Windows 2000 rendszerű tartományvezérlők frissítése Windows Server 2003 operációs rendszerre

A cikk fordítása A cikk fordítása
Cikk azonosítója: 325379 - A cikkben érintett termékek listájának megtekintése.
Az összes kibontása | Az összes összecsukása

A lap tartalma

Összefoglaló

Ez a cikk útmutatóul szolgál a Microsoft Windows 2000 rendszerű tartományvezérlők Microsoft Windows Server 2003 rendszerre történő frissítéséhez és új Windows Server 2003 rendszerű tartományvezérlők Windows 2000 rendszerű tartományokhoz történő hozzáadásához.

A tartomány és az erdő feltérképezése

Mielőtt a Windows 2000 rendszerű tartományvezérlőket Windows Server 2003 operációs rendszerre frissítené, illetve mielőtt Windows Server 2003 rendszerű tartományvezérlőket adna a Windows 2000 alapú tartományokhoz, hajtsa végre az alábbi lépéseket:
  1. Leltár készítése a Windows Server 2003 rendszerű tartományvezérlőket is üzemeltető tartomány erőforrásaihoz hozzáféréssel rendelkező ügyfelekről az SMB-aláírásokkal való kompatibilitás érdekében

    A Windows Server 2003 alapú tartományvezérlők helyi biztonsági házirendjükben engedélyezik az SMB-aláírások használatát. Győződjön meg arról, hogy minden olyan hálózati ügyfél beállítható vagy frissíthető az SMB-aláírások támogatására, mely az SMB/CIFS protokollokkal fér hozzá a Windows Server 2003 rendszerű tartományvezérlőket üzemeltető tartományok megosztott fájljaihoz és nyomtatóihoz. Ha az ügyfelek ilyen módú beállítása vagy frissítése nem lehetséges, átmenetileg tiltsa le az SMB-aláírások használatát, és csak akkor engedélyezze ismét, ha megfelelő frissítések telepíthetők az ügyfelekre, vagy ha az ügyfeleket az SMB-aláírást is támogató, újabb operációs rendszerekre frissíti. Az SMB-aláírások letiltását a jelen lépés végén található „SMB-aláírások letiltása” című szakasz ismerteti.

    Műveleti tervek

    Az alábbi lista a népszerű SMB-ügyfélrendszerek esetében alkalmazandó műveleti terveket sorolja fel:
    • Microsoft Windows Server 2003, Microsoft Windows XP Professional, Microsoft Windows 2000 Server, Microsoft Windows 2000 Professional és Microsoft Windows 98

      Semmilyen műveletre nincs szükség.
    • Microsoft Windows NT 4.0

      Telepítse a Service Pack 3 vagy újabb szervizcsomagot (a Service Pack 6A telepítése ajánlott) minden olyan Windows NT 4.0 rendszerű számítógépre, amely hozzáféréssel rendelkezik a Windows Server 2003 rendszerű számítógépeket tartalmazó tartományokhoz. Ezzel egyenértékű az SMB-aláírások használatának átmeneti letiltása a Windows Server 2003 rendszerű tartományvezérlőkön. Az SMB-aláírások letiltását a jelen lépés végén található „SMB-aláírások letiltása” című szakasz ismerteti.
    • Microsoft Windows 95

      Telepítse a Windows 9x címtár-szolgáltatási ügyfelet a Windows 95 operációs rendszert futtató számítógépeken, vagy átmenetileg tiltsa le az SMB-aláírások használatát a Windows Server 2003 alapú tartományvezérlőkön. Az eredeti Win9x címtár-szolgáltatási ügyfél megtalálható a Windows 2000 Server CD-ROM-on, azonban ezt az ügyfélbővítményt felváltotta egy fejlettebb Win9x címtár-szolgáltatási ügyfél. Az SMB-aláírások letiltását a jelen lépés végén található „SMB-aláírások letiltása” című szakasz ismerteti.
    • Microsoft Network Client for MS-DOS és Microsoft LAN Manager ügyfelek

      A Microsoft Network Client for MS-DOS és a Microsoft LAN Manager 2.x hálózati ügyfél alkalmas a hálózati erőforrások elérésére, illetve ezek és egy rendszerindító hajlékonylemez kombinált használatával a szükséges operációsrendszer- és egyéb fájlok másolása elvégezhető egy fájlkiszolgáló megosztott könyvtárából a szoftvertelepítési eljárás részeként. Ezek az ügyfelek nem támogatják az SMB-aláírásokat, így vagy egy másik telepítési módszert kell választania, vagy le kell tiltania az SMB-aláírások használatát. Az SMB-aláírások letiltását a jelen lépés végén található „SMB-aláírások letiltása” című szakasz ismerteti.
    • Macintosh alapú ügyfelek

      Néhány Macintosh alapú ügyfél nem kompatibilis az SMB-aláírással, ezért a következő hibaüzenet jelenik meg, ha megpróbálnak csatlakozni egy hálózati erőforráshoz:
      - Error -36 I/O (I/O-hiba – 36)
      Ha lehetséges, telepítsen frissített szoftvereket, ellenkező esetben tiltsa le az SMB-aláírások használatát a Windows Server 2003 rendszerű tartományvezérlőkön. Az SMB-aláírások letiltását a jelen lépés végén található „SMB-aláírások letiltása” című szakasz ismerteti.
    • Más gyártóktól származó SMB-ügyfelek

      Ezek az ügyfelek nem minden esetben támogatják az SMB-aláírások használatát. Érdeklődjön az SMB-szoftver szolgáltatójánál, hogy a szoftverhez készült-e frissített verzió. Ha nem, tiltsa le az SMB-aláírások használatát a Windows Server 2003 rendszerű tartományvezérlőkön.
    Az SMB-aláírások letiltása

    Ha a szoftverfrissítések nem telepíthetők azokon az érintett tartományvezérlőkön, amelyeken Windows 95 és Windows NT 4.0 alapú vagy egyéb olyan ügyfél fut, amelyet a Windows Server 2003 megjelenése előtt telepítettek, átmenetileg tiltsa le az SMB szolgáltatás aláírási funkcióját a Csoportházirendben, és azt csak a frissített ügyfélszoftverek telepítését követően engedélyezze újra.

    Az SMB szolgáltatás aláírási funkcióját a tartományvezérlői szervezeti egység Alapértelmezett tartományvezérlői házirendjének következő csomópontjában tilthatja le:
    Számítógép konfigurációja\A Windows beállításai\Biztonsági beállítások\Helyi házirend\Biztonsági beállítások\Microsoft hálózati kiszolgáló:Kommunikáció digitális aláírása (mindig)
    Ha a tartományvezérlők nem a tartományvezérlői szervezeti egységben helyezkednek el, az alapértelmezett tartományvezérlő csoportházirend-objektumát csatolnia kell minden Windows 2000 vagy Windows Server 2003 rendszerű tartományvezérlőt üzemeltető szervezeti egységhez. Arra is lehetősége van, hogy az említett szervezeti egységekhez csatolt valamelyik csoportházirend-objektumban tiltsa le az SMB szolgáltatás aláírási funkciójának használatát.
  2. A tartomány és az erdő tartományvezérlőinek számba vétele
    1. A megfelelő gyorsjavítások és szervizcsomagok meglétének ellenőrzése az erdő Windows 2000 rendszerű tartományvezérlőin

      A Microsoft azt javasolja, hogy minden Windows 2000 rendszerű tartományvezérlőn Windows 2000 Service Pack 4 (SP4) vagy újabb operációs rendszer fusson. Ha nem telepíthető a teljes Windows 2000 SP4 szervizcsomag vagy egy újabb operációs rendszer, minden Windows 2000 rendszerű tartományvezérlőnek rendelkeznie kell az Ntdsa.dll fájl egy olyan verziójával, melynek dátuma 2001. június 4-nél frissebb, verziószáma pedig 5.0.2195.3673-nál nagyobb. A Microsoft Tudásbázis kapcsolódó cikke:
      331161 A Windows 2000 rendszerű tartományvezérlőkön telepítendő gyorsjavítások az erdőket és a tartományokat a Windows Server 2003 rendszerű tartományvezérlők hozzáadására felkészítő adprep /Forestprep parancs futtatása előtt
      Az Active Directory Windows 2000 SP4, Windows XP és Windows Server 2003 rendszerű ügyfélszámítógépeken futó felügyeleti eszközei alapértelmezés szerint LDAP-aláírást használnak. Ha az ilyen számítógépek NTLM-hitelesítést próbálnak használni – akár azért, mert a más módú hitelesítések sikertelenek voltak – a Windows 2000 rendszerű tartományvezérlők távfelügyeletéhez szükséges kapcsolat létrehozása során, a kapcsolat működésképtelen lesz. Ennek kiküszöböléséhez a távolról felügyelt tartományvezérlőknek legalább Windows 2000 SP3 szervizcsomaggal frissített operációs rendszert kell futtatniuk. Ha ez nem lehetséges, ki kell kapcsolni az LDAP-aláírás használatát a felügyeleti eszközöket futtató ügyfeleken. Az LDAP protokollról a Microsoft Tudásbázis alábbi cikkében tájékozódhat:
      325465 A Windows 2000 rendszerű tartományvezérlőkön telepíteni kell az SP3 vagy újabb szervizcsomagot a Windows Server 2003 rendszer felügyeleti eszközeinek használatához (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
      A következő szituációkban NTLM-hitelesítés használatos:
      • Egy NTLM (nem Kerberos) alapú bizalmi kapcsolattal csatlakozó külső erdőben elhelyezkedő Windows 2000 rendszerű tartományvezérlő felügyeletét látja el.
      • A Microsoft Management Console (MMC) beépülő moduljaival kezelt tartományvezérlőt IP-címmel azonosítja – például a Start menü Futtatás parancsára kattint, majd beírja a következő parancsot:
        dsa.msc /server=ipaddress
      Az Active Directory-tartományokban lévő Active Directory-tartományvezérlők operációs rendszereinek és szervizcsomag-verziószámainak megállapításához telepítse a Repadmin.exe program Windows Server 2003 rendszerhez készült verzióját az erdő Windows XP Professional vagy Windows Server 2003 operációs rendszert futtató tagszámítógépein, majd futtassa a következő repadmin parancsot az erdő összes tartományának tartományvezérlőin:
      >repadmin /showattr a céltartományban lévő tartományvezérlő neve ncobj:domain: /filter:"(&(objectCategory=computer)(primaryGroupID=516))" /subtree /atts:operatingSystem,operatingSystemVersion,operatingSystemServicePack

      DN: CN=NA-DC-01,organizational unit=Tartomanyvezerlok,DC=vallalat,DC=com
      1> operatingSystem: Windows Server 2003
      1> operatingSystemVersion: 5.2 (3718)
      DN: CN=NA-DC-02,organizational unit=Tartomanyvezerlok,DC=vallalat,DC=com

      1> operatingSystem: Windows Server 2003
      1> operatingSystemVersion: 5.0 (2195)
      1> operatingSystemServicePack: Service Pack 1
      Megjegyzés: A tartományvezérlők attribútumai nem tartalmaznak információt a külön telepített gyorsjavításokról.
    2. Az Active Directory erdőn belüli teljes replikációjának ellenőrzése

      Győződjön meg arról, hogy a frissített erdő tartományvezérlői a helykapcsolatok vagy kapcsolatobjektumok által definiált ütemezés szerint, valóban replikálják a helyileg tárolt névhasználati környezeteket partnereikkel. Futassa a Repadmin.exe program Windows Server 2003 rendszerhez készült verzióját az alábbi argumentumokkal az erdő valamelyik Windows XP vagy Windows Server 2003 alapú tagszámítógépén:
      REPADMIN /REPLSUM /BYSRC /BYDEST /SORT:DELTA              <- egyoldalas kimenet megadása
      
      DestDC    largest delta    fails/total  %%  error
      
      NA-DC-01 13d.21h:10m:10s    97 / 143  67  (8240) There is no such object...
      NA-DC-02 13d.04h:11m:07s   180 / 763  23  (8524) The DSA operation...
      NA-DC-03 12d.03h:54m:41s     5 /   5 100  (8524) The DSA operation...
      Az erdő minden tartományvezérlőjének hiba nélkül kell replikálnia az Active Directory-t, emellett a repadmin kimenetének „Largest Delta” (Változás legnagyobb mértéke) oszlopában szereplő értékeknek nem szabad jelentősen meghaladniuk a replikálás gyakoriságát a célként megadott tartományvezérlő által használt megfelelő helykapcsolatokon vagy kapcsolatobjektumokon.

      Szüntesse meg az összes replikációs hibát azon tartományvezérlők között, amelyeknek nem sikerült beérkező replikálást végrehajtani a törlésre kijelölés élettartamaként megadott napon belül (ez alapértelmezés szerint 60 nap). Ha nem sikerül helyreállítani a replikálás normál működését, le kell fokoznia a tartományvezérlőket, majd az Ntdsutil metadata cleanup parancsával el kell távolítania őket az erdőből, végül előléptetéssel ismét az erdőbe kell helyezni őket. A kézi lefokozással az árvává vált tartományvezérlőn mind a telepített operációs rendszer, mind az alkalmazások megőrizhetők. Az árvává vált Windows 2000 rendszerű tartományvezérlők tartományból való eltávolításáról a Microsoft Tudásbázis alábbi cikkében tájékozódhat:
      216498 Adatok eltávolítása az Active Directoryból tartományvezérlő sikertelen lefokozási kísérletét követően
      Ezt a műveletet csak az operációs rendszer és a telepített alkalmazások helyreállítására tett utolsó próbálkozásként hajtsa végre. A művelet az árvává vált tartományvezérlőkön található nem replikált objektumok és attribútumok elvesztésével jár, beleértve a felhasználókat, a számítógépeket, a bizalmi kapcsolatokat és az ehhez tartozó jelszavakat, a csoportokat és a csoporttagságokat.

      A replikációs hibák elhárítása során legyen körültekintő azoknak a tartományvezérlőknek az esetében, amelyek egy adott Active Directory-partíció esetében a törlésre kijelölés élettartama számú napnál régebb óta nem hajtottak végre partíciómódosítások átvezetésére szolgáló beérkező replikálást. Előfordulhat ugyanis, hogy reanimálja (újra életre kelti) egy tartományvezérlő olyan törölt objektumait, melyek törléséről a közvetlen vagy tranzitív replikációs partnerek az elmúlt 60 napban nem kaptak értesítést.

      Fontolja meg az elmúlt 60 napban beérkező replikációt végre nem hajtó tartományvezérlők fennmaradó objektumainak eltávolítását. Másik megoldásként az Ntdsutil és más segédprogramok segítségével kényszerítheti azon tartományvezérlők lefokozását, melyek a törlésre kijelölés élettartamaként megadott számú napon belül nem hajtottak végre beérkező replikációt, és törölheti ezek megmaradt metaadatait az Active Directory-erdőből. További segítségért lépjen kapcsolatba hivatalos támogatójával vagy a Microsoft terméktámogatási szolgálatával.
    3. A Sysvol megosztás tartalmi konzisztenciájának ellenőrzése

      Ellenőrizze a csoportházirend fájlrendszerrel kapcsolatos részének konzisztenciáját. A tartományon belüli házirendek inkonzisztenciájának megállapítására a Resource Kit csomag Gpotool.exe eszköze szolgál. A Windows Server 2003 támogatási eszközei között megtalálható Healthcheck eszközzel ellenőrizheti, hogy a Sysvol megosztással kapcsolatos replikakészletek minden tartományban helyesen működnek-e.

      A Sysvol megosztás tartalmának esetleges inkonzisztenciája esetén meg kell szüntetnie az inkonzisztenciát.
    4. A Netlogon és a Sysvol megosztások ellenőrzése – a támogatási eszközök között található Dcdiag.exe segédprogrammal ellenőrizheti, hogy minden tartományvezérlő megosztotta-e a Netlogon és a Sysvol megosztásokat. Ehhez írja be egy parancssorba a következő parancsot:
      DCDIAG.EXE /e /test:frssysvol
    5. A műveleti szerepkörök számba vétele

      A sémakezelő és az infrastruktúrakezelő főkiszolgálók feladata az erdő- és tartományszintű sémamódosítások bevezetése az erdőbe, illetve annak a Windows Server 2003 adprep segédprogramjával kialakított tartományaiba. Győződjön meg arról, hogy az erdő tartományainak séma- és infrastruktúrakezelői szerepét működő tartományvezérlők töltik be, valamint hogy az e szerepeket ellátó tartományvezérlők mindegyike elvégezte az összes partíció beérkező replikálását az utolsó újraindítás óta.

      A DCDIAG /test:FSMOCHECK paranccsal megtekinthetők az erdő- és a tartományszintű műveleti szerepkörök. A nem létező tartományvezérlőkhöz rendelt műveleti főkiszolgálói szerepköröket az NTDSUTIL segédprogrammal lehet elvenni a sérült tartományvezérlőktől, és áthelyezni egy kifogástalanul működő tartományvezérlőre. Amennyiben lehetséges, a nem kifogástalanul működő tartományvezérlők szerepeit át kell adni más tartományvezérlőknek, ellenkező esetben el kell venni e szerepeket. A NETDOM QUERY FSMO parancs kimenete nem adja vissza a törölt tartományvezérlőkhöz rendelt FSMO (mozgó egyedüli főkiszolgáló) szerepeket.

      Győződjön meg arról, hogy a séma fő tartományvezérlője, valamint az infrastruktúra egyes fő tartományvezérlői beérkező replikációval replikálták az Active Directory-t az utolsó rendszerindítás óta. A beérkező replikáció a REPADMIN /SHOWREPS tartományvezérlő_neve paranccsal ellenőrizhető, ahol a tartományvezérlő_neve a tartományvezérlő NetBIOS-számítógépneve vagy teljesen minősített számítógépneve. A műveleti főkiszolgálókról és elhelyezésükről a Microsoft Tudásbázis alábbi cikkeiben tájékozódhat:
      197132 Mozgó egyedüli főkiszolgálóval végzett műveletek (FSMO) szerepkörei a Windows 2000 Active Directoryban
      223346 A mozgó egyedüli főkiszolgálói (FSMO) szerepkörök hozzárendelése és optimalizálása Active Directory alapú tartományvezérlőkön
    6. Az eseménynapló áttekintése

      Vizsgálja meg a tartományvezérlők eseménynaplóit, és ellenőrizze, hogy tartalmaznak-e problémás eseményeket. Nem szabad, hogy az eseménynaplók az alábbi folyamatokban és összetevőkben keletkezett hibákra utaló súlyos hibaüzeneteket tartalmazzanak:
      fizikai kapcsolat
      hálózati kapcsolat
      névregisztráció
      névfeloldás
      hitelesítés
      Csoportházirend
      biztonsági házirend
      lemezalrendszer
      séma
      topológia
      replikációs szoftver
    7. A lemezterület feltérképezése

      Az Active Directory Ntds.dit adatbázisfájlját tartalmazó köteten legalább az Ntds.dit fájl méretének 15–20%-ával azonos méretű szabad helynek kell lennie. Az Active Directory naplófájlját tartalmazó köteten is legalább az Ntds.dit fájl méretének 15-20%-ával azonos méretű szabad helynek kell lennie. A tárterület felszabadításával kapcsolatban további információt talál a cikk „Kevés lemezterülettel rendelkező tartományvezérlők” című szakaszában.
    8. A DNS takarítása (nem kötelező)

      Engedélyezze a DNS 7 napos időközönként történő takarítását az erdő minden DNS-kiszolgálóján. A legjobb, ha ezt a műveletet az operációs rendszer frissítése előtt legalább 61 nappal végrehajtja, így ugyanis a DNS-takarító folyamatnak elegendő ideje lesz az elévült DNS-objektumok szemétgyűjtéssel való törlésére az Ntds.dit fájl kapcsolat nélküli módban végrehajtott töredezettségmentesítése során.
    9. Az Elosztott hivatkozáskövető kiszolgáló szolgáltatás letiltása (nem kötelező)

      Az Elosztott hivatkozáskövető (DLT) kiszolgáló szolgáltatás le van tiltva a Windows Server 2003 operációs rendszerrel telepített és az erre az operációs rendszerre frissített tartományvezérlőkön. Ha nem használ elosztott hivatkozáskövetést, letilthatja az Elosztott hivatkozáskövető kiszolgáló szolgáltatást a Windows 2000 rendszerű tartományvezérlőkön, és nekiláthat az elosztott hivatkozáskövetési objektumok törlésének az erdő minden tartományában. További információt talál a Microsoft Tudásbázis alábbi cikkének „Microsoft Recommendations for distributed link tracking” (A Microsoft elosztott hivatkozáskövetéssel kapcsolatos ajánlásai) című szakaszában:
      312403 Elosztott hivatkozáskövetés Windows rendszerű tartományvezérlőkön (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
    10. A rendszerállapot biztonsági mentése

      Készítsen biztonsági másolatot a rendszerállapotról legalább két tartományvezérlőn az erdő minden tartományában. A biztonsági másolatokkal a frissítés sikertelensége esetén helyreállíthatja az erdő minden tartományát.

Microsoft Exchange 2000 kiszolgálók Windows 2000 rendszerű erdőkben

MegjegyzésekAz Exchange 2000 sémája három olyan inetOrgPerson attribútumot definiál, melyek LDAPDisplayNames attribútumának értéke nem felel meg a vonatkozó RFC-dokumentumban rögzített előírásoknak: houseIdentifier, secretary és labeledURI.

A Windows 2000 InetOrgPerson Kit és a Windows Server 2003 adprep parancsa tartalmazza mindhárom attribútum RFC-előírásoknak megfelelő definícióját, azaz az LDAPDisplayNames attribútumértékek megfelelnek a vonatkozó RFC-dokumentum előírásainak.

Ha a Windows Server 2003 adprep /forestprep parancsát a megfelelő javító parancsfájlok nélkül futtatja egy Windows 2000 és Exchange 2000 sémamódosításokat tartalmazó erdőben, a houseIdentifier, a labeledURI és a secretary attribútumok LDAPDisplayNames attribútumértékei összekeverednek. Összekeveredettnek neveznek egy attribútumot, ha az attribútum neve „Dup” vagy más karakterekből álló előtaggal egészül ki az ütközés elkerülése, és így a címtárban szereplő nevek egyediségének biztosítása érdekében.


Az Active Directory-erdőkben az alábbi esetekben nem következik be ezen attribútumok LDAPDisplayNames attribútumainak összekeveredése:
  • Ha egy Windows 2000 sémát tartalmazó erdőben a Windows Server 2003 adprep /forestprep parancsát az Exchange 2000 séma hozzáadása előtt futtatja.
  • Ha olyan erdőben telepíti az Exchange 2000 sémát, amelyben egy Windows Server 2003 rendszerű tartományvezérlő volt az elsőként létrehozott tartományvezérlő.
  • Ha a Windows 2000 InetOrgPerson Kit készletet Windows 2000 sémát tartalmazó erdőben telepíti, ezt követően telepíti az Exchange 2000 sémamódosításokat, és csak ezek után futtatja a Windows Server 2003 adprep /forestprep parancsát.
  • Ha az Exchange 2000 sémát meglévő Windows 2000 erdőben telepíti, majd az Exchange 2003 /forestprep parancsát a Windows Server 2003 adprep /forestprep parancsának futtatása előtt futtatja.
Windows 2000 rendszerekben a következő esetekben keverednek össze attribútumok:
  • Ha a labeledURI, a houseIdentifier és a secretary attribútumok Exchange 2000 rendszerhez készült verzióját a Windows 2000 InetOrgPerson Kit telepítése előtt adja hozzá egy Windows 2000 rendszerű erdőhöz.
  • Ha a labeledURI, a houseIdentifier és a secretary attribútumok Exchange 2000 rendszerhez készült verzióját a Windows Server 2003 adprep /forestprep parancsának futtatása előtt adja hozzá egy Windows 2000 rendszerű erdőhöz, és ezt megelőzően nem futtatja a javító parancsfájlokat.
Az alábbi szakaszok a fenti szituációkhoz készült műveleti terveket ismertetik.

1. eset: Az Exchange 2000 sémamódosítások hozzáadása a Windows Server 2003 adprep /forestprep parancsának futtatása után történik

Ha az Exchange 2000 sémamódosításokat a Windows Server 2003 adprep /forestprep parancsának futtatása után vezeti be a Windows 2000 rendszerű erdőbe, nincs szükség karbantartási lépésekre. A cikket folytassa a „Windows 2000 rendszerű tartományvezérlők Windows Server 2003 rendszerre való frissítésének áttekintése” című szakasszal.

2. eset: Az Exchange 2000 sémamódosításokat a Windows Server 2003 adprep /forestprep parancsának futtatása előtt telepíti

Ha az Exchange 2000 sémamódosítások már telepítve vannak, ám NEM futtatta a Windows Server 2003 adprep /forestprep parancsát, fontolja meg az alábbi műveleti terv alkalmazását:
  1. Jelentkezzen be a sémakezelő főkiszolgáló konzoljába egy olyan fiókkal, amely tagja a Sémafelelősök biztonsági csoportnak.
  2. Kattintson a Start menü Futtatás parancsára, írja be a notepad.exe parancsot a Megnyitás mezőbe, majd kattintson az OK gombra.
  3. Másolja a következő szöveget – a „schemaUpdateNow: 1” karaktersorozatot követő kötőjellel együtt – a Jegyzettömbbe.
    dn: CN=ms-Exch-Assistant-Name,CN=Schema,CN=Configuration,DC=X
    changetype: Modify
    replace:LDAPDisplayName
    LDAPDisplayName: msExchAssistantName
    -

    dn: CN=ms-Exch-LabeledURI,CN=Schema,CN=Configuration,DC=X
    changetype: Modify
    replace:LDAPDisplayName
    LDAPDisplayName: msExchLabeledURI
    -

    dn: CN=ms-Exch-House-Identifier,CN=Schema,CN=Configuration,DC=X
    changetype: Modify
    replace: LDAPDisplayName
    LDAPDisplayName: msExchHouseIdentifier
    -

    dn:
    changetype: Modify
    add: schemaUpdateNow
    schemaUpdateNow: 1
    -
  4. Győződjön meg arról, hogy a sorok végén nincs szóköz.
  5. Kattintson a Fájl menü Mentés parancsára. A Mentés másként párbeszédpanelen hajtsa végre a következőket:
    1. A Fájlnév mezőbe írja be a következőt:
      \%userprofile%\InetOrgPersonPrevent.ldf
    2. A Fájl típusa legördülő listában kattintson a Minden fájl elemre.
    3. A Kódolás legördülő listában kattintson a Unicode elemre.
    4. Kattintson a Mentés gombra.
    5. Lépjen ki a Jegyzettömbből.
  6. Futtassa az InetOrgPersonPrevent.ldf parancsfájlt.
    1. Kattintson a Start menü Futtatás parancsára, írja be a cmd parancsot a Megnyitás mezőbe, majd kattintson az OK gombra.
    2. A parancssorba írja be az alábbi parancsot, és nyomja le az ENTER billentyűt:
      cd %userprofile%
    3. Írja be a következő parancsot:
      c:\documents and settings\%felhasználónév%>ldifde -i -f inetorgpersonprevent.ldf -v -c DC=X "erdő gyökértartományának tartománynévvel kiegészített elérési útja"
      Megjegyzések a parancs szintaxisához:
      • A DC=X állandóban a kis- és nagybetűk különbözőnek számítanak.
      • Az erdő gyökértartományának tartományneves elérési útját idézőjelek közé kell foglalni.
      Például a KELJFELJANCSI.COM gyökértartományú Active Directory-erdő esetén a parancs szintaxisa a következő lenne:
      c:\documents and settings\rendszergazda>ldifde -i -f inetorgpersonprevent.ldf -v -c DC=X "dc=keljfeljancsi,dc=com"
      Megjegyzés: Előfordulhat, hogy a
      Schema Update Allowed
      rendszerleíró alkulcsot módosítani kell, ha a következőhöz hasonló hibaüzenet jelenik meg:
      A sémafrissítés nem engedélyezett ezen a tartományvezérlőn, mert a rendszerleíró kulcs nincs beállítva, vagy a tartományvezérlő nem a séma-FSMO szerepkör birtokosa.
      A rendszerleíró alkulcs módosításáról a Microsoft Tudásbázis alábbi cikkében tájékozódhat:
      285172 A sémafrissítésekhez írási hozzáférés szükséges a sémához az Active Directoryban (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
  7. A Windows Server 2003 adprep /forestprep parancsának futtatása előtt győződjön meg arról, hogy a CN=ms-Exch-Assistant-Name, a CN=ms-Exch-LabeledURI és a CN=ms-Exch-House-Identifier attribútumok LDAPDisplayNames attribútumértékei a séma névhasználati környezetében rendre az msExchAssistantName, az msExchLabeledURI és az msExchHouseIdentifier értékek.
  8. Az adprep /forestprep és /domainprep parancsok futtatásához ugorjon a „Windows 2000 rendszerű tartományvezérlők frissítése a Windows Server 2003 rendszerre” című szakaszhoz.

3. eset:A Windows Server 2003 forestprep parancsát az InetOrgPersonFix készlet futtatása előtt futtatta

Ha a Windows Server 2003 adprep /forestprep parancsát egy Exchange 2000 sémamódosításokat tartalmazó, Windows 2000 rendszerű erdőben futtatja, a houseIdentifier, a secretary és a labeledURI attribútumok LDAPDisplayName értékei összekeverednek. Az összekeveredett nevek azonosításához az Ldp.exe eszközzel keresse meg az érintett attribútumokat:
  1. Telepítse az Ldp.exe eszközt a Microsoft Windows 2000 vagy a Windows Server 2003 telepítési adathordozójának Support\Tools mappájából.
  2. Indítsa el az Ldp.exe eszközt az erdő valamelyik tartományvezérlőjén vagy tagszámítógépén:
    1. Kattintson a Connection (Csatlakozás) menü Connect (Csatlakozás) parancsára, hagyja üresen a Server (Kiszolgáló) mezőt, írjon be 389-et a Port mezőbe, és kattintson az OK gombra.
    2. Kattintson a Connection menü Bind (Kötés) parancsára, és a mezők kitöltése nélkül kattintson az OK gombra.
  3. Jegyezze fel a SchemaNamingContext attribútum megkülönböztetett nevet tartalmazó elérési útját. A TARSASAG.ADATUM.COM erdőben a megkülönböztetett nevet tartalmazó elérési út lehet például a következő: CN=Schema,CN=Configuration,DC=tarsasag,DC=vallalat,DC=com.
  4. Kattintson a Browse (Tallózás) menü Search (Keresés) parancsára.
  5. A Search párbeszédpanelen az alábbiak szerint adja meg a beállításokat:
    • Base DN (A megkülönböztetett név alapja): A séma elnevezési környezetének a 3. lépésben azonosított, megkülönböztetett névvel megadott elérési útja.
    • Filter (Szűrő): (ldapdisplayname=dup*)
    • Scope (Hatókör): Subtree (Részfa)
  6. Az összekeveredett houseIdentifier, secretary és labeledURI attribútumok LDAPDisplayName attribútumainak értéke az alábbihoz hasonló formátumot veszi fel:
    LDAPDisplayName: DUP-labeledURI-9591bbd3-d2a6-4669-afda-48af7c35507d;
    LDAPDisplayName: DUP-secretary-c5a1240d-70c0-455c-9906-a4070602f85f
    LDAPDisplayName: DUP-houseIdentifier-354b0ca8-9b6c-4722-aae7-e66906cc9eef
  7. Ha a labeledURI, a secretary és a houseIdentifier attribútumok LDAPDisplayNames attribútumainak értékei összekeveredtek a 6. lépés során, futtassa a Windows Server 2003 InetOrgPersonFix.ldf parancsfájlját a helyreállításhoz, a cikket pedig folytassa a „Windows 2000 rendszerű tartományvezérlők frissítése a Winnt32.exe programmal” című szakasszal.
    1. Hozza létre a %Systemdrive%\IOP mappát, és bontsa ki ebbe az InetOrgPersonFix.ldf fájlt.
    2. Írja be a következő parancsot a parancssorba: cd %systemdrive%\iop.
    3. Bontsa ki az InetOrgPersonFix.ldf fájlt a Windows Server 2003 telepítési adathordozójának Support\Tools mappájában található Support.cab fájlból.
    4. A sémakezelő főkiszolgáló konzoljában az Ldifde.exe programmal töltse be az InetOrgPersonFix.ldf fájlt a houseIdentifier, a secretary és a labeledURI attribútumok LdapDisplayName attribútumának javításához. Ehhez adja ki az alábbi parancsot, melyben <X> egy kis- és nagybetűket megkülönböztető állandó, <az erdő gyökértartományának tartományneves elérési útja> pedig az erdő gyökértartományának tartományneves elérési útja:
      C:\IOP>ldifde -i -f inetorgpersonprevent.ldf -v -c DC=X "erdő gyökértartományának tartománynévvel kiegészített elérési útja"
      Megjegyzések a parancs szintaxisához:
      • A DC=X állandóban a kis- és nagybetűk különbözőnek számítanak.
      • Az erdő gyökértartományának tartományneves elérési útját idézőjelek közé kell foglalni.
  8. Az Exchange 2000 telepítése előtt győződjön meg arról, hogy a houseIdentifier, a secretary és a labeledURI attribútumok nincsenek összekeveredve a séma elnevezési környezetében.
Egy kapcsolódó, a Services for UNIX 2.0-s verzióját érintő sémaütközésről tájékozódhat a Microsoft Tudásbázis alábbi cikkében:
293783 A Windows Services for UNIX 2.0 alkalmazást futtató Windows 2000 kiszolgálók nem frissíthetők Windows Server 2003 rendszerre (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)

Windows 2000 rendszerű tartományvezérlők Windows Server 2003 rendszerre való frissítésének áttekintése

A Windows Server 2003 operációs rendszernek a Windows Server 2003 telepítési adathordozó \I386 mappájából futtatható adprep parancsa előkészíti a Windows 2000 rendszerű erdőket és tartományaikat a Windows Server 2003 rendszerű tartományvezérlők hozzáadására. A Windows Server 2003 adprep /forestprep parancsa több új szolgáltatást tartalmaz:
  • Javított alapértelmezett biztonsági leírók az objektumosztályokhoz
  • Új felhasználói és csoportattribútumok
  • Új sémaobjektumok és attribútumok, például inetOrgPerson
Az adprep segédprogram két parancssori argumentumot fogad:
adprep /forestprep: Erdőfrissítési műveletek futtatása.
adprep /domainprep: Tartományfrissítési műveletek futtatása.
Az adprep /forestprep parancs az erdő sémakezelő főkiszolgálóján (FSMO) végrehajtandó egyszeri műveletet végez el. A forestprep műveletnek és az egyes tartományok infrastruktúrakezelő tartományvezérlője felé a parancs által kezdeményezett replikálási műveleteknek be kell fejeződnie, mielőtt futtathatná az adprep /domainprep parancsot az adott tartományban.

Az adprep /domainprep parancs szintén egyszeri műveletet hajt végre. A parancsot futtatni kell az erdő minden olyan tartományának infrastruktúrakezelő főkiszolgálóján, mely Windows Server 2003 rendszerű tartományvezérlőket fog tartalmazni (akár új tartományvezérlőről van szó, akár Windows Server 2003 rendszerre frissített tartományvezérlőről). Az adprep /domainprep parancs ellenőrzi, hogy a forestprep parancs által kezdeményezett változtatások replikálása megtörtént-e a tartomány partíciójában, majd saját maga is módosítja a tartomány partícióját, illetve a csoportházirendeket és a Sysvol megosztást.

A következő műveletek csak abban az esetben hajthatók végre, ha a /forestprep és a /domainprep művelet is sikeresen befejeződött, továbbá az általuk kezdeményezett módosítások replikálása az adott tartomány minden egyes tartományvezérlője felé megtörtént:
  • Windows 2000 rendszerű tartományvezérlők frissítése Windows Server 2003 rendszerű tartományvezérlőkre a Winnt32.exe programmal.

    Megjegyzés: A Windows 2000 operációs rendszert futtató tagkiszolgálók és tagszámítógépek bármikor frissíthetők Windows Server 2003 rendszerre.
  • Új Windows Server 2003 rendszerű tartományvezérlők előléptetése a tartományban a Dcpromo.exe eszközzel.
A sémakezelő főkiszolgálót üzemeltető tartomány az egyetlen, amelyben mind az adprep /forestprep, mind az adprep /domainprep parancsot futtatni kell. A többi tartományban csak az adprep /domainprep parancs futtatása szükséges.

Az adprep /forestprep és az adprep /domainprep parancsok nem adnak új attribútumokat a globális katalógus részleges attribútumkészletéhez, és nem is váltják ki a globális katalógus teljes szinkronizálását. Az adprep /domainprep parancs RTM verziója nem váltja ki a Sysvol fa \Policies mappájának teljes szinkronizálását sem. A sikeresen befejezhető műveletek a forestprep és a domainprep parancs többszöri futtatása esetén is csak egyszer hajtódnak végre.

Miután az adprep /forestprep és az adprep /domainprep által kezdeményezett módosítások replikálása teljes mértékben lezajlott, a Windows 2000 rendszerű tartományvezérlőket Windows Server 2003 rendszerre frissítheti a Windows Server 2003 telepítési adathordozójának \I386 mappájában található Winnt32.exe program futtatásával. Emellett új Windows Server 2003 rendszerű tartományvezérlőket adhat a tartományhoz a Dcpromo.exe eszközzel.

Az erdő frissítése az adprep /forestprep paranccsal

A Windows 2000 rendszerű erdők és tartományok Windows Server 2003 rendszerű tartományvezérlők fogadására való előkészítéséhez előbb csak tesztkörnyezetben, ezt követően éles környezetben is hajtsa végre az alábbi lépéseket:
  1. Ellenőrizze, hogy az erdő feltérképezési szakaszának minden műveletét végrehajtotta-e, különös tekintettel az alábbiakra:
    1. Elkészítette-e a rendszerállapotok biztonsági mentéseit?
    2. Az erdő minden Windows 2000 rendszerű tartományvezérlőjén telepítette a megfelelő gyorsjavításokat és szervizcsomagokat?
    3. Az Active Directory az egész erdőben replikálódott?
    4. A fájlreplikációs szolgáltatás minden tartományban megfelelően replikálja-e a fájlrendszerek házirendjeit?
  2. Jelentkezzen be a sémakezelő főkiszolgáló konzoljába egy olyan fiókkal, amely tagja a Sémafelelősök biztonsági csoportnak.
  3. Ellenőrizze, hogy a séma mozgó egyedüli főkiszolgálója (FSMO kiszolgáló) végrehajtotta-e a sémapartíció beérkező replikálását. Ehhez a következő parancsot írja be a Windows NT-parancssorba:
    repadmin /showreps
    (A repadmin program az Active Directory Support\Tools mappájában található.)
  4. A korábbi Microsoft-dokumentációk azt ajánlották, hogy az adprep /forestprep parancs futtatása előtt a sémakezelő főkiszolgálót el kell különíteni egy magánhálózatra. A gyakorlati tapasztalatok azonban megmutatták, hogy ez a lépés nem szükséges, és azzal járhat, hogy a sémakezelő főkiszolgáló visszautasítja a sémamódosításokat, miután újraindult egy magánhálózaton. Ha szeretné elkülöníteni az adprep által kezdeményezett sémabővítéseket, a Microsoft az Active Directory kimenő replikálásának átmeneti letiltását javasolja, melyre a repadmin parancssori eszköz biztosít lehetőséget. Ehhez hajtsa végre a következő lépéseket:
    1. Kattintson a Start menü Futtatás parancsára, a megjelenő párbeszédpanel beviteli mezőjébe írja be a cmd parancsot, majd kattintson az OK gombra.
    2. Írja be a következő parancsot, majd nyomja le az ENTER billentyűt:
      repadmin /options +DISABLE_OUTBOUND_REPL
  5. Futtassa az adprep parancsot a sémakezelő főkiszolgálón. Ehhez kattintson a Start menü Futtatás parancsára, írja be a cmd parancsot, majd kattintson az OK gombra. A sémakezelő főkiszolgálón adja ki az
    X:\I386\adprep /forestprep
    parancsot, ahol X:\I386\ a Windows Server 2003 telepítési adathordozójának elérési útvonala. A parancs erdőszintű sémafrissítést végez.

    Megjegyzés: A címtárszolgáltatás naplójában rögzített 1153-as azonosítójú események figyelmen kívül hagyhatók. Példa egy ilyen eseményre:

    Eseménytípus: Hiba
    Eseményforrás: NTDS General
    Esemény kategóriája: Belső feldolgozás
    Eseményazonosító: 1153
    Dátum: ÉÉÉÉ.HH.NN
    Idő: ÓÓ:PP:MM DE|DU
    Felhasználó: Mindenki Számítógép: <egy tartományvezérlő>
    Leírás: Class identifier 655562 (class name msWMI-MergeablePolicyTemplate) has an invalid superclass 655560. Inheritance ignored. (A 655562-es osztályazonosító (az osztály neve msWMI-MergeablePolicyTemplate) érvénytelen ősosztállyal rendelkezik, melynek azonosítója 655560.)

  6. Ellenőrizze, hogy az adprep /forestprep parancs sikeresen futott az új sémakezelő főkiszolgálón. Ennek érdekében a sémakezelő főkiszolgáló konzoljában győződjön meg az alábbiakról:
    • Az adprep /forestprep parancs hiba nélkül fejeződött be.
    • A CN=ForestUpdates,CN=Configuration,DC=erdő_gyökértartománya objektum tartalmazza a CN=Windows2003Update objektumot. Jegyezze fel a Revision attribútum értékét.
    • (Nem kötelező) A séma verziója 30-ra változott. Ehhez tekintse meg a CN=Schema,CN=Configuration,DC=erdő_gyökértartománya objektum ObjectVersion attribútumát.
    Ha az adprep /forestprep parancs nem fut, győződjön meg a következőkről:
    • Az adprep futtatásakor a telepítési adathordozó \I386 mappájában található Adprep.exe fájl teljesen minősített útvonalát adta meg. Az ellenőrzéshez a következő parancsot írja be:
      x:\i386\adprep /forestprep
      ahol az x a telepítési adathordozót tartalmazó meghajtó betűjele.
    • Az adprep parancsot futtató bejelentkezett felhasználó tagja a Sémafelelősök biztonsági csoportnak. Ezt a whoami /all paranccsal ellenőrizheti.
    • Ha az adprep parancs továbbra sem működne, tekintse meg az Adprep.log fájlt, amely a %systemroot%\System32\Debug\Adprep\Logs\Latest_log mappában található.
  7. Ha a 4. lépésben letiltotta a kimenő replikálást a sémakezelő főkiszolgálón, engedélyezze újra, hogy az adprep /forestprep hatására végbement sémamódosítások terjedhessenek. Ehhez hajtsa végre a következő lépéseket:
    1. Kattintson a Start menü Futtatás parancsára, a megjelenő párbeszédpanel beviteli mezőjébe írja be a cmd parancsot, majd kattintson az OK gombra.
    2. Írja be a következő parancsot, majd nyomja le az ENTER billentyűt:
      repadmin /options -DISABLE_OUTBOUND_REPL
  8. Győződjön meg arról, hogy az erdő minden tartományvezérlője felé megtörtént az adprep /forestprep hatására végbement módosítások replikálása. Ennek jelei:
    1. A sémaverzió növekedése.
    2. A CN=Windows2003Update, CN=ForestUpdates,CN=Configuration,DC=erdő_gyökértartománya vagy a forest_root_domain objektum, valamint a műveletek ezek alatt található globálisan egyedi azonosítói (GUID-jai) replikálódtak.
    3. Keressen új sémaosztályokat, -objektumokat, -attribútumokat és egyéb olyan módosításokat, amelyek az adprep /forestprep hatására mentek végbe. Ilyen például az inetOrgPerson attribútum. Tekintse meg a %systemroot%\System32 mappában található SchXX.ldf fájlokat (XX egy 14 és 30 közötti szám), melyekből megállapíthatja, milyen új objektumokat és attribútumokat kellene találnia. Az inetOrgPerson attribútum definícióját például az Sch18.ldf fájl tartalmazza.
  9. Keressen összekeveredett LDAPDisplayNames attribútumokat.

    Ha az Exchange 2000 rendszert a Windows Server 2003 adprep /forestprep parancsának futtatása előtt telepítette, tanulmányozza a Microsoft Tudásbázis alábbi cikkének „How to Identify Mangled Name Attributes” (Az összekeveredett névattribútumok azonosítása) című szakaszát:
    314649 A Windows Server 2003 adprep /forestprep parancsa attribútumkeveredést okoz Exchange 2000 kiszolgálókat tartalmazó Windows 2000 rendszerű erdőkben
    Ha összekeveredett nevekre bukkan, tanulmányozza az említett cikk „Exchange 2000 in Windows 2000 Forests” (Exchange 2000 kiszolgálók Windows 2000 rendszerű erdőkben) című szakaszának 3-as számú forgatókönyvét.
  10. Jelentkezzen be a sémakezelő főkiszolgáló konzoljába egy olyan fiókkal, amely tagja a sémakezelő főkiszolgálót üzemeltető erdő Sémafelelősök biztonsági csoportjának.

A tartomány frissítése az adprep /domainprep paranccsal

Futtassa az adprep /domainprep parancsot, miután a /forestprep hatására végbement módosítások replikálása minden Windows Server 2003 rendszerű tartományvezérlőt üzemeltető tartomány infrastruktúrakezelő főkiszolgálója felé teljes mértékben megtörtént. Hajtsa végre a következő lépéseket:
  1. Azonosítsa a frissítendő tartomány infrastruktúrakezelő főkiszolgálóját, és jelentkezzen be ezen a számítógépen egy olyan fiókkal, amely tagja a frissítendő tartomány Tartománygazdák csoportjának.

    Megjegyzés: A vállalati rendszergazdák nem lehetnek tagjai a Tartománygazdák biztonsági csoportnak az erdő gyermektartományaiban.
  2. Futtassa az adprep /domainprep parancsot az infrastruktúrakezelő főkiszolgálón. Ehhez kattintson a Start menü Futtatás parancsára, írja be a cmd parancsot, majd az infrastruktúrakezelő főkiszolgálón írja be az
    X:\I386\adprep /domainprep
    parancsot, melyben X:\I386\ a Windows Server 2003 telepítési adathordozójának elérési útja. A parancs tartományszintű módosításokat hajt végre a céltartományban.

    Megjegyzés: Az adprep /domainprep parancs módosítja a fájlengedélyeket a Sysvol megosztáson. Ezek a módosítások a fájlok teljes szinkronizálását eredményezik ebben a könyvtárfában.
  3. Ellenőrizze a domainprep parancs végrehajtásának sikerességét. A sikerességet az alábbiak jelzik:
    • Az adprep /domainprep parancs hiba nélkül futott le.
    • A CN=Windows2003Update,CN=DomainUpdates,CN=System,DC=a frissítendő tartomány megkülönböztetett nevű elérési útja létezik.
    Ha az adprep /domainprep nem fut, ellenőrizze az alábbiakat:
    • Az adprep parancsot futtató bejelentkezett felhasználó tagja-e a frissítendő tartomány Tartománygazdák biztonsági csoportjának. Ezt a whoami /all paranccsal teheti meg.
    • Az adprep futtatásakor a telepítési adathordozó \I386 mappájában található Adprep.exe fájl teljesen minősített útvonalát adta-e meg.
      x:\i386\adprep /forestprep
      Az x a telepítési adathordozót tartalmazó meghajtó betűjele.
    • Ha az adprep parancs továbbra sem működne, tekintse meg az Adprep.log fájlt, amely a %systemroot%\System32\Debug\Adprep\Logs\Latest_log mappában található.
  4. Ellenőrizze, hogy sikeresen replikálódtak-e az adprep /domainprep által kezdeményezett módosítások. Ehhez a tartomány többi tartományvezérlőjén végezze el a következő ellenőrző lépéseket:
    • Győződjön meg a CN=Windows2003Update,CN=DomainUpdates,CN=System,DC=a frissítendő tartomány megkülönböztetett nevű elérési útja objektum létezéséről, valamint arról, hogy a Revision attribútum értéke megegyezik a tartománybeli infrastruktúrakezelő főkiszolgáló ugyanezen attribútumának értékével.
    • (Nem kötelező) Keressen az adprep /domainprep parancs által végrehajtott módosításokat az objektumokban, attribútumokban és hozzáférés-szabályozási listákban (ACL).
    Ismételje meg az 1–4. lépést a többi tartomány infrastruktúrakezelő kiszolgálóján, akár egyszerre, akár miközben Windows Server 2003 rendszerűre frissíti ezen tartományok tartományvezérlőit, vagy amikor új Windows Server 2003 rendszerű tartományvezérlőket ad hozzá e tartományokhoz. Ezt követően a DCPROMO eszközzel előléptetheti az új Windows Server 2003 rendszerű számítógépeket az erdőben, vagy a WINNT32.EXE programmal frissítheti is a meglévő Windows 2000 rendszerű tartományvezérlőket Windows Server 2003 rendszerre.

Windows 2000 rendszerű tartományvezérlők frissítése a Winnt32.exe programmal

Miután a /forestprep és a /domainprep által kezdeményezett módosítások replikálása teljes mértékben megtörtént, és eldöntötte, hogy milyen biztonsági jellegű együttműködési lehetőségeket kell biztosítani a korábbi verziójú ügyfelek számára, a Windows 2000 rendszerű tartományvezérlőket Windows Server 2003 rendszerre frissítheti, illetve új Windows Server 2003 rendszerű tartományvezérlőket adhat hozzá a tartományhoz.

Az erdő tartományaiban az alábbi szerepű számítógépeknek az elsők között kell Windows Server 2003 rendszert futtatniuk:
  • Az erdő tartománynév-kiosztási főkiszolgálója, mivel így létre tudja hozni a DNS alapértelmezett alkalmazásspecifikus partícióit.
  • Az erdő gyökértartományának elsődleges tartományvezérlője, mivel így a Windows Server 2003 forestprep művelete által létrehozott vállalati szintű rendszerbiztonsági tagok láthatók lesznek az ACL-szerkesztőben.
  • A nem gyökérfunkciót betöltő tartományok elsődleges tartományvezérlői, mivel így létrehozhatók a Windows 2003 új tartományspecifikus biztonsági tagjai.
A fentiek érdekében a WINNT32 eszközzel frissítse a kívánt műveleti főkiszolgálói szerepkört betöltő tartományvezérlőket. Azt is teheti, hogy átadja a szóban forgó szerepet egy újonnan előléptetett Windows Server 2003 rendszerű tartományvezérlőnek. A következő lépéseket minden olyan Windows 2000 rendszerű tartományvezérlőn végre kell hajtania, melyet a WINNT32 eszközzel frissít Windows Server 2003 rendszerre, illetve minden előléptetni kívánt, Windows Server 2003 rendszerű munkacsoport- vagy tagszámítógépen.
  1. Mielőtt a WINNT32 eszközzel frissítené a Windows 2000 rendszerű tagszámítógépeket és tartományvezérlőket, távolítsa el azokról a Windows 2000 felügyeleti eszközeit. Ezt a Vezérlőpult Programok telepítése/törlése eszközével teheti meg. (Csak a Windows 2000 frissítésére vonatkozik.)
  2. Telepítsen minden olyan gyorsjavítást vagy más javítást, amelyet a Microsoft vagy a rendszergazda fontosnak tart.
  3. Minden tartományvezérlő esetében ellenőrizze az esetleges frissítési problémákat. Ehhez adja ki az alábbi parancsot a telepítési adathordozó \I386 mappájában:
    winnt32.exe /checkupgradeonly
    Szüntesse meg a kompatibilitásellenőrzés során feltárt problémákat.
  4. Futtassa a WINNT32.EXE programot a telepítési adathordozó \I386 mappájából, és indítsa újra a frissített tartományvezérlőt.
  5. Csökkentse a biztonsági szintet a korábbi verziójú ügyfelekkel való együttműködéshez szükséges mértékben.

    Ha a Windows NT 4.0 rendszert futtató ügyfeleken nincs telepítve az NT 4.0 SP6 szervizcsomag, vagy a Windows 95 rendszerű ügyfeleken nincs telepítve a címtárszolgáltatások ügyfélprogramja, tiltsa le az SMB szolgáltatás aláírási funkcióját a Tartományvezérlők szervezeti egység Alapértelmezett tartományvezérlői házirendjében, és csatolja ezt a házirendet a tartományvezérlőket üzemeltető összes szervezeti egységhez:
    Számítógép konfigurációja\A Windows beállításai\Biztonsági beállítások\Helyi házirend\Biztonsági beállítások\Microsoft hálózati kiszolgáló: Kommunikáció digitális aláírása (mindig)
  6. Ellenőrizze a frissítés épségét a következők ellenőrzésével:
    • A frissítés sikeresen befejeződött.
    • A telepítőcsomagba helyezett gyorsjavítások sikeresen lecserélték az eredeti bináris fájlokat.
    • Az Active Directory beérkező és kimenő replikálása a tartományvezérlőn tárolt minden névhasználati környezetben megtörténik.
    • Létezik a Netlogon és a Sysvol megosztás.
    • Az eseménynapló ép tartományvezérlőt és ép szolgáltatásokat jelez.

      Megjegyzés: A frissítés után a következőhöz hasonló üzenet jelenhet meg az eseménynaplóban:

      Eseménytípus: Hiba
      Eseményforrás: NTDS Backup
      Esemény kategóriája: Backup
      Eseményazonosító: 1913
      Dátum: Dátum
      Idő: ÓÓ:PP:MM DE|DU
      Felhasználó: -
      Számítógép: számítógépnév
      Leírás: Belső hiba: Az Active Directory biztonságimásolat-készítési és helyreállítási művelete során váratlan hiba lépett fel. A hiba kijavításáig nem lehet biztonsági másolatot készíteni vagy helyreállítani.

      Ezt az eseményt nyugodtan figyelmen kívül hagyhatja.
  7. Telepítse a Windows Server 2003 felügyeleti eszközeit (csak Windows 2000 rendszerek frissítése és nem tartományvezérlőként üzemelő Windows Server 2003 rendszerek esetén). Az Adminpak.msi fájl a Windows Server 2003 CD-ROM \I386 mappájában található. A Windows Server 2003 telepítési adathordozója frissített támogatási eszközöket is tartalmaz – ezek a Support\Tools\Suptools.msi fájlban helyezkednek el. Ne feledkezzen meg e fájl újratelepítéséről.
  8. Az erdő minden tartományában készítsen új biztonsági másolatot legalább az első két Windows Server 2003 rendszerre frissített Windows 2000 rendszerű tartományvezérlőről. A Windows Server 2003 rendszerre frissített Windows 2000 rendszerű számítógépekről készült biztonsági másolatokat zárolt tárolón helyezze el, nehogy véletlenül ezeket használja egy már Windows Server 2003 rendszert futtató tartományvezérlő visszaállításához.
  9. (Nem kötelező) Miután az egypéldányos tároló (SIS) szolgáltatás befejezte munkáját, végezze el a Windows Server 2003 rendszerre frissített tartományvezérlőkön található Active Directory-adatbázisok kapcsolat nélküli töredezettségmentesítését (csak Windows 2000 rendszerek frissítése esetén).

    A SIS áttekinti az Active Directoryban tárolt objektumokra vonatkozó jelenlegi engedélyeket, és egy hatékonyabb biztonsági leírót léptet érvénybe ezen objektumokon. A SIS szolgáltatás automatikusan elindul (ezt a címtár-szolgáltatási eseménynaplóban az 1953-as számú esemény jelzi) a Windows Server 2003 operációs rendszerre frissített tartományvezérlők első indulásakor. A finomított biztonsági leíróval rendelkező tár előnyei csak azt követően használhatók ki, miután a címtárszolgáltatás eseménynaplója rögzített egy 1966-os azonosítójú eseményt:

    Eseménytípus: Információ
    Eseményforrás: NTDS SDPROP
    Esemény kategóriája: Belső feldolgozás
    Eseményazonosító: 1966
    Dátum: ÉÉÉÉ.HH.NN
    Idő: ÓÓ:PP:MM DE|DU
    Felhasználó: NT AUTHORITY\NÉVTELEN BEJELENTKEZÉS
    Számítógép: <számítógépnév>
    Leírás: A biztonsági leíró propagátor befejezte a teljes propagációt.
    Lefoglalt terület (MB):
    XX Szabad terület (MB): XX

    Lehetséges, hogy ez a művelet növelte a szabad területet az Active Directory adatbázisában.
    Felhasználói beavatkozás: Az Active Directory adatbázisában esetleg meglévő szabad terület kinyeréséhez próbálkozzon az adatbázis kapcsolat nélküli módban való töredezettségmentesítésével. További információt a Súgó és támogatás következő webhelyén talál: http://support.microsoft.com.

    Ez az eseményüzenet azt jelzi, hogy az egypéldányos tároló műveletei befejeződtek, és a tároló várólistaként szolgál a rendszergazda által az Ntds.dit fájl NTDSUTIL.EXE eszközzel való kapcsolat nélküli töredezettségmentesítéséhez.

    A kapcsolat nélküli töredezettségmentesítés akár 40%-kal is csökkentheti a Windows 2000 Ntds.dit fájljának méretét, növeli az Active Directory teljesítményét, és frissíti az adatbázisban található lapokat, így azok hatékonyabban tudják tárolni a csatolt értékű attribútumokat. Az Active Directory adatbázisának töredezettségmentesítéséről a Microsoft Tudásbázis alábbi cikkében tájékozódhat:
    232122 Az Active Directory adatbázisának kapcsolat nélküli töredezettségmentesítése (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
  10. Vizsgálja meg az Elosztott hivatkozáskövető kiszolgáló szolgáltatást. A Windows Server 2003 rendszerű tartományvezérlők mind az új, mind a friss telepítéseken letiltják az Elosztott hivatkozáskövető kiszolgáló szolgáltatást. Ha a szervezet Windows 2000 vagy Windows XP rendszerű ügyfelei használják az Elosztott hivatkozáskövető kiszolgáló szolgáltatást, a Csoportházirendben engedélyezze a szolgáltatást az új és a frissített telepítésű, Windows Server 2003 rendszerű tartományvezérlőkön. Ha ezt nem szeretné, inkrementális módon törölje az Active Directoryból az elosztott hivatkozáskövetési objektumokat. A Microsoft Tudásbázis kapcsolódó cikkei:
    312403 Elosztott hivatkozáskövetés Windows rendszerű tartományvezérlőkön (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
    315229 A Dltpurge.vbs fájl szöveges változata a Microsoft Tudásbázis Q312403 jelű cikkéhez (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
    Többezer elosztott hivatkozáskövetési vagy egyéb objektum tömeges törlése a verziótár hiánya miatt a replikáció leállását okozhatja. Az utolsó elosztott hivatkozáskövetési objektum törlése után várjon törlésre kijelölés élettartama számú napot (alapértelmezés szerint ez 60 nap), és várja meg a szemétgyűjtő folyamat befejeződését, majd ezt követően hajtsa végre az NTDSUTIL.EXE eszközzel az Ntds.dit fájl kapcsolat nélküli töredezettségmentesítését.
  11. A szervezeti egységek számára alakítsa ki a gyakorlatban leginkább bevált struktúrát. A Microsoft ajánlja e szerkezet kialakítását minden Active Directory-tartományban, majd miután lezajlott a Windows Server 2003 rendszerű tartományvezérlők telepítése, vagy a tartományvezérlők Windows Server 2003 rendszerre való frissítése, és ezek a tartományok Windows módú tartományokként üzemelnek, irányítsa át a felhasználók, számítógépek és csoportok létrehozására szolgáló alkalmazásprogramozási felületek korábbi verziói által használt alapértelmezett tárolókat a rendszergazda által megadott szervezetiegység-tárolóhoz.

    A szervezeti egységek ajánlott struktúrájával kapcsolatban további információt talál a „Best Practice Active Directory Design for Managing Windows Networks” (Gyakorlati tanácsok a Windows hálózatok kezelésére szolgáló Active Directory rendszerek tervezéséhez) című tanulmány „Creating an Organizational Unit Design” (A szervezeti egységek tervezése) szakaszában. A tanulmány a Microsoft következő webhelyén tekinthető meg (előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat):
    http://www.microsoft.com/technet/prodtechnol/windows2000serv/technologies/activedirectory/plan/bpaddsgn.mspx
    A korábbi verziójú alkalmazásprogramozási felületek által létrehozott alapértelmezett felhasználó-, számítógép- és csoporttárolók helyének módosításáról a Microsoft Tudásbázis alábbi cikkében tájékozódhat:
    324949 Felhasználó- és számítógép-tárolók átirányítása Windows Server 2003 rendszerű tartományokban (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
  12. Szükség szerint ismételje meg az 1–10. lépéseket az erdő minden egyes új telepítésű vagy frissített Windows Server 2003 rendszerű tartományvezérlőjével, emellett minden Active Directory-tartományban hajtsa végre a 11. lépést (a szervezeti egységek számára ajánlott struktúra kialakítását).

    Összegezve:
    • Frissítse a Windows 2000 rendszerű tartományvezérlőket a WINNT32 eszközzel (ha rendelkezésére áll, akkor egy szervizcsomaggal kiegészített telepítési adathordozó használatával).
    • Ellenőrizze a gyorsjavításokban lévő fájlok telepítését a frissített számítógépeken.
    • Telepítsen minden olyan szükséges gyorsjavítást, amelyet a telepítési adathordozó nem tartalmaz.
    • Ellenőrizze az új és frissített kiszolgálók épségét (Active Directory, fájlreplikációs szolgáltatás, házirendek stb.).
    • Várjon 24 órát az operációs rendszer frissítése után, majd hajtson végre kapcsolat nélküli töredezettségmentesítést (nem kötelező).
    • Ha szükséges, indítsa el az elosztott hivatkozáskövetési szolgáltatást, ellenkező esetben törölje az elosztott hivatkozáskövetési objektumokat a domainprep erdőszintű változatának q312403 és q315229 jelű kiadásával.
    • Az elosztott hivatkozáskövetési objektumok törlésétől számított minimum 60 nap (legalább a törlésre kijelölés élettartama és a szemétgyűjtéshez szükséges napok) eltelte után hajtson végre kapcsolat nélküli töredezettségmentesítést.

A frissítési folyamat próbája kísérleti környezetben

Mielőtt éles környezetben használt Windows 2000 rendszerű tartományokban frissítené a Windows rendszerű tartományvezérlőket, tesztkörnyezetben próbálja ki, és szükség szerint pontosítsa a frissítési folyamatot. Ha a ténylegesen az éles környezetet tükröző tesztkörnyezetben sikerült gördülékenyen végrehajtani a frissítést, minden valószínűség szerint éles környezetben is sikerülni fog a folyamat. Összetett környezetek esetén a tesztkörnyezetnek az alábbi szempontok tekintetében kell tükröznie az éles környezetet:
  • Hardverek: számítógéptípus, memóriaméret, lapozófájl helye, lemezméret és -teljesítmény, RAID-konfiguráció, a BIOS és a firmware pontos verziószáma (beleértve a kiadás számát (revision number) is).
  • Szoftverek: ügyfél- és kiszolgáló-számítógépek operációs rendszereinek verziói, ügyfél- és kiszolgálóalkalmazások, szervizcsomagok verziói, telepített gyorsjavítások, sémamódosítások, biztonsági csoportok, csoporttagságok, engedélyek, házirend-beállítások, az objektumok száma, típusa és elhelyezkedése, a korábbi verziókkal tervezett együttműködéshez szükséges beállítások.
  • Hálózati infrastruktúra: WINS, DHCP, kapcsolati sebességek, rendelkezésre álló sávszélesség.
  • Terhelés: A terhelésszimulátorok képesek szimulálni a jelszómódosításokat, az objektumok létrehozását, az Active Directory replikálását, a bejelentkezéskor szükséges hitelesítést és egyéb eseményeket. A cél nem az éles környezetre jellemző méret reprodukálása, hanem az éles környezetben gyakori műveletek költségének, gyakoriságának és hatásainak (névlekérdezések száma, replikálás adatforgalmának mértéke, igényelt hálózati sávszélesség, processzorterhelés) felfedése a jelenlegi és a várható jövőbeli követelmények alapján.
  • Felügyelet: végrehajtott feladatok, használt eszközök és operációs rendszerek.
  • Működés: kapacitás, együttműködési jellemzők.
  • Lemezterület: Az alábbi műveletek mindegyike után jegyezze fel az operációs rendszer, az Ntds.dit fájl és az Active Directory naplófájljai által foglalt lemezterületek kezdeti, legnagyobb és végső méretét, úgy a globáliskatalógus-tartományvezérlőkön, mint a globáliskatalógus-kiszolgálói szerepeket nem játszó tartományvezérlőkön, minden egyes tartományban:
    1. adprep /forestprep
    2. adprep /domainprep
    3. Windows 2000 alapú tartományvezérlők frissítése Windows Server 2003 operációs rendszerre
    4. Kapcsolat nélküli töredezettségmentesítés végrehajtása a verziófrissítések után
A frissítési folyamat átlátása, a környezet komplexitása és a részletes megfigyelések együttesen határozzák meg, mire és milyen mértékben szükséges különös tekintettel lenni az éles környezet frissítése során. A kisebb számú tartományvezérlőt és Active Directory-objektumot felvonultató, magas rendelkezésre állású nagyhálózati kapcsolatokkal (WAN-kapcsolatokkal) rendelkező környezetek frissítésére akár néhány óra is elegendő lehet. A százas nagyságrendű tartományvezérlőt és százas, vagy akár ezres nagyságrendű Active Directory-objektumot tartalmazó vállalati környezetek nagyobb összpontosítást is igényelnek. Ilyen esetekben a frissítés néhány hetet vagy néhány hónapot is igénybe vehet.

A tesztkörnyezetben végrehajtott próbafrissítések során az alábbi feladatokat kell végrehajtani:
  • A frissítési folyamat belső működésének megismerése, illetve a frissítéssel járó kockázatok felmérése.
  • Az adott környezetben a telepítési folyamat valószínűsíthetően problémás pontjainak azonosítása.
  • Vészhelyzeti tervek kidolgozása a frissítés sikertelenségének esetére, valamint e forgatókönyvek tesztelése.
  • Az éles környezetben zajló frissítés részletességi szintjének definiálása.

Kevés lemezterülettel rendelkező tartományvezérlők

Az alábbi lépések végrehajtásával lemezterületet szabadíthat fel az elegendő lemezterülettel nem rendelkező tartományvezérlők azon kötetein, melyek az Ntds.dit fájlt és a naplófájlokat tárolják.
  1. Törölje a használaton kívüli fájlokat, beleértve az internetböngészők *.tmp és gyorsítótárfájljait. Ezt a következő parancsokkal teheti meg (a parancsok végén nyomja le az ENTER billentyűt):
    cd /d meghajtó\
    del *.tmp /s
  2. Törölje a felhasználói és memóriatérkép-fájlokat. Ezt a következő parancsokkal teheti meg (a parancsok végén nyomja le az ENTER billentyűt):
    cd /d meghajtó\
    del *.dmp /s
  3. Átmenetileg távolítsa el vagy helyezze át a más kiszolgálókon is elérhető, illetve az egyszerűen újratelepíthető fájlokat. Az eltávolítható és egyszerűen újratelepíthető fájlok közé tartoznak az ADMINPAK csomag, a támogatási eszközök és a %systemroot%\System32\Dllcache mappa fájljai.
  4. Törölje a régi és a használaton kívüli felhasználói profilokat. Ehhez kattintson a Start gombra, kattintson jobb gombbal a Sajátgép parancsra, majd kattintson a Tulajdonságok parancsra és a Felhasználói profilok fülre, végül törölje a régi és használaton kívüli fiókokhoz tartozó felhasználói profilokat. A szolgáltatásfiókokhoz tartozó profilokat ne törölje.
  5. Törölje a %systemroot%\Symbols mappában található szimbólumokat. Ehhez írja be a következő parancsot:
    rd /s %systemroot%\symbols
    Attól függően, hogy a kiszolgálók teljes vagy kis szimbólumkészlettel rendelkeznek, e lépéssel körülbelül 70–600 MB méretű területet szabadíthat fel.
  6. Hajtson végre kapcsolat nélküli töredezettségmentesítést. Az Ntds.dit fájl kapcsolat nélküli töredezettségmentesítésével ugyan területet szabadíthat fel, ám a töredezettségmentesítés idejére átmenetileg a DIT fájl méretének kétszeresére lesz szükség. A kapcsolat nélküli töredezettségmentesítéshez célszerű másik helyi kötetet használni, ha van ilyen. Ellenkező esetben a leggyorsabb kapcsolattal rendelkező hálózati kiszolgáló tárterületét vegye igénybe a kapcsolat nélküli töredezettségmentesítéshez. Ha továbbra sem áll rendelkezésre a szükséges lemezterület, egyesével törölje a felesleges felhasználói fiókokat, számítógépfiókokat, DNS-rekordokat és elosztott hivatkozáskövetési objektumokat az Active Directoryból.

    Megjegyzés: Az Active Directory mindaddig nem törli az objektumokat az adatbázisából, míg le nem telik a törlésre kijelölés élettartamaként meghatározott számú nap (alapértelmezés szerint 60 nap), és be nem fejeződik az ezt követő szemétgyűjtő folyamat. Ha a törlésre kijelölés élettartama értékét az erdő teljes replikációs idejénél alacsonyabb értékre csökkenti, inkonzisztenciát idézhet elő az Active Directoryban.

Hivatkozások

A Microsoft Tudásbázis kapcsolódó cikke:
821076 A Windows Server 2003 súgófájljai helytelen adatokat tartalmaznak a Windows 2000 rendszerű tartományok frissítéséről (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)

Tulajdonságok

Cikk azonosítója: 325379 - Utolsó ellenőrzés: 2006. szeptember 22. - Verziószám: 21.1
A cikkben található információ a következő(k)re vonatkozik:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Exchange 2000 Server Standard Edition
Kulcsszavak: 
kbinfo KB325379
A Microsoft tudásbázisban szolgáltatott információkat "az adott állapotban", bárminemű szavatosság vagy garancia nélkül biztosítjuk. A Microsoft kizár mindennemű, akár kifejezett, akár vélelmezett szavatosságot vagy garanciát, ideértve a forgalomképességre és az adott célra való alkalmasságra vonatkozó szavatosságot is. A Microsoft Corporation és annak beszállítói semmilyen körülmények között nem felelősek semminemű kárért, így a közvetlen, a közvetett, az üzleti haszon elmaradásából származó vagy speciális károkért, illetve a kár következményeként felmerülő költségek megtérítéséért, még abban az esetben sem, ha a Microsoft Corporationt vagy beszállítóit az ilyen károk bekövetkeztének lehetőségére figyelmeztették. Egyes államok joga nem teszi lehetővé bizonyos károkért a felelősség kizárását vagy korlátozását, ezért a fenti korlátozások az ön esetében esetleg nem alkalmazhatók.

Visszajelzés küldése

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com