这两天将公司的2000 SERVER AD迁移到2003SERVER，公司两个域构成树林，两个域树无子域，做了信任关系，如果重做域，许多客户端要重新加域浪费时间。刚开始想直接将2003做成额外的域控制器，然后升级成PDC,再将2000SERVER降级。在做额外域控制器时发生如下错误：“架构主机上一次重启未完成复制周期，架构可以被扩张以前，架构主机必须完成至少一次复制周期，请使用站点和服务管理器单元在架构操作主机和至少一个复制伙伴之间复制。”
我想既然是复制周期未完成，那干脆，我手动给它同步一下吧，运行 replmon，出现如下错误提示：当尝试连接域服务器时，发生如下错误，RPC服务器不可用，怀疑是DNS问题，用NSLOOKUP检查未出现解析问题，又用DNSLINT诊断，看不懂DNSLint Report。不知如何解决，打电话到微软，微软的工程师叫我将运行DCDIAG的报告发给他，今天收到回复邮件：经过检查发现您目前的域是单标签域。我们不建议您使用具有单标签 DNS 名称的域。请在域控制器的注册表中添加以下内容：
子项：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DnsCache\Parameters
项名称：UpdateTopLevelDomainZones
数据类型：DWORD
值： 1
子项： HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters
项名称：AllowSingleLabelDnsDomain
数据类型：DWORD
值：1
按照上面方法添加注册表子项，并在2000Server的光驱中插入Windows Server 2003安装光盘(第2张光盘)，在命令行方式下进入光盘上的\I386目录，运行以下命令：adprep /forestprep，林扩展顺利完成，又利用adprep / domainprep命令扩展域结构；域架构也扩展成功。呵呵,看来微软的工程师蛮牛逼的。
给装了2003SERVER的服务器建AD,建到一半，出现如下错误：AD安装向导无法将计算机账户转换成域控制器，拒绝访问，上微软官网查资料，在线工程师给出如下指点：
1. 在“Active Directory 用户和计算机”管理单元中，编辑域控制器组织单位上的默认域控制器策略。
2. 双击计算机配置，然后依次单击 Windows 设置、安全设置、本地策略和用户权限分配。
3. 在“使计算机和用户帐户能够被信任进行委派操作”下，添加合适的帐户或组。
4. 使用以下方法之一应用策略：? 在提示符处，键入 secedit /refreshpolicy machine_policy /enforce。 应用更新的策略，请重新启动域控制器。
按照上述办法，顺利将装有2003的服务器做成额外的域控制器。然后在Windows Server 2003上安装DNS服务，并确认它已经和原来的Windows 2000 DNS服务器上的数据复制同步后，将它的DNS服务器地址指向自己。
接下来的角色迁移和原域控降级就顺利多了，几乎没有发生错误提示。
在迁移过程中，如何清晰的把握迁移的原理，一些基本概念及步骤是光键。其中怀疑是域同步，DNS，AD数据库里面有垃圾对象(原来有非正常删除DC)等问题而浪费许多时间。