Postup při inovaci řadičů domény se systémem Windows 2000 na systém Windows Server 2003

Překlady článku Překlady článku
ID článku: 325379 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Souhrn

Tento článek popisuje, jak upgradovat řadiče domény systému Microsoft Windows 2000 na systém Windows Server 2003 a jak přidat nové řadiče domény systému Windows Server 2003 do domény systému Windows 2000. Další informace o upgradu řadiče domény systému Windows Server 2008 nebo Windows Server 2008 R2 naleznete na následujícím webu společnosti Microsoft:
http://technet.microsoft.com/en-us/library/ee522994 (WS.10) .aspx #

Domény a doménové struktury zásob

Před zahájením inovace řadičů domény se systémem Windows 2000 na systém Windows Server 2003 nebo před přidáním nových řadičů domény systému Windows Server 2003 do domény Windows 2000, postupujte takto:
  1. Inventarizujte klienty, kteří přístup k prostředkům v doméně, které hostují řadiče domény systému Windows Server 2003 pro kompatibilitu s podepisováním paketů SMB:

    Každý řadič domény systému Windows Server 2003 umožňuje podepisování paketů SMB ve své místní zásady zabezpečení. Ujistěte se, že všechny síťové klienty používající protokol SMB/CIFS přístup k sdíleným souborům a tiskárnám v doménách, které hostují řadiče domény systému Windows Server 2003 může být nakonfigurována nebo inovovány na podporu podepisování SMB. Pokud to není možné dočasně zakažte podepisování SMB, dokud je možné nainstalovat aktualizace nebo klienty lze upgradovat na novější operační systém s podporou podepisování SMB. Informace o zakázání podepisování SMB "Zakázání podepisování SMB"sekce na konci tohoto kroku.

    Akční plány

    V následujícím seznamu jsou uvedeny plány akcí pro běžné klienty služby SMB:
    • Systém Microsoft Windows Server 2003, systému Microsoft Windows XP Professional, Microsoft Windows 2000 Server, Microsoft Windows 2000 Professional a Microsoft Windows 98

      Není nutná žádná akce.
    • Systém Microsoft Windows NT 4.0

      Instalace aktualizace Service Pack 3 nebo novější (Service Pack 6A se doporučuje) ve všech počítačích se systémem Windows NT 4.0, které získávají přístup do domén obsahujících počítače se systémem Windows Server 2003. Můžete také dočasně zakažte podepisování SMB na řadičích domény systému Windows Server 2003. Informace o zakázání podepisování SMB "Zakázání podepisování SMB"sekce na konci tohoto kroku.
    • Systém Microsoft Windows 95

      Nainstalujte systém Windows 9xklient adresářové služby v počítačích se systémem Windows 95 nebo dočasně zakažte podepisování SMB na řadičích domény systému Windows Server 2003. Původní pro systémy Win9xklient adresářové služby k dispozici na disku CD-ROM systému Windows 2000 Server. Avšak tento klientský přídavný nahradila lepší pro systémy Win9xklient adresářové služby. Informace o zakázání podepisování SMB "Zakázání podepisování SMB"sekce na konci tohoto kroku.
    • Klient sítě Microsoft pro klienty systému MS-DOS a Microsoft LAN Manager

      Klient sítě Microsoft pro MS-DOS a klienta sítě Microsoft LAN Manager 2.x lze získat přístup k síťovým prostředkům, nebo může být kombinován s spouštěcí disketu zkopírujte soubory operačního systému a dalších souborů ze sdíleného adresáře na souborovém serveru jako část rutiny instalace softwaru. Tito klienti nepodporují podepisování paketů SMB. Použít alternativní metodu instalace nebo zakažte podepisování SMB. Informace o zakázání podepisování SMB "Zakázání podepisování SMB"sekce na konci tohoto kroku.
    • Klienti platformy Macintosh

      Někteří klienti Macintosh nejsou podepisováním SMB kompatibilní a zobrazí se následující chybová zpráva při pokusu o připojení k síťovému prostředku:
      -Vstupně-výstupní chyby-36
      Pokud je k dispozici, nainstalujte aktualizovaný software. Jinak zakažte podepisování SMB na řadičích domény systému Windows Server 2003. Informace o zakázání podepisování SMB "Zakázání podepisování SMB"sekce na konci tohoto kroku.
    • Ostatní klienti SMB třetích stran

      Někteří klienti SMB třetích stran nepodporují podepisování paketů SMB. Obraťte se na poskytovatele SMB, pokud existuje aktualizovaná verze. Jinak zakažte podepisování SMB na řadičích domény systému Windows Server 2003.
    Zakázání podepisování SMB

    Pokud aktualizace softwaru nelze nainstalovat do řadičů domény se systémem Windows 95, Windows NT 4.0 nebo jiných klientů, které byly nainstalovány před zavedením systému Windows Server 2003, dočasně zakažte podepisování v Zásady skupiny dokud nasazením služby SMB aktualizovaného softwaru klientů.

    Můžete zakázat podepisování služby SMB v následujícím uzlu zásad výchozích řadičů domény v organizační jednotce řadičů domény:
    Počítač Konfigurace počítače\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti Zabezpečení\server sítě: Vždy digitálně podepsat komunikaci)
    Pokud řadiče domény nejsou umístěny v řadiči domény organizační jednotky, je nutné propojit objekt Zásady skupiny výchozího řadiče domény (GPO) se všemi organizačními jednotkami této hostitelské řadiče pro domény systému Windows 2000 nebo Windows Server 2003. Nebo můžete nakonfigurovat podepisování služby SMB v objektu zásad skupiny, který je s těmito organizačními jednotkami propojen.
  2. Vytvořte soupis řadičů domény, které jsou v doméně a v doménové struktuře:
    1. Ujistěte se, zda všechny řadiče domény systému Windows 2000 v doménové struktuře nainstalovány všechny potřebné opravy hotfix a aktualizace service Pack.

      Společnost Microsoft doporučuje, aby všechny řadiče domény systému Windows 2000 spustit systém Windows 2000 Service Pack 4 (SP4) nebo novější operační systémy. Pokud nelze plně nasadit systém Windows 2000 SP4 nebo novější, všechny řadiče domény systému Windows 2000musímít soubor Ntdsa.dll, jejichž datum, razítko a verze je vyšší než 4. června 2001 a 5.0.2195.3673.Další informace získáte klepnutím na následující číslo článku databáze Microsoft Knowledge Base:
      331161, které jeOpravy hotfix nainstalovat před spuštěním příkazu adprep/forestprep v řadiči domény systému Windows 2000 připravit doménovou strukturu a domény pro přidání řadičů domény se systémem Windows Server 2003
      Ve výchozím nastavení nástroje pro správu služby Active Directory v klientských počítačích systém Windows 2000 SP4, Windows XP a Windows Server 2003 používají podepisování Lightweight Directory Access Protocol (LDAP). Pokud tyto počítače (nebo zpět) ověřování NTLM při vzdálené správně řadičů domény Windows 2000, připojení nebude fungovat. Chcete-li tento problém vyřešit, vzdáleně spravovaných řadičích domény by měl mít minimálně nainstalovánu aktualizaci Windows 2000 SP3. V opačném případě byste měli vypnout podepisování protokolu LDAP na klienty, kteří spuštění nástroje pro správu.Další informace o protokolu LDAP získáte naleznete v následujících článcích znalostní báze společnosti Microsoft:
      325465Řadiče domény se systémem Windows 2000 vyžadují aktualizaci Service Pack 3 nebo novější, při použití nástrojů pro správu systému Windows Server 2003
      Ověřování NTLM se používá v následujících situacích:
      • Spravujete řadiče domény systému Windows 2000 umístěné v externí doménové struktuře propojených protokolem NTLM (nikoli Kerberos) vztah důvěryhodnosti.
      • Zaměřte se konzola Microsoft Management Console MMC moduly snap in řadiči domény, který se odkazuje pomocí jeho adresy IP. Například klepněte naStart, klepněte na tlačítkoSpustita potom zadejte následující příkaz:
        DSA.msc/server = Adresa_IP
      Určit operační systém a úroveň aktualizace service pack revize řadiče domény služby Active Directory v doméně služby Active Directory, nainstalujte verzi souboru Repadmin.exe pro systém Windows Server 2003 v členském počítači systém Windows XP Professional nebo Windows Server 2003 v doménové struktuře a potom spusťte následující příkazrepadminpříkaz proti řadičem domény v každé doméně v doménové struktuře:
      > repadmin/showattrnázev řadiče domény, který je v cílové doméněncobj: /filter:"(&(objectCategory=computer)(primaryGroupID=516))" / subtree/atts: operatingSystem, operatingSystemVersion, operatingSystemServicePack

      DN: CN = NA-DC-01, organizační jednotka = řadiče domén, DC = firma, DC = com
      1 > operačního systému: systém Windows Server 2003
      1 > operatingSystem, operatingSystemVersion,: 5.2 (3718)
      DN: CN = NA-DC-02, organizační jednotka = řadiče domén, DC = firma, DC = com

      1 > operačního systému: systém Windows 2000 Server
      1 > operatingSystem, operatingSystemVersion,: 5.0 (2195)
      1 > operatingSystemServicePack: Service Pack 1
      Poznámka:: Atributy řadiče domény neumožňují sledovat instalaci jednotlivých oprav hotfix.
    2. Ověřte konec konec replikace služby Active Directory v doménové struktuře.

      Ověřte, zda každý řadič domény v upgradované doménové struktuře dochází k replikaci všech místně udržovaných názvových kontextů se všemi partnery dle plánu definovaného spojeními sítí nebo objekty připojení. Použijte verzi souboru Repadmin.exe se systému Windows XP nebo systémem Windows Server 2003 členském počítači doménové struktury s těmito argumenty pro systém Windows Server 2003: všechny řadiče domény v doménové struktuře musí replikace služby Active Directory bez chyb a hodnoty ve sloupci "Největší Delta" výstupu příkazu repadmin by neměly být výrazně překračovat frekvenci replikace definovanou odpovídajícími spojeními sítí nebo objekty připojení používané daným cílovým řadičem domény.

      Vyřešte všechny chyby replikace mezi řadiči domény, které selhaly při příchozích změn v čase TSL (Tombstone životnost) počet dnů (ve výchozím nastavení 60 dnů). Pokud replikaci nelze pracovat, budete muset nuceně snížit úroveň řadiče domény a odebrat je z doménové struktury pomocí příkazu NtdsutilVyčištění metadatpříkaz a zvýšit jejich zpět do doménové struktury. Vynucené snížení úrovně lze uložit instalaci operačního systému i programy, které jsou na řadiči domény.Další informace o postupu při odebrání osiřelých řadičů domény se systémem Windows 2000 z domény získáte článku znalostní báze Microsoft Knowledge Base:
      216498Odebrání dat ve službě Active Directory po snížení úrovně řadiče domény neúspěšné
      Tato akce trvat pouze jako poslední možnost obnovení instalace operačního systému a instalovaných programů. Dojde ke ztrátě nereplikovaných objektů a atributů v osiřelých řadičích domény včetně uživatelů, počítačů, vztahů důvěryhodnosti, hesel, skupin a členství ve skupinách.

      Buďte opatrní při řešení chyb replikace u řadičů domény, nedošlo k replikaci příchozích změn pro určitý oddíl služby Active Directory pro větší nežtombstonelifetimepočet dnů. Pokud tak učiníte, objekty, které byly odstraněny na jeden řadič domény, ale pro které partnery přímé nebo tranzitivní replikace přijaty nikdy odstranění se během posledních 60 dnů nerozšířila.

      Zvažte možnost odebrání všech permanentních objektů umístěných na řadičích domény, které neprovádějí příchozí replikace v posledních 60 dnech. Alternativně můžete vynuceném snížení úrovně řadiče domény, které neprovádějí příchozí replikace na daném oddílu v označení objektu jako neplatného počtu dní doby a odebrání jejich zbývajících metadat z doménové struktury služby Active Directory pomocí nástroje Ntdsutil a dalších nástrojů. Obraťte se na poskytovatele podpory nebo oddělení společnosti Microsoft další nápovědu.
    3. Ověřte, zda jsou konzistenci obsahu sdílené položky Sysvol.

      Ověřte, zda je jednotný systém části souboru zásad skupiny. Chcete-li zjistit, zda jsou nekonzistencí zásad v doméně, můžete použít nástroj Gpotool.exe obsažený v sadě Resource Kit. Pomocí programu Healthcheck nástroje podpory systému Windows Server 2003 zjistěte, zda replik sdílené položky Sysvol sady správně v každé doméně.

      Pokud obsah sdílené položky Sysvol nejsou konzistentní, vyřešit všechny nekonzistence.
    4. Pomocí programu Dcdiag.exe z nástrojů podpory ověřte, zda všechny řadiče domény existují sdílené položky Netlogon a SYSVOL. Provedete to tak, zadejte na příkazovém řádku následující příkaz:
      NÁSTROJ DCDIAG.EXE /e /test:frssysvol
    5. Inventarizujte operační role.

      Hlavní operační servery schématu a infrastruktury se používají k zavádění a změn schématu v rozsahu doménové struktury a jednotlivých domén prováděných pomocí systému Windows Server 2003Nástroj Adprepnástroj. Ověřte řadič domény, který je hostitelem serveru schématu a infrastruktury role pro každou doménu v doménové struktuře, které se nacházejí na řadičích domény a že každý vlastník role provedl příchozí replikace všech oddílů od posledního restartu.

      NaNástroj DCDIAG/test: FSMOCHECKpříkaz slouží k zobrazení operační role v doménové struktuře a domény. Role hlavního operačního serveru umístěných na řadičích domény neexistující měly být převzaty do funkční řadič domény pomocí nástroje NTDSUTIL. Role, které jsou umístěny držené nefunkčními řadiči domény by měly být pokud možno převedeny. Jinak by měly být převzaty. NaNETDOM QUERY FSMOpříkaz nerozpozná role FSMO přidělené odstraněným řadičům domény.

      Ověřte, zda hlavním serveru schématu a všech hlavních serverech infrastruktury provedl příchozí replikace služby Active Directory od posledním spuštění. Příchozí replikaci lze ověřit pomocíREPADMIN/SHOWREPSNÁZEV_ŘADIČE_DOMÉNYpříkaz, kdeNÁZEV_ŘADIČE_DOMÉNYje název počítače pro rozhraní NetBIOS nebo úplný název řadiče domény.Další informace o serverech operací a jejich umístění klepněte na tlačítko naleznete v následujících článcích znalostní báze společnosti Microsoft:
      197132Role FSMO Active Directory v systému Windows 2000
      223346FSMO umístění a optimalizace v řadičích domény služby Active Directory
    6. Kontrola protokolů událostí

      Zkontrolujte protokoly událostí na všech řadičích domény problematické události. Protokoly událostí nesmí obsahovat zprávy o závažných událostech indikujících potíže s některým z následujících procesů a součásti:
      fyzická konektivita
      připojení k síti
      registrace názvu
      překlad názvů
      ověřování
      Zásady skupiny
      zásady zabezpečení
      diskový podsystém
      schéma
      topologie
      replikační stroj
    7. Inventář diskového prostoru

      Svazek, který je hostitelem databázového souboru Ntds.dit služby Active Directory musí být volné místo odpovídající alespoň 15–20 % velikosti souboru Ntds.dit. Svazek, který hostí soubor protokolu služby Active Directory musí mít také volné místo odpovídající alespoň 15–20 % velikosti souboru Ntds.dit. Další informace o tom, jak uvolnit další místo na disku naleznete v části "Domény řadiče nedostatkem místa na disku" tohoto článku.
    8. DNS úklidu (volitelné)

      Povolení úklidu zastaralých záznamů DNS každých 7 dní u všech serverů DNS v doménové struktuře. Nejlepších výsledků dosáhnete tuto operaci 61 nebo více dnů před upgradem operačního systému. Tato funkce poskytuje úklidu záznamů DNS démon dostatečný čas k čištění uvolněné paměti shromáždit úklid objektů DNS při provádění defragmentace v režimu offline v souboru Ntds.dit.
    9. Zakažte službu serveru DLT (nepovinné)

      Služba serveru DLT zakázána u nových a upgradovaných instalací řadičů domény se systémem Windows Server 2003. Pokud nepoužíváte distribuované sledování odkazů, můžete zakázat službu serveru DLT v řadičích domény systému Windows 2000 a začít odstraňovat objekty DLT z jednotlivých domén v doménové struktuře. Další informace naleznete v části "Podle doporučení společnosti Microsoft pro distribuované sledování odkazů" v následujícím článku znalostní báze Microsoft Knowledge Base:
      312403Distribuované sledování odkazů na řadičích domény se systémem Windows
    10. Zálohování stavu systému

      Vytvořte alespoň dva řadiče domény zálohu stavu systému v každé doméně v doménové struktuře. Zálohování můžete použít k obnovení všech domén v doménové struktuře se inovace nezdaří.

Microsoft Exchange 2000 v doménových strukturách systému Windows 2000

Poznámky
  • Pokud je nainstalován Exchange 2000 Server nebo budou nainstalovány, v doménové struktuře systému Windows 2000, přečtěte si tuto část před spuštěním systému Windows Server 2003příkaz adprep/forestpreppříkaz.
  • Pokud budou instalovány změny schématu Microsoft Exchange Server 2003, přejděte "Přehled: Upgrade řadičů domény se systémem Windows 2000 na systém Windows Server 2003"část před spuštěním systému Windows Server 2003Nástroj Adpreppříkazy.
Schéma serveru Exchange 2000 definuje třiinetOrgPersonatributy se Request Comment (RFC)-kompatibilními:houseIdentifier,tajemník, alabeledURI.

Windows 2000 inetOrgPerson Kit a Windows Server 2003Nástroj Adpreppříkaz definovat jako RFC-nevyhovující verze verze těchto tří atributů pomocí stejných specifikací.

Pokud systém Windows Server 2003příkaz adprep/forestpreppříkaz spustíte bez opravných skriptů v doménové struktuře obsahující systém Windows 2000 a Exchange 2000 změny schématu, jstehouseIdentifier,labeledURI, atajemníkatributy pozměněny. Atribut stane "pozměněny" "dup" nebo jiné jedinečné znaky, jsou-li přidány na začátek konfliktního názvu atributu tak, aby objektů a atributů v adresáři mít jedinečné názvy.


Doménové struktuře Active Directory nejsou ohroženy pozměnění zobrazovaných názvů LDAP těchto atributů v následujících případech:
  • Při spuštění systému Windows Server 2003příkaz adprep/forestpreppříkaz v doménové struktuře obsahující schéma systému Windows 2000 před přidáním schématu serveru Exchange 2000.
  • Pokud nainstalujete schéma serveru Exchange 2000 v doménové struktuře, která byla vytvořena v případě systému Windows Server 2003 nebyl řadič domény prvního řadiče domény v doménové struktuře.
  • Pokud přidáte sadu Windows 2000 inetOrgPerson Kit do doménové struktury obsahující schéma systému Windows 2000, potom nainstalujete změny schématu serveru Exchange 2000 a potom spusťte systém Windows Server 2003příkaz adprep/forestpreppříkaz.
  • Pokud přidáte schéma serveru Exchange 2000 do existující doménové struktuře systému Windows 2000, spusťte/forestprep serveru Exchange 2003 před spuštěním příkazu adprep/forestprep systému Windows Server 2003.
K pozměnění atributů dojde v systému Windows 2000 v následujících případech:
  • Pokud přidáte verze serveru Exchange 2000labeledURI,houseIdentifieratajemníkatributy do doménové struktury systému Windows 2000 před instalací systému Windows 2000 inetOrgPerson Kit.
  • Přidáte verze serveru Exchange 2000labeledURI,houseIdentifieratajemníkatributy do doménové struktury systému Windows 2000 před spuštěním systému Windows Server 2003příkaz adprep/forestpreppříkaz bez první skripty pro úklid.
Postupujte podle akčních plánů pro jednotlivé scénáře:

Scénář 1: Změny schématu serveru Exchange 2000 jsou přidány po spuštění příkazu adprep/forestprep systému Windows Server 2003

Pokud změny schématu serveru Exchange 2000 budou zavedeny do doménové struktury systému Windows 2000 po systému Windows Server 2003příkaz adprep/forestprepPo spuštění příkazu, je požadována žádná vyčištění. Přejít "Přehled: Upgrade řadičů domény se systémem Windows 2000 na systém Windows Server 2003"části.

Scénář 2: Změny schématu serveru Exchange 2000 budou nainstalovány před použitím příkazu adprep/forestprep systému Windows Server 2003

Pokud změny schématu serveru Exchange 2000 již nainstalovány, ale nebyl spuštěn systém Windows Server 2003příkaz adprep/forestpreppříkaz, zvažte možnost provedení následujícího plánu akcí:
  1. Přihlaste se ke konzole hlavního operačního serveru schémat pomocí účtu, který je členem skupiny zabezpečení Schema Admins.
  2. Klepněte na tlačítkoStart, klepněte na tlačítkoSpustit, typSoubor notepad.exevOtevřítpole a pak klepněte na tlačítkoOK.
  3. Zkopírujte následující text včetně po "schemaUpdateNow: 1" do programu Poznámkový blok.
    DN: CN = ms-Exch-Assistant-Name, CN = Schema, CN = Configuration, DC = X
    changeType: úpravy
    Nahradit: LDAPDisplayName
    LDAPDisplayName: msExchAssistantName
    -

    DN: CN = ms-Exch-LabeledURI, CN = Schema, CN = Configuration, DC = X
    changeType: úpravy
    Nahradit: LDAPDisplayName
    LDAPDisplayName: msExchLabeledURI
    -

    DN: CN = ms-Exch-House-Identifier, CN = Schema, CN = Configuration, DC = X
    changeType: úpravy
    Nahradit: LDAPDisplayName
    LDAPDisplayName: msExchHouseIdentifier
    -

    DN:
    changeType: úpravy
    Přidání: schemaUpdateNow
    schemaUpdateNow: 1
    -
  4. Ověřte, zda je bez mezery na konci každého řádku.
  5. VSoubornabídky, klepněte na tlačítkoUložit. VUložit jakoDialogové okno postupujte takto:
    1. VNázev souborupole, zadejte následující příkaz:
      \%userprofile%\InetOrgPersonPrevent.ldf
    2. VTyp souboruKlepněte na tlačítkoVšechny soubory.
    3. VKódováníKlepněte na tlačítkoKódování Unicode.
    4. Klepněte na tlačítkoUložit.
    5. Ukončete program Poznámkový blok.
  6. Spusťte skript InetOrgPersonPrevent.ldf.
    1. Klepněte na tlačítkoStart, klepněte na tlačítkoSpustit, typcmdvOtevřítpole a pak klepněte na tlačítkoOK.
    2. Na příkazovém řádku zadejte následující příkaz a stiskněte klávesu ENTER:
      CD% userprofile %
    3. Zadejte následující příkaz
      c:\Documents and settings\%username%>ldifde -i -f inetorgpersonprevent.ldf - v - c DC = X "Cesta a název kořenové domény doménové struktury"
      Poznámky k syntaxi:
      • DC = X se rozlišují konstanta.
      • Cesta a název kořenové domény musí být uzavřeny v uvozovkách.
      Příklad syntaxe příkazu pro doménové struktury služby Active Directory je kořenovou doménou VÁLCOVNY.COM by:
      c:\Documents and settings\administrator > ldifde -i -f inetorgpersonprevent.ldf - v - c DC = X "dc = test, dc = cz"
      Poznámka:Budete muset změnit
      Aktualizace schématu povoleny
      podklíč registru, pokud se zobrazí následující chybová zpráva:
      Aktualizace schématu není v tomto řadiči domény, protože klíč registru není nastaven nebo řadič domény není vlastníkem Role FSMO schématu.
      Další informace o změně tohoto podklíče registru získáte článku znalostní báze Microsoft Knowledge Base:
      285172Aktualizace schématu vyžadují přístup k zápisu do schématu ve službě Active Directory
  7. Ověřte, zda jste CN = ms-Exch-Assistant-Name, CN = ms-Exch-LabeledURI a CN = atributy ms-Exch-House-Identifier v názvovém kontextu schématu nyní zobrazují jako msExchAssistantName, msExchLabeledURI a msExchHouseIdentifier, před spuštěním systému Windows Server 2003příkaz adprep/forestpreppříkazy.
  8. Přejít "Přehled: Upgrade řadičů domény se systémem Windows 2000 na systém Windows Server 2003"část spustitpříkaz adprep/forestprepa/ domainpreppříkazy.

Scénář 3: Příkaz forestprep systému Windows Server 2003 byl spuštěn bez předchozího spuštění skriptu inetOrgPersonFix

Při spuštění systému Windows Server 2003příkaz adprep/forestpreppříkaz v doménové struktuře systému Windows 2000 obsahující změny schématu serveru Exchange 2000, atributy LDAPDisplayName atributůhouseIdentifier,tajemník, alabeledURIpozměněny. Identifikace pozměnění názvů, použijte nástroj Ldp.exe k vyhledání ohrožených atributy:
  1. Nainstalujte program Ldp.exe ze složky Support\Tools média systému Microsoft Windows 2000 nebo Windows Server 2003.
  2. Spusťte program Ldp.exe v řadiči domény nebo v členském počítači doménové struktury.
    1. VPřipojenínabídky, klepněte na tlačítkoPřipojení, nechteServerprázdný, zadejte:389vPortpole a pak klepněte na tlačítkoOK.
    2. VPřipojenínabídky, klepněte na tlačítkoBIND, všechna pole ponechte prázdné a klepněte na tlačítkoOK.
  3. Zaznamenat cestu k rozlišujícímu názvu atributu SchemaNamingContext. Například pro řadič domény v CORP.ADATUM.COM doménové struktury, může mít cesta k rozlišujícímu názvu: CN = Schema, CN = Configuration, DC = corp, DC = firma, DC = com.
  4. VProcházetnabídky, klepněte na tlačítkoHledání.
  5. Použijte následující nastavení konfiguraceHledáníDialogové okno:
    • Základní rozlišující název: Cesta k rozlišujícímu názvu pro názvový kontext schématu, které jste zjistili v kroku 3.
    • Filtr: (ldapdisplayname = dup *)
    • Oblast působnosti: Podstrom
  6. PozměněníhouseIdentifier,tajemník, alabeledURIatributy mají atributy LDAPDisplayName atributů, které jsou podobné následujícímu formátu:
    LDAPDisplayName: DUP-labeledURI-9591bbd3-d2a6-4669-afda-48af7c35507d;
    LDAPDisplayName: DUP-secretary-c5a1240d-70c0-455c-9906-a4070602f85f
    LDAPDisplayName: DUP-houseIdentifier-354b0ca8-9b6c-4722-aae7-e66906cc9eef
  7. Pokud jstelabeledURI,tajemník, ahouseIdentifierv kroku 6, obnovte je spuštěním skriptu InetOrgPersonFix.ldf systému Windows Server 2003 obnovit a pak přejděte "Upgrade řadičů domény se systémem Windows 2000 pomocí programu Winnt32.exe"části.
    1. Vytvořte složku s názvem %Systemdrive%\IOP a poté extrahujte soubor InetOrgPersonFix.ldf do této složky.
    2. Na příkazovém řádku zadejte následující příkaz:CD %systémová_jednotka%\iop.
    3. Ze souboru Support.cab umístěného ve složce Support\Tools instalačního média systému Windows Server 2003 extrahujte soubor InetOrgPersonFix.ldf.
    4. Z konzoly hlavního operačního serveru schématu, načtěte opravit pomocí programu Ldifde.exe soubor InetOrgPersonFix.ldfLdapDisplayNameatributhouseIdentifier,tajemník, alabeledURIatributy. Zadejte následující příkaz, kde <x>je konstanta, velká a malá písmena a <dn path="" for="" forest="" root="" domain="">je cesta a název kořenové domény v doménové struktuře:</dn></x>
      C:\IOP>ldifde -i -f inetorgpersonfix.ldf - v - c DC = X "Cesta a název kořenové domény doménové struktury"
      Poznámky k syntaxi:
      • DC = X se rozlišují konstanta.
      • Cesta a název kořenové domény doménové struktury musí být vložen do uvozovek.
  8. Ověřte, zdahouseIdentifier,tajemník, alabeledURIatributy v kontextu názvů schématu není "pozměněny" před instalací serveru Exchange 2000.
Další informace o souvisejícím konfliktu schémat se službami pro systém UNIX verze 2.0 získáte článku znalostní báze Microsoft Knowledge Base:
293783Nelze upgradovat server Windows 2000 na systém Windows Server 2003 se službou Windows Services pro systém UNIX 2.0 nainstalován

Přehled: Upgrade řadičů domény se systémem Windows 2000 na systém Windows Server 2003

Systém Windows Server 2003Nástroj Adpreppříkaz, který lze spustit ze složky \I386 instalačního média systému Windows Server 2003, připraví doménovou strukturu systému Windows 2000 a její domény pro přidání řadičů domény se systémem Windows Server 2003. Systém Windows Server 2003příkaz adprep/forestpreppříkaz přidá následující funkce:
  • Vylepšené výchozí deskriptory zabezpečení pro třídy objektů
  • Nové atributy uživatelů a skupin
  • Nové objekty a atributy schématu, například inetOrgPerson.
NaNástroj AdprepProgram podporuje dva argumenty příkazového řádku:
příkaz adprep/forestprep: Spustí operace upgrade doménové struktury.
příkaz adprep/domainprep: Spustí operace upgradu domény.
Napříkaz adprep/forestpreppříkaz je jednorázovou operaci prováděnou na hlavních operací schématu (FSMO) doménové struktury. NaNástroj ForestPrepPo dokončení operace a replikaci na hlavním serveru infrastruktury ve všech doménách, před spuštěnímpříkaz adprep/domainprepv této doméně.

Napříkaz adprep/domainpreppříkaz představuje jednorázovou operaci spuštěného v řadiči domény hlavního serveru operací infrastruktury ve všech doménách v doménové struktuře, ve kterých budou umístěny nové nebo upgradované řadiče domény systému Windows Server 2003. Napříkaz adprep/domainpreppříkaz ověří, že změny zNástroj ForestPrepreplikovány v doménovém oddílu a potom provádí vlastní změny domény oddílu a zásadách skupiny ve sdílené položce Sysvol.

Lze provést následující akce, pokud/ forestprepa/ domainprepdokončení operace a replikována do všech řadičů domény v dané doméně:
  • Upgrade řadičů domény Windows 2000 na řadiče domény systému Windows Server 2003 pomocí programu Winnt32.exe.

    Poznámka:: Můžete inovovat členské servery systému Windows 2000 a počítače pro členské počítače se systémem Windows Server 2003 můžete kdykoli.
  • Podporovat nové řadiče domény systému Windows Server 2003 do domény pomocí příkazu Dcpromo.exe.
Domény, který je hostitelem hlavního serveru schémat je pouze v doméně je nutné spustit obapříkaz adprep/forestprepapříkaz adprep/domainprep. V ostatních doménách stačí spustitpříkaz adprep/domainprep.

Napříkaz adprep/forestprepapříkaz adprep/domainpreppříkazy přidat atributy do částečné atributů globálního katalogu sady ani nespouští plnou synchronizaci globálního katalogu. Verze RTMpříkaz adprep/domainprepnevyvolá úplnou synchronizaci složky \Policies ve stromu Sysvol. I v případě, že při spuštěníNástroj ForestPrepaNástroj DomainPrepněkolikrát úspěšně dokončené operace provedeny pouze jednou.

Po provedení změn zpříkaz adprep/forestprepapříkaz adprep/domainprepzcela duplikátní upgradem řadičů domény Windows 2000 na systém Windows Server 2003 spuštěním souboru Winnt32.exe ze složky \I386 instalačního média systému Windows Server 2003. Můžete také přidat nové řadiče domény systému Windows Server 2003 do domény pomocí příkazu Dcpromo.exe.

Upgrade doménové struktury pomocí příkazu adprep/forestprep

Chcete-li připravit doménovou strukturu systému Windows 2000 a její domény pro přijetí řadičů domény systému Windows Server 2003, proveďte následující kroky nejprve v testovacím prostředí, poté v provozním prostředí:
  1. Ujistěte se, že dokončení všech operací ve fázi "Doménové struktuře skladu" se zvláštním zřetelem na následující položky:
    1. Vytvoření systému zálohování stavu.
    2. Všechny řadiče domény systému Windows 2000 v doménové struktuře nainstalován příslušné opravy hotfix a aktualizace service Pack.
    3. Konec konec replikace služby Active Directory probíhá v rámci celé doménové struktury
    4. Služba replikace souborů replikuje zásady systému souborů správně v celém rozsahu jednotlivých domén.
  2. Přihlaste se ke konzole hlavního operačního serveru schémat pomocí účtu, který je členem skupiny zabezpečení Schema Admins.
  3. Ověřte, že schématu FSMO provedl příchozí replikaci oddílu schématu zadáním následujícího příkazového řádku systému Windows NT:
    repadmin/showreps
    (repadminje nainstalován ve složce Support\Tools služby Active Directory.)
  4. Starší verze dokumentace společnosti Microsoft doporučuje před spuštěním izolovat hlavní operační server schématu v privátní sítipříkaz adprep/forestprep. Z praktických zkušeností vyplývá, že tento krok není nutný a může způsobit, že hlavního serveru schémat změny schématu odmítnuty při restartování v privátní síti.
  5. SpustitNástroj Adprephlavním operačním serveru schématu. To provedete klepnutím na tlačítkoStart, klepněte na tlačítkoSpustit, typcmda klepněte na tlačítkoOK. Na hlavním operačním serveru schématu zadejte následující příkaz
    X:\I386\příkaz adprep/forestprep
    kdeX:\I386\je cesta k instalačním médiu systému Windows Server 2003. Tento příkaz spustí upgrade schématu doménové struktury.

    Poznámka:Události s ID události ID 1153, které jsou zaznamenány v protokolu událostí adresářové služby, jako je například následující, lze ignorovat:

    Typ události: Chyba
    Zdroj události: NTDS Obecné
    Kategorie události: Interní zpracování
    ID události: 1153
    Datum: DD/MM/RRRR
    Čas: Hh: mm: AM|PM
    Uživatel: Everyone počítač:<some dc=""></some>
    Popis: Identifikátor třídy 655562 (název třídy msWMI-MergeablePolicyTemplate) byla třída neplatná 655560. Dědičnost byla ignorována.

  6. Ověřte, zdapříkaz adprep/forestprepna hlavním operačním serveru schémat příkaz byl úspěšně spuštěn. Chcete-li provést z konzoly hlavního operačního serveru schématu, zkontrolujte následující položky:
    • Napříkaz adprep/forestpreppříkaz byl dokončen bez chyb.
    • CN = Windows2003Update zapsán objekt pod CN = ForestUpdates, CN = Configuration, DC =kořenová_doména_doménové_struktury. Poznamenejte si hodnotu atributu Revision.
    • (Volitelné) Verze schématu zvýšen na verzi 30. V tématu atributu ObjectVersion pro položku CN = Schema, CN = Configuration, DC =kořenová_doména_doménové_struktury.
    Pokudpříkaz adprep/forestprepnelze spustit, zkontrolujte následující položky:
    • Byla uvedena úplná cesta k Adprep.exe je umístěn ve složce \I386 na instalačním médiu přiNástroj Adprepbyl spuštěn. Provedete to tak, zadejte následující příkaz:
      x: \i386\adprep/forestprep
      kdexje jednotka s instalačním médiem.
    • Uživatel přihlášený při spuštěníNástroj Adprepmusí být členem skupiny zabezpečení Schema Admins. To ověříte tak,whoami/allpříkaz.
    • PokudNástroj Adprepstále nefunguje, prohlédněte si soubor Adprep.log ve %systemroot%\System32\Debug\Adprep\Logs\Poslední_protokolsložka.
  7. Pokud jste zakázali v kroku 4 na hlavním operačním serveru schématu odchozí replikaci, povolte tak, aby změny schématu, které byly provedeny podlepříkaz adprep/forestpreplze rozšířit. Chcete-li to provést, postupujte takto:
    1. Klepněte na tlačítkoStart, klepněte na tlačítkoSpustit, typcmda klepněte na tlačítkoOK.
    2. Zadejte následující příkaz a stiskněte klávesu ENTER:
      repadmin/možnosti - DISABLE_OUTBOUND_REPL
  8. Ověřte, zdapříkaz adprep/forestprepzměny byly replikovány na všechny řadiče domény v doménové struktuře. Je užitečné sledovat následující atributy:
    1. Stovce verze schématu
    2. CN = Windows2003Update, CN = ForestUpdates, CN = Configuration, DC =kořenová_doména_doménové_strukturynebo CN = Operations, CN = DomainUpdates, CN = System, DC =kořenová_doména_doménové_strukturya operace GUID pod ním replikovány v.
    3. Hledat nové třídy schématu, objekty, atributy a další změnypříkaz adprep/forestprepPřidá, například inetOrgPerson. Zobrazit SchXX(kde soubory LDFXXje číslo od 14 do 30) %systemroot%\System32 složky určit, které objekty a atributy by měla být v. InetOrgPerson je například definována v souboru Sch18.ldf.
  9. Vyhledejte pozměnění zobrazovaných názvů LDAP.

    Pokud byl nainstalován server Exchange 2000 před spuštěním systému Windows Server 2003příkaz adprep/forestpreppříkazu, získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
    314649Příkaz adprep/forestprep systému Windows Server 2003 způsobuje pozměnění atributů v doménových strukturách Windows 2000 obsahujících servery Exchange 2000
    Pokud naleznete pozměněné názvy, přejděte na scénář 3 téhož článku.
  10. Přihlaste se ke konzole hlavního serveru schémat pomocí účtu, který je členem skupiny zabezpečení skupiny Schema Admins v doménové struktuře, který je hostitelem hlavního serveru schémat.

Upgrade domény pomocí příkazu adprep/domainprep

Spustitpříkaz adprep/domainpreppoté, co/ forestprepřadič domény hlavního serveru infrastruktury ve všech doménách, kde budou umístěny řadiče domény systému Windows Server 2003 úplné replikaci změn. Chcete-li tak učinit, postupujte takto:
  1. Určit řadič domény hlavního serveru infrastruktury v doméně upgradujete a poté se přihlaste pod účtem, který je členem skupiny zabezpečení Domain Admins v upgradované doméně.

    Poznámka:: Na enterprise Administrators nemusí být členem skupiny zabezpečení Domain Admins v podřízených doménách doménové struktury.
  2. Spustitpříkaz adprep/domainprepna hlavním serveru infrastruktury. Chcete-li tak učinit, klepněte na tlačítko Start, na příkaz spustit, zadejtecmda hlavního serveru infrastruktury zadejte následující příkaz:
    X:\I386\adprep/domainprep
    kde X:\I386\ je cesta na instalačním médiu systému Windows Server 2003. Tento příkaz spustí změny na úrovni domény v cílové doméně.

    Poznámka:: Napříkaz adprep/domainpreppříkaz změní oprávnění u souborů ve sdílené položce Sysvol. Tyto změny vyvolají úplnou synchronizaci souborů v tomto adresářovém stromu.
  3. Ověřte, zdaNástroj DomainPrepbyla úspěšně dokončena. Chcete-li tak učinit, zkontrolujte následující položky:
    • Napříkaz adprep/domainpreppříkaz byl dokončen bez chyb.
    • CN = Windows2003Update, CN = DomainUpdates, CN = System, DC =Cesta a upgradované doményexistuje
    Pokudpříkaz adprep/domainprepnelze spustit, zkontrolujte následující položky:
    • Uživatel přihlášený při spuštěníNástroj Adprepmá být členem skupiny zabezpečení Domain Admins v upgradované doméně. To provedete pomocíwhoami/allpříkaz.
    • Při které byla uvedena úplná cesta k souboru Adprep.exe umístěnému ve složce \I386 na instalačním médiuNástroj Adprep. To provedete v příkazovém řádku zadejte následující příkaz:
      x: \i386\adprep/forestprep
      kdexje jednotka s instalačním médiem.
    • PokudNástroj Adprepstále nefunguje, prohlédněte si soubor Adprep.log ve %systemroot%\System32\Debug\Adprep\Logs\Poslední_protokolsložka.
  4. Ověřte, zdapříkaz adprep/domainprepzměny replikovány. Chcete-li provést u zbývajících řadičů domény v doméně, zkontrolujte následující položky:
    • CN = Windows2003Update, CN = DomainUpdates, CN = System, DC =Cesta a upgradované doményobjekt existuje a hodnota atributu Revision se shoduje s hodnotou stejného atributu u hlavního serveru infrastruktury v doméně.
    • (Volitelné) Vyhledejte objekty, které změní atributy nebo seznam řízení přístupu (ACL)příkaz adprep/domainprepPřidat.
    Opakujte kroky 1 až 4 na hlavním serveru infrastruktury v ostatních doménách, a to hromadně nebo průběžně při přidání nebo inovaci řadiče domény v doménách systému Windows Server 2003. Nyní můžete povýšit nové počítače se systémem Windows Server 2003 do doménové struktury pomocí příkazu DCPROMO. Nebo můžete upgradovat existující řadiče domény systému Windows 2000 na systém Windows Server 2003 pomocí příkazu WINNT32.SOUBOR EXE.

Upgrade řadičů domény se systémem Windows 2000 pomocí programu Winnt32.exe

Po provedení změn z/ forestprepa/ domainprepkompletně replikovat a provedení rozhodnutí o provázání zabezpečení s klienty starších verzí, můžete upgradovat řadiče domény systému Windows 2000 na systém Windows Server 2003 a přidávat do domény nové řadiče domény systému Windows Server 2003.

Mezi prvním řadiči domény se systémem Windows Server 2003 v každé doméně doménové struktury musí být následující počítače:
  • Domain naming master v doménové struktuře tak, že umožní vytváření výchozích programových oddílů DNS.
  • Primární řadič kořenové domény doménové struktury tak, aby zaregistrované objekty zabezpečení tohoto systému Windows Server 2003Nástroj ForestPrepPřidá budou zobrazeny v editoru ACL.
  • Primární řadič domény v každé doméně nekořenové tak, aby nové Windows 2003 specifické pro domény můžete vytvářet zaregistrované objekty zabezpečení.
To provedete pomocí programu WINNT32 upgradovat existující řadiče domény, které jsou hostiteli požadovanými operačními rolemi. Nebo roli do nově povýšené řadiče domény systému Windows Server 2003. Pro každý řadič domény systému Windows 2000, který upgradujete na systém Windows Server 2003 pomocí programu WINNT32 a pro všechny pracovní skupiny systému Windows Server 2003 nebo v členském počítači, které povyšujete, proveďte následující kroky:
  1. Před inovací řadiče domény a členské počítače se systémem Windows 2000 pomocí programu WINNT32 odeberte nástroje pro správu systému Windows 2000. To provedete pomocí nástroje Přidat nebo odebrat programy v Ovládacích panelech. (Systém Windows 2000 pouze při upgradu ze.)
  2. Nainstalujte všechny soubory oprav hotfix nebo jiné opravy, které společnost Microsoft nebo správce označí za důležité.
  3. Zkontrolujte, zda každý řadič domény možné problémy s upgradem. Provedete to tak, spusťte následující příkaz ze složky \I386 na instalačním médiu:
    Winnt32.exe/checkupgradeonly
    Vyřešte všechny problémy, které odhalí kontrola kompatibility.
  4. Příkaz WINNT32 spustit.EXE ze složky \I386 na instalačním médiu a restartování 2003 upgradované řadiče domény.
  5. Nižší nastavení zabezpečení pro starší verze klientů podle potřeby.

    Klienti systému Windows NT 4.0 nemají NT 4.0 SP6 nebo klienti systému Windows 95 nemají nainstalovaného klienta adresářových služeb, zakažte podepisování služby SMB ve výchozích zásadách řadičů domény v organizační jednotce řadičů domény a potom připojit tuto zásadu ke všem organizačním jednotkám tohoto hostitelského řadiče domény.
    Počítač Konfigurace počítače\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti Zabezpečení\server sítě: Vždy digitálně podepsat komunikaci)
  6. Ověřte správné provedení upgradu pomocí následujících bodů:
    • Inovace byla úspěšně dokončena.
    • Opravy hotfix, které jste přidali k instalaci úspěšně nahradit původní binární soubory.
    • Probíhat příchozí a odchozí replikace služby Active Directory pro všechny kontexty názvů udržované řadičem domény.
    • Existují sdílené položky Netlogon a Sysvol.
    • Protokol událostí indikuje, že jsou zdravé řadiče domény a jeho služeb.

      Poznámka:: Po upgradu můžete obdržet následující zprávy o události:

      Typ události: Chyba
      Zdroj události: Zálohování NTDS
      Kategorie události: zálohování
      ID události: 1913
      Datum:Datum
      Čas: HH:MM:SSAM|PM
      Uživatel: není k dispozici
      Počítač:název_počítače
      Popis: Vnitřní chyba: zálohování služby Active Directory a operace obnovení došlo k neočekávané chybě. Zálohování nebo obnovení se nezdaří, dokud tato je opraven.

      Tuto zprávu o události můžete ignorovat.
  7. Nainstalujte nástroje pro správu systému Windows Server 2003 (při upgradu ze systému Windows 2000 a Windows Server 2003 pouze pro řadiče domény). Soubor Adminpak.msi je v \I386 složky média systému Windows Server 2003 CD-ROM. systému Windows Server 2003 obsahuje aktualizované nástroje podpory v souboru Support\Tools\Suptools.msi. Ujistěte se, že tento soubor přeinstalovat.
  8. Vytvořte nové zálohy alespoň prvních dvou řadičů domény Windows 2000, které jste upgradovali na systém Windows Server 2003 v každé doméně v doménové struktuře. Vyhledejte původní zálohy počítačů systém Windows 2000, které jste upgradovali systému Windows Server 2003 do uzamčeného úložiště, abyste je nechtěně nepoužili k obnovení řadiče domény, které nyní používají systém Windows Server 2003.
  9. (Volitelné) Provedení defragmentace databáze Active Directory v režimu offline v řadičích domény, které jste upgradovali na systém Windows Server 2003 po dokončení ukládání jediné instance (SIS) (pouze při upgradu ze systému Windows 2000).

    SIS zkontroluje stávající oprávnění pro objekty uložené v adresáři služby Active Directory a poté pro tyto objekty použije efektivnější popisovače zabezpečení. SIS se automaticky spustí (označených událost 1953 v protokolu událostí adresářové služby) při upgradovaných řadičích domény prvním spuštění operačního systému Windows Server 2003. Výhody vylepšených popisovačů zabezpečení využijete jen tehdy zprávu o události ID 1966 událostí v protokolu událostí adresářové služby:

    Typ události: informace
    Zdroj události: NTDS SDPROP
    Kategorie události: Interní zpracování
    ID události: 1966
    Datum: DD/MM/RRRR
    Čas: Hh: mm: AM|PM
    Uživatel: NT Authority\Anonymous se přihlášení
    Počítač:<computername></computername>
    Popis: Šiřitel popisovače zabezpečení dokončil úplné předání šíření.
    Přidělený prostor (MB):
    XX volného místa (MB): XX

    To může zvýšit volného místa v databázi služby Active Directory.
    Akce uživatele: Defragmentováním databáze v režimu offline k opětovnému získání místa mohou být k dispozici v databázi služby Active Directory. Další informace naleznete v tématu nápovědy a odborné pomoci na adrese http://support.microsoft.com.

    Tuto zprávu o události označuje, že operace byla dokončena a slouží jako vyzývá správce k provedení defragmentace v režimu offline pomocí nástroje NTDSUTIL souboru Ntds.dit.SOUBOR EXE.

    Defragmentace v režimu offline velikosti souboru Ntds.dit systému Windows 2000 zmenšit až o 40 %, zlepší výkon služby Active Directory a databázi zefektivní uložení atributů Link Valued na stránkách.Další informace o postupu při defragmentaci Active Directory databáze, klepněte na následující číslo článku databáze Microsoft Knowledge Base:
    232122Provedení defragmentace databáze Active Directory v režimu offline
  10. Prověřte službu serveru DLT. Řadiče domény systému Windows Server 2003 zakázat službu serveru DLT na čerstvé a upgradů. Klienti systému Windows 2000 nebo Windows XP ve vaší organizaci používat službu serveru DLT, povolte službu serveru DLT na nové nebo upgradované řadiče domény systému Windows Server 2003 pomocí Zásady skupiny. V ostatních případech proveďte kaskádové odstranění objektů distribuovaného sledování odkazů ze služby Active Directory.Další informace získáte klepnutím na tlačítko naleznete v následujících článcích znalostní báze společnosti Microsoft:
    312403Distribuované sledování odkazů na řadičích domény se systémem Windows
    315229Textová verze souboru Dltpurge.vbs pro článek databáze Microsoft Knowledge Base č. 312403
    Hromadné odstranění tisíců objektů DLT nebo jiných objektů, může zablokovat replikaci z důvodu nedostatku místa pro uložení verzí. Čekánítombstonelifetimepočet dnů (ve výchozím nastavení 60 dnů) od odstranění posledního objektu DLT a uvolněné pro dokončení, pak pomocí nástroje NTDSUTIL.EXE k provedení defragmentace souboru Ntds.dit v režimu offline.
  11. Nakonfigurujte struktury organizačních jednotek podle doporučených postupů. Společnost Microsoft doporučuje, aby správci aktivně zavádění struktury organizačních jednotek podle doporučených postupů ve všech doménách služby Active Directory a po upgradu nebo implementaci řadičů domény systému Windows Server 2003 v režimu domény systému Windows budou výchozí kontejnery, které staršími verzemi rozhraní API k vytváření uživatelů, počítačů a skupin na kontejner organizační jednotky určený správcem přesměrovány.

    Další informace o struktury organizačních jednotek podle doporučených postupů zobrazení v části "Vytváření organizační jednotka návrhu" v dokumentu white paper "Nejlepší praxe Active Directory Design for Managing Windows Networks". Chcete-li zobrazit dokument white paper, navštivte následující Web společnosti Microsoft:
    http://technet.microsoft.com/en-us/library/bb727085.aspx
    Další informace o změně výchozího kontejneru, kde jsou umístěny uživatelů, počítačů a skupin vytvořené staršími verzemi rozhraní API získáte článku znalostní báze Microsoft Knowledge Base:
    324949Přesměrování uživatelů a počítačů, kontejnerů v doménách systému Windows Server 2003
  12. Kroky 1 až 10 podle potřeby opakujte pro všechny nové nebo upgradované systému Windows Server 2003 řadiče domény v doménové struktuře a krok 11 (struktura organizační jednotky doporučených postupů) pro všechny domény služby Active Directory.

    Shrnutí:
    • Upgrade řadičů domény systému Windows 2000 pomocí programu WINNT32 (z zahrnutými opravami instalačního média, je-li použit)
    • Ověřte že v upgradovaných počítačů nainstalovány soubory oprav hotfix.
    • Nainstalujte všechny potřebné opravy hotfix nejsou obsaženy na instalačním médiu
    • Ověřte stav nových nebo upgradovaných serverů (AD, FRS, zásady atd.)
    • Po uplynutí 24 hodin po upgradu operačního systému pak defragmentaci v režimu offline (nepovinné)
    • Spusťte službu DLT, je-li třeba, jinak odstraňte objekty DLT pomocí / q315229 zaúčtování domainpreps celé doménové struktury
    • Provést defragmentaci v režimu offline 60 + dny (životnost a odpadků kolekce tombstone lifetime) po odstranění objektů DLT

Test upgradu ve zkušebním prostředí

Před zahájením inovace řadičů domény se systémem Windows k doméně výrobního systému Windows 2000, ověřte a optimalizujte postup upgradu v testovacím prostředí. Jestliže upgradu ve zkušebním prostředí, které věrně odráží doménovou strukturu provádí plynule, lze očekávat podobný průběh v provozním prostředí. Ve složitých prostředích musí prostředí laboratoře zrcadlit výrobní prostředí v následujících oblastech:
  • Hardware: typ počítače, velikost paměti, umístění souboru stránky, velikost disku, výkonu a konfigurace raid, BIOS a úroveň revize firmwaru
  • Software: klient a server provozující verze systémů, klientské a serverové aplikace, verze aktualizací service pack, opravy hotfix, změny schématu, skupiny zabezpečení, členství ve skupinách, oprávnění, nastavení zásad objektu počet, typ a umístění, funkční provázání verzí.
  • Síťová infrastruktura: Rychlosti připojení služby WINS, DHCP, dostupné šířky pásma
  • Zatížení: Simulátory zatížení můžete simulovat změny hesla, vytvoření objektu, služby Active Directory replication, ověření při přihlášení a dalších událostech. Cílem je reprodukovat měřítko pracovního prostředí. Místo toho cíle jsou odhalit náklady a četnost běžných operací a promítnout jejich účinky (dotazy na názvy, replikací, šířka pásma sítě a spotřebu procesoru) v provozním prostředí na základě současné a budoucí požadavky.
  • Správa: úkoly prováděné, nástroje, používané operační systémy.
  • Operace: kapacita, spolupráce
  • Místo na disku: Poznámka: počáteční, nejvyšší a koncovou velikost operačního systému, souboru Ntds.dit a služby Active Directory souborů protokolu v globálním katalogu a řadičích domény bez globálního katalogu v každé doméně po každé z následujících operací:
    1. příkaz adprep/forestprep
    2. příkaz adprep/domainprep
    3. Upgrade řadičů domény se systémem Windows 2000 na systém Windows Server 2003
    4. Provedení defragmentace v režimu offline po upgradu verze
Porozumění procesu upgradu a složitosti prostředí spolu s detailním pozorováním určuje rychlost a rozsah péče, které můžete použít k upgradu provozních prostředí. Prostředí s malým počtem řadičů domény a objektů služby Active Directory připojen přes vysokou dostupnost sítí (WAN) upgrade pouze několik hodin. Může být opatrnější prostředí podnikových implementací se stovkami řadičů domény nebo stovky tisíc objektů služby Active Directory. V takových případech můžete chtít provést inovaci v průběhu několika týdnů či měsíců.

Pomocí "Test" inovace laboratoře provádět následující úkoly:
  • Porozumění procesu upgradu a se souvisejícími riziky do vnitřního chodu.
  • Vyhodnoťte potenciální problémové oblasti procesu nasazení v daném prostředí.
  • Vypracujte a otestujte plány zpětného přechodu pro případ neúspěšného upgradu.
  • Definujte odpovídající úroveň detailů procesu upgradu v provozním.

Řadiče domény bez dostatečného místa na disku

U řadičů domény s nedostatkem místa uvolněte další místo na disku ve svazku hostící soubor Ntds.dit a soubory protokolu pomocí následujících kroků:
  1. Odstraňte nepoužívané soubory včetně souborů TMP a souborů uložených v mezipaměti internetových prohlížečů soubory. Zadejte následující příkazy (za každým příkazem stiskněte klávesu ENTER):
    CD /djednotka\
    DEL *.tmp /s
  2. Odstraňte všechny uživatele nebo soubory s výpisem stavu paměti. Zadejte následující příkazy (za každým příkazem stiskněte klávesu ENTER):
    CD /djednotka\
    DEL *.dmp /s
  3. Dočasně odeberte nebo přemístěte soubory, které lze získat přístup z jiných serverů a snadno přeinstalovat. Soubory, které můžete odebrat a snadno nahradit patří sada ADMINPAK, podpůrné nástroje a všechny soubory ve složce % systemroot%\System32\Dllcache.
  4. Odstranit staré nebo nepoužívané uživatelské profily. To provedete klepnutím na tlačítkoStart, klepněte pravým tlačítkem myšiMůj počítač, klepněte na tlačítkoVlastnosti, klepněteUživatelské profilykartu a potom odstraňte všechny profily starých a nepoužívaných účtů. Neodstraňujte profily, které mohou být pro účty služeb.
  5. Odstraňte symboly ve složce % systemroot%\Symbols. Provedete to tak, zadejte následující příkaz:
    RD /s %systemroot%\symbols
    V závislosti na tom, zda servery sady symbolů můžete získat přibližně 70 až 600 MB.
  6. Proveďte defragmentaci v režimu offline. Defragmentace souboru Ntds.dit v režimu offline může uvolnit místo, ale vyžaduje dočasně dvojité místo aktuálního souboru DIT. Provedení defragmentace v režimu offline pomocí jiné místní svazky, pokud je k dispozici. Nebo použít místo na nejlepší server sítě připojené k provedení defragmentace v režimu offline. Pokud je stále není dostatek místa na disku, kaskádové odstranění nepotřebných uživatelských účtů, účtů počítačů, záznamů DNS a objektů DLT z adresáře Active Directory.

    Poznámka:: Služba active Directory neodstraní objekty z databáze, dokudtombstonelifetimepočet dnů (ve výchozím nastavení 60 dnů) prošly a dokončí uvolnění paměti. Pokud snížítetombstonelifetimehodnota nižší než konec konec replikace doménové struktury může způsobit nekonzistence ve službě Active Directory.

Odkazy

Další informace získáte klepnutím na následující číslo článku databáze Microsoft Knowledge Base:
821076Soubory nápovědy systému Windows Server 2003 obsahují nesprávné informace o způsobu aktualizace domény systému Windows 2000

Vlastnosti

ID článku: 325379 - Poslední aktualizace: 23. února 2011 - Revize: 0.1
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Exchange 2000 Server Standard Edition
  • Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Datacenter x64 Edition
  • Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003 R2 Standard x64 Edition
Klíčová slova: 
kbinfo kbmt KB325379 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:325379

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com