Heraufstufen der Funktionsebenen von Active Directory-Domänen und -Gesamtstruktur

Dieser Artikel beschreibt die Vorgehensweise zum Heraufstufen der Domänen- und Gesamtstrukturfunktionsebenen, die von Microsoft Windows Server 2003-basierten oder neueren Domänencontrollern unterstützt werden. Es gibt vier Versionen von Active Directory, und nur die Ebenen, die sich seit Windows NT Server 4.0 geändert haben, erfordern besondere Berücksichtigung. Daher werden die übrigen Ebenenänderungen unter Verwendung der neueren, aktuellen oder älteren Versionen des Domänencontroller-Betriebssystems, der Domäne oder der Funktionsebene der Gesamtstrukur erwähnt.

Funktionsebenen sind eine Erweiterung der Konzepte "gemischter Modus" und "einheitlicher Modus", die in Microsoft Windows 2000 Server eingeführt wurden, um neue Active Directory-Features zu ermöglichen. Einige zusätzliche Active-Directory-Features stehen zur Verfügung, wenn auf allen Domänencontrollern in einer Domäne oder Gesamtstruktur die neueste Version von Windows Server ausgeführt wird und der Administrator die entsprechende Funktionsebene in der Domäne oder Gesamtstruktur aktiviert.

Damit die neuen Domänenfeatures aktiviert werden können, müssen alle Domänencontroller in der Domäne mit der neuesten Version des Windows Server-Betriebssystems arbeiten. Wenn das der Fall ist, kann der Administrator die Domänenfunktionsebene heraufstufen.
Damit die neuen, gesamtstrukturweit geltenden Features aktiviert werden können, müssen alle Domänencontroller in der Gesamtstruktur mit der neuesten Version des Windows Server-Betriebssystems arbeiten, die der erwünschten Gesamtstrukturfunktionsebene entsprechen. Außerdem muss die aktuelle Domänenfunktionsebene sich bereits auf der neuesten Ebene befinden. Wenn diese Bedingungen erfüllt sind, kann der Administrator die Gesamtstrukturfunktionsebene heraufstufen.

Generell können die Änderungen an den Domänen- und Gesamtstrukturfunktionsebenen nicht rückgängig gemacht werden. Wenn die Änderung rückgängig gemacht werden kann, muss dazu eine Gesamtstrukturwiederherstellung durchgeführt werden. Mit dem Windows Server 2008 R2-Betriebssystem kann für die Änderungen an den Domänen- und Gesamtstrukturfunktionsebenen ein Rollback ausgeführt werden. Das Rollback ist allerdings nur in den speziellen Szenarien möglich, die im Technet-Artikel über die Active Directory-Funktionsebenen beschrieben sind.

Hinweis Die neuesten Domänen- und Gesamtstrukturfunktionsebenen haben nur Auswirkungen darauf, wie die Domänencontroller als Gruppe zusammenarbeiten. Die Clients, die mit der Domäne oder Gesamtstruktur interagieren, sind davon nicht betroffen. Außerdem bleiben auch die Anwendungen von den Änderungen an den Domänen- oder Gesamtstrukturfunktionsebenen unberührt. Anwendungen können jedoch von den neuesten Domänen- und Gesamtstrukturfeatures profitieren.

Weitere Informationen finden Sie im TechNet-Artikel über die Features der verschiedenen Funktionsebenen.

Heraufstufen der Funktionsebene

Achtung Stufen Sie die Funktionsebene nicht herauf, wenn die Domäne über einen Domänencontroller verfügt oder verfügen wird, der eine ältere als die für diese Ebene vorgegebene Version aufweist. Eine Windows Server 2008-Funktionsebene setzt beispielsweise voraus, dass auf allen Domänencontrollern in der Domäne oder Gesamtstruktur Windows Server 2008 oder ein höheres Betriebssystem installiert ist. Nachdem die Domänenfunktionsebene auf eine höhere Ebene heraufgestuft wurde, kann sie nur mithilfe einer Gesamtstrukturwiederherstellung auf eine ältere Ebene zurückgestuft werden. Diese Einschränkung besteht, weil durch die Features oft die Kommunikation zwischen den Domänencontrollern geändert wird oder weil die Features die Speicherung der Active Directory-Daten in der Datenbank ändern.

Die am häufigsten verwendete Methode zum Aktivieren der Domänen- und Gesamtstrukturfunktionsebenen besteht in der Verwendung der Benutzeroberflächen-Verwaltungstools, die im TechNet-Artikel über die Windows Server 2003 Active Directory-Funktionsebenen dokumentiert sind. Dieser Artikel befasst sich mit Windows Server 2003, die Schritte sind in den neueren Betriebssystemversionen jedoch dieselben. Außerdem kann die Funktionsebene manuell oder unter Verwendung von Windows PowerShell-Skripts konfiguriert werden. Weitere Informationen zum manuellen Konfigurieren der Funktionsebene finden Sie im Abschnitt "Anzeigen und manuelles Einrichten der Funktionsebene".

Weitere Informationen zur Verwendung eines Windows PowerShell-Skripts zum Konfigurieren der Funktionsebene finden Sie im TechNet-Artikel, in dem diese Methode beschrieben wird.

Anzeigen und manuelles Einrichten der Funktionsebene

LDAP-Programme (Lightweight Directory Access Protocol) wie "Ldp.exe" und "Adsiedit.msc" können dazu verwendet werden, die aktuellen Einstellungen für die Domänen- und Gesamtstrukturfunktionsebene anzuzeigen und zu ändern. Wenn Sie die Attribute der Funktionsebene manuell ändern, besteht die bewährte Methode darin, die Attributänderungen am FSMO-Domänencontroller (Flexible Single Master Operations) vorzunehmen, auf den die Microsoft-Verwaltungstools normalerweise ausgerichtet sind.

Einstellungen der Domänenfunktionsebene

Das Attribut msDS-Behavior-Version befindet sich im Kopf des Stammnamenskontexts (Naming Context, NC) in jeder der folgenden Domänen:

• DC=Mydomain
• DC=ForestRootDom
• DC=tld object

Die folgenden Werte können für dieses Attribut festgelegt werden:

• Wert 0 oder nicht gesetzt=Domänenebene "gemischt"
• Wert 1=Domänenebene "Windows Server 2003"
• Wert 2=Domänenebene "Windows Server 2003"
• Wert 3=Domänenebene "Windows Server 2008"
• Wert 4=Domänenebene "Windows Server 2008 R2"

Einstellungen des gemischten und des einheitlichen Modus

Das Attribut ntMixedDomain befindet sich im Kopf des Stammnamenskontexts (Naming Context, NC) in jeder der folgenden Domänen:

• DC=Mydomain
• DC=ForestRootDom
• DC=tld object

Die folgenden Werte können für dieses Attribut festgelegt werden:

• Wert 0=Domänenebene "pur"
• Wert 1=Domänenebene "gemischt"

Einstellung der Gesamtstrukturfunktionsebene

Das Attribut msDS-Behavior-Version befindet sich im Kopf des Stammnamenskontexts (Naming Context, NC) in jeder der folgenden Domänen:

• CN=Partitions
• CN=Configuration
• DC=ForestRootDom
• DC=tld object

Die folgenden Werte können für dieses Attribut festgelegt werden:

• Wert 0 oder nicht gesetzt=Gesamtstruktur der Ebene "gemischt"
• Wert 1=Gesamtstrukturebene "Windows Server 2003-interim"
• Wert 2=Gesamtstrukturebene "Windows Server 2003"
  
  Hinweis Wenn Sie das Attribut msDS-Behavior-Version mit "usingAdsiedit.msc" vom Wert 0 auf den Wert 1 erhöhen, wird folgende Fehlermeldung angezeigt:
  Der Änderungsvorgang war unzulässig. Die Änderung ist in einer Hinsicht nicht erlaubt.
• Wert 3=Domänenebene "Windows Server 2008"
• Wert 4=Domänenebene "Windows Server 2008 R2"

Klicken Sie nach Verwendung der LDAP-Tools (Lightweight Directory Access Protocol) zum Bearbeiten der Funktionsebene auf OK, um fortzufahren. Die Attribute für den Partitionscontainer und den Domänenkopf werden richtig erhöht. Wenn von der Datei "Ldp.exe" eine Fehlermeldung angezeigt wird, können Sie diese unbesorgt ignorieren. Aktualisieren Sie die Attributliste, und überprüfen Sie dann die aktuelle Einstellung, um sich zu vergewissern, dass die Heraufstufung erfolgreich durchgeführt wurde. Diese Fehlermeldung kann auch auftreten, nachdem Sie die Heraufstufung auf dem autorisierenden FSMO durchgeführt haben, wenn diese Änderung noch nicht an den lokalen Domänencontroller repliziert wurde.

Schnelles Anzeigen der aktuellen Einstellungen über die Datei "Ldp.exe"

1. Starten Sie die Datei "Ldp.exe".
2. Klicken Sie im Menü Verbindung (Connection) auf Verbinden (Connect).
3. Geben Sie den Domänencontroller an, den Sie abfragen möchten, oder machen Sie keine Angabe, wenn eine Verbindung zu einem beliebigen Domänencontroller hergestellt werden soll.

Nachdem die Verbindung zu einem Domänencontroller hergestellt ist, werden die RootDSE-Informationen für diesen Domänencontroller angezeigt. Diese umfassen Informationen zur Gesamtstruktur, zur Domäne und zu den Domänencontrollern. Im folgenden Beispiel ist ein Windows Server 2003-basierter Domänencontroller dargestellt. In diesem Beispiel wird davon ausgegangen, dass der Domänenmodus Windows Server 2003 und der Gesamtstrukturmodus Windows 2000 Server ist.

Hinweis Die Domänencontrollerfunktionalität stellt die höchste mögliche Funktionsebene für diesen Domänencontroller dar.

• 1> domainFunctionality: 2=(DS_BEHAVIOR_WIN2003)
• 1> forestFunctionality: 0=(DS_BEHAVIOR_WIN2000)
• 1> domainControllerFunctionality: 2=(DS_BEHAVIOR_WIN2003)

Voraussetzungen für das manuelle Ändern der Funktionsebene

• Wenn eine der folgenden Bedingungen zutrifft, müssen Sie den Domänenmodus in den einheitlichen Modus ändern, bevor Sie die Domänenebene heraufstufen:
  • Die Domänenfunktionsebene wird programmseitig durch direktes Ändern des Werts für das Attribut msdsBehaviorVersion im domainDNS-Objekt auf die zweite Funktionsebene heraufgestuft.
  • Die Domänenfunktionsebene wird unter Verwendung der Hilfsprogramme "Ldp.exe" oder "Adsiedit.msc" auf die zweite Funktionsebene heraufgestuft.
  Wenn Sie den Domänenmodus nicht in den einheitlichen Modus ändern, bevor Sie die Domänenebene heraufstufen, wird der Vorgang nicht erfolgreich abgeschlossen, und es werden folgende Fehlermeldungen angezeigt:
  SV_PROBLEM_WILL_NOT_PERFORM
  ERROR_DS_ILLEGAL_MOD_OPERATION
  Außerdem wird die folgende Fehlermeldung im Ereignisprotokoll der Verzeichnisdienste protokolliert:
  Active Directory konnte die Funktionsebene der folgenden Domäne nicht heraufstufen, weil die Domäne in einem gemischten Modus ist.
  
  In diesem Szenario können Sie den Domänenmodus in den einheitlichen Modus ändern, indem Sie das Snap-In Active Directory-Benutzer und -Computer oder das UI MMC-Snap-In Active Directory-Domänen und -Vertrauensstellungen verwenden, oder indem Sie den Wert des Attributs ntMixedDomain im domainDNS-Objekt programmgesteuert in 0 ändern. Wenn diese Vorgehensweise zum Heraufstufen der Domänenfunktionsebene auf 2 (Windows Server 2003) verwendet wird, wird der Domänenmodus automatisch in den einheitlichen Modus geändert.
• Durch den Übergang vom gemischten Modus in den einheitlichen Modus wird der Umfang der Sicherheitsgruppen "Schemaadministratoren" und "Unternehmensadministratoren" in universelle Gruppen geändert. Wenn diese Gruppen in universelle Gruppen geändert wurden, wird die folgende Meldung im Systemprotokoll protokolliert:

  Typ: Informationen
  Ereignisquelle: SAM
  Ereigniskennung: 16408
  Computer: Servername
  Beschreibung: "Der Domänenmodus wurde in einheitlichen Modus geändert. Die Änderung kann nicht rückgängig gemacht werden."

• Wenn die Windows Server 2003-Verwaltungstools verwendet werden, um die Domänenfunktionsebene aufzurufen, wird sowohl das Attribut ntmixedmode als auch das Attribut msdsBehaviorVersion in der richtigen Reihenfolge geändert. Dies ist jedoch nicht immer der Fall. Im folgenden Szenario wird der einheitliche Modus implizit auf den Wert 0 festgelegt, ohne dass der Umfang der Sicherheitsgruppen "Schemaadministratoren" und "Unternehmensadministratoren" in universell geändert wird:
  • Das Attribut msdsBehaviorVersion, das den Domänenfunktionsmodus steuert, wird manuell oder programmseitig auf den Wert 2 festgelegt.
  • Der Gesamtstrukturfunktionsmodus wird mit einer beliebigen Methode auf 2 festgelegt.
  In diesem Szenario blockieren die Domänencontroller die Übertragung an die Gesamtstrukturfunktionsebene, bis alle Domänen im LAN auf den einheitlichen Modus konfiguriert sind und die erforderliche Attributänderung in den Umfängen der Sicherheitsgruppen vorgenommen wurde.

Für Windows 2000 Server relevante Funktionsebenen

Windows 2000 Server unterstützt nur den gemischten Modus und den einheitlichen Modus. Außerdem werden nur diese Modi auf die Domänenfunktionalität angewendet. In den folgenden Abschnitten sind die Windows Server 2003-Domänenmodi aufgeführt, weil diese Modi Auswirkungen darauf haben, wie Windows NT 4.0- und Windows 2000 Server-Domänen aktualisiert werden.

Beim Heraufstufen der Betriebssystemebene des Domänencontrollers sind eine Reihe von Überlegungen zu berücksichtigen, die sich aus den Speicherungs- und Replikationsbeschränkungen der verlinkten Attribute in Windows 2000 Server-Modi ergeben.

Windows 2000 Server-gemischt (Standard)

• Unterstützte Domänencontroller: Microsoft Windows NT 4.0, Windows 2000 Server , Windows Server 2003, Windows Server 2008, Windows Server 2008 R2
• Aktivierte Funktionen: lokale und globale Gruppen, Unterstützung des globalen Katalogs

Windows 2000 Server-pur

• Unterstützte Domänencontroller: Windows 2000 Server, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2
• Aktivierte Funktionen: Verschachtelung von Gruppen, universelle Gruppen, SID-Verlauf, Konvertieren zwischen Sicherheitsgruppen und Verteilergruppen, Heraufstufen von Domänenebenen durch Heraufstufen der Einstellungen für die Gesamtstrukturebene

Windows Server 2003-interim

• Unterstützte Domänencontroller: Windows NT 4.0, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2
• Unterstützte Funktionen: Auf dieser Ebene sind keine domänenweiten Funktionen aktiviert. Alle Domänen in einer Gesamtstruktur werden automatisch auf diese Ebene heraufgestuft, wenn die Gesamtstrukturebene auf "interim" heraufgestuft wird. Dieser Modus wird nur dann verwendet, wenn Sie ein Upgrade von Domänencontrollern in Windows NT 4.0-Domänen auf Windows Server 2003-Domänencontroller durchführen.

Windows Server 2003

• Unterstützte Domänencontroller: Windows Server 2003, Windows Server 2008, Windows Server 2008 R2
• Unterstützte Funktionen: Umbenennen von Domänencontrollern, Aktualisierung und Replikation des Anmeldezeitstempel-Attributs. Unterstützung des Benutzerkennworts für die Objektklasse "InetOrgPerson". Erzwungene Delegation, Umleitung der Container "Benutzer" und "Computer".

Domänen, die von Windows NT 4.0 aktualisiert oder durch Heraufstufung eines Windows Server 2003-Computers erstellt werden, arbeiten auf der Ebene "Windows 2000-gemischt". Windows 2000 Server-Domänen behalten bei einem Upgrade auf Windows Server 2003 ihre aktuelle Domänenfunktionsebene bei. Sie können die Domänenfunktionsebene entweder auf "Windows 2000 Server-pur" oder auf "Windows Server 2003" heraufstufen.

Interimebene - Upgrade von einer Windows NT 4.0-Domäne

Windows Server 2003 Active Directory ermöglicht eine spezielle Gesamtstruktur- und Domänenfunktionsebene namens "Windows Server 2003-interim". Diese Funktionsebene steht für Upgrades vorhandener Windows NT 4.0-Domänen zur Verfügung, wenn einer oder mehrere Windows NT 4.0-Reservedomänencontroller (Backup Domain Controller, BDC) nach dem Upgrade funktionsfähig sein müssen. Windows 2000 Server-Domänencontroller werden in diesem Modus nicht unterstützt. Windows Server 2003-interim ist für folgende Szenarien relevant:

• Upgrades von Domänen von Windows NT 4.0 auf Windows Server 2003.
• Ein direktes Upgrade von Windows NT 4.0-BDCs ist nicht möglich.
• Windows NT 4.0-Domänen, die Gruppen mit mehr als 5000 Mitgliedern enthalten (die Gruppe der Domänenbenutzer nicht eingeschlossen).
• Es ist nicht geplant, Windows Server 2000-Domänencontroller zu irgendeinem Zeitpunkt in die Gesamtstruktur aufzunehmen.

Windows Server 2003-interim bietet zwei wichtige Erweiterungen, wobei die Replikation auf Windows NT 4.0-BDCs weiterhin möglich ist:

1. Effiziente Replikation von Sicherheitsgruppen und Unterstützung von über 5000 Mitgliedern pro Gruppe.
2. Verbesserte KCC-Algorithmen für die Erstellung der standortübergreifenden Topologie.

Wegen der effizienten Abwicklung der Gruppenreplikation, die auf der Interimebene aktiviert ist, ist die Interimebene die empfohlene Ebene für alle Windows NT 4.0-Upgrades. Lesen Sie in diesem Artikel den Abschnitt "Empfohlene Verfahren", um weitere Informationen zu erhalten.

Einstellen der Gesamtstrukturfunktionsebene "Windows Server 2003-interim"

Es gibt drei verschiedene Möglichkeiten, Windows Server 2003-interim zu aktivieren. Die ersten zwei Methoden sind sehr zu empfehlen, da Sicherheitsgruppen nach einem Upgrade des primären Domänencontrollers (PDC) der Windows NT 4.0-Domäne auf einen Windows Server 2003-Domänencontroller die Linked-Value-Replikation (LVR) verwenden. Die dritte Option ist weniger zu empfehlen, da für die Mitgliedschaft in Sicherheitsgruppen ein einziges mehrwertiges Attribut verwendet wird, das zu Replikationsproblemen führen kann. Es gibt folgende Möglichkeiten, Windows Server 2003-interim zu aktivieren:

1. Während des Upgrades.
   
   Diese Option wird im Dcpromo-Installations-Assistenten angeboten, wenn Sie den PDC einer Windows NT 4.0-Domäne aktualisieren, der als erster Domänencontroller in der Stammdomäne einer neuen Gesamtstruktur dient.
2. Bevor Sie den Windows NT 4.0-PDC einer Windows NT 4.0-Domäne als ersten Domänencontroller einer neuen Domäne in einer vorhandenen Gesamtstruktur aktualisieren, indem Sie die Gesamtstrukturfunktionsebene manuell über LDAP (Lightweight Directory Access Protocol) konfigurieren.
   
   Untergeordnete Domänen erben die gesamtstrukturweiten Einstellungen der Funktionalität von der Gesamtstruktur, in die sie heraufgestuft werden. Die Aktualisierung des PDC einer Windows NT 4.0-Domäne als untergeordnete Domäne in einer vorhandenen Windows Server 2003-Gesamtstruktur, wobei die Interim-Gesamtstrukturfunktionsebenen über die Datei "Ldp.exe" oder "Adsiedit.msc" konfiguriert wurden, ermöglicht es Sicherheitsgruppen, nach dem Upgrade der Betriebssystemversion die Linked-Value-Replikation zu nutzen.
3. Nach dem Upgrade über LDAP-Programme.
   
   Verwenden Sie die zwei letztgenannten Optionen, wenn Sie während eines Upgrades einer vorhandenen Windows Server 2003-Gesamtstruktur beitreten. Dies ist ein häufig anzutreffendes Szenario, wenn eine "leere" Stammdomäne vorhanden ist. Die aktualisierte Domäne wird als untergeordnete Domäne der leeren Stammdomäne hinzugefügt und erbt die Domäneneinstellung von der Gesamtstruktur.

Empfohlene Vorgehensweisen

Der folgende Abschnitt erläutert die Verfahren, die für die Heraufstufung von Funktionsebenen empfohlen werden. Der Abschnitt besteht aus zwei Teilen. "Vorbereitende Maßnahmen vor der Heraufstufung der Funktionsebene" beschreibt die Schritte, die vor der Heraufstufung durchzuführen sind, und "Optimales Konfigurieren von Funktionsebenen" behandelt die Voraussetzungen und Methoden für verschiedene Szenarien bei der Heraufstufung von Funktionsebenen.

Gehen Sie folgendermaßen vor, um Windows NT 4.0-Domänencontroller zu ermitteln:

1. Öffnen Sie Active Directory-Benutzer und -Computer auf einem Windows Server 2003-Domänencontroller.
2. Wenn der Domänencontroller nicht bereits mit der richtigen Domäne verbunden ist, gehen Sie folgendermaßen vor, um die Verbindung herzustellen:
   1. Klicken Sie mit der rechten Maustaste auf das aktuelle Domänenobjekt, und klicken Sie auf Verbindung zur Domäne herstellen.
   2. Geben Sie im Dialogfeld Domäne den gewünschten DNS-Namen der Domäne ein, zu der Sie die Verbindung herstellen möchten, und klicken Sie anschließend auf OK. Oder klicken Sie auf Durchsuchen, um die Domäne aus der Domänenstruktur auszuwählen, und klicken Sie anschließend auf OK.
3. Klicken Sie mit der rechten Maustaste auf das Domänenobjekt, und klicken Sie auf Suchen.
4. Klicken Sie im Dialogfeld Suchen auf Benutzerdefinierte Suche.
5. Klicken Sie auf die Domäne, deren Funktionsebene Sie ändern möchten.
6. Klicken Sie auf die Registerkarte Erweitert.
7. Geben Sie im LDAP-Abfragefeld Folgendes ein. Die Zeichen dürfen nicht durch Leerzeichen voneinander getrennt sein:

   (&(objectCategory=computer)(operatingSystem Version=4*)(userAccountControl:1.2.840.113556.1.4.803:=8192))

   Hinweis Bei der Abfrage wird nicht zwischen Groß- und Kleinschreibung unterschieden.
8. Klicken Sie auf Jetzt suchen.
   
   Es wird eine Liste angezeigt, die die Computer in der Domäne enthält, die mit Windows NT 4.0 arbeiten und als Domänencontroller fungieren.

Ein Domänencontroller kann aus folgenden Gründen in der Liste erscheinen:

• Der Domänencontroller arbeitet mit Windows NT 4.0 und muss aktualisiert werden.
• Der Domänencontroller wird auf Windows Server 2003 aktualisiert, aber die Änderung wird nicht auf den Zieldomänencontroller repliziert.
• Der Domänencontroller ist nicht mehr in Betrieb, aber das Computerobjekt des Domänencontrollers wurde nicht aus der Domäne entfernt.

Bevor Sie die Domänenfunktionsebene auf Windows Server 2003 ändern können, müssen Sie alle Domänencontroller in der Liste physisch ermitteln, den aktuellen Status der einzelnen Domänencontroller feststellen und sie abhängig von den Gegebenheiten aktualisieren oder entfernen.

Hinweis Im Gegensatz zu Windows Server 2000-Domänencontrollern blockieren die Windows NT 4.0-Domänencontroller eine Heraufstufung der Funktionsebene nicht. Wenn Sie die Domänenfunktionsebene ändern, wird die Replikation auf die Windows NT 4.0-Domänencontroller beendet. Wenn Sie jedoch versuchen, eine Heraufstufung auf die Windows Server 2003-Gesamtstrukturebene mit Domänen in Windows Server 2000 durchzuführen, wird die gemischte Ebene blockiert. Das Fehlen von Windows NT 4.0-BDCs ist impliziert, indem die Anforderung der Gesamtstrukturebene, dass alle Domänen die Ebene "Windows Server 2000-pur" oder höher haben müssen, erfüllt wird.

Beispiel: Vorbereitende Maßnahmen vor der Heraufstufung der Funktionsebene

In diesem Beispiel wird die Umgebung vom Modus "Windows Server 2000-gemischt" auf den Windows Server 2003-Gesamtstrukturmodus heraufgestuft.

Ermitteln Sie Domänencontroller älterer Versionen in der Gesamtstruktur.
Wenn eine genaue Serverliste nicht zur Verfügung steht, gehen Sie folgendermaßen vor:

1. Verwenden Sie das MMC-Snap-In "Active Directory-Domänen und Vertrauensstellungen", um Domänen mit gemischter Funktionsebene, Windows Server 2000-Domänencontroller oder Domänencontroller mit beschädigten oder fehlenden Objekten zu finden.
2. Klicken Sie im Snap-In auf Gesamtfunktionsstrukturebene heraufstufen und anschließend auf Speichern unter, um einen detaillierten Bericht zu erzeugen.
3. Wenn keine Probleme gefunden wurden, steht die Option zur Heraufstufung der Windows Server 2003-Gesamtstrukturfunktionsebene im Listenfeld Verfügbare Gesamtstrukturfunktionsebenen zur Verfügung. Wenn Sie versuchen, die Gesamtstrukturfunktionsebene heraufzustufen, werden die Domänencontrollerobjekte in den Konfigurationscontainern auf Domänencontroller durchsucht, bei denen msds-behavior-version nicht auf die gewünschte Zielebene festgelegt ist. Bei diesen Objekten wird angenommen, dass es sich entweder um Windows Server 2000-Domänencontrollerobjekte oder um neuere Windows Server-Domänencontrollerobjekte handelt, die beschädigt sind.
4. Wenn Domänencontroller älterer Versionen oder Domänencontroller mit beschädigten oder fehlenden Computerobjekten gefunden werden, werden sie in den Bericht aufgenommen. Der Status dieser Domänencontroller muss untersucht werden, und die Darstellung der Domänencontroller in Active Directory muss mit der Datei "Ntdsutil" repariert oder entfernt werden.

Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:

Überprüfen, ob die durchgängige Replikation in der Gesamtstruktur funktioniert

Um zu überprüfen, ob die durchgängige Replikation in der Gesamtstruktur funktioniert, wenden Sie Repadmin aus Windows Server 2003 oder einer neueren Version auf die Windows Server 2000- oder Windows Server 2003-Domänencontroller an:

• Repadmin/Replsum * /Sort:Delta[/Errorsonly] für eine erste Bestandsaufnahme.
• Repadmin/Showrepl * /CSV>showrepl.csv. Importieren Sie die Datei nach Excel, und identifizieren Sie die Replikationsfeatures über Daten->AutoFilter.
  
  Verwenden Sie Replikationstools wie "Repadmin", um sich zu vergewissern, dass die gesamtstrukturweite Replikation richtig funktioniert.

Überprüfen Sie die Kompatibilität aller Programme oder Dienste mit den neueren Windows Server 2003-Domänencontrollern und dem höheren Windows Server-Domänen- und -Gesamtstrukturmodus. Prüfen Sie Produktionsprogramme und -dienste sorgfältig in einer Testumgebung auf Kompatibilität. Setzen Sie sich mit den Anbietern in Verbindung, um sich die Funktionsfähigkeit bestätigen zu lassen.

Bereiten Sie einen Ausweichplan vor, der eine der folgenden Aktionen vorsieht:

• Trennen Sie mindestens zwei Domänencontroller von den einzelnen Domänen in der Gesamtstruktur.
• Führen Sie für mindestens zwei Domänencontroller jeder Domäne in der Gesamtstruktur eine Sicherung des Systemstatus durch.

Bevor der Ausweichplan eingesetzt werden kann, müssen alle Domänencontroller in der Gesamtstruktur vor dem Wiederherstellungsvorgang außer Betrieb genommen werden.

Hinweis Heraufstufungen können nicht autorisierend wiederhergestellt werden. Das bedeutet, dass alle Domänencontroller außer Betrieb gesetzt werden müssen, die die Heraufstufung repliziert haben.

Fahren Sie danach die zuvor getrennten Domänencontroller hoch, oder stellen Sie die Domänencontroller aus der Sicherung wieder her. Entfernen Sie die Metadaten von allen anderen Domänencontrollern und stufen Sie sie erneut herauf. Diese Vorgehensweise ist schwierig und sollte vermieden werden.

Beispiel: Übergang von der Ebene "Windows Server 2000-gemischt" zur Windows Server 2003-Gesamtstrukturebene

Stufen Sie alle Domänen auf die Ebene "Windows Server 2000-pur" herauf. Stufen Sie danach die Funktionsebene für die Gesamtstrukturstammdomäne auf die Gesamtstrukturebene "Windows Server 2003" herauf. Wenn die Gesamtstrukturebene auf die PDCs für die einzelnen Domänen in der Gesamtstruktur repliziert wird, wird die Domänenebene automatisch auf "Windows Server 2003" heraufgestuft. Diese Vorgehensweise hat folgende Vorteile:

• Die gesamtstrukturweite Heraufstufung der Ebene wird nur einmal durchgeführt. Sie müssen nicht jede einzelne Domäne in der Gesamtstruktur manuell auf die Domänenfunktionsebene "Windows Server 2003" heraufstufen.
• Eine Prüfung auf Windows Server 2000-Domänencontroller wird vor der Heraufstufung durchgeführt (siehe Vorbereitungsschritte). Die Heraufstufung wird blockiert, bis problematische Domänencontroller entfernt oder aktualisiert sind. Ein detaillierter Bericht kann erzeugt werden, der die für die Blockierung verantwortlichen Domänencontroller auflistet und Informationen für die weitere Vorgehensweise liefert.
• Eine Prüfung auf Domänen auf der Ebene "Windows Server 2000-gemischt" oder "Windows Server 2003-interim" wird durchgeführt. Die Heraufstufung wird blockiert, bis die Domänenebenen mindestens auf Windows Server 2000-pur angehoben sind. Domänen der Interimebene müssen auf die Domänenebene "Windows Server 2003" heraufgestuft werden. Ein detaillierter Bericht kann erzeugt werden, der die Domänen auflistet, die für die Blockierung verantwortlich sind.

Windows NT 4.0-Upgrades

Bei Windows NT 4.0-Upgrades sollten Sie während des PDC-Upgrades immer die Interimebene verwenden, es sei denn, Windows Server 2000-Domänencontroller werden in die Gesamtstruktur aufgenommen, in die der PDC aktualisiert wird. Wenn der Interimmodus während des PDC-Upgrades verwendet wird, verwenden die vorhandenen großen Gruppen direkt die LVR-Replikation, wodurch die zuvor erwähnten, möglichen Replikationsprobleme vermieden werden können. Verwenden Sie eine der folgenden Methoden, um während des Upgrades auf die Interimebene zu gelangen:

• Wählen Sie die Interimebene während der Ausführung von "Dcpromo". Diese Option wird nur dann angeboten, wenn der PDC beim Upgrade in eine neue Gesamtstruktur aufgenommen wird.
• Setzen Sie die Gesamtstrukturebene einer vorhandenen Gesamtstruktur auf "interim". Nehmen Sie Domänencontroller dann während des PDC-Upgrades in die Gesamtstruktur auf. Die aktualisierte Domäne erbt die Gesamtstruktureinstellung.
• Nachdem alle Windows NT 4.0-BDCs aktualisiert oder entfernt sind, muss jede Domäne auf Gesamtstrukturebene gebracht werden und kann in den Gesamtstrukturmodus "Windows Server 2003" überführt werden.

Der Interimmodus sollte vermieden werden, wenn geplant ist, nach dem Upgrade oder irgendwann in der Zukunft Windows Server 2000-Domänencontroller zu implementieren.

Besondere Erwägungen bei großen Gruppen in Windows NT 4.0

In manchen Windows NT 4.0-Domänen kann es Sicherheitsgruppen mit weit mehr als 5000 Mitgliedern geben. Wenn sich in Windows NT 4.0 ein Mitglied einer Sicherheitsgruppe ändert, wird nur die Einzeländerung der Mitgliedschaft auf die Reservedomänencontroller repliziert. In Windows Server 2000 sind Gruppenmitgliedschaften verknüpfte Attribute, die in einem einzelnen, mehrwertigen Attribut des Gruppenobjekts gespeichert sind. Wenn an der Mitgliedschaft einer Gruppe eine einzelne Änderung vorgenommen wird, wird die gesamte Gruppe als eine Einheit repliziert. Da die Gruppenmitgliedschaft als Einheit repliziert wird, besteht die Möglichkeit, dass Aktualisierungen der Gruppenmitgliedschaft verloren gehen, wenn verschiedene Mitglieder gleichzeitig auf verschiedenen Domänencontrollern hinzugefügt oder entfernt werden. Außerdem kann die Größe dieses Einzelobjekts die Größe des Puffers überschreiten, der dazu verwendet wird, einen Eintrag in die Datenbank zu übertragen. Weitere Informationen finden Sie im Abschnitt "Versionsspeicherprobleme bei großen Gruppen" in diesem Artikel. Aus diesen Gründen beträgt die empfohlene Höchstanzahl für Gruppenmitglieder 5000.

Die Ausnahme bei dieser Regel ist die primäre Gruppe (standardmäßig die Gruppe "Domänenbenutzer"). Die primäre Gruppe verwendet einen "berechneten" Mechanismus, der auf der "primarygroupID" des Benutzers basiert, um die Mitgliedschaft zu ermitteln, und speichert Mitglieder nicht als mehrwertige, verknüpfte Attribute. Wird die primäre Gruppe des Benutzers in eine benutzerdefinierte Gruppe geändert, wird ihre Mitgliedschaft in der Gruppe der Domänenbenutzer in das verknüpfte Attribut für die Gruppe geschrieben und nicht mehr berechnet. Die neue RID der primären Gruppe wird in "primarygroupID" geschrieben, und der Benutzer wird aus dem Mitgliedsattribut der Gruppe entfernt.

Wenn der Administrator nicht die Interimebene für die Upgradedomäne auswählt, müssen Sie diese Schritte vor dem Upgrade ausführen:

1. Ermitteln Sie alle großen Gruppen und alle Gruppen mit mehr als 5000 Mitgliedern, ausgenommen die Gruppe der Domänenbenutzer.
2. Alle Gruppen mit mehr als 5000 Mitgliedern müssen in kleinere Gruppen mit weniger als 5000 Mitgliedern aufgeteilt werden.
3. Suchen Sie alle Zugriffssteuerungslisten, in denen die großen Gruppen eingetragen waren, und fügen Sie die in Schritt 2 erstellten kleinen Gruppen hinzu.

Die Windows Server 2003-Interim-Gesamtstrukturebene nimmt es Administratoren ab, globale Sicherheitsgruppen mit mehr als 5000 Mitgliedern ausfindig zu machen und neu zuordnen zu müssen.

Versionsspeicherprobleme bei großen Gruppen

Während lang andauernden Operationen (intensive Suchen oder Übertragungen an ein einzelnes, großes Attribut) muss Active Directory sicherstellen, dass der Zustand der Datenbank bis zum Abschluss der Operation "statisch" ist. Ein Beispiel für intensive Suchen oder Übertragungen an große Attribute ist eine große Gruppe, die Legacy-Speicherung verwendet.

Da fortlaufend Aktualisierungen der Datenbank (lokal und von Replikationspartnern) stattfinden, stellt Active Directory einen statischen Zustand her, indem alle ankommenden Änderungen in eine Warteschlange gesetzt werden, bis die lang andauernde Operation abgeschlossen ist. Nach Abschluss der Operation werden die Änderungen im Wartezustand in die Datenbank übernommen.

Der Speicherort für diese Änderungen im Wartezustand wird als "Versionsspeicher" bezeichnet und hat eine Größe von ca. 100 MB. Die Größe des Versionsspeichers ist variabel und hängt vom physischen Speicher ab. Wenn der Versionsspeicher verbraucht ist, bevor eine lang andauernde Operation abgeschlossen ist, akzeptiert der Domänencontroller keine Aktualisierungen mehr, bis die lang andauernde Operation abgeschlossen ist und die im Wartezustand befindlichen Änderungen übertragen wurden. Wenn Gruppen sehr groß werden (mehr als 5000 Mitglieder), besteht die Gefahr für den Domänencontroller, dass der Versionsspeicher verbraucht wird, während die große Gruppe übertragen wird.

Mit Windows Server 2003 wird ein neuer Replikationsmechanismus für mehrwertige, verknüpfte Attribute eingeführt, der als LVR (Linked-Value-Replikation) bezeichnet wird. Statt die gesamte Gruppe in einem einzigen Replikationsvorgang zu replizieren, repliziert LVR zum Beheben dieses Problems jedes einzelne Gruppenmitglied in einem separaten Replikationsvorgang. LVR wird aktiviert, wenn die Gesamtstrukturfunktionsebene auf die Windows Server 2003-Interimebene oder Windows Server 2003-Gesamtstrukturebene heraufgestuft wird. Auf dieser Funktionsebene wird LVR dazu verwendet, Gruppen zwischen Windows Server 2003-Domänencontrollern zu replizieren.