Aggiornamento dei controller di dominio Windows 2000 a Windows Server 2003

Traduzione articoli Traduzione articoli
Identificativo articolo: 325379 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

In questa pagina

Sommario

In questo articolo viene descritto come effettuare l'aggiornamento dei controller di dominio Microsoft Windows 2000 a Microsoft Windows Server 2003 e come aggiungere nuovi controller di dominio Windows Server 2003 ai domini Windows 2000.

Inventario dei domini e delle foreste

Prima di effettuare l'aggiornamento dei controller di dominio da Windows 2000 a Windows Server 2003 o di aggiungere nuovi controller di dominio Windows Server 2003 a un dominio Windows 2000, attenersi alla seguente procedura:
  1. Effettuare l'inventario dei client che accedono alle risorse del dominio che ospitano i controller di dominio Windows Server 2003 per la compatibilitÓ con la firma SMB:

    Ogni controller di dominio Windows Server 2003 consente la firma SMB nei criteri di protezione locali. Assicurarsi che tutti i client di rete che utilizzano il protocollo SMB/CIFS per accedere a file e stampanti condivisi nei domini che ospitano i controller di dominio Windows Server 2003 possano essere configurati o aggiornati per supportare la firma SMB. In caso contrario disattivare temporaneamente la firma SMB fino all'installazione degli aggiornamenti o fino al momento in cui non sia possibile effettuare l'aggiornamento a sistemi operativi pi¨ recenti che supportano la firma SMB. Per informazioni su come disattivare la firma SMB, vedere la sezione "Per disattivare la firma SMB" alla fine di questo passaggio.

    Piani di azione

    L'elenco riportato di seguito presenta i piani di azione per i client SMB noti:
    • Microsoft Windows Server 2003, Microsoft Windows XP Professional, Microsoft Windows 2000 Server, Microsoft Windows 2000 Professional e Microsoft Windows 98

      Non sono richieste operazioni.
    • Microsoft Windows NT 4.0

      Installare il Service Pack 3 o versione successiva (Service Pack 6A consigliato) in tutti i computer basati su Windows NT 4.0 che accedono ai domini che includono computer basati su Windows Server 2003. In alternativa disattivare temporaneamente la firma SMB nei controller di dominio Windows Server 2003. Per informazioni su come disattivare la firma SMB, vedere la sezione "Per disattivare la firma SMB" alla fine di questo passaggio.
    • Microsoft Windows 95

      Installare il client del servizio directory di Windows 9x nei computer basati su Windows 95 o disattivare temporaneamente la firma SMB nei controller di dominio Windows Server 2003. Il client originale del servizio directory per Windows 9x Ŕ disponibile sul CD di Windows 2000 Server. Questo componente aggiuntivo client Ŕ stato tuttavia sostituito da un client avanzato del servizio directory per Windows 9x. Per informazioni su come disattivare la firma SMB, vedere la sezione "Per disattivare la firma SMB" alla fine di questo passaggio.
    • Client di rete Microsoft per MS-DOS e client Microsoft LAN Manager

      Il client di rete Microsoft per MS-DOS e il client di rete Microsoft LAN Manager 2.x possono essere utilizzati per fornire l'accesso alle risorse di rete oppure essere combinati con un disco floppy avviabile per copiare i file del sistema operativo e altri file da una directory condivisa di un file server nell'ambito di una routine di installazione del software. Questi client non supportano la firma SMB. Utilizzare un metodo di installazione alternativo o disattivare la firma SMB. Per informazioni su come disattivare la firma SMB, vedere la sezione "Per disattivare la firma SMB" alla fine di questo passaggio.
    • Client Macintosh

      Alcuni client Macintosh non sono compatibili con la firma SMB e mostreranno il messaggio di errore riportato di seguito quando verrÓ effettuato il tentativo di connessione a una risorsa di rete:
      - Errore -36 I/O
      Installare il software aggiornato, se disponibile. In caso contrario disattivare la firma SMB nei controller di dominio Windows Server 2003. Per informazioni su come disattivare la firma SMB, vedere la sezione "Per disattivare la firma SMB" alla fine di questo passaggio.
    • Altri client SMB di terze parti

      Alcuni client SMB di terze parti non supportano la firma SMB. Consultare il provider SMB per verificare l'esistenza di una versione aggiornata. In caso contrario disattivare la firma SMB nei controller di dominio Windows Server 2003.
    Per disattivare la firma SMB

    Se gli aggiornamenti software non possono essere installati nei controller di dominio in questione in cui Ŕ installato Windows 95, Windows NT 4.0 o altri client installati prima dell'introduzione di Windows Server 2003, disattivare temporaneamente i requisiti di firma del servizio SMB nei Criteri di gruppo fino a quando non sarÓ possibile distribuire software client aggiornato.

    La firma del servizio SMB pu˛ essere disattivata nel seguente nodo di Criterio controller di dominio predefinito nell'unitÓ organizzativa dei controller di dominio:
    Configurazione computer\Impostazioni di Windows\Impostazioni protezione\Criteri locali\Opzioni di protezione\Server di rete Microsoft: aggiungi firma digitale alle comunicazioni (sempre)
    Se i controller di dominio non si trovano nella relativa unitÓ organizzativa, Ŕ necessario collegare l'oggetto Criteri di gruppo (GPO) del controller di dominio predefinito a tutte le unitÓ organizzative nelle quali risiedono controller di dominio Windows 2000 o Windows Server 2003. In alternativa, Ŕ possibile configurare la firma del servizio SMB in un GPO collegato a tali unitÓ organizzative.
  2. Effettuare l'inventario dei controller di dominio presenti nel dominio e nella foresta:
    1. Assicurarsi che in tutti i controller di dominio Windows 2000 della foresta siano installati gli hotfix e i service pack corretti.

      Microsoft consiglia di installare Windows 2000 Service Pack 4 (SP4) o un sistema operativo successivo in tutti i controller di dominio Windows 2000. Se non Ŕ possibile distribuire completamente Windows 2000 SP4 o versione successiva, Ŕ necessario verificare che in tutti i controller di dominio Windows 2000 sia presente un file Ntdsa.dll con attributi di data e ora successivi al 4 giugno 2001 e con il numero di versione 5.0.2195.3673. Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
      331161 Aggiornamenti rapidi da installare prima di eseguire adprep /Forestprep in un controller di dominio di Windows 2000 per preparare l'insieme di strutture e i domini per l'aggiunta di controller di dominio basati su Windows Server 2003
      Per impostazione predefinita, negli strumenti di amministrazione di Active Directory sui computer client Windows 2000 SP4, Windows XP e Windows Server 2003 viene utilizzata la firma LDAP (Lightweight Directory Access Protocol). Se in questi computer viene utilizzata, o ripristinata, l'autenticazione NTLM quando si effettua l'amministrazione remota dei controller di dominio Windows 2000, la connessione non funzionerÓ. Per risolvere questo problema, nei controller di dominio amministrati in remoto deve essere installato almeno Windows 2000 SP3 oppure Ŕ necessario disattivare la firma LDAP sui client che eseguono gli strumenti di amministrazione. Per ulteriori informazioni su LDAP, fare clic sui numeri degli articoli della Microsoft Knowledge Base riportati di seguito:
      325465 I controller di dominio Windows 2000 richiedono SP3 o versione successiva per utilizzare gli strumenti di amministrazione di Windows Server 2003
      L'autenticazione NTLM viene utilizzata nei seguenti casi:
      • I controller di dominio Windows 2000 amministrati si trovano in una foresta esterna connessa tramite una relazione di trust NTLM (non Kerberos).
      • Viene attivato lo snap-in MMC (Microsoft Management Console) per uno specifico controller di dominio a cui fa riferimento il relativo indirizzo IP. Ad esempio, fare clic sul pulsante Start, scegliere Esegui, quindi digitare il seguente comando:
        dsa.msc /server=indirizzoip
      Per determinare il sistema operativo e il livello di versione del service pack dei controller di dominio Active Directory in un dominio Active Directory, installare la versione di Repadmin.exe per Windows Server 2003 in un computer membro basato su Windows XP Professional o Windows Server 2003 della foresta ed eseguire il comando repadmin riportato di seguito su un controller di dominio in ogni dominio della foresta:
      >repadmin /showattr nome del controller di dominio che si trova nel dominio di destinazione ncobj:domain: /filter:"(&(objectCategory=computer)(primaryGroupID=516))" /subtree /atts:operatingSystem,operatingSystemVersion,operatingSystemServicePack

      DN: CN=NA-DC-01,organizational unit=Domain Controllers,DC=company,DC=com
      1> operatingSystem: Windows Server 2003
      1> operatingSystemVersion: 5.2 (3718)
      DN: CN=NA-DC-02,organizational unit=Domain Controllers,DC=company,DC=com

      1> operatingSystem: Windows 2000 Server
      1> operatingSystemVersion: 5.0 (2195)
      1> operatingSystemServicePack: Service Pack 1
      Nota: negli attributi del controller di dominio non viene registrata l'installazione dei singoli hotfix.
    2. Verificare la replica end-to-end di Active Directory in tutta la foresta.

      Verificare che ogni controller di dominio della foresta aggiornata effettui in modo coerente la replica di tutti i contesti dei nomi gestiti localmente con i propri partner, in base alla pianificazione definita dai collegamenti di sito e dagli oggetti connessione. Utilizzare la versione di Repadmin.exe per Windows Server 2003 in un computer membro basato su Windows XP o Windows Server 2003 della foresta con i seguenti argomenti:
      REPADMIN /REPLSUM /BYSRC /BYDEST /SORT:DELTA              <-output formatted to fit on page  
      
      DestDC    largest delta    fails/total  %%  error  
      
      NA-DC-01 13d.21h:10m:10s    97 / 143  67  (8240) There is no such object... 
      NA-DC-02 13d.04h:11m:07s   180 / 763  23  (8524) The DSA operation... 
      NA-DC-03 12d.03h:54m:41s     5 /   5 100  (8524) The DSA operation...
      In tutti i controller di dominio della foresta deve essere effettuata la replica di Active Directory senza errori e i valori nella colonna "Largest Delta" dell'output di repadmin non devono essere notevolmente superiori alla frequenza di replica definita dai corrispondenti collegamenti di sito o oggetti connessione utilizzati da un determinato controller di dominio di destinazione.

      Risolvere tutti gli errori di replica tra controller di dominio in cui la replica in ingresso non Ŕ riuscita per un numero di giorni inferiore alla durata di rimozione (per impostazione predefinita, 60 giorni). Se la replica non funziona, potrebbe essere necessario forzare l'abbassamento di livello dei controller di dominio e rimuoverli dalla foresta utilizzando il comando metadata cleanup di Ntdsutil, quindi alzarli di nuovo di livello nella foresta. ╚ possibile imporre l'abbassamento di livello per salvare sia l'installazione del sistema operativo sia i programmi che si trovano sul controller di dominio isolato. Per ulteriori informazioni sulla rimozione dei controller di dominio Windows 2000 isolati dal relativo dominio, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
      216498 Rimozione di dati in Active Directory dopo un abbassamento di livello non riuscito di un controller di dominio
      Procedere in questo modo solo come ultima soluzione per ripristinare l'installazione del sistema operativo e i programmi installati. Gli oggetti e gli attributi non replicati sui controller di dominio isolati andranno persi, inclusi utenti, computer, relazioni di trust, le relative password, i gruppi e le appartenenze ai gruppi.

      Prestare la massima attenzione durante la risoluzione degli errori di replica sui controller di dominio che non hanno replicato le modifiche in ingresso relative a una particolare partizione di Active Directory per un numero di giorni superiore rispetto alla durata di rimozione. In questi casi Ŕ possibile che vengano ripristinati oggetti eliminati in un controller di dominio, ma per i quali nei 60 giorni precedenti le informazioni sull'eliminazione non sono state ricevute dai partner di replica diretti o transitivi.

      Si tenga in considerazione la rimozione degli oggetti che si trovano nei controller di dominio in cui non Ŕ stata eseguita la replica in ingresso nei 60 giorni precedenti. In alternativa Ŕ possibile forzare l'abbassamento di livello dei controller di dominio che non hanno eseguito alcuna replica in ingresso in una determinata partizione entro il numero di giorni della durata della rimozione e rimosso i metadati rimanenti dalla foresta di Active Directory mediante Ntdsutil e altre utilitÓ. Per ulteriori informazioni e assistenza, contattare il provider del servizio di supporto o il Servizio Supporto Tecnico Clienti Microsoft.
    3. Verificare che il contenuto della condivisione Sysvol sia coerente.

      Verificare che la parte del criterio di sistema relativa al file system sia coerente. Per determinare l'eventuale presenza di incoerenze nei criteri a livello di dominio, Ŕ possibile utilizzare Gpotool.exe disponibile nel Resource Kit. Utilizzare Healthcheck, disponibile tra gli Strumenti di supporto di Windows Server 2003, per determinare se i set di replica della condivisione Sysvol funzionano correttamente in tutti i domini.

      Se il contenuto della condivisione Sysvol non Ŕ coerente, risolvere tutte le incoerenze.
    4. Utilizzare Dcdiag.exe, disponibile tra gli Strumenti di supporto, per verificare che le condivisioni Netlogon e Sysvol siano state condivise per tutti i controller di dominio. Al prompt dei comandi digitare il seguente comando:
      DCDIAG.EXE /e /test:frssysvol
    5. Effettuare l'inventario di tutti i ruoli operativi.

      I master operazioni dello schema e dell'infrastruttura sono utilizzati per introdurre modifiche dello schema a livello di dominio e di foresta, nella stessa foresta e nei relativi domini, che sono effettuate mediante l'utilitÓ adprep di Windows Server 2003. Verificare che il controller di dominio che ospita i ruoli dello schema e dell'infrastruttura per ciascun dominio della foresta si trovi nei controller di dominio attivi e che ogni proprietario del ruolo abbia eseguito la replica in ingresso dall'ultimo riavvio di tutte le partizioni.

      Per visualizzare i ruoli operativi a livello di dominio e di foresta Ŕ possibile utilizzare il comando DCDIAG /test:FSMOCHECK. I ruoli master operazioni che si trovano in controller di dominio inesistenti devono essere assegnati a un controller di dominio integro mediante NTDSUTIL. Se possibile, i ruoli che risiedono in controller di dominio non integri devono essere trasferiti. In caso contrario devono essere assegnati. Il comando NETDOM QUERY FSMO non identifica i ruoli FSMO che si trovano nei controller di dominio eliminati.

      Verificare che il master dello schema e che ogni master dell'infrastruttura abbia eseguito la replica in ingresso di Active Directory fin dall'ultimo avvio. ╚ possibile verificare la replica in ingresso mediante il comando REPADMIN /SHOWREPS NOME CONTROLLER DI DOMINIO, dove NOME CONTROLLER DI DOMINIO rappresenta il nome del computer NetBIOS o il nome completo di un controller di dominio. Per ulteriori informazioni sui master operazioni e sulla relativa posizione, fare clic sui numeri degli articoli della Microsoft Knowledge Base riportati di seguito:
      197132 Ruoli FSMO di Active Directory in Windows 2000
      223346 Collocazione e ottimizzazione di FSMO in controller di dominio Active Directory
    6. Esame del registro eventi

      Esaminare i registri eventi su tutti i controller di dominio per verificare se sono presenti eventi problematici. I registri eventi non devono contenere messaggi relativi a eventi gravi che indichino un problema in relazione a uno dei seguenti processi e componenti:
      connettivitÓ fisica
      connettivitÓ di rete
      registrazione dei nomi
      risoluzione dei nomi
      autenticazione
      Criteri di gruppo
      criteri di protezione
      sottosistema disco
      schema
      topologia
      modulo di replica
    7. Inventario dello spazio su disco

      Sul volume su cui risiede il file del database di Active Directory, Ntds.dit, deve essere disponibile spazio pari almeno al 15-20% della dimensione del file stesso. Anche sul volume su cui risiede il file di registro di Active Directory deve essere disponibile spazio pari almeno al 15-20% della dimensione del file Ntds.dit. Per ulteriori informazioni su come liberare ulteriore spazio su disco, vedere la sezione "Controller di dominio con spazio su disco insufficiente" in questo articolo.
    8. Scavenging DNS (facoltativo)

      Attivare lo scavenging DNS a intervalli di 7 giorni per tutti i server DNS della foresta. Per ottenere risultati ottimali, eseguire questa operazione 61 o pi¨ giorni prima dell'aggiornamento del sistema operativo. In questo modo il daemon di scavenging DNS disporrÓ di tempo sufficiente per il processo di garbage collection degli oggetti DNS obsoleti quando viene eseguita una deframmentazione non in linea del file Ntds.dit.
    9. Disattivazione del servizio Manutenzione collegamenti distribuiti server (facoltativo)

      Il servizio Manutenzione collegamenti distribuiti server Ŕ disattivato nelle installazioni nuove e in quelle aggiornate dei controller di dominio Windows Server 2003. Se non si utilizza questo servizio, Ŕ possibile disattivarlo nei controller di dominio Windows 2000 e cominciare a eliminare gli oggetti del servizio da ogni dominio della foresta. Per ulteriori informazioni vedere la sezione "Suggerimenti di Microsoft per l'utilizzo del servizio Manutenzione collegamenti distribuiti in server basati su Windows 2000" nell'articolo della Microsoft Knowledge Base riportato di seguito:
      312403 Servizio Manutenzione collegamenti distribuiti sui controller di dominio basati su Windows
    10. Backup dello stato del sistema

      Effettuare il backup dello stato del sistema di almeno due controller di dominio per ogni dominio della foresta. PotrÓ essere utilizzato per ripristinare tutti i domini della foresta qualora l'aggiornamento non dovesse funzionare.

Microsoft Exchange 2000 in foreste Windows 2000

NoteNello schema di Exchange 2000 vengono definiti tre attributi inetOrgPerson con LDAPDisplayName non compatibili con RFC (Request for Comment): houseIdentifier, secretary e labeledURI.

Il kit inetOrgPerson di Windows 2000 e il comando adprep di Windows Server 2003 definiscono le versioni compatibili con RFC degli stessi tre attributi con LDAPDisplayNames identici a quelli delle versioni non compatibili con RFC.

Quando viene eseguito il comando adprep /forestprep di Windows Server 2003 senza script di correzione in una foresta che contiene le modifiche allo schema di Windows 2000 e di Exchange 2000, gli attributi LDAPDisplayNames per houseIdentifier, labeledURI e secretary verranno alterati. Un attributo risulta "alterato" se "Dup" o altri caratteri univoci vengono aggiunti all'inizio del nome dell'attributo in questione, per fare in modo che gli oggetti e gli attributi nella directory abbiano nomi univoci.


Le foreste Active Directory non sono vulnerabili all'alterazione dei LDAPDisplayNames in relazione agli attributi citati nei seguenti casi:
  • Se si esegue il comando adprep /forestprep di Windows Server 2003 in una foresta che contiene lo schema di Windows 2000 prima di aggiungere lo schema di Exchange 2000.
  • Se si installa lo schema di Exchange 2000 in una foresta creata nel punto in cui un controller di dominio Windows Server 2003 era il primo controller di dominio della foresta.
  • Se si aggiunge il kit inetOrgPerson di Windows 2000 a una foresta che contiene lo schema di Windows 2000, si installano le modifiche allo schema di Exchange 2000 e si esegue il comando adprep /forestprep di Windows Server 2003.
  • Se si aggiunge lo schema di Exchange 2000 a una foresta Windows 2000 esistente e si esegue adprep /forestprep di Exchange 2003 prima di eseguire il comando adprep /forestprep di Windows Server 2003.
L'alterazione degli attributi si verifica in Windows 2000 nei seguenti casi:
  • Se si aggiungono le versioni di Exchange 2000 degli attributi labeledURI, houseIdentifier e secretary a una foresta Windows 2000 prima di aggiungere il kit inetOrgPerson di Windows 2000.
  • Se si aggiungono le versioni di Exchange 2000 degli attributi labeledURI, houseIdentifier e secretary a una foresta Windows 2000 prima di eseguire il comando adprep /forestprep di Windows Server 2003 senza prima eseguire gli script di rimozione.
Di seguito sono riportati i piani di azione per ciascuno scenario:

Scenario 1: le modifiche allo schema di Exchange 2000 vengono aggiunte dopo l'esecuzione del comando adprep /forestprep di Windows Server 2003

Se vengono introdotte modifiche allo schema di Exchange 2000 nella foresta Windows 2000 dopo l'esecuzione del comando adprep /forestprep di Windows Server 2003, non Ŕ necessaria alcuna operazione di rimozione. Passare alla sezione "Cenni preliminari: Aggiornamento dei controller di dominio Windows 2000 a Windows Server 2003".

Scenario 2: le modifiche allo schema di Exchange 2000 vengono installate prima dell'esecuzione del comando adprep /forestprep di Windows Server 2003

Se le modifiche allo schema di Exchange 2000 sono giÓ state installate, ma NON Ŕ ancora stato eseguito il comando adprep /forestprep di Windows Server 2003, considerare il seguente piano di azione:
  1. Accedere alla console del master operazioni dello schema utilizzando un account membro del gruppo di protezione Schema Admins.
  2. Fare clic sul pulsante Start, scegliere Esegui, digitare notepad.exe nella casella Apri, quindi scegliere OK.
  3. Copiare nel Blocco note il testo riportato di seguito compreso il carattere "-" dopo "schemaUpdateNow: 1".
    dn: CN=ms-Exch-Assistant-Name,CN=Schema,CN=Configuration,DC=X
    changetype: Modify
    replace:LDAPDisplayName
    LDAPDisplayName: msExchAssistantName
    -

    dn: CN=ms-Exch-LabeledURI,CN=Schema,CN=Configuration,DC=X
    changetype: Modify
    replace: LDAPDisplayName
    LDAPDisplayName: msExchLabeledURI
    -

    dn: CN=ms-Exch-House-Identifier,CN=Schema,CN=Configuration,DC=X
    changetype: Modify
    replace: LDAPDisplayName
    LDAPDisplayName: msExchHouseIdentifier
    -

    dn:
    changetype: Modify
    add: schemaUpdateNow
    schemaUpdateNow: 1
    -
  4. Verificare che alla fine di ciascuna riga non vi siano spazi.
  5. Scegliere Salva dal menu File. Nella finestra di dialogo Salva con nome attenersi alla seguente procedura:
    1. Nella casella Nome file digitare quanto segue:
      \%userprofile%\InetOrgPersonPrevent.ldf
    2. Nella casella Tipo file scegliere Tutti i file.
    3. Nella casella Codifica fare clic su Unicode.
    4. Scegliere Salva.
    5. Chiudere il Blocco note.
  6. Eseguire lo script InetOrgPersonPrevent.ldf.
    1. Fare clic sul pulsante Start, scegliere Esegui, digitare cmd nella casella Apri, quindi scegliere OK.
    2. Al prompt dei comandi digitare quanto riportato di seguito, quindi premere INVIO:
      cd %userprofile%
    3. Digitare il seguente comando:
      c:\documents and settings\%username%>ldifde -i -f inetorgpersonprevent.ldf -v -c DC=X "percorso del nome del dominio principale della foresta"
      Note sulla sintassi:
      • DC=X Ŕ una costante in grado di rilevare la differenza tra lettere maiuscole e minuscole.
      • Il percorso del nome del dominio principale deve essere racchiuso tra virgolette.
      Ad esempio, la sintassi del comando per una foresta Active Directory il cui dominio principale della foresta Ŕ TAILSPINTOYS.COM, potrebbe essere:
      c:\documents and settings\administrator>ldifde -i -f inetorgpersonprevent.ldf -v -c DC=X "dc=tailspintoys,dc=com"
      Nota Potrebbe essere necessario cambiare l'impostazione della sottochiave
      Schema Update Allowed
      del Registro di sistema se viene visualizzato il seguente messaggio di errore:
      Aggiornamento schema non consentito sul controller di dominio. La chiave del Registro di sistema non Ŕ impostata o il controller di dominio non Ŕ proprietario del ruolo FSMO per lo schema.
      Per ulteriori informazioni su come modificare questa sottochiave del Registro di sistema, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
      285172 Gli aggiornamenti dello schema richiedono l'accesso in scrittura allo schema di Active Directory
  7. Verificare che gli LDAPDisplaynames per gli attributi CN=ms-Exch-Assistant-Name, CN=ms-Exch-LabeledURI e CN=ms-Exch-House-Identifier nel contesto dei nomi dello schema vengano visualizzati come msExchAssistantName, msExchLabeledURI e msExchHouseIdentifier prima di eseguire i comandi adprep /forestprep di Windows Server 2003.
  8. Passare alla sezione "Cenni preliminari: aggiornamento dei controller di dominio Windows 2000 a Windows Server 2003" per eseguire i comandi adprep /forestprep e /domainprep.

Scenario 3: il comando forestprep di Windows Server 2003 Ŕ stato eseguito prima di eseguire inetOrgPersonFix

Se si esegue il comando adprep /forestprep di Windows Server 2003 in una foresta Windows 2000 contenente modifiche allo schema di Exchange 2000, gli attributi LDAPDisplayName per houseIdentifier, secretary e labeledURI verranno alterati. Per identificare i nomi alterati, utilizzare Ldp.exe per trovare gli attributi in questione:
  1. Installare Ldp.exe dalla cartella Support\Tools del supporto di installazione di Microsoft Windows 2000 o Windows Server 2003.
  2. Avviare Ldp.exe da un controller di dominio o da un computer membro della foresta.
    1. Scegliere Connect dal menu Connection, lasciare vuota la casella Server, digitare 389 nella casella Port, quindi scegliere OK.
    2. Scegliere Bind dal menu Connection, lasciare vuote tutte le caselle, quindi scegliere OK.
  3. Registrare il percorso del nome distinto dell'attributo SchemaNamingContext. Ad esempio, per un controller di dominio della foresta CORP.ADATUM.COM, il percorso del nome distinto potrebbe essere CN=Schema,CN=Configuration,DC=corp,DC=company,DC=com.
  4. Scegliere Search dal menu Browse.
  5. Utilizzare le impostazioni seguenti per configurare la finestra di dialogo Search:
    • Base DN: il percorso del nome distinto per il contesto dei nomi dello schema identificato al passaggio 3.
    • Filter: (ldapdisplayname=dup*)
    • Scope: sottostruttura
  6. Gli attributi houseIdentifier, secretary e labeledURI alterati presentano attributi LDAPDisplayName simili al seguente formato:
    LDAPDisplayName: DUP-labeledURI-9591bbd3-d2a6-4669-afda-48af7c35507d;
    LDAPDisplayName: DUP-secretary-c5a1240d-70c0-455c-9906-a4070602f85f
    LDAPDisplayName: DUP-houseIdentifier-354b0ca8-9b6c-4722-aae7-e66906cc9eef
  7. Se gli attributi LDAPDisplayName per labeledURI, secretary e houseIdentifier sono stati alterati al passaggio 6, eseguire lo script InetOrgPersonFix.ldf di Windows Server 2003 per il ripristino, quindi passare alla sezione "Aggiornamento dei controller di dominio Windows 2000 con Winnt32.exe".
    1. Creare una cartella denominata %Systemdrive%\IOP in cui estrarre il file InetOrgPersonFix.ldf.
    2. Al prompt dei comandi digitare cd %systemdrive%\iop.
    3. Estrarre il file InetOrgPersonFix.ldf dal file Support.cab situato nella cartella Support\Tools sul supporto di installazione di Windows Server 2003.
    4. Dalla console del master operazioni dello schema caricare il file InetOrgPersonFix.ldf utilizzando Ldifde.exe per correggere l'attributo LdapDisplayName degli attributi houseIdentifier, secretary e labeledURI. A tale scopo, digitare il comando riportato di seguito, dove <X> Ŕ una costante che fa distinzione tra maiuscole e minuscole e <percorso del nome del dominio principale della foresta> Ŕ il percorso del nome del dominio principale della foresta:
      C:\IOP>ldifde -i -f inetorgpersonfix.ldf -v -c DC=X "percorso del nome del dominio principale della foresta"
      Note sulla sintassi:
      • DC=X Ŕ una costante in grado di rilevare la differenza tra lettere maiuscole e minuscole.
      • Il percorso del nome del dominio principale della foresta deve essere racchiuso tra virgolette.
  8. Verificare che gli attributi houseIdentifier, secretary e labeledURI presenti nel contesto dei nomi dello schema non siano stati alterati prima di installare Exchange 2000.
Per ulteriori informazioni su un conflitto dello schema correlato con Services for UNIX versione 2.0, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
293783 Impossibile aggiornare Windows 2000 Server a Windows Server 2003 se Ŕ installato Windows Services for UNIX 2.0

Cenni preliminari: aggiornamento dei controller di dominio Windows 2000 a Windows Server 2003

Il comando adprep di Windows Server 2003 eseguito dalla cartella \I386 del supporto di installazione di Windows Server 2003 consente di preparare una foresta Windows 2000 e i relativi domini per l'aggiunta di controller di dominio Windows Server 2003. Il comando adprep /forestprep di Windows Server 2003 consente di aggiungere le seguenti funzionalitÓ:
  • Descrittori di protezione predefiniti migliorati per le classi di oggetti
  • Nuovi attributi per utenti e gruppi
  • Nuovi oggetti e attributi dello schema come inetOrgPerson
L'utilitÓ adprep supporta due argomenti della riga di comando:
adprep /forestprep: esegue operazioni di aggiornamento della foresta.
adprep /domainprep: esegue operazioni di aggiornamento del dominio.
Il comando adprep /forestprep Ŕ un'operazione eseguita una sola volta sul master operazioni dello schema (FSMO) della foresta. L'operazione forestprep deve essere completata e replicata al master infrastrutture di ciascun dominio prima di eseguire adprep /domainprep in un determinato dominio.

Il comando adprep /domainprep Ŕ un'operazione eseguita una sola volta sul controller di dominio del master operazioni dell'infrastruttura di ciascun dominio nella foresta nella quale risiederanno i controller di dominio Windows Server 2003 nuovi o aggiornati. Il comando adprep /domainprep verifica che le modifiche effettuate da forestprep siano state replicate nella partizione del dominio e apporta altre modifiche alla partizione del dominio e ai criteri di gruppo della condivisione Sysvol.

Non Ŕ possibile eseguire le operazioni qui descritte se le operazioni effettuate da /forestprep e /domainprep non sono state completate e replicate a tutti i controller di dominio di quel dominio:
  • Aggiornamento dei controller di dominio Windows 2000 a controller di dominio Windows Server 2003 utilizzando Winnt32.exe.

    Nota: Ŕ possibile aggiornare i computer e i server membri Windows 2000 a computer membri Windows Server 2003 in qualsiasi momento.
  • Innalzamento di livello di nuovi controller di dominio Windows Server 2003 all'interno dei domini utilizzando Dcpromo.exe.
Il dominio in cui risiede il master operazioni dello schema Ŕ il solo dominio in cui occorre eseguire sia adprep /forestprep sia adprep /domainprep. In tutti gli altri domini Ŕ sufficiente eseguire adprep /domainprep.

I comandi adprep /forestprep e adprep /domainprep non aggiungono attributi al set di attributi parziale del catalogo globale, nÚ causano una sincronizzazione completa del catalogo globale. La versione RTM di adprep /domainprep causa una sincronizzazione completa della cartella \Policies nell'albero di Sysvol. Anche se forestprep e domainprep vengono eseguiti pi¨ volte, le operazioni completate saranno effettuate una sola volta.

Una volta completata la replica delle modifiche apportate da adprep /forestprep e adprep /domainprep, sarÓ possibile aggiornare i controller di dominio Windows 2000 a Windows Server 2003 eseguendo Winnt32.exe dalla cartella \I386 sul supporto di installazione di Windows Server 2003. Con Dcpromo.exe Ŕ inoltre possibile aggiungere al dominio nuovi controller di dominio Windows Server 2003.

Aggiornamento della foresta con il comando adprep /forestprep

Per preparare una foresta e i domini Windows 2000 all'introduzione di controller di dominio Windows Server 2003, attenersi alla procedura riportata di seguito prima in un ambiente di laboratorio, quindi in un ambiente di produzione:
  1. Assicurarsi di avere completato tutte le operazioni descritte nella fase relativa all'inventario della foresta, prestando particolare attenzione ai seguenti elementi:
    1. Sono stati creati i backup dello stato del sistema.
    2. Su tutti i controller di dominio Windows 2000 presenti nella foresta sono stati installati gli hotfix e i service pack corretti.
    3. La replica end-to-end di Active Directory viene effettuata in tutta la foresta.
    4. Il criterio del file system viene replicato correttamente in ogni dominio dal servizio Replica file.
  2. Accedere alla console del master operazioni dello schema utilizzando un account membro del gruppo di protezione Schema Admins.
  3. Verificare che lo schema FSMO abbia eseguito la replica in ingresso della partizione dello schema digitando quanto riportato di seguito al prompt dei comandi di Windows NT:
    repadmin /showreps
    (repadmin viene installato dalla cartella Support\Tools di Active Directory.)
  4. Nella precedente documentazione fornita da Microsoft viene consigliato di isolare il master operazioni dello schema in una rete privata prima di eseguire adprep /forestprep. Le esperienze effettive suggeriscono che questo passaggio non Ŕ necessario e che potrebbe far sý che un master operazioni dello schema non accetti le modifiche allo schema al momento del riavvio in una rete privata. Se si desidera isolare le aggiunte allo schema apportate da adprep, Microsoft consiglia di disattivare temporaneamente la replica in uscita di Active Directory con l'utilitÓ della riga di comando repadmin. Per effettuare questa operazione, attenersi alla seguente procedura:
    1. Fare clic sul pulsante Start, scegliere Esegui, digitare cmd, quindi scegliere OK.
    2. Digitare il seguente comando e premere INVIO:
      repadmin /options +DISABLE_OUTBOUND_REPL
  5. Eseguire adprep sul master operazioni dello schema. A questo scopo, fare clic sul pulsante Start, scegliere Esegui, digitare cmd e scegliere OK. Nel master operazioni dello schema digitare il seguente comando:
    X:\I386\adprep /forestprep
    dove X:\I386\ Ŕ il percorso del supporto di installazione di Windows Server 2003. Con questo comando viene eseguito l'aggiornamento dello schema a livello di foresta.

    Nota Gli eventi registrati nel registro eventi di Active Directory con l'ID 1153, come l'esempio riportato di seguito, possono essere ignorati:

    Tipo evento: Errore
    Origine evento: Generale NTDS
    Categoria evento: Elaborazione interna
    ID evento: 1153
    Data: MM/GG/AAAA
    Ora: HH.MM.SS
    Utente: Everyone Computer: <un controller di dominio>
    Descrizione: L'identificativo di classe 655562 (nome msWMI-MergeablePolicyTemplate) presenta una superclasse 655560 non valida. EreditÓ ignorata.

  6. Verificare che il comando adprep /forestprep sia stato eseguito correttamente sul master operazioni dello schema. Per effettuare questa operazione, dalla console del master operazioni dello schema controllare i seguenti elementi:
    • Il comando adprep /forestprep Ŕ stato completato senza errori.
    • L'oggetto CN=Windows2003Update Ŕ stato scritto in CN=ForestUpdates,CN=Configuration,DC=dominio_principale_foresta. Registrare il valore dell'attributo Revision.
    • (Facoltativo) La versione dello schema Ŕ diventata 30. Per effettuare questa operazione, vedere l'attributo ObjectVersion in CN=Schema,CN=Configuration,DC=dominio_principale_foresta.
    Se il comando adprep /forestprep non viene eseguito, verificare i seguenti elementi:
    • Il percorso completo di Adprep.exe nella cartella \I386 del supporto di installazione Ŕ stato specificato correttamente durante l'esecuzione di adprep. Per effettuare questa operazione, digitare il seguente comando:
      x:\i386\adprep /forestprep
      dove x Ŕ l'unitÓ contenente il supporto di installazione.
    • L'utente connesso che esegue adprep fa parte del gruppo di protezione Schema Admins. Per effettuare questa verifica, utilizzare il comando whoami /all.
    • Se adprep ancora non funziona, vedere il file Adprep.log nella cartella %systemroot%\System32\Debug\Adprep\Logs\Ultimo_registro.
  7. Se sul master operazioni dello schema Ŕ stata disattivata la replica in uscita, come indicato nel passaggio 4, attivare la replica per fare in modo che le modifiche allo schema apportate da adprep /forestprep possano essere distribuite. Per effettuare questa operazione, attenersi alla seguente procedura:
    1. Fare clic sul pulsante Start, scegliere Esegui, digitare cmd, quindi scegliere OK.
    2. Digitare il seguente comando e premere INVIO:
      repadmin /options -DISABLE_OUTBOUND_REPL
  8. Verificare che le modifiche di adprep /forestprep siano state replicate su tutti i controller di dominio della foresta. ╚ utile controllare i seguenti attributi:
    1. Incremento della versione dello schema.
    2. CN=Windows2003Update, CN=ForestUpdates,CN=Configuration,DC=dominio_principale_foresta o CN=Operations,CN=DomainUpdates,CN=System,DC=dominio_principale_foresta e i relativi GUID operazioni sono stati replicati.
    3. Cercare i nuovi oggetti, attributi e classi dello schema o altre modifiche aggiunte da adprep /forestprep, come inetOrgPerson. Visualizzare i file SchXX.ldf (dove XX Ŕ un numero compreso tra 14 e 30) nella cartella %systemroot%\System32 per determinare quali oggetti e attributi dovrebbero essere presenti. Ad esempio, inetOrgPerson Ŕ definito in Sch18.ldf.
  9. Cercare gli attributi LDAPDisplayName alterati.

    Se Exchange 2000 Ŕ stato installato prima di eseguire il comando adprep /forestprep di Windows Server 2003, vedere l'articolo seguente della Microsoft Knowledge Base:
    314649 Il comando adprep /forestprep di Windows Server 2003 causa l'alterazione di attributi in insiemi di strutture Windows 2000 contenenti server che eseguono Exchange 2000 Server
    Se vengono individuati nomi alterati, passare allo scenario 3 del medesimo articolo.
  10. Accedere alla console del master operazioni dello schema utilizzando un account membro del gruppo di protezione Schema Admins della foresta in cui risiede il master operazioni dello schema.

Aggiornamento del dominio con il comando adprep /forestprep

Eseguire adprep /domainprep dopo la replica di tutte le modifiche apportate da /forestprep nel controller di dominio del master infrastrutture in ogni dominio a cui saranno aggiunti controller di dominio Windows Server 2003. A questo scopo, attenersi alla seguente procedura:
  1. Nel dominio in fase di aggiornamento identificare il controller di dominio del master infrastrutture, quindi effettuare l'accesso con un account membro del gruppo di protezione Domain Admins del dominio in fase di aggiornamento.

    Nota: l'amministratore dell'organizzazione potrebbe non essere un membro del gruppo di protezione Domain Admins nei domini figlio della foresta.
  2. Eseguire adprep /domainprep sul master infrastrutture. A questo scopo, fare clic sul pulsante Start, scegliere Esegui, digitare cmd, quindi sul master infrastrutture digitare il seguente comando:
    X:\I386\adprep /domainprep
    dove X:\I386\ Ŕ il percorso del supporto di installazione di Windows Server 2003. Con questo comando vengono eseguite modifiche a livello di dominio nel dominio di destinazione.

    Nota: il comando adprep /domainprep modifica le autorizzazioni sui file nella condivisione Sysvol. Tali modifiche causano una sincronizzazione completa dei file nell'albero di directory.
  3. Verificare che domainprep sia stato completato correttamente. Per effettuare questa operazione, verificare i seguenti elementi:
    • Il comando adprep /domainprep Ŕ stato completato senza errori.
    • Il percorso CN=Windows2003Update,CN=DomainUpdates,CN=System,DC=percorso del nome del dominio in corso di aggiornamento esiste.
    Se il comando adprep /domainprep non viene eseguito, verificare i seguenti elementi:
    • L'utente connesso che esegue adprep fa parte del gruppo di protezione Domain Admins del dominio in fase di aggiornamento. Per effettuare questa verifica, utilizzare il comando whoami /all.
    • Il percorso completo di Adprep.exe nella directory \I386 del supporto di installazione Ŕ stato specificato correttamente durante l'esecuzione di adprep. A questo scopo, al prompt dei comandi digitare il seguente comando:
      x:\i386\adprep /forestprep
      dove x Ŕ l'unitÓ contenente il supporto di installazione.
    • Se adprep ancora non funziona, vedere il file Adprep.log nella cartella %systemroot%\System32\Debug\Adprep\Logs\Ultimo_registro.
  4. Verificare che le modifiche apportate da adprep /domainprep siano state replicate. Per effettuare questa operazione, per i restanti controller di dominio presenti nel dominio verificare i seguenti elementi:
    • L'oggetto CN=Windows2003Update,CN=DomainUpdates,CN=System,DC=percorso del nome del dominio in corso di aggiornamento esiste e il valore dell'attributo Revision corrisponde al valore del medesimo attributo sul master infrastrutture del dominio.
    • (Facoltativo) Cercare le modifiche a oggetti, attributi o elenchi di controllo di accesso (ACL) aggiunte da adprep /domainprep.
    Ripetere i passaggi da 1 a 4 contemporaneamente su tutti i master infrastrutture dei domini rimanenti oppure a mano a mano che si aggiungono o si aggiornano controller di dominio di tali domini a Windows Server 2003. DopodichÚ sarÓ possibile utilizzare DCPROMO per innalzare di livello nuovi computer basati su Windows Server 2003 nella foresta. In alternativa, Ŕ possibile aggiornare i controller di dominio Windows 2000 esistenti a Windows Server 2003 eseguendo WINNT32.EXE.

Aggiornamento dei controller di dominio Windows 2000 utilizzando Winnt32.exe

Una volta completata la replica delle modifiche apportate da /forestprep e /domainprep e dopo avere stabilito come impostare l'interoperabilitÓ della protezione con i client di versioni precedenti, sarÓ possibile aggiornare i controller di dominio Windows 2000 a Windows Server 2003 e aggiungere nuovi controller di dominio Windows Server 2003 al dominio.

I computer riportati di seguito devono essere tra i primi controller di dominio a eseguire Windows Server 2003 nella foresta in ogni dominio:
  • Il master per la denominazione dei domini nella foresta, in modo da consentire la creazione di partizioni di programma DNS predefinite.
  • Il controller di dominio primario del dominio principale della foresta, in modo da consentire la visualizzazione, nell'editor ACL, delle entitÓ di protezione a livello di organizzazione aggiunte dal comando forestprep di Windows Server 2003.
  • Il controller di dominio primario in tutti i domini non principali, in modo da consentire la creazione di nuove entitÓ di protezione di Windows 2003 specifiche di un dominio.
Per effettuare questa operazione, utilizzare WINNT32 per aggiornare i controller di dominio esistenti sui quali risiede il ruolo operativo desiderato. In alternativa, trasferire il ruolo su un controller di dominio Windows Server 2003 innalzato di livello. Eseguire la procedura riportata di seguito per ogni controller di dominio Windows 2000 che viene aggiornato a Windows Server 2003 con WINNT32 e per ogni computer membro o appartenente a un gruppo di lavoro Windows Server 2003 innalzato di livello:
  1. Prima di utilizzare WINNT32 per aggiornare i computer membri e i controller di dominio Windows 2000, rimuovere gli Strumenti di amministrazione di Windows 2000. Per effettuare questa operazione, utilizzare lo strumento Installazione applicazioni nel Pannello di controllo. (Solo aggiornamenti di Windows 2000.)
  2. Installare tutti i file degli hotfix o altre correzioni considerate importanti da Microsoft o dall'amministratore.
  3. Verificare la presenza di eventuali problemi di aggiornamento per ogni controller di dominio. Per effettuare questa operazione, eseguire il comando seguente dalla cartella \I386 del supporto di installazione:
    winnt32.exe /checkupgradeonly
    Risolvere tutti i problemi identificati dal controllo di compatibilitÓ.
  4. Eseguire WINNT32.EXE dalla cartella \I386 del supporto di installazione e riavviare il controller di dominio aggiornato a Windows Server 2003.
  5. Ridurre il livello delle impostazioni di protezione per i client di versioni precedenti, secondo le esigenze.

    Se nei client Windows NT 4.0 non Ŕ installato NT 4.0 SP6 o se nei client Windows 95 non Ŕ installato il client del servizio directory, disattivare la firma SMB nel criterio Controller di dominio predefiniti nell'unitÓ organizzativa dei controller di dominio, quindi collegare il criterio a tutte le unitÓ organizzative in cui risiedono i controller di dominio.
    Configurazione computer\Impostazioni di Windows\Impostazioni protezione\Criteri locali\Opzioni di protezione\Server di rete Microsoft: aggiungi firma digitale alle comunicazioni (sempre)
  6. Verificare l'integritÓ dell'aggiornamento utilizzando i seguenti punti dati:
    • L'aggiornamento Ŕ stato completato correttamente.
    • Gli hotfix aggiunti all'installazione hanno sostituito i file binari originali.
    • La replica di Active Directory in ingresso e in uscita viene eseguita per tutti i contesti dei nomi gestiti dal controller di dominio.
    • Le condivisioni Netlogon e Sysvol sono presenti.
    • Nel registro eventi lo stato del controller di dominio e dei relativi servizi Ŕ indicato come integro.

      Nota: Ŕ possibile che dopo l'aggiornamento venga visualizzato un messaggio di evento analogo al seguente:

      Tipo evento: Errore
      Origine evento: NTDS Backup
      Categoria evento: Backup
      ID evento: 1913
      Data: Data
      Ora: HH.MM.SS
      Utente: N/D
      Computer: nomecomputer
      Descrizione: Errore interno: si Ŕ verificato un errore imprevisto durante il backup e il ripristino di Active Directory. Il backup o il ripristino non verranno eseguiti finchÚ il problema non verrÓ risolto.

      ╚ possibile ignorare questo messaggio di evento.
  7. Installare Strumenti di amministrazione di Windows Server 2003 (solo aggiornamenti di Windows 2000 e controller non di dominio di Windows Server 2003). Adminpak.msi si trova nella cartella \I386 sul CD di Windows Server 2003. Nel file Support\Tools\Suptools.msi sul supporto di installazione di Windows Server 2003 sono disponibili strumenti di supporto aggiornati. Assicurarsi che questo file venga reinstallato.
  8. Eseguire nuovi backup di almeno i primi due controller di dominio Windows 2000 aggiornati a Windows Server 2003 in ciascun dominio della foresta. Inserire i backup dei computer basati su Windows 2000 aggiornati a Windows Server 2003 in un'area di memorizzazione bloccata per evitare di utilizzarli accidentalmente per ripristinare un controller di dominio che attualmente esegue Windows Server 2003.
  9. (Facoltativo) Eseguire una deframmentazione non in linea del database di Active Directory sui controller di dominio aggiornati a Windows Server 2003 dopo il completamento dell'archivio a istanza singola (SIS, Single Instance Store) (solo aggiornamenti di Windows 2000).

    Tramite SIS vengono controllate le autorizzazioni esistenti per gli oggetti memorizzati in Active Directory, applicando quindi a tali oggetti un descrittore di protezione pi¨ efficace. L'avvio dell'archivio SIS avviene automaticamente (identificato dall'evento 1953 nel registro eventi del servizio directory) quando sui controller di dominio aggiornati viene avviato per la prima volta il sistema operativo Windows Server 2003. I vantaggi del descrittore di protezione avanzato vengono attivati solo quando nel registro eventi di Active Directory viene registrato il messaggio relativo all'ID evento 1966:

    Tipo evento: Informazione
    Origine evento: NTDS SDPROP
    Categoria evento: Elaborazione interna
    ID evento: 1966
    Data: MM/GG/AAAA
    Ora: HH.MM.SS
    Utente: NT AUTHORITY\ANONYMOUS LOGON
    Computer: <nomecomputer>
    Descrizione: Il propagatore dei descrittori di protezione ha completato un passaggio di propagazione.
    Spazio allocato (MB):
    XX Spazio disponibile (MB): XX

    Lo spazio disponibile sul database di Active Directory potrebbe essere aumentato.
    Azione utente: Si prenda in considerazione la deframmentazione del database non in linea per recuperare spazio in modo che sia disponibile per il database di Active Directory. Per ulteriori informazioni, vedere Guida in linea e supporto tecnico all'indirizzo http://www.microsoft.com/italy/support.

    Questo messaggio di evento indica che l'operazione dell'archivio a istanza singola Ŕ stata completata e serve come indicazione per l'amministratore per eseguire la deframmentazione non in linea di Ntds.dit utilizzando NTDSUTIL.EXE.

    La deframmentazione non in linea pu˛ ridurre la dimensione del file Ntds.dit di Windows 2000 fino al 40%, migliora le prestazioni di Active Directory e aggiorna le pagine nel database per una memorizzazione pi¨ efficiente degli attributi Link Valued. Per ulteriori informazioni sulla deframmentazione del database di Active Directory, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
    232122 Esecuzione della deframmentazione non in linea del database di Active Directory
  10. Controllare il servizio Manutenzione collegamenti distribuiti server. Il servizio Manutenzione collegamenti distribuiti server viene disattivato per le installazioni nuove e per gli aggiornamenti dei controller di dominio Windows Server 2003. Se questo servizio viene utilizzato da client Windows 2000 o Windows XP dell'organizzazione, utilizzare Criteri di gruppo per attivare il servizio Manutenzione collegamenti distribuiti server sui controller di dominio Windows Server 2003 nuovi o aggiornati. Diversamente, eliminare in modo incrementale gli oggetti del servizio Manutenzione collegamenti distribuiti da Active Directory. Per ulteriori informazioni, fare clic sui numeri degli articoli della Microsoft Knowledge Base riportati di seguito:
    312403 Servizio Manutenzione collegamenti distribuiti sui controller di dominio basati su Windows
    315229 Versione in formato testo del file Dltpurge.vbs per l'articolo 312403 della Microsoft Knowledge Base
    Se si eliminano contemporaneamente migliaia di oggetti del servizio Manutenzione collegamenti distribuiti o altri oggetti, la replica potrebbe essere bloccata a causa della mancanza dell'archivio versione. Attendere il numero di giorni della durata di rimozione (in base all'impostazione predefinita 60 giorni) dopo la rimozione dell'ultimo oggetto del servizio Manutenzione collegamenti distribuiti e il completamento del processo di garbage collection, quindi utilizzare NTDSUTIL.EXE per eseguire una deframmentazione non in linea del file Ntds.dit.
  11. Configurare la struttura di unitÓ organizzative secondo le procedure consigliate. Microsoft suggerisce agli amministratori di implementare la struttura di unitÓ organizzative secondo le procedure consigliate in tutti i domini Active Directory e, dopo aver aggiornato o distribuito i controller di dominio Windows Server 2003 in modalitÓ Dominio di Windows, di reindirizzare a un contenitore di unitÓ organizzative specificato dall'amministratore i contenitori predefiniti utilizzati dalle API di versioni precedenti per creare utenti, computer e gruppi.

    Per ulteriori informazioni sulla struttura di unitÓ organizzative secondo le procedure consigliate, vedere la sezione relativa alla creazione di un'unitÓ organizzativa del white paper sulle procedure consigliate di progettazione di Active Directory per la gestione di reti Windows. Per visualizzare questo white paper, visitare il seguente sito Web Microsoft (informazioni in lingua inglese):
    http://www.microsoft.com/technet/prodtechnol/windows2000serv/technologies/activedirectory/plan/bpaddsgn.mspx
    Per ulteriori informazioni sulla modifica del contenitore predefinito in cui si trovano utenti, computer e gruppi creati dalle API di versioni precedenti, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
    324949 Reindirizzamento di contenitori utenti e computer in domini di Windows Server 2003
  12. Ripetere i passaggi da 1 a 10 secondo le esigenze per ogni controller di dominio Windows Server 2003 nuovo o aggiornato nella foresta e il passaggio 11 (struttura di unitÓ organizzative secondo le procedure consigliate) per tutti i domini Active Directory.

    In sintesi:
    • Aggiornare i controller di dominio Windows 2000 con WINNT32 (dal supporto di installazione con slipstream, se utilizzato).
    • Verificare che i file degli hotfix siano stati installati nei computer aggiornati.
    • Installare gli hotfix necessari non inclusi nel supporto di installazione.
    • Verificare lo stato di integritÓ dei server nuovi o aggiornati (AD, FRS, criteri e cosý via).
    • Attendere 24 ore dopo l'aggiornamento del sistema operativo, quindi eseguire una deframmentazione non in linea (facoltativa).
    • Avviare il servizio Manutenzione collegamenti distribuiti se necessario, altrimenti eliminare i relativi oggetti utilizzando q312403 / q315229 dopo l'esecuzione del comando domainprep a livello di foresta.
    • Eseguire la deframmentazione non in linea oltre 60 giorni dopo il numero di giorni di durata di rimozione e di garbage collection, successivamente all'eliminazione degli oggetti del servizio Manutenzione collegamenti distribuiti.

Esecuzione di aggiornamenti di prova in un ambiente di laboratorio

Prima di aggiornare i controller di dominio Windows in un ambiente di produzione di dominio Windows 2000, Ŕ opportuno convalidare e ottimizzare il processo di aggiornamento in laboratorio. Se l'aggiornamento dell'ambiente di laboratorio che rispecchia esattamente la foresta di produzione viene eseguito senza problemi, Ŕ possibile prevedere lo stesso tipo di risultati negli ambienti di produzione. Per gli ambienti complessi, l'ambiente di laboratorio dovrÓ rispecchiare l'ambiente di produzione nelle seguenti aree:
  • Hardware: tipo di computer, dimensione della memoria, posizione del file di paging, dimensione del disco, prestazioni e configurazione RAID, livelli delle versioni del BIOS e del firmware.
  • Software: versioni del sistema operativo client e server, applicazioni client e server, versioni dei service pack, hotfix, modifiche dello schema, gruppi di protezione, appartenenze ai gruppi, autorizzazioni, impostazioni dei criteri, tipo di conteggio degli oggetti e posizione, interoperabilitÓ delle versioni.
  • Infrastruttura di rete: WINS, DHCP, velocitÓ dei collegamenti, larghezza di banda disponibile.
  • Carico: i simulatori di carico possono simulare modifiche delle password, creazione di oggetti, replica di Active Directory, autenticazione di accesso e altri eventi. Lo scopo non consiste nel riprodurre le dimensioni dell'ambiente di produzione, bensý di individuare i costi e la frequenza delle operazioni comuni e di introdurne gli effetti, quali query di nomi, traffico di replica, larghezza di banda della rete e consumo del processore, nell'ambiente di produzione in base ai requisiti attuali e futuri.
  • Amministrazione: attivitÓ eseguite, strumenti utilizzati e sistemi operativi utilizzati.
  • Funzionamento: capacitÓ, interoperabilitÓ.
  • Spazio su disco: annotare la dimensione iniziale, massima e finale del sistema operativo, di Ntds.dit e dei file di registro di Active Directory sui controller di dominio del catalogo globale e non del catalogo globale in ciascun dominio dopo l'esecuzione delle seguenti operazioni:
    1. adprep /forestprep
    2. adprep /domainprep
    3. Aggiornamento dei controller di dominio Windows 2000 a Windows Server 2003
    4. Esecuzione della deframmentazione non in linea dopo aggiornamenti di versione
La comprensione del processo di aggiornamento e della complessitÓ dell'ambiente, insieme a un'attenta osservazione, determinano i ritmi e il livello di attenzione necessari per l'aggiornamento degli ambienti di produzione. L'aggiornamento di ambienti con un numero limitato di controller di dominio e di oggetti di Active Directory connessi attraverso collegamenti WAN ad alta disponibilitÓ potrebbe richiedere poche ore. Le distribuzioni a livello di organizzazione con centinaia di controller di dominio o centinaia di migliaia di oggetti di Active Directory richiederanno una maggiore cura. In questi casi, Ŕ possibile che l'aggiornamento venga eseguito nel corso di diverse settimane o mesi.

Effettuare aggiornamenti di prova in laboratorio per effettuare le seguenti operazioni:
  • Comprendere il funzionamento interno del processo di aggiornamento e i rischi associati.
  • Esporre le aree potenzialmente problematiche per il processo di distribuzione nell'ambiente aziendale.
  • Provare e sviluppare piani di ripristino nel caso in cui l'aggiornamento non venisse completato.
  • Definire il livello di dettaglio corretto da applicare al processo di aggiornamento per il dominio di produzione.

Controller di dominio con spazio su disco insufficiente

Sui controller di dominio con spazio su disco insufficiente utilizzare la procedura seguente per liberare spazio aggiuntivo su disco per i volumi sui quali risiedono i file di registro e Ntds.dit:
  1. Eliminare i file inutilizzati, inclusi i file tmp e i file memorizzati nella cache utilizzati dai browser Internet. A questo scopo, digitare i seguenti comandi premendo INVIO dopo l'immissione di ogni comando:
    cd /d unitÓ\
    del *.tmp /s
  2. Eliminare eventuali file utente e di immagine della memoria. A questo scopo, digitare i seguenti comandi premendo INVIO dopo l'immissione di ogni comando:
    cd /d unitÓ\
    del *.dmp /s
  3. Rimuovere temporaneamente o spostare file ai quali Ŕ possibile accedere da altri server o che possono essere reinstallati con facilitÓ. I file che possono essere rimossi o reinstallati facilmente comprendono ADMINPAK, Strumenti di supporto e tutti i file contenuti nella cartella %systemroot%\System32\Dllcache.
  4. Eliminare i profili utente vecchi o inutilizzati. Per effettuare questa operazione, fare clic sul pulsante Start, fare clic con il pulsante destro del mouse su Risorse del computer, scegliere ProprietÓ, fare clic sulla scheda Profili utente ed eliminare tutti i profili relativi ad account inutilizzati e obsoleti. Non eliminare i profili che possono essere associati ad account di servizio.
  5. Eliminare i simboli in %systemroot%\Symbols. Per effettuare questa operazione, digitare il seguente comando:
    rd /s %systemroot%\symbols
    A seconda della dimensione del set di simboli disponibile sui server, si potrebbero recuperare da 70 a 600 MB circa di spazio.
  6. Eseguire una deframmentazione non in linea. La deframmentazione non in linea del file Ntds.dit pu˛ consentire di liberare spazio, ma richiede temporaneamente il doppio dello spazio per il file DIT corrente. Eseguire la deframmentazione non in linea utilizzando altri volumi locali, se uno di essi Ŕ disponibile. In alternativa, utilizzare lo spazio su un server di rete con la connessione migliore per eseguire questa operazione. Se lo spazio su disco Ŕ ancora insufficiente, eliminare in modo incrementale da Active Directory gli account utente, gli account computer, i record DNS e gli oggetti del servizio Manutenzione collegamenti distribuiti non necessari.

    Nota: in Active Directory non vengono eliminati oggetti dal database finchÚ non trascorre il numero di giorni della durata di rimozione (in base all'impostazione predefinita 60 giorni) e non viene completato il processo di garbage collection. Se si riduce la durata di rimozione a un valore inferiore rispetto al numero di giorni richiesto per la replica end-to-end all'interno della foresta, si potrebbero verificare incoerenze in Active Directory.

Riferimenti

Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
821076 I file della Guida di Windows Server 2003 contengono informazioni errate su come aggiornare un dominio Windows 2000

ProprietÓ

Identificativo articolo: 325379 - Ultima modifica: lunedý 13 novembre 2006 - Revisione: 21.3
Le informazioni in questo articolo si applicano a
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Exchange 2000 Server Standard Edition
Chiavi:á
kbinfo KB325379
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com