Actualización de controladores de dominio de Windows 2000 a Windows Server 2003

En este artículo se describe cómo actualizar los controladores de dominio de Microsoft Windows 2000 a Windows Server 2003 y cómo agregar nuevos controladores de dominio de Windows Server 2003 a dominios de Windows 2000.

Se aplica a: Windows Server 2012 R2
Número de KB original: 325379

Resumen

En este artículo se describe cómo actualizar los controladores de dominio de Microsoft Windows 2000 a Windows Server 2003 y cómo agregar nuevos controladores de dominio de Windows Server 2003 a dominios de Windows 2000. Para obtener más información sobre cómo actualizar controladores de dominio a Windows Server 2008 o Windows Server 2008 R2, visite el siguiente sitio web de Microsoft:

Actualizar controladores de dominio: Soporte técnico de Microsoft inicio rápido para agregar controladores de dominio de Windows Server 2008 o Windows Server 2008 R2 a dominios existentes

Inventario de dominios y bosques

Antes de actualizar los controladores de dominio de Windows 2000 a Windows Server 2003 o antes de agregar nuevos controladores de dominio de Windows Server 2003 a un dominio de Windows 2000, siga estos pasos:

  1. Haga un inventario de los clientes que acceden a los recursos del dominio que hospedan controladores de dominio de Windows Server 2003 para obtener compatibilidad con la firma SMB:

    Cada controlador de dominio de Windows Server 2003 habilita la firma SMB en su directiva de seguridad local. Asegúrese de que todos los clientes de red que usan el protocolo SMB/CIFS para acceder a archivos compartidos e impresoras en dominios que hospedan controladores de dominio de Windows Server 2003 se pueden configurar o actualizar para admitir la firma SMB. Si no pueden, deshabilite temporalmente la firma SMB hasta que se puedan instalar las actualizaciones o hasta que los clientes se puedan actualizar a sistemas operativos más recientes que admitan la firma SMB. Para obtener información sobre cómo deshabilitar la firma SMB, consulte la sección Para deshabilitar la firma SMB al final de este paso.

    Planes de acción

    En la lista siguiente se muestran los planes de acción para clientes SMB populares:

    • Microsoft Windows Server 2003, Microsoft Windows XP Professional, Microsoft Windows 2000 Server, Microsoft Windows 2000 Professional y Microsoft Windows 98

      No se requiere ninguna acción.

    • Microsoft Windows NT 4.0 Instalar Service Pack 3 o posterior (se recomienda Service Pack 6A) en todos los equipos basados en Windows NT 4.0 que tienen acceso a dominios que contienen equipos basados en Windows Server 2003. En su lugar, deshabilite temporalmente la firma SMB en controladores de dominio de Windows Server 2003. Para obtener información sobre cómo deshabilitar la firma SMB, consulte la sección Para deshabilitar la firma SMB al final de este paso.

    • Microsoft Windows 95

      Instale el cliente de servicio de directorio de Windows 9 x en los equipos basados en Windows 95 o deshabilite temporalmente la firma SMB en controladores de dominio de Windows Server 2003. El cliente de servicio de directorio win9 x original está disponible en el CD-ROM de Windows 2000 Server. Sin embargo, ese complemento de cliente se ha reemplazado por un cliente de servicio de directorio win9 x mejorado. Para obtener información sobre cómo deshabilitar la firma SMB, consulte la sección Para deshabilitar la firma SMB al final de este paso.

    • Cliente de red de Microsoft para clientes MS-DOS y Microsoft LAN Manager

      El cliente de red de Microsoft para MS-DOS y el cliente de red de Microsoft LAN Manager 2.x se pueden usar para proporcionar acceso a los recursos de red, o bien se pueden combinar con un disquete de arranque para copiar archivos del sistema operativo y otros archivos de un directorio compartido en un servidor de archivos como parte de una rutina de instalación de software. Estos clientes no admiten la firma SMB. Use un método de instalación alternativo o deshabilite la firma SMB. Para obtener información sobre cómo deshabilitar la firma SMB, consulte la sección Para deshabilitar la firma SMB al final de este paso.

    • Clientes de Macintosh

      Algunos clientes macintosh no son compatibles con la firma SMB y recibirán el siguiente mensaje de error cuando intenten conectarse a un recurso de red:

      - Error -36 E/S

      Instale el software actualizado si está disponible. De lo contrario, deshabilite la firma SMB en controladores de dominio de Windows Server 2003. Para obtener información sobre cómo deshabilitar la firma SMB, consulte la sección Para deshabilitar la firma SMB al final de este paso.

    • Otros clientes SMB de terceros

      Algunos clientes SMB de terceros no admiten la firma SMB. Consulte al proveedor smb para ver si existe una versión actualizada. De lo contrario, deshabilite la firma SMB en controladores de dominio de Windows Server 2003.

    Para deshabilitar la firma SMB

    Si las actualizaciones de software no se pueden instalar en controladores de dominio afectados que ejecutan Windows 95, Windows NT 4.0 u otros clientes que se instalaron antes de la introducción de Windows Server 2003, deshabilite temporalmente los requisitos de firma del servicio SMB en directiva de grupo hasta que pueda implementar software cliente actualizado.

    Puede deshabilitar la firma de servicio SMB en el nodo siguiente de la directiva Controladores de dominio predeterminados en la unidad organizativa de controladores de dominio: Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad\Microsoft Network Server:

    Firmar digitalmente las comunicaciones (siempre)

    Si los controladores de dominio no se encuentran en la unidad organizativa del controlador de dominio, debe vincular el objeto de directiva de grupo (GPO) del controlador de dominio predeterminado a todas las unidades organizativas que hospedan controladores de dominio de Windows 2000 o Windows Server 2003. O bien, puede configurar el inicio de sesión del servicio SMB en un GPO vinculado a esas unidades organizativas.

  2. Haga un inventario de los controladores de dominio que están en el dominio y en el bosque:

    1. Asegúrese de que todos los controladores de dominio de Windows 2000 del bosque han instalado todas las revisiones y service packs adecuados.

      Microsoft recomienda que todos los controladores de dominio de Windows 2000 ejecuten los sistemas operativos Windows 2000 Service Pack 4 (SP4) o versiones posteriores. Si no puedes implementar completamente Windows 2000 SP4 o posterior, todos los controladores de dominio de Windows 2000 deben tener un archivo Ntdsa.dll cuya marca de fecha y versión sean posteriores al 4 de junio de 2001 y a la versión 5.0.2195.3673.

      De forma predeterminada, las herramientas administrativas de Active Directory en los equipos cliente de Windows 2000 SP4, Windows XP y Windows Server 2003 usan la firma del Protocolo ligero de acceso a directorios (LDAP). Si estos equipos usan (o vuelven a) la autenticación NTLM cuando administran de forma remota controladores de dominio de Windows 2000, la conexión no funcionará. Para resolver este comportamiento, los controladores de dominio administrados de forma remota deben tener instalado un mínimo de Windows 2000 SP3. De lo contrario, debe desactivar la firma LDAP en los clientes que ejecutan las herramientas de administración.

      En los escenarios siguientes se usa la autenticación NTLM:

      • Los controladores de dominio de Windows 2000 se administran en un bosque externo conectado por una confianza NTLM (no Kerberos).
      • Los complementos de Microsoft Management Console (MMC) se centran en un controlador de dominio específico al que hace referencia su dirección IP. Por ejemplo, haga clic en Inicio, en Ejecutar y, a continuación, escriba el siguiente comando: dsa.msc /server=ipaddress

      Para determinar el sistema operativo y el nivel de revisión del Service Pack de los controladores de dominio de Active Directory en un dominio de Active Directory, instale la versión de Windows Server 2003 de Repadmin.exe en un equipo miembro de Windows XP Professional o Windows Server 2003 en el bosque y, a continuación, ejecute el siguiente repadmin comando en un controlador de dominio en cada dominio del bosque:

      >repadmin /showattr <name of the domain controller that is in the target domain> ncobj:domain: /filter:"(&(objectCategory=computer)(primaryGroupID=516))" /subtree /atts:operatingSystem,operatingSystemVersion,operatingSystemServicePack
      
      DN: CN=NA-DC-01,organizational unit=Domain Controllers,DC=company,DC=com
       1> operatingSystem: Windows Server 2003
       1> operatingSystemVersion: 5.2 (3718)
      DN: CN=NA-DC-02,organizational unit=Domain Controllers,DC=company,DC=com
       1> operatingSystem: Windows 2000 Server
       1> operatingSystemVersion: 5.0 (2195)
       1> operatingSystemServicePack: Service Pack 1
      

      Nota:

      Los atributos del controlador de dominio no realizan un seguimiento de la instalación de revisiones individuales.

    2. Compruebe la replicación de Active Directory de un extremo a otro en todo el bosque.

      Compruebe que cada controlador de dominio del bosque actualizado replica todos sus contextos de nomenclatura mantenidos localmente con sus asociados de forma coherente con la programación que definen los vínculos de sitio o los objetos de conexión. Use la versión de Windows Server 2003 de Repadmin.exe en un equipo miembro basado en Windows XP o Windows Server 2003 en el bosque con los argumentos siguientes: Todos los controladores de dominio del bosque deben replicar Active Directory sin errores y los valores de la columna "Delta más grande" de la salida de repadmin no deben ser significativamente mayores que la frecuencia de replicación en los vínculos de sitio correspondientes u objetos de conexión que usa un dominio de destino determinado. Controlador.

      Resuelva todos los errores de replicación entre controladores de dominio que no se han podido replicar de entrada en menos de un número de días de duración de Tombstone (TSL) (de forma predeterminada, 60 días). Si la replicación no se puede realizar para funcionar, es posible que tenga que degradar por la fuerza los controladores de dominio y quitarlos del bosque mediante el comando de limpieza de metadatos Ntdsutil y, a continuación, promoverlos de nuevo al bosque. Puede usar una disminución forzada para guardar tanto la instalación del sistema operativo como los programas que se encuentran en un controlador de dominio huérfano. Para obtener más información sobre cómo quitar controladores de dominio huérfanos de Windows 2000 de su dominio, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

      216498 Eliminación de datos en Active Directory después de una degradación del controlador de dominio incorrecta

      Realice esta acción solo como último recurso para recuperar la instalación del sistema operativo y los programas instalados. Perderá objetos y atributos no replicados en controladores de dominio huérfanos, incluidos usuarios, equipos, relaciones de confianza, sus contraseñas, grupos y pertenencias a grupos.

      Tenga cuidado al intentar resolver errores de replicación en controladores de dominio que no han replicado los cambios entrantes para una partición de Active Directory determinada durante un número mayor que tombstonelifetime de días. Al hacerlo, puede reanimar objetos que se eliminaron en un controlador de dominio, pero para los que los asociados de replicación directa o transitiva nunca recibieron la eliminación en los 60 días anteriores.

      Considere la posibilidad de quitar los objetos persistentes que residan en controladores de dominio que no hayan realizado la replicación entrante en los últimos 60 días. Como alternativa, puede degradar por fuerza los controladores de dominio que no han realizado ninguna replicación entrante en una partición determinada en el número de días de duración del lápiz y quitar los metadatos restantes del bosque de Active Directory mediante Ntdsutil y otras utilidades. Póngase en contacto con su proveedor de soporte técnico o con Microsoft PSS para obtener ayuda adicional.

    3. Compruebe que el contenido del recurso compartido sysvol es coherente.

      Compruebe que la parte del sistema de archivos de la directiva de grupo es coherente. Puede usar Gpotool.exe del kit de recursos para determinar si hay incoherencias en las directivas en un dominio. Use Healthcheck de las herramientas de soporte técnico de Windows Server 2003 para determinar si los conjuntos de réplicas de recursos compartidos de Sysvol funcionan correctamente en cada dominio.

      Si el contenido del recurso compartido sysvol es incoherente, resuelva todas las incoherencias.

    4. Use Dcdiag.exe de las herramientas de soporte técnico para comprobar que todos los controladores de dominio han compartido recursos compartidos de Netlogon y Sysvol. Para ello, escriba el siguiente comando en un símbolo del sistema:

      DCDIAG.EXE /e /test:frssysvol
      
    5. Inventario de los roles de operaciones.

      Los maestros de operaciones de esquema e infraestructura se usan para introducir cambios en el bosque y en el esquema de todo el dominio en el bosque y sus dominios realizados por la utilidad adprep de Windows Server 2003. Compruebe que el controlador de dominio que hospeda el rol de esquema y el rol de infraestructura para cada dominio del bosque resida en controladores de dominio activos y que cada propietario de rol ha realizado la replicación entrante en todas las particiones desde que se reiniciaron por última vez.

      El DCDIAG /test:FSMOCHECK comando se puede usar para ver los roles operativos en todo el bosque y en todo el dominio. Los roles maestros de operaciones que residen en controladores de dominio inexistentes se deben tomar en un controlador de dominio correcto mediante NTDSUTIL. Los roles que residen en controladores de dominio incorrectos deben transferirse si es posible. De lo contrario, deben ser incautados. El NETDOM QUERY FSMO comando no identifica los roles FSMO que residen en controladores de dominio eliminados.

      Compruebe que ha realizado la replicación entrante de Active Directory desde el último arranque. La replicación entrante se puede comprobar mediante el REPADMIN /SHOWREPS DCNAME comando , donde DCNAME es el nombre de equipo netBIOS o el nombre completo del equipo de un controlador de dominio. Para obtener más información sobre los maestros de operaciones y su ubicación, haga clic en los números de artículo siguientes para ver los artículos de Microsoft Knowledge Base:

      197132 roles FSMO de Windows 2000 Active Directory

      223346 colocación y optimización de FSMO en controladores de dominio de Active Directory

    6. Revisión de EventLog

      Examine los registros de eventos en todos los controladores de dominio para ver si hay eventos problemáticos. Los registros de eventos no deben contener mensajes de eventos graves que indiquen un problema con ninguno de los procesos y componentes siguientes:

      conectividad física
      conectividad de red
      registro de nombres
      resolución de nombres
      autenticación
      Directiva de grupo
      directiva de seguridad
      subsistema de disco
      Esquema
      Topología
      motor de replicación

    7. Inventario de espacio en disco

      El volumen que hospeda el archivo de base de datos de Active Directory, Ntds.dit, debe tener espacio libre igual al menos al 15-20 % del tamaño del archivo Ntds.dit. El volumen que hospeda el archivo de registro de Active Directory también debe tener espacio libre igual al menos al 15-20 % del tamaño del archivo Ntds.dit. Para obtener más información sobre cómo liberar espacio en disco adicional, consulte la sección "Controladores de dominio sin espacio en disco suficiente" de este artículo.

    8. Scavenging de DNS (opcional)

      Habilite DNS Scavenging a intervalos de 7 días para todos los servidores DNS del bosque. Para obtener los mejores resultados, realice esta operación 61 días o más antes de actualizar el sistema operativo. Esto proporciona al demonio de obtención de DNS tiempo suficiente para recopilar los objetos DNS antiguos cuando se realiza una desfragmentación sin conexión en el archivo Ntds.dit.

    9. Deshabilitar el servicio de servidor DLT (opcional)

      El servicio DLT Server está deshabilitado en instalaciones nuevas y actualizadas de controladores de dominio de Windows Server 2003. Si no se usa el seguimiento de vínculos distribuidos, puede deshabilitar el servicio DLT Server en los controladores de dominio de Windows 2000 y empezar a eliminar objetos DLT de cada dominio del bosque. Para obtener más información, consulte la sección "Recomendaciones de Microsoft para el seguimiento de vínculos distribuidos" del siguiente artículo en Microsoft Knowledge Base: 312403 Distributed Link Tracking en controladores de dominio basados en Windows.

    10. Copia de seguridad del estado del sistema

      Realice una copia de seguridad del estado del sistema de al menos dos controladores de dominio en cada dominio del bosque. Puede usar la copia de seguridad para recuperar todos los dominios del bosque si la actualización no funciona.

Microsoft Exchange 2000 en bosques de Windows 2000

Nota:

El esquema de Exchange 2000 define tres atributos inetOrgPerson con LDAPDisplayNames no compatibles con request for Comment (RFC): houseIdentifier, secretary y labeledURI.

El kit de inetOrgPerson de Windows 2000 y el comando de Windows Server 2003 adprep definen versiones rfc-complaint de los mismos tres atributos con LDAPDisplayNames idénticos que las versiones no compatibles con RFC.

Cuando el comando de Windows Server 2003 adprep /forestprep se ejecuta sin scripts correctivos en un bosque que contiene los cambios de esquema de Windows 2000 y Exchange 2000, los atributos LDAPDisplayNames para los atributos houseIdentifier, labeledURI y secretary se vuelven enredados. Un atributo se convierte en "mangled" si "Dup" u otros caracteres únicos se agregan al principio del nombre del atributo en conflicto para que los objetos y atributos del directorio tengan nombres únicos.

Los bosques de Active Directory no son vulnerables a ldapdisplaynames enredados para estos atributos en los siguientes casos:

  • Si ejecuta el comando de Windows Server 2003 adprep /forestprep en un bosque que contiene el esquema de Windows 2000 antes de agregar el esquema de Exchange 2000.
  • Si instala el esquema de Exchange 2000 en el bosque que se creó donde un controlador de dominio de Windows Server 2003 fue el primer controlador de dominio del bosque.
  • Si agregas Windows 2000 inetOrgPerson Kit a un bosque que contiene el esquema de Windows 2000, instalas los cambios de esquema de Exchange 2000 y, a continuación, ejecutas el comando Windows Server 2003 adprep /forestprep .
  • Si agrega el esquema de Exchange 2000 a un bosque de Windows 2000 existente, ejecute Exchange 2003 /forestprep antes de ejecutar el comando Windows Server 2003 adprep /forestprep .

Los atributos enredados se producirán en Windows 2000 en los casos siguientes:

  • Si agrega las versiones de Exchange 2000 de los atributos labeledURI, houseIdentifier y secretary a un bosque de Windows 2000 antes de instalar el kit deOrgPerson de windows 2000.
  • Agregue las versiones de Exchange 2000 de los atributos labeledURI, houseIdentifier y secretary a un bosque de Windows 2000 antes de ejecutar el comando de Windows Server 2003 adprep /forestprep sin ejecutar primero los scripts de limpieza. A continuación se indican los planes de acción para cada escenario:

Escenario 1: Los cambios de esquema de Exchange 2000 se agregan después de ejecutar el comando adprep /forestprep de Windows Server 2003

Si los cambios de esquema de Exchange 2000 se introducirán en el bosque de Windows 2000 después de ejecutar el comando de Windows Server 2003 adprep /forestprep , no se requiere ninguna limpieza. Vaya a la sección "Información general: Actualización de controladores de dominio de Windows 2000 a Windows Server 2003".

Escenario 2: Los cambios de esquema de Exchange 2000 se instalarán antes del comando adprep /forestprep de Windows Server 2003

Si ya se han instalado los cambios de esquema de Exchange 2000, pero NO ha ejecutado el comando de Windows Server 2003 adprep /forestprep , tenga en cuenta el siguiente plan de acción:

  1. Inicie sesión en la consola del patrón de operaciones de esquema mediante una cuenta que sea miembro del grupo de seguridad Administradores de esquema.

  2. Haga clic en Inicio, en Ejecutar, escriba notepad.exe en el cuadro Abrir y, a continuación, haga clic en Aceptar.

  3. Copie el texto siguiente, incluido el guion final después de "schemaUpdateNow: 1" en el Bloc de notas.

    dn: CN=ms-Exch-Assistant-Name,CN=Schema,CN=Configuration,DC=X
    changetype: Modify
    replace:LDAPDisplayName
    LDAPDisplayName: msExchAssistantName
    -

    dn: CN=ms-Exch-LabeledURI,CN=Schema,CN=Configuration,DC=X
    changetype: Modify
    replace: LDAPDisplayName
    LDAPDisplayName: msExchLabeledURI
    -

    dn: CN=ms-Exch-House-Identifier,CN=Schema,CN=Configuration,DC=X
    changetype: Modify
    replace: LDAPDisplayName
    LDAPDisplayName: msExchHouseIdentifier
    -

    Dn:
    changetype: Modify
    add: schemaUpdateNow
    schemaUpdateNow: 1
    -

  4. Confirme que no hay espacio al final de cada línea.

  5. En el menú Archivo, haga clic en Guardar. En el cuadro de diálogo Guardar como, siga estos pasos:

    1. En el cuadro Nombre de archivo , escriba lo siguiente: \%userprofile%\InetOrgPersonPrevent.ldf
    2. En el cuadro Guardar como tipo , haga clic en Todos los archivos.
    3. En el cuadro Codificación , haga clic en Unicode.
    4. Haga clic en Guardar.
    5. Salga del Bloc de notas.
  6. Ejecute el script InetOrgPersonPrevent.ldf.

    1. Haga clic en Inicio, en Ejecutar, escriba cmd en el cuadro Abrir y, a continuación, haga clic en Aceptar.

    2. En un símbolo del sistema, escriba lo siguiente y presione ENTRAR: cd %userprofile%

    3. Escriba el siguiente comando.

    c:\documents and settings\%username%>ldifde -i -f inetorgpersonprevent.ldf -v -c DC=X "domain name path for forest root domain"
    

    Notas de sintaxis:

    • DC=X es una constante que distingue mayúsculas de minúsculas.
    • La ruta de acceso del nombre de dominio para el dominio raíz debe estar entre comillas.

    Por ejemplo, la sintaxis de comandos de un bosque de Active Directory cuyo dominio raíz del bosque es TAILSPINTOYS.COM :

    c:\documents and settings\administrator>ldifde -i -f inetorgpersonprevent.ldf -v -c DC=X "dc=tailspintoys,dc=com"

    Nota:

    Es posible que tenga que cambiar la subclave del Registro de actualización de esquema permitida si recibe el siguiente mensaje de error: No se permite la actualización del esquema en este controlador de dominio porque la clave del Registro no está establecida o el controlador de dominio no es el propietario del rol FSMO del esquema.

  7. Compruebe que los atributos LDAPDisplayNames para los atributos CN=ms-Exch-Assistant-Name, CN=ms-Exch-LabeledURI y CN=ms-Exch-House-Identifier en el contexto de nomenclatura del esquema ahora aparecen como msExchAssistantName, msExchLabeledURI y msExchHouseIdentifier antes de ejecutar los comandos de Windows Server 2003 adprep /forestprep .

  8. Vaya a la sección "Información general: Actualización de controladores de dominio de Windows 2000 a Windows Server 2003" para ejecutar los adprep /forestprep comandos y /domainprep .

Escenario 3: El comando forestprep de Windows Server 2003 se ejecutó sin ejecutar primero inetOrgPersonFix

Si ejecuta el comando de Windows Server 2003 adprep /forestprep en un bosque de Windows 2000 que contiene los cambios de esquema de Exchange 2000, los atributos LDAPDisplayName para houseIdentifier, secretary y labeledURI se enredarán. Para identificar nombres enredados, use Ldp.exe para localizar los atributos afectados:

  1. Instale Ldp.exe desde la carpeta Support\Tools de los medios de Microsoft Windows 2000 o Windows Server 2003.

  2. Inicie Ldp.exe desde un controlador de dominio o equipo miembro en el bosque.

    1. En el menú Conexión , haga clic en Conectar, deje el cuadro Servidor vacío, escriba 389 en el cuadro Puerto y, a continuación, haga clic en Aceptar.
    2. En el menú Conexión , haga clic en Enlazar, deje todos los cuadros vacíos y, a continuación, haga clic en Aceptar.
  3. Registre la ruta de acceso del nombre distintivo para el atributo SchemaNamingContext. Por ejemplo, para un controlador de dominio en el bosque CORP.ADATUM.COM, la ruta de acceso de nombre distintivo podría ser CN=Schema,CN=Configuration,DC=corp,DC=company,DC=com.

  4. En el menú Examinar , haga clic en Buscar.

  5. Use los valores siguientes para configurar el cuadro de diálogo Buscar :

    • DN base: ruta de acceso de nombre distintivo para el contexto de nomenclatura de esquema que se identifica en el paso 3.
    • Filtro: (ldapdisplayname=dup*)
    • Ámbito: subárbol
  6. Los atributos houseIdentifier, secretary y labeledURI de Mangled tienen atributos LDAPDisplayName similares al formato siguiente:

    LDAPDisplayName: DUP-labeledURI-9591bbd3-d2a6-4669-afda-48af7c35507d;
    LDAPDisplayName: DUP-secretary-c5a1240d-70c0-455c-9906-a4070602f85f
    LDAPDisplayName: DUP-houseIdentifier-354b0ca8-9b6c-4722-aae7-e66906cc9eef

  7. Si ldapDisplayNames para labeledURI, secretary y houseIdentifier se enredaron en el paso 6, ejecute el script InetOrgPersonFix.ldf de Windows Server 2003 para recuperar y, a continuación, vaya a la sección "Actualizar controladores de dominio de Windows 2000 con Winnt32.exe".

    1. Cree una carpeta denominada %Systemdrive%\IOP y, a continuación, extraiga el archivo InetOrgPersonFix.ldf en esta carpeta.

    2. En un símbolo del sistema, escriba cd %systemdrive%\iop.

    3. Extraiga el archivo InetOrgPersonFix.ldf del archivo Support.cab que se encuentra en la carpeta Support\Tools del medio de instalación de Windows Server 2003.

    4. Desde la consola del patrón de operaciones de esquema, cargue el archivo InetOrgPersonFix.ldf mediante Ldifde.exe para corregir el atributo LdapDisplayName de los atributos houseIdentifier, secretary y labeledURI. Para ello, escriba el siguiente comando, donde <X> es una constante que distingue mayúsculas de minúsculas y <la ruta de acceso dn para el dominio> raíz del bosque es la ruta de acceso del nombre de dominio para el dominio raíz del bosque:

      C:\IOP>ldifde -i -f inetorgpersonfix.ldf -v -c DC=X "domain name path for forest root domain"
      

      Notas de sintaxis:

      • DC=X es una constante que distingue mayúsculas de minúsculas.
      • La ruta de acceso del nombre de dominio del dominio raíz del bosque debe estar entre comillas.
  8. Compruebe que los atributos houseIdentifier, secretary y labeledURI en el contexto de nomenclatura de esquema no estén "enredados" antes de instalar Exchange 2000.

Información general: Actualización de controladores de dominio de Windows 2000 a Windows Server 2003

El comando de Windows Server 2003 adprep que se ejecuta desde la carpeta \I386 de los medios de Windows Server 2003 prepara un bosque de Windows 2000 y sus dominios para la adición de controladores de dominio de Windows Server 2003. El comando de Windows Server 2003 adprep /forestprep agrega las siguientes características:

  • Descriptores de seguridad predeterminados mejorados para las clases de objeto

  • Nuevos atributos de usuario y grupo

  • Nuevos objetos y atributos de esquema como inetOrgPersonLa utilidad adprep admite dos argumentos de línea de comandos:

    • adprep /forestprep: ejecuta operaciones de actualización del bosque.
    • dprep /domainprep: ejecuta operaciones de actualización de dominio.

El adprep /forestprep comando es una operación única realizada en el patrón de operación de esquema (FSMO) del bosque. La operación forestprep debe completarse y replicarse en el maestro de infraestructura de cada dominio para poder ejecutarse adprep /domainprep en ese dominio.

El adprep /domainprep comando es una operación única que se ejecuta en el controlador de dominio maestro de operaciones de infraestructura de cada dominio del bosque que hospedará controladores de dominio de Windows Server 2003 nuevos o actualizados. El adprep /domainprep comando comprueba que los cambios de forestprep se han replicado en la partición de dominio y, a continuación, realiza sus propios cambios en las directivas de grupo y partición de dominio en el recurso compartido Sysvol.

No puede realizar ninguna de las siguientes acciones a menos que las operaciones /forestprep y /domainprep se hayan completado y replicado en todos los controladores de dominio de ese dominio:

  • Actualice los controladores de dominio de Windows 2000 a controladores de dominio de Windows Server 2003 mediante Winnt32.exe.

Nota:

Puede actualizar los servidores y equipos miembros de Windows 2000 a equipos miembros de Windows Server 2003 siempre que lo desee. Promover nuevos controladores de dominio de Windows Server 2003 en el dominio mediante Dcpromo.exe. El dominio que hospeda el patrón de operaciones de esquema es el único dominio en el que debe ejecutar tanto como adprep /forestprepadprep /domainprep. En todos los demás dominios, solo tiene que ejecutar adprep /domainprep.

Los adprep /forestprep comandos y adprep /domainprep no agregan atributos al conjunto de atributos parciales del catálogo global ni provocan una sincronización completa del catálogo global. La versión RTM de adprep /domainprep produce una sincronización completa de la carpeta \Policies en el árbol Sysvol. Incluso si ejecuta forestprep y domainprep varias veces, las operaciones completadas solo se realizan una vez.

Después de los cambios de adprep /forestprep y adprep /domainprep replicación completa, puede actualizar los controladores de dominio de Windows 2000 a Windows Server 2003 ejecutando Winnt32.exe desde la carpeta \I386 de los medios de Windows Server 2003. Además, puedes agregar nuevos controladores de dominio de Windows Server 2003 al dominio mediante Dcpromo.exe.

Actualización del bosque con el comando adprep /forestprep

Para preparar un bosque y dominios de Windows 2000 para aceptar controladores de dominio de Windows Server 2003, siga estos pasos primero en un entorno de laboratorio y luego en un entorno de producción:

  1. Asegúrese de que ha completado todas las operaciones en la fase "Inventario de bosques" con especial atención a los siguientes elementos:

    1. Ha creado copias de seguridad de estado del sistema.
    2. Todos los controladores de dominio de Windows 2000 del bosque han instalado todas las revisiones y service packs adecuados.
    3. La replicación de un extremo a otro de Active Directory se está produciendo en todo el bosque
    4. FRS replica la directiva del sistema de archivos correctamente en cada dominio.
  2. Inicie sesión en la consola del patrón de operaciones de esquema con una cuenta que sea miembro del grupo de seguridad Administradores de esquema.

  3. Compruebe que el esquema FSMO ha realizado la replicación entrante de la partición de esquema escribiendo lo siguiente en un símbolo del sistema de Windows NT: repadmin /showreps

    ( la carpeta Support\Tools de Active Directory instala repadmin).

  4. En la documentación temprana de Microsoft se recomienda aislar el patrón de operaciones de esquema en una red privada antes de ejecutar adprep /forestprep. La experiencia real sugiere que este paso no es necesario y puede hacer que un maestro de operaciones de esquema rechace los cambios de esquema cuando se reinicia en una red privada.

  5. Ejecute adprep en el patrón de operaciones de esquema. Para ello, haga clic en Inicio, en Ejecutar, escriba cmdy, a continuación, haga clic en Aceptar. En el patrón de operaciones de esquema, escriba el siguiente comando:

     X:\I386\adprep /forestprep
    

    donde X:\I386\ es la ruta de acceso del medio de instalación de Windows Server 2003. Este comando ejecuta la actualización del esquema de todo el bosque.

    Nota:

    Los eventos con el identificador de evento 1153 que se registran en el registro de eventos del servicio de directorio, como el ejemplo siguiente, se pueden omitir:

  6. Compruebe que el adprep /forestprep comando se ejecutó correctamente en el patrón de operaciones de esquema. Para ello, desde la consola del patrón de operaciones de esquema, compruebe los siguientes elementos: - El adprep /forestprep comando se completó sin errores. - El objeto CN=Windows2003Update se escribe en CN=ForestUpdates,CN=Configuration,DC= forest_root_domain. Registre el valor del atributo Revision. - (Opcional) La versión del esquema se incrementó a la versión 30. Para ello, vea el atributo ObjectVersion en CN=Schema,CN=Configuration,DC= forest_root_domain. Si adprep /forestprep no se ejecuta, compruebe los siguientes elementos:

    • La ruta de acceso completa para Adprep.exe ubicada en la carpeta \I386 del medio de instalación se especificó cuando adprep se ejecutó. Para ello, escriba el siguiente comando:

      x:\i386\adprep /forestprep
      

      donde x es la unidad que hospeda el medio de instalación.

    • El usuario que ha iniciado sesión que ejecuta adprep tiene pertenencia al grupo de seguridad Administradores de esquema. Para comprobarlo, use el whoami /all comando .

    • Si adprep todavía no funciona, vea el archivo Adprep.log en la carpeta %systemroot%\System32\Debug\Adprep\Logs\Latest_log .

  7. Si deshabilitó la replicación saliente en el patrón de operaciones de esquema en el paso 4, habilite la replicación para que los cambios de esquema realizados por adprep /forestprep se puedan propagar. Para ello, siga estos pasos:

    1. Haga clic en Inicio, en Ejecutar, escriba cmdy, a continuación, haga clic en Aceptar.
    2. Escriba lo siguiente y presione ENTRAR: repadmin /options -DISABLE_OUTBOUND_REPL
  8. Compruebe que los adprep /forestprep cambios se han replicado en todos los controladores de dominio del bosque. Es útil supervisar los siguientes atributos:

    1. Incremento de la versión del esquema
    2. Cn=Windows2003Update, CN=ForestUpdates,CN=Configuration,DC= forest_root_domain o CN=Operations,CN=DomainUpdates,CN=System,DC= forest_root_domain y los GUID de operaciones que se encuentran en él se han replicado.
    3. Busque nuevas clases de esquema, objetos, atributos u otros cambios que adprep /forestprep agreguen, como inetOrgPerson. Vea los archivos Sch XX.ldf (donde XX es un número entre 14 y 30) en la carpeta %systemroot%\System32 para determinar qué objetos y atributos debe haber. Por ejemplo, inetOrgPerson se define en Sch18.ldf.
  9. Busque LDAPDisplayNames enredado. Si encuentra nombres enredados, vaya al escenario 3 del mismo artículo.

  10. Inicie sesión en la consola del maestro de operaciones de esquema con una cuenta que sea miembro del grupo de seguridad Administradores de esquema del bosque que hospeda el patrón de operaciones de esquema.

Actualización del dominio con el comando adprep /domainprep

Ejecute adprep /domainprep después de que los cambios de /forestprep se repliquen completamente en el controlador de dominio maestro de infraestructura en cada dominio que hospedará controladores de dominio de Windows Server 2003. Para hacerlo, siga estos pasos:

  1. Identifique el controlador de dominio maestro de infraestructura en el dominio que va a actualizar y, a continuación, inicie sesión con una cuenta que sea miembro del grupo de seguridad Administradores de dominio en el dominio que va a actualizar.

    Nota:

    Es posible que el administrador de empresa no sea miembro del grupo de seguridad Administradores de dominio en dominios secundarios del bosque.

  2. Ejecute adprep /domainprep en el patrón de infraestructura. Para ello, haga clic en Inicio, haga clic en Ejecutar, escriba cmd y, a continuación, en infraestructura maestra escriba el siguiente comando: X:\I386\adprep /domainprep donde X:\I386\ es la ruta de acceso del medio de instalación de Windows Server 2003. Este comando ejecuta cambios en todo el dominio en el dominio de destino.

    Nota:

    El adprep /domainprep comando modifica los permisos de archivos en el recurso compartido Sysvol. Estas modificaciones provocan una sincronización completa de los archivos de ese árbol de directorios.

  3. Compruebe que domainprep se completó correctamente. Para ello, compruebe los siguientes elementos:

    • El adprep /domainprep comando se completó sin error.
    • La ruta de acceso CN=Windows2003Update,CN=DomainUpdates,CN=System,DC= dn del dominio que está actualizando existeSi adprep /domainprep no se ejecuta, compruebe los siguientes elementos:
    • El usuario que ha iniciado sesión que ejecuta adprep tiene pertenencia al grupo de seguridad Administradores de dominio en el dominio que está actualizando. Para ello, use el whoami /all comando .
    • La ruta de acceso completa para Adprep.exe ubicada en el directorio \I386 del medio de instalación se especificó al ejecutar adprep. Para ello, en un símbolo del sistema, escriba el siguiente comando: x :\i386\adprep /forestprep donde x es la unidad que hospeda el medio de instalación.
    • Si adprep aún no funciona, vea el archivo Adprep.log en la carpeta %systemroot%\System32\Debug\Adprep\Logs\ Latest_log .
  4. Compruebe que los adprep /domainprep cambios se han replicado. Para ello, en el caso del resto de controladores de dominio del dominio, compruebe los siguientes elementos: - La ruta de acceso CN=Windows2003Update,CN=DomainUpdates,CN=System,DC= dn del dominio que está actualizando objeto existe y el valor del atributo Revision coincide con el valor del mismo atributo en el patrón de infraestructura del dominio. - (Opcional) Busque objetos, atributos o cambios de lista de control de acceso (ACL) que adprep /domainprep se agregaron. Repita los pasos del 1 al 4 en el maestro de infraestructura de los dominios restantes de forma masiva o a medida que agregue o actualice controladores de dominio de esos dominios a Windows Server 2003. Ahora puede promover nuevos equipos con Windows Server 2003 al bosque mediante DCPROMO. O bien, puede actualizar los controladores de dominio existentes de Windows 2000 a Windows Server 2003 mediante WINNT32.EXE.

Actualización de controladores de dominio de Windows 2000 mediante Winnt32.exe

Después de que los cambios de /forestprep y /domainprep se repliquen completamente y haya tomado una decisión sobre la interoperabilidad de seguridad con los clientes de versión anterior, puede actualizar los controladores de dominio de Windows 2000 a Windows Server 2003 y agregar nuevos controladores de dominio de Windows Server 2003 al dominio.

Los siguientes equipos deben estar entre los primeros controladores de dominio que ejecutan Windows Server 2003 en el bosque de cada dominio:

  • Maestro de nomenclatura de dominio en el bosque para que pueda crear particiones de programa DNS predeterminadas.
  • El controlador de dominio principal del dominio raíz del bosque para que las entidades de seguridad de toda la empresa que agrega forestprep de Windows Server 2003 se vuelvan visibles en el editor de ACL.
  • El controlador de dominio principal de cada dominio no raíz para que pueda crear nuevas entidades de seguridad de Windows 2003 específicas del dominio. Para ello, use WINNT32 para actualizar los controladores de dominio existentes que hospedan el rol operativo que desee. O bien, transfiera el rol a un controlador de dominio de Windows Server 2003 recién promocionado. Realice los pasos siguientes para cada controlador de dominio de Windows 2000 que actualice a Windows Server 2003 con WINNT32 y para cada grupo de trabajo o equipo miembro de Windows Server 2003 que promueva:
  1. Antes de usar WINNT32 para actualizar equipos miembros y controladores de dominio de Windows 2000, quite Herramientas de administración de Windows 2000. Para ello, use la herramienta Agregar o quitar programas en Panel de control. (Solo actualizaciones de Windows 2000).

  2. Instale los archivos de revisión u otras correcciones que Microsoft o el administrador determinen que es importante.

  3. Compruebe cada controlador de dominio si hay posibles problemas de actualización. Para ello, ejecute el siguiente comando desde la carpeta \I386 del medio de instalación: winnt32.exe /checkupgradeonly Resuelva los problemas que identifica la comprobación de compatibilidad.

  4. Ejecute WINNT32.EXE desde la carpeta \I386 del medio de instalación y reinicie el controlador de dominio actualizado de 2003.

  5. Reduzca la configuración de seguridad de los clientes de versión anterior según sea necesario.

    Si los clientes de Windows NT 4.0 no tienen NT 4.0 SP6 o Windows 95 no tienen instalado el cliente de servicio de directorio, deshabilite la firma del servicio SMB en la directiva Controladores de dominio predeterminados de la unidad organizativa Controladores de dominio y vincule esta directiva a todas las unidades organizativas que hospedan controladores de dominio. Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad\Microsoft Network Server: Firmar digitalmente las comunicaciones (siempre)

  6. Compruebe el estado de la actualización mediante los siguientes puntos de datos:

    • La actualización se completó correctamente.
    • Las revisiones que agregó a la instalación reemplazaron correctamente los archivos binarios originales.
    • La replicación entrante y saliente de Active Directory se está produciendo para todos los contextos de nomenclatura que contiene el controlador de dominio.
    • Existen los recursos compartidos Netlogon y Sysvol.
    • El registro de eventos indica que el controlador de dominio y sus servicios están en buen estado.

    Nota:

    Puede recibir el siguiente mensaje de evento después de actualizar: Puede omitir este mensaje de evento de forma segura.

  7. Instale las Herramientas de administración de Windows Server 2003 (solo actualizaciones de Windows 2000 y controladores que no sean de dominio de Windows Server 2003). Adminpak.msi se encuentra en la carpeta \I386 del CD-ROM de Windows Server 2003. Los medios de Windows Server 2003 contienen herramientas de soporte técnico actualizadas en el archivo Support\Tools\Suptools.msi. Asegúrese de volver a instalar este archivo.

  8. Realice nuevas copias de seguridad de al menos los dos primeros controladores de dominio de Windows 2000 que actualizó a Windows Server 2003 en cada dominio del bosque. Busque las copias de seguridad de los equipos con Windows 2000 que actualizó a Windows Server 2003 en almacenamiento bloqueado para que no las use accidentalmente para restaurar un controlador de dominio que ahora ejecuta Windows Server 2003.

  9. (Opcional) Realice una desfragmentación sin conexión de la base de datos de Active Directory en los controladores de dominio que actualizó a Windows Server 2003 después de que se haya completado el almacén de instancia única (SIS) (solo actualizaciones de Windows 2000).

    El SIS revisa los permisos existentes en los objetos almacenados en Active Directory y, a continuación, aplica un descriptor de seguridad más eficaz en esos objetos. El SIS se inicia automáticamente (identificado por el evento 1953 en el registro de eventos del servicio de directorio) cuando los controladores de dominio actualizados inician por primera vez el sistema operativo Windows Server 2003. Solo se beneficia del almacén de descriptores de seguridad mejorado cuando registra un mensaje de evento del identificador de evento 1966 en el registro de eventos del servicio de directorio: este mensaje de evento indica que la operación de almacén de instancia única se ha completado y actúa como cola para que el administrador realice la desfragmentación sin conexión de Ntds.dit mediante NTDSUTIL.EXE.

    La desfragmentación sin conexión puede reducir el tamaño de un archivo Ntds.dit de Windows 2000 hasta un 40 %, mejora el rendimiento de Active Directory y actualiza las páginas de la base de datos para obtener un almacenamiento más eficaz de los atributos con valores de vínculo. Para obtener más información sobre cómo desfragmentar la base de datos de Active Directory, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

    232122 Realizar la desfragmentación sin conexión de la base de datos de Active Directory

  10. Investigue el servicio de servidor DLT. Los controladores de dominio de Windows Server 2003 deshabilitan el servicio DLT Server en instalaciones nuevas y de actualización. Si los clientes de Windows 2000 o Windows XP de su organización usan el servicio DLT Server, use directiva de grupo para habilitar el servicio DLT Server en controladores de dominio de Windows Server 2003 nuevos o actualizados. De lo contrario, elimine incrementalmente los objetos de seguimiento de vínculos distribuidos de Active Directory. Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

    312403 seguimiento de vínculos distribuidos en controladores de dominio basados en Windows

    Si elimina de forma masiva miles de objetos DLT u otros objetos, puede bloquear la replicación debido a la falta de almacén de versiones. Espere el número de días de tombstonelifetime (de forma predeterminada, 60 días) después de eliminar el último objeto DLT y para que se complete la recolección de elementos no utilizados y, a continuación, use NTDSUTIL.EXE para realizar una desfragmentación sin conexión del archivo Ntds.dit.

  11. Configure la estructura de unidades organizativas de procedimientos recomendados. Microsoft recomienda que los administradores implementen activamente la estructura de unidades organizativas de procedimientos recomendados en todos los dominios de Active Directory y, después de actualizar o implementar controladores de dominio de Windows Server 2003 en modo dominio de Windows, redirija los contenedores predeterminados que usan las API de versión anterior para crear usuarios, equipos y grupos a un contenedor de unidades organizativas especificado por el administrador.

    Para obtener información adicional sobre la estructura de unidades organizativas de procedimientos recomendados, vea la sección "Creación de un diseño de unidad organizativa" del documento técnico "Best Practice Active Directory Design for Managing Windows Networks". Para ver las notas del producto, visite el siguiente sitio web de Microsoft: https://technet.microsoft.com/library/bb727085.aspx Para obtener más información sobre cómo cambiar el contenedor predeterminado donde se encuentran los usuarios, equipos y grupos que crean las API de versión anterior, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

    324949 redirigir los contenedores de usuarios y equipos en dominios de Windows Server 2003

  12. Repita los pasos del 1 al 10 según sea necesario para cada controlador de dominio de Windows Server 2003 nuevo o actualizado en el bosque y el paso 11 (estructura de unidad organizativa de procedimientos recomendados) para cada dominio de Active Directory.

    En resumen:

    • Actualizar controladores de dominio de Windows 2000 con WINNT32 (desde el medio de instalación de flujo deslizante si se usa)
    • Compruebe que los archivos de revisiones se han instalado en los equipos actualizados.
    • Instalación de las revisiones necesarias no incluidas en los medios de instalación
    • Compruebe el estado en servidores nuevos o actualizados (AD, FRS, directiva, etc.)
    • Espere 24 horas después de actualizar el sistema operativo y, a continuación, desfragmentar sin conexión (opcional)
    • Inicie el servicio DLT si es necesario; de lo contrario, elimine objetos DLT mediante q312403 /q315229 después de domainpreps para todo el bosque.
    • Realizar el desfragmentado sin conexión 60 días (duración del lápiz y recolección de elementos no utilizados # de días) después de eliminar objetos DLT

Actualizaciones de ejecución en seco en un entorno de laboratorio

Antes de actualizar los controladores de dominio de Windows a un dominio de Producción de Windows 2000, valide y refine el proceso de actualización en el laboratorio. Si la actualización de un entorno de laboratorio que refleja con precisión el bosque de producción funciona sin problemas, puede esperar resultados similares en entornos de producción. En entornos complejos, el entorno de laboratorio debe reflejar el entorno de producción en las siguientes áreas:

  • Hardware: tipo de equipo, tamaño de memoria, ubicación del archivo de página, tamaño del disco, configuración de rendimiento y raid, BIOS y niveles de revisión de firmware
  • Software: versiones del sistema operativo cliente y servidor, aplicaciones cliente y servidor, versiones de Service Pack, revisiones, cambios de esquema, grupos de seguridad, pertenencias a grupos, permisos, configuración de directivas, tipo de recuento de objetos y ubicación, interoperabilidad de versiones
  • Infraestructura de red: WINS, DHCP, velocidades de vínculo, ancho de banda disponible
  • Carga: los simuladores de carga pueden simular cambios de contraseña, creación de objetos, replicación de Active Directory, autenticación de inicio de sesión y otros eventos. El objetivo no es reproducir la escala del entorno de producción. En su lugar, los objetivos son detectar los costos y la frecuencia de las operaciones comunes y interpolar sus efectos (consultas de nombres, tráfico de replicación, ancho de banda de red y consumo de procesador) en el entorno de producción en función de sus requisitos actuales y futuros.
  • Administración: tareas realizadas, herramientas usadas, sistemas operativos usados
  • Operación: capacidad, interoperabilidad
  • Espacio en disco: tenga en cuenta el tamaño inicial, máximo y final del sistema operativo, Ntds.dit y los archivos de registro de Active Directory en los controladores de dominio de catálogo global y de catálogo no global en cada dominio después de cada una de las siguientes operaciones:
    1. adprep /forestprep
    2. adprep /domainprep
    3. Actualización de controladores de dominio de Windows 2000 a Windows Server 2003
    4. Realizar la desfragmentación sin conexión después de las actualizaciones de versión

La comprensión del proceso de actualización y la complejidad del entorno combinados con la observación detallada determina el ritmo y el grado de cuidado que se aplica a la actualización de entornos de producción. Los entornos con un pequeño número de controladores de dominio y objetos de Active Directory conectados a través de vínculos de red de área extensa (WAN) de alta disponibilidad pueden actualizarse en solo unas pocas horas. Es posible que tenga que tener más cuidado con las implementaciones empresariales que tienen cientos de controladores de dominio o cientos de miles de objetos de Active Directory. En tales casos, es posible que desee realizar la actualización durante varias semanas o meses.

Use las actualizaciones de "ejecución en seco" en el laboratorio para realizar las siguientes tareas:

  • Comprenda el funcionamiento interno del proceso de actualización y los riesgos asociados.
  • Exponga posibles áreas problemáticas para el proceso de implementación en su entorno.
  • Pruebe y desarrolle planes de reserva en caso de que la actualización no se realice correctamente.
  • Defina el nivel de detalle adecuado que se aplicará al proceso de actualización para el dominio de producción.

Controladores de dominio sin espacio en disco suficiente

En controladores de dominio con espacio en disco insuficiente, siga estos pasos para liberar espacio en disco adicional en el volumen que hospeda los archivos Ntds.dit y Log:

  1. Elimine los archivos sin usar, incluidos los archivos *.tmp o los archivos almacenados en caché que usan los exploradores de Internet. Para ello, escriba los siguientes comandos (presione ENTRAR después de cada comando):

    cd /d drive\  
    del *.tmp /s  
    
  2. Elimine los archivos de volcado de memoria o de usuario. Para ello, escriba los siguientes comandos (presione ENTRAR después de cada comando):

    cd /d drive\  
    del *.dmp /s  
    
  3. Quite o cambie temporalmente los archivos a los que pueda acceder desde otros servidores o vuelva a instalarlos fácilmente. Los archivos que puede quitar y reemplazar fácilmente incluyen ADMINPAK, herramientas de soporte técnico y todos los archivos de la carpeta %systemroot%\System32\Dllcache.

  4. Elimine perfiles de usuario antiguos o no usados. Para ello, haga clic en Inicio, haga clic con el botón derecho en Mi equipo, haga clic en Propiedades, en la pestaña Perfiles de usuario y, a continuación, elimine todos los perfiles que son para cuentas antiguas y sin usar. No elimine los perfiles que puedan ser para cuentas de servicio.

  5. Elimine los símbolos en %systemroot%\Symbols. Para ello, escriba el siguiente comando: rd /s %systemroot%\symbols dependiendo de si los servidores tienen un conjunto de símbolos completo o pequeño, esto puede ganar aproximadamente 70 MB a 600 MB.

  6. Realice una desfragmentación sin conexión. Una desfragmentación sin conexión del archivo Ntds.dit puede liberar espacio, pero temporalmente requiere el doble de espacio del archivo DIT actual. Realice el desfragmentado sin conexión mediante otros volúmenes locales si hay uno disponible. O bien, use el espacio en un servidor de red mejor conectado para realizar la desfragmentación sin conexión. Si el espacio en disco sigue sin ser suficiente, elimine incrementalmente cuentas de usuario innecesarias, cuentas de equipo, registros DNS y objetos DLT de Active Directory.

Nota:

Active Directory no elimina objetos de la base de datos hasta que el número de días de tombstonelifetime (de forma predeterminada, 60 días) haya pasado y se complete la recolección de elementos no utilizados. Si reduce tombstonelifetime a un valor inferior a la replicación de un extremo a otro en el bosque, puede provocar incoherencias en Active Directory.