HOW TO:在 Windows Server 2003 中提高網域和樹系功能等級

文章翻譯 文章翻譯
文章編號: 322692 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

結論

本文將告訴您,如何提高 Microsoft Windows Server 2003 網域控制站所支援的網域和樹系功能等級。功能等級是 Microsoft Windows 2000 所採用混合及原始模式概念的延伸,在網域或樹系中所有網域控制站都是執行 Windows Server 2003 作業系統之後,可以用來啟動新的 Active Directory 功能。當電腦安裝了 Windows Server 2003 並升級為網域控制站時,Windows Server 2003 就會啟動對應其 Windows 2000 的新 Active Directory 功能。當網域或樹系中的所有網域控制站均執行 Windows Server 2003,並且系統管理員啟動了網域或樹系中相對的功能等級時,就可以使用其他 Active Directory 功能。

為了啟動新的網域功能,網域中的所有網域控制站均必須執行 Windows Server 2003。在符合這項要求之後,系統管理員就可以將網域功能等級提高至 Windows Server 2003。

為了啟動新的全樹系功能,樹系中所有網域控制站均必須執行 Windows Server 2003,並且目前的樹系功能等級必須達到 Windows 2000 原始模式或 Windows Server 2003 網域等級。在符合這項要求之後,系統管理員就可以提高網域功能等級。

注意 網路用戶端可以驗證或存取網域或樹系中的資源,並不會受到 Windows Server 2003 網域或樹系功能等級的影響。這些等級只會影響網域控制站彼此之間的互動方式。

網域功能等級

網域功能會啟動只影響特定的整個網域的功能。下列為四種網域功能等級、其對應的功能以及支援的網域控制站:

Windows 2000 混合模式 (預設)

  • 支援的網域控制站:Microsoft Windows NT 4.0、Windows 2000、Windows Server 2003
  • 啟動的功能:本機及通用群組、通用類別目錄支援

Windows 2000 原始模式

  • 支援的網域控制站:Windows 2000、Windows Server 2003
  • 啟動的功能:群組巢狀、萬用群組、SidHistory、在安全性群組和發佈群組之間轉換群組,您可以藉由升級樹系等級的設定,來提高網域等級

Windows Server 2003 過渡模式

  • 支援的網域控制站:Windows NT 4.0、Windows Server 2003
  • 支援的功能:這個等級中沒有啟動全網域功能。當樹系等級升級至過渡模式時,樹系中的所有網域就會自動地提高至這個等級。只有在您將 Windows NT 4.0 網域中的網域控制站升級為 Windows Server 2003 網域控制站時,才會使用這個模式。

Windows Server 2003

  • 支援的網域控制站:Windows Server 2003
  • 支援的功能:重新命名網域控制站、更新及複寫登入時間戳記屬性。InetOrgPerson objectClass 上的使用者密碼支援。受限制的委派,您可以限制使用者及電腦容器。
從 Windows NT 4.0 升級或在升級 Windows Server 2003 電腦期間所建立的網域,可以在 Windows 2000 混合模式功能等級運作。當 Windows 2000 網域控制站升級至 Windows Server 2003 作業系統時,Windows 2000 網域會繼續維持目前的網域功能等級。您可以將網域功能等級提高至 Windows 2000 原始模式或 Windows Server 2003。

網域功能等級提高之後,執行較舊版本作業系統的網域控制站就無法導入網域中。例如,如果您將網域功能等級提高至 Windows Server 2003,那麼執行 Windows 2000 Server 的網域控制站就無法加入該網域。

下列說明網域功能等級,以及為該等級所啟動的全網域功能。請注意,每個等級成功升級之後,前一個等級的功能集也會跟著加入。

樹系功能等級

樹系功能會啟動樹系中所有網域內的功能。下列列出三種樹系功能等級及相對應的功能、支援的網域控制站。

Windows 2000 (預設)

  • 支援的網域控制站:Windows NT 4.0、Windows 2000、Windows Server 2003
  • 新的功能:部分功能包括了萬用群組快取、應用程式磁碟分割、從媒體安裝、配額、快速通用類別目錄降級、Jet 資料庫引擎中系統存取控制清單 (SACL) 的儲存單一版本 (SIS)、改良的拓樸產生事件記錄。通用類別目錄完整同步處理不會在屬性新增至 PAS Windows Server 2003 網域控制站時,設定站台間拓撲產生器 (ISTG,Intersite Topology Generator) 角色。

Windows Server 2003 過渡模式

  • 支援的網域控制站:Windows NT 4.0、Windows Server 2003。請參閱本文<從 Windows NT 4.0 網域升級>一節。
  • 啟動的功能:Windows 2000 功能,以及使用連結數值複寫 (Linked Value Replication)、改良複寫拓樸產生 (Improved Replication Topology Generation) 的有效群組成員複寫 (Efficient Group Member Replication)。ISTG Aliveness 不再進行複寫。將屬性新增至通用類別目錄 ms-DS-Trust-Forest-Trust-Info、Trust-Direction、Trust-Attributes、Trust-Type、Trust-Partner、Security-Identifier、ms-DS-Entry-Time-To-Die、Message Queuing-Secured-Source、Message Queuing-Multicast-Address、Print-Memory、Print-Rate、Print-Rate-Unit

Windows Server 2003

  • 支援的網域控制站:Windows Server 2003
  • 啟動的功能:過渡模式等級中的所有功能、Defunct 架構物件、跨樹系的信任關係、網域重新命名、動態輔助類別、InetOrgPerson objectClass 變更、應用程式群組、Windows Server 2003 網域控制站 (從 Windows 2000 升級) 中 15 秒之內完成複寫
提高樹系功能等級之後,執行較舊版本作業系統的網域控制站就無法導入樹系中。例如,如果您將樹系功能等級提高至 Windows Server 2003,那麼執行 Windows NT 4.0 或 Windows 2000 Server 的網域控制站就無法加入樹系。

過渡模式等級 - 從 Windows NT 4.0 網域升級

Windows Server 2003 Active Directory 允許特定的樹系和網域功能等級,名為 Windows Server 2003 過渡模式。這個功能等級是用來升級現有的 Windows NT 4.0 網域,而其中的一個或更多的 Windows NT 4.0 備份網域控制站 (BDC) 必須在升級之後執行運作。此模式不支援 Windows 2000 網域控制站。Windows Server 2003 過渡模式適用於下列情形中:
  • 網域是直接從 Windows NT 4.0 升級至 Windows Server 2003。
  • Windows NT 4.0 BDC 無法立即升級。
  • 包含具有超過 5000 位成員的群組的 Windows NT 4.0 網域並未加入網域使用者群組。
  • 無論何時都不打算在樹系中實作 Windows 2000 網域控制站。
Windows Server 2003 過渡模式不但仍允許複寫至 Windows NT 4.0 BDC,還提供了兩個重要的增強功能:
  1. 有效複寫安全性群組、支援擁有超過 5000 位成員的每個群組。
  2. 改良的 KCC 站台間拓樸產生器演算法。
由於過渡模式等級中所啟用的群組複寫非常有效率,因此,建議所有 Windows NT 4.0 在升級時採用這個等級。如需詳細資料,請參閱本文的<最佳作法>一節。

設定 Windows Server 2003 過渡模式樹系功能等級

有三種不同的方法可以啟動 Windows Server 2003 過渡模式。強烈建議使用前兩種方法,因為在 Windows NT 4.0 網域的網域主控站 (PDC) 升級至 Windows Server 2003 網域控制站之後,安全性群組就會使用連結數值複寫 (LVR)。不建議採用第三種方法,是因為安全性群組中的成員資格會使用單一的多重值屬性,而此屬性可能會使複寫發生問題。下列是可以啟動 Windows Server 2003 過渡模式的方法:
  1. 升級期間。

    當您升級 Windows NT 4.0 網域的 PDC (這是新樹系中根網域的第一個網域控制站) 時,就可以在 Dcpromo 安裝精靈中看到這個選項。
  2. 使用輕量型目錄存取協定 (LDAP) 工具手動設定樹系功能等級,以便將 Windows NT 4.0 的 Windows NT 4.0 PDC 升級為現有樹系中新網域的第一個網域控制站之前。

    子網域會從所升級的樹系繼承全樹系的功能設定。將 Windows NT 4.0 網域的 PDC 升級為現有 Windows Server 2003 樹系 (其中的過渡模式樹系功能等級已經使用 Ldp.exe 檔案或 Adsiedit.msc 檔案加以設定) 中的子網域,就可以讓安全性群組在升級 OS 版本之後使用連結數值複寫。
  3. 使用 LDAP 工具進行升級之後。

    當您在升級期間加入現有的 Windows Server 2003 樹系時,可以使用後面兩個選項。當空的根 (Empty Root) 網域位於適當的位置時,這是很常見的情形。已升級的網域是加入做為空根網域的子網域,並且會繼承樹系中的網域設定。

提高網域功能等級

警告:如果您現在 (或以後) 擁有任何 Windows NT 4.0 (或更舊) 的網域控制站,請勿提高網域功能等級。一旦網域功能等級提高至 Windows 2000 原始模式或 Windows Server 2003,就不能恢復為 Windows 2000 混合式網域。
  1. 以網域系統管理員的憑證登入網域的 PDC。
  2. 按一下 [開始],指向 [系統管理工具],然後按一下 [Active Directory 網域及信任]
  3. 在主控台樹狀目錄中,用滑鼠右鍵按一下您想要提高功能的網域,然後按一下 [提高網域功能等級]
  4. [請選擇可用的網域功能等級] 下,執行下列其中一項操作:
    • 按一下 [Windows 2000 純粹模式],再按一下 [升級],將網域功能等級提高為 Windows 2000 原始模式。

      - 或 -
    • 按一下 [Windows Server 2003],然後按一下 [升級],將網域功能等級提高為 Windows Server 2003。
    注意 您也可以按一下「Active Directory 使用者及電腦」MMC 嵌入式管理單元中所顯示的網域,然後按 [提高網域功能等級],提高網域功能等級。您必須是網域系統管理員 (Domain Administrators) 群組的成員,才能提高網域功能等級。

    [提高網域功能等級] 對話方塊的 [目前的網域功能等級] 下面會顯示目前的網域功能等級。升級等級時,會在 PDC FSMO 上執行,並且需要網域系統管理員。

提高樹系功能等級

警告:如果您現在 (或以後) 擁有任何執行 Windows NT 4.0 或 Windows 2000 的網域控制站,請勿提高樹系功能等級。一旦樹系功能等級提高至 Windows Server 2003,就不能恢復為 Windows 2000 樹系功能等級。
  1. 以企業系統管理員 (Enterprise Administrators) 群組成員的使用者帳戶登入樹系根網域的 PDC。
  2. 開啟「Active Directory 網域及信任」,按一下 [開始],指向 [所有程式],再指向 [系統管理工具],然後按一下 [Active Directory 網域及信任]
  3. 在主控台樹狀目錄中,用滑鼠右鍵按一下 [Active Directory 網域及信任],然後按一下 [提高樹系功能等級]
  4. [請選擇可用的樹系功能等級] 下,按一下 [Windows Server 2003],然後按 [升級]

    注意 您必須升級 (或降級) 樹系中現有的全部 Windows 2000 網域控制站,才能提高樹系功能等級。

    如果無法提高樹系功能等級,您可以按一下 [提高樹系功能等級] 對話方塊中的 [另存新檔],以儲存為記錄檔,說明樹系中還必須升級哪些 Windows NT 4.0 或 Windows 2000 網域控制站。

    如果您收到訊息,指出無法提高樹系功能等級,則可以使用「另存新檔」所產生的報告,找出未符合所要升級之需求的所有網域和網域控制站。

    [提高樹系功能等級] 對話方塊的 [目前的樹系功能等級] 下面會顯示目前的樹系功能等級。成功升級樹系等級並複寫至網域的 PDC 之後,每個網域的 PDC 就會自動將網域等級升級至目前的樹系等級。升級等級時,會在架構 FSMO 上執行,並且需要企業系統管理員憑證。

檢視並手動設定功能等級

LDAP 工具 (例如 Ldp.exe 和 Adsiedit.msc) 可以用來檢視並修改目前的網域和樹系功能等級設定。當您手動修改屬性時,最好隨著實際寫入並複寫授權 FSMO 的變更,鎖定 FSMO 可以管理的升級作業。

樹系等級設定

屬性在 CN=Partitions、CN=Configuration、DC=ForestRootDom、DC=tld 物件上為 msDS-Behavior-Version。
  • 值 0 或尚未設定:混合模式等級樹系
  • 值 1:Windows Server 2003 過渡模式樹系等級
  • 值 2:Windows Server 2003 樹系等級

    注意 當您使用 ADSIEdit,將 msDS-Behavior-Version 屬性從 0 升級為 1 時,會收到下列錯誤訊息:
    不正確的修改操作。有些修改不被允許。
按一下 [確定] 以繼續進行。磁碟分割容器和網域標題上的屬性就會正確地升級。Ldp.exe 檔案並不會報告這個錯誤訊息。您可以安心地忽略這個錯誤訊息。如果要確認是否成功升級等級,請重新整理屬性清單,並檢查目前的設定。如果您已經在授權 FSMO 上執行過等級升級,但是尚未複寫至本機網域控制站中,這個錯誤訊息可能會再次出現。

網域功能等級設定

屬性在每個網域 DC=Mydomain、DC=ForestRootDom、DC=tld 物件的 NC 標題根目錄上為 msDS-Behavior-Version。
  • 值 0 或尚未設定:混合模式等級網域
  • 值 1:Windows Server 2003 網域等級
  • 值 2:Windows Server 2003 網域等級

混合/原始模式設定

屬性在每個網域 DC=Mydomain、DC=ForestRootDom、DC=tld 物件的 NC 標題根目錄上為 ntMixedDomain。
  • 值 0:原始模式等級網域
  • 值 1:混合模式等級網域

使用 Ldp.exe 檔案,快速地檢視目前的設定

  1. 開啟 Ldp.exe 檔案。
  2. 按一下 [連線] 功能表上的 [連線]
  3. 指定您想要查詢的網域控制站,或是保留空白,以連線至任何網域控制站。
連線之後,就會顯示有關網域控制站的 RootDSE 資訊,其中包含了樹系、網域和網域控制站。下列是 Windows Server 2003 網域控制站的範例,網域模式為 Windows Server 2003,而樹系模式是 Windows 2000。

注意 網域控制站功能是代表這個網域控制站的最高可能功能等級,不是所開啟的網域控制站的功能等級。
  • 1> domainFunctionality:2=(DS_BEHAVIOR_WIN2003)
  • 1> forestFunctionality:0=(DS_BEHAVIOR_WIN2000)
  • 1> domainControllerFunctionality:2=(DS_BEHAVIOR_WIN2003)

手動變更功能等級的需求

  • 如果網域功能等級是直接修改 domainDNS 物件上 msdsBehaviorVersion 屬性的值,以程式方式提高至 2 (Windows Server 2003),或是使用 Ldp.exe 公用程式或 Adsiedit.msc 公用程式來提高至 2,就不必在提高網域等級之前先將網域模式變更為原始模式。
  • 在 Windows Server 2003 Service Pack 1 (SP1) 中,如果網域功能等級是直接修改 domainDNS 物件上 msdsBehaviorVersion 屬性的值,以程式方式提高至 2,或是使用 Ldp.exe 公用程式或 Adsiedit.msc 公用程式來提高至 2,就必須在提高網域等級之前先將網域模式變更為原始模式。在 Windows Server 2003 SP1 中,如果您沒有在提高網域等級之前將網域模式變更為原始模式,便無法順利完成作業,而會收到下列錯誤訊息:

    SV_PROBLEM_WILL_NOT_PERFORM


    ERROR_DS_ILLEGAL_MOD_OPERATION


    此外,您會在「目錄服務」記錄檔中收到下列訊息:

    Active Directory 無法更新下列網域的功能等級,因為網域是混合模式。

    在這種情況中,您可以使用「Active Directory 使用者及電腦」嵌入式管理單元、使用「Active Directory 網域及信任」UI MMC 嵌入式管理單元,或以程式將 domainDNS 物件上 ntMixedDomain 屬性的值變更為 0,以將網域模式變更為原始模式。當使用此程序將網域功能等級提高至 2 (Windows Server 2003) 時,網域模式會自動變更為原始模式。
  • 從混合模式轉換至原始模式,會將架構系統管理員 (Schema Administrators) 和企業系統管理員 (Enterprise Administrators) 安全性群組的範圍變更為萬用群組。在這些群組變更為萬用群組之後,便會在系統事件記錄檔中記錄下列訊息:

    事件類型:資訊
    事件來源:SAM
    事件識別碼:16408
    電腦:伺服器名稱
    描述:「網域操作模式已經變更成原始模式。變更無法復原。」

  • 當使用 Windows Server 2003 系統管理工具呼叫網域功能等級時,會以正確的順序修改 ntmixedmode 和 msdsBehaviorVersion 屬性。然而,如果控制網域功能模式的 msdsBehaviorVersion 屬性以手動或程式設定為 2,樹系功能等級使用任何一種方式設定為 2,原始模式便會以隱含方式設定為 2,而不會將架構系統管理員 (Schema Administrators) 群組和企業系統管理員 (Enterprise Administrators) 群組的範圍變更為萬用。安裝了 Windows Server 2003 SP1 的網域控制站會封鎖樹系功能等級的轉換,直至原始模式為止,並會在所有網域中設定安全性群組範圍內的必要變更。
  • 當網域處於原始模式中時,無法變更 domainDNS 物件上的 msdsBehaviorVersion 屬性。在這種情況下,您必須確認網域處於原始模式,然後將 domainDNS 物件上的 ntMixedDomain 屬性值變更為 0,然後就可以變更 domainDNS 物件上的 msdsBehaviorVersion 屬性。

最佳作法

下節說明提升功能等級的最佳作法。此章節分為兩個部分,「準備工作」說明在升級之前,您必須執行的工作,而「最佳的升級方法」是說明在不同等級的升級案例中,進行升級的原因及方法。

提升等級之前的準備工作

清查舊版網域控制站的樹系。如果沒有正確的伺服器清單,請執行下列步驟:
  1. 如果要找出混合模式等級網域、Windows 2000 網域控制站,或含有毀損或遺失物件的網域控制站,請使用「Active Directory 網域及信任」MMC 嵌入式管理單元。
  2. 按一下 [升級樹系功能],然後按一下 [另存新檔],以產生詳細報告。

    如果找不到,[可用的樹系功能等級] 下拉式清單中就會顯示升級至 Windows Server 2003 樹系等級的選項。當您嘗試提高樹系等級時,對於任何 msds-behavior-version 屬性不等於 2 的網域控制站,就會搜尋設定容器中的網域控制站物件。這些會被認定為 Windows 2000 網域控制站或毀損的 Windows Server 2003 網域控制站物件。如果找到較舊版本的網域控制站或含有毀損或遺失電腦物件的網域控制站,就會記錄在報告中。這些網域控制站的狀態必須使用 Ntdsutil 檔案加以調查,而 Active Directory 中的網域控制站代表也必須使用 Ntdsutil 檔案加以修復或移除。
如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
216498 HOW TO:在網域控制站降級失敗後,移除 Active Directory 中的資料
如果要找出 Windows NT 4.0 網域控制站,請執行下列步驟:
  1. 在任何 Windows Server 2003 網域控制站中,開啟「Active Directory 使用者及電腦」。
  2. 如果網域控制站尚未連線至適當的網域,請依照下列步驟執行,以連線至適當網域:
    1. 用滑鼠右鍵按一下目前的網域物件,然後按一下 [連線到網域]
    2. [網域] 對話方塊中,輸入您想要連線的網域的 DNS 名稱,或按一下 [瀏覽],從網域樹狀目錄選取網域,然後按一下 [確定]
  3. 用滑鼠右鍵按一下網域物件,然後按一下 [尋找]
  4. [尋找] 對話方塊中,按一下 [自訂搜尋]
  5. 按一下您想要變更功能等級的網域。
  6. 按一下 [進階] 索引標籤。
  7. [輸入 LDAP 查詢] 方塊中,輸入下列文字,並且任何字元之間均不留空格:(&(objectCategory=computer)(operatingSystem Version=4*)(userAccountControl:1.2.840.113556.1.4.803:=8192)) 注意 此查詢沒有大小寫之分。
  8. 按一下 [立即尋找]

    隨即會顯示網域中執行 Windows NT 4.0 並且做為網域控制站的電腦清單。
清單中列出網域控制站的原因如下:
  • 網域控制站是執行 Windows NT 4.0,並且必須加以升級。
  • 網域控制站已經升級為 Windows Server 2003,但是變更尚未複寫至目標網域控制站。
  • 網域控制站已經不再執行服務,但是網域控制站的電腦物件尚未從網域移除。
您必須確實地找出清單中的任何網域控制站,並判斷網域控制站的目前狀態,然後視情況地升級或移除網域控制站,才能將網域功能等級變更為 Windows Server 2003。請注意,Windows NT 4.0 網域控制站與 Windows 2000 網域控制站的不同在於,Windows NT 4.0 網域控制站不會阻擋等級升級。然後,複寫至 Windows NT 4.0 網域控制站的作業會停止執行。當您嘗試升級 Windows Server 2003 樹系等級,以及 Windows 2000 混合模式等級中的網域時,將無法執行。由於符合 Windows 2000 原始模式等級 (或更新) 中所有網域的樹系等級需求,因而代表缺少了 Windows NT 4.0 BDC。

驗證樹系中正在執行端對端複寫。如果要執行這項操作,請使用 Windows XP 或 Windows Server 2003 成員上 Windows Server 2003 版本的 Repadmin,在 Windows 2000 或 Windows Server 2003 網域控制站中進行驗證:
  • Repadmin/Replsum * /Sort:Delta[/Errorsonly],做為初步清查工作。
  • Repadmin/Showrepl * /CSV>showrepl.csv。匯入 Excel,然後按一下 [資料],再按 [自動篩選] 來識別複寫功能。

    使用複寫工具 (例如 Repadmin 和 Replmon),以驗證整個樹系的複寫順利地執行。
驗證所有程式或服務在 Windows Server 2003 網域控制站和 Windows Server 2003 樹系模式中執行時的相容性。請在實驗室環境中仔細地測試實際執行的程式和服務,看看是否出現相容性問題。請與廠商連絡,以確認性能。

準備取消計劃,其中包括下列其中一項:
  • 中斷連線樹系的每個網域中至少兩個網域控制站。

    - 或 -
  • 為樹系的每個網域中至少兩個網域控制站建立系統狀態備份。
樹系中的所有網域控制站必須在執行修復程序之前加以解除,才可以進行取消計劃。請注意,等級升級無法以系統授權方式加以還原。因此,必須將等級升級中所複寫的所有網域控制站加以解除。
解除上述所有網域控制站之後,就會顯示已中斷連線的網域控制站,或是從備份還原網域控制站。移除所有其他網域控制站的中繼資料,再重新升級。這是真正重要的程序,並且必須加以避免。

如何將功能等級設定為最佳狀態

以下兩節說明兩種不同的方法,將 Windows 2000 混合模式等級升級至 Windows Server 2003 樹系等級。第三節提供有關 Windows NT 4.0 升級的詳細資訊。

將所有網域升級至原始模式,將樹系升級至 Windows Server 2003

將所有網域升級至 Windows 2000 原始模式等級。完成之後,將樹系根網域的功能等級升級至 Windows Server 2003 樹系等級。當樹系等級複寫至樹系中每個網域的 PDC 時,就會自動將網域等級升級至 Windows Server 2003 網域等級。這個方法具有下列優點:
  • 只會執行一次全樹系的等級升級。您不必手動將樹系中的每個網域升級至 Windows Server 2003 網域功能等級。
  • 進行等級升級之前,會先檢查 Windows 2000 網域控制站。必須移除或升級網域控制站,否則無法升級。列出中止的網域控制站以產生詳細的報告,其中提供有助於採取行動的資料。
  • 檢查 Windows 2000 混合模式或 Windows Server 2003 過渡模式等級中的網域。必須將網域等級至少升級為 Windows 2000 原始模式,否則無法升級。過渡模式等級的網域必須升級至 Windows Server 2003 網域等級。詳細的報告可以藉由列出中止的網域而產生。

將所有網域升級至 Windows Server 2003 網域等級,然後將樹系升級至 Windows Server 2003 樹系等級

將各個網域升級至 Windows Server 2003 網域等級。這個方法具有下列優點:
  • 在認可樹系升級至 Windows Server 2003 樹系等級之前,就會啟動 Windows Server 2003 網域等級功能。
  • 可以在較小規模的升級上交互進行測試,而不需認可樹系升級至 Windows Server 2003 樹系等級。

Windows NT 4.0 升級

除非樹系導入 Windows 2000 網域控制站,否則在升級 PDC 期間,Windows NT 4.0 的升級一律使用過渡模式等級。在升級 PDC 期間使用過渡模式時,現有的大型群組就會立即使用 LVR 複寫,以避免發生本文前面所述的複寫問題。請使用下列其中一種方法,以升級至過渡模式等級:
  • 在執行 Dcpromo 期間,選擇過渡模式等級。只有在 PDC 已經升級至新的樹系時,才會出現這個選項。
  • 將現有樹系的樹系等級設定為過渡模式,然後在升級 PDC 時加入樹系。已升級的網域會繼承樹系的設定。
  • 升級或移除所有 Windows NT 4.0 BDC 之後,必須將每個網域轉換為樹系等級,並且可以轉換為 Windows Server 2003 樹系模式。
如果在升級後或是未來打算實作 Windows 2000 網域控制站,就不要使用過渡模式。

Windows NT 4.0 中有關大型群組的特別注意事項

在穩定成熟的 Windows NT 4.0 網域中,可能會有包含遠超過 5000 個成員的安全性群組。當 Windows NT 4.0 中安全性群組的成員有所變更時,只會將成員資格的單一變更複寫至備份網域控制站。在 Windows 2000 中,群組成員資格是儲存在群組物件的單一多重值屬性中的連結屬性。只要群組的成員資格中出現單一變更,就會以一個單位的方式複寫整個群組。由於群組成員資格是複寫為一個單位,因此,當不同的網域控制站同時新增或移除不同的成員時,群組成員資格就可能會「遺漏」升級。此外,此單一物件的大小可能大於用來將項目交付到資料庫的緩衝區。如需詳細資訊,請參閱本文<大型群組的版本儲存問題>一節。基於這些原因,群組成員的建議數量限制為 5000。

5000 位成員規則的例外是網域使用者群組。網域使用者群組是採用以使用者的「主要群組識別碼」為基礎的「計算」機制,來判斷成員資格,通常不會將成員儲存為多重值連結屬性。如果使用者的主要群組改變了,網域使用者群組中的成員資格就會被寫入群組的連結屬性中,並且不再加以計算。這是 Windows 2000 中的實際操作情形,並且尚未在 Windows Server 2003 中做過任何改變。如果系統管理員不是選擇過渡模式等級,來升級網域,您必須在升級之前執行下列步驟:
  1. 清查所有大型群組,並找出具有超過 5000 位成員的群組 (除了網域使用者群組以外)。
  2. 必須將具有超過 5000 位成員的所有群組,分為不包含 5000 位成員的較小群組。
  3. 找出存取控制清單,其中已經輸入了大型群組,並且增加了用來分散成員資格的小型群組。
Windows Server 2003 過渡模式樹系等級可以減輕系統管理員的工作,讓系統管理員不必找出並重新配置具有超過 5000 位成員的通用安全性群組。

大型群組的版本儲存問題

在長時間執行的作業 (例如單一大型屬性的深層搜尋或認可) 期間,Active Directory 必須確定資料庫的狀態是靜態的,直到作業完成為止。大型屬性的深層搜尋或認可的範例包括使用舊資料儲存的大型群組。

當資料庫持續發生本機更新或從複寫協力電腦進行更新時,Active Directory 便會對所有連入的變更進行佇列處理,直到長時間執行的作業完成為止,以提供靜態狀態。只要作業一完成,就會將佇列中的變更套用至資料庫。

這些佇列中的變更的儲存位置稱為「版本儲存」,大約為 100 MB。版本儲存的大小不一,是以實體記憶體為基礎。如果長時間執行的作業沒有在版本儲存耗盡之前完成,網域控制站將會停止接受更新,直到長時間執行的作業和佇列中的變更交付為止。當群組的成員數量眾多 (超過 5000 位成員) 時,只要交付大型群組,就會讓網域控制站有耗盡版本儲存的風險。

Windows Server 2003 導入了用於連結多重值屬性的新複寫機制,稱為連結數值複寫 (LVR)。LVR 解決問題的方法不是在單一複寫作業中複寫整個群組,而是分別複寫各個群組成員,做為單獨的複寫作業。當樹系功能等級提高至 Windows Server 2003 過渡模式樹系等級或 Windows Server 2003 樹系等級時,就會啟動 LVR。在這個功能等級中,LVR 可以用來複寫 Windows Server 2003 網域控制站之間的群組。

屬性

文章編號: 322692 - 上次校閱: 2006年8月18日 - 版次: 14.1
這篇文章中的資訊適用於:
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
關鍵字:?
kbhowtomaster kbactivedirectory KB322692
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com