想知道是否有人可以提供一些建议。我有一个急需升级的域。通常,人们会向域中添加一个功能级别较低的新 DC,转移角色,删除旧 DC,提高功能级别并完成它,但我处于无法对现有域控制器进行 adprep 或 forestprep 的情况,因为长期管理不善和维护不善导致 AD 中的对象损坏/无法触及。我尝试了能找到的所有修复方法,甚至尝试手动更改 AD 配置单元。不可否认,这可能是我的前任一开始就破坏它的原因 :/
由于我们的环境很小,我的替代方案是创建一个全新的域。我想要做的是在旧林和新林(2003 R2 和 2012 R2)之间建立信任,并使用 ADMT 将用户及其 sIDHistory 迁移/复制到新林中的新域,这样每个人都可以保留他们现有的配置文件。
我似乎无法克服的问题是,如何在没有独立网络的情况下建立两个森林之间的信任。新的 DC 可以看到另一个森林并信任它,但旧的 DC 看不到新的森林,因此无法建立信任关系。对于习惯于管理公司合并而不是只管理现有基础设施的人来说,这可能是显而易见的。我觉得这与广告服务/DNS 有关,但我可能不正确,发现自己在追逐松散相关的解决方案时偏离了主题。
我也考虑过将每个人的域配置文件转换为本地配置文件,将它们加入到新域,然后再将他们的配置文件转换回域配置文件。这实际上是否提出了新域上的用户帐户需要 sIDHistory 的相同要求?
提前感谢您的任何建议。
答案1
有两种可能,DNS 问题或防火墙问题。尝试更改新 DC 上的域防火墙。如果失败,请确保新林可以从旧 PDC 模拟器正确解析。
答案2
AD 信任与网络或子网没有任何直接关系。您的问题很可能是由于提议的信任的一侧缺少条件转发器或存根区域。在每个域中,您需要为另一个域配置条件转发器或存根区域,以将该域的 DNS 查询定向到该域的 DNS 服务器。听起来您缺少了其中的一侧。
澄清一下你所说的几句话:
add a new DC with a reduced functional level to the domain- 域控制器本身没有功能级别。有 DFL(域功能级别)和 FFL(林功能级别),但域控制器没有功能级别。
I have tried every fix I could find even resorting to trying to make manual changes to the AD hive- AD 不被称为蜂巢。如果你称其为蜂巢,人们将不知道你在说什么。Active Directory 是一个由多个分区组成的数据库。