Upgrade do domínio: quando é necessário fazer isso através da migração para uma nova floresta / domínio?

Não há motivo de "estoque" para atualizar seu domínio por meio da migração para um novo. Você pode fazê-lo se precisar alterar os nomes de domínio e estiver executando o Exchange (portanto, a renomeação de domínio não está disponível) ou se você realmente quebrou o AD de alguma forma que não é reparável. Este último é muito improvável. Mudar o esquema de volta para o estoque é uma razão potencialmente válida, suponho, mas isso não afetaria a maioria dos domínios.

A menos que você conheça que precise alterar seu nome de domínio ou esquema, basta adicionar novos DCs da versão apropriada, aposentar os antigos e atualizar seus níveis funcionais, se desejar.

Se isso realmente valer a pena, faça primeiro (como teste) e veja se os resultados e a quantidade de trabalho atendem às suas expectativas. Migrar para uma nova floresta não é uma tarefa trivial.

One driver for going for a clean installation is the existing directory has undergone a period of "unstructured evolution", where there has been changes that were not documented properly.

Isso. É como refazer o código.

Se a sua floresta atual estiver íntegra (não há erros nos logs do Replication / Directory Service, dcdiag / e / i parece limpo e você não sabe que há um problema você provavelmente é melhor ficar com seu diretório existente.

Como você pode verificar? Faça uma cópia de backup de alguns controladores de domínio de produção, restaure-o em um ambiente de teste que não seja acessível para / da sua rede de produção do Active Directory (importante), execute a atualização (adprep e dcpromo) e execute suas validações. Isso pode ser tão simples quanto configurar vms no seu notebook. Basta dizer que você precisaria ter um ambiente de teste off-line antes de continuar com uma atualização de produção.

Se houver algo instalado que atualize o esquema que você deseja remover, você geralmente está ciente disso, pois pode haver atributos nos vários objetos (Usuário / Grupo / Computador / UO) que não são mais necessários.

Um driver para ir para uma instalação limpa é o diretório existente passou por um período de "evolução não estruturada", onde houve alterações que não foram documentadas corretamente. Outro driver é se você não pode arriscar algo indo para o lado com a atualização e não pode voltar atrás.

Uma área de preocupação ao adicionar o primeiro controlador de domínio superior pode ser se você tiver um diretório grande e / ou vários domínios, sempre que executar uma atualização de esquema (usando adprep / forestprep), todas as partições do catálogo global reconstruído. Isso pode demorar muito tempo. Isso também se aplica a outras grandes atualizações de esquema, como para o Exchange.

Se você tem um domínio existente que começou como Windows 2003 e ainda não habilitou a replicação estrita, deve habilitá-lo agora para exibir quaisquer objetos falsos no diretório, para que ele não seja associado à atualização. Você pode ler mais sobre isso aqui:

Ative a consistência de replicação restrita
link

Se houver objetos remanescentes no diretório, a ativação restrita poderá interromper a replicação, portanto, esses objetos precisam ser tratados antes de qualquer atualização. Se houver muitos desses objetos, talvez seja hora de considerar a abordagem de instalação limpa.