Jak uaktualnić kontrolery domen systemu Windows 2000 do systemu Windows Server 2003

Tłumaczenia artykułów Tłumaczenia artykułów
Numer ID artykułu: 325379 - Zobacz jakich produktów dotyczą zawarte w tym artykule porady.
Rozwiń wszystko | Zwiń wszystko

Na tej stronie

Streszczenie

W tym artykule opisano sposób uaktualniania kontrolerów domen systemu Microsoft Windows 2000 do systemu Microsoft Windows Server 2003 oraz dodawania nowych kontrolerów domen systemu Windows Server 2003 do domen systemu Windows 2000.

Spis domen i lasów

Przed uaktualnieniem kontrolerów domen systemu Windows 2000 do systemu Windows Server 2003 lub przed dodaniem nowych kontrolerów domen systemu Windows Server 2003 do domeny systemu Windows 2000 należy wykonać następujące kroki:
  1. Wykonaj spis klientów mających dostęp do zasobów w domenie, która obsługuje kontrolery domen systemu Windows Server 2003, uwzględniając zgodność z podpisywaniem SMB:

    W lokalnych zasadach zabezpieczeń każdego kontrolera domeny systemu Windows Server 2003 włączane jest podpisywanie SMB. Należy upewnić się, że wszyscy klienci sieciowi, używający protokołu SMB/CIFS do uzyskania dostępu do udostępnionych plików i drukarek w domenach obsługujących kontrolery domen systemu Windows Server 2003, mogą być konfigurowani lub uaktualniani w celu zapewnienia obsługi podpisywania SMB. W przeciwnym wypadku należy tymczasowo wyłączyć podpisywanie SMB aż do chwili, kiedy aktualizacje zostaną zainstalowane lub będzie możliwe uaktualnienie klientów do nowszych wersji systemów operacyjnych obsługujących podpisywanie SMB. Aby uzyskać informacje dotyczące sposobu wyłączania podpisywania SMB, zobacz sekcję „Aby wyłączyć podpisywanie SMB” na końcu tego kroku.

    Plany akcji

    Na następującej liście uwzględniono procedury dotyczące popularnych klientów protokołu SMB:
    • Systemy Microsoft Windows Server 2003, Microsoft Windows XP Professional, Microsoft Windows 2000 Server, Microsoft Windows 2000 Professional i Microsoft Windows 98

      Żadna akcja nie jest wymagana.
    • Microsoft Windows NT 4.0

      Zainstaluj dodatek Service Pack 3 lub nowszy (zalecany jest dodatek Service Pack 6A) na wszystkich komputerach z systemem Windows NT 4.0 uzyskujących dostęp do domen zawierających komputery z systemem Windows Server 2003. Alternatywnym rozwiązaniem jest wyłączenie podpisywania SMB na kontrolerach domen systemu Windows Server 2003. Aby uzyskać informacje dotyczące sposobu wyłączania podpisywania SMB, zobacz sekcję „Aby wyłączyć podpisywanie SMB” na końcu tego kroku.
    • System Microsoft Windows 95

      Zainstaluj klienta usługi katalogowej systemu Windows 9x na komputerach z systemem Windows 95 lub tymczasowo wyłącz podpisywanie SMB na kontrolerach domen systemu Windows Server 2003. Oryginalny klient usługi katalogowej systemu Win9x jest dostępny na dysku CD-ROM z systemem Windows 2000 Server. Został on jednak zastąpiony przez ulepszonego klienta usługi katalogowej systemu Win9x. Aby uzyskać informacje dotyczące sposobu wyłączania podpisywania SMB, zobacz sekcję „Aby wyłączyć podpisywanie SMB” na końcu tego kroku.
    • Klient sieci Microsoft Network dla systemu MS-DOS i klienci Microsoft LAN Manager

      Korzystając z Klienta sieci Microsoft Network dla systemu MS-DOS i klienta sieci Microsoft LAN Manager 2.x, można zapewnić dostęp do zasobów sieciowych lub, w połączeniu z dyskietką rozruchową, zapewnić możliwość kopiowania plików systemu operacyjnego oraz innych plików z katalogu udostępnionego na serwerze plików podczas instalacji oprogramowania. Klienci tego typu nie obsługują jednak podpisywania SMB. Należy więc skorzystać z alternatywnej metody instalacji lub wyłączyć podpisywanie SMB. Aby uzyskać informacje dotyczące sposobu wyłączania podpisywania SMB, zobacz sekcję „Aby wyłączyć podpisywanie SMB” na końcu tego kroku.
    • Klienci systemu Macintosh

      Na niektórych komputerach klienckich systemu Macintosh, które nie są zgodne z podpisywaniem SMB, w przypadku próby połączenia się z zasobem sieciowym może być wyświetlany następujący komunikat o błędzie:
      Błąd -36 We/Wy
      Należy zainstalować zaktualizowane oprogramowanie, jeżeli jest dostępne. W przeciwnym przypadku należy wyłączyć podpisywanie SMB na kontrolerach domen systemu Windows Server 2003. Aby uzyskać informacje dotyczące sposobu wyłączania podpisywania SMB, zobacz sekcję „Aby wyłączyć podpisywanie SMB” na końcu tego kroku.
    • Klienci SMB innych firm

      Niektórzy klienci SMB innych firm nie obsługują podpisywania SMB. Należy skonsultować się z dostawcą SMB, aby ustalić, czy dostępna jest zaktualizowana wersja. W przeciwnym przypadku należy wyłączyć podpisywanie SMB na kontrolerach domen systemu Windows Server 2003.
    Aby wyłączyć podpisywanie SMB

    Jeżeli nie można zainstalować aktualizacji oprogramowania na odpowiednich kontrolerach domen, na których są uruchomieni klienci systemu Windows 95, systemu Windows NT 4.0 lub klienci innego typu zainstalowani przed wprowadzeniem systemu Windows Server 2003, należy tymczasowo wyłączyć wymagania dotyczące podpisywania usługi SMB w Zasadach grupy aż do chwili, kiedy zostanie rozmieszczone zaktualizowane oprogramowanie klienckie.

    Podpisywanie usługi SMB można wyłączyć w następującym węźle zasady Domyślne kontrolery domeny w jednostce organizacyjnej kontrolerów domeny:
    Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń\Serwer sieci Microsoft: podpisuj cyfrowo komunikację (zawsze)
    Jeżeli kontrolery domen nie znajdują się w jednostce organizacyjnej kontrolera domeny, należy połączyć obiekt zasad grupy (GPO, Group Policy Object) domyślnego kontrolera domeny ze wszystkimi jednostkami organizacyjnymi, w których znajdują się kontrolery domen systemu Windows 2000 lub Windows Server 2003. Można także skonfigurować podpisywanie usługi SMB w obiekcie GPO połączonym z tymi jednostkami organizacyjnymi.
  2. Wykonaj spis kontrolerów domen obecnych w domenie i w lesie:
    1. Upewnij się, że na wszystkich kontrolerach domen systemu Windows 2000 w lesie są zainstalowane odpowiednie poprawki i dodatki Service Pack.

      Firma Microsoft zaleca, aby na wszystkich kontrolerach domen systemu Windows 2000 był zainstalowany dodatek Service Pack 4 (SP4) dla systemu Windows 2000 lub nowszy. Jeżeli nie można w pełni wdrożyć systemu Windows 2000 z dodatkiem SP4 lub nowszym, na wszystkich kontrolerach domen systemu Windows 2000 musi znajdować się plik Ntdsa.dll, którego data jest późniejsza niż 4 lipca 2001, a numer wersji nowszy niż 5.0.2195.3673. Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
      331161 Hotfixes to install before you run adprep /Forestprep on a Windows 2000 domain controller to prepare the Forest and domains for the addition of Windows Server 2003-based domain controllers
      Narzędzia administracyjne usługi Active Directory na komputerach klienckich z systemami Windows 2000 z dodatkiem SP4, Windows XP oraz Windows Server 2003 domyślnie korzystają z podpisywania protokołu LDAP (Lightweight Directory Access Protocol). Jeżeli komputery tego typu będą korzystać (lub zostaną do tego zmuszone) z uwierzytelnienia NTLM podczas zdalnego administrowania kontrolerami domen systemu Windows 2000, połączenie nie będzie działać. Aby rozwiązać ten problem, na zdalnie administrowanych kontrolerach domen należy zainstalować przynajmniej system Windows 2000 z dodatkiem SP3. W przeciwnym przypadku należy wyłączyć podpisywanie protokołu LDAP na klientach korzystających z narzędzi administracyjnych. Aby uzyskać więcej informacji dotyczących protokołu LDAP, kliknij następujące numery artykułów w celu wyświetlenia tych artykułów z bazy wiedzy Microsoft Knowledge Base:
      325465 Windows 2000 domain controllers require Service Pack 3 or later when using Windows Server 2003 administration tools
      W następujących scenariuszach wykorzystywane jest uwierzytelnianie NTLM:
      • Administrowanie kontrolerami domen systemu Windows 2000, które znajdują się w zewnętrznym lesie połączonym przez relację zaufania protokołu NTLM (nie Kerberos).
      • Używanie przystawek programu MMC (Microsoft Management Console) w odniesieniu do konkretnego kontrolera domeny wskazanego przez adres IP. Na przykład kliknij przycisk Start, kliknij polecenie Uruchom, a następnie wpisz następujące polecenie:
        dsa.msc /server=adres_ip
      Aby ustalić wersję systemu operacyjnego i dodatku Service Pack dla kontrolerów domen usługi Active Directory w domenie usługi Active Directory, na komputerze członkowskim z systemem Windows XP Professional lub Windows Server 2003 w lesie należy zainstalować program Repadmin.exe z systemu Windows Server 2003, a następnie wykonać następujące polecenie repadmin na kontrolerze domeny w każdej domenie w lesie:
      >repadmin /showattr nazwa kontrolera domeny znajdującego się w domenie docelowej ncobj:domain: /filter:"(&(objectCategory=computer)(primaryGroupID=516))" /subtree /atts:operatingSystem,operatingSystemVersion,operatingSystemServicePack

      DN: CN=NA-DC-01,organizational unit=Domain Controllers,DC=company,DC=com
      1> operatingSystem: Windows Server 2003
      1> operatingSystemVersion: 5.2 (3718)
      DN : CN=NA-DC-02,organizational unit=Domain Controllers,DC=company,DC=com

      1> operatingSystem: Windows 2000 Server
      1> operatingSystemVersion: 5.0 (2195)
      1> operatingSystemServicePack: Service Pack 1
      Uwaga: Atrybuty kontrolera domeny nie zawierają informacji o instalacji pojedynczych poprawek.
    2. Sprawdź replikację usługi Active Directory typu end-to-end w lesie.

      Zweryfikuj, że każdy kontroler domeny w uaktualnionym lesie replikuje z partnerami wszystkie lokalnie przechowywane konteksty nazewnictwa spójnie oraz zgodnie z harmonogramem definiowanym przez łącza lokacji lub obiekty połączenia. Użyj uwzględnionej w systemie Windows Server 2003 wersji pliku Repadmin.exe na komputerze członkowskim z systemem Windows XP lub Windows Server 2003 w lesie z następującymi argumentami:
      REPADMIN /REPLSUM /BYSRC /BYDEST /SORT:DELTA              <-formatowanie danych wyjściowych w celu dopasowania do strony
      
      DestDC    largest delta    fails/total  %%  error
      
      NA-DC-01 13d.21h:10m:10s    97 / 143  67  (8240) There is no such object...
      NA-DC-02 13d.04h:11m:07s   180 / 763  23  (8524) The DSA operation...
      NA-DC-03 12d.03h:54m:41s     5 /   5 100  (8524) The DSA operation...
      Wszystkie kontrolery domen w lesie muszą replikować usługę Active Directory bez błędu, a wartości w kolumnie „Delta maks.” danych wyjściowych programu repadmin nie mogą być znacznie większe od częstotliwości replikacji definiowanej przez odpowiednie łącza lokacji lub obiekty połączeń używane przez dany docelowy kontroler domeny.

      Usuń wszystkie błędy replikacji między kontrolerami domen, dla których replikacja przychodząca zakończyła się niepowodzeniem w czasie krótszym niż czas określony przez parametr okresu istnienia reliktu (TSL, Tombstone Lifetime) (domyślnie 60 dni). Jeżeli nie można zapewnić prawidłowej replikacji, konieczne może być wymuszone obniżenie poziomu kontrolerów domen i usunięcie ich z lasu za pomocą polecenia metadata cleanup narzędzia Ntdsutil, a następnie ponowne podwyższenie poziomu w lesie. Obniżenie poziomu można wymusić, aby zachować instalację systemu operacyjnego oraz programy znajdujące się na oddzielonym kontrolerze domeny. Aby uzyskać więcej informacji dotyczących usuwania oddzielonych kontrolerów domen systemu Windows 2000 z ich domeny, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
      216498 How to remove data in Active Directory after an unsuccessful domain controller demotion
      Tę czynność należy wykonać tylko w ostateczności, gdy zawiodą inne sposoby odzyskania instalacji systemu operacyjnego i zainstalowanych programów. Obiekty niezreplikowane i atrybuty na oddzielonych kontrolerach domen, w tym użytkownicy, komputery, relacje zaufania, hasła, grupy i członkostwa grup, zostaną utracone.

      Należy zachować ostrożność podczas próby usunięcia błędów replikacji na kontrolerach domen, które nie replikowały przychodzących zmian określonej partycji usługi Active Directory przez czas dłuższy niż liczba dni określona przez parametr okres_istnienia_reliktu (tombstonelifetime). Po naprawieniu błędów można przywrócić obiekty, które zostały usunięte na jednym z kontrolerów domen, jeżeli na bezpośrednich lub przechodnich partnerach replikacji nie odebrano w ciągu ostatnich 60 dni informacji dotyczących usunięcia tych obiektów.

      Rozważ możliwość usunięcia wszystkich obiektów pokutujących rezydujących na kontrolerach domen, które nie przeprowadziły replikacji przychodzącej w ciągu 60 ostatnich dni. Alternatywna metoda polega na wymuszonym obniżeniu poziomu kontrolerów domen, które nie przeprowadziły replikacji przychodzącej, związanej z określoną partycją, w czasie określonym przez okres istnienia reliktu i usunięciu ich pozostałych metadanych z lasu usługi Active Directory przy użyciu narzędzia Ntdsutil oraz innych narzędzi. Dodatkową pomoc można uzyskać u dostawcy pomocy technicznej lub w Pomocy technicznej firmy Microsoft.
    3. Zweryfikuj, że zawartość udziału Sysvol jest spójna.

      Zweryfikuj, że część zasad grupy dotycząca systemu plików jest spójna. Do określenia, czy w zasadach w domenie istnieją niespójności, można użyć narzędzia Gpotool.exe z zestawu Resource Kit. Za pomocą narzędzia Healthcheck, które znajduje się w narzędziach obsługi systemu Windows Server 2003, można ustalić, czy zestawy replik udziału Sysvol działają poprawnie w każdej domenie.

      Jeśli zawartość udziału Sysvol nie jest spójna, należy usunąć wszystkie niespójności.
    4. Użyj narzędzia Dcdiag.exe znajdującego się w narzędziach obsługi, aby sprawdzić, czy wszystkie kontrolery domen współużytkują udziały Netlogon i Sysvol. Aby to zrobić, wpisz następujące polecenie w wierszu polecenia:
      DCDIAG.EXE /e /test:frssysvol
    5. Wykonaj spis ról operacji.

      Wzorce operacji schematu i infrastruktury są używane do wprowadzania w lesie i jego domenach zmian w schemacie na skalę lasu i domeny, dokonywanych przez narzędzie adprep systemu Windows Server 2003. Zweryfikuj, że kontroler domeny obsługujący rolę schematu i rolę infrastruktury dla każdej domeny w lesie znajduje się na aktywnych kontrolerach domen, a każdy właściciel roli przeprowadził replikację przychodzącą, związaną ze wszystkimi partycjami, od czasu ostatniego ponownego uruchomienia.

      Polecenie DCDIAG /test:FSMOCHECK umożliwia przeglądanie ról operacyjnych na skalę lasu i domeny. Role wzorców operacji znajdujące się na niepoprawnych kontrolerach domen powinny być przejęte przez poprawny kontroler domeny przy użyciu narzędzia NTDSUTIL. Role znajdujące się na niepoprawnych kontrolerach domeny powinny być transferowane, jeżeli jest to możliwe. W przeciwnym przypadku powinny być przejęte. Polecenie NETDOM QUERY FSMO nie identyfikuje ról FSMO rezydujących na usuniętych kontrolerach domen.

      Należy zweryfikować, że wzorzec schematu i każdy wzorzec infrastruktury przeprowadził replikację przychodzącą usługi Active Directory od czasu ostatniego ponownego rozruchu. Replikację przychodzącą można zweryfikować przy użyciu polecenia REPADMIN /SHOWREPS DCNAME, gdzie DCNAME jest nazwą NetBIOS komputera lub w pełni kwalifikowaną nazwą komputera kontrolera domeny. Aby uzyskać więcej informacji dotyczących wzorców operacji i ich rozmieszczania, kliknij następujące numery artykułów w celu wyświetlenia tych artykułów z bazy wiedzy Microsoft Knowledge Base:
      197132 Windows 2000 Active Directory FSMO roles
      223346 FSMO placement and optimization on Active Directory domain controllers
    6. Przejrzyj dziennik zdarzeń.

      Sprawdź, czy w dziennikach zdarzeń na wszystkich kontrolerach domen nie są zapisane zdarzenia powodujące problemy. Dzienniki zdarzeń nie mogą zawierać komunikatów o poważnych zdarzeniach, które wskazują na problem z jednym z następujących procesów lub składników:
      połączenia fizyczne
      połączenia sieciowe
      rejestracja nazw
      rozpoznawanie nazw
      uwierzytelnianie
      Zasady grupy
      zasady zabezpieczeń
      podsystem dyskowy
      schemat
      topologia
      aparat replikacji
    7. Wykonaj spis miejsca na dysku.

      Na woluminie, na którym znajduje się plik bazy danych Ntds.dit usługi Active Directory, ilość wolnego miejsca musi wynosić co najmniej 15–20% rozmiaru pliku Ntds.dit. Na woluminie, na którym znajduje się plik dziennika usługi Active Directory, ilość wolnego miejsca również musi odpowiadać co najmniej 15–20% rozmiaru pliku Ntds.dit. Aby uzyskać dodatkowe informacje dotyczące sposobu zwalniania dodatkowego miejsca na dysku, zobacz sekcję „Kontrolery domen bez odpowiedniej ilości miejsca na dysku” w tym artykule.
    8. Oczyszczanie usługi DNS (opcjonalne).

      Włącz oczyszczanie usługi DNS w interwałach siedmiodniowych dla wszystkich serwerów DNS w lesie. Aby uzyskać najlepsze wyniki, wykonaj tę operację 61 lub więcej dni przed uaktualnieniem systemu operacyjnego. Dzięki temu demon oczyszczania usługi DNS będzie miał wystarczająco dużo czasu na wyrzucenie bezużytecznych elementów obiektów usługi DNS podczas wykonywania defragmentacji pliku Ntds.dit w trybie offline.
    9. Wyłącz usługę Serwer DLT (opcjonalne).

      Usługa Serwer DLT jest wyłączona w nowych i uaktualnionych instalacjach kontrolerów domen systemu Windows Server 2003. Jeżeli śledzenie łączy rozproszonych nie jest używane, można wyłączyć usługę Serwer DLT na kontrolerach domen systemu Windows 2000 i rozpocząć usuwanie obiektów DLT z każdej domeny w lesie. Aby uzyskać dodatkowe informacje, zobacz sekcję „Microsoft Recommendations for distributed link tracking (Zalecenia firmy Microsoft dotyczące śledzenia łączy rozproszonych)” w następującym artykule w bazie wiedzy Microsoft Knowledge Base:
      312403 Distributed Link Tracking on Windows-based domain controllers
    10. Kopia zapasowa stanu systemu.

      Wykonaj kopię zapasową stanu systemu na co najmniej dwóch kontrolerach domen w każdej domenie w lesie. Jeśli uaktualnienie nie powiedzie się, za pomocą kopii zapasowej można przywrócić wszystkie domeny w lesie.

Program Microsoft Exchange 2000 w lasach systemu Windows 2000

Uwagi:Schemat programu Exchange 2000 definiuje trzy atrybuty inetOrgPerson z nazwami LDAPDisplayNames niezgodnymi ze specyfikacjami RFC: houseIdentifier, secretary i labeledURI.

Zestaw Windows 2000 inetOrgPerson Kit i polecenie adprep systemu Windows Server 2003 definiują wersje tych trzech atrybutów zgodne ze specyfikacjami RFC z nazwami LDAPDisplayNames identycznymi z nazwami określonymi dla wersji zgodnych ze specyfikacjami RFC.

Jeżeli polecenie adprep /forestprep systemu Windows Server 2003 jest uruchamiane bez skryptów korygujących w lesie zawierającym zmiany schematu systemu Windows 2000 i programu Exchange 2000, nazwy LDAPDisplayNames dla atrybutów houseIdentifier, labeledURI i secretary są zniekształcone. Atrybut ulega „zniekształceniu”, jeżeli wyrażenie „Dup” lub inne unikatowe znaki są dodawane na początku nazwy atrybutu powodującej konflikt w celu utworzenia w spisie unikatowych nazw obiektów i atrybutów.


Lasy usługi Active Directory są odporne na zniekształcone nazwy LDAPDisplayNames tych atrybutów w następujących okolicznościach:
  • Polecenie adprep /forestprep systemu Windows Server 2003 jest uruchamiane w lesie zawierającym schemat systemu Windows 2000 przed dodaniem schematu programu Exchange 2000.
  • Schemat programu Exchange 2000 jest instalowany w lesie utworzonym w obszarze, w którym kontroler domeny systemu Windows Server 2003 był pierwszym kontrolerem domeny w lesie.
  • Dodano zestaw Windows 2000 inetOrgPerson Kit do lasu zawierającego schemat systemu Windows 2000, zainstalowano zmiany schematu programu Exchange 2000, a następnie uruchomiono polecenie adprep /forestprep systemu Windows Server 2003.
  • Dodano schemat programu Exchange 2000 do istniejącego lasu systemu Windows 2000, a następnie uruchomiono program Exchange 2003 z przełącznikiem /forestprep przed uruchomieniem polecenia adprep /forestprep systemu Windows Server 2003.
Zniekształcone atrybuty mogą występować w systemie Windows 2000 w następujących okolicznościach:
  • Wersje atrybutów labeledURI, houseIdentifier i secretary programu Exchange 2000 dodano do lasu systemu Windows 2000 przed zainstalowaniem zestawu Windows 2000 inetOrgPerson Kit.
  • Wersje atrybutów labeledURI, houseIdentifier i secretary programu Exchange 2000 dodano do lasu systemu Windows 2000 przed uruchomieniem polecenia adprep /forestprep systemu Windows Server 2003 bez uprzedniego uruchomienia skryptów oczyszczających.
W dalszej części artykułu omówiono plany akcji dla każdego scenariusza:

Scenariusz 1: Zmiany schematu programu Exchange 2000 są dodawane po uruchomieniu polecenia adprep /forestprep systemu Windows Server 2003

Jeżeli zmiany schematu programu Exchange 2000 zostaną wprowadzone w lesie systemu Windows 2000 po uruchomieniu polecenia adprep /forestprep systemu Windows Server 2003, oczyszczanie nie jest wymagane. Przejdź do sekcji„ Omówienie: Uaktualnienie kontrolerów domen systemu Windows 2000 do systemu Windows Server 2003”.

Scenariusz 2: Zmiany schematu programu Exchange 2000 zostaną wprowadzone przed uruchomieniem polecenia adprep /forestprep systemu Windows Server 2003

Jeżeli zmiany schematu programu Exchange 2000 zostały już wprowadzone, jednak NIE uruchomiono jeszcze polecenia adprep /forestprep systemu Windows Server 2003, rozważ wykonanie następującego planu akcji:
  1. Zaloguj się do konsoli wzorca operacji schematu przy użyciu konta będącego członkiem grupy Administratorzy schematu w systemie zabezpieczeń.
  2. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie notepad.exe w polu Otwórz, a następnie kliknij przycisk OK.
  3. Skopiuj następujący tekst z końcowym łącznikiem po „schemaUpdateNow: 1” do Notatnika.
    dn: CN=ms-Exch-Assistant-Name,CN=Schema,CN=Configuration,DC=X
    changetype: Modyfikacja
    replace:LDAPDisplayName
    LDAPDisplayName: msExchAssistantName
    -

    dn: CN=ms-Exch-LabeledURI,CN=Schema,CN=Configuration,DC=X
    changetype: Modyfikacja
    replace: LDAPDisplayName
    LDAPDisplayName: msExchLabeledURI
    -

    dn: CN=ms-Exch-House-Identifier,CN=Schema,CN=Configuration,DC=X
    changetype: Modyfikacja
    replace: LDAPDisplayName
    LDAPDisplayName: msExchHouseIdentifier
    -

    dn:
    changetype: Modyfikacja
    add: schemaUpdateNow
    schemaUpdateNow: 1
    -
  4. Upewnij się, że przy końcu żadnego wiersza nie została umieszczona spacja.
  5. W menu Plik kliknij polecenie Zapisz. W oknie dialogowym Zapisywanie jako wykonaj następujące kroki:
    1. W polu Nazwa pliku wpisz następującą nazwę:
      \%userprofile%\InetOrgPersonPrevent.ldf
    2. W polu Zapisz jako typ kliknij pozycję Wszystkie pliki.
    3. W polu Kodowanie kliknij pozycję Unicode.
    4. Kliknij przycisk Zapisz.
    5. Zamknij Notatnik.
  6. Uruchom skrypt InetOrgPersonPrevent.ldf.
    1. Kliknij przycisk Start, kliknij polecenie Uruchom wpisz polecenie cmd w polu Otwórz, a następnie kliknij przycisk OK.
    2. W wierszu polecenia wpisz następujące polecenie, a następnie naciśnij klawisz ENTER:
      cd %userprofile%
    3. Wpisz następujące polecenie
      c:\documents and settings\%username%>ldifde -i -f inetorgpersonprevent.ldf -v -c DC=X "ścieżka do domeny głównej lasu"
      Uwagi dotyczące składni:
      • W stałej DC=X uwzględniana jest wielkość liter.
      • Ścieżka nazwy domeny katalogu głównego musi być wpisana w cudzysłowie.
      Na przykład składnia polecenia dla lasu usługi Active Directory, dla którego TAILSPINTOYS.COM jest domeną katalogu głównego lasu, jest następująca:
      c:\documents and settings\administrator>ldifde -i -f inetorgpersonprevent.ldf -v -c DC=X "dc=tailspintoys,dc=com"
      Uwaga: Konieczna może być zmiana podklucza rejestru
      Schema Update Allowed
      , jeżeli wyświetlany jest następujący komunikat o błędzie:
      Schema update is not allowed on this DC because the registry key is not set or the DC is not the schema FSMO Role Owner. (Aktualizacja schematu nie jest dozwolona dla tego kontrolera domeny, ponieważ klucz rejestru nie został skonfigurowany lub kontroler domeny nie jest właścicielem roli FSMO schematu).
      Aby uzyskać więcej informacji dotyczących sposobu zmiany tego podklucza rejestru, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
      285172 Schema update require Write access to schema in Active Directory
  7. Sprawdź, czy przed uruchomieniem polecenia adprep /forestprep systemu Windows Server 2003 nazwy LDAPDisplayName atrybutów CN=ms-Exch-Assistant-Name, CN=ms-Exch-LabeledURI oraz CN=ms-Exch-House-Identifier w kontekście nazewnictwa schematu są wyświetlane jako msExchAssistantName, msExchLabeledURI oraz msExchHouseIdentifier.
  8. Przejdź do sekcji „Omówienie: Uaktualnienie kontrolerów domen systemu Windows 2000 do systemu Windows Server 2003”, aby uruchomić polecenia adprep /forestprep oraz /domainprep.

Scenariusz 3: Polecenie forestprep systemu Windows Server 2003 zostało uruchomione bez wcześniejszego uruchomienia skryptu inetOrgPersonFix

Jeżeli polecenie adprep /forestprep systemu Windows Server 2003 jest uruchamiane w lesie systemu Windows 2000 zawierającym zmiany schematu programu Exchange 2000, nazwy LDAPDisplayName dla atrybutów houseIdentifier, secretary i labeledURI są zniekształcone. Aby zidentyfikować zniekształcone nazwy, użyj programu Ldp.exe do zlokalizowania atrybutów:
  1. Zainstaluj program Ldp.exe z folderu Support\Tools znajdującego się na nośniku instalacyjnym z systemem Microsoft Windows 2000 lub Windows Server 2003.
  2. Uruchom program Ldp.exe na kontrolerze domeny lub komputerze członkowskim w lesie.
    1. W menu Połączenie kliknij polecenie Połącz, pozostaw puste pole Serwer, wpisz 389 w polu Port, a następnie kliknij przycisk OK.
    2. W menu Połączenie kliknij polecenie Wiązanie, wszystkie pola pozostaw puste, a następnie kliknij przycisk OK.
  3. Zanotuj ścieżkę do nazwy wyróżniającej atrybutu SchemaNamingContext. Na przykład dla kontrolera domeny w lesie CORP.ADATUM.COM ścieżka do nazwy wyróżniającej może być następująca: CN=Schema,CN=Configuration,DC=corp,DC=company,DC=com.
  4. W menu Przeglądaj kliknij polecenie Wyszukaj.
  5. Użyj następujących ustawień do skonfigurowania okna dialogowego Wyszukiwanie:
    • Base DN: Ścieżka do nazwy wyróżniającej kontekstu nazewnictwa schematu zdefiniowanej w kroku 3.
    • Filter: (ldapdisplayname=dup*)
    • Scope: Poddrzewo
  6. Zniekształcone atrybuty houseIdentifier, secretary i labeledURI są związane z atrybutami LDAPDisplayName podobnymi do następującego formatu:
    LDAPDisplayName: DUP-labeledURI-9591bbd3-d2a6-4669-afda-48af7c35507d;
    LDAPDisplayName: DUP-secretary-c5a1240d-70c0-455c-9906-a4070602f85f
    LDAPDisplayName: DUP-houseIdentifier-354b0ca8-9b6c-4722-aae7-e66906cc9eef
  7. Jeżeli nazwy LDAPDisplayName atrybutów labeledURI, secretary i houseIdentifier zostały zniekształcone w kroku 6, uruchom skrypt inetOrgPersonFix.ldf systemu Windows Server 2003, aby je odzyskać, a następnie przejdź do sekcji „Uaktualnianie kontrolerów domen systemu Windows 2000 przy użyciu narzędzia Winnt32.exe”.
    1. Utwórz folder o nazwie %dysk_systemowy%\IOP, a następnie wyodrębnij do niego plik InetOrgPersonFix.ldf.
    2. W wierszu polecenia wpisz polecenie cd %dysk_systemowy%\iop.
    3. Wyodrębnij plik InetOrgPersonFix.ldf z pliku Support.cab, który znajduje się w folderze Support\Tools na nośniku instalacyjnym z systemem Windows Server 2003.
    4. W konsoli wzorca operacji schematu załaduj plik inetOrgPersonFix.ldf przy użyciu programu Ldifde.exe, aby skorygować wartość LdapDisplayName atrybutów houseIdentifier, secretary oraz labeledURI. Aby to zrobić, wpisz następujące polecenie, gdzie <X> to stała, w której uwzględniona jest wielkości liter, a <ścieżka do domeny głównej lasu> jest ścieżką w postaci nazwy domeny do głównej domeny w lesie:
      C:\IOP>ldifde -i -f inetorgpersonfix.ldf -v -c DC=X "ścieżka do domeny głównej lasu"
      Uwagi dotyczące składni:
      • W stałej DC=X uwzględniana jest wielkość liter.
      • Ścieżka nazwy domeny katalogu głównego lasu musi być wpisana w cudzysłowie.
  8. Przed zainstalowaniem programu Exchange 2000 sprawdź, czy atrybuty houseIdentifier, secretary oraz labeledURI w kontekście nazewnictwa schematu nie są zniekształcone.
Aby uzyskać więcej informacji dotyczących związanego konfliktu schematu z Usługami dla systemu UNIX w wersji 2.0, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
293783 Cannot upgrade Windows 2000 server to Windows Server 2003 with Windows Services for UNIX 2.0 installed

Omówienie: Uaktualnienie kontrolerów domen systemu Windows 2000 do systemu Windows Server 2003

Polecenie adprep systemu Windows Server 2003 uruchamiane z folderu \I386, znajdującego się na nośniku instalacyjnym z systemem Windows Server 2003, przygotowuje las systemu Windows 2000 i jego domeny do dodawania kontrolerów domen systemu Windows Server 2003. Polecenie adprep /forestprep systemu Windows Server 2003 dodaje następujące funkcje:
  • Ulepszone domyślne deskryptory zabezpieczeń klas obiektów
  • Nowe atrybuty użytkowników i grup
  • Nowe obiekty i atrybuty schematu, takie jak klasa InetOrgPerson
Narzędzie adprep obsługuje dwa argumenty wiersza polecenia:
adprep /forestprep: uruchamia operacje uaktualniania lasu.
adprep /domainprep: uruchamia operacje uaktualniania domeny.
Polecenie adprep /forestprep uruchamia jednokrotną operację na wzorcu operacji schematu (FSMO) w lesie. Operacja forestprep musi być ukończona i zreplikowana na wzorcu infrastruktury każdej domeny przed wykonaniem polecenia adprep /domainprep w tej domenie.

Polecenie adprep /domainprep uruchamia jednokrotną operację na kontrolerze domeny będącym wzorcem operacji infrastruktury w każdej domenie w lesie, która będzie zarządzana przez nowe lub uaktualnione kontrolery domen systemu Windows Server 2003. Polecenie adprep /domainprep sprawdza, czy zmiany spowodowane uruchomieniem polecenia forestprep zostały zreplikowane w partycji domeny, a następnie wprowadza własne zmiany w partycji domeny i zasadach grupy w udziale Sysvol.

Nie można wykonać żadnej z następujących akcji do chwili ukończenia operacji /forestprep i /domainprep oraz zreplikowania ich na wszystkich kontrolerach domen w danej domenie:
  • Uaktualnienie kontrolerów domen systemu Windows 2000 do kontrolerów domen systemu Windows Server 2003 za pomocą programu Winnt32.exe.

    Uwaga: W dowolnym momencie można uaktualnić serwery i komputery członkowskie z systemem Windows 2000 do komputerów członkowskich z systemem Windows Server 2003.
  • Podwyższanie nowych kontrolerów domen systemu Windows Server 2003 w domenie za pomocą programu Dcpromo.exe.
Oba polecenia adprep /forestprep i adprep /domainprep należy uruchomić wyłącznie w domenie obsługującej wzorzec operacji schematu. W pozostałych domenach należy uruchomić tylko polecenie adprep /domainprep.

Polecenia adprep /forestprep i adprep /domainprep nie dodają atrybutów do zestawu częściowego atrybutów wykazu globalnego ani nie powodują pełnej synchronizacji wykazu globalnego. Wersja RTM polecenia adprep /domainprep nie powoduje pełnej synchronizacji folderu \Policies w drzewie Sysvol. Nawet jeśli polecenia forestprep i domainprep zostaną uruchomione kilkakrotnie, operacje zostaną wykonane tylko jeden raz.

Po pełnej replikacji zmian spowodowanych wykonaniem poleceń adprep /forestprep i adprep /domainprep można uaktualnić kontrolery domen systemu Windows 2000 do systemu Windows Server 2003 przez uruchomienie pliku Winnt32.exe z folderu \I386, który znajduje się na nośniku instalacyjnym z systemem Windows Server 2003. Można także dodać do domeny nowe kontrolery domen systemu Windows Server 2003 za pomocą programu Dcpromo.exe.

Uaktualnianie lasu za pomocą polecenia /forestprep

Aby przygotować las i domeny systemu Windows 2000 do akceptowania kontrolerów domen systemu Windows Server 2003, wykonaj następujące kroki najpierw w środowisku testowym, a następnie w środowisku produkcyjnym:
  1. Upewnij się, że wszystkie operacje z fazy „Spis lasu” zostały ukończone, zwracając szczególną uwagę na następujące elementy:
    1. Kopie zapasowe stanu systemu są utworzone.
    2. Na wszystkich kontrolerach domen systemu Windows 2000 w lesie są zainstalowane odpowiednie poprawki i dodatki Service Pack.
    3. W lesie występuje replikacja typu end-to-end usługi Active Directory.
    4. Usługa replikacji plików FRS poprawnie wykonuje replikację zasady systemu plików w każdej domenie.
  2. Zaloguj się do konsoli wzorca operacji schematu przy użyciu konta będącego członkiem grupy Administratorzy schematu w systemie zabezpieczeń.
  3. Zweryfikuj, że wzorzec operacji schematu (FSMO) przeprowadził replikację przychodzącą związaną z partycją schematu, wpisując następujące polecenie w wierszu polecenia systemu Windows NT:
    repadmin /showreps
    (repadmin jest instalowany przez folder Support\Tools usługi Active Directory).
  4. W starszej dokumentacji firmy Microsoft zalecane jest izolowanie wzorca operacji schematu w sieci prywatnej przed uruchomieniem polecenia adprep /forestprep. Z doświadczeń wynika, że ten krok nie jest niezbędny i może być przyczyną odrzucenia zmian przez wzorzec operacji schematu podczas ponownego uruchamiania w sieci prywatnej. Jeżeli konieczne jest izolowanie dodatków schematu wprowadzonych przez polecenie adprep, firma Microsoft zaleca tymczasowe wyłączenie replikacji wychodzącej usługi Active Directory przy użyciu narzędzia wiersza polecenia repadmin. Aby to zrobić, wykonaj następujące kroki:
    1. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie cmd, a następnie kliknij przycisk OK.
    2. Wpisz następujące polecenie, a następnie naciśnij klawisz ENTER:
      repadmin /options +DISABLE_OUTBOUND_REPL
  5. Uruchom polecenie adprep na wzorcu operacji schematu. W tym celu kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie cmd, a następnie kliknij przycisk OK. Na wzorcu operacji schematu wpisz polecenie
    X:\I386\adprep /forestprep
    gdzie X:\I386\ to ścieżka do nośnika instalacyjnego z systemem Windows Server 2003. Powyższe polecenie uruchamia uaktualnienie schematu w całym lesie.

    Uwaga: Zdarzenia o identyfikatorze 1153 zarejestrowane w dzienniku zdarzeń usługi katalogowej, takie jak przedstawione na poniższym przykładzie, mogą być ignorowane:

    Typ zdarzenia: Błąd
    Źródło zdarzenia: NTDS General
    Kategoria zdarzenia: Przetwarzanie wewnętrzne
    Identyfikator zdarzenia: 1153
    Data: MM/DD/RRRR
    Godzina: GG:MM:SS
    Użytkownik: Dowolny komputer: <niektóre kontrolery domen>
    Opis: Identyfikator klasy 655562 (nazwa klasy msWMI-MergeablePolicyTemplate) ma nieprawidłową superklasę 655560. Dziedziczenie zignorowane.

  6. Zweryfikuj, że polecenie adprep /forestprep zostało pomyślnie wykonane na wzorcu operacji schematu. Aby to zrobić, sprawdź następujące elementy w konsoli wzorca operacji schematu:
    • Polecenie adprep /forestprep zostało ukończone bez błędu.
    • Obiekt CN=Windows2003Update jest zapisany w obiekcie CN=ForestUpdates,CN=Configuration,DC=domena_główna_lasu. Zanotuj wartość atrybutu Revision.
    • (Opcjonalnie) Wersja schematu została zwiększona do wersji 30. Aby to zrobić, zobacz atrybut ObjectVersion w obiekcie CN=Schema,CN=Configuration,DC=domena_główna_lasu.
    Jeśli polecenie adprep /forestprep nie uruchamia się, sprawdź następujące elementy:
    • Podczas uruchamiania polecenia adprep została określona w pełni kwalifikowana ścieżka pliku Adprep.exe, który znajduje się w folderze \I386 na nośniku instalacyjnym. Aby to zrobić, wpisz następujące polecenie:
      x:\i386\adprep /forestprep
      gdzie x to stacja dysków, w której znajduje się nośnik instalacyjny.
    • Zalogowany użytkownik, który uruchamia polecenie adprep, jest członkiem grup Administratorzy schematu w systemie zabezpieczeń. Aby to sprawdzić, użyj polecenia whoami /all.
    • Jeżeli polecenie adprep nadal nie działa, wyświetl plik Adprep.log znajdujący się w folderze %systemroot%\System32\Debug\Adprep\Logs\najnowszy_dziennik
  7. Jeżeli wyłączono replikację wychodzącą na wzorcu operacji schematu w kroku 4, włącz replikację, aby umożliwić propagowanie zmian schematu wprowadzonych przez polecenie adprep /forestprep. Aby to zrobić, wykonaj następujące kroki:
    1. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie cmd, a następnie kliknij przycisk OK.
    2. Wpisz następujące polecenie, a następnie naciśnij klawisz ENTER:
      repadmin /options -DISABLE_OUTBOUND_REPL
  8. Sprawdź, czy zmiany spowodowane uruchomieniem polecenia adprep /forestprep zostały zreplikowane na wszystkich kontrolerach domen w lesie. Zaleca się monitorowanie następujących atrybutów:
    1. Zwiększanie wersji schematu
    2. Zreplikowanie obiektów CN=Windows2003Update, CN=ForestUpdates,CN=Configuration,DC=domena_główna_lasu lub CN=Operations,CN=DomainUpdates,CN=System,DC=domena_główna_lasu oraz zawartych w nich identyfikatorów GUID.
    3. Wyszukaj zmiany wprowadzane przez polecenie adprep /forestprep, takie jak nowe klasy schematu, obiekty, atrybuty lub inne zmiany, na przykład klasa InetOrgPerson. Wyświetl pliki SchXX.ldf (gdzie XX to liczba między 14 a 30) znajdujące się w folderze %systemroot%\System32, aby ustalić, które obiekty i atrybuty powinny być obecne. Na przykład klasa InetOrgPerson jest zdefiniowana w pliku Sch18.ldf.
  9. Wyszukaj zniekształcone nazwy LDAPDisplayName.

    Jeśli program Exchange 2000 został zainstalowany przed uruchomieniem polecenia adprep /forestprep systemu Windows Server 2003, zobacz następujący artykuł w bazie wiedzy Microsoft Knowledge Base:
    314649 Windows Server 2003 adprep /forestprep command causes mangled attributes in Windows 2000 forests that contain Exchange 2000 servers
    W przypadku znalezienia zniekształconych nazw przejdź do scenariusza 3 w tym artykule.
  10. Zaloguj się do konsoli wzorca operacji schematu przy użyciu konta będącego członkiem grupy Administratorzy schematu w systemie zabezpieczeń w lesie obsługującym wzorzec operacji schematu.

Uaktualnianie domeny za pomocą polecenia adprep /domainprep

Po wykonaniu pełnej replikacji zmian /forestprep na kontrolerze domeny wzorca infrastruktury w każdej domenie, która będzie obsługiwać kontrolery domen systemu Windows Server 2003, uruchom polecenie adprep /domainprep. W tym celu wykonaj następujące kroki:
  1. Zidentyfikuj kontroler domeny wzorca infrastruktury w domenie, która ma być uaktualniona, a następnie zaloguj się przy użyciu konta będącego członkiem grupy Administratorzy domeny w tej domenie.

    Uwaga: Administrator przedsiębiorstwa nie musi być członkiem grupy Administratorzy domeny w systemie zabezpieczeń w domenach podrzędnych w lesie.
  2. Uruchom polecenie adprep /domainprep na wzorcu infrastruktury. Aby to zrobić, kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie cmd, a następnie na wzorcu infrastruktury wpisz następujące polecenie:
    X:\I386\adprep /domainprep
    gdzie X:\I386\ to ścieżka do nośnika instalacyjnego z systemem Windows Server 2003. Powyższe polecenie wprowadza w domenie docelowej zmiany pochodzące z całej domeny.

    Uwaga: Polecenie adprep /domainprep modyfikuje uprawnienia do plików w udziale Sysvol. Zmiany powodują pełną synchronizację plików w tym drzewie katalogów.
  3. Sprawdź, czy polecenie domainprep zostało pomyślnie ukończone. Aby to zrobić, sprawdź następujące elementy:
    • Polecenie adprep /domainprep zostało ukończone bez błędu.
    • Istnieje obiekt CN=Windows2003Update,CN=DomainUpdates,CN=System,DC=ścieżka nazwy domeny podlegającej uaktualnieniu.
    Jeśli polecenie adprep /domainprep nie uruchamia się, sprawdź następujące elementy:
    • Zalogowany użytkownik, który uruchamia polecenie adprep, jest członkiem grupy Administratorzy domeny w systemie zabezpieczeń w domenie, która jest uaktualniana. Aby to sprawdzić, użyj polecenia whoami /all.
    • Podczas uruchamiania polecenia adprep została określona w pełni kwalifikowana ścieżka pliku Adprep.exe, który znajduje się w katalogu \I386 na nośniku instalacyjnym. Aby to zrobić, w wierszu polecenia wpisz następujące polecenie:
      x:\i386\adprep /forestprep
      gdzie x to stacja dysków, w której znajduje się nośnik instalacyjny.
    • Jeżeli polecenie adprep nadal nie działa, wyświetl plik Adprep.log znajdujący się w folderze %systemroot%\System32\Debug\Adprep\Logs\najnowszy_dziennik.
  4. Sprawdź, czy zmiany spowodowane wykonaniem polecenia adprep /domainprep zostały zreplikowane. Aby to zrobić, sprawdź następujące elementy na pozostałych kontrolerach domen w domenie:
    • Istnieje obiekt CN=Windows2003Update,CN=DomainUpdates,CN=System,DC=ścieżka nazwy domeny podlegającej uaktualnieniu, a wartość atrybutu Revision jest zgodna z wartością tego samego atrybutu we wzorcu infrastruktury domeny.
    • (Opcjonalnie) Wyszukaj w obiektach, atrybutach lub na listach kontroli dostępu zmiany wprowadzone przez polecenie adprep /domainprep.
    Powtórz kroki 1–4 na wzorcach infrastruktury w pozostałych domenach. Można to zrobić od razu lub w chwili, gdy kontroler domeny będzie w nich dodawany lub uaktualniany do systemu Windows Server 2003. Teraz można podwyższyć poziom komputerów z systemem Windows Server 2003 w lesie za pomocą polecenia DCPROMO. Można także uaktualnić istniejące kontrolery domen systemu Windows 2000 do systemu Windows Server 2003 przy użyciu programu WINNT32.EXE.

Uaktualnianie kontrolerów domen systemu Windows 2000 za pomocą programu Winnt32.exe

Po pełnej replikacji zmian wprowadzonych przez wykonanie poleceń /forestprep i /domainprep oraz po podjęciu decyzji dotyczącej zgodności zabezpieczeń z klientami w starszych wersjach można uaktualnić kontrolery domen systemu Windows 2000 do systemu Windows Server 2003 i dodać w domenie nowe kontrolery domen systemu Windows Server 2003.

Następujące komputery muszą znajdować się wśród pierwszych kontrolerów domen z systemem Windows Server 2003 w każdej domenie w lesie:
  • Wzorzec nazw domen w lesie, aby można było tworzyć domyślne partycje DNS.
  • Podstawowy kontroler domeny w domenie głównej lasu, aby podmioty zabezpieczeń całego przedsiębiorstwa, wprowadzane przez polecenie forestprep systemu Windows Server 2003, były widoczne w edytorze ACL.
  • Podstawowy kontroler domeny w każdej domenie innej niż główna, aby można było tworzyć nowe podmioty zabezpieczeń, specyficzne dla domen systemu Windows 2003.
Aby to zrobić, użyj programu WINNT32 w celu uaktualnienia istniejących kontrolerów domen obsługujących wybraną rolę operacyjną. Możesz również przenieść rolę do kontrolera domeny systemu Windows Server 2003, który został niedawno podwyższony. Wykonaj następujące kroki dla każdego kontrolera domeny systemu Windows 2000, który będzie uaktualniany do systemu Windows Server 2003 za pomocą programu WINNT32, oraz dla każdego komputera w grupie roboczej lub komputera członkowskiego z systemem Windows Server 2003, którego poziom będzie podwyższany:
  1. Przed użyciem programu WINNT32 do uaktualnienia komputerów członkowskich i kontrolerów domen systemu Windows 2000 usuń Narzędzia administracyjne systemu Windows 2000. Aby to zrobić, użyj narzędzia Dodaj/Usuń programy w Panelu sterowania. (Tylko w przypadku uaktualnienia systemu Windows 2000).
  2. Zainstaluj dowolne pliki poprawek lub inne poprawki uznane za ważne przez firmę Microsoft lub administratora.
  3. Na każdym kontrolerze domeny sprawdź, czy nie występują potencjalne problemy z uaktualnieniem. Aby to zrobić, uruchom następujący program z folderu \I386 na nośniku instalacyjnym:
    winnt32.exe /checkupgradeonly
    Rozwiąż wszystkie problemy znalezione podczas sprawdzania zgodności.
  4. Uruchom program WINNT32.EXE, który znajduje się w folderze \I386 na nośniku instalacyjnym, a następnie uruchom ponownie uaktualniony kontroler domeny systemu Windows 2003 Server.
  5. Zgodnie z wymaganiami zmniejsz poziom zabezpieczeń dla klientów ze starszymi wersjami systemu.

    Jeżeli na klientach z systemem Windows NT 4.0 nie jest zainstalowany dodatek SP6 dla systemu NT 4.0 lub na klientach z systemem Windows 95 nie jest zainstalowany klient usług katalogowych, wyłącz podpisywanie usługi SMB w zasadzie Domyślne kontrolery domeny w jednostce organizacyjnej Kontrolery domen, a następnie połącz tę zasadę ze wszystkimi jednostkami organizacyjnymi obsługującymi kontrolery domen.
    Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń\Serwer sieci Microsoft: podpisuj cyfrowo komunikację (zawsze)
  6. Sprawdź kondycję uaktualnienia za pomocą następujących informacji:
    • Uaktualnienie zostało ukończone pomyślnie.
    • Poprawki dodane do instalacji pomyślnie zastąpiły oryginalne pliki binarne.
    • Przychodząca i wychodząca replikacja usługi Active Directory występuje dla wszystkich kontekstów nazewnictwa znajdujących się na kontrolerze domeny.
    • Istnieją udziały Netlogon i Sysvol.
    • Dziennik zdarzeń wskazuje, że kondycja kontrolera domeny i jego usług jest poprawna.

      Uwaga: Po wykonaniu uaktualnienia może zostać wyświetlony następujący komunikat o zdarzeniu:

      Typ zdarzenia: Błąd
      Źródło zdarzenia: Kopia zapasowa NTDS
      Kategoria zdarzenia: Kopia zapasowa
      Identyfikator zdarzenia: 1913
      Data: Data
      Godzina: HH:MM:SS
      Użytkownik: Brak
      Komputer: nazwa_komputera
      Opis: Błąd wewnętrzny: operacja wykonywania kopii zapasowych i przywracania usługi Active Directory napotkała nieoczekiwany błąd. Operacje wykonywania kopii zapasowych lub przywracania będą kończyć się niepowodzeniem do czasu rozwiązania tego problemu.

      Ten komunikat o zdarzeniu można zignorować.
  7. Zainstaluj Narzędzia administracyjne systemu Windows Server 2003 (tylko w przypadku uaktualniania systemu Windows 2000 oraz tylko na komputerach z systemem Windows Server 2003 niebędących kontrolerami domen). Plik Adminpak.msi znajduje się w folderze \i386 na dysku CD-ROM z systemem Windows Server 2003. Nośnik z systemem Windows Server 2003 zawiera zaktualizowane narzędzia obsługi w pliku Support\Tools\Suptools.msi. Upewnij się, że ten plik został ponownie zainstalowany.
  8. Dla każdej domeny w lesie wykonaj nowe kopie zapasowe co najmniej dwóch pierwszych kontrolerów domen systemu Windows 2000, które zostały uaktualnione do systemu Windows Server 2003. Umieść kopie zapasowe komputerów z systemem Windows 2000, które zostały uaktualnione do systemu Windows Server 2003, w trudno dostępnym miejscu, aby nie użyć ich przypadkiem do przywrócenia kontrolera domeny, na którym obecnie jest zainstalowany system Windows Server 2003.
  9. (Opcjonalnie) Wykonaj defragmentację w trybie offline bazy danych usługi Active Directory na kontrolerach domen, które zostały uaktualnione do systemu Windows Server 2003 po ukończeniu wykonywania funkcji SIS (Single Instance Store) (tylko uaktualnienie systemu Windows 2000).

    Funkcja SIS wykonuje przegląd istniejących uprawnień do obiektów przechowywanych w usłudze Active Directory, a następnie stosuje w obiektach bardziej efektywny deskryptor zabezpieczeń. Funkcja SIS uruchamia się automatycznie (jest identyfikowana w dzienniku zdarzeń usługi katalogowej przez wystąpienie zdarzenia 1953) podczas pierwszego uruchomienia systemu operacyjnego Windows Server 2003 na uaktualnionym kontrolerze domeny. Korzyści wynikające z zastosowania ulepszonego magazynu deskryptorów zabezpieczeń są odczuwane tylko wtedy, gdy w dzienniku zdarzeń usługi katalogowej zostanie zarejestrowane zdarzenie o identyfikatorze 1966:

    Typ zdarzenia: Informacje
    Źródło zdarzenia: NTDS SDPROP
    Kategoria zdarzenia: Przetwarzanie wewnętrzne
    Identyfikator zdarzenia: 1966
    Data: MM/DD/RRRR
    Godzina: GG:MM:SS
    Użytkownik: ZARZĄDZANIE NT\LOGOWANIE ANONIMOWE
    Komputer: <nazwa_komputera>
    Opis: Propagator deskryptora zabezpieczeń ukończył pełne przejście propagacji.
    Przydzielone miejsce (MB):
    XX Wolne miejsce (MB): XX

    Mogło to zwiększyć ilość wolnego miejsca w bazie danych usługi Active Directory.
    Akcja użytkownika: Rozważ możliwość defragmentacji bazy danych w trybie offline w celu odzyskania wolnego miejsca, które może być dostępne w bazie danych usługi Active Directory. Aby uzyskać więcej informacji, skorzystaj z Centrum pomocy i obsługi technicznej w witrynie http://support.microsoft.com.

    Ten komunikat o zdarzeniu oznacza, że operacja na magazynie pojedynczych wystąpień została ukończona i zalecane jest wykonanie przez administratora defragmentacji w trybie offline pliku Ntds.dit za pomocą programu NTDSUTIL.EXE.

    Przeprowadzenie defragmentacji w trybie offline może zmniejszyć rozmiar pliku Ntds.dit systemu Windows 2000 nawet o 40%, zwiększyć wydajność usługi Active Directory i zaktualizować strony w bazie danych, dzięki czemu będzie możliwe bardziej efektywne przechowywanie atrybutów Link Valued. Aby uzyskać więcej informacji dotyczących sposobu defragmentowania bazy danych usługi Active Directory, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
    232122 Performing Offline Defragmentation of the Active Directory Database
  10. Zbadaj usługę DLT Server. Kontrolery domen systemu Windows Server 2003 wyłączają usługę DLT Server podczas nowych instalacji i uaktualniania. Jeżeli w danej organizacji klienci z systemem Windows 2000 lub Windows XP korzystają z usługi DLT Server, użyj Zasad grupy, aby włączyć usługę DLT Server na nowych lub uaktualnionych kontrolerach domen systemu Windows Server 2003. W przeciwnym wypadku usuń przyrostowo obiekty śledzenia łączy rozproszonych (DLT) z usługi Active Directory. Aby uzyskać więcej informacji, kliknij następujące numery artykułów w celu wyświetlenia tych artykułów z bazy wiedzy Microsoft Knowledge Base:
    312403 Distributed Link Tracking on Windows-based domain controllers
    315229 Text version of Dltpurge.vbs for Microsoft Knowledge Base article Q312403
    W przypadku zbiorczego usunięcia wielu tysięcy obiektów DLT lub innych obiektów replikacja może być zablokowana z powodu braku magazynu wersji. Poczekaj zgodnie z liczbą dni określoną przez parametr okres_istnienia_reliktu (domyślnie 60 dni) po usunięciu ostatniego obiektu DLT i wyrzuceniu elementów bezużytecznych, a następnie użyj programu NTDSUTIL.EXE do wykonania defragmentacji pliku Ntds.dit w trybie offline.
  11. Skonfiguruj strukturę jednostek organizacyjnych zgodnie z najważniejszymi wskazówkami. Firma Microsoft zaleca, aby administratorzy aktywnie wdrożyli zalecaną strukturę jednostek organizacyjnych we wszystkich domenach usługi Active Directory, a po uaktualnieniu lub wdrożeniu kontrolerów domen systemu Windows Server 2003 w trybie Windows Domain przekierowali domyślne kontenery używane przez starsze wersje interfejsów API w celu tworzenia użytkowników, komputerów i grup do kontenera jednostki organizacyjnej określanego przez administratora.

    Dodatkowe informacje o zaleceniach dotyczących struktury jednostek organizacyjnych można znaleźć w sekcji „Creating an Organizational Unit Design” w dokumencie „Best Practice Active Directory Design for Managing Windows Networks”. Aby zapoznać się z tym dokumentem, odwiedź następującą witrynę firmy Microsoft w sieci Web:
    http://www.microsoft.com/technet/prodtechnol/windows2000serv/technologies/activedirectory/plan/bpaddsgn.mspx
    Aby uzyskać więcej informacji dotyczących zmieniania domyślnego kontenera, w którym znajdują się użytkownicy, komputery i grupy tworzone przez starsze wersje interfejsów API, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
    324949 Redirecting the users and computers containers in Windows Server 2003 domains
  12. W razie potrzeby powtórz kroki od 1 do 10 dla każdego nowego lub uaktualnionego kontrolera domeny systemu Windows Server 2003 w lesie oraz krok 11 (zgodna z zaleceniami struktura jednostek organizacyjnych) dla każdej domeny usługi Active Directory.

    Podsumowanie:
    • Uaktualnij kontrolery domen systemu Windows 2000 za pomocą programu WINNT32 (z nośnika instalacyjnego).
    • Sprawdź, czy na uaktualnionych komputerach zostały zainstalowane poprawione pliki.
    • Zainstaluj wszystkie wymagane poprawki, które nie znajdują się na nośniku instalacyjnym.
    • Sprawdź kondycję wszystkich nowych lub uaktualnionych serwerów (AD, FRS, zasady itp.).
    • Odczekaj 24 godziny po uaktualnieniu systemu operacyjnego, a następnie wykonaj defragmentację w trybie offline (opcjonalnie).
    • Jeśli to konieczne, uruchom usługę DLT, w przeciwnym wypadku usuń obiekty DLT za pomocą polecenia q312403 / q315229 post forest wide domainpreps.
    • Wykonaj defragmentację w trybie offline po ponad 60 dniach (liczba dni istnienia reliktu oraz wyrzucania elementów bezużytecznych: #) po usunięciu obiektów DLT.

Uaktualnianie w środowisku laboratoryjnym

Przed uaktualnieniem kontrolerów domen systemu Windows 2000 w środowisku produkcyjnym zweryfikuj i zoptymalizuj proces uaktualniania w środowisku laboratoryjnym. Jeśli uaktualnienie w środowisku laboratoryjnym, które odpowiada środowisku produkcyjnemu z lasem, przebiegnie sprawnie, to podobnych rezultatów można oczekiwać w środowisku produkcyjnym. W przypadku środowiska złożonego środowisko laboratoryjne musi odpowiadać środowisku produkcyjnemu w następujących obszarach:
  • Sprzęt: typ komputera, rozmiar pamięci, położenie pliku strony, rozmiar dysku, konfiguracja i wydajność dysku RAID, poziomy wersji systemu BIOS i oprogramowania firmware
  • Oprogramowanie: wersje systemu operacyjnego na kliencie i serwerze, aplikacje na kliencie i serwerze, wersje dodatków Service Pack, poprawki, zmiany schematu, grupy zabezpieczeń, członkostwo grup, uprawnienia, ustawienia zasad, typy i położenie liczników obiektów, zgodność wersji
  • Infrastruktura sieciowa: WINS, DHCP, szybkość łączy, dostępna przepustowość
  • Ładowanie: symulatory ładowania mogą symulować zmiany haseł, tworzenie obiektów, replikację usługi Active Directory, uwierzytelnianie podczas logowania oraz inne zdarzenia. Celem nie jest odtworzenie skali środowiska produkcyjnego. Celem jest raczej oszacowanie kosztów i częstości występowania typowych operacji oraz interpolowanie wyników ich działania (kwerendy nazw, ruch replikacji, przepustowość sieci oraz wykorzystanie procesora) w środowisku produkcyjnym na podstawie bieżących i przyszłych wymagań.
  • Administracja: wykonane zadania, użyte narzędzia, użyte systemy operacyjne
  • Działanie: pojemność, zgodność
  • Miejsce na dysku: należy zwrócić uwagę na początkowy, szczytowy i końcowy rozmiar systemu operacyjnego, pliku Ntds.dit i plików dziennika usługi Active Directory w wykazie globalnym oraz na kontrolerach domeny niebędących wykazami globalnymi w każdej domenie po wykonaniu następujących operacji:
    1. adprep /forestprep
    2. adprep /domainprep
    3. Uaktualnienie kontrolerów domen systemu Windows 2000 do systemu Windows Server 2003.
    4. Wykonanie defragmentacji w trybie offline po uaktualnieniu wersji.
Zrozumienie procesu uaktualniania i stopnia złożoności środowiska oraz przeprowadzenie szczegółowych obserwacji pozwala określić tempo uaktualniania środowiska produkcyjnego oraz wymagany poziom obsługi. Środowiska, w których znajduje się mała liczba kontrolerów domen i obiektów usługi Active Directory połączonych w szybkiej sieci WAN, mogą być uaktualnione w ciągu kilku godzin. Jeśli w przedsiębiorstwie są setki kontrolerów domen lub tysiące obiektów usługi Active Directory, zaplanowanie procesu może wymagać dłuższych przygotowań. W takich przypadkach uaktualnianie może trwać kilka tygodni lub miesięcy.

Wykonaj w środowisku laboratoryjnym uaktualnienie „na sucho”, aby:
  • Zrozumieć, jak przebiega proces uaktualniania oraz określić związane z nim ryzyko.
  • Zidentyfikować potencjalne obszary zagrożenia podczas procesu rozmieszczania w środowisku.
  • Przetestować i opracować plany awaryjne na wypadek niepowodzenia uaktualnienia.
  • Zdefiniować odpowiedni poziom szczegółów, który będzie użyty podczas procesu uaktualniania w domenie produkcyjnej.

Kontrolery domen bez odpowiedniej ilości miejsca na dysku

Na kontrolerach domen z niewystarczającą ilością miejsca na dysku wykonaj następujące kroki, aby zwolnić dodatkowe miejsce na woluminie z plikiem Ntds.dit oraz plikami dziennika:
  1. Usuń nieużywane pliki, w tym pliki *.tmp lub buforowane pliki wykorzystywane przez przeglądarki internetowe. Aby to zrobić, wpisz następujące polecenia (po każdym poleceniu naciśnij klawisz ENTER):
    cd /d dysk\
    del *.tmp /s
  2. Usuń wszystkie pliki zrzutu użytkownika lub pliki zrzutu pamięci. Aby to zrobić, wpisz następujące polecenia (po każdym poleceniu naciśnij klawisz ENTER):
    cd /d dysk\
    del *.dmp /s
  3. Tymczasowo usuń lub przenieś pliki, do których można uzyskać dostęp na innych serwerach lub które można łatwo zainstalować. Pliki, które można usunąć i łatwo zastąpić to: ADMINPAK, narzędzia obsługi oraz pliki w folderze %systemroot%\System32\Dllcache.
  4. Usuń wszystkie stare lub nieużywane profile użytkowników. Aby to zrobić, kliknij przycisk Start, kliknij prawym przyciskiem myszy polecenie Mój komputer, kliknij polecenie Właściwości, kliknij kartę Profile użytkownika, a następnie usuń wszystkie profile odnoszące się do starych i nieużywanych kont. Nie usuwaj profilów, które są kontami usług.
  5. Usuń symbole w katalogu %systemroot%\Symbols. Aby to zrobić, wpisz następujące polecenie:
    rd /s %systemroot%\symbols
    W zależności od rozmiaru zestawu symboli (pełny lub mały) na serwerach, oszczędności mogą wynieść od 70 do 600 MB.
  6. Wykonaj defragmentację w trybie offline. Defragmentacja w trybie offline pliku Ntds.dit może spowodować zwolnienie miejsca, ale tymczasowo wymaga tyle wolnego miejsca, ile wynosi podwojony rozmiar bieżącego pliku DIT. Jeśli to możliwe, wykonaj defragmentację w trybie offline przy użyciu innych woluminów lokalnych. Można także skorzystać z wolnego miejsca na serwerze sieciowym, z którym istnieje szybkie połączenie. Jeśli na dysku nadal będzie za mało miejsca, usuń pojedynczo niepotrzebne konta użytkowników, konta komputerów, rekordy DNS i obiekty DLT z usługi Active Directory.

    Uwaga: Usługa Active Directory nie usuwa obiektów z bazy danych przed upływem liczby dni równej zmiennej okres_istnienia_reliktu (domyślnie 60 dni) oraz przed ukończeniem wyrzucania elementów bezużytecznych. Jeśli wartość zmiennej okres_istnienia_reliktu (tombstonelifetime) zostanie zmniejszona i ustawiona jako wartość mniejsza od replikacji end-to-end w lesie, w usłudze Active Directory mogą pojawić się niespójności.

Materiały referencyjne

Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
821076 Windows Server 2003 Help files contain incorrect information about how to update a Windows 2000 Domain

Właściwości

Numer ID artykułu: 325379 - Ostatnia weryfikacja: 24 listopada 2006 - Weryfikacja: 21.3
Informacje zawarte w tym artykule dotyczą:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Exchange 2000 Server Standard Edition
Słowa kluczowe: 
kbinfo KB325379

Przekaż opinię

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com