Bagaimana untuk meningkatkan Active Directory domain dan hutan tingkat fungsional

Artikel ini membahas meningkatkan domain dan hutan tingkat fungsional yang didukung oleh pengontrol domain berbasis Microsoft Windows Server 2003 atau lebih baru. Ada empat rilis dari direktori aktif, dan hanya tingkat yang telah berubah dari Windows NT Server 4.0 memerlukan pertimbangan khusus. Oleh karena itu, tingkat perubahan lain yang disebutkan dengan menggunakan versi yang lebih baru, saat ini, atau lebih sistem operasi kontroler domain, domain, atau tingkatan fungsional forest.

Tingkat fungsional adalah perpanjangan dari modus campuran dan konsep-konsep asli modus yang diperkenalkan pada Microsoft Windows 2000 Server untuk mengaktifkan fitur-fitur baru yang ada di Active Directory. Beberapa fitur Active Directory tambahan tersedia ketika semua kontroler domain yang menjalankan versi Windows Server terbaru di domain atau di hutan, dan ketika administrator mengaktifkan tingkatan fungsional yang sesuai dalam domain atau di hutan.

Untuk mengaktifkan fitur domain terbaru, semua pengontrol domain harus menjalankan versi sistem operasi terbaru Windows Server di domain. Jika persyaratan ini bertemu, administrator dapat meningkatkan tingkat fungsional domain.
Untuk mengaktifkan fitur seluruh hutan terbaru, semua pengontrol domain di hutan harus menjalankan versi sistem operasi Windows Server yang sesuai untuk tingkatan fungsional forest diinginkan. Selain itu, saat ini tingkat fungsional domain harus sudah berada pada tingkat yang terbaru. Jika persyaratan tersebut terpenuhi, administrator dapat meningkatkan tingkatan fungsional forest.

Umumnya, perubahan untuk tingkat fungsional domain dan hutan ireversibel. Jika perubahan dapat dibatalkan, pemulihan hutan yang harus digunakan. Dengan sistem operasi Windows Server 2008 R2, perubahan untuk domain tingkat fungsional dan tingkatan fungsional forest dapat digulung kembali. Namun, gulungan kembali dapat dilakukan dalam hanya skenario tertentu yang dijelaskan di Technet artikel tentang tingkat fungsional Active Directory.

Catatan Tingkat fungsional domain terbaru dan terbaru tingkatan fungsional forest mempengaruhi hanya cara yang pengontrol domain beroperasi bersama-sama sebagai sebuah kelompok. Klien yang berinteraksi dengan domain atau dengan hutan terpengaruh. Selain itu, aplikasi tidak terpengaruh oleh perubahan pada tingkat fungsional domain atau ke tingkatan fungsional forest. Namun, aplikasi dapat mengambil keuntungan dari fitur-fitur domain yang terbaru dan fitur hutan terbaru.

Untuk informasi lebih lanjut, lihat TechNet artikel tentang fitur yang terkait dengan berbagai tingkatan fungsional.

Meningkatkan tingkat fungsional

Perhatian Tidak meningkatkan tingkat fungsional jika domain telah atau akan memiliki sebuah kontroler domain yang adalah dari versi sebelumnya dari versi yang dikutip untuk tingkat itu. Sebagai contoh, Windows Server 2008 tingkatan fungsional mengharuskan semua pengontrol domain memiliki Windows Server 2008 atau sistem operasi yang kemudian diinstal di domain atau di hutan. Setelah tingkat fungsional domain diangkat ke tingkat yang lebih tinggi, dapat hanya diubah kembali ke tingkat yang lebih tua dengan menggunakan pemulihan hutan. Pembatasan ini ada karena fitur sering mengubah komunikasi antara pengontrol domain, atau karena fitur mengubah penyimpanan data Active Directory dalam database.

Metode yang paling umum untuk mengaktifkan domain dan hutan fungsional tingkat adalah dengan menggunakan pengguna grafis antarmuka (GUI) alat administrasi yang didokumentasikan dalam TechNet artikel tentang tingkat fungsional Windows Server 2003 Active Directory. Artikel ini membahas Windows Server 2003.However, langkah-langkah yang sama dalam sistem operasi versi yang lebih baru. Selain itu, tingkat fungsional dapat dikonfigurasi secara manual atau dapat dikonfigurasi dengan menggunakan script Windows PowerShell. Untuk informasi lebih lanjut tentang bagaimana mengkonfigurasi secara manual tingkatan fungsional, lihat "melihat dan mengatur tingkat fungsional" bagian.

Untuk informasi lebih lanjut tentang bagaimana menggunakan script Windows PowerShell untuk mengkonfigurasi tingkatan fungsional, melihat TechNet artikel yang membahas metode ini.

Melihat dan mengatur tingkat fungsional secara manual

Lightweight Directory Access Protocol (LDAP) alat-alat seperti Ldp.exe dan Adsiedit.msc dapat digunakan untuk melihat dan mengubah domain dan hutan fungsional tingkat pengaturan saat ini. Ketika Anda mengubah tingkat atribut fungsional secara manual, praktek terbaik adalah untuk membuat perubahan atribut pada kontroler domain operasi Master tunggal fleksibel (FSMO) yang biasanya ditargetkan oleh alat administratif Microsoft.

Pengaturan tingkat fungsional domain

ThemsDS-perilaku-versi atribut adalah pada konteks penamaan (NC) kepala untuk domain, yaitu, DC = corp, DC = contoso, DC = com.

Berikut ini adalah nilai-nilai yang dapat mengatur untuk atribut ini:

• Nilai 0 atau tidak menetapkan = domain tingkat campuran
• Nilai 1 = tingkat domain Windows Server 2003
• Nilai 2 = tingkat domain Windows Server 2003
• Nilai dari 3 = tingkat domain Windows Server 2008
• Nilai dari 4 = tingkat domain Windows Server 2008 R2

Modus campuran dan pengaturan mode asli

ThentMixedDomainatribut adalah pada konteks penamaan (NC) kepala untuk domain, yaitu, DC = corp, DC = contoso, DC = com.

Berikut ini adalah nilai-nilai yang dapat mengatur untuk atribut ini:

• Nilai 0 = domain tingkat asli
• Nilai 1 = domain tingkat campuran

Pengaturan tingkat hutan

The msDS-perilaku-versi atribut adalah pada CN = partisi objek dalam konfigurasi penamaan konteks (NC), yaitu, CN = partisi, CN = konfigurasi, DC =ForestRootDomain.

Berikut ini adalah nilai-nilai yang dapat mengatur untuk atribut ini:

• Nilai 0 atau tidak menetapkan = campuran tingkat hutan
• Nilai 1 = tingkat hutan sementara Windows Server 2003
• Nilai 2 = tingkat hutan Windows Server 2003
  
  Catatan Ketika Anda meningkatkan msDS-perilaku-versi atribut dari 0 nilai untuk 1 nilai oleh usingAdsiedit.msc, Anda menerima pesan galat berikut:
  Ilegal mengubah operasi. Beberapa aspek dari modifikasi tidak diizinkan.
• Nilai dari 3 = tingkat domain Windows Server 2008
• Nilai dari 4 = tingkat domain Windows Server 2008 R2

Setelah Anda menggunakan alat-alat Lightweight Directory Access Protocol (LDAP) untuk mengedit tingkatan fungsional, klik Oke untuk melanjutkan. Atribut pada wadah partisi dan kepala domain dengan benar meningkat. Jika pesan kesalahan laporan oleh Ldp.exe file, Anda bisa dengan aman mengabaikan pesan galat. Untuk memastikan bahwa peningkatan tingkat telah berhasil, me-refresh daftar atribut, dan kemudian memeriksa pengaturan saat ini. Pesan kesalahan ini juga dapat terjadi setelah Anda telah melakukan peningkatan tingkat pada FSMO otoritatif jika perubahan tidak memiliki belum direplikasi ke kontroler domain lokal.

Cepat melihat pengaturan saat ini menggunakan Ldp.exe file

1. Mulai berkas Ldp.exe.
2. PadaSambungan menu, klik Menghubungkan.
3. Menentukan kontroler domain yang Anda inginkan untuk query, atau meninggalkan ruang kosong untuk terhubung ke kontroler domain.

Setelah Anda terhubung ke kontroler domain, RootDSE informasi untuk kontroler domain muncul. Informasi ini mencakup informasi tentang hutan, domain dan domain controller. Berikut ini adalah contoh dari kontroler domain berbasis Windows Server 2003. Dalam contoh berikut, menganggap bahwa modus domain Windows Server 2003 dan bahwa modus hutan adalah Windows 2000 Server.

Catatan Fungsi pengendali domain mewakili tingkat fungsional kemungkinan tertinggi untuk kontroler domain ini.

• 1 mengatakan domainFunctionality: 2=(DS_BEHAVIOR_WIN2003)
• 1 mengatakan forestFunctionality: 0=(DS_BEHAVIOR_WIN2000)
• 1 mengatakan domainControllerFunctionality: 2=(DS_BEHAVIOR_WIN2003)

Persyaratan ketika Anda secara manual mengubah tingkat fungsional

• Anda harus mengubah domain mode ke mode asli sebelum Anda mengangkat tingkat domain jika salah satu dari kondisi berikut ini benar:
  • Tingkat fungsional domain pemrograman terangkat ke jenjang fungsional kedua dengan langsung memodifikasi nilai msdsBehaviorVersion atribut pada domainDNS objek.
  • Tingkat fungsional domain diangkat ke tingkatan fungsional kedua dengan menggunakan utilitas Ldp.exe atau utilitas Adsiedit.msc.
  Jika Anda tidak mengubah domain mode ke mode asli sebelum Anda mengangkat tingkat domain, operasi tidak berhasil selesai, dan Anda menerima pesan galat berikut:
  SV_PROBLEM_WILL_NOT_PERFORM
  ERROR_DS_ILLEGAL_MOD_OPERATION
  Selain itu, pesan berikut dicatat di layanan direktori log:
  Direktori aktif tidak dapat memperbarui tingkat fungsional domain berikut karena domain dalam modus campuran.
  
  Dalam skenario ini, Anda dapat mengubah domain mode ke mode asli dengan menggunakan snap-in Active Directory pengguna & komputer, dengan menggunakan Active Directory Domain & percaya UI snap-in MMC, atau dengan pemrograman mengubah nilai ntMixedDomain atribut ke 0 pada objek domainDNS. Ketika proses ini digunakan untuk meningkatkan tingkat fungsional domain 2 (Windows Server 2003), modus domain secara otomatis berubah ke modus asli.
• Transisi dari campuran mode ke mode asli perubahan lingkup grup keamanan Administrator skema dan grup keamanan Administrator Enterprise kelompok universal. Ketika kelompok-kelompok ini telah diubah untuk kelompok-kelompok universal, pesan berikut dicatat dalam log sistem:

  Jenis peristiwa: informasi
  Sumber peristiwa: SAM
  Event ID: 16408
  Komputer: Nama server
  Keterangan: "modus operasi Domain telah berubah ke Mode asli. Perubahan tidak dapat dibalikkan."

• Ketika alat administrasi Windows Server 2003 yang digunakan untuk memohon domain fungsional tingkat, keduanya ntmixedmode atribut dan msdsBehaviorVersion atribut diubah dalam urutan yang benar. Namun, ini tidak selalu terjadi. Dalam skenario berikut, modus asli secara implisit diatur ke nilai 0 tanpa mengubah cakupan untuk grup keamanan Administrator skema dan grup keamanan Administrator Enterprise Universal:
  • The msdsBehaviorVersion atribut yang mengendalikan domain fungsional modus manual atau pemrograman diatur ke nilai 2.
  • Tingkatan fungsional forest diatur ke 2 dengan menggunakan metode apapun.
  Dalam skenario ini, pengontrol Domain blok transisi ke tingkatan fungsional forest sampai semua domain yang berada dalam jaringan area lokal dikonfigurasi untuk modus asli dan perubahan dibutuhkan atribut dibuat dalam cakupan grup keamanan:.

Fungsional tingkat yang relevan untuk Windows 2000 Server

Windows 2000 Server mendukung hanya campuran modus dan modus yang asli. Selain itu, itu hanya berlaku mode ini untuk domain fungsi. Bagian berikut daftar mode domain Windows Server 2003 karena mode ini mempengaruhi bagaimana domain Windows NT 4.0 dan Windows 2000 Server upgrade.

Ada beberapa pertimbangan ketika meningkatkan tingkat sistem operasi kontroler domain. Pertimbangan ini disebabkan oleh pembatasan penyimpanan dan replikasi atribut yang terkait di mode Windows 2000 Server.

Windows 2000 Server dicampur (default)

• Didukung pengontrol domain: Microsoft Windows NT 4.0, Windows 2000 Server, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2
• Mengaktifkan fitur: kelompok lokal dan global, global katalog dukungan

Windows 2000 Server asli

• Didukung pengontrol domain: Windows 2000 Server, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2
• Mengaktifkan fitur: grup bersarang, universal kelompok, Sid History, mengubah kelompok antara grup keamanan dan grup distribusi, Anda dapat meningkatkan tingkat domain dengan meningkatkan pengaturan tingkat hutan

Sementara Windows Server 2003

• Didukung pengontrol domain: Windows NT 4.0, Windows Server 2003
• Mendukung fitur: ada tidak ada fitur domain-lebar yang diaktifkan pada tingkat ini. Semua domain dalam forest secara otomatis mengangkat ke tingkat ini ketika tingkat hutan meningkat untuk sementara. Mode ini hanya digunakan ketika Anda meng-upgrade kontroler domain pada Windows NT 4.0 domain untuk pengontrol domain Windows Server 2003.

Windows Server 2003

• Didukung pengontrol domain: Windows Server 2003, Windows Server 2008, Windows Server 2008 R2
• Mendukung fitur: Ubah nama domain controller, logon timestamp atribut diperbarui dan direplikasi. Dukungan sandi pengguna pada InetOrgPerson objectClass. Dibatasi delegasi, Anda dapat mengarahkan pengguna dan komputer wadah.

Domain yang di-upgrade dari Windows NT 4.0 atau dibuat oleh promosi komputer berbasis Windows Server 2003 beroperasi pada Windows 2000 dicampur tingkatan fungsional. Windows 2000 Server domain mempertahankan tingkat fungsional domain saat ini ketika pengontrol domain Windows 2000 Server upgrade ke sistem operasi Windows Server 2003. Anda dapat meningkatkan tingkat fungsional domain Windows 2000 Server asli atau Windows Server 2003.

Sementara tingkat - upgrade dari domain Windows NT 4.0

Windows Server 2003 Active Directory izin khusus hutan dan domain tingkatan fungsional yang bernama sementara Windows Server 2003. Tingkat fungsional ini disediakan untuk upgrade dari domain Windows NT 4.0 yang ada di mana satu atau lebih Windows NT 4.0 kontroler domain backup (BDCs) harus berfungsi setelah upgrade. Pengontrol domain Windows 2000 Server tidak didukung dalam mode ini. Windows Server 2003 sementara berlaku untuk skenario berikut:

• Domain upgrade dari Windows NT 4.0 untuk Windows Server 2003.
• Windows NT 4.0 BDCs upgrade segera.
• Domain Windows NT 4.0 yang berisi kelompok-kelompok dengan lebih dari 5000 anggota (tak termasuk grup pengguna domain).
• Ada tidak ada rencana untuk melaksanakan pengontrol domain Windows Server2000 di hutan setiap saat.

Windows Server 2003 sementara menyediakan dua tambahan penting sementara masih memungkinkan replikasi untuk Windows NT 4.0 BDCs:

1. Efisien replikasi grup keamanan, dan dukungan untuk lebih dari 5000 anggota per kelompok.
2. Peningkatan KCC inter-site topologi generator algoritma.

Karena efisiensi dalam kelompok replikasi yang aktif di tingkat sementara, sementara tingkat adalah tingkat yang direkomendasikan untuk semua upgrade Windows NT 4.0. Lihat bagian "Praktek terbaik" dari artikel ini untuk rincian lebih lanjut.

Pengaturan tingkatan fungsional forest sementara Windows Server 2003

Windows Server 2003 sementara dapat diaktifkan dengan tiga cara yang berbeda. Kedua metode pertama sangat dianjurkan. Hal ini karena grup keamanan menggunakan replikasi nilai link (LVR) setelah domain Windows NT 4.0 kontroler domain utama (PDC) telah ditingkatkan untuk pengontrol domain Windows Server 2003. Pilihan ketiga adalah kurang sangat dianjurkan karena keanggotaan dalam kelompok-kelompok keamanan menggunakan Object multi-nilai satu atribut yang dapat mengakibatkan masalah replikasi. Cara-cara di mana Windows Server 2003 sementara dapat diaktifkan adalah:

1. Selama proses upgrade.
   
   Pilihan yang disajikan dalam wizard penginstalan Dcpromo ketika Anda meng-upgrade PDC domain Windows NT 4.0 yang berfungsi sebagai kontroler domain pertama dalam domain akar new forest.
2. Sebelum Anda meng-upgrade Windows NT 4.0 PDC Windows NT 4.0 sebagai kontroler domain pertama dari domain baru di hutan yang ada dengan secara manual mengkonfigurasi tingkatan fungsional forest dengan menggunakan alat-alat Lightweight Directory Access Protocol (LDAP).
   
   Anak domain mewarisi fungsionalitas hutan-lebar pengaturan dari hutan mereka dipromosikan ke. Upgrade PDC domain Windows NT 4.0 sebagai domain anak di hutan Windows Server 2003 yang ada di mana tingkatan fungsional forest sementara telah dikonfigurasi dengan menggunakan berkas Ldp.exe atau berkas Adsiedit.msc memungkinkan grup keamanan untuk replikasi nilai link setelah meng-upgrade versi sistem operasi.
3. Setelah upgrade dengan menggunakan alat-alat LDAP.
   
   Menggunakan dua pilihan bila Anda bergabung hutan Windows Server 2003 yang sudah ada selama upgrade. Ini adalah skenario umum ketika domain "akar kosong" adalah dalam posisi. Domain upgrade bergabung sebagai anak akar kosong dan mewarisi pengaturan domain dari hutan.

Praktik terbaik

Bagian berikut membahas praktek-praktek terbaik untuk meningkatkan tingkat fungsional. Bagian ini dibagi menjadi dua bagian. "Persiapan tugas" membahas pekerjaan yang harus Anda lakukan sebelum peningkatan dan "Optimal jalan meningkatkan" membahas motivasi dan metode untuk berbagai tingkat meningkatkan skenario.

Untuk menemukan pengontrol domain Windows NT 4.0, ikuti langkah berikut:

1. Dari semua kontroler domain berbasis Windows Server 2003, membuka Direktori pengguna dan komputer active.
2. Jika kontroler domain tidak sudah terhubung ke domain yang sesuai, ikuti langkah-langkah ini untuk menyambung ke domain yang sesuai:
   1. Klik kanan objek domain saat ini, dan kemudian klik Menghubungkan ke domain.
   2. Dalam Domain kotak dialog, ketik nama DNS domain yang ingin Anda hubungkan ke, dan kemudian klik Oke. Atau, klik People Pilih domain dari domain pohon, dan kemudian klik Oke.
3. Klik kanan objek domain, dan kemudian klik Menemukan.
4. Dalam Menemukan kotak dialog, klik Pencarian kustom.
5. Klik domain yang Anda ingin mengubah tingkat fungsional.
6. Klik Lanjutan tab.
7. Dalam Masukkan LDAP permintaan kotak, ketik berikut ini dan meninggalkan tidak ada spasi antara setiap karakter:

   (&(objectCategory=computer)(operatingSystem Version=4*)(userAccountControl:1.2.840.113556.1.4.803:=8192))

   Catatan Query ini tidak peka.
8. Klik Menemukan sekarang.
   
   Daftar komputer dalam domain yang menjalankan Windows NT 4.0 dan berfungsi sebagai pengontrol domain muncul.

Kontroler domain akan muncul dalam daftar untuk salah satu alasan berikut:

• Kontroler domain yang menjalankan Windows NT 4.0 dan harus ditingkatkan.
• Kontroler domain yang di-upgrade untuk Windows Server 2003, tetapi perubahan tidak direplikasi ke kontroler domain target.
• Kontroler domain tidak lagi dalam pelayanan tetapi objek komputer kontroler domain tidak dihapus dari domain.

Sebelum Anda dapat mengubah tingkat fungsional domain Windows Server 2003, Anda harus secara fisik Temukan kontroler domain apapun di daftar, menentukan status saat ini domain controller, dan kemudian baik meng-upgrade atau menghapus kontroler domain yang sesuai.

Catatan Tidak seperti pengontrol domain Windows Server 2000, pengontrol domain Windows NT 4.0 tidak memblokir kenaikan tingkat. Ketika Anda mengubah tingkat fungsional domain, replikasi untuk pengontrol domain Windows NT 4.0 akan berhenti. Namun, ketika Anda mencoba untuk meningkatkan tingkat hutan Windows Server 2003 dengan domain Windows Server 2000, tingkat campuran diblokir. Kurangnya Windows NT 4.0 BDCs tersirat oleh pertemuan tingkat hutan kebutuhan semua domain tingkat asli Windows Server 2000 atau kemudian.

Contoh: Persiapan tugas sebelum kenaikan tingkat

Dalam contoh ini, lingkungan adalah untuk membangkitkan dari Windows Server 2000 modus campuran mode hutan Windows Server 2003.

Persediaan hutan untuk versi sebelumnya dari kontroler domain.
Jika daftar akurat server tidak tersedia, ikuti langkah berikut:

1. Untuk menemukan domain tingkat campuran, pengontrol domain Windows Server 2000, atau pengontrol domain dengan benda-benda rusak atau hilang, menggunakan Active Directory Domain dan Trust snap-in MMC.
2. Dalam snap-in, klik Hutan meningkatkan fungsi, lalu klik Simpan sebagai untuk menghasilkan laporan rinci.
3. Jika tidak ada masalah yang ditemukan, pilihan untuk meningkatkan tingkat hutan Windows Server 2003 tersedia dari "Hutan tersedia tingkat fungsional" drop-down daftar. Ketika Anda mencoba untuk meningkatkan tingkat hutan, domain controller objek dalam wadah konfigurasi dicari untuk kontroler domain yang tidak memiliki MSDS-perilaku-versi mengatur tingkat diinginkan target. Ini diperkirakan pengontrol domain Windows Server 2000 atau lebih baru Windows Server domain controller objek yang rusak.
4. Jika sebelumnya versi pengontrol domain atau kontroler domain yang telah rusak atau hilang komputer objek yang ditemukan, mereka yang termasuk dalam laporan. Status pengontrol domain ini harus diselidiki, dan kontroler domain representasi dalam Active Directory harus diperbaiki atau dihapus menggunakan Ntdsutil file.

Untuk informasi selengkapnya, klik nomor artikel berikut untuk melihat artikel di Pangkalan Pengetahuan Microsoft:

Memverifikasi bahwa replikasi ujung ke ujung bekerja di hutan

Untuk memverifikasi bahwa ujung ke ujung replikasi bekerja di hutan, menggunakan Windows Server 2003 atau versi yang lebih baru dari Repadmin terhadap Windows Server 2000 atau pengontrol domain Windows Server 2003:

• Repadmin/Replsum * /Sort:Delta [/Errorsonly] untuk persediaan awal.
• Repadmin/Showrepl * /CSV>showrepl.csv. Impor ke Excel, dan kemudian menggunakan Data-> Autofilter untuk mengidentifikasi replikasi fitur.
  
  Menggunakan alat-alat replikasi seperti Repadmin untuk memverifikasi bahwa replikasi hutan-lebar bekerja dengan benar.

Verifikasi kompatibilitas semua program atau layanan dengan pengontrol domain Windows Server baru dan lebih tinggi Windows Server domain dan hutan modus. Menggunakan lingkungan laboratorium untuk benar-benar menguji produksi program dan layanan untuk masalah kompatibilitas. Hubungi vendor untuk konfirmasi kemampuan.

Mempersiapkan rencana kembali-out yang termasuk salah satu tindakan berikut:

• Putuskan pengontrol domain setidaknya dua dari setiap domainnya pada forest.
• Membuat cadangan negara sistem pengontrol domain setidaknya dua dari setiap domainnya pada forest.

Sebelum kembali-out rencana dapat digunakan, semua pengontrol domain di hutan harus ditutup sebelum proses pemulihan.

Catatan Meningkatkan tingkat tidak otoritatif dipulihkan. Ini berarti bahwa semua kontroler domain yang telah direplikasi peningkatan tingkat harus ditutup.

Setelah semua pengontrol domain sebelumnya ditutup, memunculkan pengontrol domain terputus atau mengembalikan pengontrol domain dari cadangan. Menghapus metadata dari semua pengontrol domain lainnya, dan kemudian mempromosikan kembali mereka. Ini adalah proses yang sulit dan harus dihindari.

Contoh: Bagaimana untuk mendapatkan dari Windows Server 2000 dicampur tingkat ke tingkat hutan Windows Server 2003

Meningkatkan semua domain ke tingkat asli Windows Server 2000. Setelah ini selesai, meningkatkan tingkat fungsional untuk domain akar hutan untuk Windows Server 2003 hutan tingkat. Ketika tingkat hutan bereplikasi untuk PDCs untuk setiap domain di hutan, tingkat domain secara otomatis meningkat menjadi tingkat domain Windows Server 2003. Metode ini memiliki keuntungan sebagai berikut:

• Peningkatan tingkat seluruh hutan hanya dilakukan satu kali. Anda tidak perlu secara manual meningkatkan setiap domain di hutan untuk tingkat fungsional domain Windows Server 2003.
• Cek untuk pengontrol domain Windows Server 2000 dilakukan sebelum tingkat meningkatkan (lihat langkah-langkah persiapan). Peningkatan diblokir sampai masalah pengontrol domain dihapus atau upgrade. Laporan rinci dapat dihasilkan oleh daftar memblokir pengontrol domain dan menyediakan data ditindaklanjuti.
• Periksa domain Windows Server 2000 dicampur atau Windows Server 2003 sementara tingkat dilakukan. Peningkatan diblokir hingga tingkat domain yang meningkat untuk setidaknya asli Windows Server 2000. Sementara domain tingkat harus meningkat menjadi tingkat domain Windows Server 2003. Laporan rinci dapat dihasilkan oleh daftar domain menghalangi.

Upgrade Windows NT 4.0

Windows NT 4.0 upgrade selalu menggunakan tingkat sementara selama upgrade PDC kecuali pengontrol domain Windows Server 2000 telah diperkenalkan ke dalam hutan PDC di-upgrade ke. Ketika sementara modus digunakan selama upgrade PDC, kelompok-kelompok besar yang ada menggunakan LVR replikasi segera, menghindari replikasi potensi masalah yang dibahas sebelumnya di artikel ini. Gunakan salah satu metode berikut untuk sampai ke tingkat sementara selama proses upgrade:

• Pilih tingkat sementara selama Dcpromo. Pilihan ini hanya disajikan ketika PDC di-upgrade ke new forest.
• Mengatur tingkat hutan-hutan yang ada untuk sementara, dan kemudian bergabung hutan selama upgrade PDC. Domain upgrade mewarisi hutan.
• Setelah semua Windows NT 4.0 BDCs upgrade atau dihapus, setiap domain harus beralih ke tingkat hutan dan dapat beralih ke mode hutan Windows Server 2003.

Alasan untuk menghindari menggunakan mode sementara adalah jika ada rencana untuk melaksanakan pengontrol domain Windows Server 2000 setelah upgrade, atau setiap saat di masa depan.

Pertimbangan khusus untuk kelompok besar pada Windows NT 4.0

Dalam dewasa domain Windows NT 4.0, grup keamanan yang berisi anggota jauh lebih dari 5000 mungkin ada. Pada Windows NT 4.0, ketika anggota grup keamanan perubahan, hanya perubahan tunggal keanggotaan direplikasi ke kontroler backup domain. Pada Windows Server 2000, grup yang terkait atribut yang tersimpan di atribut Object multi-nilai tunggal grup objek. Ketika satu perubahan dibuat untuk keanggotaan grup, seluruh kelompok direplikasi sebagai satu unit. Karena keanggotaan grup direplikasi sebagai satu unit, ada potensi untuk update untuk keanggotaan grup untuk menjadi "hilang" ketika anggota yang berbeda yang ditambahkan atau dihapus pada waktu yang sama pada kontroler domain yang berbeda. Selain itu, ukuran objek tunggal ini mungkin lebih daripada penyangga yang digunakan untuk melakukan sebuah entri ke dalam database. Untuk informasi lebih lanjut, lihat bagian "Versi toko masalah dengan kelompok besar" dari artikel ini. Untuk alasan ini, batas yang disarankan untuk anggota grup adalah 5000.

Pengecualian aturan anggota 5000 adalah kelompok utama (secara default ini adalah kelompok "Domain user"). Kelompok utama menggunakan mekanisme yang "dihitung" didasarkan pada "primarygroupID" dari pengguna untuk menentukan keanggotaan. Kelompok utama tidak menyimpan anggota sebagai Object multi-nilai atribut yang terkait. Jika kelompok utama pengguna berubah ke grup kustom, keanggotaan mereka dalam kelompok pengguna Domain ditulis untuk atribut yang terkait untuk grup dan tidak lagi dihitung. Kelompok utama baru Rid ditulis "primarygroupID" dan pengguna dihapus dari atribut anggota kelompok.

Jika administrator tidak memilih tingkat sementara untuk upgrade domain, Anda harus mengikuti langkah berikut sebelum upgrade:

1. Persediaan semua kelompok besar dan mengidentifikasi setiap kelompok lebih dari 5000, kecuali domain pengguna group.
2. Semua kelompok yang memiliki lebih dari 5000 anggota harus dibagi dalam kelompok-kelompok kecil anggota kurang dari 5000.
3. Cari semua kontrol daftar akses di mana kelompok besar masuk dan menambahkan kelompok-kelompok kecil yang dibuat di langkah 2.

Windows Server 2003 hutan sementara tingkat mengurangi administrator dari keharusan untuk menemukan dan merealokasikan kelompok-kelompok keamanan global dengan anggota lebih dari 5000.

Versi menyimpan masalah dengan kelompok besar

Selama operasi berjalan lama seperti dalam pencarian atau komit untuk satu, besar atribut, Active Directory harus memastikan bahwa negara database statis hingga operasi selesai. Contoh dalam pencarian atau komit untuk atribut besar adalah kelompok besar yang menggunakan penyimpanan warisan.

Sebagai update ke database yang terus-menerus terjadi secara lokal dan dari mitra replikasi, Active Directory menyediakan negara statis oleh antri semua masuk perubahan sampai operasi berjalan lama selesai. Segera setelah operasi selesai, perubahan antrian diterapkan ke database.

Lokasi penyimpanan untuk perubahan antrian ini disebut sebagai "versi toko", dan adalah sekitar 100megabytes. Ukuran toko versi bervariasi dan didasarkan pada memori fisik. Jika operasi berjalan lama tidak selesai sebelum toko versi habis, kontroler domain akan berhenti menerima update sampai operasi berjalan lama dan perubahan antrian berkomitmen. Kelompok yang mencapai jumlah besar (lebih dari 5000 anggota) menempatkan kontroler domain pada risiko melelahkan toko versi selama sebagai kelompok besar berkomitmen.

Windows Server 2003 memperkenalkan mekanisme replikasi baru untuk terhubung Object multi-nilai atribut yang disebut replikasi nilai link (LVR). Alih-alih mereplikasi seluruh kelompok dalam pengoperasian tunggal replikasi, LVR alamat masalah ini oleh mereplikasi setiap anggota kelompok sebagai operasi replikasi yang terpisah. LVR tersedia ketika tingkatan fungsional forest mengangkat tingkat hutan sementara Windows Server 2003 atau Windows Server 2003 hutan tingkat. Pada tingkat ini fungsional, LVR digunakan untuk mereplikasi di kalangan pengontrol domain Windows Server 2003.