Vou dizer mais ou menos a mesma coisa que Jason Berg, mas vou colocar mais detalhes e ênfase na parte do DNS, porque nada disso funcionará sem uma boa resolução de DNS nos servidores e nos computadores clientes. no domínio do Windows 2000 Active Directory e os controladores de domínio no domínio do Active Directory do Windows Server 2008.
Se você puder criar uma situação de DNS que permita que computadores cliente e servidor no domínio W2K resolvam o nome do (s) computador (es) do controlador de domínio do W2K8, você poderá criar uma relação de confiança e facilitar a migração de seu domínio.
Espero que você esteja hospedando o DNS no (s) seu (s) computador (es) de controlador de domínio do Windows 2000 Server e, esperamos, isso seja o que seus computadores clientes estão usando para o DNS. Infelizmente, o servidor DNS do Windows 2000 não permite o encaminhamento condicional de zonas não autoritativas para outro servidor DNS, como o servidor DNS do Windows Server 2003. Se o seu servidor DNS W2K8 puder resolver nomes de Internet, basta definir o servidor DNS W2K8 como um "encaminhador" no servidor DNS W2K. Se não, você pode considerar a criação de zonas secundárias para o domínio W2K8 e seu domínio filho "_msdcs" no servidor DNS W2K (mas isso é mais trabalho).
No lado W2K8 da casa, basta criar uma condicional encaminhada para o nome do domínio W2K para o servidor DNS W2K e você está no negócio.
Quando puder resolver os nomes de domínio totalmente qualificados dos domínios e controladores de domínio no outro domínio de um controlador de domínio em ambos os domínios, você poderá continuar a criar uma relação de confiança.
Assim como Jason Berg diz, uma confiança externa de saída única é o que você está procurando no domínio W2K8. Não se preocupe em tentar criá-lo até obter uma boa resolução de DNS.
Depois de fazer isso, você pode nomear usuários (e, potencialmente, grupos) do domínio W2K em permissões no domínio W2K8. As contas de usuário do domínio W2K8 também podem ser usadas para efetuar logon em computadores clientes no domínio W2K (e a Diretiva de Grupo especificada no domínio W2K8 para os usuários se inscreverão! Você não pode aplicar nenhuma Diretiva de Grupo do computador do domínio W2K8 aos computadores associados a o domínio W2K, no entanto.)
Se você deseja criar uma confiança bidirecional e usar ferramentas como a ADMT, certamente você pode. A confiança unidirecional o ajudará a nomear os princípios de segurança de domínio W2K nas permissões no domínio W2K8.