Zvýšení úrovně funkčnosti domény a doménové struktury služby Active Directory

Překlady článku Překlady článku
ID článku: 322692 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Souhrn

Tento článek pojednává o zvýšení úrovně funkčnosti domény a doménové struktury, které jsou podporovány řadiči domény se systémem Microsoft Windows Server 2003 nebo novějšími. Existují čtyři vydání služby Active Directory a zvláštní pozornost vyžadují pouze úrovně, které se změnily oproti systému Windows NT Server 4.0. Ostatní změny úrovně jsou proto uvedeny za použití novější, aktuální nebo starší verze operačního systému řadiče domény, domény nebo úrovně funkčnosti doménové struktury.

Úrovně funkčnosti představují rozšíření konceptů smíšeného a nativního režimu, které byly uvedeny v rámci systému Microsoft Windows 2000 Server za účelem aktivace nových funkcí služby Active Directory. Pokud všechny řadiče domény v doméně nebo doménové struktuře používají nejnovější verzi systému Windows Server a pokud správce v doméně nebo doménové struktuře aktivuje odpovídající úroveň funkčnosti, jsou k dispozici další funkce služby Active Directory.

Aktivace nejnovějších funkcí domény je možná pouze v případě, že všechny řadiče domény v doméně používají nejnovější verzi operačního systému Windows Server. Je-li tento požadavek splněn, může správce zvýšit úroveň funkčnosti domény.
Nejnovější funkce pro celou doménovou strukturu lze aktivovat pouze v případě, že všechny řadiče domény v doménové struktuře používají verzi operačního systému Windows Server, která odpovídá požadované úrovni funkčnosti doménové struktury. Aktuální úroveň funkčnosti domény navíc již musí být na nejnovější úrovni. Pokud jsou tyto požadavky splněny, může správce zvýšit úroveň funkčnosti doménové struktury.

Obecně platí, že změny úrovně funkčnosti domény a doménové struktury jsou nevratné. Pokud lze změny vrátit zpět, je třeba použít obnovení doménové struktury. V operačním systému Windows Server 2008 R2 lze změny úrovní funkčnosti domény a doménové struktury vrátit zpět. Vrácení změn je však možné pouze v konkrétních situacích popsaných v článku o úrovních funkčnosti služby Active Directory na webu TechNet.

Poznámka: Nejnovější úrovně funkčnosti domény a nejnovější úrovně funkčnosti doménové struktury mají vliv pouze na to, jak spolu řadiče domény spolupracují v rámci skupiny. Nijak neovlivňují klienty, kteří komunikují s doménou nebo doménovou strukturou. Změny úrovní funkčnosti domény nebo úrovní funkčnosti doménové struktury dále nemají vliv na aplikace. Aplikace však mohou využívat nejnovější funkce domény a nejnovější funkce doménové struktury.

Další informace získáte v článku o funkcích spojených s různými úrovněmi funkčnosti na webu TechNet.

Zvýšení úrovně funkčnosti

Upozornění: Úroveň funkčnosti nezvyšujte v případě, že doména má nebo bude mít řadič domény starší verze než verze, která je pro danou úroveň uvedena. Například úroveň funkčnosti systému Windows Server 2008 vyžaduje, aby měly všechny řadiče domény v doméně nebo doménové struktuře nainstalován operační systém Windows Server 2008 nebo novější. Po zvýšení úrovně funkčnosti domény lze provést návrat ke starší verzi jedině prostřednictvím obnovení doménové struktury. Důvodem k tomuto omezení je skutečnost, že funkce často mění komunikaci mezi řadiči domén nebo že funkce mění umístění dat služby Active Directory v databázi.

Nejběžnější metoda povolení úrovní funkčnosti domény a doménové struktury spočívá v použití nástrojů správy grafického uživatelského rozhraní (GUI), které jsou popsány v článku o úrovních funkčnosti služby Active Directory v systému Windows Server 2003 na webu TechNet. Informace v tomto článku se vztahují k systému Windows Server 2003, stejný postup však lze použít i v novějších verzích operačního systému. Dále lze úroveň funkčnosti nakonfigurovat ručně nebo pomocí skriptů prostředí Windows PowerShell. Další informace o ruční konfiguraci úrovně funkčnosti naleznete v části Zobrazení a nastavení úrovně funkčnosti.

Další informace o konfiguraci úrovně funkčnosti pomocí skriptu prostředí Windows PowerShell naleznete v článku na webu TechNet pojednávajícím o této metodě.

Zobrazení a ruční nastavení úrovně funkčnosti

Nástroje protokolu LDAP (Lightweight Directory Access Protocol), například Ldp.exe a Adsiedit.msc, umožňují zobrazení a úpravu aktuálního nastavení úrovně funkčnosti domény a doménové struktury. Chcete-li atributy úrovně funkčnosti změnit ručně, používá se osvědčený postup spočívající ve změně atributů řadiče domén pro řízení hlavních operačních serverů (FSMO), který bývá obvykle cílem nástrojů pro správu Microsoft.

Nastavení úrovně funkčnosti domény

Atribut msDS-Behavior-Version se nachází v hlavičce kořenového názvového kontextu v každé z následujících domén:
  • DC=Mydomain
  • DC=ForestRootDom
  • DC=tld object
Pro tento atribut lze nastavit následující hodnoty:
  • Hodnota 0 nebo žádná hodnota = doména se smíšenou úrovní
  • Hodnota 1 = úroveň domény systému Windows Server 2003
  • Hodnota 2 = úroveň domény systému Windows Server 2003
  • Hodnota 3 = úroveň domény systému Windows Server 2008
  • Hodnota 4 = úroveň domény systému Windows Server 2008 R2

Nastavení smíšeného režimu a nativního režimu

Atribut ntMixedDomain se nachází v hlavičce kořenového názvového kontextu v každé z následujících domén:
  • DC=Mydomain
  • DC=ForestRootDom
  • DC=tld object
Pro tento atribut lze nastavit následující hodnoty:
  • Hodnota 0 = doména s nativní úrovní
  • Hodnota 1 = doména se smíšenou úrovní

Nastavení úrovně doménové struktury

Atribut msDS-Behavior-Version se nachází v hlavičce kořenového názvového kontextu v každé z následujících domén:
  • CN=Partitions
  • CN=Configuration
  • DC=ForestRootDom
  • DC=tld object
Pro tento atribut lze nastavit následující hodnoty:
  • Hodnota 0 nebo žádná hodnota = doménová struktura se smíšenou úrovní
  • Hodnota 1 = úroveň doménové struktury Windows Server 2003 – provizorní
  • Hodnota 2 = úroveň doménové struktury systému Windows Server 2003

    Poznámka: Zvýšíte-li pomocí nástroje Adsiedit.msc hodnotu atributu msDS-Behavior-Version z hodnoty 0 na hodnotu 1, zobrazí se následující chybová zpráva:
    Nedovolená operace změny. Některý aspekt změny není přípustný.
  • Hodnota 3 = úroveň domény systému Windows Server 2008
  • Hodnota 4 = úroveň domény systému Windows Server 2008 R2
Po úpravě úrovně funkčnosti pomocí nástrojů protokolu LDAP (Lightweight Directory Access Protocol) pokračujte kliknutím na tlačítko OK. Atributy v kontejneru oddílů a v hlavičce domény budou správně zvýšeny. Pokud soubor Ldp.exe hlásí chybovou zprávu, můžete ji bez obav ignorovat. Chcete-li ověřit, zda zvýšení úrovně proběhlo úspěšně, aktualizujte seznam atributů a zkontrolujte aktuální nastavení. Tato chybová zpráva se může zobrazit i po zvýšení úrovně autoritativního řízení hlavních operačních serverů (FSMO), pokud změna dosud nebyla replikována do lokálního řadiče domény.

Rychlé zobrazení aktuálního nastavení pomocí souboru Ldp.exe

  1. Spusťte soubor Ldp.exe.
  2. V nabídce Připojení klikněte na možnost Připojit.
  3. Určete řadič domény, na který chcete zaslat dotaz. Chcete-li se připojit k libovolnému řadiči domény, nechte pole prázdné.
Po připojení k řadiči domény se zobrazí údaj RootDSE o řadiči domény. Tento údaj zahrnuje informace o doménové struktuře, doméně a řadičích domény. Následuje příklad řadiče domény se systémem Windows Server 2003. V následujícím příkladu předpokládejme, že doména pracuje v režimu systému Windows Server 2003 a v režimu doménové struktury systému Windows 2000 Server.

Poznámka: Funkčnost řadiče domény představuje nejvyšší možnou úroveň funkčnosti tohoto řadiče domény.
  • 1> domainFunctionality: 2=(DS_BEHAVIOR_WIN2003)
  • 1> forestFunctionality: 0=(DS_BEHAVIOR_WIN2000)
  • 1> domainControllerFunctionality: 2=(DS_BEHAVIOR_WIN2003)

Požadavky při ruční změně úrovně funkčnosti

  • Platí-li některá z následujících podmínek, je třeba před zvýšením úrovně domény změnit režim domény na nativní režim:
    • Úrovně funkčnosti domény je programově zvýšena na druhou úroveň funkčnosti přímou úpravou hodnoty atributu msdsBehaviorVersion v objektu domainDNS.
    • Úroveň funkčnosti domény je zvýšena na druhou úroveň funkčnosti pomocí nástroje Ldp.exe nebo nástroje Adsiedit.msc.
    Nezměníte-li režim domény před zvýšením úrovně domény na nativní režim, nebude operace úspěšně dokončena a zobrazí se následující chybové zprávy:
    SV_PROBLEM_WILL_NOT_PERFORM
    ERROR_DS_ILLEGAL_MOD_OPERATION
    Do protokolu adresářových služeb je dále zaznamenána následující zpráva:
    Služba Active Directory neaktualizovala úroveň funkčnosti následující domény, protože doména je ve smíšeném režimu.

    V tomto scénáři lze změnit režim domény na nativní režim pomocí modulu snap-in Uživatelé a počítače služby Active Directory, pomocí modulu snap-in konzoly MMC uživatelského rozhraní Domény a vztahy důvěryhodnosti služby Active Directory nebo programovou změnou atributu ntMixedDomain na hodnotu 0 v objektu domainDNS. Je-li ke zvýšení úrovně funkčnosti domény na hodnotu 2 (Windows Server 2003) použit tento proces, je režim domény automaticky změněn na nativní režim.
  • Přechod ze smíšeného do nativního režimu změní rozsah skupiny zabezpečení Schema Administrators a skupiny zabezpečení Enterprise Administrators na univerzální skupiny. Po změně těchto skupin na univerzální skupiny bude do systémového protokolu zanesena následující zpráva:

    Typ události: Informace
    Zdroj události: SAM
    ID události: 16408
    Počítač: název serveru
    Popis: Doménový režim byl změněn na Nativní režim. Změnu nelze vzít zpět.

  • Jsou-li k vyvolání úrovně funkčnosti domény použity nástroje pro správu systému Windows Server 2003, budou atributy ntmixedmode a msdsBehaviorVersion ve správném pořadí upraveny. Nemusí k tomu však dojít vždy. V následujícím scénáři je nativní režim implicitně nastaven na hodnotu 0 bez změny rozsahu skupiny zabezpečení Schema Administrators a skupiny zabezpečení Enterprise Administrators na univerzální skupiny:
    • Atribut msdsBehaviorVersion, který řídí režim funkčnosti domény, je ručně nebo programově nastaven na hodnotu 2.
    • Úroveň funkčnosti doménové struktury je jakýmkoli způsobem nastavena na hodnotu 2.
    V tomto scénáři řadiče domény blokují přechod na funkční úroveň doménové struktury, dokud nejsou všechny domény v místní síti nakonfigurovány na nativní režim a není provedena požadovaná změna atributu v rozsahu skupiny zabezpečení.

Funkční úrovně vztahující se k systému Windows 2000 Server

Systém Windows 2000 Server podporuje pouze smíšený režim a nativní režim. Tyto režimy dále používá pouze pro funkčnost domény. V následujících částech jsou uvedeny režimy domén systému Windows Server 2003, protože tyto režimy ovlivňují způsob upgradu domén systémů Windows NT 4.0 a Windows 2000 Server.

Při zvyšování úrovně operačního systému řadiče domény je třeba brát v úvahu celou řadu aspektů. Tyto aspekty souvisí s omezeními úložiště a replikace souvisejících atributů v režimech systému Windows 2000 Server.

Smíšený režim systému Windows 2000 Server (výchozí)

  • Podporované řadiče domény: Microsoft Windows NT 4.0, Windows 2000 Server, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2
  • Aktivované funkce: místní a globální skupiny, podpora globálního katalogu

Nativní režim systému Windows 2000 Server

  • Podporované řadiče domény: Windows 2000 Server, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2
  • Aktivované funkce: vnořování skupin, univerzální skupiny, historie identifikátorů SID, převod skupin ze skupin zabezpečení do distribučních skupin, možnost zvýšení úrovní domény prostřednictvím zvýšení nastavení úrovně doménové struktury

Windows Server 2003 – provizorní

  • Podporované řadiče domény: Windows NT 4.0, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2
  • Podporované funkce: Na této úrovni nejsou aktivovány žádné funkce pro celou doménu. Všechny domény v doménové struktuře jsou v případě, že se úroveň doménové struktury zvýší na provizorní úroveň, automaticky zvýšeny na tuto úroveň. Tento režim se používá pouze v případě upgradu řadičů domény v doménách systému Windows NT 4.0 na řadiče domény systému Windows Server 2003.

Windows Server 2003

  • Podporované řadiče domény: Windows Server 2003, Windows Server 2008, Windows Server 2008 R2
  • Podporované funkce: přejmenování řadiče domény, aktualizace a replikace časového razítka přihlášení. Podpora hesla uživatele v třídě InetOrgPerson objectClass. Vynucené delegování, lze přesměrovat kontejnery uživatelů a počítačů.
Domény upgradované ze systému Windows NT 4.0 nebo vytvořené povýšením počítače se systémem Windows Server 2003 pracují na smíšené úrovni funkčnosti systému Windows 2000. Domény systému Windows 2000 Server si po upgradu řadičů domény systému Windows Server 2000 na operační systém Windows Server 2003 zachovají aktuální úroveň funkčnosti domény. Úroveň funkčnosti domény můžete zvýšit na nativní režim systému Windows 2000 Server nebo na režim systému Windows Server 2003.

Provizorní úroveň – upgrade z domény systému Windows NT 4.0

Služba Active Directory systému Windows Server 2003 povoluje zvláštní úroveň funkčnosti doménové struktury a domény, která se nazývá Windows Server 2003 – provizorní. Tato úroveň funkčnosti slouží k upgradům existujících domén systému Windows NT 4.0, v nichž po upgradu musí fungovat jeden či více záložních řadičů domény systému Windows NT 4.0. V tomto režimu nejsou řadiče domény systému Windows 2000 Server podporovány. Úroveň Windows Server 2003 – provizorní platí pro následující scénáře:
  • Upgrady domény ze systému Windows NT 4.0 na systém Windows Server 2003
  • Záložní řadiče domény systému Windows NT 4.0 nejsou upgradovány okamžitě
  • Domény systému Windows NT 4.0, které obsahují skupiny s více než 5000 členy (s výjimkou skupiny Domain Users)
  • Neexistují žádné plány k implementaci řadičů domény systému Windows Server 2000 v doménové struktuře.
Úroveň Windows Server 2003 – provizorní obsahuje dvě důležitá vylepšení, stále však umožňuje replikaci na záložní řadiče domény systému Windows NT 4.0:
  1. Efektivní replikace skupin zabezpečení a podpora více než 5000 členů na jednu skupinu
  2. Vylepšené algoritmy generátoru mezisíťových topologií KCC
Z důvodu efektivity replikace skupin aktivované na provizorní úrovni představuje provizorní úroveň doporučenou úroveň při všech upgradech systému Windows NT 4.0. Další podrobnosti naleznete v tomto článku v části Doporučené postupy.

Nastavení úrovně funkčnosti doménové struktury Windows Server 2003 – provizorní

Úroveň Windows Server 2003 – provizorní lze aktivovat třemi různými způsoby. Nejvhodnější jsou první dvě metody. Je tomu tak proto, že skupiny zabezpečení používají po upgradu primárního řadiče domény systému Windows NT 4.0 na řadič domény systému Windows Server 2003 replikaci propojené hodnoty. Třetí možnost je mnohem méně vhodná, neboť členství ve skupinách zabezpečení používá jeden vícehodnotový atribut, který může způsobit problémy s replikací. Úroveň Windows Server 2003 – provizorní lze aktivovat těmito způsoby:
  1. Během upgradu

    Tato možnost je uvedena v průvodci instalací Dcpromo při upgradu primárního řadiče domény systému Windows NT 4.0, který slouží jako první řadič domény v kořenové doméně nové doménové struktury.
  2. Před upgradem primárního řadiče domény systému Windows NT 4.0 v doméně systému Windows NT 4.0 jako prvního řadiče nové domény v existující doménové struktuře prostřednictvím ruční konfigurace úrovně funkčnosti doménové struktury za pomoci nástrojů protokolu LDAP (Lightweight Directory Access Protocol)

    Podřízené domény převezmou nastavení funkčnosti celé domény z doménové struktury, do které jsou povýšeny. Upgrade primárního řadiče domény systému Windows NT 4.0 jako podřízené domény v existující doménové struktuře systému Windows Server 2003, kde byly provizorní úrovně funkčnosti doménové struktury nakonfigurovány pomocí souboru Ldp.exe nebo Adsiedit.msc, umožňuje použití replikace propojené hodnoty po upgradu verze operačního systému.
  3. Po upgradu pomocí nástrojů protokolu LDAP

    Poslední dvě možnosti použijte v případě, že při upgradu připojujete existující doménovou strukturu systému Windows Server 2003. Jedná se o běžný scénář v případě, že je již vytvořena prázdná kořenová doména. Upgradovaná doména je připojena k prázdné doméně jako podřízená doména a převezme nastavení domény z doménové struktury.

Doporučené postupy

V následující části jsou uvedeny doporučené postupy pro zvýšení úrovně funkčnosti. Tato část je rozdělena na dva oddíly. Oddíl Přípravné úkoly uvádí kroky, které je třeba provést před zvýšením úrovně, a oddíl Optimální zvýšení cest se zabývá motivacemi pro různé scénáře zvýšení úrovně a příslušnými metodami.

Chcete-li vyhledat řadiče domény systému Windows NT 4.0, postupujte takto:
  1. Z libovolného řadiče domény se systémem Windows Server 2003 otevřete modul Uživatelé a počítače služby Active Directory.
  2. Pokud řadič domény ještě není připojen k příslušné doméně, připojte jej k příslušné doméně následujícím způsobem:
    1. Klikněte pravým tlačítkem myši na aktuální objekt domény a potom klikněte na příkaz Připojit k doméně.
    2. V dialogovém okně Doména zadejte název DNS domény, ke které se chcete připojit, a klikněte na tlačítko OK. Případně můžete kliknout na tlačítko Procházet, vybrat doménu ze stromové struktury domén a pak kliknout na tlačítko OK.
  3. Klikněte pravým tlačítkem myši na objekt domény a potom klikněte na příkaz Najít.
  4. V dialogovém okně Najít klikněte na možnost Vlastní vyhledávání.
  5. Klikněte na doménu, u které chcete změnit úroveň funkčnosti.
  6. Klikněte na kartu Upřesnit.
  7. Do pole dotazu Zadejte dotaz protokolu LDAP zadejte následující příkaz (nevkládejte mezi znaky žádné mezery):
    (&(objectCategory=computer)(operatingSystem Version=4*)(userAccountControl:1.2.840.113556.1.4.803:=8192))
    Poznámka: Tento dotaz rozlišuje malá a velká písmena.
  8. Klikněte na tlačítko Najít.

    Zobrazí se seznam počítačů v doméně, které používají systém Windows NT 4.0 a fungují jako řadiče domény.
Řadič domény může být v seznamu uveden z některého z následujících důvodů:
  • Řadič domény používá systém Windows NT 4.0 a je třeba provést jeho upgrade.
  • Řadič domény byl upgradován na systém Windows Server 2003, tato změna však nebyla replikována do cílového řadiče domény.
  • Řadič domény již není v provozu, avšak objekt počítače s řadičem domény nebyl z domény odebrán.
Před změnou úrovně funkčnosti domény na systém Windows Server 2003 je třeba v seznamu fyzicky vyhledat všechny řadiče domény, určit jejich aktuální stav a pak je podle potřeby buď upgradovat, nebo odebrat.

Poznámka: Na rozdíl od řadičů domény systému Windows Server 2000 neblokují řadiče domény systému Windows NT 4.0 zvýšení úrovně. Změníte-li úroveň funkčnosti domény, bude zastavena replikace na řadiče domény systému Windows NT 4.0. Pokud se však u domén systému Windows Server 2000 pokusíte o zvýšení na úroveň doménové struktury systému Windows Server 2003, bude smíšená úroveň zablokována. Splnění požadavku úrovně doménové struktury na nativní úroveň systému Windows Server 2000 nebo novější poukazuje na nepřítomnost zálohovaných řadičů domény systému Windows NT 4.0.

Příklad: Přípravné úkoly před zvýšením úrovně

V tomto příkladu je úroveň prostředí zvýšena ze smíšeného režimu systému Windows Server 2000 na režim doménové struktury systému Windows Server 2003.

Vyhledejte v doménové struktuře starší verze řadičů domény.
Není-li k dispozici přesný seznam serverů, postupujte takto:
  1. Chcete-li vyhledat domény se smíšenou úrovní, řadiče domény systému Windows Server 2000 nebo řadiče domény s poškozenými či chybějícími objekty, použijte domény služby Active Directory a modul snap-in konzoly MMC zabývající se důvěryhodností.
  2. V modulu snap-in klikněte na možnost Zvýšit úroveň funkčnosti doménové struktury a pak kliknutím na příkaz Uložit jako vygenerujte podrobnou sestavu.
  3. Pokud nejsou odhaleny žádné potíže, je v rozevíracím seznamu Vyberte dostupnou úroveň funkčnosti doménové struktury k dispozici možnost zvýšení na úroveň doménové struktury systému Windows Server 2003. Pokusíte-li se zvýšit úroveň doménové struktury, budou mezi objekty řadičů domény v kontejnerech konfigurace vyhledány všechny řadiče domény, u nichž není atribut msds-behavior-version nastaven na požadovanou cílovou úroveň. Tyto řadiče domény jsou považovány za řadiče domény systému Windows Server 2000 nebo za poškozené objekty řadičů domény novějšího systému Windows Server.
  4. Pokud jsou nalezeny starší verze řadičů domény nebo řadiče domény s poškozenými či chybějícími objekty počítačů, budou také zařazeny do sestavy. Je třeba zjistit stav těchto řadičů domény a je třeba opravit nebo pomocí souboru Ntdsutil odebrat reprezentaci řadičů domény ve službě Active Directory.
Další informace naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
216498 Odebrání dat z adresáře služby Active Directory po neúspěšném snížení úrovně řadiče domény
Ověření správné funkce celkové replikace v doménové struktuře
Chcete-li ověřit, zda celková replikace v doménové struktuře funguje správně, použijte u řadičů domény systému Windows Server 2000 nebo Windows Server 2003 nástroj Repadmin systému Windows Server 2003 nebo novější verze:
  • Repadmin/Replsum * /Sort:Delta[/Errorsonly] pro počáteční soupis.
  • Repadmin/Showrepl * /CSV>showrepl.csv. Importujte data do aplikace Excel a pak zjistěte vlastnosti replikace pomocí možnosti Data –> Automatický filtr.

    Pomocí replikačních nástrojů jako Repadmin ověřte, zda replikace do celé doménové struktury funguje správně.
Ověřte kompatibilitu všech programů nebo služeb s novějšími řadiči domény systému Windows Server a s vyšším režimem domény a doménové struktury systému Windows Server. V testovacím prostředí proveďte důkladné testování potíží s kompatibilitou provozních programů a služeb. Vyžádejte si od dodavatelů potvrzení funkce.

Připravte si zpětný plán zahrnující některou z následujících činností:
  • Od každé domény v doménové struktuře odpojte alespoň dva řadiče domény.
  • Vytvořte zálohu stavu systému nejméně u dvou řadičů domény ve všech doménách v rámci doménové struktury.
Před použitím zpětného plánu a provedením procesu obnovy musí být všechny řadiče domény v rámci doménové struktury vyřazeny z provozu.

Poznámka: Zvýšení úrovně nelze autoritativně obnovit. To znamená, že všechny řadiče domény, u nichž bylo replikováno zvýšení úrovně, musí být vyřazeny z provozu.

Po vyřazení předchozích řadičů domény z provozu zapojte odpojené řadiče domény nebo obnovte řadiče domény ze zálohy. Odeberte metadata ze všech ostatních řadičů domény a potom je znovu povyšte. Jde o obtížný proces, proto se mu raději vyhýbejte.

Příklad: Jak převést smíšenou úroveň systému Windows Server 2000 na úroveň doménové struktury systému Windows Server 2003

Zvyšte všechny domény na nativní úroveň systému Windows Server 2000. Poté zvyšte úroveň funkčnosti kořenové domény v rámci doménové struktury na úroveň doménové struktury systému Windows Server 2003. Po replikaci úrovně doménové struktury do primárních řadičů domény v každé doméně v rámci doménové struktury bude úroveň domény automaticky zvýšena na úroveň domény systému Windows Server 2003. Tato metoda má následující výhody:
  • Zvýšení úrovně pro celou doménovou strukturu se provádí pouze jednou. Není třeba ručně zvyšovat úroveň každé domény v doménové struktuře na úroveň funkčnosti domény systému Windows Server 2003.
  • Před zvýšením úrovně je provedena kontrola řadičů domény systému Windows Server 2000 (viz část Přípravné úkoly). Zvýšení je blokováno, dokud nebudou odebrány nebo upgradovány problémové řadiče domény. Lze vygenerovat podrobnou sestavu obsahující blokované řadiče domény a data s možností provádění akcí.
  • Je provedena kontrola domén se smíšenou úrovní systému Windows Server 2000 nebo s úrovní Windows Server 2003 – provizorní. Toto zvýšení je blokováno, dokud nedojde ke zvýšení úrovní domén alespoň na nativní úroveň systému Windows Server 2000. Úroveň domén s provizorní úrovní je třeba zvýšit na úroveň domény systému Windows Server 2003. Lze vygenerovat podrobnou sestavu obsahující blokované domény.

Upgrady systému Windows NT 4.0

Upgrady systému Windows NT 4.0 vždy používají během upgradu primárních řadičů domény provizorní úroveň, pokud nebyly řadiče domény systému Windows Server 2000 uvedeny do doménové struktury, do které je upgradován příslušný primární řadič domény. Je-li během upgradu primárních řadičů domény použit provizorní režim, existující velké skupiny ihned použijí replikaci propojené hodnoty, aby předešly potenciálním problémům s replikací, které jsou popsány výše v tomto článku. K aktivaci provizorní úrovně při upgradu použijte některou z následujících metod:
  • Vyberte provizorní úroveň během procesu Dcpromo. Tato možnost je k dispozici pouze při upgradu primárního řadiče domény do nové doménové struktury.
  • Nastavte úroveň existující doménové struktury na provizorní režim a pak se k doménové struktuře připojte během upgradu primárního řadiče domény. Upgradovaná doména převezme nastavení doménové struktury.
  • Po upgradu nebo odebrání všech záložních řadičů domény systému Windows NT 4.0 je třeba každou doménu převést na úroveň doménové struktury. Lze je převést do režimu doménové struktury systému Windows Server 2003.
Provizorní režim se doporučuje nepoužívat v případě, že existují plány na implementaci řadičů domény systému Windows Server 2000 po upgradu nebo kdykoli v budoucnu.

Zvláštní informace pro velké skupiny v systému Windows NT 4.0

V déle existujících doménách systému Windows NT 4.0 mohou existovat skupiny zabezpečení s více než 5000 členy. Dojde-li v systému Windows NT 4.0 ke změně člena skupiny zabezpečení, je do záložních řadičů domény replikována pouze jedna změna členství. V systému Windows Server 2000 představují členství ve skupinách propojené atributy uložené v jednom vícehodnotovém atributu objektu skupiny. Je-li v členství ve skupině provedena jedna změna, dojde k replikaci celé skupiny jako jedné jednotky. Jelikož je skupinové členství replikováno jako jedna jednotka, existuje potenciální možnost ztráty aktualizací členů skupiny při přidávání či odebírání různých členů v různých řadičích domény současně. Dále může velikost tohoto jediného objektu přesáhnout velikost vyrovnávací paměti sloužící k zápisu položky do databáze. Další informace naleznete v tomto článku v části Problémy s úložištěm verzí ve velkých skupinách. Z těchto důvodů je doporučeno omezit počet členů skupin na 5000.

Výjimku z omezení na 5000 členů tvoří primární skupina (ve výchozím nastavení se jedná o skupinu Domain Users). Primární skupina používá k určení členství výpočtový mechanismus založený na identifikátoru primarygroupID uživatele. Primární skupina neukládá členy v podobě vícehodnotových propojených atributů. Dojde-li ke změně primární skupiny uživatele na vlastní skupinu, je členství daného uživatele ve skupině Domain Users zapsáno do propojeného atributu pro danou skupinu a již není vypočítáváno. Nový identifikátor RID primární skupiny je zapsán do identifikátoru primarygroupID a uživatel je odebrán z atributu členství ve skupině.

Pokud správce nevybere pro upgradovanou doménu provizorní úroveň, je třeba před upgradem provést následující kroky:
  1. Je třeba vytvořit soupis všech velkých skupin a určit skupiny s více než 5000 uživateli, kromě skupiny Domain Users.
  2. Všechny skupiny s více než 5000 členy je třeba rozdělit do menších skupin s méně než 5000 členy.
  3. Vyhledejte všechny seznamy řízení přístupu, do nichž byly zadány velké skupiny, a přidejte do nich malé skupiny vytvořené v kroku 2.
Úroveň doménové struktury Windows Server 2003 – provizorní zbavuje správce nutnosti vyhledání a nového přidělení globálních skupin zabezpečení s více než 5000 členy.

Problémy s úložištěm verzí ve velkých skupinách

Při déle trvajících operacích, jako je například hloubkové hledání nebo zápis do jednoho velkého atributu, musí služba Active Directory zajistit statický stav databáze až do dokončení operace. Příkladem hloubkového hledání nebo zápisu do velkých atributů je velká skupina používající zastaralé úložiště.

Jelikož neustále dochází k aktualizacím databáze lokálně a ze strany partnerů pro replikaci, poskytuje služba Active Directory statický stav tím, že až do dokončení déle trvající operace zařadí všechny příchozí změny do fronty. Jakmile je operace dokončena, jsou změny ve frontě zaneseny do databáze.

Umístění úložiště pro tyto změny ve frontě je označováno jako úložiště verzí a má velikost 100 megabajtů. Velikost úložiště verzí kolísá a vychází z fyzické paměti. Není-li déle trvající operace dokončena před zaplněním úložiště verzí, přestane řadič domény přijímat aktualizace, dokud nedojde k dokončení déle trvající operace a k zápisu změn ve frontě. Skupiny o velkém počtu členů (více než 5000 členů) vystavují řadič domény v případě zápisu velké skupiny riziku vyčerpání kapacity úložiště verzí.

Systém Windows Server 2003 zavádí nový mechanismus replikace propojených vícehodnotových atributů, který se nazývá replikace propojené hodnoty. Při replikaci propojené hodnoty nedochází k replikaci celé skupiny v rámci jediné operace, ale k replikaci jednotlivých členů skupiny v rámci samostatné operace replikace. Replikace propojené hodnoty bude k dispozici po zvýšení úrovně funkčnosti doménové struktury na úroveň doménové struktury Windows Server 2003 – provizorní nebo na úroveň doménové struktury systému Windows Server 2003. Na této úrovni funkčnosti slouží replikace propojené hodnoty k replikaci skupin mezi řadiči domény systému Windows Server 2003.

Vlastnosti

ID článku: 322692 - Poslední aktualizace: 11. září 2011 - Revize: 4.0
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
Klíčová slova: 
kbactivedirectory kbhowtomaster KB322692

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com