Windows 2000 도메인 컨트롤러를 Windows Server 2003으로 업그레이드하는 방법

이 문서에서는 Microsoft Windows 2000 도메인 컨트롤러를 Windows Server 2003으로 업그레이드하는 방법과 Windows 2000 도메인에 새 Windows Server 2003 도메인 컨트롤러를 추가하는 방법을 설명합니다.

적용 대상: Windows Server 2012 R2
원래 KB 번호: 325379

요약

이 문서에서는 Microsoft Windows 2000 도메인 컨트롤러를 Windows Server 2003으로 업그레이드하는 방법과 Windows 2000 도메인에 새 Windows Server 2003 도메인 컨트롤러를 추가하는 방법을 설명합니다. 도메인 컨트롤러를 Windows Server 2008 또는 Windows Server 2008 R2로 업그레이드하는 방법에 대한 자세한 내용은 다음 Microsoft 웹 사이트를 참조하세요.

도메인 컨트롤러 업그레이드: Windows Server 2008 또는 Windows Server 2008 R2 도메인 컨트롤러를 기존 도메인에 추가하기 위한 Microsoft 지원 빠른 시작

도메인 및 포리스트 인벤토리

Windows 2000 도메인 컨트롤러를 Windows Server 2003으로 업그레이드하거나 Windows 2000 도메인에 새 Windows Server 2003 도메인 컨트롤러를 추가하기 전에 다음 단계를 수행합니다.

1. SMB 서명과의 호환성을 위해 Windows Server 2003 도메인 컨트롤러를 호스트하는 도메인의 리소스에 액세스하는 클라이언트 인벤토리:

   각 Windows Server 2003 도메인 컨트롤러는 로컬 보안 정책에서 SMB 서명을 사용하도록 설정합니다. SMB/CIFS 프로토콜을 사용하여 Windows Server 2003 도메인 컨트롤러를 호스트하는 도메인의 공유 파일 및 프린터에 액세스하는 모든 네트워크 클라이언트를 구성하거나 SMB 서명을 지원하도록 업그레이드할 수 있는지 확인합니다. 업데이트가 설치될 때까지 또는 클라이언트를 SMB 서명을 지원하는 최신 운영 체제로 업그레이드할 수 있을 때까지 SMB 서명을 일시적으로 사용하지 않도록 설정합니다. SMB 서명을 사용하지 않도록 설정하는 방법에 대한 자세한 내용은 이 단계의 끝에 있는 SMB 서명 사용 안 함 섹션을 참조하세요.

   작업 계획

   다음 목록에서는 인기 있는 SMB 클라이언트에 대한 작업 계획을 보여 줍니다.

   • Microsoft Windows Server 2003, Microsoft Windows XP Professional, Microsoft Windows 2000 Server, Microsoft Windows 2000 Professional 및 Microsoft Windows 98

     아무 조치도 필요하지 않습니다.

   • Microsoft Windows NT 4.0 Windows Server 2003 기반 컴퓨터를 포함하는 도메인에 액세스하는 모든 Windows NT 4.0 기반 컴퓨터에서 서비스 팩 3 이상(서비스 팩 6A 권장)을 설치합니다. 대신 Windows Server 2003 도메인 컨트롤러에서 SMB 서명을 일시적으로 사용하지 않도록 설정합니다. SMB 서명을 사용하지 않도록 설정하는 방법에 대한 자세한 내용은 이 단계의 끝에 있는 SMB 서명 사용 안 함 섹션을 참조하세요.

   • Microsoft Windows 95

     Windows 95 기반 컴퓨터에 Windows 9 x 디렉터리 서비스 클라이언트를 설치하거나 Windows Server 2003 도메인 컨트롤러에서 SMB 서명을 일시적으로 사용하지 않도록 설정합니다. 원래 Win9 x 디렉터리 서비스 클라이언트는 Windows 2000 Server CD-ROM에서 사용할 수 있습니다. 그러나 해당 클라이언트 추가 기능은 향상된 Win9 x 디렉터리 서비스 클라이언트로 대체되었습니다. SMB 서명을 사용하지 않도록 설정하는 방법에 대한 자세한 내용은 이 단계의 끝에 있는 SMB 서명 사용 안 함 섹션을 참조하세요.

   • MS-DOS 및 Microsoft LAN Manager 클라이언트용 Microsoft 네트워크 클라이언트

     MS-DOS용 Microsoft 네트워크 클라이언트 및 Microsoft LAN Manager 2.x 네트워크 클라이언트를 사용하여 네트워크 리소스에 대한 액세스를 제공하거나 부팅 가능한 플로피 디스크와 결합하여 소프트웨어 설치 루틴의 일부로 파일 서버의 공유 디렉터리에서 운영 체제 파일 및 기타 파일을 복사할 수 있습니다. 이러한 클라이언트는 SMB 서명을 지원하지 않습니다. 대체 설치 방법을 사용하거나 SMB 서명을 사용하지 않도록 설정합니다. SMB 서명을 사용하지 않도록 설정하는 방법에 대한 자세한 내용은 이 단계의 끝에 있는 SMB 서명 사용 안 함 섹션을 참조하세요.

   • Macintosh 클라이언트

     일부 Macintosh 클라이언트는 SMB 서명과 호환되지 않으며 네트워크 리소스에 연결하려고 할 때 다음 오류 메시지가 표시됩니다.

     - 오류 -36 I/O

     사용 가능한 경우 업데이트된 소프트웨어를 설치합니다. 그렇지 않으면 Windows Server 2003 도메인 컨트롤러에서 SMB 서명을 사용하지 않도록 설정합니다. SMB 서명을 사용하지 않도록 설정하는 방법에 대한 자세한 내용은 이 단계의 끝에 있는 SMB 서명 사용 안 함 섹션을 참조하세요.

   • 기타 타사 SMB 클라이언트

     일부 타사 SMB 클라이언트는 SMB 서명을 지원하지 않습니다. 업데이트된 버전이 있는지 확인하려면 SMB 공급자에게 문의하세요. 그렇지 않으면 Windows Server 2003 도메인 컨트롤러에서 SMB 서명을 사용하지 않도록 설정합니다.

   SMB 서명을 사용하지 않도록 설정하려면

   Windows 95, Windows NT 4.0 또는 Windows Server 2003 도입 전에 설치된 다른 클라이언트를 실행하는 영향을 받는 도메인 컨트롤러에 소프트웨어 업데이트를 설치할 수 없는 경우 업데이트된 클라이언트 소프트웨어를 배포할 수 있을 때까지 그룹 정책 SMB 서비스 서명 요구 사항을 일시적으로 사용하지 않도록 설정합니다.

   도메인 컨트롤러 조직 구성 단위의 기본 도메인 컨트롤러 정책 노드에서 SMB 서비스 서명을 사용하지 않도록 설정할 수 있습니다. 컴퓨터 구성\Windows 설정\보안 설정\로컬 정책\보안 옵션\Microsoft 네트워크 서버:

   디지털 서명 통신(항상)

   도메인 컨트롤러가 도메인 컨트롤러의 조직 구성 단위에 없는 경우 기본 도메인 컨트롤러의 GPO(그룹 정책 개체)를 Windows 2000 또는 Windows Server 2003 도메인 컨트롤러를 호스트하는 모든 조직 구성 단위에 연결해야 합니다. 또는 해당 조직 단위에 연결된 GPO에서 SMB 서비스 서명을 구성할 수 있습니다.

2. 도메인 및 포리스트에 있는 도메인 컨트롤러 인벤토리:

   1. 포리스트의 모든 Windows 2000 도메인 컨트롤러에 적절한 핫픽스 및 서비스 팩이 모두 설치되어 있는지 확인합니다.

      모든 Windows 2000 도메인 컨트롤러는 Windows 2000 SP4(서비스 팩 4) 이상 운영 체제를 실행하는 것이 좋습니다. Windows 2000 SP4 이상을 완전히 배포할 수 없는 경우 모든 Windows 2000 도메인 컨트롤러에는 날짜 스탬프 및 버전이 2001년 6월 4일 및 5.0.2195.3673 이후인 Ntdsa.dll 파일이 있어야 합니다 .

      기본적으로 Windows 2000 SP4, Windows XP 및 Windows Server 2003 클라이언트 컴퓨터의 Active Directory 관리 도구는 LDAP(Lightweight Directory Access Protocol) 서명을 사용합니다. 이러한 컴퓨터가 Windows 2000 도메인 컨트롤러를 원격으로 관리할 때 NTLM 인증을 사용하거나 대체하면 연결이 작동하지 않습니다. 이 동작을 resolve 위해 원격으로 관리되는 도메인 컨트롤러에는 최소 Windows 2000 SP3이 설치되어 있어야 합니다. 그렇지 않으면 관리 도구를 실행하는 클라이언트에서 LDAP 서명을 해제해야 합니다.

      다음 시나리오에서는 NTLM 인증을 사용합니다.

      • NTLM(비 Kerberos) 트러스트로 연결된 외부 포리스트에 있는 Windows 2000 도메인 컨트롤러를 관리합니다.
      • MMC(Microsoft Management Console) 스냅인을 IP 주소에서 참조하는 특정 도메인 컨트롤러에 집중합니다. 예를 들어 시작을 클릭하고 실행을 클릭한 다음 다음 명령을 입력합니다. dsa.msc /server=ipaddress

      Active Directory 도메인에서 Active Directory 도메인 컨트롤러의 운영 체제 및 서비스 팩 수정 수준을 확인하려면 포리스트의 Windows XP Professional 또는 Windows Server 2003 멤버 컴퓨터에 Windows Server 2003 버전의 Repadmin.exe 설치한 다음 포리스트의 각 도메인에 있는 도메인 컨트롤러에 대해 다음 repadmin 명령을 실행합니다.

      >repadmin /showattr <name of the domain controller that is in the target domain> ncobj:domain: /filter:"(&(objectCategory=computer)(primaryGroupID=516))" /subtree /atts:operatingSystem,operatingSystemVersion,operatingSystemServicePack
      
      DN: CN=NA-DC-01,organizational unit=Domain Controllers,DC=company,DC=com
       1> operatingSystem: Windows Server 2003
       1> operatingSystemVersion: 5.2 (3718)
      DN: CN=NA-DC-02,organizational unit=Domain Controllers,DC=company,DC=com
       1> operatingSystem: Windows 2000 Server
       1> operatingSystemVersion: 5.0 (2195)
       1> operatingSystemServicePack: Service Pack 1
      

      참고

      도메인 컨트롤러의 특성은 개별 핫픽스의 설치를 추적하지 않습니다.

   2. 포리스트 전체에서 엔드 투 엔드 Active Directory 복제를 확인합니다.

      업그레이드된 포리스트의 각 도메인 컨트롤러가 사이트 링크 또는 연결 개체가 정의하는 일정과 일관되게 파트너와 함께 로컬로 유지되는 모든 명명 컨텍스트를 복제했는지 확인합니다. 포리스트의 Windows XP 또는 Windows Server 2003 기반 멤버 컴퓨터에서 Windows Server 2003 버전의 Repadmin.exe 사용합니다. 포리스트의 모든 도메인 컨트롤러는 오류 없이 Active Directory를 복제해야 하며, 리패드민 출력의 "가장 큰 델타" 열의 값은 지정된 대상 도메인에서 사용되는 해당 사이트 링크 또는 연결 개체의 복제 빈도보다 크게 크지 않아야 합니다. 컨트롤러.

      TSL(삭제 표시 수명) 일 수(기본적으로 60일) 미만으로 인바운드 복제에 실패한 도메인 컨트롤러 간의 모든 복제 오류를 해결합니다. 복제가 작동할 수 없는 경우 Ntdsutil 메타데이터 정리 명령을 사용하여 도메인 컨트롤러를 강제로 강등하고 포리스트에서 제거한 다음 포리스트로 다시 승격해야 할 수 있습니다. 강력한 강등을 사용하여 운영 체제 설치와 분리된 도메인 컨트롤러에 있는 프로그램을 모두 저장할 수 있습니다. 해당 도메인에서 분리된 Windows 2000 도메인 컨트롤러를 제거하는 방법에 대한 자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료의 문서를 확인합니다.

      216498 실패한 도메인 컨트롤러 강등 후 Active Directory에서 데이터를 제거하는 방법

      운영 체제 및 설치된 프로그램의 설치를 복구하기 위한 최후의 수단으로만 이 작업을 수행합니다. 사용자, 컴퓨터, 트러스트 관계, 암호, 그룹 및 그룹 멤버 자격을 포함하여 분리된 도메인 컨트롤러에서 제거되지 않은 개체와 특성을 잃게 됩니다.

      특정 Active Directory 파티션에 대한 인바운드 변경 내용을 삭제 표시 시간(일)보다 큰 기간 동안 복제하지 않은 도메인 컨트롤러에서 복제 오류를 resolve 때는 주의해야 합니다. 이렇게 하면 한 도메인 컨트롤러에서 삭제되었지만 이전 60일 동안 직접 또는 전이적 복제 파트너가 삭제를 받지 못했던 개체에 다시 애니메이션 효과를 줄 수 있습니다.

      지난 60일 동안 인바운드 복제를 수행하지 않은 도메인 컨트롤러에 있는 느린 개체를 제거하는 것이 좋습니다. 또는 지정된 파티션에 대한 인바운드 복제를 삭제 표시 수명 일 수로 수행하지 않은 도메인 컨트롤러를 강제로 강등하고 Ntdsutil 및 기타 유틸리티를 사용하여 Active Directory 포리스트에서 나머지 메타데이터를 제거할 수 있습니다. 추가 도움말은 지원 공급자 또는 Microsoft PSS에 문의하세요.

   3. Sysvol 공유의 내용이 일관된지 확인합니다.

      그룹 정책의 파일 시스템 부분이 일관된지 확인합니다. 리소스 키트의 Gpotool.exe 사용하여 도메인 간에 정책에 불일치가 있는지 여부를 확인할 수 있습니다. Windows Server 2003 지원 도구의 Healthcheck를 사용하여 Sysvol 공유 복제본(replica) 집합이 각 도메인에서 올바르게 작동하는지 여부를 확인합니다.

      Sysvol 공유의 내용이 일치하지 않는 경우 모든 불일치를 resolve.

   4. 지원 도구의 Dcdiag.exe 사용하여 모든 도메인 컨트롤러가 Netlogon 및 Sysvol 공유를 공유했는지 확인합니다. 이렇게 하려면 명령 프롬프트에 다음 명령을 입력합니다.

      DCDIAG.EXE /e /test:frssysvol
      

   5. 작업 역할을 인벤토리로 작성합니다.

      스키마 및 인프라 작업 마스터는 Windows Server 2003 adprep 유틸리티에서 만든 포리스트 및 해당 도메인에 포리스트 및 도메인 전체 스키마 변경 내용을 도입하는 데 사용됩니다. 포리스트의 각 도메인에 대한 스키마 역할 및 인프라 역할을 호스트하는 도메인 컨트롤러가 라이브 도메인 컨트롤러에 있고 각 역할 소유자가 마지막으로 다시 시작된 이후 모든 파티션에 대해 인바운드 복제를 수행했는지 확인합니다.

      명령은 DCDIAG /test:FSMOCHECK 포리스트 전체 및 도메인 전체 운영 역할을 보는 데 사용할 수 있습니다. 존재하지 않는 도메인 컨트롤러에 있는 작업 master 역할은 NTDSUTIL을 사용하여 정상 도메인 컨트롤러로 압수되어야 합니다. 비정상 도메인 컨트롤러에 있는 역할은 가능한 경우 전송해야 합니다. 그렇지 않으면 압수되어야 합니다. 명령은 NETDOM QUERY FSMO 삭제된 도메인 컨트롤러에 있는 FSMO 역할을 식별하지 않습니다.

      가 마지막으로 부팅된 이후 Active Directory의 인바운드 복제를 수행했는지 확인합니다. 인바운드 복제는 명령을 사용하여 REPADMIN /SHOWREPS DCNAME 확인할 수 있습니다. 여기서 DCNAME 은 NetBIOS 컴퓨터 이름 또는 도메인 컨트롤러의 정규화된 컴퓨터 이름입니다. 작업 마스터 및 해당 배치에 대한 자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료의 문서를 확인합니다.

      Windows 2000 Active Directory FSMO 역할 197132

      Active Directory 도메인 컨트롤러에서 FSMO 배치 및 최적화 223346

   6. EventLog 검토

      문제가 있는 이벤트에 대한 모든 도메인 컨트롤러의 이벤트 로그를 검사합니다. 이벤트 로그에는 다음 프로세스 및 구성 요소에 문제가 있음을 나타내는 심각한 이벤트 메시지가 포함되어서는 안 됩니다.

      물리적 연결
      네트워크 연결
      이름 등록
      이름 확인
      인증
      그룹 정책
      보안 정책
      디스크 하위 시스템
      스키마
      토폴로지
      복제 엔진

   7. 디스크 공간 인벤토리

      Active Directory 데이터베이스 파일 Ntds.dit를 호스트하는 볼륨에는 Ntds.dit 파일 크기의 15~20% 이상의 여유 공간이 있어야 합니다. Active Directory 로그 파일을 호스트하는 볼륨에는 Ntds.dit 파일 크기의 15~20% 이상의 여유 공간도 있어야 합니다. 추가 디스크 공간을 확보하는 방법에 대한 자세한 내용은 이 문서의 "충분한 디스크 공간이 없는 도메인 컨트롤러" 섹션을 참조하세요.

   8. DNS 청소(선택 사항)

      포리스트의 모든 DNS 서버에 대해 7일 간격으로 DNS 청소를 사용하도록 설정합니다. 최상의 결과를 위해 운영 체제를 업그레이드하기 61일 전에 이 작업을 수행합니다. 이렇게 하면 Ntds.dit 파일에서 오프라인 조각 모음이 수행될 때 DNS 청소 디먼이 오래된 DNS 개체를 가비지 수집할 수 있는 충분한 시간을 제공합니다.

   9. DLT 서버 서비스 사용 안 함(선택 사항)

      Windows Server 2003 도메인 컨트롤러의 새 설치 및 업그레이드된 설치에서 DLT Server 서비스를 사용할 수 없습니다. 분산 링크 추적을 사용하지 않는 경우 Windows 2000 도메인 컨트롤러에서 DLT Server 서비스를 사용하지 않도록 설정하고 포리스트의 각 도메인에서 DLT 개체 삭제를 시작할 수 있습니다. 자세한 내용은 Microsoft 기술 자료: Windows 기반 도메인 컨트롤러에서 분산 링크 추적 312403 문서의 "분산 링크 추적에 대한 Microsoft 권장 사항" 섹션을 참조하세요.

   10. 시스템 상태 백업

       포리스트의 모든 도메인에 있는 두 개 이상의 도메인 컨트롤러의 시스템 상태 백업을 만듭니다. 업그레이드가 작동하지 않는 경우 백업을 사용하여 포리스트의 모든 도메인을 복구할 수 있습니다.

Windows 2000 포리스트의 Microsoft Exchange 2000

Exchange 2000 스키마는 RFC(Non-Request for Comment)규격 LDAPDisplayNames(houseIdentifier, secretary 및 labeledURI)를 사용하여 세 가지 inetOrgPerson 특성을 정의합니다.

Windows 2000 inetOrgPerson 키트 및 Windows Server 2003 adprep 명령은 RFC 규격이 아닌 버전과 동일한 LDAPDisplayNames를 사용하여 동일한 세 특성의 RFC 불만 버전을 정의합니다.

Windows 2000 및 Exchange 2000 스키마가 포함된 포리스트에서 수정 스크립트 없이 Windows Server 2003 adprep /forestprep 명령을 실행하면 houseIdentifier, labeledURI 및 비서 특성에 대한 LDAPDisplayNames가 손상됩니다. 디렉터리의 개체와 특성에 고유한 이름을 갖도록 "Dup" 또는 기타 고유 문자를 충돌된 특성 이름의 시작 부분에 추가하면 특성이 "엉망"이 됩니다.

Active Directory 포리스트는 다음 경우 이러한 특성에 대해 LDAPDisplayNames가 망가진 것에 취약하지 않습니다.

• Exchange 2000 스키마를 추가하기 전에 Windows 2000 스키마가 포함된 포리스트에서 Windows Server 2003 adprep /forestprep 명령을 실행하는 경우
• Windows Server 2003 도메인 컨트롤러가 포리스트의 첫 번째 도메인 컨트롤러였던 포리스트에 Exchange 2000 스키마를 설치하는 경우
• Windows 2000 스키마가 포함된 포리스트에 Windows 2000 inetOrgPerson Kit를 추가한 다음 Exchange 2000 스키마 변경 내용을 설치한 다음 Windows Server 2003 adprep /forestprep 명령을 실행합니다.
• 기존 Windows 2000 포리스트에 Exchange 2000 스키마를 추가하는 경우 Windows Server 2003 명령을 실행하기 전에 Exchange 2003 adprep /forestprep /forestprep을 실행합니다.

다음과 같은 경우 Windows 2000에서 Mangled 특성이 발생합니다.

• Windows 2000 inetOrgPerson Kit를 설치하기 전에 Exchange 2000 버전의 labeledURI, houseIdentifier 및 비서 특성을 Windows 2000 포리스트에 추가하는 경우
• 먼저 정리 스크립트를 실행하지 않고 Windows Server 2003 adprep /forestprep 명령을 실행하기 전에 Exchange 2000 버전의 labeledURI, houseIdentifier 및 비서 특성을 Windows 2000 포리스트에 추가합니다. 각 시나리오에 대한 작업 계획은 다음과 같습니다.

시나리오 1: Windows Server 2003 adprep /forestprep 명령을 실행한 후 Exchange 2000 스키마 변경 내용이 추가됨

Windows Server 2003 adprep /forestprep 명령을 실행한 후 Exchange 2000 스키마 변경 내용이 Windows 2000 포리스트에 도입될 경우 정리가 필요하지 않습니다. "개요: Windows 2000 도메인 컨트롤러를 Windows Server 2003으로 업그레이드" 섹션으로 이동합니다.

시나리오 2: Windows Server 2003 adprep /forestprep 명령 전에 Exchange 2000 스키마 변경 내용이 설치됩니다.

Exchange 2000 스키마 변경 내용이 이미 설치되어 있지만 Windows Server 2003 adprep /forestprep 명령을 실행하지 않은 경우 다음 작업 계획을 고려합니다.

1. 스키마 관리자 보안 그룹의 구성원인 계정을 사용하여 master 스키마 작업의 콘솔에 로그온합니다.

2. 시작을 클릭하고 실행을 클릭하고 열기 상자에 notepad.exe 입력한 다음 확인을 클릭합니다.

3. "schemaUpdateNow: 1" 뒤에 오는 하이픈을 포함하여 다음 텍스트를 메모장에 복사합니다.

   dn: CN=ms-Exch-Assistant-Name,CN=Schema,CN=Configuration,DC=X
   changetype: 수정
   replace:LDAPDisplayName
   LDAPDisplayName: msExchAssistantName
   -

   dn: CN=ms-Exch-LabeledURI,CN=Schema,CN=Configuration,DC=X
   changetype: 수정
   replace: LDAPDisplayName
   LDAPDisplayName: msExchLabeledURI
   -

   dn: CN=ms-Exch-House-Identifier,CN=Schema,CN=Configuration,DC=X
   changetype: 수정
   replace: LDAPDisplayName
   LDAPDisplayName: msExchHouseIdentifier
   -

   Dn:
   changetype: 수정
   add: schemaUpdateNow
   schemaUpdateNow: 1
   -

4. 각 줄의 끝에 공백이 없는지 확인합니다.

5. 파일 메뉴에서 저장을 클릭합니다. 다른 이름으로 저장 대화 상자에서 다음과 같이 합니다.

   1. 파일 이름 상자에 \%userprofile%\InetOrgPersonPrevent.ldf를 입력합니다.
   2. 다른 이름으로 저장 형식 상자에서 모든 파일을 클릭합니다.
   3. 인코딩 상자에서 유니코드를 클릭합니다.
   4. 저장을 클릭합니다.
   5. 메모장을 종료합니다.

6. InetOrgPersonPrevent.ldf 스크립트를 실행합니다.

   1. 시작을 클릭하고 실행을 클릭하고 열기 상자에 cmd를 입력한 다음 확인을 클릭합니다.

   2. 명령 프롬프트에서 다음을 입력한 다음 Enter 키를 누릅니다. cd %userprofile%

   3. 다음 명령을 입력합니다.

   c:\documents and settings\%username%>ldifde -i -f inetorgpersonprevent.ldf -v -c DC=X "domain name path for forest root domain"
   

   구문 참고 사항:

   • DC=X는 대/소문자를 구분하는 상수입니다.
   • 루트 도메인의 도메인 이름 경로는 따옴표로 묶어야 합니다.

   예를 들어 포리스트 루트 도메인이 인 Active Directory 포리스트에 대한 명령 구문은 다음과 같습니다 TAILSPINTOYS.COM .

   c:\documents and settings\administrator>ldifde -i -f inetorgpersonprevent.ldf -v -c DC=X "dc=tailspintoys,dc=com"

   참고

   다음 오류 메시지가 표시되면 스키마 업데이트 허용 레지스트리 하위 키를 변경해야 할 수 있습니다. 레지스트리 키가 설정되지 않았거나 DC가 스키마 FSMO 역할 소유자가 아니므로 이 DC에서는 스키마 업데이트가 허용되지 않습니다.

7. Windows Server 2003 adprep /forestprep 명령을 실행하기 전에 스키마 명명 컨텍스트의 CN=ms-Exch-Assistant-Name, CN=ms-Exch-LabeledURI 및 CN=ms-Exch-House-Identifier 특성에 대한 LDAPDisplayNames가 이제 msExchAssistantName, msExchLabeledURI 및 msExchHouseIdentifier로 표시되는지 확인합니다.

8. 및 명령을 실행 adprep /forestprep 하려면 "개요: Windows 2000 도메인 컨트롤러를 Windows Server 2003으로 업그레이드" 섹션으로 이동합니다./domainprep

시나리오 3: 먼저 inetOrgPersonFix를 실행하지 않고 Windows Server 2003 forestprep 명령을 실행했습니다.

Exchange 2000 스키마 변경 내용이 포함된 Windows 2000 포리스트에서 Windows Server 2003 adprep /forestprep 명령을 실행하면 houseIdentifier, secretary 및 labeledURI에 대한 LDAPDisplayName 특성이 손상됩니다. 잘못된 이름을 식별하려면 Ldp.exe 사용하여 영향을 받는 특성을 찾습니다.

1. Microsoft Windows 2000 또는 Windows Server 2003 미디어의 Support\Tools 폴더에서 Ldp.exe 설치합니다.

2. 포리스트의 도메인 컨트롤러 또는 멤버 컴퓨터에서 Ldp.exe 시작합니다.

   1. 연결 메뉴에서 연결을 클릭하고 서버 상자를 비워 두고 포트 상자에 389를 입력한 다음 확인을 클릭합니다.
   2. 연결 메뉴에서 바인딩을 클릭하고 모든 상자를 비워 두고 확인을 클릭합니다.

3. SchemaNamingContext 특성의 고유 이름 경로를 기록합니다. 예를 들어 CORP.ADATUM.COM 포리스트의 도메인 컨트롤러의 경우 고유 이름 경로는 CN=Schema,CN=Configuration,DC=corp,DC=company,DC=com일 수 있습니다.

4. 찾아보기 메뉴에서 검색을 클릭합니다.

5. 다음 설정을 사용하여 검색 대화 상자를 구성합니다.

   • 기본 DN: 3단계에서 식별되는 스키마 명명 컨텍스트의 고유 이름 경로입니다.
   • 필터: (ldapdisplayname=dup*)
   • 범위: 하위 트리

6. Mangled houseIdentifier, secretary 및 labeledURI 특성에는 다음 형식과 유사한 LDAPDisplayName 특성이 있습니다.

   LDAPDisplayName: DUP-labeledURI-9591bbd3-d2a6-4669-afda-48af7c35507d;
   LDAPDisplayName: DUP-secretary-c5a1240d-70c0-455c-9906-a4070602f85f
   LDAPDisplayName: DUP-houseIdentifier-354b0ca8-9b6c-4722-aae7-e66906cc9eef

7. 레이블이 지정된URI, 비서 및 houseIdentifier에 대한 LDAPDisplayNames가 6단계에서 망가진 경우 Windows Server 2003 InetOrgPersonFix.ldf 스크립트를 실행하여 복구한 다음 "Winnt32.exe 사용하여 Windows 2000 도메인 컨트롤러 업그레이드" 섹션으로 이동합니다.

   1. %Systemdrive%\IOP라는 폴더를 만든 다음 InetOrgPersonFix.ldf 파일을 이 폴더에 추출합니다.

   2. 명령 프롬프트에서 를 입력합니다 cd %systemdrive%\iop.

   3. Windows Server 2003 설치 미디어의 Support\Tools 폴더에 있는 Support.cab 파일에서 InetOrgPersonFix.ldf 파일을 추출합니다.

   4. master 스키마 작업의 콘솔에서 Ldifde.exe 사용하여 inetOrgPersonFix.ldf 파일을 로드하여 houseIdentifier, secretary 및 labeledURI 특성의 LdapDisplayName 특성을 수정합니다. 이렇게 하려면 다음 명령을 입력합니다. 여기서 <X> 는 대/소문자를 구분하는 상수이고 <포리스트 루트 도메인> 의 dn 경로는 포리스트의 루트 도메인에 대한 도메인 이름 경로입니다.

      C:\IOP>ldifde -i -f inetorgpersonfix.ldf -v -c DC=X "domain name path for forest root domain"
      

      구문 참고 사항:

      • DC=X는 대/소문자를 구분하는 상수입니다.
      • 포리스트 루트 도메인의 도메인 이름 경로는 따옴표로 묶어야 합니다.

8. Exchange 2000을 설치하기 전에 스키마 명명 컨텍스트의 houseIdentifier, secretary 및 labeledURI 특성이 "엉망"이 아닌지 확인합니다.

개요: Windows 2000 도메인 컨트롤러를 Windows Server 2003으로 업그레이드

Windows Server 2003 adprep 미디어의 \I386 폴더에서 실행하는 Windows Server 2003 명령은 Windows Server 2003 도메인 컨트롤러를 추가하기 위해 Windows 2000 포리스트 및 해당 도메인을 준비합니다. Windows Server 2003 adprep /forestprep 명령은 다음 기능을 추가합니다.

• 개체 클래스에 대한 향상된 기본 보안 설명자

• 새 사용자 및 그룹 특성

• inetOrgPerson과 같은 새 스키마 개체 및 특성dprep 유틸리티는 다음 두 개의 명령줄 인수를 지원합니다.

  • adprep /forestprep: 포리스트 업그레이드 작업을 실행합니다.
  • dprep /domainprep: 도메인 업그레이드 작업을 실행합니다.

명령은 adprep /forestprep 포리스트의 스키마 작업 master(FSMO)에서 수행되는 일회성 작업입니다. 포리스트프랩 작업을 완료하고 각 도메인의 인프라 master 복제해야 해당 도메인에서 실행할 adprep /domainprep 수 있습니다.

명령은 adprep /domainprep 새 도메인 또는 업그레이드된 Windows Server 2003 도메인 컨트롤러를 호스트하는 포리스트의 각 도메인에 대한 인프라 작업 master 도메인 컨트롤러에서 실행하는 일회성 작업입니다. 명령은 adprep /domainprep forestprep의 변경 내용이 도메인 파티션에 복제되었는지 확인한 다음 Sysvol 공유의 도메인 파티션 및 그룹 정책을 자체적으로 변경합니다.

/forestprep 및 /domainprep 작업이 완료되어 해당 도메인의 모든 도메인 컨트롤러에 복제되지 않는 한 다음 작업 중 하나를 수행할 수 없습니다.

• Winnt32.exe 사용하여 Windows 2000 도메인 컨트롤러를 Windows Server 2003 도메인 컨트롤러로 업그레이드합니다.

adprep /forestprep 및 adprep /domainprep 명령은 전역 카탈로그 부분 특성 집합에 특성을 추가하지 않거나 글로벌 카탈로그의 전체 동기화를 유발하지 않습니다. 의 adprep /domainprep RTM 버전으로 인해 Sysvol 트리에서 \Policies 폴더가 완전히 동기화됩니다. forestprep 및 domainprep을 여러 번 실행하더라도 완료된 작업은 한 번만 수행됩니다.

및 에서 adprep /forestprep 변경한 adprep /domainprep 후 Windows Server 2003 미디어의 \I386 폴더에서 Winnt32.exe 실행하여 Windows 2000 도메인 컨트롤러를 Windows Server 2003으로 업그레이드할 수 있습니다. 또한 Dcpromo.exe 사용하여 도메인에 새 Windows Server 2003 도메인 컨트롤러를 추가할 수 있습니다.

adprep /forestprep 명령을 사용하여 포리스트 업그레이드

Windows Server 2003 도메인 컨트롤러를 허용하도록 Windows 2000 포리스트 및 도메인을 준비하려면 먼저 랩 환경에서 다음 단계를 수행한 다음 프로덕션 환경에서 다음 단계를 수행합니다.

1. 다음 항목에 특히 주의하여 "포리스트 인벤토리" 단계의 모든 작업을 완료했는지 확인합니다.

   1. 시스템 상태 백업을 만들었습니다.
   2. 포리스트의 모든 Windows 2000 도메인 컨트롤러는 모든 적절한 핫픽스 및 서비스 팩을 설치했습니다.
   3. 포리스트 전체에서 Active Directory의 엔드 투 엔드 복제가 발생함
   4. FRS는 각 도메인 전체에서 파일 시스템 정책을 올바르게 복제합니다.

2. 스키마 관리자 보안 그룹의 구성원인 계정으로 master 스키마 작업의 콘솔에 로그온합니다.

3. 스키마 FSMO가 Windows NT 명령 프롬프트에 다음을 입력하여 스키마 파티션의 인바운드 복제를 수행했는지 확인합니다.repadmin /showreps

   ( repadmin은 Active Directory의 Support\Tools 폴더에 의해 설치됩니다.)

4. 초기 Microsoft 설명서에서는 를 실행adprep /forestprep하기 전에 프라이빗 네트워크에서 master 스키마 작업을 격리하는 것이 좋습니다. 실제 환경에서는 이 단계가 필요하지 않으며 스키마 작업 master 프라이빗 네트워크에서 다시 시작될 때 스키마 변경 내용을 거부할 수 있음을 시사합니다.

5. 스키마 작업 master 실행 adprep 합니다. 이렇게 하려면 시작을 클릭하고 실행을 클릭하고 cmd를 입력한 다음 확인을 클릭합니다. 스키마 작업 master 다음 명령을 입력합니다.

    X:\I386\adprep /forestprep
   

   여기서 X:\I386\ 은 Windows Server 2003 설치 미디어의 경로입니다. 이 명령은 포리스트 전체 스키마 업그레이드를 실행합니다.

   참고

   디렉터리 서비스 이벤트 로그에 기록된 이벤트 ID가 1153인 이벤트(예: 다음 샘플)는 무시할 수 있습니다.

6. 명령이 adprep /forestprep 스키마 작업 master 성공적으로 실행되었는지 확인합니다. 이렇게 하려면 master 스키마 작업의 콘솔에서 다음 항목을 확인합니다. - 명령이 adprep /forestprep 오류 없이 완료되었습니다. - CN=Windows2003Update 개체는 CN=ForestUpdates,CN=Configuration,DC= forest_root_domain 기록됩니다. Revision 특성의 값을 기록합니다. - (선택 사항) 버전 30으로 증가된 스키마 버전입니다. 이렇게 하려면 CN=Schema,CN=Configuration,DC= forest_root_domain ObjectVersion 특성을 참조하세요. adprep /forestprep 실행되지 않으면 다음 항목을 확인합니다.

   • 설치 미디어의 \I386 폴더에 있는 Adprep.exe 대한 정규화된 경로는 실행할 때 adprep 지정되었습니다. 이렇게 하려면 다음 명령을 입력합니다.

     x:\i386\adprep /forestprep
     

     여기서 x 는 설치 미디어를 호스트하는 드라이브입니다.

   • adprep을 실행하는 로그온한 사용자에게는 Schema Admins 보안 그룹에 대한 멤버 자격이 있습니다. 이를 확인하려면 명령을 사용합니다 whoami /all .

   • adprep 그래도 작동하지 않으면 %systemroot%\System32\Debug\Adprep\Logs\Latest_log 폴더에서 Adprep.log 파일을 봅니다.

7. 4단계에서 master 스키마 작업에서 아웃바운드 복제를 사용하지 않도록 설정한 경우 에서 수행한 스키마 변경 내용이 adprep /forestprep 전파될 수 있도록 복제를 사용하도록 설정합니다. 이렇게 하려면 다음 단계를 수행합니다.

   1. 시작을 클릭하고 실행을 클릭하고 cmd를 입력한 다음 확인을 클릭합니다.
   2. 다음을 입력한 다음 Enter 키를 누릅니다. repadmin /options -DISABLE_OUTBOUND_REPL

8. 포리스트의 adprep /forestprep 모든 도메인 컨트롤러에서 변경 내용이 복제되었는지 확인합니다. 다음 특성을 모니터링하는 것이 유용합니다.

   1. 스키마 버전 증가
   2. CN=Windows2003Update, CN=ForestUpdates,CN=Configuration,DC= forest_root_domain 또는 CN=Operations,CN=DomainUpdates,CN=System,DC= forest_root_domain 및 그 아래의 작업 GUID가 복제되었습니다.
   3. 새 스키마 클래스, 개체, 특성 또는 추가되는 adprep /forestprep 기타 변경 내용(예: inetOrgPerson)을 검색합니다. %systemroot%\System32 폴더에서 Sch XX.ldf 파일( 여기서 XX 는 14에서 30 사이의 숫자임)을 확인하여 어떤 개체와 특성이 있어야 하는지 확인합니다. 예를 들어 inetOrgPerson은 Sch18.ldf에 정의되어 있습니다.

9. 망가진 LDAPDisplayNames를 찾습니다. 잘못된 이름을 찾으면 동일한 문서의 시나리오 3으로 이동합니다.

10. 스키마 작업 master 호스트하는 포리스트의 스키마 관리자 그룹 보안 그룹의 구성원인 계정으로 master 스키마 작업의 콘솔에 로그온합니다.

adprep /domainprep 명령을 사용하여 도메인 업그레이드

/forestprep 변경 내용이 Windows Server 2003 도메인 컨트롤러를 호스트할 각 도메인의 인프라 master 도메인 컨트롤러에 완전히 복제된 후 실행 adprep /domainprep 합니다. 제거하려면 다음 단계를 수행합니다.

1. 업그레이드하려는 도메인에서 인프라 master 도메인 컨트롤러를 식별한 다음 업그레이드하려는 도메인에서 Domain Admins 보안 그룹의 구성원인 계정으로 로그온합니다.

   참고

   엔터프라이즈 관리자는 포리스트의 자식 도메인에 있는 Domain Admins 보안 그룹의 구성원이 아닐 수 있습니다.

2. 인프라 master 실행 adprep /domainprep 합니다. 이렇게 하려면 시작을 클릭하고 실행을 클릭하고 cmd를 입력한 다음 인프라 master 다음 명령을 X:\I386\adprep /domainprep 입력합니다. 여기서 X:\I386\은 Windows Server 2003 설치 미디어의 경로입니다. 이 명령은 대상 도메인에서 도메인 전체 변경 내용을 실행합니다.

   참고

   명령은 adprep /domainprep Sysvol 공유의 파일 권한을 수정합니다. 이러한 수정으로 인해 해당 디렉터리 트리의 파일이 완전히 동기화됩니다.

3. domainprep이 성공적으로 완료되었는지 확인합니다. 이렇게 하려면 다음 항목을 확인합니다.

   • 명령이 adprep /domainprep 오류 없이 완료되었습니다.
   • 업그레이드하는 도메인의 CN=Windows2003Update,CN=DomainUpdates,CN=System,DC= dn 경로 existsIf adprep /domainprep 가 실행되지 않는 경우 다음 항목을 확인합니다.
   • 실행하는 adprep 로그온된 사용자에게는 업그레이드 중인 도메인의 Domain Admins 보안 그룹에 대한 멤버 자격이 있습니다. 이렇게 하려면 명령을 사용합니다 whoami /all .
   • 를 실행할 adprep때 설치 미디어의 \I386 디렉터리에 있는 Adprep.exe 대한 정규화된 경로가 지정되었습니다. 이렇게 하려면 명령 프롬프트에서 다음 명령을 x :\i386\adprep /forestprep 입력합니다. 여기서 x 는 설치 미디어를 호스트하는 드라이브입니다.
   • adprep 그래도 작동하지 않으면 %systemroot%\System32\Debug\Adprep\Logs\ Latest_log 폴더에서 Adprep.log 파일을 봅니다.

4. 변경 내용이 adprep /domainprep 복제되었는지 확인합니다. 이렇게 하려면 도메인의 나머지 도메인 컨트롤러에 대해 다음 항목을 확인합니다. - 업그레이드하려는 도메인의 CN=Windows2003Update,CN=DomainUpdates,CN=System,DC= dn 경로가 존재하며 Revision 특성의 값은 도메인의 인프라 master 동일한 특성의 값과 일치합니다. - (선택 사항) 추가된 개체, 특성 또는 ACL(액세스 제어 목록) 변경 내용을 adprep /domainprep 찾습니다. 나머지 도메인의 인프라 master 대량으로 또는 해당 도메인의 DC를 Windows Server 2003으로 추가하거나 업그레이드할 때 1-4단계를 반복합니다. 이제 DCPROMO를 사용하여 새 Windows Server 2003 컴퓨터를 포리스트로 승격할 수 있습니다. 또는 WINNT32.EXE 사용하여 기존 Windows 2000 도메인 컨트롤러를 Windows Server 2003으로 업그레이드할 수 있습니다.

Winnt32.exe 사용하여 Windows 2000 도메인 컨트롤러 업그레이드

/forestprep 및 /domainprep의 변경 내용이 완전히 복제되고 이전 버전 클라이언트와의 보안 상호 운용성에 대한 결정을 내린 후 Windows 2000 도메인 컨트롤러를 Windows Server 2003으로 업그레이드하고 새 Windows Server 2003 도메인 컨트롤러를 도메인에 추가할 수 있습니다.

다음 컴퓨터는 각 도메인의 포리스트에서 Windows Server 2003을 실행하는 첫 번째 도메인 컨트롤러 중 하나여야 합니다.

• 도메인 이름은 포리스트에 master 기본 DNS 프로그램 파티션을 만들 수 있습니다.
• Windows Server 2003의 forestprep이 추가하는 엔터프라이즈 수준의 보안 주체가 ACL 편집기에서 표시되도록 포리스트 루트 도메인의 기본 도메인 컨트롤러입니다.
• 새 도메인별 Windows 2003 보안 주체를 만들 수 있도록 루트가 아닌 각 도메인의 기본 도메인 컨트롤러입니다. 이렇게 하려면 WINNT32 사용하여 원하는 운영 역할을 호스트하는 기존 도메인 컨트롤러를 업그레이드합니다. 또는 역할을 새로 승격된 Windows Server 2003 도메인 컨트롤러로 전송합니다. WINNT32 사용하여 Windows Server 2003으로 업그레이드하는 각 Windows 2000 도메인 컨트롤러 및 승격하는 각 Windows Server 2003 작업 그룹 또는 구성원 컴퓨터에 대해 다음 단계를 수행합니다.

1. WINNT32 사용하여 Windows 2000 구성원 컴퓨터 및 도메인 컨트롤러를 업그레이드하기 전에 Windows 2000 관리 도구를 제거합니다. 이렇게 하려면 제어판 프로그램 추가/제거 도구를 사용합니다. (Windows 2000 업그레이드만 해당).

2. Microsoft 또는 관리자가 결정하는 핫픽스 파일 또는 기타 수정 사항을 설치하는 것이 중요합니다.

3. 각 도메인 컨트롤러에서 가능한 업그레이드 문제를 확인합니다. 이렇게 하려면 설치 미디어의 winnt32.exe /checkupgradeonly \I386 폴더에서 다음 명령을 실행합니다. 호환성 검사 식별하는 문제를 해결합니다.

4. 설치 미디어의 \I386 폴더에서 WINNT32.EXE 실행하고 업그레이드된 2003 도메인 컨트롤러를 다시 시작합니다.

5. 필요에 따라 이전 버전 클라이언트에 대한 보안 설정을 낮춥니다.

   Windows NT 4.0 클라이언트에 NT 4.0 SP6 또는 Windows 95 클라이언트가 설치되어 있지 않은 경우 도메인 컨트롤러 조직 구성 단위의 기본 도메인 컨트롤러 정책에서 SMB 서비스 서명을 사용하지 않도록 설정한 다음 도메인 컨트롤러를 호스트하는 모든 조직 단위에 이 정책을 연결합니다. 컴퓨터 구성\Windows 설정\보안 설정\로컬 정책\보안 옵션\Microsoft 네트워크 서버: 디지털 서명 통신(항상)

6. 다음 데이터 요소를 사용하여 업그레이드 상태를 확인합니다.

   • 업그레이드가 성공적으로 완료되었습니다.
   • 설치에 추가한 핫픽스가 원래 이진 파일을 성공적으로 대체했습니다.
   • 도메인 컨트롤러에서 보유한 모든 명명 컨텍스트에 대해 Active Directory의 인바운드 및 아웃바운드 복제가 발생합니다.
   • Netlogon 및 Sysvol 공유가 있습니다.
   • 이벤트 로그는 도메인 컨트롤러와 해당 서비스가 정상임을 나타냅니다.

   참고

   업그레이드한 후 다음 이벤트 메시지가 표시될 수 있습니다. 이 이벤트 메시지를 무시해도 됩니다.

7. Windows Server 2003 관리 도구(Windows 2000 업그레이드 및 Windows Server 2003 비 도메인 컨트롤러만 해당)를 설치합니다. Adminpak.msi Windows Server 2003 CD-ROM의 \I386 폴더에 있습니다. Windows Server 2003 미디어에는 Support\Tools\Suptools.msi 파일에 업데이트된 지원 도구가 포함되어 있습니다. 이 파일을 다시 설치해야 합니다.

8. 포리스트의 각 도메인에서 Windows Server 2003으로 업그레이드한 처음 두 개의 Windows 2000 도메인 컨트롤러를 새로 백업합니다. 잠긴 스토리지에서 Windows Server 2003으로 업그레이드한 Windows 2000 컴퓨터의 백업을 찾아서 현재 Windows Server 2003을 실행하는 도메인 컨트롤러를 복원하는 데 실수로 사용하지 않도록 합니다.

9. (선택 사항) 단일 instance 저장소(SIS)가 완료된 후 Windows Server 2003으로 업그레이드한 도메인 컨트롤러에서 Active Directory 데이터베이스의 오프라인 조각 모음을 수행합니다(Windows 2000 업그레이드만 해당).

   SIS는 Active Directory에 저장된 개체에 대한 기존 권한을 검토한 다음 해당 개체에 보다 효율적인 보안 설명자를 적용합니다. 업그레이드된 도메인 컨트롤러가 Windows Server 2003 운영 체제를 처음 시작하면 SIS가 자동으로 시작됩니다(디렉터리 서비스 이벤트 로그에서 이벤트 1953으로 식별됨). 디렉터리 서비스 이벤트 로그에 이벤트 ID 1966 이벤트 메시지를 기록할 때만 향상된 보안 설명자 저장소의 이점을 누릴 수 있습니다. 이 이벤트 메시지는 단일 instance 저장소 작업이 완료되었으며 관리자가 NTDSUTIL.EXE 사용하여 Ntds.dit의 오프라인 조각 모음을 수행할 큐 역할을 했음을 나타냅니다.

   오프라인 조각 모음을 사용하면 Windows 2000 Ntds.dit 파일의 크기를 최대 40%까지 줄이고 Active Directory 성능을 향상시키며 데이터베이스의 페이지를 업데이트하여 값 있는 연결 특성을 보다 효율적으로 저장할 수 있습니다. Active Directory 데이터베이스를 조각 모음하는 방법에 대한 자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료의 문서를 확인합니다.

   232122 Active Directory 데이터베이스의 오프라인 조각 모음 수행

10. DLT 서버 서비스를 조사합니다. Windows Server 2003 도메인 컨트롤러는 새로 설치 및 업그레이드 설치에서 DLT Server 서비스를 사용하지 않도록 설정합니다. organization Windows 2000 또는 Windows XP 클라이언트가 DLT Server 서비스를 사용하는 경우 그룹 정책 사용하여 신규 또는 업그레이드된 Windows Server 2003 도메인 컨트롤러에서 DLT Server 서비스를 사용하도록 설정합니다. 그렇지 않으면 Active Directory에서 분산 링크 추적 개체를 증분 방식으로 삭제합니다. 자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료의 문서를 확인합니다.

    Windows 기반 도메인 컨트롤러에서 분산 링크 추적 312403

    수천 개의 DLT 개체 또는 기타 개체를 대량으로 삭제하는 경우 버전 저장소가 부족하여 복제를 차단할 수 있습니다. 마지막 DLT 개체를 삭제한 후 가비지 수집이 완료되기까지 mbstonelifetime 기간 (기본적으로 60일)을 기다린 다음, NTDSUTIL.EXE 사용하여 Ntds.dit 파일의 오프라인 조각 모음을 수행합니다.

11. 모범 사례 조직 구성 단위 구조를 구성합니다. 관리자는 모든 Active Directory 도메인에 모범 사례 조직 구성 단위 구조를 적극적으로 배포하고 Windows 도메인 모드에서 Windows Server 2003 도메인 컨트롤러를 업그레이드하거나 배포한 후 이전 버전 API가 사용자, 컴퓨터 및 그룹을 만드는 데 사용하는 기본 컨테이너를 관리자가 지정하는 조직 단위 컨테이너로 리디렉션하는 것이 좋습니다.

    모범 사례 조직 구성 단위 구조에 대한 자세한 내용은 "Windows 네트워크 관리를 위한 모범 사례 Active Directory 디자인" 백서의 "조직 단위 디자인 만들기" 섹션을 참조하세요. 백서를 보려면 다음 Microsoft 웹 사이트를 https://technet.microsoft.com/library/bb727085.aspx 방문하세요. 이전 버전의 API에서 만든 사용자, 컴퓨터 및 그룹이 있는 기본 컨테이너를 변경하는 방법에 대한 자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료의 문서를 확인합니다.

    windows Server 2003 도메인에서 사용자 및 컴퓨터 컨테이너 리디렉션 324949

12. 포리스트의 새 도메인 또는 업그레이드된 Windows Server 2003 도메인 컨트롤러마다 필요에 따라 1~10단계를 반복하고 각 Active Directory 도메인에 대해 11단계(모범 사례 조직 구성 단위 구조)를 반복합니다.

    요약:

    • WINNT32 사용하여 Windows 2000 도메인 컨트롤러 업그레이드(사용된 경우 슬립스트림 설치 미디어에서)
    • 핫픽스 파일이 업그레이드된 컴퓨터에 설치되었는지 확인합니다.
    • 설치 미디어에 포함되지 않은 필수 핫픽스 설치
    • 새 서버 또는 업그레이드된 서버의 상태 확인(AD, FRS, 정책 등)
    • OS 업그레이드 후 24시간 기다린 다음 오프라인 조각 모음(선택 사항)
    • DLT 서비스를 시작해야 하는 경우 q312403/q315229 post forest-wide domainpreps를 사용하여 DLT 개체를 삭제합니다.
    • DLT 개체를 삭제한 후 오프라인 조각 모음 60일(삭제 표시 수명 및 가비지 수집 # 일) 수행

랩 환경에서 드라이 런 업그레이드

Windows 도메인 컨트롤러를 프로덕션 Windows 2000 도메인으로 업그레이드하기 전에 랩에서 업그레이드 프로세스의 유효성을 검사하고 구체화합니다. 프로덕션 포리스트를 정확하게 미러링하는 랩 환경의 업그레이드가 원활하게 수행되는 경우 프로덕션 환경에서 비슷한 결과를 기대할 수 있습니다. 복잡한 환경의 경우 랩 환경은 다음 영역에서 프로덕션 환경을 미러 합니다.

• 하드웨어: 컴퓨터 유형, 메모리 크기, 페이지 파일 배치, 디스크 크기, 성능 및 습격 구성, BIOS 및 펌웨어 수정 수준
• 소프트웨어: 클라이언트 및 서버 운영 체제 버전, 클라이언트 및 서버 애플리케이션, 서비스 팩 버전, 핫픽스, 스키마 변경, 보안 그룹, 그룹 멤버 자격, 권한, 정책 설정, 개체 수 유형 및 위치, 버전 상호 운용성
• 네트워크 인프라: WINS, DHCP, 링크 속도, 사용 가능한 대역폭
• 로드: 부하 시뮬레이터는 암호 변경, 개체 만들기, Active Directory 복제, 로그온 인증 및 기타 이벤트를 시뮬레이션할 수 있습니다. 목표는 프로덕션 환경의 규모를 재현하는 것이 아닙니다. 대신 일반적인 작업의 비용과 빈도를 검색하고 현재 및 향후 요구 사항에 따라 프로덕션 환경에 미치는 영향(이름 쿼리, 복제 트래픽, 네트워크 대역폭 및 프로세서 사용량)을 보간하는 것이 목표입니다.
• 관리: 수행된 작업, 사용된 도구, 사용된 운영 체제
• 작업: 용량, 상호 운용성
• 디스크 공간: 다음 각 작업 후 각 도메인의 전역 카탈로그 및 비 전역 카탈로그 도메인 컨트롤러에서 운영 체제, Ntds.dit 및 Active Directory 로그 파일의 시작, 최대 및 종료 크기를 확인합니다.
  1. adprep /forestprep
  2. adprep /domainprep
  3. Windows 2000 도메인 컨트롤러를 Windows Server 2003으로 업그레이드
  4. 버전 업그레이드 후 오프라인 조각 모음 수행

자세한 관찰과 결합된 환경의 업그레이드 프로세스 및 복잡성에 대한 이해는 프로덕션 환경 업그레이드에 적용하는 속도와 관리 수준을 결정합니다. 고가용성 WAN(광역 네트워크) 링크를 통해 연결된 도메인 컨트롤러 및 Active Directory 개체가 적은 환경은 몇 시간 만에 업그레이드할 수 있습니다. 수백 개의 도메인 컨트롤러 또는 수십만 개의 Active Directory 개체가 있는 엔터프라이즈 배포에 더 주의해야 할 수 있습니다. 이러한 경우 몇 주 또는 몇 달 동안 업그레이드를 수행할 수 있습니다.

랩에서 "드라이 런" 업그레이드를 사용하여 다음 작업을 수행합니다.

• 업그레이드 프로세스의 내부 작업 및 관련 위험을 이해합니다.
• 사용자 환경에서 배포 프로세스에 대한 잠재적인 문제 영역을 노출합니다.
• 업그레이드가 성공하지 못할 경우 대체 계획을 테스트하고 개발합니다.
• 프로덕션 도메인의 업그레이드 프로세스에 적용할 적절한 수준의 세부 정보를 정의합니다.

충분한 디스크 공간이 없는 도메인 컨트롤러

디스크 공간이 부족한 도메인 컨트롤러에서 다음 단계를 사용하여 Ntds.dit 및 로그 파일을 호스트하는 볼륨의 추가 디스크 공간을 확보합니다.

1. *.tmp 파일 또는 인터넷 브라우저에서 사용하는 캐시된 파일을 포함하여 사용되지 않는 파일을 삭제합니다. 이렇게 하려면 다음 명령을 입력합니다(각 명령 다음에 Enter 키를 누릅니다.)

   cd /d drive\  
   del *.tmp /s  
   

2. 사용자 또는 메모리 덤프 파일을 삭제합니다. 이렇게 하려면 다음 명령을 입력합니다(각 명령 다음에 Enter 키를 누릅니다.)

   cd /d drive\  
   del *.dmp /s  
   

3. 다른 서버에서 액세스하거나 쉽게 다시 설치할 수 있는 파일을 일시적으로 제거하거나 재배치합니다. 제거하고 쉽게 바꿀 수 있는 파일에는 ADMINPAK, 지원 도구 및 %systemroot%\System32\Dllcache 폴더의 모든 파일이 포함됩니다.

4. 이전 또는 사용되지 않는 사용자 프로필을 삭제합니다. 이렇게 하려면 시작을 클릭하고 내 컴퓨터를 마우스 오른쪽 단추로 클릭하고 속성을 클릭한 다음 사용자 프로필 탭을 클릭한 다음 이전 및 사용되지 않은 계정에 대한 모든 프로필을 삭제합니다. 서비스 계정에 사용할 수 있는 프로필은 삭제하지 마세요.

5. %systemroot%\Symbols에서 기호를 삭제합니다. 이렇게 하려면 다음 명령을 rd /s %systemroot%\symbols 입력합니다. 서버에 전체 기호 또는 작은 기호 집합이 있는지 여부에 따라 약 70MB에서 600MB가 될 수 있습니다.

6. 오프라인 조각 모음을 수행합니다. Ntds.dit 파일의 오프라인 조각 모음은 공간을 확보할 수 있지만 일시적으로 현재 DIT 파일의 공간을 두 배로 확보해야 합니다. 사용 가능한 경우 다른 로컬 볼륨을 사용하여 오프라인 조각 모음을 수행합니다. 또는 가장 잘 연결된 네트워크 서버의 공간을 사용하여 오프라인 조각 모음을 수행합니다. 디스크 공간이 여전히 충분하지 않은 경우 Active Directory에서 불필요한 사용자 계정, 컴퓨터 계정, DNS 레코드 및 DLT 개체를 증분 방식으로 삭제합니다.