nabezo wiki

極力ドメインコントローラはほかのサービスと一緒のサーバにしない。 可能ならVMにする。（サーバーの置き換え、ネットワーク変更がしやすい）

インターネット関連のサーバーは参加させなくてもよい。

ドメインをどのように考えるか？ さまざまなPCで構成された、ネットワークの１群を管理する上で、インフラにかかわるサービスを ドメインの中にいれるか、外に出すか？

http://www.tech-faq.com/lang/ja/active-directory-terminology-and-concepts.shtml

Pingが通ること。 DNSが設定されている、もしくはLMHOSTSがあること。

ActiveDirectory 上に同一名がないこと。

http://support.microsoft.com/kb/179442/ja

この環境では、信頼関係の一方は Windows NT 4.0 の信頼、または、NetBIOS 名を使用して作成された信頼です。 クライアント ポート サーバー ポート サービス

137/UDP  137/UDP  NetBIOS ネーム  
138/UDP  138/UDP  NetBIOS Netlogon と参照  
1024 ～ 65535/TCP  139/TCP  NetBIOS セッション  
1024 ～ 65535/TCP  42/TCP  WINS 複製  

Windows NT ドメイン コントローラまたはレガシ クライアントを使用する混在モードのドメイン、または、異なるフォレスト内に存在する 2 台の Windows Server 2003 ベースまたは Windows 2000 Server ベースのドメイン コントローラ間の信頼関係では、以下のポートに加えて、上記の表に記載されている Windows NT 用のすべてのポートを開くことが必要な場合があります。 クライアント ポート  サーバー ポート  サービス  
1024 ～ 65535/TCP  135/TCP  RPC  
1024 ～ 65535/TCP  1024 ～ 65535/TCP  LSA RPC サービス (*)  
1024 ～ 65535/TCP/UDP  389/TCP/UDP  LDAP  
1024 ～ 65535/TCP  636/TCP  SSL 上の LDAP  
1024 ～ 65535/TCP  3268/TCP  LDAP GC  
1024 ～ 65535/TCP  3269/TCP  SSL 上の LDAP GC  
53、1024 ～ 65535/TCP/UDP  53/TCP/UDP  DNS  
1024 ～ 65535/TCP/UDP  88/TCP/UDP  Kerberos 認証  
1024 ～ 65535/TCP  445/TCP  SMB  

Windows 2000 Server based な [Active Directory] で
Windows Server 2003 を Domain Controller に昇格させる場合は，
まず adprerp で Active Directory を upgrade させる必要があります．
記述が無かったので念のため．
手順は Microsoft の site で公開されています．