Cómo elevar niveles funcionales de dominio y bosque de Active Directory

Seleccione idioma Seleccione idioma
Id. de artículo: 322692 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

Resumen

En este artículo se describe cómo elevar los niveles funcionales de dominio y bosque que se admiten en controladores de dominio basados en Microsoft Windows Server 2003 o más recientes. Hay cuatro versiones de Active Directory, y sólo los niveles que han cambiado de Windows NT Server 4.0 requieren una consideración especial. Por lo tanto, los demás cambios de nivel se mencionan utilizando las versiones nuevas, actuales o anteriores del sistema operativo del controlador de dominio, del dominio o del nivel funcional del bosque.

Los niveles funcionales son una extensión de los conceptos de modo mixto y modo nativo que se introdujeron en Microsoft Windows 2000 Server para activar nuevas características de Active Directory. Algunas características adicionales de Active Directory están disponibles cuando todos los controladores de dominio ejecutan la versión más reciente de Windows en un dominio o en un bosque y cuando el administrador activa el nivel funcional correspondiente en el dominio o en el bosque.

Para activar las características de dominio más recientes, todos los controladores de dominio deben ejecutar la versión más reciente del sistema operativo Windows Server. Una vez cumplido este requisito, el administrador puede elevar el nivel funcional del dominio.
Para activar las características más recientes de todo el bosque, todos los controladores de dominio del bosque deben ejecutar la versión del sistema operativo Windows Server que corresponda al nivel funcional deseado del bosque. Además, el nivel funcional actual del dominio ya debe estar en el nivel más reciente. Si se cumplen estos requisitos, el administrador puede elevar el nivel funcional del bosque.

Generalmente, los cambios en los niveles funcionales del dominio y el bosque son irreversibles. Si se puede deshacer el cambio, se debe utilizar una recuperación del bosque. Con el sistema operativo Windows Server 2008 R2, los cambios en los niveles funcionales del dominio y el bosque no se pueden deshacer. Sin embargo, la operación de deshacer sí es posible en los casos que se describen en el artículo de Technet acerca de los niveles funcionales de Active Directory.

Nota Los niveles funcionales más recientes del dominio y el bosque sólo afectan a la forma en que los controladores de dominio funcionan juntos como un grupo. No afecta a los clientes que interactúan con el dominio o con el bosque. Además, no solo las aplicaciones no se ven afectadas por los cambios en los niveles funcionales del dominio o el bosque, sino que pueden aprovechar las características más recientes del dominio y el bosque.

Para obtener más información, consulte el artículo de TechNet acerca de las características asociadas con los diversos niveles funcionales.

Elevación del nivel funcional

Precaución No eleve el nivel funcional si el dominio tiene o tendrá un controlador de dominio que es de una versión anterior a la citada para ese nivel. Por ejemplo, un nivel funcional de Windows Server 2008 requiere que todos los controladores de dominio tengan instalado Windows Server 2008 o una versión superior en el dominio o en el bosque. Una vez que el nivel funcional del dominio se eleva a un nivel superior, sólo se puede volver a un nivel anterior usando una recuperación del bosque. Esta restricción existe porque las características cambian a menudo la comunicación entre los controladores de dominio o porque las características cambian el almacenamiento de los datos de Active Directory en la base de datos.

El método más común para habilitar los niveles funcionales del dominio y el bosque es utilizar las herramientas de administración de la interfaz gráfica de usuario (GUI) que se documentan en el artículo de TechNet acerca de los niveles funcionales de Active Directory de Windows Server 2003. En este artículo se describe Windows Server 2003. Sin embargo, los pasos son también aplicables a las versiones más nuevas del sistema operativo. Además, el nivel funcional se puede configurar manualmente o mediante secuencias de comandos de Windows PowerShell. Para obtener más información acerca de cómo configurar manualmente el nivel funcional, consulte la sección "Ver y establecer el nivel funcional".

Para obtener más información acerca de cómo utilizar secuencias de comandos de Windows PowerShell para configurar el nivel funcional, vea el artículo de TechNet donde se describe este método.

Ver y establecer el nivel funcional manualmente

Las herramientas de protocolo ligero de acceso a directorio (LDAP) como Ldp.exe y Adsiedit.msc se pueden utilizar para ver y modificar la configuración actual de nivel funcional del bosque y el dominio. Cuando cambie los atributos de nivel funcional manualmente, lo más aconsejable es realizar los cambios de atributos en el controlador de dominio de Operaciones de maestro único flexible (FSMO) que normalmente se identifica con las herramientas administrativas de Microsoft.

Configuración del nivel funcional del dominio

El atributo msDS-Behavior-Version se encuentra en el encabezado del contexto de nomenclatura (NC) raíz de cada uno de los siguientes dominios:
  • DC=Mydomain
  • DC=ForestRootDom
  • DC=tld object
Los valores que se pueden establecer para este atributo son:
  • Si el valor es 0 o no está establecido = dominio de nivel mixto
  • Valor de 1 = nivel del dominio de Windows Server 2003
  • Valor de 2 = nivel del dominio de Windows Server 2003
  • Valor de 3 = nivel de dominio de Windows Server 2008
  • Valor de 4 = nivel de dominio de Windows Server 2008 R2

Configuración de los modos mixto y nativo

El atributo msMixedDomain se encuentra en el encabezado del contexto de nomenclatura (NC) raíz de cada uno de los siguientes dominios:
  • DC=Mydomain
  • DC=ForestRootDom
  • DC=tld object
Los valores que se pueden establecer para este atributo son:
  • Valor del 0 = Dominio del nivel nativo
  • Valor del 1 = Dominio del nivel mixto

Configuración del nivel de bosque

El atributo msDS-Behavior-Version se encuentra en el encabezado del contexto de nomenclatura (NC) raíz de cada uno de los siguientes dominios:
  • CN=Partitions
  • CN=Configuration
  • DC=ForestRootDom
  • DC=tld object
Los valores que se pueden establecer para este atributo son:
  • Si el valor es 0 o no está establecido = bosque de nivel mixto
  • Valor de 1 = nivel del bosque de Windows Server 2003 provisional
  • Valor de 2 = nivel del bosque de Windows Server 2003

    Nota Cuando incrementa el valor del atributo msDS-Behavior-Version de 0 a 1 con Adsiedit.msc, recibe el siguiente mensaje de error:
    Operación de modificación ilegal. No se permite algún aspecto de la modificación.
  • Valor de 3 = nivel de dominio de Windows Server 2008
  • Valor de 4 = nivel de dominio de Windows Server 2008 R2
Después de utilizar las herramientas de protocolo ligero de acceso a directorio (LDAP) para editar el nivel funcional, haga clic en Aceptar para continuar. Los atributos del contenedor de particiones y del encabezado del dominio se incrementan correctamente. Si el archivo Ldp.exe muestra un mensaje de error, puede omitir este mensaje con seguridad. Para comprobar que el incremento de nivel se realizó correctamente, actualice la lista de atributos y compruebe la configuración actual. Este mensaje de error también se puede producir si ha realizado el incremento de nivel en el FSMO autorizado, pero el cambio no se ha replicado en el controlador de dominio local.

Ver rápidamente la configuración actual utilizando el archivo Ldp.exe

  1. Inicie el archivo Ldp.exe.
  2. En el menú Connection, haga clic en Connect.
  3. Especifique el controlador de dominio que desea consultar o deje el espacio en blanco para conectar con cualquier controlador de dominio.
Después de conectarse a un controlador de dominio, aparece la información de RootDSE para el controlador de dominio. Esta información incluye datos sobre el bosque, el dominio y los controladores de dominio. El siguiente es un ejemplo de un controlador de dominio basado en Windows Server 2003. En el siguiente ejemplo se asume que el modo de dominio es Windows Server 2003 y que el modo de bosque es Windows 2000 Server.

Nota La funcionalidad de controlador de dominio representa el nivel funcional más alto posible para este controlador de dominio.
  • 1> domainFunctionality: 2=(DS_BEHAVIOR_WIN2003)
  • 1> forestFunctionality: 0=(DS_BEHAVIOR_WIN2000)
  • 1> domainControllerFunctionality: 2=(DS_BEHAVIOR_WIN2003)

Requisitos cuando se cambia manualmente el nivel funcional

  • Puede cambiar el modo de dominio a modo nativo antes de elevar el nivel de dominio si se cumple una de las siguientes condiciones:
    • El nivel funcional del dominio se eleva mediante programación al segundo nivel funcional modificando directamente el valor del atributo msdsBehaviorVersion en el objeto domainDNS.
    • El nivel funcional del dominio se eleva al segundo nivel funcional mediante la utilidad Ldp.exe o la utilidad Adsiedit.msc.
    Si no cambia el modo del dominio a modo nativo antes de elevar el nivel de dominio, la operación no se completa correctamente y recibe los mensajes de error siguientes:
    SV_PROBLEM_WILL_NOT_PERFORM
    ERROR_DS_ILLEGAL_MOD_OPERATION
    Además, el mensaje siguiente se registra en el registro de servicios de directorio:
    Active Directory no puede actualizar el nivel de funcionalidad del siguiente dominio porque éste se encuentra en modo mixto.

    En esta situación, puede cambiar el modo de dominio a modo nativo utilizando el complemento Usuarios y equipos de Active Directory, el complemento de MMC de UI Dominios y confianzas de Active Directory o cambiando mediante programación el valor del atributo ntMixedDomain a 0 en el objeto domainDNS. Cuando se usa este proceso para elevar el nivel funcional del dominio a 2 (Windows Server 2003), el modo del dominio cambia automáticamente al modo nativo.
  • La transición del modo mixto al modo nativo cambia el ámbito de los grupos de seguridad Administradores de esquema y Administradores de empresa por el de grupo universal. Cuando estos grupos han cambiado a grupos universales, se registra el mensaje siguiente en el registro del sistema:

    Tipo de evento: Información
    Origen del evento: SAM
    Identificador de evento: 16408
    Equipo: nombre del servidor
    Descripción: "El modo de operación de dominio ha cambiado al modo nativo. El cambio contrario no es posible".

  • Cuando las herramientas administrativas de Windows Server 2003 se usan para invocar el nivel funcional del dominio, se modifican los atributos ntmixedmode y msdsBehaviorVersion en el orden correcto. Sin embargo, esto no siempre ocurre. En el siguiente caso, el modo nativo está establecido implícitamente en un valor de 0 sin cambiar el ámbito de los grupos de seguridad Administradores de esquema y Administradores de empresa por el universal:
    • El atributo msdsBehaviorVersion que controla el modo funcional del dominio se establece de forma manual o mediante programación en el valor de 2.
    • El nivel funcional del bosque se establece en 2 utilizando cualquier método.
    En este caso, los controladores de dominio bloquean la transición al nivel funcional del bosque hasta que todos los controladores de dominio que están en la red de área local estén configurados en modo nativo y el cambio de atributo necesario se realice en los ámbitos del grupo de seguridad:

Niveles funcionales relevantes para Windows 2000 Server

Windows 2000 Server sólo admite modo mixto y modo nativo. Además, estos modos sólo se aplican a la funcionalidad de dominio. En las siguientes secciones se muestran los modos de dominio de Windows Server 2003 dado que estos modos afectan a cómo se actualizan los dominios de Windows NT 4.0 y Windows 2000 Server.

Hay una serie de aspectos que se deben tener en cuenta al elevar el nivel de sistema operativo del controlador de dominio. Y son las limitaciones en el almacenamiento y la replicación de los atributos vinculados en los modos de Windows 2000 Server.

Windows 2000 Server mixto (valor predeterminado)

  • Controladores de dominio compatibles: Microsoft Windows NT 4.0, Windows 2000 Server, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2
  • Características activadas: grupos locales y globales, compatibilidad con catálogo global

Windows 2000 Server nativo

  • Controladores de dominio compatibles: Windows 2000 Server, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2
  • Características activadas: anidamiento de grupos, grupos universales, Historial SID, conversión de grupos entre grupos de seguridad y grupos de distribución, puede elevar los niveles de dominio incrementando los valores de configuración de nivel de bosque

Windows Server 2003 provisional

  • Controladores de dominio compatibles: Windows NT 4.0, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2
  • Características compatibles: en este nivel no hay características de todo el dominio. Todos los dominios de un bosque se elevan automáticamente a este nivel cuando el nivel del bosque se eleva a provisional. Este modo solamente se utiliza cuando actualiza los controladores de dominio de los dominios de Windows NT 4.0 a controladores de dominio de Windows Server 2003.

Windows Server 2003

  • Controladores de dominio compatibles: Windows Server 2003, Windows Server 2008, Windows Server 2008 R2
  • Características compatibles: cambiar el nombre de controladores de dominio, actualizar y replicar marca de hora de inicio de sesión Compatibilidad de la contraseña de usuario en InetOrgPerson objectClass. Delegación limitada, puede redirigir los contenedores de Usuarios y equipos.
Los dominios que se han actualizado desde Windows NT 4.0 o que se han creado por la promoción de un equipo basado en Windows Server 2003 funcionan en el nivel funcional Windows 2000 mixto. Los dominios de Windows 2000 Server mantienen su nivel funcional actual del dominio cuando los controladores de dominio de Windows 2000 Server se actualizan al sistema operativo Windows Server 2003. Puede elevar el nivel funcional del dominio a Windows 2000 Server nativo o Windows Server 2003.

Nivel provisional: actualización desde un dominio de Windows NT 4.0

Windows Server 2003 Active Directory permite un nivel funcional especial de dominio o bosque que se conoce como Windows Server 2003 provisional. Este nivel funcional se proporciona para actualizaciones de dominios de Windows NT 4.0 existentes en los que uno o varios controladores de dominio de reserva de Windows NT 4.0 deben funcionar después de la actualización. En este modo no son compatibles los controladores de dominio de Windows 2000 Server. Windows Server 2003 provisional se aplica a las situaciones siguientes:
  • Actualizaciones de dominio de Windows NT 4.0 a Windows Server 2003.
  • Los BDC de Windows NT 4.0 no se actualizan inmediatamente.
  • Los dominios de Windows NT 4.0 que contienen grupos de más de 5000 miembros, sin incluir el grupo de usuarios de dominio.
  • No hay planes de implementar controladores de dominio de Windows Server 2000 en el bosque en cualquier momento.
Windows Server 2003 provisional proporciona dos mejoras importantes, al tiempo que sigue permitiendo la replicación en los BDC de Windows NT 4.0:
  1. Replicación eficiente de grupos de seguridad y compatibilidad con más de 5000 miembros por grupo.
  2. Algoritmos mejorados del generador de topología entre sitios KCC.
Debido a las eficiencias en la replicación de grupos que se activa en el nivel provisional, éste es el nivel recomendado para todas las actualizaciones de Windows NT 4.0. Consulte la sección "Prácticas recomendadas" de este artículo para obtener más detalles.

Configuración del nivel funcional del bosque de Windows Server 2003 provisional

Windows Server 2003 provisional se puede activar de tres formas diferentes. Los dos primeros métodos son los más aconsejables. El motivo es que los grupos de seguridad usan replicación de valor vinculado (LVR) después de que el controlador de dominio principal (PDC) de Windows NT 4.0 se ha actualizado a un controlador de dominio de Windows Server 2003. La tercera opción no es tan aconsejable porque en la pertenencia a los grupos de seguridad se usa un único atributo de varios valores que puede producir problemas de replicación. Las formas en que se puede activar Windows Server 2003 provisional son:
  1. Durante la actualización.

    La opción se presenta en el asistente para la instalación de Dcpromo cuando actualiza el PDC de un dominio de Windows NT 4.0 que sirve como controlador de dominio principal en el dominio raíz de un nuevo bosque.
  2. Antes de actualizar el PDC de un equipo con Windows NT 4.0 como controlador principal de dominio de un nuevo dominio en un bosque existente, configurando manualmente el nivel funcional del bosque mediante las herramientas del Protocolo ligero de acceso a directorios (LDAP).

    Los dominios secundarios heredan del bosque al que se promueven la configuración de funcionalidad del bosque entero. La actualización del PDC de un dominio de Windows NT 4.0 como un dominio secundario de un bosque de Windows Server 2003 existente en el que los niveles funcionales provisionales del bosque se han configurado mediante el archivo Ldp.exe o el archivo Adsiedit.msc permite que los grupos de seguridad usen la replicación de valor vinculado tras la actualización de la versión del sistema operativo.
  3. Después de la actualización con las herramientas LDAP.

    Utilice las dos últimas opciones cuando se una a un bosque de Windows Server 2003 existente durante una actualización. Es una situación común cuando hay un dominio "raíz vacío". El dominio actualizado se une como secundario de la raíz vacía y hereda la configuración de dominio del bosque.

Prácticas recomendadas

En la próxima sección se analizan las prácticas recomendadas para incrementar los niveles funcionales. La sección se divide en dos partes. En la primera, "Tareas de preparación", se analiza lo que hay que hacer antes del incremento, mientras que en "Incrementos óptimos de las rutas" se analizan las motivaciones y los métodos en las diferentes situaciones de incrementos de nivel.

Para descubrir controladores de dominio de Windows NT 4.0, siga estos pasos:
  1. Desde cualquier controlador de dominio basado en Windows Server 2003, abra Usuarios y equipos de Active Directory.
  2. Si el controlador de dominio no está ya conectado al dominio apropiado, siga estos pasos para conectar con el dominio apropiado:
    1. Haga clic con el botón secundario del mouse en el objeto de dominio actual y, después, haga clic en Conectar con el dominio.
    2. En el cuadro de diálogo Dominio, escriba el nombre DNS del dominio con el que quiere conectar y, después, haga clic en Aceptar. O bien, haga clic en Examinar para seleccionar el dominio en el árbol de dominios y, a continuación, haga clic en Aceptar.
  3. Haga clic con el botón secundario del mouse en el objeto de dominio y, a continuación, haga clic en Buscar.
  4. En el cuadro de diálogo Buscar, haga clic en Búsqueda personalizada.
  5. Haga clic en el dominio en el que desea cambiar el nivel funcional.
  6. Haga clic en la ficha Avanzadas.
  7. En el cuadro Escriba la consulta LDAP, escriba lo siguiente sin dejar espacios en blanco entre los caracteres:
    (&(objectCategory=computer)(operatingSystem Version=4*)(userAccountControl:1.2.840.113556.1.4.803:=8192))
    Nota Esta consulta no distingue entre mayúsculas y minúsculas.
  8. Haga clic en Buscar ahora.

    Aparecerá una lista de los equipos del dominio que utilizan Windows NT 4.0 y funcionan como controladores de dominio.
Un controlador de dominio puede aparecer en la lista por cualquiera de las razones siguientes:
  • El controlador de dominio está utilizando Windows NT 4.0 y debe actualizarse.
  • El controlador de dominio se actualiza a Windows Server 2003, pero el cambio no se replica en el controlador de dominio de destino.
  • El controlador de dominio ya no está en servicio, pero el objeto de equipo del controlador de dominio no se quita del dominio.
Antes de que pueda cambiar el nivel funcional del dominio a Windows Server 2003, debe ubicar físicamente cualquier controlador de dominio de la lista, determinar el estado actual del controlador de dominio y actualizar o quitar el controlador de dominio, según corresponda.

Nota A diferencia de los controladores de dominio de Windows Server 2000, los de Windows NT 4.0 no bloquean un incremento de nivel. Al cambiar el nivel funcional del dominio, se detendrá la replicación en los controladores de dominio de Windows NT 4.0. Sin embargo, cuando intenta incrementar al nivel de bosque de Windows Server 2003 con dominios de Windows Server 2000, se bloquea el nivel mixto. La ausencia de los BDC de Windows NT 4.0 es implícita por el cumplimiento del requisito de nivel del bosque de todos los dominios en el nivel de Windows Server 2000 nativo o posterior.

Ejemplo: Tareas de preparación antes del incremento de nivel

En este ejemplo, el entorno se eleva de Windows Server 2000 en modo mixto a Windows Server 2003 en modo bosque.

Hacer un inventario de las versiones anteriores de controladores de dominio en el bosque.
Si no dispone de una lista de servidores exacta, siga estos pasos:
  1. Para descubrir los dominios de nivel mixto, los controladores de dominio de Windows Server 2000 o los controladores de dominio con objetos perdidos o dañados, use el complemento de MMC Dominios y confianzas de Active Directory.
  2. En el complemento, haga clic en Elevar la funcionalidad del bosque y, después, haga clic en Guardar como para generar un informe detallado.
  3. Si no se encuentran problemas, la opción para incrementar al nivel del bosque de Windows Server 2003 está disponible en la lista desplegable "Niveles funcionales del bosque disponibles". Al intentar elevar el nivel del bosque, en los objetos del controlador de dominio de los contenedores de configuración se buscan los controladores de dominio que no tengan el atributo msds-behavior-version establecido en el nivel de destino deseado. Se supone que son controladores de dominio de Windows Server 2000 u objetos recientes del controlador de dominio de Windows Server que están dañados.
  4. Si se encuentran controladores de dominio de una versión anterior o controladores de dominio con objetos de equipo dañados o perdidos, se incluirán en el informe. Habrá que investigar el estado de esos controladores de dominio y reparar o quitar la representación de los controladores de dominio de Active Directory utilizando el archivo Ntdsutil.
Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
216498 Cómo quitar datos en Active Directory después de una degradación sin éxito de un controlador de dominio
Comprobar que la replicación total funciona en el bosque
Para comprobar que la replicación total funciona en el bosque, utilice Repadmin de Windows Server 2003 o una versión más reciente con los controladores de dominio de Windows Server 2000 o Windows Server 2003:
  • Repadmin/Replsum * /Sort:Delta[/Errorsonly] para el inventario inicial.
  • Repadmin/Showrepl * /CSV>showrepl.csv. Importar en Excel y, a continuación, utilizar el filtro automático de datos para identificar las características de replicación.

    Utilice herramientas de replicación como Repadmin para comprobar que la replicación en todo el bosque funciona correctamente.
Compruebe la compatibilidad de todos los programas o servicios con los nuevos controladores de dominio de Windows Server y con el modo de bosque o dominio de Windows Server con el nivel funcional más alto. Use un entorno de laboratorio para probar exhaustivamente si hay problemas de compatibilidad en los servicios y programas de producción. Póngase en contacto con los proveedores para confirmar la función.

Prepare un plan de vuelta a versiones anteriores que incluya uno de los elementos siguientes:
  • Desconectar al menos dos controladores de dominio por cada dominio del bosque.
  • Crear una copia de seguridad del estado del sistema de al menos dos controladores de dominio en cada uno de los dominios del bosque.
Para usar el plan, todos los controladores de dominio del bosque deben ser decomisados antes del proceso de recuperación.

Nota Los incrementos de nivel no se pueden restaurar autorizadamente. Esto significa que todos los controladores de dominio que hayan replicado el incremento de nivel se tienen que decomisar.

Cuando todos los controladores de dominio anteriores se han decomisado, vuelva a los controladores de dominio desconectados o restaure los controladores de dominio desde la copia de seguridad. Quite los metadatos de todos los demás controladores de dominio y vuelva a promocionarlos. No es un proceso trivial y se debe evitar.

Ejemplo: Cómo llegar al nivel de bosque de Windows Server 2003 desde el nivel mixto de Windows Server 2000

Incremente todos los dominios al nivel nativo de Windows Server 2000. Después de completar esto, incremente el nivel funcional del dominio raíz del bosque al nivel del bosque de Windows Server 2003. Cuando el nivel del bosque se replica en los PDC para cada dominio del bosque, el nivel de dominio se incrementa automáticamente al nivel del dominio de Windows Server 2003. Este método tiene las siguientes ventajas:
  • El incremento de nivel en todo el bosque solamente se realiza una vez. No tiene que incrementar manualmente cada dominio del bosque al nivel funcional de dominio de Windows Server 2003.
  • Antes del incremento de nivel se realiza una comprobación de los controladores de dominio de Windows Server 2000 (vea las tareas de preparación). El incremento se bloquea hasta que se hayan quitado o actualizado todos los controladores de dominio. Se puede generar un informe detallado con una lista de los controladores de dominio bloqueados que proporcionan datos procesables.
  • Se realiza una comprobación de los dominios de nivel mixto de Windows Server 2000 o de nivel provisional de Windows Server 2003. El incremento queda bloqueado hasta que los niveles de dominio se incrementan por lo menos a Windows Server 2000 nativo. Los dominios del nivel provisional deben incrementarse al nivel del dominio de Windows Server 2003. Se puede generar un informe detallado con una lista de los dominios bloqueados.

Actualizaciones de Windows NT 4.0

En las actualizaciones de Windows NT 4.0 se utiliza siempre el nivel provisional durante la actualización del PDC, a menos que los controladores de dominio de Windows Server 2000 se introduzcan en el bosque donde se actualiza el PDC. Cuando se usa el modo provisional durante la actualización del PDC, los grupos grandes existentes usan inmediatamente la replicación LVR, evitando los posibles problemas de replicación analizados anteriormente en este artículo. Use uno de los métodos siguientes para obtener el nivel provisional durante la actualización:
  • Seleccione el nivel provisional durante Dcpromo. Esta opción solamente se presenta cuando el PDC se promociona a un bosque nuevo.
  • Configure en provisional el nivel del bosque de un bosque existente y, después, una el bosque durante la actualización del PDC. El dominio actualizado hereda la configuración del bosque.
  • Después de que todos los BDC de Windows NT 4.0 se hayan actualizado o quitado, hay que cambiar cada dominio al nivel del bosque y se puede cambiar al modo del bosque de Windows Server 2003.
Un motivo para evitar el uso del modo provisional es que haya planes para implementar controladores de dominio de Windows Server 2000 después de la actualización o en cualquier momento futuro.

Consideraciones especiales para grupos grandes en Windows NT 4.0

En dominios maduros de Windows NT 4.0, puede haber grupos de seguridad que contengan muchos más de 5000 miembros. En Windows NT 4.0, cuando cambia un miembro de un grupo de seguridad, el único miembro que cambia se replica en los controladores de reserva. En Windows Server 2000, los miembros del grupo son atributos vinculados almacenados en un único atributo de varios valores del objeto de grupo. Cuando se realiza un único cambio en los miembros de un grupo, todo el grupo se replica como una única unidad. Como la pertenencia del grupo se replica como una única unidad, es posible que las actualizaciones a los miembros del grupo se "pierdan" cuando se agreguen o se quiten simultáneamente diferentes miembros en distintos controladores de dominio. Además, el tamaño de este objeto único puede ser mayor que el búfer usado para confirmar una entrada en la base de datos. Para obtener más información al respecto, vea en este artículo la sección "Problemas del almacén de versión en los grupos grandes". Por estos motivos, el límite recomendado para miembros de grupo es 5000.

La excepción a la regla de los 5000 miembros es el grupo principal que, de forma predeterminada, es el grupo "Usuarios de dominio". El grupo principal utiliza un mecanismo "computerizado" basado en el valor de "primarygroupID" del usuario para determinar la pertenencia. El grupo principal no almacena los miembros como atributos con varios valores vinculados. Si el grupo principal del usuario cambia a un grupo personalizado, su pertenencia al grupo Usuarios de dominio se escribe en el atributo vinculado para el grupo y ya no se calcula. El Rid del nuevo grupo principal se escribe en "primarygroupID" y el usuario se quita del atributo de miembro del grupo.

Si el administrador no selecciona el nivel provisional para el dominio de actualización, deberá seguir estos pasos antes de la actualización:
  1. Hacer inventario de todos los grupos grandes e identificar cualquier grupo de más de 5000 miembros, salvo el grupo Usuarios de dominio.
  2. Todos los grupos que tengan más de 5000 miembros se deben descomponer en grupos más pequeños que no tengan más de 5000 miembros.
  3. Buscar todas las Listas de control de acceso en las que se introdujeron grupos grandes y agregar los grupos pequeños creados en el paso 2.
El nivel del bosque de Windows Server 2003 provisional libera a los administradores de tener que descubrir y reasignar los grupos de seguridad globales con más de 5000 miembros.

Problemas de almacenamiento de versiones con grupos grandes

Durante las operaciones prolongadas como búsquedas profundas o confirmaciones en un único atributo grande, Active Directory debe asegurarse de que el estado de la base de datos es estático hasta que la operación finalice. Un ejemplo de búsquedas profundas o confirmaciones en atributos grandes es un grupo grande que utiliza almacenamiento heredado.

A medida que se realizan actualizaciones a la base de datos de forma local y desde los asociados de replicación, Active Directory proporciona un estado estático poniendo en cola todos los cambios entrantes hasta que finaliza la operación prolongada. En cuanto la operación termina, los cambios de la cola se aplican a la base de datos.

La ubicación de almacenamiento de estos cambios en cola se denomina "almacén de versiones" y tiene aproximadamente 100 MB. El tamaño del almacén de versiones varía y depende de la memoria física. Si una operación prolongada no termina antes de que se llene el almacén de versiones, el controlador de dominio dejará de aceptar actualizaciones hasta que la operación finalice y se confirmen los cambios que hay en cola. Los grupos numerosos, con más de 5000 miembros, hacen que el controlador de dominio corra el riesgo de agotar el almacén de versiones mientras se confirma el grupo grande.

Windows Server 2003 presenta un nuevo mecanismo de replicación para atributos vinculados de varios valores, denominado replicación de valor vinculado (LVR). En lugar de replicar todo el grupo en una única operación de replicación, LVR resuelve este problema replicando cada miembro del grupo como una operación de replicación diferente. LVR está disponible cuando el nivel funcional del bosque se eleva al nivel del bosque de Windows Server 2003 provisional o al nivel del bosque de Windows Server 2003. En este nivel funcional, LVR se usa para replicar grupos entre los controladores de dominio de Windows Server 2003.

Propiedades

Id. de artículo: 322692 - Última revisión: viernes, 14 de mayo de 2010 - Versión: 16.0
La información de este artículo se refiere a:
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
Palabras clave: 
kbactivedirectory kbhowtomaster KB322692

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com