Миграция Active Directory и Exchange: смена домена, перенос почты и групповых политик «под ключ»

Задача

Клиент использовал устаревшую ИТ-инфраструктуру на базе Windows Server 2012 R2 и Exchange Server 2016 с доменом вида oldcompany.local. С течением времени возникли серьёзные проблемы:

• доменное имя не соответствовало корпоративному бренду,
• невозможность использовать современные стандарты безопасности (например, Let’s Encrypt или правильные SAN-сертификаты),
• устаревшие групповые политики, частично утерянные из-за отсутствия документирования,
• риски при отказе единственного контроллера домена.

Было принято решение провести полную миграцию в новый лес (cross-forest migration) с новым именем домена (corp.company.ru), обновлением ОС до Windows Server 2022, почтового сервера до Exchange 2019, а также переносом всех данных, политик и сервисов — без потери истории и с минимальным временем простоя.

Решение

Мы выполнили проект в четыре фазы, с акцентом на предсказуемость, обратимость и непрерывность сервисов.

Фаза 1. Подготовка и проектирование

• Развернули новый лес: 2 контроллера домена Windows Server 2022, DNS, DHCP.
• Создали новую инфраструктуру Exchange 2019: Mailbox, CAS, Edge Transport (в DMZ).
• Спроектировали схему миграции учётных записей, групп, политик, почтовых ящиков и общих папок.
• Выпустили новые TLS-сертификаты с корректными именами (mail.corp.company.ru, autodiscover.corp.company.ru).

Фаза 2. Миграция Active Directory

• Использовали Microsoft Active Directory Migration Tool (ADMT) с настройкой SID History для сохранения доступа к файловым ресурсам.
• Перенесли:
• все пользовательские и компьютерные учётные записи,
• группы безопасности и рассылки,
• групповые политики (GPO) — с ручной адаптацией путей и прав,
• расписания задач, сервисные аккаунты, SPN.
• Провели валидацию через PowerShell-скрипты: соответствие SID, членство в группах, применение политик.

Фаза 3. Миграция Exchange

• Настроили межлесное доверие и коэкзистенцию Exchange.
• Перенесли почтовые ящики с помощью New-MoveRequest, включая:
• папки, метки, правила,
• календари, контакты, задачи,
• делегированные права и общие папки.
• Обновили автоматическое обнаружение (Autodiscover), чтобы клиенты Outlook переключались на новый сервер без ручной настройки.
• Перенаправили входящую и исходящую почту через Edge Transport, обеспечив нулевую потерю писем даже во время переключения MX-записей.

Фаза 4. Финальное переключение и поддержка

• Обновили DNS-записи: A, MX, SRV, Autodiscover.
• Перевели всех пользователей на новые профили Outlook (через скрипт развёртывания).
• Отключили старую инфраструктуру только после 72 часов стабильной работы.
• Передали полную документацию: топология, учётные записи сервисов, схема резервного копирования, инструкции по восстановлению.

Особое внимание — непрерывности: в течение всего процесса пользователи могли отправлять и получать почту, работать с файлами, использовать внутренние сервисы.

Результат

• Полный переход на новый домен, соответствующий корпоративному бренду и современным ИТ-стандартам.
• Все данные сохранены: почтовые ящики, календари, исторические письма, права доступа.
• Групповые политики работают корректно, включая настройки безопасности, запуск приложений, ограничения USB.
• Инфраструктура теперь масштабируема, поддерживаема и соответствует требованиям к отказоустойчивости (2 контроллера, DAG в Exchange).
• Нулевой простой для бизнеса: ни один пользователь не остался без почты или доступа к ресурсам.
• Полная локальная эксплуатация — без зависимости от облака или внешних провайдеров.

Сегодня клиент управляет современной, предсказуемой и безопасной ИТ-средой — и может спокойно развивать бизнес, не думая об устаревшей инфраструктуре.