Windows 2000 ドメイン コントローラーを Windows Server 2003 にアップグレードする方法

  • [アーティクル]

この記事では、Microsoft Windows 2000 ドメイン コントローラーを Windows Server 2003 にアップグレードする方法と、新しい Windows Server 2003 ドメイン コントローラーを Windows 2000 ドメインに追加する方法について説明します。

適用対象: Windows Server 2012 R2
元の KB 番号: 325379

概要

この記事では、Microsoft Windows 2000 ドメイン コントローラーを Windows Server 2003 にアップグレードする方法と、新しい Windows Server 2003 ドメイン コントローラーを Windows 2000 ドメインに追加する方法について説明します。 ドメイン コントローラーを Windows Server 2008 または Windows Server 2008 R2 にアップグレードする方法の詳細については、次の Microsoft Web サイトを参照してください。

ドメイン コントローラーのアップグレード: Windows Server 2008 または Windows Server 2008 R2 ドメイン コントローラーを既存のドメインに追加するためのクイック スタートをMicrosoft サポート

ドメインとフォレストのインベントリ

Windows 2000 ドメイン コントローラーを Windows Server 2003 にアップグレードする前、または新しい Windows Server 2003 ドメイン コントローラーを Windows 2000 ドメインに追加する前に、次の手順を実行します。

  1. SMB 署名との互換性のために、Windows Server 2003 ドメイン コントローラーをホストするドメイン内のリソースにアクセスするクライアントのインベントリを作成します。

    各 Windows Server 2003 ドメイン コントローラーは、ローカル セキュリティ ポリシーで SMB 署名を有効にします。 SMB/CIFS プロトコルを使用して、Windows Server 2003 ドメイン コントローラーをホストするドメイン内の共有ファイルとプリンターにアクセスするすべてのネットワーク クライアントを、SMB 署名をサポートするように構成またはアップグレードできることを確認します。 できない場合は、更新プログラムをインストールできるまで、またはクライアントを SMB 署名をサポートする新しいオペレーティング システムにアップグレードできるようになるまで、SMB 署名を一時的に無効にします。 SMB 署名を無効にする方法については、この手順の最後にある 「SMB 署名を無効にするには 」セクションを参照してください。

    アクション プラン

    次の一覧は、一般的な SMB クライアントのアクション プランを示しています。

    • Microsoft Windows Server 2003、Microsoft Windows XP Professional、Microsoft Windows 2000 Server、Microsoft Windows 2000 Professional、Microsoft Windows 98

      何もする必要はありません。

    • Microsoft Windows NT 4.0 Windows Server 2003 ベースのコンピューターを含むドメインにアクセスするすべてのWindows NT 4.0 ベースのコンピューターに Service Pack 3 以降をインストールする (Service Pack 6A をお勧めします)。 代わりに、Windows Server 2003 ドメイン コントローラーで SMB 署名を一時的に無効にします。 SMB 署名を無効にする方法については、この手順の最後にある 「SMB 署名を無効にするには 」セクションを参照してください。

    • Microsoft Windows 95

      Windows 95 ベースのコンピューターに Windows 9 x ディレクトリ サービス クライアントをインストールするか、Windows Server 2003 ドメイン コントローラーで SMB 署名を一時的に無効にします。 元の Win9 x ディレクトリ サービス クライアントは、Windows 2000 Server CD-ROM で使用できます。 ただし、そのクライアント アドオンは、改善された Win9 x ディレクトリ サービス クライアントに置き換えられました。 SMB 署名を無効にする方法については、この手順の最後にある 「SMB 署名を無効にするには 」セクションを参照してください。

    • MS-DOS クライアントと Microsoft LAN Manager クライアント用の Microsoft ネットワーク クライアント

      MS-DOS 用 Microsoft Network Client と Microsoft LAN Manager 2.x ネットワーク クライアントは、ネットワーク リソースへのアクセスを提供するために使用することも、オペレーティング システム ファイルやその他のファイルをソフトウェア インストール ルーチンの一部としてファイル サーバー上の共有ディレクトリからコピーするために、起動可能なフロッピー ディスクと組み合わせて使用することもできます。 これらのクライアントは SMB 署名をサポートしていません。 別のインストール方法を使用するか、SMB 署名を無効にします。 SMB 署名を無効にする方法については、この手順の最後にある 「SMB 署名を無効にするには 」セクションを参照してください。

    • Macintosh クライアント

      一部の Macintosh クライアントは SMB 署名と互換性がありません。ネットワーク リソースに接続しようとすると、次のエラー メッセージが表示されます。

      - エラー -36 I/O

      利用可能な場合は、更新されたソフトウェアをインストールします。 それ以外の場合は、Windows Server 2003 ドメイン コントローラーで SMB 署名を無効にします。 SMB 署名を無効にする方法については、この手順の最後にある 「SMB 署名を無効にするには 」セクションを参照してください。

    • その他のサード パーティの SMB クライアント

      一部のサード パーティの SMB クライアントでは、SMB 署名がサポートされていません。 SMB プロバイダーに問い合わせて、更新されたバージョンが存在するかどうかを確認します。 それ以外の場合は、Windows Server 2003 ドメイン コントローラーで SMB 署名を無効にします。

    SMB 署名を無効にするには

    Windows Server 2003 の導入前にインストールされた Windows 95、Windows NT 4.0、またはその他のクライアントを実行している影響を受けるドメイン コントローラーにソフトウェア更新プログラムをインストールできない場合は、更新されたクライアント ソフトウェアを展開できるようになるまで、グループ ポリシーの SMB サービス署名要件を一時的に無効にします。

    ドメイン コントローラー組織単位の既定のドメイン コントローラー ポリシーの次のノードで SMB サービスの署名を無効にすることができます。コンピューターの構成\Windows 設定\セキュリティ設定\ローカル ポリシー\セキュリティ オプション\Microsoft Network Server:

    通信にデジタル署名する (常に)

    ドメイン コントローラーがドメイン コントローラーの組織単位にない場合は、既定のドメイン コントローラーの グループ ポリシー オブジェクト (GPO) を、Windows 2000 または Windows Server 2003 ドメイン コントローラーをホストするすべての組織単位にリンクする必要があります。 または、それらの組織単位にリンクされている GPO で SMB サービスの署名を構成することもできます。

  2. ドメイン内およびフォレスト内にあるドメイン コントローラーのインベントリを作成します。

    1. フォレスト内のすべての Windows 2000 ドメイン コントローラーに、すべての適切な修正プログラムとサービス パックがインストールされていることを確認します。

      Microsoft では、すべての Windows 2000 ドメイン コントローラーで Windows 2000 Service Pack 4 (SP4) 以降のオペレーティング システムを実行することをお勧めします。 Windows 2000 SP4 以降を完全に展開できない場合、すべての Windows 2000 ドメイン コントローラーには、日付スタンプとバージョンが 2001 年 6 月 4 日と 5.0.2195.3673 より後の Ntdsa.dll ファイルが 必要 です。

      既定では、Windows 2000 SP4、Windows XP、および Windows Server 2003 クライアント コンピューターの Active Directory 管理ツールでは、ライトウェイト ディレクトリ アクセス プロトコル (LDAP) 署名が使用されます。 このようなコンピューターが Windows 2000 ドメイン コントローラーをリモートで管理するときに NTLM 認証を使用する (またはフォールバックする) 場合、接続は機能しません。 この動作を解決するには、リモートで管理されるドメイン コントローラーに少なくとも Windows 2000 SP3 がインストールされている必要があります。 それ以外の場合は、管理ツールを実行するクライアントで LDAP 署名をオフにする必要があります。

      次のシナリオでは、NTLM 認証を使用します。

      • NTLM (Kerberos 以外) の信頼によって接続されている外部フォレストにある Windows 2000 ドメイン コントローラーを管理します。
      • Microsoft 管理コンソール (MMC) スナップインを、その IP アドレスによって参照される特定のドメイン コントローラーに焦点を当てます。 たとえば、[ スタート] をクリックし、[ 実行] をクリックし、次のコマンドを入力します。 dsa.msc /server=ipaddress

      Active Directory ドメイン内の Active Directory ドメイン コントローラーのオペレーティング システムと Service Pack リビジョン レベルを確認するには、Windows Server 2003 バージョンの Repadmin.exe をフォレスト内の Windows XP Professional または Windows Server 2003 メンバー コンピューターにインストールし、フォレスト内の各ドメインのドメイン コントローラーに対して次 repadmin のコマンドを実行します。

      >repadmin /showattr <name of the domain controller that is in the target domain> ncobj:domain: /filter:"(&(objectCategory=computer)(primaryGroupID=516))" /subtree /atts:operatingSystem,operatingSystemVersion,operatingSystemServicePack

DN: CN=NA-DC-01,organizational unit=Domain Controllers,DC=company,DC=com
 1> operatingSystem: Windows Server 2003
 1> operatingSystemVersion: 5.2 (3718)
DN: CN=NA-DC-02,organizational unit=Domain Controllers,DC=company,DC=com
 1> operatingSystem: Windows 2000 Server
 1> operatingSystemVersion: 5.0 (2195)
 1> operatingSystemServicePack: Service Pack 1

      注:

      ドメイン コントローラーの属性は、個々の修正プログラムのインストールを追跡しません。

    2. フォレスト全体のエンド ツー エンドの Active Directory レプリケーションを確認します。

      アップグレードされたフォレスト内の各ドメイン コントローラーが、ローカルに保持されているすべての名前付けコンテキストを、サイト リンクまたは接続オブジェクトが定義するスケジュールと一貫してパートナーとレプリケートすることを確認します。 フォレスト内の Windows XP または Windows Server 2003 ベースのメンバー コンピューターで Windows Server 2003 バージョンの Repadmin.exe を使用します。フォレスト内のすべてのドメイン コントローラーはエラーなしで Active Directory をレプリケートする必要があり、repadmin 出力の "最大デルタ" 列の値は、指定された宛先ドメインドメインで使用される対応するサイト リンクまたは接続オブジェクトのレプリケーション頻度を大幅に超えてはなりません。コント ローラー。

      受信レプリケートに失敗したドメイン コントローラー間のすべてのレプリケーション エラーを、Tombstone Lifetime (TSL) 日数 (既定では 60 日) 未満で解決します。 レプリケーションを機能させることができない場合は、Ntdsutil メタデータ クリーンアップ コマンドを使用してドメイン コントローラーを強制的に降格し、フォレストから削除してから、フォレストに昇格させる必要があります。 強制的な降格を使用して、オペレーティング システムのインストールと孤立したドメイン コントローラー上にあるプログラムの両方を保存できます。 孤立した Windows 2000 ドメイン コントローラーをドメインから削除する方法の詳細については、次の記事番号をクリックして、Microsoft サポート技術情報の記事を表示してください。

      216498 ドメイン コントローラーの降格に失敗した後に Active Directory のデータを削除する方法

      このアクションは、オペレーティング システムとインストールされているプログラムのインストールを回復するための最後の手段としてのみ実行してください。 ユーザー、コンピューター、信頼関係、パスワード、グループ、グループ メンバーシップなど、孤立したドメイン コントローラー上の参照されないオブジェクトと属性が失われます。

      特定の Active Directory パーティションの受信変更を 、tombstonelifetime 日数 を超えてレプリケートしていないドメイン コントローラーでレプリケーション エラーを解決しようとするときは注意してください。 これを行うと、1 つのドメイン コントローラーで削除されたが、過去 60 日間に直接または推移的なレプリケーション パートナーが削除を受け取らなかったオブジェクトを再アニメーション化できます。

      過去 60 日間に受信レプリケーションを実行していないドメイン コントローラー上に存在する残留オブジェクトを削除することを検討してください。 または、廃棄ストーンの有効期間日数で特定のパーティションで受信レプリケーションを実行していないドメイン コントローラーを強制的に降格し、残りのメタデータを Ntdsutil やその他のユーティリティを使用して Active Directory フォレストから削除することもできます。 その他のヘルプについては、サポート プロバイダーまたは Microsoft PSS にお問い合わせください。

    3. Sysvol 共有の内容が一貫性があることを確認します。

      グループ ポリシーのファイル システム部分に一貫性があることを確認します。 Resource Kit の Gpotool.exe を使用して、ドメイン全体のポリシーに不整合があるかどうかを判断できます。 Windows Server 2003 サポート ツールの正常性チェックを使用して、Sysvol 共有レプリカ セットが各ドメインで正しく機能するかどうかを判断します。

      Sysvol 共有の内容に不整合がある場合は、すべての不整合を解決します。

    4. サポート ツールの Dcdiag.exe を使用して、すべてのドメイン コントローラーが Netlogon と Sysvol 共有を共有していることを確認します。 そのためには、コマンド プロンプトで次のコマンドを入力します。

      DCDIAG.EXE /e /test:frssysvol

    5. 操作ロールをインベントリします。

      スキーマとインフラストラクチャ操作マスターは、フォレストとドメイン全体のスキーマ変更を、Windows Server 2003 adprep ユーティリティによって行われるフォレストとそのドメインに導入するために使用されます。 フォレスト内の各ドメインのスキーマ ロールとインフラストラクチャ ロールをホストするドメイン コントローラーがライブ ドメイン コントローラーに存在し、各ロール所有者が最後に再起動されてからすべてのパーティションに対して受信レプリケーションを実行していることを確認します。

      コマンドを DCDIAG /test:FSMOCHECK 使用して、フォレスト全体およびドメイン全体の運用ロールを表示できます。 存在しないドメイン コントローラーに存在する操作マスター ロールは、NTDSUTIL を使用して正常なドメイン コントローラーに押し付ける必要があります。 異常なドメイン コントローラーに存在するロールは、可能であれば転送する必要があります。 それ以外の場合は、押収する必要があります。 コマンドは NETDOM QUERY FSMO 、削除されたドメイン コントローラーに存在する FSMO ロールを識別しません。

      が最後に起動されてから Active Directory の受信レプリケーションが実行されていることを確認します。 受信レプリケーションは、 コマンドを REPADMIN /SHOWREPS DCNAME 使用して確認できます。 ここで、DCNAME は NetBIOS コンピューター名か、ドメイン コントローラーの完全修飾コンピューター名です。 操作マスターとその配置の詳細については、次の記事番号をクリックして、Microsoft サポート技術情報の記事を表示します。

      Windows 2000 Active Directory FSMO ロールの197132

      Active Directory ドメイン コントローラーでの FSMO の配置と最適化の223346

    6. EventLog レビュー

      問題のあるイベントがないか、すべてのドメイン コントローラーのイベント ログを調べます。 イベント ログには、次のいずれかのプロセスとコンポーネントの問題を示す重大なイベント メッセージを含めてはなりません。

      物理接続
      ネットワーク接続
      名前の登録
      名前解決
      認証
      グループ ポリシー
      セキュリティ ポリシー
      ディスク サブシステム
      スキーマ
      トポロジ
      レプリケーション エンジン

    7. ディスク領域インベントリ

      Active Directory データベース ファイル Ntds.dit をホストするボリュームには、Ntds.dit ファイル サイズの少なくとも 15 ~ 20% の空き領域が必要です。 Active Directory ログ ファイルをホストするボリュームには、Ntds.dit ファイル サイズの 15 ~ 20% 以上の空き領域も必要です。 追加のディスク領域を解放する方法の詳細については、この記事の「十分なディスク領域のないドメイン コントローラー」セクションを参照してください。

    8. DNS 清掃 (省略可能)

      フォレスト内のすべての DNS サーバーに対して 7 日間隔で DNS 清掃を有効にします。 最適な結果を得るには、オペレーティング システムをアップグレードする 61 日以上前に、この操作を実行してください。 これにより、Ntds.dit ファイルでオフラインデフラグが実行されたときに、期限切れの DNS オブジェクトをガベージコレクションするのに十分な時間が DNS 清掃デーモンに提供されます。

    9. DLT Server サービスを無効にする (省略可能)

      DLT Server サービスは、Windows Server 2003 ドメイン コントローラーの新規およびアップグレードされたインストールで無効になります。 分散リンク追跡を使用しない場合は、Windows 2000 ドメイン コントローラーで DLT Server サービスを無効にし、フォレスト内の各ドメインから DLT オブジェクトの削除を開始できます。 詳細については、「Microsoft サポート技術情報: Windows ベースのドメイン コントローラーでの分散リンク追跡の 312403 」の記事の「Microsoft の分散型リンク追跡に関する推奨事項」セクションを参照してください。

    10. システム状態のバックアップ

      フォレスト内のすべてのドメインで、少なくとも 2 つのドメイン コントローラーのシステム状態バックアップを作成します。 アップグレードが機能しない場合は、バックアップを使用してフォレスト内のすべてのドメインを回復できます。

Windows 2000 フォレストの Microsoft Exchange 2000

注:

Exchange 2000 スキーマでは、コメントの要求 (RFC) に準拠していない LDAPDisplayNames (houseIdentifier、secretary、labeledURI) の 3 つの inetOrgPerson 属性が定義されています。

Windows 2000 inetOrgPerson Kit と Windows Server 2003 コマンドは、同じ 3 adprep つの属性の RFC 苦情バージョンを、同じ LDAPDisplayNames を RFC 準拠以外のバージョンとして定義します。

Windows 2000 および Exchange 2000 スキーマが変更されたフォレストで修正スクリプトなしで Windows Server 2003 adprep /forestprep コマンドを実行すると、houseIdentifier、labeledURI、および secretary 属性の LDAPDisplayNames がマングルされます。 ディレクトリ内のオブジェクトと属性が一意の名前になるように、"Dup" またはその他の一意の文字が競合する属性名の先頭に追加されると、属性は "mangled" になります。

Active Directory フォレストは、次の場合に、これらの属性に対してマングルされた LDAPDisplayNames に対して脆弱ではありません。

  • Exchange 2000 スキーマを追加する前に、Windows 2000 スキーマを含むフォレストで Windows Server 2003 adprep /forestprep コマンドを実行する場合。
  • Windows Server 2003 ドメイン コントローラーがフォレスト内の最初のドメイン コントローラーであった場所に作成されたフォレストに Exchange 2000 スキーマをインストールする場合。
  • Windows 2000 スキーマを含むフォレストに Windows 2000 inetOrgPerson Kit を追加し、Exchange 2000 スキーマの変更をインストールした後、Windows Server 2003 adprep /forestprep コマンドを実行します。
  • 既存の Windows 2000 フォレストに Exchange 2000 スキーマを追加する場合は、Windows Server 2003 コマンドを実行する前に Exchange 2003 adprep /forestprep /forestprep を実行します。

マングル属性は、次の場合に Windows 2000 で発生します。

  • Windows 2000 inetOrgPerson Kit をインストールする前に、Exchange 2000 バージョンの labeledURI、houseIdentifier、および secretary 属性を Windows 2000 フォレストに追加する場合。
  • 最初にクリーンアップ スクリプトを実行せずに Windows Server 2003 adprep /forestprep コマンドを実行する前に、Exchange 2000 バージョンの labeledURI、houseIdentifier、および secretary 属性を Windows 2000 フォレストに追加します。 各シナリオのアクション プランは次のとおりです。

シナリオ 1: Windows Server 2003 adprep /forestprep コマンドを実行した後、Exchange 2000 スキーマの変更が追加される

Windows Server 2003 adprep /forestprep コマンドの実行後に Exchange 2000 スキーマの変更が Windows 2000 フォレストに導入される場合、クリーンアップは必要ありません。 「概要: Windows 2000 ドメイン コントローラーを Windows Server 2003 にアップグレードする」セクションに移動します。

シナリオ 2: Windows Server 2003 adprep /forestprep コマンドの前に Exchange 2000 スキーマの変更がインストールされる

Exchange 2000 スキーマの変更が既にインストールされているが、Windows Server 2003 adprep /forestprep コマンドを実行していない場合は、次のアクション プランを検討してください。

  1. Schema Admins セキュリティ グループのメンバーであるアカウントを使用して、スキーマ操作マスターのコンソールにログオンします。

  2. [スタート] をクリックし、[実行] をクリックし、[開く] ボックスに「notepad.exe」と入力し、[OK] をクリックします

  3. "schemaUpdateNow: 1" の後の末尾のハイフンを含む次のテキストをメモ帳にコピーします。

    dn: CN=ms-Exch-Assistant-Name,CN=Schema,CN=Configuration,DC=X
    changetype: Modify
    replace:LDAPDisplayName
    LDAPDisplayName: msExchAssistantName
    -

    dn: CN=ms-Exch-LabeledURI,CN=Schema,CN=Configuration,DC=X
    changetype: Modify
    replace: LDAPDisplayName
    LDAPDisplayName: msExchLabeledURI
    -

    dn: CN=ms-Exch-House-Identifier,CN=Schema,CN=Configuration,DC=X
    changetype: Modify
    replace: LDAPDisplayName
    LDAPDisplayName: msExchHouseIdentifier
    -

    Dn:
    changetype: Modify
    add: schemaUpdateNow
    schemaUpdateNow: 1
    -

  4. 各行の末尾にスペースがないことを確認します。

  5. [ファイル] メニューで [保存] をクリックします。 [名前を付けて保存] ダイアログ ボックスで、次の手順を実行します。

    1. [ファイル名] ボックスに、\%userprofile%\InetOrgPersonPrevent.ldf と入力します。
    2. [ 名前を付けて保存] の種類ボックスで 、[ すべてのファイル] をクリックします。
    3. [ エンコード ] ボックスで、[ Unicode] をクリックします。
    4. [保存] をクリックします。
    5. メモ帳を終了します。

  6. InetOrgPersonPrevent.ldf スクリプトを実行します。

    1. [スタート] をクリックし、[実行] をクリックし、[開く] ボックスに「cmd」と入力し、[OK] をクリックします

    2. コマンド プロンプトで、次のように入力し、Enter キーを押します。 cd %userprofile%

    3. 次のコマンドを入力します

    c:\documents and settings\%username%>ldifde -i -f inetorgpersonprevent.ldf -v -c DC=X "domain name path for forest root domain"

    構文に関する注意事項:

    • DC=X は大文字と小文字を区別する定数です。
    • ルート ドメインのドメイン名パスは、引用符で囲む必要があります。

    たとえば、フォレストのルート ドメインが次の Active Directory フォレストのコマンド構文です TAILSPINTOYS.COM

    c:\documents and settings\administrator>ldifde -i -f inetorgpersonprevent.ldf -v -c DC=X "dc=tailspintoys,dc=com"

    注:

    次のエラー メッセージが表示される場合は、 スキーマ更新許可 レジストリ サブキーを変更する必要があります。レジストリ キーが設定されていないか、DC がスキーマ FSMO ロール所有者ではないため、この DC ではスキーマ更新が許可されません。

  7. Windows Server 2003 adprep /forestprep コマンドを実行する前に、スキーマの名前付けコンテキストで CN=ms-Exch-Assistant-Name、CN=ms-Exch-LabeledURI、CN=ms-Exch-House-Identifier 属性の LDAPDisplayName が msExchAssistantName、msExchLabeledURI、msExchHouseIdentifier として表示されることを確認します。

  8. および コマンドを実行するには、「概要: Windows 2000 ドメイン コントローラーを Windows Server 2003 にアップグレードする」セクションにadprep /forestprep/domainprep移動します。

シナリオ 3: 最初に inetOrgPersonFix を実行せずに Windows Server 2003 forestprep コマンドを実行しました

Exchange 2000 スキーマの変更を含む Windows 2000 フォレストで Windows Server 2003 adprep /forestprep コマンドを実行すると、houseIdentifier、secretary、labeledURI の LDAPDisplayName 属性がマングルされます。 マングルされた名前を識別するには、Ldp.exe を使用して、影響を受ける属性を見つけます。

  1. Microsoft Windows 2000 または Windows Server 2003 メディアの Support\Tools フォルダーから Ldp.exe をインストールします。

  2. フォレスト内のドメイン コントローラーまたはメンバー コンピューターから Ldp.exe を開始します。

    1. [接続] メニューの [接続] をクリックし、[サーバー] ボックスを空のままにし、[ポート] ボックスに「389」と入力し、[OK] をクリックします
    2. [ 接続 ] メニューの [ バインド] をクリックし、すべてのボックスを空のままにして、[OK] をクリック します

  3. SchemaNamingContext 属性の識別名パスを記録します。 たとえば、CORP.ADATUM.COM フォレスト内のドメイン コントローラーの場合、識別名パスは CN=Schema、CN=Configuration、DC=corp、DC=company、DC=com などです。

  4. [ 参照 ] メニューの [ 検索] をクリックします。

  5. [ 検索 ] ダイアログ ボックスを構成するには、次の設定を使用します。

    • ベース DN: 手順 3 で識別されるスキーマの名前付けコンテキストの識別名パス。
    • フィルター: (ldapdisplayname=dup*)
    • スコープ: サブツリー

  6. Mangled houseIdentifier、secretary、labeledURI 属性には、次のような形式の LDAPDisplayName 属性があります。

    LDAPDisplayName: DUP-labeledURI-9591bbd3-d2a6-4669-afda-48af7c35507d;
    LDAPDisplayName: DUP-secretary-c5a1240d-70c0-455c-9906-a4070602f85f
    LDAPDisplayName: DUP-houseIdentifier-354b0ca8-9b6c-4722-aae7-e66906cc9eef

  7. 手順 6 で labeledURI、secretary、houseIdentifier の LDAPDisplayNames が壊れた場合は、Windows Server 2003 InetOrgPersonFix.ldf スクリプトを実行して回復し、[Winnt32.exe を使用した Windows 2000 ドメイン コントローラーのアップグレード] セクションに移動します。

    1. %Systemdrive%\IOP という名前のフォルダーを作成し、InetOrgPersonFix.ldf ファイルをこのフォルダーに抽出します。

    2. コマンド プロンプトで、「」と入力します cd %systemdrive%\iop

    3. Windows Server 2003 インストール メディアの Support\Tools フォルダーにある Support.cab ファイルから InetOrgPersonFix.ldf ファイルを抽出します。

    4. スキーマ操作マスターのコンソールから、Ldifde.exe を使用して inetOrgPersonFix.ldf ファイルを読み込み、houseIdentifier、secretary、labeledURI 属性の LdapDisplayName 属性を修正します。 これを行うには、次のコマンドを入力します。ここで <、X> は大文字と小文字を区別する定数であり、 <フォレストのルート ドメイン> の dn パスはフォレストのルート ドメインのドメイン名パスです。

      C:\IOP>ldifde -i -f inetorgpersonfix.ldf -v -c DC=X "domain name path for forest root domain"

      構文に関する注意事項:

      • DC=X は大文字と小文字を区別する定数です。
      • フォレスト ルート ドメインのドメイン名パスは、引用符で囲む必要があります。

  8. Exchange 2000 をインストールする前に、スキーマの名前付けコンテキストの houseIdentifier、secretary、labeledURI 属性が "mangled" ではないことを確認します。

概要: Windows 2000 ドメイン コントローラーを Windows Server 2003 にアップグレードする

Windows Server 2003 adprep メディアの \I386 フォルダーから実行する Windows Server 2003 コマンドは、Windows Server 2003 ドメイン コントローラーを追加するために Windows 2000 フォレストとそのドメインを準備します。 Windows Server 2003 adprep /forestprep コマンドは、次の機能を追加します。

  • オブジェクト クラスの既定のセキュリティ記述子の改善

  • 新しいユーザー属性とグループ属性

  • inetOrgPerson のような新しいスキーマ オブジェクトと属性 adprep ユーティリティでは、次の 2 つのコマンド ライン引数がサポートされています。

    • adprep /forestprep: フォレストのアップグレード操作を実行します。
    • dprep /domainprep: ドメインアップグレード操作を実行します。

コマンドは adprep /forestprep 、フォレストのスキーマ操作マスター (FSMO) で実行される 1 回限りの操作です。 フォレストprep 操作を完了し、そのドメインで実行 adprep /domainprep する前に、各ドメインのインフラストラクチャ マスターにレプリケートする必要があります。

コマンドは adprep /domainprep 、新しいまたはアップグレードされた Windows Server 2003 ドメイン コントローラーをホストするフォレスト内の各ドメインのインフラストラクチャ操作マスター ドメイン コントローラーで実行する 1 回限りの操作です。 コマンドは adprep /domainprep 、forestprep からの変更がドメイン パーティションにレプリケートされていることを確認し、Sysvol 共有内のドメイン パーティションとグループ ポリシーに独自の変更を加えます。

/forestprep 操作と /domainprep 操作が完了し、そのドメイン内のすべてのドメイン コントローラーにレプリケートされていない限り、次のいずれかのアクションを実行することはできません。

  • Winnt32.exe を使用して、Windows 2000 ドメイン コントローラーを Windows Server 2003 ドメイン コントローラーにアップグレードします。

注:

必要に応じて、Windows 2000 メンバー サーバーとコンピューターを Windows Server 2003 メンバー コンピューターにアップグレードできます。 Dcpromo.exe を使用して、新しい Windows Server 2003 ドメイン コントローラーをドメインに昇格させます。スキーマ操作マスターをホストするドメインは、 と の両方 adprep /forestprep を実行する必要がある唯一の adprep /domainprepドメインです。 その他のすべてのドメインでは、 を実行 adprep /domainprepするだけで済みます。

adprep /forestprepコマンドと コマンドではadprep /domainprep、グローバル カタログの部分属性セットに属性が追加されたり、グローバル カタログが完全に同期されたりすることはありません。 の RTM バージョン adprep /domainprep では、Sysvol ツリー内の \Policies フォルダーが完全に同期されます。 forestprep と domainprep を複数回実行した場合でも、完了した操作は 1 回だけ実行されます。

から adprep /forestprep 変更を加えて adprep /domainprep 完全にレプリケートした後、Windows Server 2003 メディアの \I386 フォルダーから Winnt32.exe を実行することで、Windows 2000 ドメイン コントローラーを Windows Server 2003 にアップグレードできます。 また、Dcpromo.exe を使用して、新しい Windows Server 2003 ドメイン コントローラーをドメインに追加することもできます。

adprep /forestprep コマンドを使用したフォレストのアップグレード

Windows Server 2003 ドメイン コントローラーを受け入れるように Windows 2000 フォレストとドメインを準備するには、まずラボ環境で次の手順を実行してから、運用環境で次の手順を実行します。

  1. 次の項目に特に注意して、"フォレスト インベントリ" フェーズのすべての操作が完了していることを確認します。

    1. システム状態バックアップを作成しました。
    2. フォレスト内のすべての Windows 2000 ドメイン コントローラーには、すべての適切な修正プログラムとサービス パックがインストールされています。
    3. Active Directory のエンドツーエンド レプリケーションがフォレスト全体で発生している
    4. FRS は、各ドメイン全体でファイル システム ポリシーを正しくレプリケートします。

  2. Schema Admins セキュリティ グループのメンバーであるアカウントを使用して、スキーマ操作マスターのコンソールにログオンします。

  3. スキーマ FSMO がスキーマ パーティションの受信レプリケーションを実行したことを確認するには、Windows NT コマンド プロンプトで次のように入力します。repadmin /showreps

    ( repadmin は Active Directory の Support\Tools フォルダーによってインストールされます)。

  4. 初期の Microsoft ドキュメントでは、 を実行 adprep /forestprepする前に、プライベート ネットワークでスキーマ操作マスターを分離することをお勧めします。 実際のエクスペリエンスでは、この手順は必要ではなく、プライベート ネットワークで再起動されたときにスキーマ操作マスターがスキーマの変更を拒否する可能性があることを示唆しています。

  5. スキーマ操作マスターでを実行 adprep します。 これを行うには、[ スタート] をクリックし、[ 実行] をクリックし、「 cmd」と入力して、[OK] をクリック します。 スキーマ操作マスターで、次のコマンドを入力します。

     X:\I386\adprep /forestprep

    ここで、X:\I386\ は Windows Server 2003 インストール メディアのパスです。 このコマンドは、フォレスト全体のスキーマ アップグレードを実行します。

    注:

    次のサンプルなど、Directory Service イベント ログに記録されるイベント ID 1153 を持つイベントは無視できます。

  6. コマンドが adprep /forestprep スキーマ操作マスターで正常に実行されたことを確認します。 これを行うには、スキーマ操作マスターのコンソールから、次の項目を確認します。 - コマンドは adprep /forestprep エラーなしで完了しました。 - CN=Windows2003Update オブジェクトは、CN=ForestUpdates、CN=Configuration、DC= forest_root_domainの下に書き込 まれます。 Revision 属性の値を記録します。 - (省略可能) バージョン 30 にインクリメントされたスキーマ バージョン。 そのためには、CN=Schema、CN=Configuration、DC= forest_root_domainの ObjectVersion 属性を参照してください。実行されない場合 adprep /forestprep は、次の項目を確認します。

    • インストール メディアの \I386 フォルダーにある Adprep.exe の完全修飾パスは、実行時に adprep 指定されました。 これを行うには、次のコマンドを入力します。

      x:\i386\adprep /forestprep

      ここで 、x はインストール メディアをホストするドライブです。

    • adprep を実行するログオン ユーザーは、Schema Admins セキュリティ グループへのメンバーシップを持っています。 これを確認するには、 コマンドを whoami /all 使用します。

    • それでもうまくいかない場合 adprep は、%systemroot%\System32\Debug\Adprep\Logs\Latest_log フォルダー内のAdprep.log ファイルを 表示します。

  7. 手順 4 でスキーマ操作マスターで送信レプリケーションを無効にした場合は、レプリケーションを有効にして adprep /forestprep 、によって行われたスキーマの変更を反映できるようにします。 これを行うには、次の手順に従います。

    1. [ スタート] をクリックし、[ 実行] をクリックし、「 cmd」と入力して、[OK] をクリック します
    2. 次のように入力し、Enter キーを押します。 repadmin /options -DISABLE_OUTBOUND_REPL

  8. 変更が adprep /forestprep フォレスト内のすべてのドメイン コントローラーにレプリケートされていることを確認します。 次の属性を監視すると便利です。

    1. スキーマ バージョンのインクリメント
    2. CN=Windows2003Update、CN=ForestUpdates、CN=Configuration、DC= forest_root_domain 、CN=Operations、CN=DomainUpdates、CN=System、DC= forest_root_domain 、およびその下の操作 GUID がレプリケートされています。
    3. 新しいスキーマ クラス、オブジェクト、属性、または追加する adprep /forestprep その他の変更 (inetOrgPerson など) を検索します。 %systemroot%\System32 フォルダーの Sch XX.ldf ファイル ( XX は 14 から 30 までの数値) を表示して、必要なオブジェクトと属性を決定します。 たとえば、inetOrgPerson は Sch18.ldf で定義されています。

  9. マングルされた LDAPDisplayNames を探します。 名前が見つからない場合は、同じ記事のシナリオ 3 に移動します。

  10. スキーマ操作マスターをホストするフォレストの Schema Admins グループ セキュリティ グループのメンバーであるアカウントを使用して、スキーマ操作マスターのコンソールにログオンします。

adprep /domainprep コマンドを使用したドメインのアップグレード

/forestprep の変更が Windows Server 2003 ドメイン コントローラーをホストする各ドメインのインフラストラクチャ マスター ドメイン コントローラーに完全にレプリケートされた後に実行 adprep /domainprep します。 そのために、以下の手順に従ってください。

  1. アップグレードするドメイン内のインフラストラクチャ マスター ドメイン コントローラーを特定し、アップグレードするドメインの Domain Admins セキュリティ グループのメンバーであるアカウントでログオンします。

    注:

    エンタープライズ管理者は、フォレストの子ドメインの Domain Admins セキュリティ グループのメンバーではない可能性があります。

  2. インフラストラクチャ マスターでを実行 adprep /domainprep します。 これを行うには、[スタート] をクリックし、[実行] をクリックし、「 cmd」と入力し、[インフラストラクチャ マスター] で次のコマンド X:\I386\adprep /domainprep を入力します。ここで、X:\I386\ は Windows Server 2003 インストール メディアのパスです。 このコマンドは、ターゲット ドメインでドメイン全体の変更を実行します。

    注:

    コマンドは adprep /domainprep 、Sysvol 共有のファイルのアクセス許可を変更します。 これらの変更により、そのディレクトリ ツリー内のファイルが完全に同期されます。

  3. domainprep が正常に完了したことを確認します。 これを行うには、次の項目を確認します。

    • コマンドは adprep /domainprep エラーなしで完了しました。
    • アップグレードするドメインの CN=Windows2003Update、CN=DomainUpdates、CN=System、DC= dn パス が存在しますIf adprep /domainprep が実行されない場合は、次の項目を確認してください。
    • 実行 adprep しているログオン ユーザーは、アップグレード中のドメイン内の Domain Admins セキュリティ グループへのメンバーシップを持っています。 これを行うには、 コマンドを whoami /all 使用します。
    • インストール メディアの \I386 ディレクトリにある Adprep.exe の完全修飾パスは、 の実行時 adprepに指定されました。 これを行うには、コマンド プロンプトで次のコマンドを入力します。 x :\i386\adprep /forestprep ここで 、x はインストール メディアをホストするドライブです。
    • それでもうまくいかない場合 adprep は、%systemroot%\System32\Debug\Adprep\Logs\ Latest_log フォルダー内 のAdprep.log ファイルを 表示します。

  4. 変更が adprep /domainprep レプリケートされたことを確認します。 これを行うには、ドメイン内の残りのドメイン コントローラーについて、次の項目を確認します。 - アップグレードするドメインの CN=Windows2003Update、CN=DomainUpdates、CN=System、DC= dn パスが 存在し、Revision 属性の値がドメインのインフラストラクチャ マスターの同じ属性の値と一致します。 - (省略可能) 追加したオブジェクト、属性、またはアクセス制御リスト (ACL) の変更を adprep /domainprep 探します。 残りのドメインのインフラストラクチャ マスターで手順 1 ~ 4 を一括で繰り返すか、これらのドメインの DC を Windows Server 2003 に追加またはアップグレードします。 DCPROMO を使用して、新しい Windows Server 2003 コンピューターをフォレストに昇格できるようになりました。 または、WINNT32.EXE を使用して、既存の Windows 2000 ドメイン コントローラーを Windows Server 2003 にアップグレードすることもできます。

Winnt32.exe を使用した Windows 2000 ドメイン コントローラーのアップグレード

/forestprep と /domainprep からの変更が完全にレプリケートされ、以前のバージョンのクライアントとのセキュリティ相互運用性に関する決定が行われた後、Windows 2000 ドメイン コントローラーを Windows Server 2003 にアップグレードし、新しい Windows Server 2003 ドメイン コントローラーをドメインに追加できます。

次のコンピューターは、各ドメインのフォレストで Windows Server 2003 を実行する最初のドメイン コントローラーの 1 つでなければなりません。

  • 既定の DNS プログラム パーティションを作成できるように、フォレスト内のドメインの名前付けマスター。
  • Windows Server 2003 の forestprep が追加するエンタープライズ全体のセキュリティ プリンシパルが ACL エディターに表示されるように、フォレスト ルート ドメインのプライマリ ドメイン コントローラー。
  • 新しいドメイン固有の Windows 2003 セキュリティ プリンシパルを作成できるように、各非ルート ドメインのプライマリ ドメイン コントローラー。 そのためには、WINNT32を使用して、目的の運用ロールをホストする既存のドメイン コントローラーをアップグレードします。 または、新しく昇格した Windows Server 2003 ドメイン コントローラーにロールを転送します。 WINNT32を使用して Windows Server 2003 にアップグレードする各 Windows 2000 ドメイン コントローラーと、昇格する Windows Server 2003 ワークグループまたはメンバー コンピューターごとに、次の手順を実行します。

  1. WINNT32を使用して Windows 2000 メンバー コンピューターとドメイン コントローラーをアップグレードする前に、Windows 2000 管理ツールを削除します。 そのためには、コントロール パネルの [プログラムの追加と削除] ツールを使用します。 (Windows 2000 のアップグレードのみ)。

  2. Microsoft または管理者が重要と判断した修正プログラム ファイルまたはその他の修正プログラムをインストールします。

  3. アップグレードの可能性に関する問題については、各ドメイン コントローラーを確認してください。 これを行うには、インストール メディアの \I386 フォルダーから次のコマンドを実行します。winnt32.exe /checkupgradeonly互換性チェックが識別する問題を解決します。

  4. インストール メディアの \I386 フォルダーから WINNT32.EXE を実行し、アップグレードした 2003 ドメイン コントローラーを再起動します。

  5. 必要に応じて、以前のバージョンのクライアントのセキュリティ設定を低くします。

    Windows NT 4.0 クライアントに NT 4.0 SP6 または Windows 95 クライアントにディレクトリ サービス クライアントがインストールされていない場合は、ドメイン コントローラー組織単位の既定のドメイン コントローラー ポリシーで SMB サービス署名を無効にしてから、ドメイン コントローラーをホストするすべての組織単位にこのポリシーをリンクします。 コンピューターの構成\Windows 設定\セキュリティ設定\ローカル ポリシー\セキュリティ オプション\Microsoft ネットワーク サーバー: 通信にデジタル署名する (常に)

  6. 次のデータ ポイントを使用して、アップグレードの正常性を確認します。

    • アップグレードが正常に完了しました。
    • インストールに追加した修正プログラムによって、元のバイナリが正常に置き換えられました。
    • Active Directory の受信レプリケーションと送信レプリケーションは、ドメイン コントローラーによって保持されるすべての名前付けコンテキストで発生しています。
    • Netlogon 共有と Sysvol 共有が存在します。
    • イベント ログは、ドメイン コントローラーとそのサービスが正常であることを示します。

    注:

    アップグレード後に次のイベント メッセージが表示される場合があります。このイベント メッセージは無視しても問題ありません。

  7. Windows Server 2003 管理ツール (Windows 2000 アップグレードと Windows Server 2003 非ドメイン コントローラーのみ) をインストールします。 Adminpak.msi は、Windows Server 2003 CD-ROM の \I386 フォルダーにあります。 Windows Server 2003 メディアには、Support\Tools\Suptools.msi ファイルに更新されたサポート ツールが含まれています。 このファイルを再インストールしてください。

  8. フォレスト内の各ドメインで Windows Server 2003 にアップグレードした最初の 2 つ以上の Windows 2000 ドメイン コントローラーの新しいバックアップを作成します。 Windows Server 2003 にアップグレードした Windows 2000 コンピューターのバックアップをロックされた記憶域で見つけ、誤って使用して Windows Server 2003 を実行するドメイン コントローラーを復元しないようにします。

  9. (省略可能)単一インスタンス ストア (SIS) が完了した後に Windows Server 2003 にアップグレードしたドメイン コントローラーで Active Directory データベースのオフライン最適化を実行します (Windows 2000 のアップグレードのみ)。

    SIS は、Active Directory に格納されているオブジェクトに対する既存のアクセス許可を確認し、それらのオブジェクトに対してより効率的なセキュリティ記述子を適用します。 アップグレードされたドメイン コントローラーが最初に Windows Server 2003 オペレーティング システムを起動すると、SIS は自動的に開始されます (ディレクトリ サービス イベント ログのイベント 1953 によって識別されます)。 セキュリティ記述子ストアの改善のメリットは、ディレクトリ サービス イベント ログにイベント ID 1966 イベント メッセージを記録する場合のみです。このイベント メッセージは、単一インスタンス ストア操作が完了したことを示し、管理者が NTDSUTIL.EXE を使用して Ntds.dit のオフライン最適化を実行するキューとして機能することを示します。

    オフライン最適化を使用すると、Windows 2000 Ntds.dit ファイルのサイズを最大 40% 削減し、Active Directory のパフォーマンスを向上させ、データベース内のページを更新して、リンク値属性をより効率的に格納できます。 Active Directory データベースを最適化する方法の詳細については、次の記事番号をクリックして、Microsoft サポート技術情報の記事を参照してください。

    232122 Active Directory データベースのオフライン最適化の実行

  10. DLT Server サービスを調査します。 Windows Server 2003 ドメイン コントローラーは、新規インストールとアップグレードインストール時に DLT Server サービスを無効にします。 organizationの Windows 2000 または Windows XP クライアントで DLT Server サービスを使用する場合は、グループ ポリシーを使用して、新しいまたはアップグレードされた Windows Server 2003 ドメイン コントローラーで DLT Server サービスを有効にします。 それ以外の場合は、Active Directory から分散リンク追跡オブジェクトを段階的に削除します。 詳細については、次の記事番号をクリックして、Microsoft サポート技術情報の記事を表示します。

    Windows ベースのドメイン コントローラーでの分散リンク追跡の312403

    何千もの DLT オブジェクトまたはその他のオブジェクトを一括削除すると、バージョン ストアがないためにレプリケーションがブロックされる可能性があります。 最後の DLT オブジェクトを削除した後、ガベージ コレクションが完了するまで tombstonelifetime 日数 (既定では 60 日) 待ってから、NTDSUTIL.EXE を使用して Ntds.dit ファイルのオフラインデフラグを実行します。

  11. ベスト プラクティスの組織単位構造を構成します。 Microsoft では、管理者がベスト プラクティスの組織単位構造をすべての Active Directory ドメインに積極的に展開し、Windows ドメイン モードで Windows Server 2003 ドメイン コントローラーをアップグレードまたは展開した後、以前のバージョンの API がユーザー、コンピューター、およびグループを作成するために使用する既定のコンテナーを、管理者が指定する組織単位コンテナーにリダイレクトすることをお勧めします。

    ベスト プラクティスの組織単位構造の詳細については、「Windows ネットワークを管理するためのベスト プラクティス Active Directory デザイン」ホワイト ペーパーの「組織単位設計の作成」セクションを参照してください。 ホワイト ペーパーを表示するには、次の Microsoft Web サイトを参照してください。 https://technet.microsoft.com/library/bb727085.aspx 以前のバージョンの API で作成したユーザー、コンピューター、グループが配置されている既定のコンテナーの変更の詳細については、次の記事番号をクリックして、Microsoft サポート技術情報の記事を表示してください。

    324949 Windows Server 2003 ドメイン内のユーザーとコンピューターのコンテナーをリダイレクトする

  12. フォレスト内の新規またはアップグレードされた Windows Server 2003 ドメイン コントローラーごとに、必要に応じて手順 1 ~ 10 を繰り返し、Active Directory ドメインごとに手順 11 (ベスト プラクティス組織単位構造) を繰り返します。

    概要:

    • WINNT32を使用して Windows 2000 ドメイン コントローラーをアップグレードする (使用されている場合は、スリップストリームインストール メディアから)
    • アップグレードされたコンピューターに修正プログラム ファイルがインストールされていることを確認する
    • インストール メディアに含まれていない必要な修正プログラムをインストールする
    • 新しいサーバーまたはアップグレードされたサーバー (AD、FRS、ポリシーなど) の正常性を確認する
    • OS アップグレード後 24 時間待ってからオフライン デフラグ (省略可能)
    • 必要な場合は DLT サービスを開始します。それ以外の場合は、q312403/ q315229 post forest-wide domainpreps を使用して DLT オブジェクトを削除します
    • DLT オブジェクトを削除した後、オフライン デフラグを 60 日以上 (廃棄の有効期間とガベージ コレクション # 日数) 実行する

ラボ環境でのドライラン アップグレード

Windows ドメイン コントローラーを運用環境の Windows 2000 ドメインにアップグレードする前に、ラボでアップグレード プロセスを検証して調整します。 運用フォレストを正確にミラーリングするラボ環境のアップグレードがスムーズに実行される場合、運用環境でも同様の結果が期待できます。 複雑な環境の場合、ラボ環境は次の領域の運用環境をミラーする必要があります。

  • ハードウェア: コンピューターの種類、メモリ サイズ、ページ ファイルの配置、ディスク サイズ、パフォーマンスと RAID の構成、BIOS とファームウェアのリビジョン レベル
  • ソフトウェア: クライアントとサーバーのオペレーティング システムのバージョン、クライアントとサーバー のアプリケーション、Service Pack のバージョン、修正プログラム、スキーマの変更、セキュリティ グループ、グループ メンバーシップ、アクセス許可、ポリシー設定、オブジェクト数の種類、場所、バージョンの相互運用性
  • ネットワーク インフラストラクチャ: WINS、DHCP、リンク速度、使用可能な帯域幅
  • 読み込み: 読み込みシミュレーターでは、パスワードの変更、オブジェクトの作成、Active Directory レプリケーション、ログオン認証、その他のイベントをシミュレートできます。 目標は、運用環境のスケールを再現することです。 代わりに、目標は、一般的な操作のコストと頻度を検出し、現在および将来の要件に基づいて、運用環境に対するその効果 (名前クエリ、レプリケーション トラフィック、ネットワーク帯域幅、プロセッサ消費) を補間することです。
  • 管理: 実行されたタスク、使用されるツール、使用されるオペレーティング システム
  • 操作: 容量、相互運用性
  • ディスク領域: 次の各操作の後に、オペレーティング システム、Ntds.dit、および Active Directory ログ ファイルの開始、ピーク、および終了のサイズを、各ドメインのグローバル カタログおよび非グローバル カタログ ドメイン コントローラー上に書き留めます。
    1. adprep /forestprep
    2. adprep /domainprep
    3. Windows 2000 ドメイン コントローラーを Windows Server 2003 にアップグレードする
    4. バージョンアップグレード後のオフラインデフラグの実行

アップグレード プロセスと環境の複雑さを理解し、詳細な観察と組み合わせることで、運用環境のアップグレードに適用するペースと注意度が決まります。 高可用性ワイド エリア ネットワーク (WAN) リンク経由で接続されているドメイン コントローラーと Active Directory オブジェクトの数が少ない環境は、わずか数時間でアップグレードされる場合があります。 数百のドメイン コントローラーまたは数十万の Active Directory オブジェクトを持つエンタープライズ展開に対して、さらに注意が必要になる場合があります。 このような場合は、数週間または数か月にわたってアップグレードを実行できます。

ラボで "Dry-run" アップグレードを使用して、次のタスクを実行します。

  • アップグレード プロセスの内部的な動作と、関連するリスクについて理解します。
  • 環境内のデプロイ プロセスの潜在的な問題領域を公開します。
  • アップグレードが成功しない場合に備え、フォールバック 計画をテストして開発します。
  • 運用ドメインのアップグレード プロセスに適用する適切な詳細レベルを定義します。

十分なディスク領域のないドメイン コントローラー

ディスク領域が不足しているドメイン コントローラーでは、次の手順に従って、Ntds.dit ファイルとログ ファイルをホストするボリューム上の追加のディスク領域を解放します。

  1. *.tmpファイルやインターネットブラウザが使用するキャッシュされたファイルを含む未使用のファイルを削除します。 これを行うには、次のコマンドを入力します (各コマンドの後で Enter キーを押します)。

    cd /d drive\  
del *.tmp /s

  2. ユーザーまたはメモリ ダンプ ファイルを削除します。 これを行うには、次のコマンドを入力します (各コマンドの後で Enter キーを押します)。

    cd /d drive\  
del *.dmp /s

  3. 他のサーバーからアクセスしたり、簡単に再インストールしたりできるファイルを一時的に削除または再配置します。 削除して簡単に置き換えることができるファイルには、ADMINPAK、サポート ツール、および %systemroot%\System32\Dllcache フォルダー内のすべてのファイルが含まれます。

  4. 古いユーザー プロファイルまたは未使用のユーザー プロファイルを削除します。 これを行うには、[ スタート] をクリックし、[ マイ コンピューター] を右クリックし、[ プロパティ] をクリックし、[ ユーザー プロファイル ] タブをクリックして、古いアカウントと未使用のアカウントのすべてのプロファイルを削除します。 サービス アカウント用のプロファイルは削除しないでください。

  5. %systemroot%\Symbols のシンボルを削除します。 これを行うには、次のコマンドを入力します。 rd /s %systemroot%\symbols サーバーのシンボル セットが完全か小かによって、約 70 MB から 600 MB の値が得られる場合があります。

  6. オフラインデフラグを実行します。 Ntds.dit ファイルをオフラインで最適化すると、領域が解放される可能性がありますが、現在の DIT ファイルの 2 倍の領域が一時的に必要になります。 使用可能な場合は、他のローカル ボリュームを使用してオフライン デフラグを実行します。 または、最適な接続ネットワーク サーバー上の領域を使用して、オフラインデフラグを実行します。 ディスク領域がまだ十分でない場合は、Active Directory から不要なユーザー アカウント、コンピューター アカウント、DNS レコード、および DLT オブジェクトを段階的に削除します。

注:

Active Directory は、 tombstonelifetime の 日数 (既定では 60 日) が経過し、ガベージ コレクションが完了するまで、データベースからオブジェクトを削除しません。 tombstonelifetime をフォレスト内のエンドツーエンド レプリケーションより小さい値に減らすと、Active Directory で不整合が発生する可能性があります。