Atualizando o Active Directory

Geralmente, quando você acessa o AD, deseja promover, não migrar. Dessa forma, você não precisa fazer as migrações de contas de computador, etc. A questão de ser florestas separadas (ou até mesmo domínios) é mais dependente de como você funciona, do que qualquer outra coisa. Algumas coisas para pensar:

• Os domínios não são um limite de segurança. Florestas são. Se você precisar de limites de segurança que não possam ser manipulados por meio de direitos delegados, deverá usar várias florestas. Caso contrário, uma floresta serve.
• Você precisa de vários domínios? Ou você pode ser melhor servido usando UOs e delegando direitos no nível da UO?
• Se você estiver preocupado com o tráfego de autenticação na WAN e coisas desse tipo, você já deve ter sites físicos configurados no AD. Isso garantirá que as pessoas inicialmente usem o controlador de domínio mais próximo.
• Com cinco usuários dispersos geograficamente em vários sites, você precisa implantar um controlador de domínio para eles (como está a conectividade de rede, interrupções, etc.)? Se não, então isso dá mais motivos para puxar de volta para uma única floresta, configuração de domínio único. Mesmo se eles tiverem problemas com a conectividade de rede, você ainda poderá implantar um único DC no site. Se você estiver indo para 2008, isso pode até ser um DC somente para leitura.

O ponto crucial da sua pergunta é: Eu quero uma infraestrutura de várias florestas ou uma única infraestrutura de floresta?

Você deseja florestas múltiplas quando precisar de limites de segurança entre as organizações. Os domínios não são limites de segurança.

Responda a essa pergunta e o resto deve ser fácil. Você deseja o menor número possível de florestas para satisfazer seus requisitos de limite de segurança. Você quer o mínimo de domínios possível para satisfazer os requisitos de limite de replicação.

Meu entendimento é um pouco antiquado, mas versões mais recentes do AD tratam esse caso um pouco melhor. Eu acho que este é um caso em que uma raiz vazia é uma boa ideia. Você tem um domínio no topo da sua floresta (digamos ... dir.organisation.org) que está lá apenas para DNS e catálogo global. Você cria subdomínios (tx.dir.organisation.org, ca.dir.organisation.org, etc) como domínios filhos da raiz vazia. Em seguida, configure os Sites para cada um dos centros de dados geograficamente dispersos. Os dados do catálogo global ainda terão que ser replicados em seus links WAN, e assim o DNS atualizará até certo ponto. Quer isso seja ou não razoável para o seu ambiente, você terá que decidir por si mesmo. Mas se você tem infra-estrutura para isso, é o que eu recomendo. Isso fornecerá as relações de confiança integradas e o banco de dados de contas unificado, que são uma das principais vantagens do AD.

Quanto à atualização, somos fãs de promover o nível funcional do domínio e, em seguida, usar o dcpromo para rebaixar um DC a um servidor membro, reformatá-lo com a nova versão do sistema operacional e usar o dcpromo para torná-lo novamente . Lave, enxágue, repita para cada CD até que todos sejam atualizados. Então, quando estiver confortável para resolver seus problemas de compatibilidade, aumente o nível funcional para o do novo sistema operacional.