Резюме:
Отличия от общей инструкции по миграции: ldap timeout = 50
Доп. ошибка: два параметра workgroup в smb.conf. Ругани на то, что их два нету. Смотреть через grep или find дублируемые параметры.
Сейчас: на получившемся домене:
роль поднята до 2008R2
samba-tool domain level raise --domain-level 2008_R2 --forest-level 2008_R2
ПК и пользователи перенесены нормально (отображаются ФИО, пароли исходный и конечный совпадают), авторизуются системы xp-7-10. На вновь введённых в домен системах всех пользователей пускает нормально. На ПК со старого домена: если пользователь уже авторизовывался в системе - всё ок. Если первый вход учётной записи для этого ПК - Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть.
Альты пока не проверял.