Варианты замены Windows DC с 2000 по 2016

Я не создавал эту среду / беспорядок - просто пытался «исправить» это.

В настоящее время только DC в сети - это сервер 2000. Только что приобрели два сервера 2016 года, готовимся к установке / настройке. Я знаю, что в настоящее время не могу присоединить серверы 2016 к домену, так как они не присоединятся к 2000. Итак, каковы мои лучшие варианты обновления / замены DC? Это 20 офисных помещений, в которых работает около 175 пользователей. DC - это просто DC, AD и DNS, ни DHCP, ни FS, ни других приложений.

Неужели я действительно хочу пройти через установку сервера 2003 или 2008 года, чтобы перейти с 2000 года на то, с чем будет разговаривать 2016 год? Если да, то какие шаги для этого лучше всего?
Могу ли я просто построить серверы 2016 с нуля вне сети, как если бы это была новая сеть, вручную вводя информацию о пользователях и DNS (не беспокоясь о времени, если это более простой вариант), а затем отключите сервер 2000 и подключите 2016 серверы?
Если я сделаю последнее, нужно ли мне снова подключать каждый компьютер к домену? Или они просто аутентифицируются, если я вручную ввел информацию об этом устройстве / пользователе на новые серверы?
Есть ли что-нибудь, что я могу экспортировать с сервера 2000, что я могу восстановить / импортировать на сервер 2016?

Я поискал в Интернете и не нашел конкретно этого сценария. Любые идеи приветствуются. Попытка сделать переход как можно проще для пользовательской базы, тем более что они разбросаны по множеству удаленных офисов.

Дополнительные DC в других местах - проблема будущего.

Если цель состоит в том, чтобы упростить задачу для ваших пользователей, то в качестве приблизительных шагов необходимо:

Установите DC 2008 и выполните репликацию с существующим DC 2000
Перенести FSMO в новый DC 2008
Вывод из эксплуатации старого 2000 DC
Поднять функциональный уровень AD до 2008 г.

На этом этапе вы готовы ввести свои DC 2016.

В большой Проблема с вашим вторым пунктом в том, что создание нового домена заставляет все новые учетные записи AD для ваших пользователей и компьютеров. Обратите внимание, что создание учетной записи с таким же именем не дает одинаковых разрешений, потому что все они основаны на SID.

Таким образом, в этом сценарии вам нужно будет повторно присоединить все ПК, всем вашим пользователям нужно будет сбросить свои пароли, и это звучит как большая сумка для чего-то большего, чем тривиальное (<5) количество пользователей и компьютеров. Если один из ваших пользователей зашифрует файл на стороне клиента, он также зависит от идентификаторов безопасности AD, и удаление вашего AD приведет к уничтожению доступа к файлам.

В качестве бонуса DC 2008 может быть вашим вторичным DC (всегда будет 2 DC), так что вам нужно пока установить только 1 новый DC 2016. Это было бы достаточно стабильно, чтобы позволить вам перейти к следующему огню до тех пор, пока поддержка 2008 года не закончится в 2020 году. Если 2000 год был достаточно хорош для сети до сих пор, не похоже, что переход на 2016 год для AD принесет огромные преимущества.

Я бы рассмотрел поэтапный подход к обновлению, добавив DC Server 2008 в существующий домен, а затем перенесу все роли FSMO. статья ниже представляет собой руководство по повышению уровня домена до 2008 или 2008 R2

https://technet.microsoft.com/en-us/library/cc731188(v=ws.10).aspx

после этого вы можете добавить DC 2016 и повторить процесс. таким образом, все пользователи, группы и, что особенно важно, компьютеры будут следить за вашим обновлением.

Если вы создаете совершенно новый лес, вы можете использовать инструмент AD Migration для миграции объектов из старого леса в новый:

https://technet.microsoft.com/en-us/library/cc974332(v=ws.10).aspx

вам не нужно вручную повторно добавлять все учетные записи пользователей и т. д., если вы используете этот инструмент.