Comment mettre à niveau les contrôleurs de domaine Windows 2000 vers Windows Server 2003

Traductions disponibles Traductions disponibles
Numéro d'article: 325379 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Sommaire

Résumé

Cet article explique comment mettre à niveau les contrôleurs de domaine Microsoft Windows 2000 vers Windows Server 2003 et comment ajouter de nouveaux contrôleurs de domaine Windows Server 2003 pour les domaines Windows 2000. Pour plus d'informations sur la mise à niveau des contrôleurs de domaine Windows Server 2008 ou Windows Server 2008 R2, reportez-vous au site Web de Microsoft à l'adresse suivante :
http://technet.Microsoft.com/en-us/library/ee522994 (WS.10) .aspx #

Inventaire des domaines et des forêts

Avant de vous mettre à niveau les contrôleurs de domaine Windows 2000 vers Windows Server 2003 ou avant d'ajouter de nouveaux contrôleurs de domaine Windows Server 2003 à un domaine Windows 2000, procédez comme suit :
  1. Inventoriez les clients qui accèdent aux ressources dans le domaine ordinateur hôte contrôleurs de domaine Windows Server 2003 pour la compatibilité avec la signature SMB :

    Chaque contrôleur de domaine Windows Server 2003 permet la signature SMB dans sa stratégie de sécurité locale. Assurez-vous que tous les clients réseau qui utilisent le protocole SMB/CIFS pour accéder aux fichiers partagés et des imprimantes dans les domaines qui ordinateur hôte les contrôleurs de domaine Windows Server 2003 peuvent être configurés ou mis à niveau pour prendre en charge la signature SMB. Si elles ne peuvent pas, désactivez temporairement la signature SMB jusqu'à ce que les mises à jour peuvent être installés ou jusqu'à ce que les clients peuvent être mis à niveau vers de nouveaux systèmes d'exploitation qui prennent en charge la signature SMB. Pour plus d'informations sur la façon de désactiver la signature SMB, consultez le "Pour désactiver la signature SMBsection « à la fin de cette étape.

    Plans d'action

    La liste suivante affiche les plans d'action pour les clients SMB les plus courants :
    • Microsoft Windows Server 2003, Microsoft Windows XP Professionnel, Microsoft Windows 2000 Server, Microsoft Windows 2000 Professionnel et Microsoft Windows 98

      Aucune action n'est requise.
    • Microsoft Windows NT 4.0

      Installer le Service Pack 3 ou version ultérieure (Service Pack 6 a est recommandée) sur tous les ordinateurs Windows NT 4.0 qui accèdent aux domaines qui contiennent des ordinateurs fonctionnant sous Windows Server 2003. Vous pouvez également désactiver temporairement signature SMB sur les contrôleurs de domaine Windows Server 2003. Pour plus d'informations sur la façon de désactiver la signature SMB, consultez le "Pour désactiver la signature SMBsection « à la fin de cette étape.
    • Microsoft Windows 95

      Installation de Windows 9xclient de service d'annuaire sur les ordinateurs fonctionnant sous Windows 95 ou temporairement désactiver la signature SMB sur les contrôleurs de domaine Windows Server 2003. L'original d'originexclient service d'annuaire est disponible sur le CD-ROM Windows 2000 Server. Toutefois, ce module complémentaire a été remplacé par un original amélioréexclient de service d'annuaire. Pour plus d'informations sur la façon de désactiver la signature SMB, consultez le "Pour désactiver la signature SMBsection « à la fin de cette étape.
    • Client réseau Microsoft pour les clients MS-DOS et Microsoft LAN Manager

      Le Client réseau Microsoft pour MS-DOS et le client de réseau Microsoft LAN Manager 2.x peuvent servir à fournir l'accès aux ressources du réseau ou qu'ils peuvent être combinées avec une disquette amorçable pour copier les fichiers du système d'exploitation et autres fichiers à partir d'un répertoire partagé sur un serveur de fichiers dans le cadre d'une routine d'installation du logiciel. Ces clients ne prennent en charge la signature SMB. Utilisez une autre méthode d'installation, ou désactiver la signature SMB. Pour plus d'informations sur la façon de désactiver la signature SMB, consultez le "Pour désactiver la signature SMBsection « à la fin de cette étape.
    • Clients Macintosh

      Certains clients Macintosh ne sont pas compatibles avec la signature de SMB et reçoivent le message d'erreur suivant lorsqu'ils tentent de se connecter à une ressource réseau :
      -E/S erreur -36
      Installez le logiciel mis à jour si elle est disponible. Sinon, désactivez la signature SMB sur les contrôleurs de domaine Windows Server 2003. Pour plus d'informations sur la façon de désactiver la signature SMB, consultez le "Pour désactiver la signature SMBsection « à la fin de cette étape.
    • Autres clients SMB de tiers

      Certains clients SMB de tiers ne prennent en charge la signature SMB. Consultez votre fournisseur SMB pour voir s'il existe une version mise à jour. Sinon, désactivez la signature SMB sur les contrôleurs de domaine Windows Server 2003.
    Pour désactiver la signature SMB

    Si des mises à jour logicielles ne peut pas être installés sur les contrôleurs de domaine affecté qui exécutent Windows 95, Windows NT 4.0, ou d'autres clients qui ont été installés avant l'introduction de Windows Server 2003, désactivez temporairement le service SMB exigences dans Stratégie de groupe de signature jusqu'à ce que vous pouvez déployer des mises à jour de logiciel client.

    Vous pouvez désactiver la signature dans le n?ud suivant de la stratégie de contrôleurs de domaine par défaut sur l'unité d'organisation des contrôleurs de domaine du service SMB :
    Ordinateur Configuration ordinateur\Paramètres Windows\Paramètres de sécurité sécurité\Stratégies locales\Options Sécurité\serveur réseau : Communications signées numériquement (toujours)
    Si les contrôleurs de domaine ne se trouvent pas dans l'unité d'organisation du contrôleur de domaine, vous devez lier (objet stratégie de groupe du contrôleur de domaine par défaut (GPO) à toutes les unités d'organisation qui ordinateur hôte les contrôleurs de domaine Windows 2000 ou Windows Server 2003. Ou bien, vous pouvez configurer la signature dans un GPO est lié à ces unités d'organisation du service SMB.
  2. Inventoriez les contrôleurs de domaine dans le domaine et dans la forêt :
    1. Assurez-vous que tous les contrôleurs de domaine Windows 2000 de la forêt ont installé tous les service packs et correctifs appropriés.

      Microsoft recommande que tous les contrôleurs de domaine Windows 2000 exécutent le Service Pack 4 (SP4) Windows 2000 ou les systèmes d'exploitation ultérieurs. Si vous ne pouvez pas déployer complètement Windows 2000 SP4 ou version ultérieure, tous les contrôleurs de domaine Windows 2000devezdisposer d'un fichier Ntdsa.dll dont la version et cachet de date est postérieure au 4 juin 2001 et supérieure à 5.0.2195.3673.Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
      331161Correctifs à installer avant d'exécuter adprep /Forestprep sur un contrôleur de domaine Windows 2000 pour préparer la forêt et les domaines de l'ajout de contrôleurs de domaine Windows Server 2003
      Par défaut, les outils d'administration Active Directory sur les ordinateurs clients Windows 2000 SP4, Windows XP et Windows Server 2003 utilisent la signature LDAP (Lightweight Directory Access Protocol). Si ces ordinateurs utilisent (ou revenir à) l'authentification NTLM lorsqu'ils administrent à distance des contrôleurs de domaine Windows 2000, la connexion ne fonctionne pas. Pour résoudre ce problème, les contrôleurs de domaine administrés à distance doivent avoir un minimum de Windows 2000 SP3 est installé. Sinon, vous devez désactiver la signature LDAP sur les clients qui exécutent les outils d'administration.Pour plus d'informations sur LDAP, cliquez sur les numéros ci-dessous pour afficher les articles correspondants dans la Base de connaissances Microsoft :
      325465Les contrôleurs de domaine Windows 2000 nécessitent le Service Pack 3 ou version ultérieure lors de l'utilisation des outils d'administration Windows Server 2003
      Les scénarios suivants utilisent l'authentification NTLM :
      • Administrer les contrôleurs de domaine Windows 2000 qui sont trouvent dans une forêt externe connectée par un NTLM (non Kerberos) approbation.
      • Vous concentrer les composants logiciels enfichables MMC (Microsoft Management Console) sur un contrôleur de domaine spécifique qui est référencé par son adresse IP. Par exemple, vous cliquez surDémarrer, cliquez surExécuter, puis tapez la commande suivante :
        DSA.msc/Server = ipaddress
      Pour déterminer le système d'exploitation et le niveau de révision de service pack des contrôleurs de domaine Active Directory dans un domaine Active Directory, installez la version de Windows Server 2003 de Repadmin.exe sur un ordinateur membre Windows XP Professionnel ou Windows Server 2003 de la forêt et puis exécutez la commande suivanterepadmincommande par rapport à un contrôleur de domaine dans chaque domaine dans la forêt :
      > repadmin /showattrnom du contrôleur de domaine qui se trouve dans le domaine ciblencobj: /filter:"(&(objectCategory=computer)(primaryGroupID=516))" / /atts:operatingSystem, operatingSystemVersion, operatingSystemServicePack du sous-arbre

      DN: CN = unité d'organisation NA-DC-01 = Domain Controllers, DC = company, DC = com
      1 > operatingSystem : Windows Server 2003
      1 > operatingSystemVersion : 5.2 (3718)
      DN: CN = unité d'organisation NA-DC-02 = Domain Controllers, DC = company, DC = com

      1 > operatingSystem : Windows 2000 Server
      1 > operatingSystemVersion : 5.0 (2195)
      1 > operatingSystemServicePack : Service Pack 1
      Remarque: Les attributs du contrôleur de domaine ne suivent pas l'installation de correctifs individuels.
    2. Vérifiez la réplication Active Directory de bout en bout dans toute la forêt.

      Vérifiez que chaque contrôleur de domaine dans la forêt mis à niveau réplique tous ses contextes d'appellation détenus localement avec ses partenaires de manière cohérente avec la planification qui définissent les liens de site ou les objets de connexion. Utilisez la version de Windows Server 2003 de Repadmin.exe sur un Windows XP ou ordinateur membre Windows Server 2003 dans la forêt avec les arguments suivants : tous les contrôleurs de domaine dans la forêt doivent répliquer Active Directory sans erreur et les valeurs dans la colonne « Largest Delta » de la sortie de repadmin ne doivent pas être sensiblement plus élevées que la fréquence de réplication sur les liens de site correspondants ou les objets de connexion qui sont utilisés par un contrôleur de domaine de destination donné.

      Corrigez toutes les erreurs de réplication entre les contrôleurs de domaine qui n'ont pas entrant répliquer dans moins de durée de vie de désactivation (TSL) nombre de jours (par défaut, 60 jours). Si la réplication ne peut pas être configurée pour fonctionner, vous devrez forcer rétrograder les contrôleurs de domaine et les supprimer de la forêt à l'aide de l'outil Ntdsutilnettoyage des métadonnéescommande et les promouvoir de nouveau dans la forêt. Vous pouvez utiliser une rétrogradation forcée pour enregistrer l'installation du système d'exploitation et les programmes qui se trouvent sur un contrôleur de domaine orphelin.Pour plus d'informations sur la façon de supprimer des contrôleurs de domaine Windows 2000 orphelins de leur domaine, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
      216498Comment faire pour supprimer des données dans Active Directory après une rétrogradation de contrôleur de domaine a échoué
      Prendre cette action uniquement en dernier recours pour récupérer l'installation du système d'exploitation et les programmes installés. Vous perdrez les objets et attributs sur les contrôleurs de domaine orphelin, y compris les utilisateurs, ordinateurs, les relations d'approbation, que leurs mots de passe, les groupes et les appartenances aux groupes.

      Soyez prudent lorsque vous essayez de résoudre les erreurs de réplication sur les contrôleurs de domaine qui n'ont pas été répliqués modifications entrantes pour une partition Active Directory particulière pour de plus detombstoneLifetimenombre de jours. Lorsque vous procédez ainsi, vous pouvez réanimer des objets qui ont été supprimés sur un contrôleur de domaine mais pour les partenaires de réplication transitifs ou directs n'a jamais reçu la suppression dans les 60 jours précédents.

      Envisagez de supprimer des objets en attente qui résident sur des contrôleurs de domaine qui n'ont pas effectué une réplication entrante au cours des 60 derniers jours. Ou bien, vous pouvez rétrograder des contrôleurs de domaine que vous n'ont pas effectué la réplication entrante sur une partition donnée dans le nombre de jours durée de vie de désactivation et supprimer leurs métadonnées restantes de la forêt Active Directory en utilisant Ntdsutil et autres utilitaires. Pour plus d'informations, contactez votre fournisseur de support ou Microsoft PSS.
    3. Vérifiez que le contenu du partage Sysvol est cohérent.

      Vérifiez que la partie du système de fichiers de stratégie de groupe est cohérente. Vous pouvez utiliser l'utilitaire Gpotool.exe du Kit de ressources pour déterminer s'il existe des incohérences dans les stratégies sur un domaine. Utilisez Healthcheck des outils de support Windows Server 2003 pour déterminer si le réplica du partage Sysvol définit fonction correctement dans chaque domaine.

      Si le contenu du partage Sysvol est incohérent, résolvez toutes les incohérences.
    4. Utilisation de Dcdiag.exe pour vérifier que tous les contrôleurs de domaine ont partagé Netlogon et Sysvol partage des outils de support. Pour ce faire, tapez la commande suivante à une invite de commande :
      DCDIAG.EXE /e /test:frssysvol
    5. Les rôles d'opérations d'inventaire.

      Les maîtres d'opérations de schéma et d'infrastructure sont utilisés pour introduire la forêt et de modification de schéma de l'échelle du domaine vers la forêt et ses domaines sont effectuées par Microsoft Windows Server 2003Adpreputilitaire. Vérifiez que le contrôleur de domaine qui héberge le rôle de schéma et le rôle d'infrastructure pour chaque domaine de la forêt réside sur les contrôleurs de domaine actif et que chaque propriétaire du rôle a exécuté la réplication entrante sur toutes les partitions depuis son dernier redémarrage.

      LeDCDIAG/test : FSMOCHECKcommande peut être utilisée pour afficher les rôles opérationnels de la forêt et au niveau du domaine. Rôles de maître d'opérations qui résident sur des contrôleurs de domaine inexistants doivent être remis à un contrôleur de domaine sain à l'aide de NTDSUTIL. Les rôles qui résident sur des contrôleurs de domaine défectueux doivent être transférés si possible. Sinon, ils doivent être saisis. LeNETDOM QUERY FSMOcommande n'identifie pas les rôles FSMO qui résident sur des contrôleurs de domaine supprimé.

      Vérifiez que le contrôleur de schéma et chaque maître d'infrastructure a effectué une réplication entrante d'Active Directory depuis le dernier démarrage. La réplication entrante peut être vérifiée à l'aide de laREPADMIN /SHOWREPSDCNAMEcommande, oùDCNAMEest le nom de l'ordinateur de NetBIOS ou le nom de l'ordinateur qualifié complet d'un contrôleur de domaine.Pour plus d'informations sur les maîtres d'opérations et de leur sélection élective, cliquez sur les numéros ci-dessous pour afficher les articles correspondants dans la Base de connaissances Microsoft :
      197132Rôles FSMO de Windows 2000 Active Directory
      223346FSMO sélection élective et optimisation sur les contrôleurs de domaine Active Directory
    6. Examen du journal des événements

      Examinez les journaux des événements sur tous les contrôleurs de domaine pour les événements problématiques. Les journaux d'événements ne doit pas contenir de messages d'événements graves concernant les processus et les composants suivants :
      connectivité physique
      connectivité réseau
      inscription de nom
      résolution de noms
      l' authentification
      Stratégie de groupe
      stratégie de sécurité
      sous-système de disque
      schéma
      topologie
      moteur de réplication
    7. Inventaire de l'espace disque

      Le volume qui héberge le fichier de base de données Active Directory, Ntds.dit, doit avoir un espace libre égal au moins 15 à 20 % de la taille du fichier Ntds.dit. Le volume qui héberge le fichier journal Active Directory doit également disposer d'espace libre égal au moins 15 à 20 % de la taille du fichier Ntds.dit. Pour plus d'informations sur la façon de libérer de l'espace disque supplémentaire, consultez la section « Domaine contrôleurs sans espace disque suffisant » de cet article.
    8. DNS le nettoyage (facultatif)

      Activer le nettoyage des DNS à des intervalles de 7 jours pour tous les serveurs DNS dans la forêt. Pour de meilleurs résultats, effectuer cette opération 61 jours au moins avant la mise à niveau le système d'exploitation. Cela fournit le DNS le nettoyage du démon suffisamment de temps pour récupérer les objets DNS âgés lorsqu'une défragmentation hors connexion est effectuée sur le fichier Ntds.dit.
    9. Désactiver le Service serveur DLT (facultatif)

      Le service Serveur DLT est désactivé sur les installations nouvelles et mises à niveau des contrôleurs de domaine Windows Server 2003. Si le suivi de lien distribué n'est pas utilisé, vous pouvez désactiver le service Serveur DLT sur vos contrôleurs de domaine Windows 2000 et commencer la suppression des objets DLT de chaque domaine de la forêt. Pour plus d'informations, consultez la section « Recommandations de Microsoft pour le suivi de lien distribué » de l'article suivant dans la Base de connaissances Microsoft :
      312403Suivi de lien distribué sur les contrôleurs de domaine Windows
    10. Sauvegarde d'état du système

      Rendre un état du système de sauvegarde au moins deux contrôleurs de domaine dans chaque domaine dans la forêt. Vous pouvez utiliser la sauvegarde pour récupérer tous les domaines de la forêt si la mise à niveau ne fonctionne pas.

Microsoft Exchange 2000 dans les forêts Windows 2000

NotesLe schéma Exchange 2000 définit troisinetOrgPersonles attributs non-RFC Request for Comment ()-les noms complets LDAP conformes :houseIdentifier,secrétaire, etlabeledURI.

Le Kit inetOrgPerson de Windows 2000 et Windows Server 2003Adprepcommande définir les versions de conformes aux RFC de ces trois attributs avec des noms complets LDAP identique que les versions non compatibles RFC.

Lorsque Windows Server 2003adprep /forestprepcommande est exécutée sans scripts correctifs dans une forêt qui contient Windows 2000 et Exchange 2000 modifications du schéma, les noms complets LDAP pour lehouseIdentifier,labeledURI, etsecrétaireles attributs sont déformés. Un attribut est « décomposé » si « dup » ou autres caractères uniques sont ajoutés au début du nom de l'attribut conflictuel pour que les objets et attributs dans le répertoire ont des noms uniques.


Les forêts Active Directory ne sont pas vulnérables à la décomposition de ces attributs dans les cas suivants :
  • Si vous exécutez Microsoft Windows Server 2003adprep /forestprepcommande dans une forêt qui contient le schéma Windows 2000 avant d'ajouter le schéma Exchange 2000.
  • Si vous installez le schéma Exchange 2000 dans la forêt a été créé dans le cas où un serveur Windows Server 2003 contrôleur de domaine était le premier contrôleur de domaine dans la forêt.
  • Si vous ajoutez Windows 2000 inetOrgPerson Kit à une forêt qui contient le schéma Windows 2000, puis que vous installez des modifications de schéma Exchange 2000 et puis que vous exécutez Microsoft Windows Server 2003adprep /forestprepcommande.
  • Si vous ajoutez le schéma Exchange 2000 à une forêt Windows 2000 existante, puis exécutez /forestprep d'Exchange 2003 avant d'exécuter la commande adprep /forestprep de Windows Server 2003.
Déformation d'attributs se produira dans Windows 2000 dans les cas suivants :
  • Si vous ajoutez les versions Exchange 2000 de lalabeledURI, lehouseIdentifieret lesecrétaireattributs à une forêt Windows 2000 avant d'installer le Kit inetOrgPerson de Windows 2000.
  • Vous ajoutez les versions Exchange 2000 de lalabeledURI, lehouseIdentifieret lesecrétaireattributs à une forêt Windows 2000 avant d'exécuter Windows Server 2003adprep /forestprepcommande sans lancer les scripts de nettoyage.
Suivent de plans d'action pour chaque scénario :

Scénario 1: Modifications de schéma Exchange 2000 sont ajoutées après avoir exécuté la commande adprep /forestprep de Windows Server 2003

Si les modifications de schéma Exchange 2000 vont être introduites dans votre forêt Windows 2000 après le Windows Server 2003adprep /forestprepcommande est exécutée, aucun nettoyage n'est requise. Accédez à la "Vue d'ensemble : Mise à niveau les contrôleurs de domaine Windows 2000 vers Windows Server 2003« section.

Scénario 2: Modifications de schéma Exchange 2000 sont installées avant la commande adprep /forestprep de Windows Server 2003

Si les modifications de schéma Exchange 2000 ont déjà été installées, mais vous n'avez pas exécuté le Windows Server 2003adprep /forestprepcommande, considérez le plan d'action suivant :
  1. Ouvrez une session sur la console du maître d'opérations du schéma en utilisant un compte qui est membre du groupe de sécurité administrateurs du schéma.
  2. Cliquez surDémarrer, cliquez surExécuter, typeNotepad.exedans laOuvrirzone, puis cliquez surOK.
  3. Copiez le texte suivant, y compris le trait d'union après "schemaUpdateNow: 1" dans le bloc-notes.
    DN: CN = ms-Exch-Assistant-Name, CN = Schema, CN = Configuration, DC = X
    ChangeType : modifier
    remplacer : LDAPDisplayName
    LDAPDisplayName : forme msExchAssistantName
    -

    DN: CN = ms-Exch-LabeledURI, CN = Schema, CN = Configuration, DC = X
    ChangeType : modifier
    remplacer : LDAPDisplayName
    LDAPDisplayName : msExchLabeledURI
    -

    DN: CN = ms-Exch-House-identificateur, CN = Schema, CN = Configuration, DC = X
    ChangeType : modifier
    remplacer : LDAPDisplayName
    LDAPDisplayName : msExchHouseIdentifier
    -

    DN :
    ChangeType : modifier
    ajouter : schemaUpdateNow
    schemaUpdateNow: 1
    -
  4. Vérifiez qu'il n'y a aucun espace à la fin de chaque ligne.
  5. Sur leFichiermenu, cliquez surEnregistrer. Dans laEnregistrer en tant queboîte de dialogue zone, procédez comme suit :
    1. Dans laNom de fichierTapez le texte suivant :
      \%USERPROFILE%\InetOrgPersonPrevent.ldf
    2. Dans laEnregistrer en tant que typeCliquez surTous les fichiers.
    3. Dans laCodageCliquez surUnicode.
    4. Cliquez surEnregistrer.
    5. Quittez le bloc-notes.
  6. Exécutez le script InetOrgPersonPrevent.ldf.
    1. Cliquez surDémarrer, cliquez surExécuter, typecmddans laOuvrirzone, puis cliquez surOK.
    2. À l'invite de commandes, tapez la ligne suivante et appuyez sur ENTRÉE :
      CD%USERPROFILE%
    3. Tapez la commande suivante
      c:\Documents and settings\%username%>ldifde -i -f inetorgpersonprevent.ldf-v-c DC = X "chemin d'accès du nom de domaine racine de forêt"
      Remarques sur la syntaxe :
      • DC = X est une constante respectant la casse.
      • Le chemin d'accès du nom de domaine pour le domaine racine doit être placé entre guillemets.
      Par exemple, la syntaxe de commande pour une forêt Active Directory dont le domaine racine est TAILSPINTOYS.COM serait :
      c:\Documents and settings\administrator > ldifde -i -f inetorgpersonprevent.ldf-v-c DC = X "dc = tailspintoys, dc = com"
      RemarqueVous devrez peut-être modifier la
      Schema Update Allowed
      sous-clé de Registre si vous recevez le message d'erreur suivant :
      Mise à jour de schéma n'est pas autorisée sur ce contrôleur de domaine car la clé de Registre n'est pas définie ou le contrôleur de domaine n'est pas le propriétaire du rôle FSMO du schéma.
      Pour plus d'informations sur la façon de modifier cette sous-clé de Registre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
      285172Mise à jour de schéma nécessitent un accès en écriture au schéma dans Active Directory
  7. Vérifiez que les noms complets LDAP pour le CN = ms-Exch-Assistant-Name, CN = ms-Exch-LabeledURI et CN = ms-Exch-House-Identifier les attributs dans le contexte de nommage de schéma apparaissent maintenant sous la forme msExchAssistantName, msExchLabeledURI et msExchHouseIdentifier avant d'exécuter Windows Server 2003adprep /forestprepcommandes.
  8. Accédez à la "Vue d'ensemble : Mise à niveau les contrôleurs de domaine Windows 2000 vers Windows Server 2003« section pour exécuter leadprep /forestprepet/DomainPrepcommandes.

Scénario 3: La commande forestprep de Windows Server 2003 a été exécutée sans exécution préalable d'inetOrgPersonFix

Si vous exécutez Microsoft Windows Server 2003adprep /forestprepcommande dans une forêt Windows 2000 qui contient les modifications de schéma Exchange 2000, les attributs LDAPDisplayName pourhouseIdentifier,secrétaire, etlabeledURIseront décomposés. Pour identifier les noms déformés, utilisez Ldp.exe pour rechercher les attributs affectés :
  1. Installez Ldp.exe à partir du dossier Support\Tools du support Microsoft Windows 2000 ou Windows Server 2003.
  2. Démarrez Ldp.exe à partir d'un contrôleur de domaine ou un ordinateur membre de la forêt.
    1. Sur leConnexionmenu, cliquez surSe connecter, laissez leServeurzone vide, tapez389dans laPortzone, puis cliquez surOK.
    2. Sur leConnexionmenu, cliquez surBIND, laissez toutes les zones vides, puis cliquezOK.
  3. Enregistrez le chemin du nom unique pour l'attribut SchemaNamingContext. Par exemple, pour un contrôleur de domaine dans le domaine corp.ADATUM.Forêt de COM, le chemin d'accès du nom unique peut être CN = Schema, CN = Configuration, DC = corp, DC = company, DC = com.
  4. Sur leParcourirmenu, cliquez surRecherche.
  5. Utilisez les paramètres suivants pour configurer leRechercheboîte de dialogue :
    • Base DN: Le chemin du nom unique pour le contexte de nommage de schéma est identifié dans l'étape 3.
    • Filtre: (ldapdisplayname = dup *)
    • Portée: Sous-arbre
  6. DéforméshouseIdentifier,secrétaire, etlabeledURIattributs ont des attributs LDAPDisplayName d'un format semblables au suivant :
    LDAPDisplayName : DUP-labeledURI-9591bbd3-d2a6-4669-afda-48af7c35507d ;
    LDAPDisplayName : DUP-secretary-c5a1240d-70c0-455c-9906-a4070602f85f
    LDAPDisplayName : DUP-houseIdentifier-354b0ca8-9b6c-4722-aae7-e66906cc9eef
  7. Si les noms complets LDAP pourlabeledURI,secrétaire, ethouseIdentifieront été décomposés à l'étape 6, exécutez le script InetOrgPersonFix.ldf de Windows Server 2003 à récupérer, puis passez à la "Mise à niveau des contrôleurs de domaine Windows 2000 avec Winnnt32.exe« section.
    1. Créez un dossier nommé % Systemdrive%\IOP et puis extrayez le fichier InetOrgPersonFix.ldf dans ce dossier.
    2. À l'invite de commandes, tapezCD % systemdrive%\iop.
    3. Extrayez le fichier InetOrgPersonFix.ldf du fichier Support.cab qui se trouve dans le dossier Support\Tools du support d'installation de Windows Server 2003.
    4. À partir de la console du maître d'opérations du schéma, chargez le fichier InetOrgPersonFix.ldf à l'aide de Ldifde.exe pour corriger leLdapDisplayNameattribut de lahouseIdentifier,secrétaire, etlabeledURIattributs. Pour cela, tapez la commande suivante, où <x>est une constante respectant la casse et <dn path="" for="" forest="" root="" domain="">est le chemin d'accès du nom de domaine pour le domaine racine de la forêt :</dn></x>
      C:\IOP>Ldifde -i -f inetorgpersonfix.ldf-v-c DC = X "chemin d'accès du nom de domaine racine de forêt"
      Remarques sur la syntaxe :
      • DC = X est une constante respectant la casse.
      • Le chemin d'accès du nom de domaine pour le domaine racine de forêt doit être placé entre guillemets.
  8. Vérifiez que lehouseIdentifier,secrétaire, etlabeledURIattributs dans le contexte de nommage de schéma ne sont pas « déformés » avant d'installer Exchange 2000.
Pour plus d'informations sur un conflit relatif au schéma avec Services for UNIX version 2.0, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
293783Impossible de mettre à niveau Windows 2000 server vers Windows Server 2003 avec Windows Services for UNIX 2.0 sont installés

Vue d'ensemble : Mise à niveau les contrôleurs de domaine Windows 2000 vers Windows Server 2003

Windows Server 2003Adprepla commande que vous exécutez à partir du dossier \I386 du support de Windows Server 2003 prépare une forêt Windows 2000 et ses domaines pour l'ajout de contrôleurs de domaine Windows Server 2003. Windows Server 2003adprep /forestprepcommande ajoute les fonctionnalités suivantes :
  • Descripteurs de sécurité par défaut améliorés pour les classes d'objet
  • Nouveaux attributs d'utilisateur et de groupe
  • Nouveaux objets de schéma et des attributs tels qu'inetOrgPerson
LeAdpreputilitaire prend en charge deux arguments de ligne de commande :
adprep /forestprep: Exécute des opérations de mise à niveau de forêt.
adprep /domainprep: Exécute des opérations de mise à niveau de domaine.
Leadprep /forestprepcommande est une opération unique effectuée sur le maître d'opérations de schéma (FSMO) de la forêt. LeForestPrepRemplissez et répliquer vers le maître d'infrastructure de chaque domaine avant d'exécuter l'opérationadprep /domainprepdans ce domaine.

Leadprep /domainprepcommande est une opération unique que vous exécutez sur le contrôleur de domaine maître d'opérations infrastructure de chaque domaine de la forêt sera ordinateur hôte nouveaux ou mis à niveau les contrôleurs de domaine Windows Server 2003. Leadprep /domainprepcommande vérifie que les modifications à partir deForestPrepont été répliquées dans la partition de domaine et son propre modifie les stratégies de partition et groupe de domaine dans le partage Sysvol.

Vous ne pouvez pas effectuer une des actions suivantes, à moins que le/ForestPrepet le/DomainPrepopérations terminées et répliquées sur tous les contrôleurs de domaine dans ce domaine :
  • Mettre à niveau les contrôleurs de domaine Windows 2000 sur les contrôleurs de domaine Windows Server 2003 à l'aide de Winnt32.exe.

    Remarque: Vous pouvez mettre à niveau les serveurs membres Windows 2000 et les ordinateurs pour les ordinateurs membres Windows Server 2003 lorsque vous le souhaitez.
  • Promouvoir de nouveaux contrôleurs de domaine Windows Server 2003 dans le domaine en utilisant Dcpromo.exe.
Le domaine qui héberge le maître d'opérations de schéma est le seul domaine où vous devez exécuter les deuxadprep /forestprepetadprep /domainprep. Dans tous les autres domaines, il vous suffit d'exécuteradprep /domainprep.

Leadprep /forestprepet leadprep /domainprepcommandes n'ajoutent pas d'attributs de catalogue global d'attribut partiel défini ou provoquent une synchronisation complète du catalogue global. La version RTM deadprep /domainprepde provoque une synchronisation complète du dossier \Policies dans l'arborescence Sysvol. Même si vous exécutezForestPrepetDomainPrepplusieurs fois, les opérations terminées sont exécutées qu'une seule fois.

Après les modifications à partir deadprep /forestprepetadprep /domainpreprépliquer entièrement, vous pouvez mettre à niveau les contrôleurs de domaine Windows 2000 vers Windows Server 2003 en exécutant Winnt32.exe à partir du dossier \I386 du support de Windows Server 2003. En outre, vous pouvez ajouter des nouveaux contrôleurs de domaine Windows Server 2003 sur le domaine en utilisant Dcpromo.exe.

Mise à niveau de la forêt avec la commande adprep /forestprep

Pour préparer une forêt Windows 2000 et domaines d'accepter des contrôleurs de domaine Windows Server 2003, procédez comme suit tout d'abord dans un environnement de laboratoire, puis, dans un environnement de production :
  1. Assurez-vous que vous avez effectué toutes les opérations de la phase « Inventaire des forêts » avec une attention particulière aux éléments suivants :
    1. Vous avez créé le système de sauvegardes d'état.
    2. Tous les contrôleurs de domaine Windows 2000 de la forêt ont installé tous les service packs et correctifs appropriés.
    3. Réplication de bout en bout d'Active Directory s'effectue dans toute la forêt
    4. FRS réplique la stratégie système de fichiers correctement tout au long de chaque domaine.
  2. Connectez-vous à la console du maître d'opérations du schéma avec un compte qui est membre du groupe de sécurité administrateurs du schéma.
  3. Vérifiez que le schéma FSMO a exécuté la réplication entrante de la partition de schéma en tapant le texte suivant à une invite de commande Windows NT :
    repadmin /showreps
    (repadminest installé par le dossier Support\Tools d'Active Directory.)
  4. Documentation précédente de Microsoft vous recommande d'isoler le maître d'opérations de schéma sur un réseau privé avant d'exécuteradprep /forestprep. Expérience du monde réel suggère que cette étape n'est pas nécessaire et peut provoquer un maître d'opérations de schéma rejeter les modifications de schéma lorsqu'il est redémarré sur un réseau privé.
  5. ExécuterAdprepsur le maître d'opérations de schéma. Pour cela, cliquez surDémarrer, cliquez surExécuter, typecmd, puis cliquez surOK. Sur le maître d'opérations de schéma, tapez la commande suivante
    X:\I386\adprep /forestprep
    X:\I386\est le chemin du support d'installation de Windows Server 2003. Cette commande exécute la mise à niveau du schéma de la forêt.

    RemarqueLes événements sont consignés dans le journal des événements Service d'annuaire, telles que l'exemple qui suit, avec l'ID 1153 peuvent être ignorés :

    Type d'événement : erreur
    Source d'événement : NTDS Général
    Catégorie d'événement : Traitement interne
    ID d'événement : 1153
    Date : JJ/MM/AAAA
    Heure : Hh : mm : AM|PM
    Utilisateur : Ordinateur tout le monde :<some dc=""></some>
    Description : L'identificateur de classe 655562 (classe nom msWMI-MergeablePolicyTemplate) a une superclasse 655560 non valide. Héritage ignoré.

  6. Vérifiez que leadprep /forestprepcommande a réussi sur le maître d'opérations de schéma. Pour ce faire, à partir de la console du maître d'opérations du schéma, vérifiez les éléments suivants :
    • Leadprep /forestprepcommande s'est terminée sans erreur.
    • CN = Windows2003Update objet est écrit sous CN = ForestUpdates, CN = Configuration, DC =domaine_racine_forêt. Enregistrez la valeur de l'attribut de version.
    • (Facultatif) La version de schéma est incrémentée à la version 30. Pour ce faire, consultez l'attribut ObjectVersion sous CN = Schema, CN = Configuration, DC =domaine_racine_forêt.
    Ifadprep /forestprepne pas s'exécuter, vérifiez les éléments suivants :
    • Le chemin qualifié complet pour le fichier Adprep.exe situé dans le dossier \I386 du support d'installation a été spécifié lors de laAdprepExécutez-effectué. Pour cela, tapez la commande suivante :
      x: \i386\adprep /forestprep
      xest le lecteur qui héberge le support d'installation.
    • L'utilisateur connecté qui exécuteAdprepa l'appartenance au groupe de sécurité administrateurs du schéma. Pour vérifier cela, utilisez lewhoami /Allcommande.
    • IfAdpreptoujours, ne ne pas fonctionner, affichez le fichier Adprep.log dans le %systemroot%\System32\Debug\Adprep\Logs\Dernier_journaldossier.
  7. Si vous avez désactivé la réplication sortante sur le maître d'opérations de schéma dans l'étape 4, activer la réplication afin que la modification du schéma qui ont été apportées paradprep /forestpreppeut se propager. Pour ce faire, procédez comme suit :
    1. Cliquez surDémarrer, cliquez surExécuter, typecmd, puis cliquez surOK.
    2. Tapez la commande suivante et appuyez sur ENTRÉE :
      repadmin/options - DISABLE_OUTBOUND_REPL
  8. Vérifiez que leadprep /forestprepmodifications répliquées sur tous les contrôleurs de domaine dans la forêt. Il est utile surveiller les attributs suivants :
    1. Incrémentation de la version de schéma
    2. CN = Windows2003Update, CN = ForestUpdates, CN = Configuration, DC =domaine_racine_forêtou CN = Operations, CN = DomainUpdates, CN = System, DC =domaine_racine_forêtet les opérations de GUID sous lui ont été répliquées dans.
    3. Recherche de nouvelles classes de schéma, objets, attributs ou autres modificationsadprep /forestprepAjoute, tels qu'inetOrgPerson. Afficher le SchXX(où les fichiers .ldfXXest un nombre compris entre 14 et 30) dans le %systemroot%\System32 dossier pour déterminer quels objets et attributs il convient. Par exemple, inetOrgPerson est défini dans Sch18.ldf.
  9. Recherchez la décomposition des noms.

    Si Exchange 2000 a été installé avant l'exécution de Windows Server 2003adprep /forestprepcommande, consultez l'article suivant dans la Base de connaissances Microsoft :
    314649 laLa commande adprep /forestprep de Windows Server 2003 provoque une déformation d'attributs dans les forêts Windows 2000 qui contiennent des serveurs Exchange 2000
    Si vous trouvez des noms décomposés, passez au scénario 3 du même article.
  10. Connectez-vous à la console du maître d'opérations du schéma avec un compte qui est membre du groupe de sécurité du groupe Administrateurs du schéma de la forêt qui héberge le maître d'opérations de schéma.

Mise à niveau du domaine avec la commande adprep /domainprep

Exécuteradprep /domainprepaprès le/ForestPrepréplication complète des modifications pour le contrôleur de domaine maître d'infrastructure dans chaque domaine qui sera ordinateur hôte contrôleurs de domaine Windows Server 2003. Pour cela, procédez comme suit :
  1. Identifier le contrôleur de domaine maître d'infrastructure dans le domaine que vous mettez à niveau et puis ouvrez une session avec un compte qui est membre du groupe de sécurité Admins du domaine dans le domaine que vous mettez à niveau.

    Remarque: L'administrateur d'entreprise n'est peut-être pas un membre du groupe de sécurité Admins du domaine dans les domaines enfants de la forêt.
  2. Exécuteradprep /domainprepsur le maître d'Infrastructure. Pour cela, cliquez sur Démarrer, sur Exécuter, typecmd, puis sur le maître d'Infrastructure tapez la commande suivante :
    X:\i386\adprep /domainprep
    où X:\I386\ est le chemin d'accès du support d'installation de Windows Server 2003. Cette commande exécute des modifications à l'échelle du domaine dans le domaine cible.

    Remarque:adprep /domainprepcommande modifie les autorisations de fichiers dans le partage Sysvol. Ces modifications provoquent une synchronisation complète des fichiers dans cette arborescence.
  3. Vérifiez queDomainPrepterminé avec succès. Pour ce faire, vérifiez les éléments suivants :
    • Leadprep /domainprepcommande s'est terminée sans erreur.
    • CN = Windows2003Update, CN = DomainUpdates, CN = System, DC =chemin DN de domaine que vous mettez à niveauIl existe
    Ifadprep /domainprepne pas s'exécuter, vérifiez les éléments suivants :
    • L'utilisateur connecté qui exécuteAdprepa l'appartenance au groupe de sécurité Admins du domaine dans le domaine en cours que sont d'une mise à niveau. Pour cela, utilisez lewhoami /Allcommande.
    • Le chemin qualifié complet pour le fichier Adprep.exe situé dans le répertoire \I386 du support d'installation a été spécifié lors de l'exécutionAdprep. Pour ce faire, à l'invite, tapez la commande suivante :
      x: \i386\adprep /forestprep
      xest le lecteur qui héberge le support d'installation.
    • IfAdpreptoujours, ne ne pas fonctionner, affichez le fichier Adprep.log dans le %systemroot%\System32\Debug\Adprep\Logs\Dernier_journaldossier.
  4. Vérifiez que leadprep /domainpreples modifications ont été répliquées. Pour ce faire, pour les autres contrôleurs de domaine dans le domaine, vérifiez les éléments suivants :
    • CN = Windows2003Update, CN = DomainUpdates, CN = System, DC =chemin DN de domaine que vous mettez à niveaul'objet existe et que la valeur de l'attribut révision correspond à la valeur du même attribut sur le maître d'infrastructure du domaine.
    • (Facultatif) Rechercher des objets, attributs ou la liste de contrôle d'accès (ACL) modificationsadprep /domainprepajouté.
    Répétez les étapes 1 à 4 sur le maître d'infrastructure des domaines restants en vrac ou en tant que vous ajoutez ou DC dans ces domaines de la mise à niveau vers Windows Server 2003. Vous pouvez maintenant encourager de nouveaux ordinateurs Windows Server 2003 dans la forêt à l'aide de DCPROMO. Ou bien, vous pouvez mettre à niveau des contrôleurs de domaine Windows 2000 existants vers Windows Server 2003 à l'aide de WINNT32.EXE.

Mise à niveau des contrôleurs de domaine Windows 2000 en utilisant Winnt32.exe

Après les modifications à partir de/ForestPrepet/DomainPrepcomplètement répliquer et que vous avez apportées à une décision concernant l'interopérabilité de la sécurité avec les clients de version antérieure, vous pouvez mettre à niveau les contrôleurs de domaine Windows 2000 vers Windows Server 2003 et ajouter de nouveaux contrôleurs de domaine Windows Server 2003 au domaine.

Les ordinateurs suivants doivent être parmi les premiers contrôleurs de domaine qui exécutent Windows Server 2003 dans la forêt dans chaque domaine :
  • Le domaine maître dans la forêt de noms afin que vous pouvez créer par défaut des partitions de programme DNS.
  • Le contrôleur principal de domaine du domaine racine forêt afin que les entités de sécurité d'entreprise du que Windows Server 2003ForestPrepAjoute deviennent visibles dans l'éditeur ACL.
  • Le contrôleur principal de domaine dans chaque domaine non-racine afin que vous pouvez créer des entités de sécurité nouveaux spécifiques au domaine Windows 2003.
Pour ce faire, utilisez WINNT32 pour mettre à niveau les contrôleurs de domaine existants qui ordinateur hôte le rôle opérationnel souhaité. Ou bien, transférer le rôle de contrôleur de domaine Windows Server 2003 nouvellement promu. Pour chaque contrôleur de domaine Windows 2000 que vous mettez à niveau vers Windows Server 2003 avec WINNT32 et pour chaque groupe de travail Windows Server 2003 ou d'un ordinateur membre que vous promouvez, effectuez les opérations suivantes :
  1. Avant d'utiliser WINNT32 pour mettre à niveau les contrôleurs de domaine et les ordinateurs membres Windows 2000, supprimez les outils d'Administration Windows 2000. Pour ce faire, utilisez l'outil Ajout/Suppression de programmes dans le panneau de configuration. (Windows 2000 met à niveau uniquement.)
  2. Installer les fichiers de correctif ou d'autres correctifs Microsoft ou l'administrateur détermine est important.
  3. Vérifiez chaque contrôleur de domaine pour les problèmes de mise à niveau possibles. Pour ce faire, exécutez la commande suivante à partir du dossier \I386 du support d'installation :
    Winnt32.exe /checkupgradeonly
    Résoudre les problèmes qui identifie le contrôle de compatibilité.
  4. Exécutez WINNT32.EXE à partir du dossier \I386 du support d'installation et le contrôleur de domaine de redémarrer le 2003 mis à niveau.
  5. Réduisez les paramètres de sécurité pour les clients de version antérieure comme requis.

    Si les clients Windows NT 4.0 n'ont pas NT 4.0 SP6 ou si les clients Windows 95 n'ont pas le client service d'annuaire, désactivez la signature sur la stratégie de contrôleurs de domaine par défaut sur l'unité d'organisation contrôleurs de domaine du Service SMB et puis lier cette stratégie à toutes les unités d'organisation contrôleurs de domaine qui ordinateur hôte.
    Ordinateur Configuration ordinateur\Paramètres Windows\Paramètres de sécurité sécurité\Stratégies locales\Options Sécurité\serveur réseau : Communications signées numériquement (toujours)
  6. Vérifiez l'état de la mise à niveau à l'aide de points de données suivants :
    • La mise à niveau terminée.
    • Les correctifs que vous avez ajouté à l'installation correctement remplacement les binaires originaux.
    • Réplication entrante et sortante d'Active Directory se produit pour tous les contextes de nommage maintenus par le contrôleur de domaine.
    • Les partages Netlogon et Sysvol existent.
    • Le journal des événements indique que le contrôleur de domaine et de ses services sont sains.

      Remarque: Vous pouvez recevoir le message d'événement suivant après la mise à niveau :

      Type d'événement : erreur
      Source d'événement : Sauvegarde NTDS
      Catégorie d'événement : sauvegarde
      ID d'événement : 1913
      Date :Date
      Heure: HH:MM:SSAM|PM
      Utilisateur : n/A
      Ordinateur :Nom_Ordinateur
      Erreur interne Description:: Sauvegarde d'Active Directory et l'opération de restauration a rencontré une erreur inattendue. Sauvegarde ou restauration échouera tant que ce problème est corrigé.

      Vous pouvez ignorer ce message d'événement.
  7. Installez les outils d'Administration Windows Server 2003 (mises à niveau de Windows 2000 et uniquement pour les contrôleurs de domaine Windows Server 2003). Adminpak.msi se trouve dans le \I386 dossier du support de Windows Server 2003 ROM. Windows Server 2003 contient les outils de support mis à jour dans le fichier Support\Tools\Suptools.msi. Assurez-vous de réinstaller ce fichier.
  8. Faire de nouvelles sauvegardes au moins les deux premiers contrôleurs de domaine Windows 2000 mis à niveau vers Windows Server 2003 dans chaque domaine dans la forêt. Localisez les sauvegardes des ordinateurs Windows 2000 mis à niveau vers Windows Server 2003 dans le stockage verrouillé afin que vous ne les utilisez pas accidentellement pour restaurer un contrôleur de domaine qui exécute maintenant Windows Server 2003.
  9. (Facultatif) Effectuer une défragmentation hors connexion de la base de données Active Directory sur les contrôleurs de domaine mis à niveau vers Windows Server 2003 après la banque d'instance unique (SIS) (mises à niveau Windows 2000 uniquement).

    SIS examine les autorisations existantes sur les objets stockés dans Active Directory et applique ensuite un descripteur de sécurité plus efficace sur ces objets. SIS démarre automatiquement (identifié par l'événement 1953 dans le journal des événements directory service) lorsque les contrôleurs de domaine mis à niveau premier démarrent du système d'exploitation Windows Server 2003. Vous bénéficiez de la banque de descripteur de sécurité améliorée que lorsque vous ouvrez un message d'événement 1966 d'ID d'événement dans le journal des événements directory service :

    Type d'événement : informations
    Source d'événement : NTDS SDPROP
    Catégorie d'événement : Traitement interne
    ID d'événement : 1966
    Date : JJ/MM/AAAA
    Heure : Hh : mm : AM|PM
    Utilisateur: NT AUTHORITY\ANONYMOUS LOGON
    Ordinateur :<computername></computername>
    Description : Le propagateur de descripteurs de sécurité a terminé une passe de propagation complète.
    Espace alloué (Mo) :
    (Mo) d'espace libre de XX : XX

    Cela peut ont augmenté l'espace libre dans la base de données Active Directory.
    Action utilisateur : Envisager une défragmentation de la base de données pour récupérer l'espace libre qui peut-être être disponible dans la base de données Active Directory. Pour plus d'informations, consultez le Centre aide et Support à l'adresse http://support.microsoft.com.

    Ce message d'événement indique que l'opération de la banque d'instance unique est terminée et suggère à l'administrateur d'effectuer une défragmentation hors connexion du fichier Ntds.dit à l'aide de NTDSUTIL.EXE.

    La défragmentation hors connexion peut réduire la taille d'un fichier Windows 2000 Ntds.dit jusqu'à 40 %, améliore les performances de Active Directory et met à jour les pages de la base de données pour un stockage plus efficace des attributs Link Valued.Pour plus d'informations sur la façon de défragmenter Active Directory de la base de données, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
    232122Une défragmentation hors ligne de la base de données Active Directory
  10. Examinez le Service serveur DLT. Les contrôleurs de domaine Windows Server 2003 désactiver le service Serveur DLT sur les frais et la mise à niveau installe. Si des clients Windows 2000 ou Windows XP dans votre organisation utilisent le service Serveur DLT, utilisez la stratégie de groupe pour activer le service Serveur DLT sur des contrôleurs de domaine Windows Server 2003 nouveaux ou mis à niveau. Sinon, supprimez progressivement de lien distribué suivi d'objets à partir d'Active Directory.Pour plus d'informations, cliquez sur les numéros ci-dessous pour afficher les articles correspondants dans la Base de connaissances Microsoft :
    312403Suivi de lien distribué sur les contrôleurs de domaine Windows
    315229Version texte de Dltpurge.vbs pour l'article de la Base de connaissances Microsoft Q312403 de la
    Si vous supprimez en masse des milliers d'objets DLT ou d'autres objets, vous pouvez bloquer la réplication en raison d'une insuffisance de la banque des versions. AttendretombstoneLifetimenombre de jours (par défaut, 60 jours) après la suppression du dernier objet DLT et pour le garbage collection terminer, puis utilisez NTDSUTIL.EXE pour effectuer une défragmentation hors connexion du fichier Ntds.dit.
  11. Configurer la structure d'unité d'organisation recommandée. Microsoft recommande que les administrateurs activement déploient la structure d'unité d'organisation recommandée dans tous les domaines Active Directory et après leur mise à niveau ou de déploiement des contrôleurs de domaine Windows Server 2003 en mode de domaine Windows, rediriger les conteneurs par défaut que les API de version antérieure utilisent pour créer des utilisateurs, ordinateurs et groupes à un conteneur d'unité d'organisation que l'administrateur spécifie.

    Pour plus d'informations sur la structure d'unité d'organisation recommandée, affichez la section « Création d'une conception unité d'organisation » du livre blanc « Best Practice Active Directory Design pour Managing Windows Networks ». Pour consulter le livre blanc, reportez-vous au site Web de Microsoft à l'adresse suivante :
    http://technet.Microsoft.com/en-us/library/bb727085.aspx
    Pour plus d'informations sur la modification du conteneur par défaut où se trouvent les utilisateurs, les ordinateurs et les groupes créés par les API de version antérieure, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
    324949Redirection des utilisateurs et ordinateurs des conteneurs dans les domaines Windows Server 2003
  12. Répétez les étapes 1 à 10 selon les besoins pour chaque contrôleur de domaine Windows Server 2003 nouveaux ou mis à niveau dans la forêt et l'étape 11 (structure d'unité d'organisation conseillée) pour chaque domaine Active Directory.

    En résumé :
    • Mise à niveau des contrôleurs de domaine Windows 2000 avec WINNT32 (à partir du média d'installation intégrée si utilisé)
    • Vérifiez que les fichiers ont été installés sur les ordinateurs mis à niveau
    • Installez tout correctif requis ne figurent ne pas dans le support d'installation
    • Vérifier la santé sur les serveurs nouveaux ou mis à niveau (AD, FRS, stratégie etc.)
    • Attendez 24 heures après la mise à niveau du système d'exploitation puis défragmentation hors connexion (facultatif)
    • Démarrez le Service DLT si vous nécessaire, sinon supprimez des objets DLT à l'aide de la q312403 / valider la forêt à l'aide des q315229
    • Effectuer la défragmentation hors connexion 60 + jours (collection de durée de vie et garbage tombstone # de jours) après la suppression d'objets DLT

Mises à niveau de l'exécution de la SEC dans un environnement de laboratoire

Avant de mettre à niveau de contrôleurs de domaine Windows à un domaine Windows 2000 de production, valider et affiner votre processus de mise à niveau de l'atelier. Si la mise à niveau d'un environnement de laboratoire reflète précisément la forêt de production s'effectue sans encombre, vous pouvez vous attendre à des résultats similaires dans des environnements de production. Pour les environnements complexes, l'environnement de laboratoire doit reproduire l'environnement de production dans les domaines suivants :
  • Matériel: type d'ordinateur, taille de la mémoire, sélection élective de fichier de page, taille du disque, performance et configuration raid, BIOS et les niveaux de révision du microprogramme
  • Logiciel: client et serveur d'exploitation des versions du système, applications client et serveur, versions des service packs, correctifs, modifications de schéma, groupes de sécurité, appartenances aux groupes, autorisations, les paramètres de stratégie, objet de type de nombre et emplacement, l'interopérabilité de version
  • Infrastructure de réseau: WINS, DHCP, vitesses de liaison, la bande passante disponible
  • Charge: Les simulateurs de charge peuvent simuler des modifications de mot de passe, création d'un objet, la réplication Active Directory, l'authentification de connexion et autres événements. L'objectif est de ne pas de reproduire l'échelle de l'environnement de production. En revanche, les objectifs sont de découvrir les coûts et la fréquence des opérations courantes et d'interpoler leurs effets (requêtes de noms, le trafic de réplication, la bande passante réseau et la consommation de processeur) sur l'environnement de production selon vos besoins actuels et futurs.
  • Administration: tâches effectuées, les outils utilisés, les systèmes d'exploitation utilisés
  • Opération: capacité, interopérabilité
  • Espace disque: Notez le démarrage, pointe et la taille du système d'exploitation, Ntds.dit et Active Directory de fin des fichiers journaux sur le catalogue global et contrôleurs de domaine de catalogue non global dans chaque domaine après chacune des opérations suivantes :
    1. adprep /forestprep
    2. adprep /domainprep
    3. Mise à niveau des contrôleurs de domaine Windows 2000 vers Windows Server 2003
    4. Une défragmentation hors ligne après les mises à niveau de version
Une bonne compréhension du processus de mise à niveau et la complexité de l'environnement combinée à une observation détaillée déterminent le rythme et le degré d'attention que vous appliquez une mise à niveau des environnements de production. Environnements avec un petit nombre de contrôleurs de domaine et les objets Active Directory connectés via des liaisons réseau (étendu WAN) peuvent mettre à niveau en seulement quelques heures de disponibilité élevée. Vous devrez consacrer davantage d'attention avec les déploiements d'entreprise qui ont des centaines de contrôleurs de domaine ou des centaines de milliers d'objets Active Directory. Dans ce cas, vous souhaiterez peut-être effectuer la mise à niveau au cours de plusieurs semaines ou mois.

Utilisez mises à niveau « Sec exécuter » dans le laboratoire à effectuer les tâches suivantes :
  • Comprendre les rouages du processus de mise à niveau et les risques associés.
  • Exposer les problèmes potentiels pour le processus de déploiement dans votre environnement.
  • Tester et développer des plans de secours en cas de la mise à niveau n'aboutit pas.
  • Définir le niveau de détail à appliquer au processus de mise à niveau pour le domaine de production approprié.

Contrôleurs de domaine sans suffisamment d'espace disque

Sur les contrôleurs de domaine avec un espace disque insuffisant, procédez comme suit pour libérer de l'espace disque supplémentaire sur le volume qui héberge les fichier Ntds.dit et les fichiers journaux :
  1. Supprimez les fichiers inutilisés, y compris les fichiers *.tmp ou les fichiers mis en cache qui utilisent des navigateurs internet. Pour cela, tapez les commandes suivantes (appuyez sur ENTRÉE après chaque commande) :
    CD /dlecteur\
    DEL *.tmp /s
  2. Supprimer un utilisateur ou les fichiers de vidage mémoire. Pour cela, tapez les commandes suivantes (appuyez sur ENTRÉE après chaque commande) :
    CD /dlecteur\
    DEL *.dmp /s
  3. Supprimez ou déplacez des fichiers que vous pouvez accéder à partir d'autres serveurs ou facilement réinstaller temporairement. Les fichiers que vous pouvez supprimer et remplacer facilement incluent ADMINPAK, outils de Support et tous les fichiers dans le dossier % systemroot%\System32\Dllcache.
  4. Supprimer les profils utilisateurs anciens ou inutilisés. Pour cela, cliquez surDémarrer, avec le bouton droitMon ordinateur, cliquez surPropriétés, cliquez sur leProfils utilisateuronglet et supprimez tous les profils de comptes anciens ou inutilisés. Ne supprimez pas tous les profils peuvent être des comptes de service.
  5. Supprimer les symboles dans % systemroot%\Symbols. Pour cela, tapez la commande suivante :
    rd /s %systemroot%\symbols
    Selon que les serveurs possèdent un symbole complet ou restreint défini, il peut-être acquérir des environ 70 Mo à 600 Mo.
  6. Effectuez une défragmentation hors connexion. Une défragmentation hors connexion du fichier Ntds.dit peut libérer de l'espace, mais nécessite temporairement le double d'espace du fichier DIT actuel. Effectuer la défragmentation hors connexion à l'aide d'autres volumes locaux si elle est disponible. Ou utilisez l'espace sur un serveur de réseau connecté meilleur pour effectuer la défragmentation hors connexion. Si l'espace disque est toujours pas suffisant, par incréments de supprimer des comptes d'utilisateurs inutiles, comptes d'ordinateur, les enregistrements DNS et objets DLT dans Active Directory.

    Remarque: Active Directory ne supprime pas les objets de la base de données jusqu'autombstoneLifetimenombre de jours (par défaut, 60 jours) ont réussi et termine l'opération garbage collection. Si vous réduiseztombstoneLifetimeune valeur inférieure à la réplication de bout en bout dans la forêt, vous pouvez provoquer des incohérences dans Active Directory.

Références

Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
821076Fichiers d'aide de Windows Server 2003 contiennent des informations incorrectes sur la façon de mettre à jour d'un domaine Windows 2000

Propriétés

Numéro d'article: 325379 - Dernière mise à jour: mercredi 23 février 2011 - Version: 0.1
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Exchange 2000 Server Standard Edition
  • Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Datacenter x64 Edition
  • Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003 R2 Standard x64 Edition
Mots-clés : 
kbinfo kbmt KB325379 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 325379
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com