Доверие леса в одной подсети для миграции пользователей

Question

Доверие леса в одной подсети для миграции пользователей

Хотите знать, если кто-нибудь мог бы дать какой-нибудь совет по чему-то. У меня есть домен, который отчаянно нуждается в обновлении. Как правило, можно добавить новый DC с пониженным функциональным уровнем в домен, перенести роли, удалить старый DC, повысить функциональный уровень и покончить с этим, но я остаюсь в ситуации, когда я не могу adprep или Forestprep существующего домена контроллер из-за неумелого управления и плохого обслуживания, оставляя сломанные / неприкасаемые объекты в AD. Я перепробовал все исправления, которые мог найти, даже прибегая к ручным изменениям в кусте AD. По общему признанию, это, вероятно, то, как мой предшественник сломал это во-первых:/

Мой альтернативный вариант - создать новый новый домен, поскольку у нас небольшая среда. Я хотел бы создать доверие между старым лесом и новым лесом (2003 R2 и 2012 R2) и использовать ADMT для миграции / копирования пользователей с их sIDHistory в новый домен в новом лесу, чтобы каждый мог просто сохранить свой существующий профили.

Проблема, которую я не могу преодолеть, заключается в том, как установить доверие между двумя лесами, не имея отдельных сетей. Новый DC может видеть, что другой лес доверяет ему, но старый DC не может видеть новый лес, отвечающий взаимным доверительным отношениям. Это может быть очевидно для человека, привыкшего управлять корпоративными слияниями, а не только для управления существующей инфраструктурой. У меня есть ощущение, что это связано с рекламируемыми сервисами /DNS, но я, вероятно, не прав и нахожусь на касательной погоне за слабо связанными решениями.

Я также играл с идеей преобразования всех профилей домена в локальные профили, присоединения их к новому домену и последующего преобразования их профилей в профили домена. Представит ли это фактически такое же требование к учетным записям пользователей в новом домене, для которого требуется sIDHistory?

Заранее благодарю за любой совет.

1

active-directory windows-server-2003 windows-server-2012-r2 admt

Источник

Bob Rosenthal 20 май '16 в 18:15

2 ответа

Другие вопросы по тегам active-directory windows-server-2003 windows-server-2012-r2 admt

Jim B 20 май '16 в 18:26 2016-05-20 18:26 · Answer 1 · 2016-05-20 18:26

Есть 2 варианта: проблемы с DNS или проблемы с брандмауэром. Попробуйте изменить брандмауэр домена на новом контроллере домена. Если это не удается, убедитесь, что новый лес разрешается правильно из старого эмулятора PDC.

2

Источник

Jim B 20 май '16 в 18:26

joeqwerty 20 май '16 в 20:04 2016-05-20 20:04 · Answer 2 · 2016-05-20 20:04

AD Trusts не имеет прямого отношения к сетям или подсетям. Ваша проблема, скорее всего, связана с отсутствием Условных серверов пересылки или зон-заглушек на одной стороне предлагаемого траста. В каждом домене необходимо настроить условные серверы пересылки или зоны-заглушки) для другого домена, который направляет DNS-запросы для этого домена на DNS-серверы для этого домена. Похоже, вы скучаете по одной стороне.

Чтобы уточнить несколько сделанных вами замечаний:

add a new DC with a reduced functional level to the domain - Контроллеры домена сами по себе не имеют функциональных уровней. Существует DFL (функциональный уровень домена) и FFL (функциональный уровень леса), но у контроллеров домена нет функциональных уровней.

I have tried every fix I could find even resorting to trying to make manual changes to the AD hive - AD не упоминается как улей. Люди не поймут, о чем ты говоришь, если ты назовешь это ульем. Active Directory - это база данных, состоящая из нескольких разделов.