Як підвищити служба Active Directory домену та ліс функціональні рівні

Переклади статей Переклади статей
Номер статті: 322692 - Показ продуктів, яких стосується ця стаття.
Розгорнути все | Згорнути все

На цій сторінці

ПІДСУМКИ

У цій статті розглядається підвищення домену та ліс функціональні рівні, які підтримуються на контролерах домену під керуванням Microsoft Windows Server 2003 або новіший. Існують чотири релізи служба Active Directory, і рівнів, які змінилися з Windows NT Server 4.0 вимагає особливої уваги. Таким чином, інші зміни рівня згадані за допомогою новіше, поточний або старі версії операційну систему контролера домену, домен або функціональний рівень лісу.

Функціональні рівні є продовженням комбінований режим і власний режим концепцій, які були введені в Microsoft Windows 2000 Server, щоб активувати нові можливості служба Active Directory. Деякі додаткові можливості служба Active Directory доступні, коли всіх контролерів доменів працюють новітньої версії Windows Server в домені або в лісі, і коли адміністратор активує відповідного функціональний рівень домену або лісу.

Активувати новітні доменна функція, всі контролери домену слід установити найновішу версію операційної системи Windows Server в домені. Якщо ця вимога зустрілися, адміністратор може підняти функціональний рівень домену.
Щоб активувати новітні функції ліс широкий, всіх контролерів домену в лісі необхідно запустити версія операційної системи Windows Server, яка відповідає функціональний рівень лісу бажаного. Крім того, на нові рівні вже має бути наявним функціональним рівнем домену. Якщо такі вимоги виконані, адміністратор може підняти функціональний рівень лісу.

Як правило, зміни, внесені до домену та ліс функціональні рівні є незворотними. Якщо зміни можуть бути скасовані, Ліс відновлення повинні бути використані. З операційною системою Windows Server 2008 R2 зміни функціональний рівень домену та ліс функціональні рівні може бути відкотити. Однак, roll назад може виконуватися в лише певних сценаріїв, які описані в Technet статті про служба Active Directory функціональні рівні.

Примітка Нові функціональні рівні домену та нові функціональні рівні лісу впливають на спосіб, що контролери домену працюють разом як група. Клієнтів, які взаємодіють з домену або лісу не змінюються. Окрім того, програми, не залежить від зміни функціональний рівень домену або лісу функціональні рівні. Проте, їх можуть використовувати новітні доменна функція та новітні функції лісу.

Щоб отримати додаткові відомості, перегляд TechNet статті про функцій, пов'язаних з різні функціональні рівні.

Підняття функціонального рівня

Застереження Не підняти функціональний рівень домену має або буде мати контролера домену, який є попередньої версії, ніж версія, що цитується для цього рівня. Наприклад, Windows Server 2008 функціональному рівні вимагає, що всі контролери домену мають Windows Server 2008 або пізнішої версії операційної системи встановлена в домені або в лісі. Після того, як функціональний рівень домену підвищена до вищого рівня, його можна лише змінити повернутися до старих рівень за допомогою відновлення лісів. Це обмеження існує, оскільки функції часто змінити зв'язок між контролери домену або можливості змінити онлайнове пул носіїв служба Active Directory дані в базі даних.

Найбільш поширеним методом, щоб дозволити домену та ліс функціональні рівні є сценарій виконання графічний користувальницький інтерфейс (GUI) Адміністрація інструменти, які описані у TechNet статті про Windows Server 2003 служба Active Directory функціональні рівні. У цій статті розглядаються 2003.However Windows Server, кроки, те ж саме в до новіших версій операційної системи. Крім того, функціональний рівень можна вручну настроїти або можна настроїти за допомогою сценаріїв Windows PowerShell. Щоб отримати додаткові відомості про те, як вручну налаштувати функціональний рівень, див "View і встановити функціональний рівень" розділу.

Щоб отримати додаткові відомості про те, як використовувати сценарій Windows PowerShell для настроювання функціональний рівень Перегляд TechNet статтю, в якій обговорюються цей метод.

Перегляд і автоматична інсталяція функціональний рівень вручну

Легкий доступ протокол каталогів (LDAP) інструменти, як Ldp. exe та команду adsiedit. msc можуть бути використані, щоб переглянути та змінити поточні домену та ліс функціонального рівня настройки. При зміні функціонального рівня атрибути вручну, кращі практики, щоб зробити зміни атрибуту на контролері домену операцій (Одиночного), яка зазвичай орієнтована на адміністрування Microsoft.

Функціональний рівень параметрів домену

Інструкції з версією поведінки атрибут очолює на дерево простору імен (NC) для домену, тобто, DC = corp, DC = contoso, DC = com.

Нижче наведено значення, які можуть бути встановлені для цього атрибута.
  • Значення 0 або не встановлено = змішаних рівня домену
  • Значення 1 = рівень домену Windows Server 2003
  • Значення 2 = рівень домену Windows Server 2003
  • Значення 3 = рівень домену Windows Server 2008
  • Значення 4 = рівень домену Windows Server 2008 R2

комбінований режим і власний режим настройки

Атрибут ntMixedDomain очолює на дерево простору імен (NC) для домену, тобто, DC = corp, DC = contoso, DC = com.

Нижче наведено значення, які можуть бути встановлені для цього атрибута.
  • Значення 0 = рідної рівня домену
  • Значення 1 = змішаних рівня домену

Налаштування рівня лісу

Інструкції з версією поведінки атрибута є на CN = розділи об'єкт у конфігурації дерево простору імен (НК), тобто, CN = перегородки, CN = конфігурації, DC =ForestRootDomain.

Нижче наведено значення, які можуть бути встановлені для цього атрибута.
  • Значення 0 або не встановлено = змішаних рівня лісу
  • Значення 1 = рівень тимчасового лісу Windows Server 2003
  • Значення 2 = рівень лісу Windows Server 2003

    Примітка Коли ви збільшити значення 1 , від значення 0 , атрибуту Інструкції з версією поведінки на usingAdsiedit.msc, з'являється таке протокол IMAP про помилку:
    Неприпустима операція модифікації. Деякі аспект модифікації не дозволяється.
  • Значення 3 = рівень домену Windows Server 2008
  • Значення 4 = рівень домену Windows Server 2008 R2
Після сценарій виконання протоколу доступу легкий каталогів (LDAP) інструменти редагування функціональний рівень, натисніть кнопку "ОК" для продовження. Атрибути на контейнера розділів і на голову домену правильно збільшилася. Якщо протокол IMAP про помилку доповіді Ldp. exe-файл, можна не зважати на протокол IMAP про помилку. Щоб підтвердити успішність підвищення рівня, оновити список атрибутів після чого перевірте поточні настройки. Це протокол IMAP про помилку може також виникати після того як ви виконали підвищення рівня на авторитетний гнучкого одиночного господаря ОПЕРАЦІЙ, якщо зміни ще не було репліковано на контролері домену місцевих.

Швидко переглянути поточні настройки за допомогою файлу Ldp. exe

  1. Почати Ldp. exe файлу.
  2. На щоПідключення меню, натисніть Підключення.
  3. Визначити контролера домену, що для запит на змінення або залишити простір пустим для підключення до будь-якого контролера домену.
Після підключення до контролера домену, з'являється RootDSE інформацію для контролера домену. Ця інформація включає в себе інформацію на контролерах лісу, домену та домен. Нижче наведено приклад контролера домену під керуванням Windows Server 2003. У наведеному нижче прикладі припустимо, що режим домену Windows Server 2003 і що лісу режимі Windows 2000 Server.

Примітка Для цього контролера домену являє собою найвищий функціональний рівень функціональності контролера домену.
  • 1 > domainFunctionality: 2=(DS_BEHAVIOR_WIN2003)
  • 1 > forestFunctionality: 0=(DS_BEHAVIOR_WIN2000)
  • 1 > domainControllerFunctionality: 2=(DS_BEHAVIOR_WIN2003)

Вимоги, коли ви вручну змінюєте функціональний рівень

  • Слід змінити режим домену на власний режим, перш ніж ви підняти рівень домену за однієї з таких умов:
    • Функціональний рівень домену програмно підняли на другий функціональний рівень безпосередньо змінювати значення атрибута msdsBehaviorVersion на domainDNS об'єктів.
    • Функціональний рівень домену підняли на другий функціональний рівень за допомогою утилітою LDP. exe або команду adsiedit. msc утиліта.
    Якщо не змінити режим домену на власний режим, перш ніж підняти рівень домену, операцію не завершено успішно, і ви отримаєте такі протокол IMAP про помилку:
    SV_PROBLEM_WILL_NOT_PERFORM
    ERROR_DS_ILLEGAL_MOD_OPERATION
    Крім того, в журналі подій служби каталогів реєструється таке повідомлення:
    служба Active Directory не вдалося оновити функціональний рівень домену, таких, оскільки домен в змішаних режимі.

    У цьому випадку можна змінити режим домену на власний режим за допомогою оснастки служба Active Directory користувачів & комп'ютерів, за допомогою оснастки MMC для служба Active Directory домени & довіряє інтерфейсу користувача або програмно змінити значення атрибута ntMixedDomain 0 на об'єкт domainDNS. Коли цей процес використовується для підняти функціональний рівень 2 (Windows Server 2003), режим домену буде автоматично замінено на власному режимі.
  • Перехід від комбінований режим на власний режим зміни сферу група безпеки "Адміністратори схеми" і адміністратори підприємства група безпеки до універсальної групи. Ці групи були змінені до універсальної групи, таке протокол IMAP заноситься до системного журналу:

    Тип події: інформація
    Джерело події: Сем
    Код події: 16408
    Комп'ютер: Ім'я сервера
    Опис: "режиму роботи домену був змінений на власному режимі. Зміни не можуть бути скасовані."

  • Коли адміністрування Windows Server 2003 використовується для виклику функціональний рівень домену, атрибуту ntmixedmode і msdsBehaviorVersion атрибутів змінюються у правильному порядку. Однак, це не завжди відбувається. У таких випадках у власному режимі неявно встановлено значення 0 без зміни масштабу для група безпеки "Адміністратори схеми" і адміністратори підприємства група безпеки до універсальних:
    • Атрибут msdsBehaviorVersion , який керує функціональних режим домену вручну або автоматично встановлено значення 2.
    • Функціональний рівень лісу за допомогою будь-якого методу має значення 2 .
    У цьому випадку, контролери домену блокувати перехід до функціонального рівня лісу, поки всі домени, які знаходяться в локальних мережах настроєно на власний режим і необхідний атрибут зміни в області групи безпеки:.

Функціональні рівні мають відношення до Windows 2000 Server

Windows 2000 Server підтримує лише комбінований режим і власний режим. Крім того, це стосується лише ці режими функціональні можливості домену. Наступні розділи містять список режимів домену Windows Server 2003, бо ці режими впливати, як оновити Windows NT 4.0 та Windows 2000 Server доменів.

Є ряд міркування, коли підвищення рівня операційну систему контролера домену. Ці міркування викликані онлайнове пул носіїв та реплікації обмеження зв'язані атрибутів у Windows 2000 Server режими.

Windows 2000 Server змішані (за замовчуванням)

  • Підтримується контролерів домену: Microsoft Windows NT 4.0, Windows 2000 Server, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2
  • Активовані функції: локальний та глобальні групи, глобальний каталог підтримки

Windows 2000 Server рідною

  • Підтримується контролерів домену: Windows 2000 Server, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2
  • Активовані функції: групування вкладеності, універсальної групи, Sid History, перетворення групи між групами безпеки та груп розсилки, можна підняти рівень домену за рахунок Збільшення параметри рівня лісу

Тимчасового Windows Server 2003

  • Підтримується контролерів домену: Windows NT 4.0, Windows Server 2003
  • Засоби, які підтримуються: є немає доменна функція широкий активована на цьому рівні. Всі домени лісу автоматично підняті до цього рівня, коли рівень лісу збільшується до тимчасового. Цей режим використовується лише під Вільний час оновлення контролери домену у Windows NT 4.0 доменів на контролерах домену Windows Server 2003.

Windows Server 2003

  • Підтримується контролерів домену: Windows Server 2003, Windows Server 2008, Windows Server 2008 R2
  • Засоби, які підтримуються: домен контролер перейменувати, входу часової позначки атрибут оновлюється і поширювати. Підтримка користувачів пароль на InetOrgPerson objectClass. Обмеженою делегації, можна переспрямовувати користувачі й комп'ютери контейнерів.
Домени, які підвищений з Windows NT 4.0 або створені заохочення комп'ютера під керуванням Windows Server 2003 працюють в Windows 2000, змішані функціональному рівні. Windows 2000 Server домени підтримувати їх наявний функціональний рівень домену, коли контролери домену Windows 2000 Server підвищено до операційної системи Windows Server 2003. Ви можете підняти функціональний рівень домену до Windows Server 2003 або Windows 2000 Server рідною.

Проміжні рівні - оновлення від домену Windows NT 4.0

Windows 2003 Server служба Active Directory дозволяє спеціальні ліс і домен функціонального рівня, що називається тимчасовим Windows Server 2003. Цей функціональний рівень надається для оновлення наявних доменів Windows NT 4.0, де один або більше Windows NT 4.0 резервного копіювання контролери домену (BDCs) повинні працювати після оновлення. Контролери домену Windows 2000 Server не підтримується в цьому режимі. Windows Server 2003 проміжний період відноситься до таких сценаріїв:
  • Домен оновлення з Windows NT 4.0 до Windows Server 2003.
  • Windows NT 4.0 BDCs не оновлення негайно.
  • Доменів Windows NT 4.0, які містять групи з більш ніж 5000 членів (за винятком групи користувачів домену).
  • Немає ніяких планів для здійснення контролери домену Windows Server2000 лісу в будь-який Вільний час.
Windows Server 2003 тимчасового забезпечує два важливих поліпшень при все ще дозволяють реплікації для Windows NT 4.0 BDCs:
  1. Ефективне реплікації група безпеки, і підтримка більш ніж 5000 членів групи.
  2. Покращений КСС inter-site топології генератор алгоритмів.
З-за реплікації група, яка активується проміжного рівня ефективності проміжного рівня є рекомендованим рівнем для всіх оновлень Windows NT 4.0. Перегляньте розділ "Кращої практики" цієї статті для більш докладної інформації.

корегувати Windows Server 2003 тимчасового функціональний рівень

Windows Server 2003 проміжний період може бути активована в три різні способи. Перші два методи, ми настійно рекомендуємо. Це тому, що група безпеки сценарій виконання зв'язаних значення реплікації (LVR) після домену Windows NT 4.0 головний контролер домену (PDC) був підвищений до контролера домену Windows Server 2003. Третій варіант менш настійно рекомендується, тому що членство у групах безпеки використовує одну багатозначна атрибут, який може призвести до проблем реплікації. Є способи, в яких може бути активована Windows Server 2003 проміжний період:
  1. Під Вільний час оновлення.

    Параметр представлені в установки майстру Dcpromo під Вільний час оновлення PDC домену Windows NT 4.0, що виступає в якості першого контролера домену в корінь лісу домену новий.
  2. Перш ніж ви скинути параметри Windows NT 4.0 PDC Windows NT 4.0 як перший контролер домену нового домену в наявному лісі вручну настроївши функціональний рівень лісу за допомогою інструментів легкий доступ протокол каталогів (LDAP).

    Дитина домени успадковують параметри ліс широкий функціональність з лісу, вони сприяли в. Оновлення PDC домену Windows NT 4.0, як дочірнього домену в наявному лісі Windows Server 2003 де тимчасового лісу функціональні рівні налаштована за допомогою Ldp. exe файлу або файл команду adsiedit. msc дозволяє група безпеки для сценарій виконання зв'язаних значення реплікації, після оновлення версії операційної системи.
  3. Після оновлення за допомогою інструментами LDAP.

    Останні два параметри слід використовувати, коли ви приєднатися до існуючих лісу Windows Server 2003 під Вільний час оновлення. Це загальний сценарій, коли "порожній корінь"-домен знаходиться в положенні. Підвищений домену вступив у дитинстві порожній корінь і успадковує Параметри домену з лісу.

Кращі практики

Наступний розділ обговорює передового досвіду для Збільшення функціональні рівні. У розділі розбита на дві частини. "Підготовка завдання" обговорює роботи, що ви повинні робити перед Збільшення і "Оптимальні шляхи збільшення" обговорює мотивацій та методи для інший рівень Збільшення сценарії.

Щоб виявити контролери домену Windows NT 4.0, виконайте такі дії:
  1. З будь-якого контролера домену під керуванням Windows Server 2003 відкрити служба Active Directory - користувачі й комп'ютери.
  2. Якщо контролер домену є не підключені до відповідних домену, виконайте такі інтерактивні елементи підключитися до відповідних домену:
    1. Правою кнопкою миші об'єкт поточного домену та натисніть кнопку Підключення до домену.
    2. У регіоні Домен діалоговому вікні, тип DNS-ім'я домену, який ви хочете, щоб підключитися і натисніть кнопку Гаразд. Або натисніть кнопку Огляд Виберіть домен у дереві доменів, а потім натисніть кнопку Гаразд.
  3. Клацніть правою кнопкою миші об'єкт домену та натисніть кнопку Знайти.
  4. У регіоні Знайти діалоговому вікні, натисніть кнопку Настроюваний пошук.
  5. Виберіть домен, для якого потрібно змінити функціональному рівні.
  6. Натисніть на Розширений Вкладка.
  7. У регіоні Введіть LDAP запит поля, введіть таке і залишити без пробілів між будь-які символи:
    (&(objectCategory=computer)(operatingSystem Version=4*)(userAccountControl:1.2.840.113556.1.4.803:=8192))
    Примітка Цей запит не є з урахуванням регістра.
  8. Натисніть кнопку Знайти зараз.

    З'явиться список комп'ютерів домену під керуванням Windows NT 4.0 та функціонування як контролери домену.
контролер домену може відображатися у списку для будь-якої з таких причин:
  • контролер домену працює під керуванням Windows NT 4.0 і повинна підвищено.
  • контролер домену після скинути параметри Windows Server 2003, але зміни не було репліковано на контролері домену цільової.
  • контролер домену не у службі, але комп’ютер-зразок об'єкт контролера домену не видалено з домену.
Перед тим як змінювати функціональний рівень домену до Windows Server 2003, необхідно фізично знайти контролер домену зі списку, визначення поточного стану контролера домену і або оновити або видалити відповідні контролері домену.

Примітка На відміну від контролери домену Windows Server 2000 контролери домену Windows NT 4.0 не блокувати підвищення рівня. Коли ви змінюєте функціональний рівень домену, зупинити реплікації контролерів домену Windows NT 4.0. Однак, під Вільний час спроби збільшити рівень лісу Windows Server 2003 з доменів у Windows Server 2000, змішаних рівень блокується. Відсутність Windows NT 4.0 BDCs мається на засідання вимоги рівня лісу всі домени на рідній рівні Windows Server 2000 або пізнішої версії.

Приклад: Завдань підготовки до підвищення рівня

У цьому прикладі навколишнього середовища підняли з Windows Server 2000 змішаного режиму до режиму лісу Windows Server 2003.

Інвентаризації лісу для попередніх версій контролерів домену.
Якщо є список точні сервер недоступний, виконайте такі дії:
  1. Щоб виявити змішаних доменів, контролери домену Windows Server 2000 або контролерів домену з пошкоджені або відсутні об'єкти, використовуйте служба Active Directory домени та оснащення довіряє MMC.
  2. У оснастки натисніть кнопку Функціональність підняти ліса потім натисніть кнопку Зберегти як Щоб створити докладний звіт.
  3. Якщо проблем не виявлено, можливість збільшити рівень лісу Windows Server 2003 доступна на "Доступні лісу функціональні рівні" випадаючого списку. Під Вільний час спроби підняти рівень лісу, об'єкти контролера домену в конфігурації контейнерів шукали контролерів домену, які не мають інструкції з версією поведінки встановити бажаний цільового рівня. Ці як передбачається, буде контролери доменів Windows Server 2000 або новіший Windows Server домену контролер об'єктів, що пошкоджено.
  4. Якщо контролери домену ранішої версії або контролерів домену, які мають комп’ютер-зразок пошкоджені або відсутні об'єкти були знайдені, вони включені до звіту. Стан цих контролери домену необхідно досліджував, і представлення контролера домену служба Active Directory, у слід відремонтувати або видалені за допомогою файлу Ntdsutil.
Щоб отримати додаткові відомості клацніть номер статті в базі знань Microsoft Knowledge Base:
216498 Видалення даних в служба Active Directory після невдалого домену зниження ролі контролера
Переконайтеся, що кінець в кінець реплікацію працює в лісі
Щоб переконатися, що кінець в кінець реплікації працює в лісі, використовувати Windows Server 2003 або новіша версія Repadmin проти Windows Server 2000 або контролерів домену Windows Server 2003:
  • Repadmin/Replsum * /Sort:Delta [/Errorsonly] для початкового інвентаризації.
  • Repadmin/Showrepl * /CSV>showrepl.csv. Імпортувати до Microsoft Excel а потім використовувати дані-> автофільтр для визначення функції реплікації.

    Використовувати реплікації інструменти, як Repadmin, щоб переконатися, що реплікацію ліс широкий працює правильно.
Перевірити сумісність всі програми або застосунок-служба з нових контролерів домену Windows Server і вище, Windows Server домену та ліс режимі. сценарій виконання лабораторних умовах ретельно перевірити виробництва програм та послуг для проблеми сумісності. Зверніться до постачальників для підтвердження готовності.

Підготувати тому план поверху, який включає в себе одного з наступних дій:
  • Відключення принаймні двох контролерів домену, від кожного домену в лісі.
  • Створення резервної копії стану системи принаймні двох контролерів домену з кожного домену в лісі.
Перш ніж план поверху тому, всі контролери домену в лісі необхідно списання перед процесу відновлення.

Примітка Рівень Збільшення авторитетне не можна відновити. Це означає, що всі контролери домену, які мають відтворена підвищення рівня повинні списання.

Після того, як всі попередні контролери домену списання, виховувати контролери домену відключений або відновити всіх контролерів доменів з резервної копії. Видалення метаданих з всі інші контролери домену а потім знову підвищується їх. Це важкий процес і необхідно уникати.

Приклад: Як отримати від Windows Server 2000 змішані рівня до рівня лісу Windows Server 2003

Підвищення всіх доменів рідною рівень Windows Server 2000. Після цієї роботи, збільшити функціональний рівень домену лісу кореневий рівень лісу Windows Server 2003. Рівень лісу реплікується на PDCs для кожного домену в лісі, на рівні домену автоматично збільшується до рівня домену Windows Server 2003. Цей метод має наступні переваги:
  • Підвищення рівня ліс широкий виконується лише один раз. Не потрібно вручну збільшити кожного домену в лісі функціональний рівень домену Windows Server 2003.
  • Перевірка на контролерах домену Windows Server 2000 виконується перед рівень Збільшення (див. інструкції підготовки). Збільшення блокується до контролерів домену проблема видалено чи оновити. Докладний звіт можуть бути отримані шляхом лістингу блокування контролери доменів та забезпечує корисну даних.
  • Змішані перевірки для доменів у Windows Server 2000 або Windows Server 2003 проміжного рівня виконується. Збільшення блокується до рівня домену збільшилася до принаймні рідний Windows Server 2000. Проміжний доменів мають бути збільшені на рівні домену Windows Server 2003. Докладний звіт можуть бути отримані шляхом включення блокування доменів.

Оновлень Windows NT 4.0

Оновлень Windows NT 4.0 завжди використовувати проміжного рівня під Вільний час оновлення PDC, якщо контролери доменів Windows Server 2000, були введені в ліс, PDC підвищено до. Коли тимчасового режим використовується під Вільний час оновлення PDC, існуючі великі групи використовувати LVR реплікації негайно, уникаючи реплікації потенційні проблеми, які обговорювалися вище в цій статті. Використовувати один з наступних методів, щоб отримати до проміжного рівня під Вільний час оновлення:
  • Виберіть проміжного рівня під Вільний час Dcpromo. Цей параметр представлені тільки коли PDC підвищений в новому лісі.
  • Встановити рівень лісу наявному лісі проміжний період а потім приєднатися до лісу, під Вільний час оновлення PDC. Підвищений домену успадковує налаштування лісу.
  • Врешті-решт, Windows NT 4.0 BDCs оновити або видалити кожен домен має перейшли до рівня лісу і може перейшли до режиму лісу Windows Server 2003.
Причина, щоб уникнути, використовуючи проміжний режим, якщо існують планів по здійсненню контролери доменів Windows Server 2000, після оновлення, або в будь-який Вільний час у майбутньому.

Особливу увагу для великих груп у Windows NT 4.0

У зрілих доменів Windows NT 4.0 може існувати група безпеки, які містять набагато більше, ніж 5000 членів. У Windows NT 4.0 коли є членом група безпеки змінюється, тільки членство одну зміну буде повторено контролери домену резервного копіювання. У Windows Server 2000 членство в групах, зв'язані атрибути, які зберігаються в одному багатозначна атрибута об'єкта групової. Коли про одного зміни до списку членів групи, вся група реплікується як окрема одиниця. Тому що членство у групах відтворена як єдине ціле, є потенціал для оновлення до членства у групах бути "втрачені", коли різні члени додаються або видаляються в той же Вільний час в різних контролерів. Крім того, розмір цього один об'єкт може бути більше, ніж буфер для зробити запис А у базі даних. Для отримання додаткових відомостей див. розділ "Версія магазин питань з великими групами" цієї статті. З цих причин рекомендоване обмеження для учасників групи є 5000.

Винятком 5000 член правила є основною групою (за промовчанням це група "Користувачів домену"). Основна група використовує "обчислюваний" механізм, заснований на "primarygroupID" користувача для визначення участі. Основна група не зберігає членів як багатозначна зв'язані атрибути. Якщо основну групу користувача змінено до настроюваної групи, їх членство у групі користувачів домену записується до зв'язаного атрибута для групи і більше не обчислюється. Нову основну групу Rid написано "primarygroupID" і користувача видаляється з групи, атрибуту члена.

Якщо адміністратор не виділяє проміжного рівня для оновлення домену, ви повинні виконайте такі інтерактивні елементи перед оновленням.
  1. Інвентаризації всі великі групи і визначити будь-якої групи понад 5000, за винятком групи користувачів домену.
  2. Всі групи, які мають більш ніж 5000 члени повинні розбита на менші групи менш 5000 користувачів.
  3. Знайдіть всі Access керування списками де великі групи були введені і додати невеликих груп, які ви створили в кроці 2.
Рівень тимчасового лісу Windows Server 2003 знімає адміністратори від того, щоб виявити і перерозподіл глобальної безпеки груп з більш ніж 5000 членів.

Версія зберігати питання з великими групами

Під Вільний час тривалої операції, такі як глибокий пошук або вчиняє до одного, великий атрибут служба Active Directory повинні переконатися що держава бази даних є статичним, до закінчення операції. Прикладом глибокий пошук або вчиняє до великих атрибутів є велика група, яка використовує успадкованого онлайнове пул носіїв.

Як оновлень в базі даних постійно що відбуваються на місцевому рівні і з партнерів реплікації, служба служба Active Directory надає статичні держави на шикуються всі вхідні зміни до тривалої операції завершення. Як тільки завершення операції, черзі зміни будуть застосовані до бази даних.

Місце онлайнове пул носіїв цих черзі змін називається "Версія магазин" і це приблизно 100megabytes. Розмір версією пул носіїв поштових скриньок змінюється і на основі фізичної пам'яті. Якщо тривалої операції не завершити, перш ніж версією пул носіїв поштових скриньок вичерпані, контролер домену буде припинити приймання оновлення до тривалої експлуатації і черзі зміни відбуваються. Груп, що досягти великих чисел (більш ніж 5000 членів) покласти контролера домену на ризик виснажливої версією пул носіїв поштових скриньок, оскільки велика група бере на себе зобов'язання.

Windows Server 2003 вводить новий реплікації механізм для зв'язаних багатозначна атрибути, який називається посилання значення реплікації (LVR). Замість тиражування всій групі в одному реплікацію, LVR зачіпає це питання на тиражування кожного члена групи, як окремий реплікацію. LVR стає доступною, коли функціональний рівень лісу підняті до рівня тимчасового лісу Windows Server 2003 або рівень лісу Windows Server 2003. У цей функціональний рівень LVR використовується для реплікації групи серед контролерів домену Windows Server 2003.

Властивості

Номер статті: 322692 - Востаннє переглянуто: 3 липня 2012 р. - Редакція: 2.0
ЗАСТОСОВУЄТЬСЯ ДО:
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
Ключові слова: 
kbactivedirectory kbhowtomaster kbmt KB322692 KbMtuk
Машинний переклад
УВАГА! Цю статтю переклала програма машинного перекладу Microsoft, а не людина. Корпорація Microsoft пропонує вам як машинні переклади, так і переклади фахівців, щоб Ви мали доступ до всіх статей бази знань рідною мовою. Проте стаття, яку переклав комп’ютер, не завжди бездоганна. Вона може містити лексичні, синтаксичні або граматичні помилки. Так само помиляється іноземець, спілкуючись вашою рідною мовою. Корпорація Microsoft не несе відповідальність за жодні неточності, помилки або шкоду, завдану неправильним перекладом змісту або його використанням з боку користувачів. Крім того, корпорація Microsoft часто оновлює програму машинного перекладу.
Клацніть тут, щоб переглянути цю статтю англійською мовою: 322692

Надіслати відгук

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com