Confiança de floresta na mesma sub-rede para migrar usuários

1

Imaginando se alguém poderia oferecer algum conselho sobre algo. Eu tenho um domínio que precisa desesperadamente ser atualizado. Normalmente, seria necessário adicionar um novo controlador de domínio com um nível funcional reduzido ao domínio, transferir funções, remover o controlador de domínio antigo, aumentar o nível funcional e concluí-lo, mas não consigo adprep ou forestprep o domínio existente controlador devido a idades de má gestão e má manutenção deixando objetos quebrados / intocáveis no AD. Eu tentei todas as correções que encontrei, mesmo recorrer à tentativa de fazer alterações manuais na seção AD. Evidentemente, isso é provavelmente como o meu antecessor quebrou em primeiro lugar: /

Minha opção alternativa agora é criar um novo domínio, já que temos um ambiente pequeno. O que eu gostaria de fazer é criar uma confiança entre a floresta antiga e a nova floresta (2003 R2 e 2012 R2) e usar o ADMT para migrar / copiar usuários com seu sIDHistory para o novo domínio na nova floresta, para que todos possam manter seus existentes perfis.

O problema que não consigo ultrapassar é como estabelecer a confiança entre as duas florestas sem ter redes separadas. O novo DC pode ver a outra floresta para confiar nela, mas o antigo DC não pode ver a nova floresta para retribuir a relação de confiança. Isso pode ser óbvio para alguém acostumado a gerenciar fusões corporativas, em vez de apenas gerenciar a infraestrutura existente. Tenho a sensação de que isso tem a ver com serviços / DNS anunciados, mas provavelmente não estou correto e me vejo em uma tangente perseguindo soluções frouxamente relacionadas.

Eu também joguei com a ideia de converter os perfis de domínio de todos em perfis locais, juntando-os ao novo domínio e, em seguida, convertendo os perfis deles em perfis de domínio. Isso, na verdade, apresentaria o mesmo requisito das contas de usuário no novo domínio que precisa do sIDHistory?

Agradeço antecipadamente por qualquer conselho.

    
por Bob Rosenthal 20.05.2016 / 20:15

2 respostas

2

Existem 2 possibilidades, problemas de DNS ou problemas de firewall. Tente alterar o firewall de domínio no novo DC. Se isso falhar, certifique-se de que a nova floresta seja resolvida adequadamente com o antigo emulador de PDC.

    
por 20.05.2016 / 20:26
2

AD Trusts não tem qualquer relação direta com redes ou sub-redes. Seu problema é mais do que provável devido à falta de encaminhadores condicionais ou zonas de stub em um lado do Trust proposto. Em cada domínio, você precisa configurar os encaminhadores condicionais ou zonas de stub) para o outro domínio que direciona as consultas DNS para esse domínio para os servidores DNS desse domínio. Parece que você está perdendo aqueles de um lado.

Para esclarecer algumas declarações que você fez:

add a new DC with a reduced functional level to the domain - Os controladores de domínio não possuem níveis funcionais. Há um DFL (Nível Funcional de Domínio) e um FFL (Nível Funcional de Floresta), mas os Controladores de Domínio não possuem níveis funcionais.

I have tried every fix I could find even resorting to trying to make manual changes to the AD hive - AD não é referido como uma colmeia. As pessoas não vão saber o que você está falando se você se referir a ela como uma colmeia. O Active Directory é um banco de dados composto de várias partições.

    
por 20.05.2016 / 22:04