Como desativar um domínio obsoleto sem impactos?

Fala galera!

Recebi recentemente uma demanda interessante: A desativação definitiva de alguns domínios 2003 que haviam sido consolidados em um novo domínio 2012.

Cenário:
– Domain Controllers Windows Server 2003
– Objetos de usuário, computador e grupos migrados para o novo domínio 2012 R2.
– Objetos de usuário e computador desativados no domínio de origem
– Objetos de grupo sem nenhum usuário como membro
– DNS integrado ao AD.
– Trust entre o domínio antigo e o novo domínio 2012 R2 ativo e operacional.

Premissas:
– Não existe documentação de quais aplicações se autenticam no Active Directory.
– A desativação deve ocorrer sem impacto/indisponibilidade para a para o ambiente de produção.

Em um olhar inicial a atividade parece bem simples: Como todos os objetos foram migrados e não temos mais nenhuma conta ativa no AD, basta desligarmos os DC´s, correto?

Maaais ou menos. A desativação dos objetos do AD é uma fase crucial na desativação de um domínio, mas não é a única. Dois detalhes chamam a atenção no cenário proposto:

1. Falta de documentação das aplicações: Como não há documentação, não temos como garantir que alguma aplicação (um Sharepoint Server, por exemplo) ainda consulte o AD. Mesmo que esta consulte retorne vazia, com “zero” objetos encontrados, a consulta foi realizada com SUCESSO. Assim que desligamos os DC´s esta consulta apresentará erro e dependendo da aplicação este impacto pode ser maior do que o previsto.

2. DNS integrado ao AD: Temos que garantir também que nenhum servidor esteja utilizando os DC´s antigos como DNS primário/secundário, caso contrário ao desligar este servidor a resolução de nomes deixará de funcionar.

Portanto, a primeira atividade no cenário proposto é mapearmos o uso dos DC´s e do serviço de DNS nos Domain Controller´s e ajustarmos as aplicações/equipamentos que encontrarmos.

No próximo post eu mostrarei como podemos monitorar nossos DC´s e descobrirmos quem de fato ainda os utiliza.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *