днс и дхсп настраиваются в лет.

да и не забываем, что в структуре exchange или хрени работающей с SQL (например MOS или NAV Express) такой фокус не пройдет!
там нужен второй PDC для s1.local или нервоначальный перезд этого добра, но там сложнее.