Назад | Перейти на главную страницу

Доверие леса в той же подсети для миграции пользователей

Интересно, может ли кто-нибудь дать совет по чему-то. У меня есть домен, который нужно обновить. Как правило, можно добавить в домен новый DC с пониженным функциональным уровнем, передать роли, удалить старый DC, поднять функциональный уровень и покончить с этим, но я остаюсь в ситуации, когда я не могу adprep или forestprep существующий домен Контроллер из-за того, что в течение многих лет неэффективное управление и плохое обслуживание оставляют сломанные / неприкосновенные объекты в AD. Я испробовал все исправления, которые смог найти, даже попытавшись вручную внести изменения в куст AD. По общему признанию, вероятно, именно так мой предшественник сломал его в первую очередь: /

Мой альтернативный вариант - создать новый новый домен, поскольку у нас небольшая среда. Я бы хотел создать доверительные отношения между старым и новым лесами (2003 R2 и 2012 R2) и использовать ADMT для миграции / копирования пользователей с их sIDHistory в новый домен в новом лесу, чтобы каждый мог просто сохранить свои существующие. профили.

Проблема, которую я не могу преодолеть, заключается в том, как установить доверие между двумя лесами, не имея отдельных сетей. Новый контроллер домена может видеть другой лес, чтобы доверять ему, но старый контроллер домена не может видеть новый лес для подтверждения доверительных отношений. Это может быть очевидно для тех, кто привык управлять корпоративными слияниями, а не только управлять существующей инфраструктурой. У меня есть ощущение, что это связано с рекламируемыми услугами / DNS, но я, вероятно, ошибаюсь и оказываюсь в стороне, ища слабо связанные решения.

Я также поиграл с идеей преобразования профилей каждого домена в локальные профили, присоединения их к новому домену и последующего преобразования их профилей обратно в профили домена. Будет ли это фактически предъявлять те же требования к учетным записям пользователей в новом домене, которым требуется sIDHistory?

Заранее благодарю за любой совет.

Доверительные отношения AD не имеют прямого отношения к сетям или подсетям. Ваша проблема более чем вероятна из-за отсутствия условных серверов пересылки или зон-заглушек на одной стороне предлагаемого доверия. В каждом домене вам необходимо настроить условные серверы пересылки или зоны-заглушки) для другого домена, который направляет DNS-запросы для этого домена на DNS-серверы этого домена. Похоже, вам не хватает их с одной стороны.

Чтобы прояснить несколько сделанных вами утверждений:

add a new DC with a reduced functional level to the domain - Контроллеры домена сами по себе не имеют функциональных уровней. Существует DFL (функциональный уровень домена) и FFL (функциональный уровень леса), но контроллеры домена не имеют функциональных уровней.

I have tried every fix I could find even resorting to trying to make manual changes to the AD hive - AD не называется ульем. Люди не поймут, о чем вы говорите, если вы назовете это ульем. Active Directory - это база данных, состоящая из нескольких разделов.

Есть 2 возможности: проблемы с DNS или проблемы с брандмауэром. Попробуйте изменить брандмауэр домена на новом контроллере домена. Если это не удается, убедитесь, что новый лес правильно разрешается из старого эмулятора PDC.