如何提升 Active Directory 域和林功能级别

文章翻译 文章翻译
文章编号: 322692 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

概要

本文讨论提升基于 Microsoft Windows Server 2003 或更新域控制器支持的域和林功能级别。Active Directory 存在四个发行版,只需特别注意从 Windows NT Server 4.0 中更改的级别。因此,使用域控制器操作系统、域或林功能级别的较新、当前或较旧版本会涉及到其他级别更改。

功能级别是 Microsoft Windows 2000 Server 中引入的混合模式和本机模式概念的一个扩展,用来激活 Active Directory 功能。当一个域或目录林中所有域控制器都运行 Windows Server 版本,并且管理员激活了域或林中对应的功能级别时,可使用一些附加的 Active Directory 功能。

若要激活最新的域功能,则域中的所有域控制器必须运行最新的 Windows Server 操作系统版本。如果这一要求得到满足,则管理员可以提升域功能级别。
若要激活最新的林范围功能,则林中所有域控制器都必须运行与所需的林功能级别对应的 Windows Server 操作系统版本。此外,当前域功能级别必须已经处于最新级别。如果这些要求得到满足,则管理员可以提升目录林功能级别。

一般来说,对域和林功能级别的更改是不可逆转的。如果可以撤销更改,则必须使用林恢复。使用 Windows Server 2008 R2 操作系统,可以回滚对域功能级别和目录林功能级别的更改。但是,只能在关于 Active Directory 功能级别的 Technet 文章所述的特定方案中执行回滚。

注意:最新的域功能级别和最新的林功能级别只影响域控制器作为一个组一起运行的方式。与域和林交互的客户端不会受到影响。此外,应用程序也不会受到对域功能级别和林功能级别的更改的影响。但是,应用程序可以利用最新的域功能和最新的林功能。

有关详细信息,请查看关于与各种功能级别相关联的 Technet 文章

提升功能级别

警告:如果域已经或将要具有比该级别引用的版本更早版本的域控制器,则不要提升功能级别。例如,Windows Server 2008 功能级别需要域或林中所有的域控制器安装 Windows Server 2008 或更新的操作系统。在将域功能级别提升到较高级别后,只能通过使用林恢复将其更改到较旧的级别。因为该功能通常会更改域控制器之间的通信,或者因为该功能会更改数据库中 Active Directory 数据的存储,因此会存在此限制。

启用域和林功能级别的最常用方法是:使用图形用户接面 (GUI) 管理工具,这些工具可以从有关 Windows Server 2003 Active Directory 功能级别的 Technet 文章中找到。本文讨论 Windows Server 2003。但步骤与更新操作系统版本中的相同。此外,功能级别可以手动进行配置,也可以使用 Windows PowerShell 脚本进行配置。有关如何手动配置功能级别的详细信息,请参阅“查看和设置功能级别”部分。

有关如何使用 Windows PowerShell 脚本配置功能级别的详细信息,请查看讨论此方法的 TechNet 文章

手动查看和设置功能级别

可以使用轻量目录访问协议 (LDAP) 工具(例如 Ldp.exe 和 Adsiedit.msc)查看和修改当前域和目录林功能级别设置。当您手动更改功能级别属性时,最佳做法是在通常由 Microsoft 管理工具定位的灵活单主机操作 (FSMO) 域控制器上进行属性更改。

域功能级别设置

msDS-Behavior-Version 属性位于以下每个域中的根命名上下文 (NC) 头上:
  • DC=Mydomain
  • DC=ForestRootDom
  • DC=tld object
下面是可以为该属性设置的值:
  • 值 0 或未设置=混合级别目录林
  • 值 1=Windows Server 2003 域级别
  • 值 2=Windows Server 2003 域级别
  • 值 3=Windows Server 2008 域级别
  • 值 4=Windows Server 2008 R2 域级别

混合模式和本机模式设置

ntMixedDomain 属性位于以下每个域中的根命名上下文 (NC) 头上:
  • DC=Mydomain
  • DC=ForestRootDom
  • DC=tld object
下面是可以为该属性设置的值:
  • 值 0=纯模式级别域
  • 值 1=混合模式级别域

林级别设置

msDS-Behavior-Version 属性位于以下每个域中的根命名上下文 (NC) 头上:
  • CN=Partitions
  • CN=Configuration
  • DC=ForestRootDom
  • DC=tld object
下面是可以为该属性设置的值:
  • 值 0 或未设置=混合级别目录林
  • 值 1=Windows Server 2003 过渡版目录林级别
  • 值 2=Windows Server 2003 目录林级别

    注意:当您使用 usingAdsiedit.msc 将 msDS-Behavior-Version 属性的值从 0 增加到 1 时,会收到以下错误消息:
    修改操作非法。不允许该修改的某个方面。
  • 值 3=Windows Server 2008 域级别
  • 值 4=Windows Server 2008 R2 域级别
在您使用轻量目录访问协议 (LDAP) 工具编辑功能级别后,请单击“确定”以继续。分区容器和域头上的属性会正确提高。如果 Ldp.exe 文件报告错误消息,可以安全地忽略该错误消息。若要验证级别提升是否成功,请刷新属性列表,然后检查当前设置。当您在权威 FSMO 上执行了级别提升之后,如果尚未将更改复制到本地域控制器,则还可能会出现此错误消息。

使用 Ldp.exe 文件快速查看当前设置

  1. 启动 Ldp.exe 文件。
  2. 在“连接”菜单上,单击“连接”。
  3. 指定您想要查询的域控制器,或将该区域留空以连接任一域控制器。
在您连接到域控制器之后,会显示域控制器的 RootDSE 信息。该信息包括有关林、域和域控制器的信息。下面是基于 Windows Server 2003 的域控制器的一个示例。在下面的示例中,假设域模式是 Windows Server 2003,并且林模式是 Windows 2000 Server。

注意:域控制器功能代表该域控制器可以运行的最高功能级别。
  • 1> domainFunctionality:2=(DS_BEHAVIOR_WIN2003)
  • 1> forestFunctionality:0=(DS_BEHAVIOR_WIN2000)
  • 1> domainControllerFunctionality:2=(DS_BEHAVIOR_WIN2003)

手动更改功能级别时的要求

  • 如果满足下列任一条件,则在提升域级别之前,必须将域模式更改到本机模式:
    • 以编程方式将域功能级别提升到第二个功能级别,方法是直接修改 domainDNS 对象上的 msdsBehaviorVersion 属性值。
    • 使用 Ldp.exe 实用工具或 Adsiedit.msc 实用工具将域功能级别提升到第二个功能级别。
    如果在提升域级别之前没有将域模式更改为本机模式,则操作将无法成功完成,并且您将收到以下错误消息:
    SV_PROBLEM_WILL_NOT_PERFORM
    ERROR_DS_ILLEGAL_MOD_OPERATION
    此外,目录服务日志中还记录以下消息:
    Active Directory 无法更新下列域的功能级别,因为域处于混合模式。

    在这种情况下,可通过使用“Active Directory 用户和计算机”管理单元、“Active Directory 域和信任关系”UI MMC 管理单元,或通过编程方式将 domainDNS 对象的 ntMixedDomain 属性值更改为 0,从而将域模式更改为本机模式。在 Windows Server 2003 中,如果使用此过程将域功能级别提升到 2,则域模式自动更改为纯模式。
  • 混合模式到本机模式的转换会将架构管理员和企业管理员安全组的作用域改为通用组。这些组更改为通用组后,系统日志中会记录以下消息:

    事件类型:信息
    事件来源:SAM
    事件 ID: 16408
    计算机:Server Name
    描述:“域操作模式被更改为纯模式。此更改不可逆。”

  • 当使用 Windows Server 2003 管理工具调用域功能级别时,ntmixedmode 属性和 msdsBehaviorVersion 属性均按正确顺序进行修改。但不会始终出现这种情况。在下面的情况下,本机模式被隐式设置到 0 值,而不会将架构管理员和企业管理员安全组的作用域更改为通用组:
    • 手动或以编程方式将控制域功能模式的 msdsBehaviorVersion 属性设置到 2 值。
    • 使用任一方法将林功能级别设置为 2
    在此方案中,域控制器会阻止到目录林功能级别的转换,直到位于本地区域网络中的所有域都配置为本机模式,并且在安全组作用域中进行了必需的属性更改。

与 Windows 2000 Server 有关的功能级别

Windows 2000 Server 仅支持混合模式和本机模式。此外,它只将这些模式应用于域功能。以下部分列出了 Windows Server 2003 域模式,因为这些域模式会影响升级 Windows NT 4.0 和 Windows 2000 Server 域的方式。

提升域控制器的操作系统级别时有很多注意事项。这些注意事项是由于 Windows 2000 Server 模式中链接属性的存储和复制限制造成的。

Windows 2000 Server 混合模式(默认)

  • 支持的域控制器:Microsoft Windows NT 4.0、Windows 2000 Server、Windows Server 2003、Windows Server 2008、Windows Server 2008 R2
  • 激活的功能:本地与全局组,全局编录支持

Windows 2000 Server 本机模式

  • 受支持的域控制器:Windows 2000 Server、Windows Server 2003、Windows Server 2008、Windows Server 2008 R2
  • 激活的功能:组嵌套、通用组、Sid History、安全组与通讯组之间的转换、您可以通过提高目录林级别的设置来提升域级别

Windows Server 2003 过渡版

  • 受支持的域控制器:Windows NT 4.0、Windows Server 2003、Windows Server 2008、Windows Server 2008 R2
  • 支持的功能:在此级别内没有域范围的激活的功能。当目录林级别提升至过渡版后,该目录林中所有域都将自动提升至该级别。该模式只在将 Windows NT 4.0 域中的域控制器升级至 Windows Server 2003 域控制器时使用。

Windows Server 2003

  • 受支持的域控制器:Windows Server 2003、Windows Server 2003、Windows Server 2008 R2
  • 支持的功能:域控制器重命名、登录时间戳属性更新与复制。在 InetOrgPerson 对象类上支持用户密码。约束委派,您可以重定向用户和计算机容器。
从 Windows NT 4.0 升级的域或由基于 Windows Server 2003 的计算机经过提升而创建的域都在 Windows 2000 混合模式功能级别上操作。当 Windows 2000 Server 域控制器升级到 Windows Server 2003 操作系统时,Windows 2000 Server 域保持它们当前的域功能级别。您可以将域功能级别提升到 Windows 2000 Server 本机模式或是 Windows Server 2003。

过渡版级别 - 从 Windows NT 4.0 域升级

Windows Server 2003 Active Directory 允许一个名为 Windows Server 2003 过渡版的特殊林和域功能级别。提供这种功能级别是为了将现有的 Windows NT 4.0 域升级,其中的一个或多个 Windows NT 4.0 备份域控制器 (BDC) 必须在升级后运行。Windows 2000 Server 域控制器在该模式中不受支持。Windows Server 2003 过渡版适用于下列场合:
  • 将域从 Windows NT 4.0 升级至 Windows Server 2003。
  • Windows NT 4.0 BDC 不立即升级。
  • 包含具有 5000 以上成员的组的 Windows NT 4.0 域(不包括域用户组)。
  • 任何时候都不打算在林中实现 Windows Server2000 域控制器。
在仍允许向 Windows NT 4.0 BDC 复制的同时,Windows Server 2003 过渡版提供了两个重要的增强功能:
  1. 高效安全组复制,并且每组支持超过 5000 名成员。
  2. 改进的 KCC 站点间拓扑生成器算法。
由于在过渡版级别中激活的组复制效率较高,建议在所有 Windows NT 4.0 的升级中采用该过渡级别。有关更多详细信息,请参阅本文“最佳做法”部分。

设置 Windows Server 2003 过渡版林功能级别

Windows Server 2003 过渡版可通过三种不同的方式激活。我们强烈建议您使用前两种方法。这是因为在 Windows NT 4.0 域的主域控制器 (PDC) 升级到 Windows Server 2003 域控制器后,安全组使用链接值复制 (LVR)。由于安全组中的成员使用单一多值属性而可能导致复制问题,所以并不强烈建议使用第三个选项。Windows Server 2003 过渡版可由下列方法激活:
  1. 在升级过程中。

    如果某个 Windows NT 4.0 域的 PDC 是新目录林的根域中的第一个域控制器,在升级该 PDC 时,Dcpromo 安装向导中将出现此选项。
  2. 在您使用轻型目录访问协议 (LDAP) 工具通过手动配置目录林功能级别来升级 Windows NT 4.0 的 Windows NT 4.0 PDC(该 PDC 是现有目录林中某个新域的第一个域控制器)之前。

    子域会从它所提升到的目录林继承目录林范围的功能设置。如果某个 Windows NT 4.0 域是现有 Windows Server 2003 目录林的子域,而且该目录林已经使用 Ldp.exe 或 Adsiedit.msc 文件配置了过渡版目录林功能级别,则将该域的 PDC 操作系统版本升级之后,可允许安全组使用链接值复制。
  3. 在使用 LDAP 工具升级后。

    当您在升级期间加入现有 Windows Server 2003 林时,请使用最后两个选项。您常常会遇到有一个“空根”域的情形。所升级的域作为空根域的子域加入,并从目录林继承域设置。

最佳做法

下面一节讨论提升功能级别的最佳做法。本节分为两部分。“准备任务”讨论在提升前必须完成的工作,“最优提升路径”讨论不同级别提升情形的动机与方法。

要找到 Windows NT 4.0 域控制器,请按照下列步骤操作:
  1. 从任何一个基于 Windows Server 2003 的域控制器中打开“Active Directory 用户和计算机”
  2. 如果该域控制器还没有连接到适当的域,请按照以下步骤将其连接到适当的域:
    1. 右键单击当前域对象,然后单击“连接到域”。
    2. “域”对话框中,键入您想要连接的域的 DNS 名称,然后单击“确定”。或单击“浏览”域树中选择域,然后单击“确定”
  3. 右键单击该域对象,然后单击“查找”。
  4. 在“查找”对话框中,单击“自定义搜索”。
  5. 单击要更改其功能级别的域。
  6. 单击“高级”选项卡。
  7. 在“输入 LDAP”查询框中,键入以下内容(字符之间不留空格):
    (&(objectCategory=computer)(operatingSystem Version=4*)(userAccountControl:1.2.840.113556.1.4.803:=8192))
    注意:此查询是不区分大小写的。
  8. 单击“立即查找”。

    此时显示一个列表,其中列出在域中运行 Windows NT 4.0 并执行域控制器功能的计算机。
一个域控制器可能会由于以下任何原因出现在列表中:
  • 该域控制器正在运行 Windows NT 4.0 并且必须进行升级。
  • 该域控制器已经升级到 Windows Server 2003,但是这些更改还没有复制到目标域控制器中。
  • 该域控制器不再处于服务状态,但是该域控制器的计算机对象还没有从域中删除。
在您能够将域功能级别更改为 Windows Server 2003 之前,您必须先确定这些列表中的域控制器的物理位置,确定这些域控制器的当前状态,并相应地升级或删除这些域控制器。

注意:与 Windows Server 2000 域控制器不同,Windows NT 4.0 域控制器不会阻止级别提升。当您更改域功能级别时,将会阻止到 Windows NT 4.0 域控制器的复制。 但是,当您尝试在 Windows Server 2000 提升具有域的 Windows Server 2003 目录林级别时,会阻止混合级别。目录林中所有域的目录林级别都达到 Windows Server 2000 本机模式或更高级别就隐含表明该目录林中没有 Windows NT 4.0 BDC。

示例:提升级别之前的准备工作

在本例中,环境从 Windows Server 2000 混合模式提升到 Windows Server 2003 目录林模式。

生成一个目录林中旧版本域控制器的清单。
如果没有准确的服务器列表,请按照下列步骤操作:
  1. 若要找到混合级别域、Windows Server 2000 域控制器或有损坏或缺少对象的域控制器,请使用 Active Directory 域和信任关系 MMC 管理单元。
  2. 单击“提升目录林功能”,然后单击“另存为”以便生成一个详细的报告。
  3. 如果没有发现问题,则在“可用目录林功能级别”下拉列表中,提升到 Windows Server 2003 目录林级别的选项就变为可用。当您试图提升目录林级别时,系统会对配置容器中的域控制器对象进行搜索以找出没有将 msds-behavior-version 设置为所需目标级别的域控制器。这些对象被认为是 Windows Server 2000 域控制器或是损坏的 Windows Server 域控制器对象。
  4. 如果找到早期版本的域控制器或带有损坏或丢失的计算机对象的域控制器,报表中将列出这些对象。必须对这些域控制器的状态进行检查,并且必须使用 Ntdsutil 文件来修复或删除这些域控制器在 Active Directory 中的表示。
有关更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
216498 域控制器降级失败后如何删除 Active Directory 中的数据
验证端对端复制正在目录林中运行
若要验证端对端复制正在目录林中运行,请针对 Windows Server 2000 或 Windows Server 2003 域控制器使用 Windows Server 2003 或较新版本的 Repadmin:
  • Repadmin/Replsum * /Sort:Delta[/Errorsonly],用于初始清单。
  • Repadmin/Showrepl * /CSV>showrepl.csv。导入到 Excel,然后使用 Data->Autofilter 标识复制功能。

    使用诸如 Repadmin 等复制工具来验证目录林范围的复制正在正常运行。
验证所有程序或服务同较新的 Windows Server 域控制器和较高的 Windows Server 域和目录林模式的兼容性。使用实验环境充分测试生产程序和服务的兼容性问题。同供应商联系以确认其兼容性。

准备一个复原计划,包含以下操作之一:
  • 从目录林的每个域中断开至少两个域控制器。
  • 针对目录林的每个域中至少两个域控制器创建系统状态备份。
目录林中所有域控制器必须在恢复过程运行之前取消配置,然后才可以使用复原计划。

注意:级别提升不能授权还原。这意味着所有复制级别提升的域控制器必须取消配置。

在所有以前的域控制器取消配置后,启动断开的域控制器或从备份中还原域控制器。从所有其他域控制器中删除元数据,然后重新提升这些域控制器。此过程很困难,在可能的情况下尽量不要采用。

示例:从 Windows Server 2000 混合模式级别升级到 Windows Server 2003 目录林级别的方法

将所有域提升到 Windows Server 2000 本机模式级别。该操作完成后,将目录林根域的功能级别提升到 Windows Server 2003 目录林级别。当目录林级别复制到了目录林中每个域的 PDC 时,域级别就会自动提升到 Windows Server 2003 域级别。此方法具有以下优点:
  • 目录林范围的级别提升只执行一次。您不需要将目录林中的每个域手动提升到 Windows Server 2003 域功能级别。
  • 在级别提升之前会检查是否存在 Windows Server 2000 域控制器(请参阅准备步骤)。如果存在,除非删除或升级这些域控制器,否则将无法进行级别提升。可以生成一个详细的报告,其中列出阻止进行提升的域控制器,以提供可操作数据。
  • 检查是否存在处于 Windows Server 2000 混合模式或 Windows Server 2003 过渡版级别的域。如果存在,除非将这些域的级别提升到至少 Windows Server 2000 本机模式,否则将无法进行级别提升。过渡版级别的域必须提升到 Windows Server 2003 域级别。可以生成一个详细的报告,其中列出阻止进行提升的域。

Windows NT 4.0 升级

对于 Windows NT 4.0 升级,除非将 Windows Server 2000 域控制器引入到 PDC 升级到的目录林中,否则在 PDC 升级过程总是使用过渡版级别。如果在 PDC 升级过程中使用了过渡版模式,现有的大型组会立即使用 LVR 复制,以避免产生上文所讨论的潜在复制问题。在升级过程中使用下列方法之一可以实现过渡版级别:
  • 在 Dcpromo 过程中选择过渡版级别。只有将 PDC 升级到一个新目录林中时,此选项才会显示。
  • 将一个现有目录林的级别设置为过渡版级别,然后在 PDC 升级过程中加入该目录林。升级后的域将继承目录林的设置。
  • 在升级或删除了所有的 Windows NT 4.0 BDC 之后,每个域必须转换到目录林级别,并能转换到 Windows Server 2003 目录林模式。
如果计划在升级后(或在将来的某一时间)实现 Windows Server 2000 域控制器,请不要使用过渡版模式。

有关 Windows NT 4.0 中大型组的特别注意事项

在完善的 Windows NT 4.0 域中,可能会存在包含超过 5000 个成员的安全组。在 Windows NT 4.0 中,在更改安全组的一个成员时,只有单一的成员资格更改会复制到备份域控制器中。在 Windows Server 2000 中,组成员资格是以组对象的单一多值属性方式存储的链接属性。当对组的成员资格做一项修改后,整个组就作为一个单元进行复制。由于组成员资格是作为一个单元进行复制,所以当同时在不同的域控制器中添加或删除不同的成员时,对组成员资格的更新可能会“丢失”。此外,该单一对象的大小可能会超过向数据库提交一个数据项所使用的缓冲区的大小。有关详细信息,请参阅本文“大型组的版本存储区问题”部分。基于这些原因,建议将组成员数限制为 5000。

5000 成员规则的例外是主要组(默认情况下,这是“域用户”组)。主要组根据用户的“主要组 ID”,通过一种“计算”机制来确定成员资格。主要组不会将成员作为多值链接属性存储。如果用户的主要组被更改为自定义组,其域用户组中的成员资格会写入该组的链接属性,并且不再进行计算。新主要组 Rid 被写入“主要组 ID”,并从组的成员属性中删除该用户。

如果管理员对升级域没有选择过渡版级别,则在升级之前您必须按以下步骤操作:
  1. 生成所有大型组的清单,并标识出除域用户组以外的成员数超过 5000 的所有组。
  2. 成员数超过 5000 的所有组都必须分解成少于 5000 个成员的小型组。
  3. 找到输入大型组的访问控制列表并添加您在步骤 2 中创建的小型组。
Windows Server 2003 过渡版目录林级别使管理员不必找到并重新分配超过 5000 个成员的全局安全组。

大型组的版本存储区问题

在执行长时间运行操作(例如进一步搜索某个大型属性或向其进行提交)时,Active Directory 必须确保在完成该操作之前数据库的状态为静态。使用旧式存储的大型组是一个进一步搜索大型属性或向其进行提交的示例。

由于不断在本地以及从复制伙伴更新数据库,Active Directory 会在完成长时间运行操作之前,通过对即将发生的所有更改进行排队来提供一个静态状态。完成该操作后,排队更改将应用到该数据库。

这些排队更改的存储位置称为“版本存储区”,其大小约为 100 MB。版本存储区的大小因物理内存而异。如果在版本存储区空间耗尽之前长时间运行操作尚未完成,则域控制器将停止接受更新,直到提交了长时间运行操作和排队更改。当组的数目足够多(成员数超过 5000)时,如果提交了该大型组,则域控制器会面临耗尽版本存储区空间的危险。

Windows Server 2003 为链接的多值属性引入了一个称为链接值复制 (LVR) 的新复制机制。LVR 不是用某个复制操作来复制整个组,而是执行单独的复制操作复制每个组成员来解决该问题。当目录林功能级别提升到 Windows Server 2003 过渡版目录林级别或 Windows Server 2003 目录林级别后,即可使用 LVR。在该功能级别中,LVR 用于在 Windows Server 2003 域控制器之间复制组。

属性

文章编号: 322692 - 最后修改: 2010年5月13日 - 修订: 16.0
这篇文章中的信息适用于:
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
关键字:?
kbactivedirectory kbhowtomaster KB322692
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com