Windows 2000-domeincontrollers bijwerken naar Windows Server 2003

Vertaalde artikelen Vertaalde artikelen
Artikel ID: 325379 - Bekijk de producten waarop dit artikel van toepassing is.
Alles uitklappen | Alles samenvouwen

Op deze pagina

Samenvatting

In dit artikel wordt beschreven hoe u Microsoft Windows 2000-domeincontrollers naar Microsoft Windows Server 2003 bijwerkt en hoe u nieuwe Windows Server 2003-domeincontrollers toevoegt aan Windows 2000-domeinen.

Domein- en forestinventarisatie

Voordat u Windows 2000-domeincontrollers bijwerkt naar Windows Server 2003 of voordat u nieuwe Windows Server 2003-domeincontrollers toevoegt aan een Windows 2000-domein, voert u deze stappen uit:
  1. Inventariseer of de clients die toegang hebben tot bronnen in het domein met Windows Server 2003-domeincontrollers compatibel zijn met SMB-ondertekening:

    Iedere Windows Server 2003-domeincontroller schakelt in het lokale beveiligingsbeleid SMB-ondertekening in. Controleer of alle netwerkclients die gebruikmaken van het SMB/CIFS-protocol voor toegang tot gedeelde bestanden en printers in domeinen met Windows Server 2003-domeincontrollers, kunnen worden geconfigureerd of bijgewerkt zodat ze SMB-ondertekening ondersteunen. Als dat niet zo is, schakelt u SMB-ondertekening tijdelijk uit totdat er updates kunnen worden ge´nstalleerd of de clients kunnen worden bijgewerkt naar nieuwere besturingssystemen die SMB-ondertekening ondersteunen. Voor informatie over het uitschakelen van SMB-ondertekening raadpleegt u de sectie 'SMB-ondertekening uitschakelen' aan het eind van deze stap.

    Actieplannen

    De volgende lijst bevat de actieplannen voor veelgebruikte SMB-clients:
    • Microsoft Windows Server 2003, Microsoft Windows XP Professional, Microsoft Windows 2000 Server, Microsoft Windows 2000 Professional en Microsoft Windows 98

      Er zijn geen handelingen vereist.
    • Microsoft Windows NT 4.0

      Installeer Service Pack 3 of later (Service Pack 6A wordt aanbevolen) op alle Windows NT 4.0-computers die toegang hebben tot domeinen met Windows Server 2003-computers. U kunt ook SMB-ondertekening tijdelijk uitschakelen op Windows Server 2003-domeincontrollers. Voor informatie over het uitschakelen van SMB-ondertekening raadpleegt u de sectie 'SMB-ondertekening uitschakelen' aan het eind van deze stap.
    • Microsoft Windows 95

      Installeer de Windows 9x-adreslijstservice op de Windows 95-computers of schakel SMB-ondertekening tijdelijk uit op Windows Server 2003-domeincontrollers. De oorspronkelijke Win9x-adreslijstservice is opgenomen op de cd-rom van Windows 2000 Server. Deze invoegtoepassing is echter vervangen door een verbeterde Win9x-adreslijstservice. Voor informatie over het uitschakelen van SMB-ondertekening raadpleegt u de sectie 'SMB-ondertekening uitschakelen' aan het eind van deze stap.
    • Microsoft Network Client voor MS-DOS en Microsoft LAN Manager-clients

      Microsoft Network Client voor MS-DOS en Microsoft LAN Manager 2.x-netwerkclients kunnen worden gebruikt voor toegang tot netwerkbronnen of ze kunnen worden gecombineerd met een opstartdiskette om besturingssysteembestanden en andere bestanden te kopiŰren van een gedeelde map op een bestandsserver als onderdeel van een software-installatieroutine. Deze clients ondersteunen geen SMB-ondertekening. Gebruik een andere installatiemethode of schakel SMB-ondertekening uit. Voor informatie over het uitschakelen van SMB-ondertekening raadpleegt u de sectie 'SMB-ondertekening uitschakelen' aan het eind van deze stap.
    • Macintosh-clients

      Sommige Macintosh-clients zijn niet compatibel met SMB-ondertekening. Wanneer ze verbinding proberen te maken met een netwerkbron, wordt het volgende foutbericht weergegeven:
      - Fout -36 I/O
      Installeer bijgewerkte software als deze beschikbaar is. Anders schakelt u SMB-ondertekening uit op Windows Server 2003-domeincontrollers. Voor informatie over het uitschakelen van SMB-ondertekening raadpleegt u de sectie 'SMB-ondertekening uitschakelen' aan het eind van deze stap.
    • Andere niet-Microsoft SMB-clients

      Sommige niet-Microsoft SMB-clients ondersteunen SMB-ondertekening niet. Raadpleeg uw SMB-leverancier voor een bijgewerkte versie. Anders schakelt u SMB-ondertekening uit op Windows Server 2003-domeincontrollers.
    SMB-ondertekening uitschakelen

    Als er geen software-updates kunnen worden ge´nstalleerd op de betreffende domeincontrollers met Windows 95 of Windows NT 4.0, of op andere clients die zijn ge´nstalleerd vˇˇr de introductie van Windows Server 2003, schakelt u de ondertekeningsvereisten voor de SMB Service tijdelijk uit in Groepsbeleid totdat u bijgewerkte clientsoftware kunt implementeren.

    U kunt SMB Service-ondertekening uitschakelen in het volgende knooppunt van het beleid voor standaarddomeincontrollers in de organisatie-eenheid van de domeincontroller:
    Computerconfiguratie\Windows-instellingen\Beveiligingsinstellingen\Lokaal beleid\Beveiligingsopties\Microsoft netwerkclient: Servercommunicatie digitaal ondertekenen (altijd)
    Als domeincontrollers niet in de organisatie-eenheid van de domeincontroller zijn opgenomen, moet u het groepsbeleidobject van de standaarddomeincontroller koppelen aan alle organisatie-eenheden die optreden als host voor Windows 2000- of Windows Server 2003-domeincontrollers. U kunt SMB Service-ondertekening ook configureren in een groepsbeleidobject dat aan deze organisatie-eenheden is gekoppeld.
  2. Inventariseer de domeincontrollers die zich in het domein en het forest bevinden:
    1. Controleer of voor alle Windows 2000-domeincontrollers in het forest de juiste hotfixes en service packs zijn ge´nstalleerd.

      U wordt aangeraden op alle Windows 2000-domeincontrollers Windows 2000 Service Pack 4 (SP4) of een later besturingssysteem uit te voeren. Als u Windows 2000 SP4 niet volledig kunt installeren, moet op de Windows 2000-domeincontrollers een Ntdsa.dll-bestand worden opgenomen met een recentere datum dan 4 juni 2001 en een hoger versienummer dan 5.0.2195.3673. Klik voor meer informatie op het volgende artikelnummer in de Microsoft Knowledge Base:
      331161Hotfixes die moeten worden ge´nstalleerd voordat u adprep /Forestprep uitvoert op een Windows 2000-domeincontroller om het forest en de domeinen voor te bereiden op de toevoeging van Windows Server 2003-domeincontrollers
      Standaard wordt in Active Directory-beheerprogramma's op Windows 2000 SP4-, Windows XP- en Windows Server 2003-clientcomputers gebruikgemaakt van LDAP-ondertekening (Lightweight Directory Access Protocol). Als dergelijke computers voor het externe beheer van Windows 2000-domeincontrollers gebruikmaken van of terugvallen op NTLM-verificatie, kan de verbinding niet tot stand worden gebracht. U kunt dit probleem oplossen door op extern beheerde domeincontrollers minimaal Windows 2000 SP3 te installeren. Anders moet u LDAP-ondertekening uitschakelen op de clients waarop de beheerprogramma's worden uitgevoerd. Klik voor meer informatie over LDAP op de volgende artikelnummers in de Microsoft Knowledge Base:
      325465Voor Windows 2000-domeincontrollers is Service Pack 3 of hoger vereist wanneer beheerprogramma's van Windows Server 2003 worden gebruikt
      In de volgende scenario's wordt gebruikgemaakt van NTLM-verificatie:
      • U beheert Windows 2000-domeincontrollers die zich in een extern forest bevinden en zijn aangesloten via een NTLM-vertrouwensrelatie (non-Kerberos).
      • U koppelt MMC-modules (Microsoft Management Console) aan een bepaalde domeincontroller waarnaar wordt verwezen met het IP-adres. U kunt bijvoorbeeld het menu Start openen, Uitvoeren kiezen en de volgende opdracht typen:
        dsa.msc /server=ip-adres
      Als u het revisieniveau van het besturingssysteem en het service pack van Active Directory-domeincontrollers in een Active Directory-domein wilt vaststellen, installeert u de Windows Server 2003-versie van het bestand Repadmin.exe op een Windows XP Professional- of Windows Server 2003-computer in het forest. Vervolgens voert u de volgende repadmin-opdracht tegen een domeincontroller uit in elk domein in het forest:
      >repadmin /showattr naam van de domeincontroller in het doeldomein ncobj:domein: /filter:"(&(objectCategory=computer)(primaryGroupID=516))" /subtree /atts:operatingSystem,operatingSystemVersion,operatingSystemServicePack

      DN: CN=NA-DC-01,organisatie-eenheid=Domeincontrollers,DC=bedrijf,DC=com
      1> operatingSystem: Windows Server 2003
      1> operatingSystemVersion: 5.2 (3718)
      DN: CN=NA-DC-02,organisatie-eenheid=Domeincontrollers,DC=bedrijf,DC=com

      1> operatingSystem: Windows 2000 Server
      1> operatingSystemVersion: 5.0 (2195)
      1> operatingSystemServicePack: Service Pack 1
      Opmerking: In de kenmerken van domeincontrollers wordt de installatie van afzonderlijke hotfixes niet weergegeven.
    2. Controleer de end-to-end replicatie van Active Directory in het forest.

      Controleer of met elke domeincontroller in het bijgewerkte forest de lokaal opgeslagen naamgevingscontexten en de bijbehorende partners worden gerepliceerd in overeenstemming met het schema dat voor de site-koppelingen of verbindingsobjecten is opgegeven. Gebruik de Windows Server 2003-versie van het bestand Repadmin.exe op een Windows XP- of Windows Server 2003-computer in het forest met de volgende argumenten:
      REPADMIN /REPLSUM /BYSRC /BYDEST /SORT:DELTA              <-uitvoer past op pagina
      
      DestDC    largest delta    fails/total  %%  error
      
      NA-DC-01 13d.21h:10m:10s    97 / 143  67  (8240) Dit object bevindt zich niet?
      NA-DC-02 13d.04h:11m:07s   180 / 763  23  (8524) De DSA-bewerking...
      NA-DC-03 12d.03h:54m:41s     5 /   5 100  (8524) De DSA-bewerking...
      Alle domeincontrollers in het forest moeten Active Directory foutloos repliceren en de waarden in de kolom Largest Delta van de repadmin-uitvoer mogen niet significant groter zijn dan de replicatiefrequentie op de bijbehorende site-koppelingen of verbindingsobjecten die worden gebruikt door een bepaalde doeldomeincontroller.

      Los alle replicatiefouten op tussen domeincontrollers waar geen replicatie van inkomende wijzigingen heeft plaatsgevonden in een periode die korter is dan het aantal dagen dat is ingesteld voor TSL (Tombstone-levensduur) (standaard 60 dagen). Als het repliceren niet werkt, moet u de domeincontrollers mogelijk geforceerd uit het forest degraderen met de Ntdsutil-opdracht metadata cleanup en vervolgens weer naar het forest promoveren. U kunt een geforceerde degradatie uitvoeren als u het besturingssysteem en de programma's van een zwevende domeincontroller wilt behouden. Klik voor meer informatie over het verwijderen van zwevende Windows 2000-domeincontrollers uit hun domein op het volgende artikelnummer in de Microsoft Knowledge Base:
      216498Het verwijderen van gegevens in Active Directory bij een mislukte degradatie van domeincontrollers
      Voer deze procedure alleen in noodgevallen uit om de installatie van het besturingssysteem en de ge´nstalleerde programma's te herstellen. Niet-gerepliceerde objecten en kenmerken op zwevende domeincontrollers, inclusief gebruikers, computers, vertrouwensrelaties, bijbehorende wachtwoorden, groepen en groepslidmaatschappen, gaan verloren.

      Wees voorzichtig wanneer u replicatiefouten probeert op te lossen voor domeincontrollers waarmee geen binnenkomende wijzigingen zijn gerepliceerd voor een bepaalde Active Directory-partitie gedurende een periode die langer is dan tombstonelifetime dagen. Als u dit doet, kunnen er namelijk objecten worden geactiveerd die van een bepaalde domeincontroller zijn verwijderd, maar waarvan de rechtstreekse of transitieve replicatiepartners in de voorgaande 60 dagen niet op de hoogte zijn gesteld.

      U kunt overwegen om alle achtergebleven objecten op domeincontrollers waarop de afgelopen 60 dagen geen binnenkomende replicatie heeft plaatsgevonden, te verwijderen. U kunt domeincontrollers die gedurende de periode die is ingesteld voor de Tombstone-levensduur, geen binnenkomende replicatie hebben uitgevoerd op een bepaalde partitie, ook geforceerd degraderen. Vervolgens verwijdert u de resterende metagegevens uit het Active Directory-forest met Ntdsutil en andere hulpprogramma's. Neem voor meer informatie contact op met uw ondersteuningsprovider of Microsoft PSS.
    3. Controleer of de inhoud van de Sysvol-share consistent is.

      Controleer of het bestandssysteemdeel van het groepsbeleid consistent is. U kunt Gpotool.exe uit de Resource Kit gebruiken om te bepalen of er inconsistenties in het beleid van een domein aanwezig zijn. Gebruik Healthcheck, een ondersteuningsprogramma voor Windows Server 2003, om te bepalen of de replicasets van de Sysvol-share in elk domein naar behoren functioneren.

      Als u in de inhoud van de Sysvol-share inconsistenties aantreft, lost u deze op.
    4. Gebruik het ondersteuningsprogramma Dcdiag.exe om te controleren of voor alle domeincontrollers gedeelde Netlogon- en Sysvol-shares zijn ingesteld. Typ hiervoor de volgende opdracht bij een opdrachtprompt:
      DCDIAG.EXE /e /test:frssysvol
    5. Inventariseer de operationele rollen.

      Met de operationsmasters voor schema en infrastructuur worden forest- en domeinomvattende schemawijzigingen doorgevoerd in het forest en de bijbehorende domeinen. Deze wijzigingen zijn aangebracht door het hulpprogramma adprep van Windows Server 2003. Controleer of de domeincontroller die de schemarol en de infrastructuurrol voor ieder domein in het forest vervult, zich op een actieve domeincontroller bevindt en of iedere roleigenaar een binnenkomende replicatie heeft uitgevoerd over alle partities sinds de laatste keer dat deze opnieuw is opgestart.

      De opdracht DCDIAG /test:FSMOCHECK kan worden gebruikt om forest- en domeinomvattende operationele rollen weer te geven. Operationsmasterrollen die zich op niet-bestaande domeincontrollers bevinden, moeten met behulp van NTDSUTIL worden overgenomen door een goed functionerende domeincontroller. Rollen die zich op slecht functionerende domeincontrollers bevinden, moeten indien mogelijk worden overgebracht. Anders moeten ze worden overgenomen. Met de opdracht NETDOM QUERY FSMO worden geen FSMO-rollen ge´dentificeerd die zich op verwijderde domeincontrollers bevinden.

      Controleer of de schema-master en alle infrastructuurmasters een binnenkomende replicatie van Active Directory hebben uitgevoerd sinds de laatste keer dat ze zijn opgestart. Binnenkomende replicatie kan worden gecontroleerd met de opdracht REPADMIN /SHOWREPS DCNAME, waarbij DCNAME de NetBIOS-computernaam of de volledige computernaam van een domeincontroller is. Klik voor meer informatie over operationsmasters en hun locatie op de volgende artikelnummers in de Microsoft Knowledge Base:
      197132FSMO-rollen voor Active Directory van Windows 2000
      223346FSMO-plaatsing en optimalisatie op Active Directory-domeincontrollers
    6. Gebeurtenislogboeken controleren

      Controleer de gebeurtenislogboeken van alle domeincontrollers op eventuele problemen. De gebeurtenislogboeken moeten geen berichten over ernstige gebeurtenissen bevatten die betrekking hebben op een probleem met een van de volgende processen en onderdelen:
      fysieke verbinding
      netwerkverbinding
      naamregistratie
      naamomzetting
      verificatie
      groepsbeleid
      beveiligingsbeleid
      schijvensubsysteem
      schema
      topologie
      replicatieprogramma
    7. Inventarisatie van schijfruimte

      Op het volume dat als host optreedt voor het Active Directory-databasebestand Ntds.dit, moet aan schijfruimte minstens 15-20% van de grootte van het bestand Ntds.dit beschikbaar zijn. Dit geldt ook voor het volume dat als host optreedt voor het Active Directory-logboekbestand. Zie de sectie 'Domeincontrollers met onvoldoende schijfruimte' in dit artikel voor meer informatie over het vrijmaken van extra schijfruimte.
    8. DNS-opruiming (optioneel)

      Schakel de optie voor DNS-opruiming met intervallen van zeven dagen in voor elke DNS-server in het forest. U krijgt de beste resultaten als u dit instelt minstens 61 dagen voordat u het besturingssysteem bijwerkt. Zo geeft u de daemon voor DNS-opruiming voldoende tijd om een opschoonbewerking voor verouderde DNS-objecten uit te voeren wanneer het bestand Ntds.dit offline wordt gedefragmenteerd.
    9. De serverservice DLT uitschakelen (optioneel)

      De service DLT Server is uitgeschakeld op nieuwe en bijgewerkte installaties van Windows Server 2003-domeincontrollers. Als er geen Distributed Link-tracering wordt gebruikt, kunt u de service DLT Server uitschakelen op de Windows 2000-domeincontrollers en de DLT-objecten beginnen te verwijderen uit alle domeinen in het forest. Raadpleeg voor meer informatie de sectie over Microsoft-aanbevelingen voor Distributed Link-tracering in het volgende Microsoft Knowledge Base-artikel:
      312403Distributed Link-tracering op domeincontrollers met Windows
    10. Back-up van systeemstatus

      Maak een back-up van de systeemstatus van minstens twee domeincontrollers in elk domein in het forest. Als de upgrade mislukt, kunt u de domeinen in het forest herstellen met de back-up.

Microsoft Exchange 2000 in Windows 2000-forests

Opmerkingen
  • Als Exchange 2000 Server is ge´nstalleerd of wordt ge´nstalleerd in een Windows 2000-forest, moet u deze sectie lezen voordat u de Windows Server 2003-opdracht adprep /forestprep uitvoert.
  • Als er Microsoft Exchange Server 2003-schemawijzigingen worden ge´nstalleerd, gaat u naar de sectie 'Overzicht: Windows 2000-domeincontrollers bijwerken naar Windows Server 2003' voordat u de Windows Server 2003-opdracht adprep uitvoert.
In het Exchange 2000-schema worden drie inetOrgPerson-kenmerken gedefinieerd met LDAPDisplayNames die niet conform RFC (Request for Comment) zijn: houseIdentifier, secretary en labeledURI.

In de Windows 2000 inetOrgPerson Kit en de Windows Server 2003-opdracht adprep worden met RFC compatibele versies van dezelfde drie kenmerken gedefinieerd met dezelfde LDAPDisplayNames als in de niet met RFC compatibele versies.

Wanneer de Windows Server 2003-opdracht adprep /forestprep zonder corrigerende scripts wordt uitgevoerd in een forest waarin Windows 2000- en Exchange 2000-schemawijzigingen zijn doorgevoerd, worden de LDAPDisplayNames voor de kenmerken houseIdentifier, labeledURI en secretary vervormd. Een kenmerk wordt ?vervormd? als er aan het begin van de conflicterende kenmerknaam 'Dup' of andere unieke tekens worden toegevoegd zodat objecten en kenmerken in de map unieke namen hebben.


Active Directory-forests zijn in de volgende gevallen niet gevoelig voor vervormde LDAPDisplayNames voor deze kenmerken:
  • Als u de Windows Server 2003-opdracht adprep /forestprep uitvoert in een forest dat het Windows 2000-schema bevat voordat u het Exchange 2000-schema toevoegt.
  • Als u het Exchange 2000-schema installeert in een forest dat is gemaakt terwijl een Windows Server 2003-domeincontroller de eerste domeincontroller in het forest was.
  • Als u de Windows 2000 inetOrgPerson Kit toevoegt aan een forest dat het Windows 2000-schema bevat, vervolgens Exchange 2000-schemawijzigingen installeert, waarna u de Windows Server 2003-opdracht adprep /forestprep uitvoert.
  • Wanneer u een Exchange 2000-schema aan een bestaand Windows 2000-forest toevoegt, moet u Exchange 2003 /forestprep uitvoeren vˇˇr de Windows Server 2003-opdracht adprep /forestprep.
In de volgende gevallen doen zich vervormde kenmerken voor in Windows 2000:
  • Als u de Exchange 2000-versies van de kenmerken labeledURI, houseIdentifier en secretary aan een Windows 2000-forest toevoegt voordat u de Windows 2000 inetOrgPerson Kit installeert.
  • U voegt de Exchange 2000-versies van de kenmerken labeledURI, houseIdentifier en secretary toe aan een Windows 2000-forest voordat u de Windows Server 2003-opdracht adprep /forestprep uitvoert zonder eerst de opschoonscripts uit te voeren.
Hierna worden de actieplannen voor ieder scenario weergegeven:

Scenario 1: Exchange 2000-schemawijzigingen worden toegevoegd nadat u de Windows Server 2003-opdracht adprep /forestprep hebt uitgevoerd

Als Exchange 2000-schemawijzigingen in het Windows 2000-forest worden doorgevoerd nadat de Windows Server 2003-opdracht adprep /forestprep is uitgevoerd, is er geen opschoning vereist. Ga naar de sectie 'Overzicht: Windows 2000-domeincontrollers bijwerken naar Windows Server 2003'.

Scenario 2: Exchange 2000-schemawijzigingen worden ge´nstalleerd vˇˇr de Windows Server 2003-opdracht adprep /forestprep

Als Exchange 2000-schemawijzigingen al zijn ge´nstalleerd, maar u de Windows Server 2003-opdracht adprep /forestprep nog niet hebt uitgevoerd, kunt u het volgende doen:
  1. Meld u aan bij de console van de schema-master met een account die deel uitmaakt van de beveiligingsgroep Schemabeheerders.
  2. Klik op Start, klik op Uitvoeren, typ notepad.exe in het vak Openen en klik op OK.
  3. Kopieer de volgende tekst met inbegrip van het liggende streepje na 'schemaUpdateNow: 1' naar Kladblok.
    dn: CN=ms-Exch-Assistant-Name,CN=Schema,CN=Configuration,DC=X
    changetype: Modify
    replace:LDAPDisplayName
    LDAPDisplayName: msExchAssistantName
    -

    dn: CN=ms-Exch-LabeledURI,CN=Schema,CN=Configuration,DC=X
    changetype: Modify
    replace: LDAPDisplayName
    LDAPDisplayName: msExchLabeledURI
    -

    dn: CN=ms-Exch-House-Identifier,CN=Schema,CN=Configuration,DC=X
    changetype: Modify
    replace: LDAPDisplayName
    LDAPDisplayName: msExchHouseIdentifier
    -

    dn:
    changetype: Modify
    add: schemaUpdateNow
    schemaUpdateNow: 1
    -
  4. Controleer aan het einde van elke regel of er geen spaties aanwezig zijn.
  5. Klik in het menu Bestand op Opslaan. In het dialoogvenster Opslaan als voert u de volgende stappen uit:
    1. In het vak Bestandsnaam typt u het volgende:
      \%userprofile%\InetOrgPersonPrevent.ldf
    2. Klik in het vak Opslaan als op Alle bestanden.
    3. Klik in het vak Codering op Unicode.
    4. Klik op Opslaan.
    5. Sluit Kladblok af.
  6. Voer het script InetOrgPersonPrevent.ldf uit.
    1. Klik op Start, klik op Uitvoeren, typ cmd in het vak Openen en klik op OK.
    2. Typ de volgende opdracht bij de opdrachtprompt en druk op Enter:
      cd %gebruikersprofiel%
    3. Typ de volgende opdracht
      c:\documents and settings\%gebruikersnaam%>ldifde -i -f inetorgpersonprevent.ldf -v -c DC=X "domeinnaampad voor hoofddomein van forest"
      Opmerkingen met betrekking tot de syntaxis:
      • DC=X is een hoofdlettergevoelige constante.
      • Het domeinnaampad voor het hoofddomein moet tussen aanhalingstekens staan.
      De opdrachtsyntaxis voor een Active Directory-forest waarvan het hoofddomein van het forest TAILSPINTOYS.COM, is als volgt:
      c:\documents and settings\administrator>ldifde -i -f inetorgpersonprevent.ldf -v -c DC=X "dc=tailspintoys,dc=com"
      Opmerking Wanneer het volgende foutbericht wordt weergegeven, moet u wellicht de registersubsleutel
      Schema Update Allowed
      wijzigen:
      Schema-update is niet toegestaan op deze domeincontroller. De registersleutel is niet ingesteld of de domeincontroller is niet de FSMO-roleigenaar van het schema.
      Klik voor meer informatie over het wijzigen van deze registersubsleutel op het volgende artikelnummer in de Microsoft Knowledge Base:
      285172Schema-update vereist schrijftoegang tot schema in Active Directory
  7. Controleer of de LDAPDisplayNames voor de kenmerken CN=ms-Exch-Assistant-Name, CN=ms-Exch-LabeledURI en CN=ms-Exch-House-Identifier in de naamgevingscontext van het schema nu worden weergegeven als msExchAssistantName, msExchLabeledURI en msExchHouseIdentifier voordat u de Windows Server 2003-opdracht adprep /forestprep uitvoert.
  8. Ga naar de sectie 'Overzicht: Windows 2000-domeincontrollers bijwerken naar Windows Server 2003' om de opdrachten adprep /forestprep en /domainprep uit te voeren.

Scenario 3: De Windows Server 2003-opdracht forestprep is uitgevoerd zonder eerst InetOrgPersonFix uit te voeren

Als u de Windows Server 2003-opdracht adprep /forestprep uitvoert in een Windows 2000-forest waarin de Exchange 2000-schemawijzigingen zijn doorgevoerd, worden de LDAPDisplayName-kenmerken voor houseIdentifier, secretary en labeledURI vervormd. Met Ldp.exe kunt u naar de gewijzigde kenmerken van vervormde namen zoeken:
  1. Installeer Ldp.exe vanuit de map Support\Tools op de cd-rom van Microsoft Windows 2000 of Windows Server 2003.
  2. Start Ldp.exe vanaf een domeincontroller of computer in het forest.
    1. Open het menu Connection, kies Connect, laat het vak Server leeg, typ 389 in het vak Port en klik op OK.
    2. Open het menu Connection, kies Bind, laat alle vakken leeg en klik op OK.
  3. Sla het pad voor de DN-naam voor het kenmerk SchemaNamingContext op. Voor een domeincontroller in het forest CORP.ADATUM.COM kan het pad voor de DN-naam bijvoorbeeld CN=Schema,CN=Configuration,DC=corp,DC=company,DC=com zijn.
  4. Klik op Search in het menu Browse.
  5. Configureer de volgende instellingen in het dialoogvenster Search:
    • Base DN: het pad voor de DN-naam voor de naamgevingscontext van het schema die is opgegeven in stap 3.
    • Filter: (ldapdisplayname=dup*)
    • Scope: Subtree
  6. Vervormde houseIdentifier-, secretary- en labeledURI-kenmerken hebben LDAPDisplayName-kenmerken met de volgende notatie:
    LDAPDisplayName: DUP-labeledURI-9591bbd3-d2a6-4669-afda-48af7c35507d;
    LDAPDisplayName: DUP-secretary-c5a1240d-70c0-455c-9906-a4070602f85f
    LDAPDisplayName: DUP-houseIdentifier-354b0ca8-9b6c-4722-aae7-e66906cc9eef
  7. Als de LDAPDisplayNames voor labeledURI, secretary en houseIdentifier zijn vervormd in stap 6, voert u het Windows Server 2003-script InetOrgPersonFix.ldf uit om deze te herstellen. Vervolgens gaat u naar de sectie 'Windows 2000-domeincontrollers bijwerken met Winnt32.exe'.
    1. Maak een map met de naam %Systeemstation%\IOP en pak het bestand InetOrgPersonfix.ldf uit in deze map.
    2. Bij de opdrachtprompt typt u cd %systeemstation%\iop.
    3. Pak het bestand InetOrgPersonFix.ldf uit dat is opgenomen in het bestand Support.cab in de map Support\Tools op de cd-rom van Windows Server 2003.
    4. Via de console van de schema-master laadt u het bestand InetOrgPersonFix.ldf met het bestand Ldifde.exe om het kenmerk LdapDisplayName van de kenmerken houseIdentifier, secretary en labeledURI te corrigeren. Hiertoe typt u de volgende opdracht, waarbij <X> voor een hoofdlettergevoelige constante staat en u bij <domeinnaampad voor hoofddomein van forest> het domeinnaampad voor het hoofddomein van het forest opgeeft:
      c:\IOP>ldifde -i -f inetorgpersonfix.ldf -v -c DC=X "domeinnaampad voor hoofddomein van forest"
      Opmerkingen met betrekking tot de syntaxis:
      • DC=X is een hoofdlettergevoelige constante.
      • Het domeinnaampad voor het hoofddomein van het forest moet tussen aanhalingstekens staan.
  8. Voordat u Exchange 2000 installeert, moet u controleren of de kenmerken houseIdentifier, secretary en labeledURI in de naamgevingscontext van het schema niet zijn vervormd.
Klik voor meer informatie over een vergelijkbaar schemaconflict met Services for UNIX versie 2.0 op het volgende artikelnummer in de Microsoft Knowledge Base:
293783Upgrade van Windows 2000 Server naar Windows Server 2003 kan niet worden uitgevoerd wanneer Windows Services voor UNIX 2.0 zijn ge´nstalleerd

Overzicht: Windows 2000-domeincontrollers bijwerken naar Windows Server 2003

Met de Windows Server 2003-opdracht adprep die u uitvoert vanuit de map \I386 op het installatiemedium met Windows Server 2003, bereidt u een Windows 2000-forest en de bijbehorende domeinen voor om Windows Server 2003-domeincontrollers toe te voegen. Met de Windows Server 2003-opdracht adprep /forestprep worden de volgende functies toegevoegd:
  • verbeterde standaard security descriptors voor objectklassen;
  • nieuwe gebruikers- en groepskenmerken;
  • nieuwe schemaobjecten en -kenmerken, zoals inetOrgPerson.
Het hulpprogramma adprep ondersteunt twee opdrachtregelargumenten:
adprep /forestprep: hiermee worden forests bijgewerkt.
adprep /domainprep: hiermee worden domeinen bijgewerkt.
De opdracht adprep /forestprep wordt ÚÚn keer uitgevoerd op de schema-master (FSMO) van het forest. De bewerking forestprep moet worden voltooid en naar de infrastructuurmaster van elk domein worden gerepliceerd voordat u adprep /domainprep in een domein kunt uitvoeren.

De opdracht adprep /domainprep wordt ÚÚn keer uitgevoerd op de domeincontroller van de infrastructuurmaster voor elk domein in het forest dat als host optreedt voor nieuwe of bijgewerkte Windows Server 2003-domeincontrollers. De opdracht adprep /domainprep controleert of de wijzigingen als gevolg van forestprep zijn gerepliceerd in de domeinpartitie en brengt vervolgens wijzigingen aan in de domeinpartitie en het groepsbeleid in de Sysvol-share.

U kunt de volgende handelingen alleen uitvoeren als de bewerkingen /forestprep en /domainprep zijn voltooid en naar alle domeincontrollers in het domein zijn gerepliceerd:
  • Werk de Windows 2000-domeincontrollers met Winnt32.exe bij naar Windows Server 2003-domeincontrollers.

    Opmerking: U kunt de Windows 2000-servers en -computers op elk moment bijwerken naar Windows Server 2003-computers.
  • Promoveer nieuwe Windows Server 2003-domeincontrollers naar het domein met Dcpromo.exe.
Het domein dat als host optreedt voor de schema-master, is het enige domein waarin u zowel adprep /forestprep als adprep /domainprep moet uitvoeren. In andere domeinen moet u alleen adprep /domainprep uitvoeren.

De opdrachten adprep /forestprep en adprep /domainprep voegen geen kenmerken toe aan de gedeeltelijke kenmerkset van de globale catalogus en de globale catalogus wordt niet volledig gesynchroniseerd. De RTM-versie van adprep /domainprep voert een volledige synchronisatie uit van de map \Beleid in de boomstructuur Sysvol. Zelfs wanneer u forestprep en domainprep meerdere keren uitvoert, worden de bewerkingen slechts ÚÚn keer uitgevoerd.

Nadat de wijzigingen van adprep /forestprep en adprep /domainprep volledig zijn gerepliceerd, kunt u de Windows 2000-domeincontrollers naar Windows Server 2003 bijwerken met Winnt32.EXE uit de map \I386 op de cd-rom van Windows Server 2003. Daarnaast kunt u nieuwe Windows Server 2003-domeincontrollers aan het domein toevoegen met Dcpromo.exe.

Het forest bijwerken met de opdracht adprep /forestprep

Als u een Windows 2000-forest en domeinen wilt voorbereiden op Windows Server 2003-domeincontrollers, kunt u de volgende stappen het beste eerst in een testomgeving en pas daarna in een productieomgeving uitvoeren:
  1. Controleer of u alle bewerkingen uit het gedeelte voor forest-inventarisatie hebt uitgevoerd en let daarbij met name op het volgende:
    1. U hebt een back-up van de systeemstatus gemaakt.
    2. Voor alle Windows 2000-domeincontrollers in het forest zijn de juiste hotfixes en service packs ge´nstalleerd.
    3. End-to-end replicatie van Active Directory vindt plaats in het hele forest.
    4. Het bestandssysteembeleid wordt in elk domein correct gerepliceerd met FRS.
  2. Meld u aan bij de console van de schema-master met een account die deel uitmaakt van de beveiligingsgroep Schemabeheerders.
  3. Controleer of de schema-FSMO een binnenkomende replicatie van de schemapartitie heeft uitgevoerd door het volgende te typen bij een Windows NT-opdrachtprompt:
    repadmin /showreps
    (repadmin is ge´nstalleerd in de map Support\Tools van Active Directory.)
  4. In oudere Microsoft-documentatie wordt aangeraden om de schema-master op een particulier netwerk te isoleren voordat u adprep /forestprep uitvoert. In de praktijk blijkt dat deze stap niet nodig is en tot gevolg kan hebben dat een schema-master schemawijzigingen weigert wanneer deze opnieuw wordt gestart in een particulier netwerk. Als u schematoevoegingen die zijn gemaakt met de opdracht adprep wilt isoleren, raadt Microsoft u aan om uitgaande replicatie van Active Directory tijdelijk uit te schakelen met de opdrachtregelopdracht repadmin. Ga hiervoor als volgt te werk:
    1. Klik op Start, klik op Uitvoeren, typ cmd en klik op OK.
    2. Typ de volgende opdracht en druk op Enter:
      repadmin /options +DISABLE_OUTBOUND_REPL
  5. Voer adprep uit op de schema-master. Klik daartoe op Start, klik op Uitvoeren, typ cmd en klik op OK. Typ de volgende opdracht op de schema-master:
    X:\I386\adprep /forestprep
    waarbij X:\I386\ het pad is van het installatiemedium met Windows Server 2003. Met deze opdracht wordt het forest-omvattende schema bijgewerkt.

    Opmerking Gebeurtenissen met gebeurtenis-id 1153 die worden vastgelegd in het Active Directory-gebeurtenislogboek, zoals in het volgende voorbeeld, kunnen worden genegeerd:

    Type: Fout
    Bron: NTDS (algemeen)
    Categorie: Interne verwerking
    Gebeurtenis-id: 1153
    Datum: MM/DD/JJJJ
    Tijd: UU:MM:SS AM|PM
    Gebruiker: Computer Iedereen: <een DC>
    Beschrijving: Klasse-id 655562 (klassenaam msWMI-MergeablePolicyTemplate) heeft een ongeldige superklasse 655560.

  6. Controleer of de opdracht adprep /forestprep correct is uitgevoerd op de schema-master. Op de console van de schema-master controleert u het volgende:
    • De opdracht adprep /forestprep is zonder fouten voltooid.
    • Het object CN=Windows2003Update is geschreven onder CN=ForestUpdates,CN=Configuration,DC=forest_root_domain. Sla de waarde van het revisiekenmerk op.
    • Het schema is bijgewerkt naar versie 30 (optioneel). Controleer hiervoor het kenmerk ObjectVersion onder CN=Schema,CN=Configuration,DC=forest_root_domain.
    Als adprep /forestprep niet wordt uitgevoerd, controleert u het volgende:
    • Het volledige pad voor Adprep.exe, dat zich in de map \I386 op het installatiemedium bevindt, is opgegeven toen u adprep uitvoerde. Gebruik hiervoor de volgende opdracht:
      x:\i386\adprep /forestprep
      waarbij x het station is waarin het installatiemedium is geplaatst.
    • De aangemelde gebruiker die adprep uitvoert, maakt deel uit van de beveiligingsgroep Schemabeheerders. U controleert dit met de opdracht whoami /all.
    • Als adprep nog niet werkt, controleert u het bestand Adprep.log in de map %systemroot%\System32\Debug\Adprep\Logs\Latest_log.
  7. Als u in stap 4 uitgaande replicatie hebt uitgeschakeld op de schema-master, schakelt u replicatie weer in zodat de schemawijzigingen die zijn gemaakt met de opdracht adprep /forestprep, kunnen worden verspreid. Ga hiervoor als volgt te werk:
    1. Klik op Start, klik op Uitvoeren, typ cmd en klik op OK.
    2. Typ de volgende opdracht en druk op Enter:
      repadmin /options -DISABLE_OUTBOUND_REPL
  8. Controleer of de wijzigingen in adprep /forestprep zijn gerepliceerd op alle domeincontrollers in het forest. U kunt de volgende kenmerken controleren:
    1. De schemaversie verhogen
    2. CN=Windows2003Update, CN=ForestUpdates,CN=Configuration,DC=forest_root_domain of CN=Operations,CN=DomainUpdates,CN=System,DC=forest_root_domain en de bewerkings-GUID's hieronder zijn niet gerepliceerd.
    3. Zoek naar nieuwe schemaklassen, objecten, kenmerken of andere wijzigingen die met adprep /forestprep worden toegevoegd, zoals inetOrgPerson. Controleer de SchXX.ldf-bestanden, waarbij XX voor een getal tussen 14 en 30 staat, in de map %systemroot%\System32 om te bepalen welke objecten en kenmerken aanwezig moeten zijn. inetOrgPerson is bijvoorbeeld opgegeven in Sch18.ldf.
  9. Zoek naar vervormde LDAPDisplayNames.

    Raadpleeg het volgende artikel in de Microsoft Knowledge Base als Exchange 2000 al was ge´nstalleerd voordat u de Windows Server 2003-opdracht adprep /forestprep uitvoerde:
    314649De Windows Server 2003-opdracht adprep /forestprep veroorzaakt verminkte kenmerken in Windows 2000-forests met Exchange 2000-servers
    Als u vervormde namen aantreft, gaat u naar scenario 3 van hetzelfde artikel.
  10. Meld u aan bij de console van de schema-master met een account die deel uitmaakt van de beveiligingsgroep Schemabeheerders voor het forest dat als host optreedt voor de schema-master.

Het domein bijwerken met de opdracht adprep /domainprep

Voer adprep /domainprep uit als de wijzigingen met /forestprep volledig zijn gerepliceerd naar elk domein op de domeincontroller van de infrastructuurmaster dat als host optreedt voor Windows Server 2003-domeincontrollers. Hiertoe gaat u als volgt te werk:
  1. Zoek de domeincontroller van de infrastructuurmaster in het domein dat u bijwerkt en meld u hierbij aan met een account die deel uitmaakt van de beveiligingsgroep Domeinbeheerders.

    Opmerking: De algehele beheerder maakt mogelijk geen deel uit van de beveiligingsgroep Domeinbeheerders in onderliggende domeinen van het forest.
  2. Voer de opdracht adprep /domainprep uit op de infrastructuurmaster. open het menu Start, kies Uitvoeren en typ cmd. Op de infrastructuurmaster typt u de volgende opdracht:
    X:\I386\adprep /domainprep
    waarbij X:\I386\ het pad is van het installatiemedium met Windows Server 2003. Met deze opdracht worden domeinomvattende wijzigingen doorgevoerd in het doeldomein.

    Opmerking: Met de opdracht adprep /domainprep worden bestandsmachtigingen in de Sysvol-share gewijzigd. Hierdoor worden de bestanden in de mapstructuur volledig gesynchroniseerd.
  3. Controleer of domainprep is voltooid. Ga hierbij als volgt te werk:
    • De opdracht adprep /domainprep is zonder fouten voltooid.
    • CN=Windows2003Update,CN=DomainUpdates,CN=System,DC=domeinnaampad van domein dat u bijwerkt is aanwezig.
    Als adprep /domainprep niet wordt uitgevoerd, controleert u de volgende punten:
    • De aangemelde gebruiker die adprep uitvoert, maakt deel uit van de beveiligingsgroep Domeinbeheerders in het domein dat u bijwerkt. U controleert dit met de opdracht whoami /all.
    • Het volledige pad voor Adprep.exe, dat zich in de map \I386 op het installatiemedium bevindt, is opgegeven toen u adprep uitvoerde. Typ hiervoor de volgende opdracht bij een opdrachtprompt:
      x:\i386\adprep /forestprep
      waarbij x het station is waarin het installatiemedium is geplaatst.
    • Als adprep nog niet werkt, controleert u het bestand Adprep.log in de map %systemroot%\System32\Debug\Adprep\Logs\Latest_log.
  4. Controleer of de wijzigingen met adprep /domainprep zijn gerepliceerd. Hiervoor controleert u voor de overige domeincontrollers in het domein de volgende punten:
    • Het object CN=Windows2003Update,CN=DomainUpdates,CN=System,DC=domeinnaampad van domein dat u bijwerkt is aanwezig en de waarde voor het revisiekenmerk komt overeen met de waarde voor hetzelfde kenmerk op de infrastructuurmaster van het domein.
    • Zoek naar wijzigingen in objecten, kenmerken of toegangsbeheerlijsten die met adprep /domainprep zijn toegevoegd (optioneel).
    Herhaal stap 1 tot en met 4 voor de overige domeinen op de infrastructuurmaster of voer deze stappen uit wanneer u in deze domeinen domeincontrollers toevoegt of bijwerkt naar Windows Server 2003. Nu kunt u nieuwe Windows Server 2003-computers naar het forest promoveren met DCPROMO. U kunt ook de bestaande 2000-domeincontrollers naar Windows Server 2003 bijwerken met Winnt32.exe.

Windows 2000-domeincontrollers bijwerken met Winnt32.exe

Als de wijzigingen in /forestprep en /domainprep volledig zijn gerepliceerd en u een beslissing hebt genomen over beveiligingscompatibiliteit met eerdere clientversies, kunt u Windows 2000-domeincontrollers naar Windows Server 2003 bijwerken en nieuwe Windows Server 2003-domeincontrollers toevoegen aan het domein.

De volgende computers moeten bij de eerste domeincontrollers horen waarop Windows Server 2003 in het forest van elk domein wordt uitgevoerd:
  • De domeinnaamgevingsmaster in het forest, zodat u standaardpartities voor het DNS-programma kunt maken.
  • De primaire domeincontroller in het hoofddomein van het forest, zodat de beveiligings-principals voor de hele onderneming, die met de opdracht forestprep in Windows Server 2003 worden toegevoegd, worden weergegeven in de ACL-editor.
  • De primaire domeincontroller in elk ander domein dan een hoofddomein, zodat u nieuwe domeinspecifieke beveiligings-principals voor Windows 2003 kunt maken.
Gebruik WINNT32 om bestaande domeincontrollers bij te werken waarvoor u de gewenste operationele rol hebt ingesteld. U kunt de rol ook overbrengen naar een onlangs gepromoveerde Windows Server 2003-domeincontroller. Voer de volgende stappen uit voor elke Windows 2000-domeincontroller die u met WINNT32 bijwerkt naar Windows Server 2003 en elke Windows Server 2003-werkgroep of -computer die u promoveert:
  1. Voordat u Windows 2000-computers en -domeincontrollers bijwerkt met WINNT32, moet u Windows 2000-beheerprogramma's verwijderen. Dit doet u via het onderdeel Software van het Configuratiescherm (alleen voor Windows 2000-upgrades).
  2. Installeer hotfix-bestanden of andere correcties die door Microsoft of de beheerder als belangrijk worden aangemerkt.
  3. Controleer elke domeincontroller op mogelijke upgradeproblemen. Voer hiervoor de volgende opdracht uit vanuit de map \I386 op het installatiemedium:
    winnt32.exe /checkupgradeonly
    Los problemen op die tijdens de compatibiliteitscontrole worden aangetroffen.
  4. Voer WINNT32.EXE uit vanuit de map \I386 op het installatiemedium en start de bijgewerkte 2003-domeincontroller opnieuw op.
  5. Verlaag zo nodig de beveiligingsinstellingen voor eerdere clientversies.

    Als op Windows NT 4.0-clients niet NT 4.0 SP6 en op Windows 95-clients geen adreslijstservice is ge´nstalleerd, schakelt u SMB Service-ondertekening in het beleid voor standaarddomeincontrollers in de organisatie-eenheid van de domeincontroller uit. Vervolgens koppelt u dit beleid aan alle organisatie-eenheden die als host optreden voor domeincontrollers.
    Computerconfiguratie\Windows-instellingen\Beveiligingsinstellingen\Lokaal beleid\Beveiligingsopties\Microsoft netwerkclient: Servercommunicatie digitaal ondertekenen (altijd)
  6. Controleer de status van de upgrade met de volgende gegevenspunten:
    • De upgrade is voltooid.
    • De oorspronkelijk binaire bestanden zijn vervangen door de hotfixes die u aan de installatie hebt toegevoegd.
    • Inkomende en uitgaande replicatie van Active Directory vindt plaats voor alle naamgevingscontexten van de domeincontroller.
    • De shares Netlogon en Sysvol zijn aanwezig.
    • In het gebeurtenislogboek wordt aangegeven dat de domeincontroller en de services in orde zijn.

      Opmerking: Na het bijwerken kan het volgende foutbericht worden weergegeven:

      Type: Fout
      Bron: NTDS-back-up.
      Categorie: back-up
      Gebeurtenis-id: 1913
      Datum: Datum
      Tijd: UU:MM:SS AM/PM
      Gebruiker: n.v.t.
      Computer: computernaam
      Beschrijving: Interne fout: Er is een onverwachte fout opgetreden tijdens een back-up en herstelbewerking in Active Directory. De back-up of herstelbewerking kan niet worden voltooid voordat dit probleem is opgelost.

      Dit gebeurtenisbericht kunt u gewoon negeren.
  7. Installeer de Windows Server 2003-beheerprogramma's (alleen Windows 2000-upgrades en Windows Server 2003-controllers die geen domeincontrollers zijn). Adminpak.msi staat in de map \I386 op de cd-rom met Windows Server 2003. In het bestand Support\Tools\Suptools.msi op de Windows Server 2003-media zijn bijgewerkte versies van ondersteuningsprogramma's opgenomen. Installeer dit bestand opnieuw.
  8. Maak in elk geval nieuwe back-ups van de eerste twee Windows 2000-domeincontrollers in elk forestdomein die u naar Windows Server 2003 hebt bijgewerkt. Vergrendel de back-ups van de Windows 2000-computers die u naar Windows Server 2003 hebt bijgewerkt, zodat u deze niet per ongeluk kunt gebruiken om een domeincontroller te herstellen waarop nu Windows Server 2003 wordt uitgevoerd.
  9. Nadat de SIS (Single Instance Store) is voltooid, voert u een offlinedefragmentatie van de Active Directory-database uit op de domeincontrollers die u naar Windows Server 2003 hebt bijgewerkt (optioneel en alleen voor Windows 2000-upgrades).

    In de SIS worden bestaande machtigingen voor objecten in Active Directory gecontroleerd en er wordt een efficiŰntere security descriptor toegepast op deze objecten. De SIS wordt automatisch gestart (aangeduid met gebeurtenis 1953 in het gebeurtenislogboek van de adreslijstservice) wanneer het Windows Server 2003-besturingssysteem voor het eerst wordt gestart met de bijgewerkte domeincontrollers. U hebt alleen maar voordeel van de verbeterde security descriptor als u een gebeurtenisbericht met gebeurtenis-id 1966 in het gebeurtenislogboek van de adreslijstservice registreert:

    Type: Informatie
    Bron: NTDS SDPROP
    Categorie: Interne verwerking
    Gebeurtenis-id: 1966
    Datum: MM/DD/JJJJ
    Tijd: UU:MM:SS AM|PM
    Gebruiker: NT AUTHORITY\ANONIEME LOGON
    Computer: <computernaam>
    Beschrijving: De taak voor doorgifte van alle security descriptoren is voltooid.
    Toegewezen schijfruimte (MB):
    XX Vrije schijfruimte (MB): XX

    Mogelijk is er nu extra ruimte vrijgekomen in de Active Directory-database.
    Aanbevolen handeling: overweeg om de database offline te defragmenteren zodat u de eventueel vrijgekomen ruimte kunt benutten. Zie voor meer informatie de Help en ondersteuning op http://support.microsoft.com.

    Met dit gebeurtenisbericht wordt aangegeven dat de SIS-bewerking is voltooid en dat de beheerder het bestand Ntds.dit offline kan defragmenteren met NTDSUTIL.EXE.

    Met deze offlinedefragmentatie kan het Windows 2000-bestand Ntds.dit met maximaal 40% worden verkleind, worden de prestaties van Active Directory verhoogd en worden de pagina's in de database bijgewerkt voor een efficiŰntere opslag van koppelingswaardekenmerken. Klik voor meer informatie over het defragmenteren van de Active Directory-database op het volgende artikelnummer in de Microsoft Knowledge Base:
    232122Offlinedefragmentatie van de Active Directory-database uitvoeren
  10. Controleer de serverservice DLT. Op Windows Server 2003-domeincontrollers wordt de serverservice DLT uitgeschakeld voor nieuwe en bijgewerkte installaties. Als Windows 2000- of Windows XP-clients binnen uw organisatie de serverservice DLT gebruiken, schakelt u deze service op nieuwe of bijgewerkte Windows Server 2003-domeincontrollers in via Groepsbeleid. In andere gevallen verwijdert u de objecten voor Distributed Link-tracering in meerdere fasen uit Active Directory. Klik op de volgende artikelnummers in de Microsoft Knowledge Base voor meer informatie:
    312403Distributed Link-tracering op domeincontrollers met Windows
    315229Tekstversie van Dltpurge.vbs voor Microsoft Knowledge Base-artikel Q312403
    Als u duizenden DLT-objecten of andere objecten in ÚÚn keer verwijdert, is het mogelijk dat u replicatie blokkeert vanwege een gebrek aan versieopslagruimte. Nadat u het laatste DLT-object hebt verwijderd, wacht u tot het voor de tombstonelifetime ingestelde aantal dagen (standaard 60 dagen) is verstreken en de opschoonbewerking is voltooid voordat u het bestand Ntds.dit offline defragmenteert met NTDSUTIL.EXE.
  11. Configureer de beste structuur voor organisatie-eenheden. Microsoft raadt beheerders aan de beste structuur voor organisatie-eenheden in alle Active Directory-domeinen te installeren en Windows Server 2003-domeincontrollers bij te werken of te installeren in de Windows-domeinmodus. Vervolgens kunnen beheerders de standaardcontainers, die door eerdere API-versies worden gebruikt voor het maken van gebruikers, computers en groepen, het beste omleiden naar een opgegeven container voor organisatie-eenheden.

    Raadpleeg de sectie 'Creating an Organizational Unit Design in het artikel 'Best Practice Active Directory Design for Managing Windows Networks' voor meer informatie over de beste structuur voor organisatie-eenheden. U vindt dit artikel op de volgende website van Microsoft:
    http://www.microsoft.com/technet/prodtechnol/windows2000serv/technologies/activedirectory/plan/bpaddsgn.mspx
    Klik voor meer informatie over het wijzigen van de standaardcontainer voor gebruikers, computers en groepen die met eerdere API-versies zijn gemaakt, op het volgende artikelnummer in de Microsoft Knowledge Base:
    324949De containers Gebruikers en Computers in Windows Server 2003-domeinen omleiden
  12. Herhaal zo nodig stap 1 tot en met 10 voor elke nieuwe of bijgewerkte Windows Server 2003-domeincontroller in het forest en stap 11 (voor de beste structuur voor organisatie-eenheden) voor elk Active Directory-domein.

    Samengevat:
    • Werk Windows 2000-domeincontrollers bij met WINNT32 (van de bijbehorende installatiemedia, indien gebruikt).
    • Controleer of de hotfixes zijn ge´nstalleerd op de bijgewerkte computers.
    • Installeer vereiste hotfixes die niet op installatiemedia zijn opgenomen.
    • Controleer de status van nieuwe of bijgewerkte servers (AD, FRS, beleid, enzovoort)
    • Wacht na het bijwerken van het besturingssysteem 24 uur voor u een offlinedefragmentatie uitvoert (optioneel)
    • Indien vereist start u de service DLT. In andere gevallen verwijdert u DLT-objecten met de forest-omvattende domainpreps worden beschreven in KB-artikelen 312403 en 315229.
    • Voer meer dan 60 dagen (het aantal dagen dat is ingesteld voor de Tombstone-levensduur en het aantal dagen dat de opschoonbewerking in beslag neemt) na het verwijderen van DLT-objecten een offlinedefragmentatie uit.

Upgrades uitproberen in een testomgeving

Voordat u Windows-domeincontrollers bijwerkt naar een Windows 2000-productiedomein, moet u het upgradeproces controleren en verbeteren in een testomgeving. Als het upgradeproces zonder problemen verloopt in een testomgeving die overeenkomt met het productieforest, kunt u vergelijkbare resultaten verwachten in productieomgevingen. In complexe omgevingen moet de testomgeving op de volgende punten overeenkomen met de productieomgeving:
  • Hardware: computertype, geheugengrootte, locatie van paginabestanden, schijfgrootte, prestatie- en RAID-configuratie, revisieniveaus van BIOS en firmware.
  • Software: Besturingssysteemversies van client en server, client- en servertoepassingen, versies van service packs, hotfixes, schemawijzigingen, beveiligingsgroepen, groepslidmaatschappen, machtigingen, beleidsinstellingen, objecttellingstype en -locatie, versiecompatibiliteit.
  • Netwerkinfrastructuur: WINS, DHCP, verbindingssnelheden, beschikbare bandbreedte.
  • Belasting: met belastingsimulators kunnen gebeurtenissen zoals het wijzigen van wachtwoorden, het maken van objecten, het repliceren van Active Directory en het verifiŰren van aanmeldingen worden gesimuleerd. Het is niet de bedoeling om de schaal van de productieomgeving te reproduceren, maar om de kosten en frequentie van standaardbewerkingen te bepalen en de effecten hiervan (naamquery's, replicatieverkeer, netwerkbandbreedte en processorverbruik) op de productieomgeving, op basis van de huidige en toekomstige vereisten, te berekenen.
  • Beheer: uitgevoerde taken, gebruikte programma's, gebruikte besturingssystemen.
  • Bediening: capaciteit, compatibiliteit.
  • Schijfruimte: Noteer na elk van de volgende bewerkingen de begingrootte, maximale grootte en eindgrootte van het besturingssysteem, Ntds.dit en de Active Directory-logboekbestanden op globale-catalogusdomeincontrollers en andere domeincontrollers in elk domein:
    1. adprep /forestprep
    2. adprep /domainprep
    3. Windows 2000-domeincontrollers bijwerken naar Windows Server 2003
    4. Offline defragmenteren na versie-upgrades
De snelheid en nauwkeurigheid waarmee u het upgradeproces in productieomgevingen uitvoert, is afhankelijk van uw kennis op het gebied van het upgradeproces en de complexiteit van de omgeving en de nauwkeurigheid waarmee u het upgradeproces observeert. Omgevingen met een beperkt aantal domeincontrollers en Active Directory-objecten die via WAN-verbindingen met hoge beschikbaarheid zijn aangesloten, kunnen in slechts een paar uur worden bijgewerkt. Installaties in ondernemingen met honderden domeincontrollers of honderdduizenden Active Directory-objecten kunnen meer tijd in beslag nemen. In dergelijke gevallen kunt u voor de upgrade het beste een aantal weken of maanden uittrekken.

Voer testupgrades in een testomgeving uit om de volgende taken uit te voeren:
  • De onderliggende principes van het upgradeproces en de bijbehorende risico's begrijpen.
  • Mogelijke probleemgebieden blootleggen voor het installatieproces in uw omgeving.
  • Noodscenario's ontwikkelen en testen voor het geval de upgrade mislukt.
  • De nauwkeurigheid voor het upgradeproces van het productiedomein bepalen.

Domeincontrollers met onvoldoende schijfruimte

Op domeincontrollers met onvoldoende schijfruimte voert u de volgende stappen uit om extra ruimte vrij te maken op het volume waarop het bestand Ntds.dit en logboekbestanden zijn opgenomen:
  1. Verwijder de ongebruikte bestanden, inclusief de *.TMP-bestanden of cachebestanden die door internetbrowsers worden gebruikt. Gebruik hiervoor de volgende opdracht (druk na elke opdracht op Enter):
    cd /d drive\
    del *.tmp /s
  2. Verwijder gebruiks- of geheugendumpbestanden. Gebruik hiervoor de volgende opdracht (druk na elke opdracht op Enter):
    cd /d drive\
    del *.dmp /s
  3. U moet bestanden die u vanaf andere servers kunt openen of makkelijk opnieuw kunt installeren tijdelijk verwijderen of verplaatsen. ADMINPAK, ondersteuningsprogramma's en alle bestanden in de map %systeemhoofdmap%\System32\Dllcache zijn bestanden die u kunt verwijderen en gemakkelijk kunt vervangen.
  4. Verwijder oude of ongebruikte gebruikersprofielen: open het menu Start, klik met de rechtermuisknop op Deze computer, kies Eigenschappen, klik op de tab Gebruikersprofielen en verwijder de profielen voor oude of ongebruikte accounts. Verwijder geen profielen die mogelijk voor serviceaccounts worden gebruikt.
  5. Verwijder de tekens uit %systemroot%\Symbols. Gebruik hiervoor de volgende opdracht:
    rd /s %systemroot%\symbols
    Hiermee maakt u ongeveer 70 MB tot 600 MB vrij, afhankelijk van de grootte van de tekenset op de server.
  6. Voer een offlinedefragmentatie uit. Wanneer u het bestand Ntds.dit offline defragmenteert, maakt u weliswaar ruimte vrij, maar er is dan tijdelijk twee keer zoveel ruimte nodig als het bestand inneemt. Voer de offlinedefragmentatie uit via een ander lokaal volume, indien beschikbaar. U kunt de offlinedefragmentatie ook uitvoeren op de netwerkserver met de beste verbinding. Als u nog niet over voldoende schijfruimte beschikt, verwijdert u de overbodige gebruikersaccounts, computeraccounts, DNS-records en DLT-objecten in meerdere fasen uit Active Directory.

    Opmerking: In Active Directory worden pas objecten uit de database verwijderd wanneer het ingestelde aantal dagen voor de tombstonelifetime (standaard 60 dagen) is verstreken en de opschoonbewerking is voltooid. Als u voor de tombstonelifetime een lagere waarde instelt dan voor de end-to-end replicatie in het forest, kunnen er inconsistenties optreden in Active Directory.

Referenties

Klik voor meer informatie op het volgende artikelnummer in de Microsoft Knowledge Base:
821076Help-bestanden van Windows Server 2003 bevatten onjuiste informatie over het bijwerken van Windows 2000-domeinen

Eigenschappen

Artikel ID: 325379 - Laatste beoordeling: maandag 23 april 2007 - Wijziging: 21.4
De informatie in dit artikel is van toepassing op:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows« 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Exchange 2000 Server Standard Edition
Trefwoorden:á
kbinfo KB325379

Geef ons feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com