Доверие леса в той же подсети для миграции пользователей
Интересно, может ли кто-нибудь что-нибудь дать совет. У меня есть домен, который нужно обновить. Как правило, можно добавить в домен новый DC с пониженным функциональным уровнем, передать роли, удалить старый DC, Поднимите функциональный уровень и покончите с этим, но я остаюсь в ситуации, когда я не могу adprep или forestprep существующего контроллера домена из-за возраста неправильного управления и плохого обслуживания, оставляя сломанные / неприкасаемые объекты в AD. Я испробовал все исправления, которые смог найти, даже попытавшись вручную внести изменения в куст AD. По общему признанию, вероятно, именно так мой предшественник сломал его в первую очередь: /
Мой альтернативный вариант - создать новый, новый домен, поскольку у нас небольшая среда. Я хотел бы создать доверительные отношения между старым и новым лесами (2003 R2 и 2012 R2) и использовать ADMT для миграции / копирования пользователей с их sIDHistory в новый домен в новом лесу, чтобы каждый мог просто сохранить свои существующие. профили.
Проблема Я могу ' Кажется, я решаю, как установить доверие между двумя лесами, не имея отдельных сетей. Новый контроллер домена может видеть другой лес, чтобы доверять ему, но старый контроллер домена не может видеть новый лес для подтверждения доверительных отношений. Это может быть очевидно для тех, кто привык управлять корпоративными слияниями, а не только управлять существующей инфраструктурой. У меня есть ощущение, что это связано с рекламируемыми услугами / DNS, но я, вероятно, ошибаюсь и оказываюсь в стороне, ища слабо связанные решения.
Я также играл с идеей преобразования профилей каждого домена в локальные профили, присоединение их к новому домену и последующее преобразование их профилей обратно в профили домена. Будет ли это фактически соответствовать требованиям к учетным записям пользователей в новом домене, нуждающимся в sIDHistory?
Заранее благодарим вас за любой совет.
Доверительные отношения AD не имеют прямого отношения к сетям или подсетям. Ваша проблема более чем вероятна из-за отсутствия условных серверов пересылки или зон-заглушек на одной стороне предлагаемого доверия. В каждом домене вам необходимо настроить условные серверы пересылки или зоны-заглушки) для другого домена, который направляет DNS-запросы для этого домена на DNS-серверы этого домена. Похоже, вам не хватает их с одной стороны.
Чтобы прояснить несколько сделанных вами утверждений:
добавьте новый DC с пониженным функциональным уровнем в домен - Контроллеры домена сами по себе не работают уровни. Есть DFL (функциональный уровень домена) и FFL (функциональный уровень леса), но у контроллеров домена нет функциональных уровней.
Я испробовал все исправления, которые смог найти, даже попытавшись вручную внести изменения в AD. улей - AD не называется ульем. Люди не поймут, о чем вы говорите, если вы назовете это ульем. Active Directory - это база данных, состоящая из нескольких разделов.
Есть 2 возможности: проблемы с DNS или проблемы с брандмауэром. Попробуйте изменить брандмауэр домена на новом контроллере домена. Если это не удается, убедитесь, что новый лес правильно разрешается из старого эмулятора PDC.