ユーザーを移行するための同じサブネット上のフォレストの信頼
誰かが何かについてアドバイスを提供できるかどうか疑問に思います。どうしてもアップグレードが必要なドメインがあります。通常、ドメインに機能レベルを下げた新しいDCを追加し、役割を転送し、古いDCを削除し、機能レベルを上げてそれを実行しますが、状況は変わりません。長年の管理ミスと不十分なメンテナンスのために既存のドメインコントローラーをadprepまたはforestprepできず、ADに壊れた/触れられないオブジェクトが残っている場合、AD Hiveに手動で変更を加えることでさえ、見つけることができるすべての修正を試みました。確かに、これはおそらく私の前任者がそもそもそれを壊した方法です:/
私の代替オプションは、環境が小さいため、新しいドメインを作成することです。私がやりたいのは、古いフォレストと新しいフォレスト(2003R2および2012R2)の間に信頼を作成し、ADMTを使用して、sIDHistoryを持つユーザーを新しいフォレストの新しいドメインに移行/コピーして、誰もが既存の状態を維持できるようにすることです。プロファイル。
私が乗り越えられないように思える問題は、別々のネットワークを持たずに2つのフォレスト間の信頼を確立する方法です。新しいDCは他のフォレストを認識して信頼関係を築くことができますが、古いDCは新しいフォレストを認識して信頼関係を交換することはできません。これは、誰かにとって明らかなことかもしれません。既存のインフラストラクチャだけを管理するのではなく、企業の合併を管理することに慣れています。これはアドバタイズされたサービス/ DNSに関係していると感じていますが、おそらく正しくなく、ゆるやかに関連するソリューションを追いかけています。
また、全員のドメインプロファイルをローカルプロファイルに変換し、それらを新しいドメインに参加させてから、それらのプロファイルをドメインプロファイルに変換するというアイデアも試しました。これは事実上、sIDHistoryを必要とする新しいドメインのユーザーアカウントの同じ要件を提示しますか?
よろしくお願いします。
DNSの問題またはファイアウォールの問題の2つの可能性があります。新しいDCのドメインファイアウォールを変更してみてください。それが失敗した場合は、新しいフォレストが古いPDCエミュレーターから正しく解決されることを確認してください。
ADトラストは、ネットワークまたはサブネットと直接の関係はありません。あなたの問題は、提案されたトラストの片側に条件付きフォワーダーまたはスタブゾーンがないことが原因である可能性が高いです。各ドメインで、そのドメインのDNSクエリをそのドメインのDNSサーバーに転送する他のドメインの条件付きフォワーダーまたはスタブゾーンを構成する必要があります。片側が欠けているようですね。
あなたが行ったいくつかのステートメントを明確にするために:
add a new DC with a reduced functional level to the domain-ドメインコントローラー自体には機能レベルがありません。 DFL(ドメイン機能レベル)とFFL(フォレスト機能レベル)がありますが、ドメインコントローラーには機能レベルがありません。
I have tried every fix I could find even resorting to trying to make manual changes to the AD Hive --ADはハイブとは呼ばれません。あなたがそれをハイブと呼んでも、人々はあなたが何について話しているのかわからないでしょう。 Active Directoryは、複数のパーティションで構成されるデータベースです。