Jak uaktualnić kontrolery domeny systemu Windows 2000 do systemu Windows Server 2003

W tym artykule omówiono sposób uaktualniania kontrolerów domeny systemu Microsoft Windows 2000 do systemu Windows Server 2003 oraz dodawanie nowych kontrolerów domeny systemu Windows Server 2003 do domen systemu Windows 2000.

Dotyczy: Windows Server 2012 R2
Oryginalny numer KB: 325379

Podsumowanie

W tym artykule omówiono sposób uaktualniania kontrolerów domeny systemu Microsoft Windows 2000 do systemu Windows Server 2003 oraz dodawanie nowych kontrolerów domeny systemu Windows Server 2003 do domen systemu Windows 2000. Aby uzyskać więcej informacji na temat uaktualniania kontrolerów domeny do systemu Windows Server 2008 lub Windows Server 2008 R2, odwiedź następującą witrynę sieci Web firmy Microsoft:

Uaktualnianie kontrolerów domeny: pomoc techniczna firmy Microsoft Szybki start do dodawania kontrolerów domeny systemu Windows Server 2008 lub Windows Server 2008 R2 do istniejących domen

Spis domen i lasów

Przed uaktualnieniem kontrolerów domeny systemu Windows 2000 do systemu Windows Server 2003 lub przed dodaniem nowych kontrolerów domeny systemu Windows Server 2003 do domeny systemu Windows 2000 wykonaj następujące kroki:

1. Spis klientów uzyskujących dostęp do zasobów w domenie hostującej kontrolery domeny systemu Windows Server 2003 w celu zapewnienia zgodności z podpisywaniem protokołu SMB:

   Każdy kontroler domeny systemu Windows Server 2003 umożliwia logowanie SMB w lokalnych zasadach zabezpieczeń. Upewnij się, że wszyscy klienci sieciowi korzystający z protokołu SMB/CIFS w celu uzyskania dostępu do udostępnionych plików i drukarek w domenach hostowanych na kontrolerach domeny systemu Windows Server 2003 mogą zostać skonfigurowani lub uaktualnione w celu obsługi podpisywania SMB. Jeśli nie, tymczasowo wyłącz podpisywanie SMB do momentu zainstalowania aktualizacji lub do momentu uaktualnienia klientów do nowszych systemów operacyjnych obsługujących podpisywanie SMB. Aby uzyskać informacje na temat wyłączania podpisywania SMB, zobacz sekcję Aby wyłączyć podpisywanie SMB na końcu tego kroku.

   Plany akcji

   Na poniższej liście przedstawiono plany akcji dla popularnych klientów SMB:

   • Microsoft Windows Server 2003, Microsoft Windows XP Professional, Microsoft Windows 2000 Server, Microsoft Windows 2000 Professional i Microsoft Windows 98

     Nie jest wymagana żadna akcja.

   • Microsoft Windows NT 4.0 Zainstaluj dodatek Service Pack 3 lub nowszy (zalecany jest dodatek Service Pack 6A) na wszystkich komputerach z systemem Windows NT 4.0, które uzyskują dostęp do domen zawierających komputery z systemem Windows Server 2003. Zamiast tego tymczasowo wyłącz podpisywanie SMB na kontrolerach domeny systemu Windows Server 2003. Aby uzyskać informacje na temat wyłączania podpisywania SMB, zobacz sekcję Aby wyłączyć podpisywanie SMB na końcu tego kroku.

   • Microsoft Windows 95

     Zainstaluj klienta usługi katalogowej systemu Windows 9 x na komputerach z systemem Windows 95 lub tymczasowo wyłącz podpisywanie SMB na kontrolerach domeny systemu Windows Server 2003. Oryginalny klient usługi katalogowej Win9 x jest dostępny na dysku CD-ROM systemu Windows 2000 Server. Jednak ten dodatek klienta został zastąpiony ulepszonym klientem usługi katalogowej Win9 x . Aby uzyskać informacje na temat wyłączania podpisywania SMB, zobacz sekcję Aby wyłączyć podpisywanie SMB na końcu tego kroku.

   • Klient sieci firmy Microsoft dla klientów MS-DOS i Microsoft LAN Manager

     Klient sieci firmy Microsoft dla programu MS-DOS i klient sieciowy programu Microsoft LAN Manager 2.x mogą być używane do zapewnienia dostępu do zasobów sieciowych lub mogą być łączone z rozruchową dyskietką w celu kopiowania plików systemu operacyjnego i innych plików z katalogu udostępnionego na serwerze plików w ramach procedury instalacji oprogramowania. Ci klienci nie obsługują podpisywania SMB. Użyj alternatywnej metody instalacji lub wyłącz podpisywanie SMB. Aby uzyskać informacje na temat wyłączania podpisywania SMB, zobacz sekcję Aby wyłączyć podpisywanie SMB na końcu tego kroku.

   • Klienci systemu Macintosh

     Niektórzy klienci systemu Macintosh nie są zgodni z podpisywaniem SMB i podczas próby nawiązania połączenia z zasobem sieciowym otrzymają następujący komunikat o błędzie:

     - Błąd -36 We/Wy

     Zainstaluj zaktualizowane oprogramowanie, jeśli jest dostępne. W przeciwnym razie wyłącz podpisywanie SMB na kontrolerach domeny systemu Windows Server 2003. Aby uzyskać informacje na temat wyłączania podpisywania SMB, zobacz sekcję Aby wyłączyć podpisywanie SMB na końcu tego kroku.

   • Inni klienci SMB innych firm

     Niektórzy klienci SMB innych firm nie obsługują podpisywania SMB. Skontaktuj się z dostawcą protokołu SMB, aby sprawdzić, czy istnieje zaktualizowana wersja. W przeciwnym razie wyłącz podpisywanie SMB na kontrolerach domeny systemu Windows Server 2003.

   Aby wyłączyć podpisywanie SMB

   Jeśli nie można zainstalować aktualizacji oprogramowania na kontrolerach domeny z systemem Windows 95, Windows NT 4.0 lub innych klientach zainstalowanych przed wprowadzeniem systemu Windows Server 2003, tymczasowo wyłącz wymagania dotyczące podpisywania usługi SMB w zasady grupy, dopóki nie będzie można wdrożyć zaktualizowanego oprogramowania klienckiego.

   Możesz wyłączyć logowanie usługi SMB w następującym węźle domyślnych zasad kontrolerów domeny w jednostce organizacyjnej kontrolerów domeny: Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń\Serwer sieci firmy Microsoft:

   Podpisz cyfrowo komunikację (zawsze)

   Jeśli kontrolery domeny nie znajdują się w jednostce organizacyjnej kontrolera domeny, należy połączyć domyślny obiekt zasady grupy kontrolera domeny (GPO) ze wszystkimi jednostkami organizacyjnymi hostujymi kontrolery domeny systemu Windows 2000 lub Windows Server 2003. Możesz też skonfigurować logowanie usługi SMB do obiektu zasad grupy połączonego z tymi jednostkami organizacyjnymi.

2. Spis kontrolerów domeny znajdujących się w domenie i w lesie:

   1. Upewnij się, że wszystkie kontrolery domeny systemu Windows 2000 w lesie zainstalowały wszystkie odpowiednie poprawki i dodatki Service Pack.

      Firma Microsoft zaleca, aby wszystkie kontrolery domeny systemu Windows 2000 działały w systemach operacyjnych Windows 2000 z dodatkiem Service Pack 4 (SP4) lub nowszym. Jeśli nie możesz w pełni wdrożyć systemu Windows 2000 z dodatkiem SP4 lub nowszym, wszystkie kontrolery domeny systemu Windows 2000 muszą mieć plik Ntdsa.dll, którego sygnatura daty i wersja są późniejsze niż 4 czerwca 2001 i 5.0.2195.3673.

      Domyślnie narzędzia administracyjne usługi Active Directory na komputerach klienckich z systemem Windows 2000 SP4, Windows XP i Windows Server 2003 używają podpisywania protokołu Lightweight Directory Access Protocol (LDAP). Jeśli takie komputery korzystają (lub wracają do) uwierzytelniania NTLM podczas zdalnego administrowania kontrolerami domeny systemu Windows 2000, połączenie nie będzie działać. Aby rozwiązać ten problem, zdalnie administrowane kontrolery domeny powinny mieć zainstalowany co najmniej windows 2000 SP3. W przeciwnym razie należy wyłączyć podpisywanie protokołu LDAP na klientach, na których są uruchamiane narzędzia administracyjne.

      W następujących scenariuszach używane jest uwierzytelnianie NTLM:

      • Zarządzasz kontrolerami domeny systemu Windows 2000 znajdującymi się w lesie zewnętrznym połączonym przez zaufanie NTLM (inne niż Kerberos).
      • Przystawki programu Microsoft Management Console (MMC) są skoncentrowane na określonym kontrolerze domeny, do którego odwołuje się jego adres IP. Na przykład kliknij przycisk Start, kliknij przycisk Uruchom, a następnie wpisz następujące polecenie: dsa.msc /server=ipaddress

      Aby określić system operacyjny i poziom poprawek dodatku Service Pack kontrolerów domeny usługi Active Directory w domenie usługi Active Directory, zainstaluj wersję systemu Windows Server 2003 Repadmin.exe na komputerze członkowskim systemu Windows XP Professional lub Windows Server 2003 w lesie, a następnie uruchom następujące repadmin polecenie względem kontrolera domeny w każdej domenie w lesie:

      >repadmin /showattr <name of the domain controller that is in the target domain> ncobj:domain: /filter:"(&(objectCategory=computer)(primaryGroupID=516))" /subtree /atts:operatingSystem,operatingSystemVersion,operatingSystemServicePack
      
      DN: CN=NA-DC-01,organizational unit=Domain Controllers,DC=company,DC=com
       1> operatingSystem: Windows Server 2003
       1> operatingSystemVersion: 5.2 (3718)
      DN: CN=NA-DC-02,organizational unit=Domain Controllers,DC=company,DC=com
       1> operatingSystem: Windows 2000 Server
       1> operatingSystemVersion: 5.0 (2195)
       1> operatingSystemServicePack: Service Pack 1
      

      Uwaga

      Atrybuty kontrolera domeny nie śledzą instalacji poszczególnych poprawek.

   2. Sprawdź kompleksową replikację usługi Active Directory w całym lesie.

      Sprawdź, czy każdy kontroler domeny w uaktualniony las replikuje wszystkie swoje lokalnie przechowywane konteksty nazewnictwa z partnerami spójnie z harmonogramem, który definiują łącza lokacji lub obiekty połączeń. Użyj wersji systemu Windows Server 2003 Repadmin.exe na komputerze członkowskim z systemem Windows XP lub Windows Server 2003 w lesie z następującymi argumentami: Wszystkie kontrolery domeny w lesie muszą replikować usługę Active Directory bez błędu, a wartości w kolumnie "Największa delta" danych wyjściowych repadmin nie powinny być znacznie większe niż częstotliwość replikacji w odpowiednich łączach lokacji lub obiektach połączenia używanych przez daną domenę docelową Kontrolera.

      Rozwiąż wszystkie błędy replikacji między kontrolerami domeny, których nie można wykonać replikacji przychodzącej w ciągu mniejszej niż liczba dni okresu istnienia reliktu (TSL) (domyślnie 60 dni). Jeśli nie można wykonać replikacji w celu działania, może być konieczne wymuszone obniżenie poziomu kontrolerów domeny i usunięcie ich z lasu przy użyciu polecenia czyszczenia metadanych Ntdsutil, a następnie podwyższenie poziomu ich z powrotem do lasu. Możesz użyć wymuszonej degradacji, aby zapisać zarówno instalację systemu operacyjnego, jak i programy znajdujące się na oddzielonym kontrolerze domeny. Aby uzyskać więcej informacji na temat usuwania oddzielonych kontrolerów domeny systemu Windows 2000 z ich domeny, kliknij następujący numer artykułu, aby wyświetlić artykuł w bazie wiedzy Microsoft Knowledge Base:

      216498 Jak usunąć dane w usłudze Active Directory po nieudanej degradacji kontrolera domeny

      Wykonaj tę akcję tylko w ostateczności, aby odzyskać instalację systemu operacyjnego i zainstalowanych programów. Utracisz nierozliczone obiekty i atrybuty na oddzielonych kontrolerach domeny, w tym użytkowników, komputery, relacje zaufania, ich hasła, grupy i członkostwa w grupach.

      Należy zachować ostrożność podczas próby rozwiązania błędów replikacji na kontrolerach domeny, które nie zreplikowały zmian ruchu przychodzącego dla określonej partycji usługi Active Directory przez większą niż liczba dni w czasie reliktu . W takim przypadku można reanimować obiekty, które zostały usunięte na jednym kontrolerze domeny, ale dla których partnerzy replikacji bezpośredniej lub przechodniej nigdy nie otrzymali usunięcia w ciągu ostatnich 60 dni.

      Rozważ usunięcie wszelkich obiektów, które znajdują się na kontrolerach domeny, które nie wykonały replikacji przychodzącej w ciągu ostatnich 60 dni. Alternatywnie można wymusić obniżenie poziomu kontrolerów domeny, które nie przeprowadziły żadnej replikacji przychodzącej na danej partycji w ciągu kilku dni okresu istnienia reliktu i usunąć pozostałe metadane z lasu usługi Active Directory przy użyciu narzędzia Ntdsutil i innych narzędzi. Aby uzyskać dodatkową pomoc, skontaktuj się z dostawcą pomocy technicznej lub usługą Microsoft PSS.

   3. Sprawdź, czy zawartość udziału Sysvol jest spójna.

      Sprawdź, czy część zasad grupy systemu plików jest spójna. Możesz użyć Gpotool.exe z zestawu zasobów, aby określić, czy istnieją niespójności w zasadach w domenie. Użyj narzędzia do sprawdzania kondycji z narzędzi obsługi systemu Windows Server 2003, aby określić, czy zestawy replik udziałów Sysvol działają poprawnie w każdej domenie.

      Jeśli zawartość udziału Sysvol jest niespójna, rozwiąż wszystkie niespójności.

   4. Użyj Dcdiag.exe z narzędzi pomocy technicznej, aby sprawdzić, czy wszystkie kontrolery domeny mają udostępnione udziały Netlogon i Sysvol. W tym celu wpisz następujące polecenie w wierszu polecenia:

      DCDIAG.EXE /e /test:frssysvol
      

   5. Spis ról operacji.

      Wzorce operacji schematu i infrastruktury służą do wprowadzania zmian schematu lasu i całej domeny w lesie i jego domenach, które są wprowadzane przez narzędzie adprep systemu Windows Server 2003. Sprawdź, czy kontroler domeny, który hostuje rolę schematu i rolę infrastruktury dla każdej domeny w lesie, znajduje się na kontrolerach domeny na żywo i czy każdy właściciel roli wykonał replikację przychodzącą na wszystkich partycjach od czasu ich ostatniego ponownego uruchomienia.

      Polecenie DCDIAG /test:FSMOCHECK może służyć do wyświetlania ról operacyjnych w całym lesie i całej domenie. Role wzorca operacji, które znajdują się na nieistniejących kontrolerach domeny, powinny zostać przejęte do kontrolera domeny w dobrej kondycji przy użyciu narzędzia NTDSUTIL. Role znajdujące się na kontrolerach domeny w złej kondycji powinny zostać przeniesione, jeśli to możliwe. W przeciwnym razie powinny zostać zajęte. Polecenie NETDOM QUERY FSMO nie identyfikuje ról FSMO, które znajdują się na usuniętych kontrolerach domeny.

      Sprawdź, czy usługa Active Directory wykonała replikację przychodzącą od czasu ostatniego uruchomienia. Replikację przychodzącą można zweryfikować za pomocą REPADMIN /SHOWREPS DCNAME polecenia , gdzie DCNAME jest nazwą komputera NetBIOS lub w pełni kwalifikowaną nazwą komputera kontrolera domeny. Aby uzyskać więcej informacji na temat wzorców operacji i ich umieszczania, kliknij następujące numery artykułów, aby wyświetlić artykuły w bazie wiedzy Microsoft Knowledge Base:

      197132 role FSMO usługi Active Directory w systemie Windows 2000

      223346 umieszczanie i optymalizacja usługi FSMO na kontrolerach domeny usługi Active Directory

   6. Przegląd dziennika zdarzeń

      Sprawdź dzienniki zdarzeń na wszystkich kontrolerach domeny pod kątem problematycznych zdarzeń. Dzienniki zdarzeń nie mogą zawierać komunikatów o poważnych zdarzeniach wskazujących na problem z żadnym z następujących procesów i składników:

      łączność fizyczna
      łączność sieciowa
      rejestracja nazwy
      rozpoznawanie nazw
      Uwierzytelniania
      Zasady grupy
      zasady zabezpieczeń
      podsystem dysku
      Schematu
      Topologii
      aparat replikacji

   7. Spis miejsca na dysku

      Wolumin hostujący plik bazy danych usługi Active Directory Ntds.dit musi mieć wolne miejsce równe co najmniej 15–20% rozmiaru pliku Ntds.dit. Wolumin hostujący plik dziennika usługi Active Directory musi również mieć wolne miejsce równe co najmniej 15–20% rozmiaru pliku Ntds.dit. Aby uzyskać więcej informacji na temat zwalniania dodatkowego miejsca na dysku, zobacz sekcję "Kontrolery domeny bez wystarczającej ilości miejsca na dysku" w tym artykule.

   8. Oczyszczanie DNS (opcjonalnie)

      Włącz oczyszczanie DNS w 7-dniowych odstępach czasu dla wszystkich serwerów DNS w lesie. Aby uzyskać najlepsze wyniki, wykonaj tę operację 61 lub więcej dni przed uaktualnieniem systemu operacyjnego. Zapewnia to demonowi oczyszczania DNS wystarczająco dużo czasu na odśmiecanie pamięci przestarzałych obiektów DNS, gdy defragmentacja w trybie offline jest wykonywana w pliku Ntds.dit.

   9. Wyłącz usługę serwera DLT (opcjonalnie)

      Usługa DLT Server jest wyłączona w nowych i uaktualnianych instalacjach kontrolerów domeny systemu Windows Server 2003. Jeśli nie jest używane śledzenie linków rozproszonych, można wyłączyć usługę serwera DLT na kontrolerach domeny systemu Windows 2000 i rozpocząć usuwanie obiektów DLT z każdej domeny w lesie. Aby uzyskać więcej informacji, zobacz sekcję "Zalecenia firmy Microsoft dotyczące śledzenia linków rozproszonych" w następującym artykule w bazie wiedzy Microsoft Knowledge Base: 312403 Distributed Link Tracking na kontrolerach domeny opartych na systemie Windows

   10. Kopia zapasowa stanu systemu

       Utwórz kopię zapasową stanu systemu co najmniej dwóch kontrolerów domeny w każdej domenie w lesie. Jeśli uaktualnienie nie zadziała, możesz użyć kopii zapasowej, aby odzyskać wszystkie domeny w lesie.

Microsoft Exchange 2000 w lasach systemu Windows 2000

Schemat programu Exchange 2000 definiuje trzy atrybuty inetOrgPerson z atrybutami LDAPDisplayNames niezgodnymi ze standardem Request for Comment (RFC): houseIdentifier, secretary i labeledURI.

Zestaw InetOrgPerson systemu Windows 2000 i polecenie Windows Server 2003 adprep definiują wersje skargI RFC tych samych trzech atrybutów o identycznych nazwach LDAPDisplayName, co wersje niezgodne z RFC.

Gdy polecenie systemu Windows Server 2003 adprep /forestprep jest uruchamiane bez skryptów naprawczych w lesie zawierającym zmiany schematu systemu Windows 2000 i Exchange 2000, atrybuty LDAPDisplayNames dla atrybutów houseIdentifier, labeledURI i secretary stają się zniekształcone. Atrybut staje się "zniekształcony", jeśli "Dup" lub inne unikatowe znaki zostaną dodane do początku nazwy atrybutu powodującego konflikt, tak aby obiekty i atrybuty w katalogu miały unikatowe nazwy.

Lasy usługi Active Directory nie są narażone na zniekształcone nazwy LDAPDisplayName dla tych atrybutów w następujących przypadkach:

• Jeśli uruchomisz polecenie systemu Windows Server 2003 adprep /forestprep w lesie zawierającym schemat systemu Windows 2000 przed dodaniem schematu programu Exchange 2000.
• Jeśli zainstalujesz schemat programu Exchange 2000 w lesie utworzonym, w którym kontroler domeny systemu Windows Server 2003 był pierwszym kontrolerem domeny w lesie.
• Jeśli dodasz zestaw inetOrgPerson systemu Windows 2000 do lasu zawierającego schemat systemu Windows 2000, a następnie zainstalujesz zmiany schematu programu Exchange 2000, a następnie uruchomisz polecenie systemu Windows Server 2003 adprep /forestprep .
• Jeśli dodasz schemat programu Exchange 2000 do istniejącego lasu systemu Windows 2000, przed uruchomieniem polecenia Windows Server 2003 uruchom program Exchange 2003 adprep /forestprep /forestprep.

Atrybuty zniekształcone będą występować w systemie Windows 2000 w następujących przypadkach:

• Jeśli dodasz wersje programu Exchange 2000 identyfikatora LABELEDURI, houseIdentifier i atrybuty sekretarza do lasu systemu Windows 2000 przed zainstalowaniem zestawu InetOrgPerson systemu Windows 2000.
• Przed uruchomieniem polecenia systemu Windows Server 2003 adprep /forestprep bez uprzedniego uruchomienia skryptów oczyszczania należy dodać wersje programu Exchange 2000 identyfikatora labeledURI, houseIdentifier i atrybuty sekretarza do lasu systemu Windows 2000. Plany akcji dla każdego scenariusza są następujące:

Scenariusz 1. Zmiany schematu programu Exchange 2000 są dodawane po uruchomieniu polecenia adprep /forestprep systemu Windows Server 2003

Jeśli zmiany schematu programu Exchange 2000 zostaną wprowadzone do lasu systemu Windows 2000 po uruchomieniu polecenia systemu Windows Server 2003 adprep /forestprep , oczyszczanie nie jest wymagane. Przejdź do sekcji "Przegląd: uaktualnianie kontrolerów domeny systemu Windows 2000 do systemu Windows Server 2003".

Scenariusz 2. Zmiany schematu programu Exchange 2000 zostaną zainstalowane przed poleceniem adprep /forestprep systemu Windows Server 2003

Jeśli zmiany schematu programu Exchange 2000 zostały już zainstalowane, ale nie uruchomiono polecenia systemu Windows Server 2003 adprep /forestprep , rozważ następujący plan działania:

1. Zaloguj się do konsoli wzorca operacji schematu przy użyciu konta należącego do grupy zabezpieczeń Administratorzy schematu.

2. Kliknij przycisk Start, kliknij przycisk Uruchom, wpisz notepad.exe w polu Otwórz , a następnie kliknij przycisk OK.

3. Skopiuj następujący tekst, w tym końcowy łącznik po "schemaUpdateNow: 1" do Notatnika.

   dn: CN=ms-Exch-Assistant-Name,CN=Schema,CN=Configuration,DC=X
   changetype: Modyfikowanie
   replace:LDAPDisplayName
   LDAPDisplayName: msExchAssistantName
   -

   dn: CN=ms-Exch-LabeledURI,CN=Schema,CN=Configuration,DC=X
   changetype: Modyfikowanie
   replace: LDAPDisplayName
   LDAPDisplayName: msExchLabeledURI
   -

   dn: CN=ms-Exch-House-Identifier,CN=Schema,CN=Configuration,DC=X
   changetype: Modyfikowanie
   replace: LDAPDisplayName
   LDAPDisplayName: msExchHouseIdentifier
   -

   Dn:
   changetype: Modyfikowanie
   dodaj: schemaUpdateNow
   schemaUpdateNow: 1
   -

4. Upewnij się, że na końcu każdego wiersza nie ma miejsca.

5. W menu Plik kliknij pozycję Zapisz. W oknie dialogowym Zapisz jako wykonaj następujące kroki:

   1. W polu Nazwa pliku wpisz następujące polecenie: \%userprofile%\InetOrgPersonPrevent.ldf
   2. W polu Zapisz jako typ kliknij pozycję Wszystkie pliki.
   3. W polu Kodowanie kliknij pozycję Unicode.
   4. Kliknij Zapisz.
   5. Zamknij Notatnik.

6. Uruchom skrypt InetOrgPersonPrevent.ldf.

   1. Kliknij przycisk Start, kliknij przycisk Uruchom, wpisz cmd w polu Otwórz , a następnie kliknij przycisk OK.

   2. W wierszu polecenia wpisz następujące polecenie, a następnie naciśnij klawisz ENTER: cd %userprofile%

   3. Wpisz następujące polecenie

   c:\documents and settings\%username%>ldifde -i -f inetorgpersonprevent.ldf -v -c DC=X "domain name path for forest root domain"
   

   Uwagi dotyczące składni:

   • DC=X jest stałą uwzględniającą wielkość liter.
   • Ścieżka nazwy domeny dla domeny głównej musi być ujęta w cudzysłów.

   Na przykład składnia polecenia dla lasu usługi Active Directory, którego domeną główną lasu jest TAILSPINTOYS.COM :

   c:\documents and settings\administrator>ldifde -i -f inetorgpersonprevent.ldf -v -c DC=X "dc=tailspintoys,dc=com"

   Uwaga

   Może być konieczne zmianę podklucza rejestru Dozwolona aktualizacja schematu , jeśli zostanie wyświetlony następujący komunikat o błędzie: Aktualizacja schematu nie jest dozwolona na tym kontrolerze domeny, ponieważ klucz rejestru nie jest ustawiony lub kontroler domeny nie jest właścicielem roli FSMO schematu.

7. Sprawdź, czy atrybuty LDAPDisplayNames dla atrybutów CN=ms-Exch-Assistant-Name, CN=ms-Exch-LabeledURI i CN=ms-Exch-House-Identifier w kontekście nazewnictwa schematu są teraz wyświetlane jako msExchAssistantName, msExchLabeledURI i msExchHouseIdentifier przed uruchomieniem poleceń systemu Windows Server 2003 adprep /forestprep .

8. Przejdź do sekcji "Przegląd: uaktualnianie kontrolerów domeny systemu Windows 2000 do systemu Windows Server 2003", adprep /forestprep aby uruchomić polecenia i /domainprep .

Scenariusz 3. Polecenie forestprep systemu Windows Server 2003 zostało uruchomione bez uprzedniego uruchomienia polecenia inetOrgPersonFix

Jeśli uruchomisz polecenie systemu Windows Server 2003 adprep /forestprep w lesie systemu Windows 2000 zawierającym zmiany schematu programu Exchange 2000, atrybuty LDAPDisplayName dla elementu houseIdentifier, secretary i labeledURI staną się zniekształcone. Aby zidentyfikować zniekształcone nazwy, użyj Ldp.exe, aby zlokalizować atrybuty, których dotyczy problem:

1. Zainstaluj Ldp.exe z folderu Support\Tools nośnika systemu Microsoft Windows 2000 lub Windows Server 2003.

2. Uruchom Ldp.exe z kontrolera domeny lub komputera członkowskiego w lesie.

   1. W menu Połączenie kliknij pozycję Połącz, pozostaw pole Serwer puste, wpisz 389 w polu Port , a następnie kliknij przycisk OK.
   2. W menu Połączenie kliknij pozycję Powiąż, pozostaw wszystkie pola puste, a następnie kliknij przycisk OK.

3. Zapisz ścieżkę nazwy wyróżniającą atrybutu SchemaNamingContext. Na przykład dla kontrolera domeny w lesie CORP.ADATUM.COM ścieżką nazwy wyróżnianej może być CN=Schema,CN=Configuration,DC=corp,DC=company,DC=com.

4. W menu Przeglądaj kliknij pozycję Wyszukaj.

5. Użyj następujących ustawień, aby skonfigurować okno dialogowe Wyszukiwanie :

   • Podstawowa nazwa DN: ścieżka nazwy wyróżniania kontekstu nazewnictwa schematu, która jest identyfikowana w kroku 3.
   • Filtr: (ldapdisplayname=dup*)
   • Zakres: poddrzewo

6. Mangled houseIdentifier, secretary, and labeledURI attributes have LDAPDisplayName attributes that are similar to the following format:

   LDAPDisplayName: DUP-labeledURI-9591bbd3-d2a6-4669-afda-48af7c35507d;
   LDAPDisplayName: DUP-secretary-c5a1240d-70c0-455c-9906-a4070602f85f
   LDAPDisplayName: DUP-houseIdentifier-354b0ca8-9b6c-4722-aae7-e66906cc9eef

7. Jeśli LDAPDisplayNames dla labeledURI, secretary i houseIdentifier zostały zniekształcone w kroku 6, uruchom skrypt InetOrgPersonFix.ldf systemu Windows Server 2003, aby odzyskać, a następnie przejdź do sekcji "Uaktualnianie kontrolerów domeny systemu Windows 2000 z Winnt32.exe".

   1. Utwórz folder o nazwie %Systemdrive%\IOP, a następnie wyodrębnij do tego folderu plik InetOrgPersonFix.ldf.

   2. W wierszu polecenia wpisz cd %systemdrive%\iop.

   3. Wyodrębnij plik InetOrgPersonFix.ldf z pliku Support.cab znajdującego się w folderze Support\Tools nośnika instalacyjnego systemu Windows Server 2003.

   4. W konsoli wzorca operacji schematu załaduj plik InetOrgPersonFix.ldf przy użyciu Ldifde.exe, aby poprawić atrybut LdapDisplayName atrybutów houseIdentifier, secretary i labeledURI. W tym celu wpisz następujące polecenie, gdzie <X> jest stałą uwzględniającą wielkość liter, a <ścieżka dn dla domeny> głównej lasu jest ścieżką nazwy domeny dla domeny głównej lasu:

      C:\IOP>ldifde -i -f inetorgpersonfix.ldf -v -c DC=X "domain name path for forest root domain"
      

      Uwagi dotyczące składni:

      • DC=X jest stałą uwzględniającą wielkość liter.
      • Ścieżka nazwy domeny dla domeny głównej lasu musi być ujęta w cudzysłów.

8. Sprawdź, czy atrybuty houseIdentifier, secretary i labeledURI w kontekście nazewnictwa schematu nie są "zniekształcone" przed zainstalowaniem programu Exchange 2000.

Omówienie: Uaktualnianie kontrolerów domeny systemu Windows 2000 do systemu Windows Server 2003

Polecenie systemu Windows Server 2003 adprep uruchamiane z folderu \I386 nośnika systemu Windows Server 2003 przygotowuje las systemu Windows 2000 i jego domeny do dodania kontrolerów domeny systemu Windows Server 2003. Polecenie systemu Windows Server 2003 adprep /forestprep dodaje następujące funkcje:

• Ulepszone domyślne deskryptory zabezpieczeń dla klas obiektów

• Nowe atrybuty użytkownika i grupy

• Nowe obiekty i atrybuty schematu, takie jak inetOrgPersonThe adprep, obsługują dwa argumenty wiersza polecenia:

  • adprep /forestprep: uruchamia operacje uaktualniania lasu.
  • dprep /domainprep: uruchamia operacje uaktualniania domeny.

Polecenie adprep /forestprep to jednorazowa operacja wykonywana na wzorcu operacji schematu (FSMO) lasu. Przed uruchomieniem adprep /domainprep w tej domenie operacja forestprep musi zostać ukończona i zreplikowana do wzorca infrastruktury każdej domeny.

Polecenie adprep /domainprep to jednorazowa operacja uruchamiana na kontrolerze domeny głównej operacji infrastruktury każdej domeny w lesie, która będzie hostować nowe lub uaktualnione kontrolery domeny systemu Windows Server 2003. Polecenie adprep /domainprep sprawdza, czy zmiany z forestprep zostały zreplikowane w partycji domeny, a następnie wprowadza własne zmiany w partycji domeny i zasad grupy w udziale Sysvol.

Nie można wykonać żadnej z następujących akcji, chyba że operacje /forestprep i /domainprep zostały ukończone i zreplikowane do wszystkich kontrolerów domeny w tej domenie:

• Uaktualnij kontrolery domeny systemu Windows 2000 do kontrolerów domeny systemu Windows Server 2003 przy użyciu Winnt32.exe.

Polecenia adprep /forestprep i adprep /domainprep nie dodają atrybutów do zestawu atrybutów częściowych wykazu globalnego ani nie powodują pełnej synchronizacji wykazu globalnego. Wersja RTM programu adprep /domainprep powoduje pełną synchronizację folderu \Policies w drzewie Sysvol. Nawet w przypadku kilkukrotnego uruchomienia polecenia forestprep i domainprep ukończone operacje są wykonywane tylko raz.

Po zmianie i adprep /forestprepadprep /domainprep całkowitej replikacji można uaktualnić kontrolery domeny systemu Windows 2000 do systemu Windows Server 2003, uruchamiając Winnt32.exe z folderu \I386 nośnika systemu Windows Server 2003. Ponadto można dodać nowe kontrolery domeny systemu Windows Server 2003 do domeny przy użyciu Dcpromo.exe.

Uaktualnianie lasu za pomocą polecenia adprep /forestprep

Aby przygotować las i domeny systemu Windows 2000 do akceptowania kontrolerów domeny systemu Windows Server 2003, wykonaj następujące kroki najpierw w środowisku laboratoryjnym, a następnie w środowisku produkcyjnym:

1. Upewnij się, że wszystkie operacje w fazie "Spis lasu" zostały wykonane ze szczególnym uwzględnieniem następujących elementów:

   1. Utworzono kopie zapasowe stanu systemu.
   2. Wszystkie kontrolery domeny systemu Windows 2000 w lesie zainstalowały wszystkie odpowiednie poprawki i dodatki Service Pack.
   3. W całym lesie odbywa się kompleksowa replikacja usługi Active Directory
   4. Usługa FRS poprawnie replikuje zasady systemu plików w każdej domenie.

2. Zaloguj się do konsoli wzorca operacji schematu przy użyciu konta należącego do grupy zabezpieczeń Administratorzy schematu.

3. Sprawdź, czy schemat FSMO wykonał replikację przychodzącą partycji schematu, wpisując następujące polecenie w wierszu polecenia systemu Windows NT: repadmin /showreps

   (polecenie repadmin jest instalowane przez folder Support\Tools usługi Active Directory).

4. Wczesna dokumentacja firmy Microsoft zaleca wyizolowanie wzorca operacji schematu w sieci prywatnej przed uruchomieniem programu adprep /forestprep. Środowisko rzeczywiste sugeruje, że ten krok nie jest konieczny i może spowodować odrzucenie zmian schematu przez wzorzec operacji schematu po ponownym uruchomieniu w sieci prywatnej.

5. Uruchom polecenie adprep w wzorcu operacji schematu. Aby to zrobić, kliknij przycisk Start, kliknij przycisk Uruchom, wpisz cmd, a następnie kliknij przycisk OK. W wzorcu operacji schematu wpisz następujące polecenie:

    X:\I386\adprep /forestprep
   

   where X:\I386\ to ścieżka nośnika instalacyjnego systemu Windows Server 2003. To polecenie uruchamia uaktualnienie schematu dla całego lasu.

   Uwaga

   Zdarzenia o identyfikatorze zdarzenia 1153, które są rejestrowane w dzienniku zdarzeń usługi katalogowej, takie jak poniższy przykład, mogą być ignorowane:

6. Sprawdź, adprep /forestprep czy polecenie zostało pomyślnie uruchomione w wzorcu operacji schematu. W tym celu w konsoli wzorca operacji schematu sprawdź następujące elementy: — Polecenie zostało ukończone adprep /forestprep bez błędu. — Obiekt CN=Windows2003Update jest zapisywany w obszarze CN=ForestUpdates,CN=Configuration,DC= forest_root_domain. Zarejestruj wartość atrybutu Revision. — (Opcjonalnie) Wersja schematu została zwiększona do wersji 30. Aby to zrobić, zobacz atrybut ObjectVersion w obszarze CN=Schema,CN=Configuration,DC= forest_root_domain. Jeśli adprep /forestprep nie zostanie uruchomiony, sprawdź następujące elementy:

   • Po uruchomieniu określono adprep w pełni kwalifikowaną ścieżkę dla Adprep.exe znajdującą się w folderze \I386 nośnika instalacyjnego. W tym celu wpisz następujące polecenie:

     x:\i386\adprep /forestprep
     

     gdzie x to dysk hostujący nośnik instalacyjny.

   • Zalogowany użytkownik, który uruchamia narzędzie adprep, ma członkostwo w grupie zabezpieczeń Administratorzy schematu. Aby to sprawdzić, użyj whoami /all polecenia .

   • Jeśli adprep nadal nie działa, wyświetl plik Adprep.log w folderze %systemroot%\System32\Debug\Adprep\Logs\Latest_log .

7. Jeśli replikacja wychodząca w wzorcu operacji schematu została wyłączona w kroku 4, włącz replikację, aby zmiany schematu wprowadzone przez adprep /forestprep program mogły być propagowane. Aby to zrobić, wykonaj następujące kroki:

   1. Kliknij przycisk Start, kliknij przycisk Uruchom, wpisz cmd, a następnie kliknij przycisk OK.
   2. Wpisz następujące polecenie, a następnie naciśnij klawisz ENTER: repadmin /options -DISABLE_OUTBOUND_REPL

8. Sprawdź, adprep /forestprep czy zmiany zostały zreplikowane na wszystkich kontrolerach domeny w lesie. Warto monitorować następujące atrybuty:

   1. Zwiększanie wersji schematu
   2. CN =Windows2003Update, CN=ForestUpdates,CN=Configuration,DC= forest_root_domain lub CN=Operations,CN=DomainUpdates,CN=System,DC= forest_root_domain i identyfikatory GUID operacji, w których zostały zreplikowane.
   3. Wyszukaj nowe klasy schematów, obiekty, atrybuty lub inne wprowadzone zmiany adprep /forestprep , takie jak inetOrgPerson. Wyświetl pliki Sch XX.ldf (gdzie XX to liczba z zakresu od 14 do 30) w folderze %systemroot%\System32, aby określić, jakie powinny być obiekty i atrybuty. Na przykład inetOrgPerson jest zdefiniowany w pliku Sch18.ldf.

9. Wyszukaj zniekształcone elementy LDAPDisplayNames. Jeśli znajdziesz zniekształcone nazwy, przejdź do scenariusza 3 tego samego artykułu.

10. Zaloguj się do konsoli wzorca operacji schematu przy użyciu konta należącego do grupy administratorzy schematu grupy grupy lasu, który hostuje wzorca operacji schematu.

Uaktualnianie domeny za pomocą polecenia adprep /domainprep

Uruchom adprep /domainprep polecenie po zmianie /forestprep w pełni replikować do głównego kontrolera domeny infrastruktury w każdej domenie, która będzie hostować kontrolery domeny systemu Windows Server 2003. Aby tak zrobić, wykonaj następujące kroki:

1. Zidentyfikuj kontroler domeny głównej infrastruktury w uaktualnianej domenie, a następnie zaloguj się przy użyciu konta należącego do grupy zabezpieczeń Administratorzy domeny w uaktualnianej domenie.

   Uwaga

   Administrator przedsiębiorstwa może nie być członkiem grupy zabezpieczeń Administratorzy domeny w domenach podrzędnych lasu.

2. Uruchom adprep /domainprep polecenie w wzorcu infrastruktury. Aby to zrobić, kliknij przycisk Start, kliknij przycisk Uruchom, wpisz cmd, a następnie w węższej infrastruktury wpisz następujące polecenie: X:\I386\adprep /domainprep gdzie X:\I386\ jest ścieżką nośnika instalacyjnego systemu Windows Server 2003. To polecenie uruchamia zmiany w całej domenie w domenie docelowej.

   Uwaga

   Polecenie adprep /domainprep modyfikuje uprawnienia plików w udziale Sysvol. Te modyfikacje powodują pełną synchronizację plików w tym drzewie katalogów.

3. Sprawdź, czy pomyślnie ukończono tworzenie domeny. W tym celu sprawdź następujące elementy:

   • Polecenie zostało ukończone adprep /domainprep bez błędu.
   • Cn =Windows2003Update,CN=DomainUpdates,CN=System,DC= ścieżka dn domeny, którą uaktualniasz existsIf adprep /domainprep nie jest uruchamiany, sprawdź następujące elementy:
   • Zalogowany użytkownik, który działa adprep , ma członkostwo w grupie zabezpieczeń Administratorzy domeny w domenie, którą uaktualniasz. W tym celu użyj whoami /all polecenia .
   • W pełni kwalifikowana ścieżka dla Adprep.exe znajdująca się w katalogu \I386 nośnika instalacyjnego została określona podczas uruchamiania adprepprogramu . W tym celu w wierszu polecenia wpisz następujące polecenie: x :\i386\adprep /forestprep gdzie x jest dyskiem hostującym nośnik instalacyjny.
   • Jeśli adprep nadal nie działa, wyświetl plik Adprep.log w folderze %systemroot%\System32\Debug\Adprep\Logs\ Latest_log .

4. Sprawdź, adprep /domainprep czy zmiany zostały zreplikowane. W tym celu w przypadku pozostałych kontrolerów domeny w domenie sprawdź następujące elementy: — ścieżka CN=Windows2003Update,CN=DomainUpdates,CN=System,DC= ścieżka dn domeny, którą uaktualniasz , istnieje, a wartość atrybutu Poprawka jest zgodna z wartością tego samego atrybutu w wzorcu infrastruktury domeny. - (Opcjonalnie) Wyszukaj obiekty, atrybuty lub zmiany listy kontroli dostępu (ACL), które adprep /domainprep zostały dodane. Powtórz kroki 1–4 w wzorcu infrastruktury pozostałych domen zbiorczo lub podczas dodawania lub uaktualniania kontrolerów domeny w tych domenach do systemu Windows Server 2003. Teraz możesz podwyższyć poziom nowych komputerów z systemem Windows Server 2003 do lasu przy użyciu modelu DCPROMO. Możesz też uaktualnić istniejące kontrolery domeny systemu Windows 2000 do systemu Windows Server 2003 przy użyciu WINNT32.EXE.

Uaktualnianie kontrolerów domeny systemu Windows 2000 przy użyciu Winnt32.exe

Po zmianie /forestprep i /domainprep całkowicie replikować i podjęto decyzję o współdziałaniu zabezpieczeń z klientami starszej wersji, można uaktualnić kontrolery domeny systemu Windows 2000 do systemu Windows Server 2003 i dodać nowe kontrolery domeny systemu Windows Server 2003 do domeny.

Następujące komputery muszą być jednymi z pierwszych kontrolerów domeny z systemem Windows Server 2003 w lesie w każdej domenie:

• Wzorzec nazewnictwa domeny w lesie, dzięki czemu można utworzyć domyślne partycje programu DNS.
• Podstawowy kontroler domeny domeny głównej lasu, dzięki czemu jednostki zabezpieczeń dla całego przedsiębiorstwa, które dodaje forestprep systemu Windows Server 2003, stają się widoczne w edytorze listy ACL.
• Podstawowy kontroler domeny w każdej domenie niebędącej domeną główną, dzięki czemu można utworzyć nowe jednostki zabezpieczeń systemu Windows 2003 specyficzne dla domeny. W tym celu użyj WINNT32, aby uaktualnić istniejące kontrolery domeny, które hostują żądaną rolę operacyjną. Możesz też przenieść rolę do nowo promowanego kontrolera domeny systemu Windows Server 2003. Wykonaj następujące kroki dla każdego kontrolera domeny systemu Windows 2000 uaktualnianych do systemu Windows Server 2003 przy użyciu WINNT32 i dla każdego promowanej grupy roboczej lub komputera członkowskiego z systemem Windows Server 2003:

1. Przed użyciem WINNT32 do uaktualnienia komputerów członkowskich systemu Windows 2000 i kontrolerów domeny usuń narzędzia administracyjne systemu Windows 2000. W tym celu użyj narzędzia Dodaj/Usuń programy w Panel sterowania. (Tylko uaktualnienia systemu Windows 2000).

2. Zainstaluj wszystkie pliki poprawek lub inne poprawki, które firma Microsoft lub administrator określają jako ważne.

3. Sprawdź każdy kontroler domeny pod kątem możliwych problemów z uaktualnianiem. W tym celu uruchom następujące polecenie z folderu \I386 nośnika instalacyjnego: winnt32.exe /checkupgradeonly Rozwiąż wszelkie problemy, które identyfikuje sprawdzanie zgodności.

4. Uruchom WINNT32.EXE z folderu \I386 nośnika instalacyjnego i uruchom ponownie uaktualniony kontroler domeny 2003.

5. W razie potrzeby obniż ustawienia zabezpieczeń dla klientów z wcześniejszą wersją.

   Jeśli klienci systemu Windows NT 4.0 nie mają zainstalowanych klientów NT 4.0 z dodatkiem SP6 lub Windows 95, nie mają zainstalowanego klienta usługi katalogowej, wyłącz podpisywanie usługi SMB w zasadach Domyślne kontrolery domeny w jednostce organizacyjnej Kontrolery domeny, a następnie połącz te zasady ze wszystkimi jednostkami organizacyjnymi, które hostują kontrolery domeny. Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń\Microsoft Network Server: Podpisz cyfrowo komunikację (zawsze)

6. Sprawdź kondycję uaktualnienia przy użyciu następujących punktów danych:

   • Uaktualnienie zostało pomyślnie ukończone.
   • Poprawki dodane do instalacji pomyślnie zastąpiły oryginalne pliki binarne.
   • Replikacja ruchu przychodzącego i wychodzącego usługi Active Directory występuje dla wszystkich kontekstów nazewnictwa przechowywanych przez kontroler domeny.
   • Istnieją udziały Netlogon i Sysvol.
   • Dziennik zdarzeń wskazuje, że kontroler domeny i jego usługi są w dobrej kondycji.

   Uwaga

   Po uaktualnieniu może zostać wyświetlony następujący komunikat o zdarzeniu: Możesz bezpiecznie zignorować ten komunikat o zdarzeniu.

7. Zainstaluj narzędzia administracyjne systemu Windows Server 2003 (tylko uaktualnienia systemu Windows 2000 i kontrolery inne niż kontrolery domeny systemu Windows Server 2003). Adminpak.msi znajduje się w folderze \I386 dysku CD-ROM systemu Windows Server 2003. Nośnik systemu Windows Server 2003 zawiera zaktualizowane narzędzia obsługi w pliku Support\Tools\Suptools.msi. Upewnij się, że plik został ponownie zainstalowany.

8. Utwórz nowe kopie zapasowe co najmniej dwóch pierwszych kontrolerów domeny systemu Windows 2000 uaktualnianych do systemu Windows Server 2003 w każdej domenie w lesie. Znajdź kopie zapasowe komputerów z systemem Windows 2000 uaktualnionych do systemu Windows Server 2003 w zablokowanym magazynie, aby nie używać ich przypadkowo do przywrócenia kontrolera domeny z systemem Windows Server 2003.

9. (Opcjonalnie) Wykonaj defragmentację bazy danych usługi Active Directory w trybie offline na kontrolerach domeny uaktualnionej do systemu Windows Server 2003 po ukończeniu magazynu pojedynczego wystąpienia (SIS) (tylko uaktualnienia systemu Windows 2000).

   Usługa SIS przegląda istniejące uprawnienia do obiektów przechowywanych w usłudze Active Directory, a następnie stosuje bardziej wydajny deskryptor zabezpieczeń dla tych obiektów. System SIS jest uruchamiany automatycznie (identyfikowany przez zdarzenie 1953 w dzienniku zdarzeń usługi katalogowej), gdy uaktualnione kontrolery domeny po raz pierwszy uruchamiają system operacyjny Windows Server 2003. Ulepszony magazyn deskryptora zabezpieczeń jest korzystny tylko wtedy, gdy rejestrujesz komunikat zdarzeń o identyfikatorze zdarzenia 1966 w dzienniku zdarzeń usługi katalogowej: ten komunikat o zdarzeniu wskazuje, że operacja magazynu pojedynczego wystąpienia została ukończona i służy jako kolejka administratora do wykonywania defragmentacji ntds.dit w trybie offline przy użyciu NTDSUTIL.EXE.

   Defragmentacja trybu offline może zmniejszyć rozmiar pliku Ntds.dit systemu Windows 2000 nawet o 40%, zwiększyć wydajność usługi Active Directory i zaktualizować strony w bazie danych w celu zapewnienia wydajniejszego przechowywania atrybutów usługi Link Valued. Aby uzyskać więcej informacji na temat defragmentacji bazy danych usługi Active Directory, kliknij następujący numer artykułu, aby wyświetlić artykuł w bazie wiedzy Microsoft Knowledge Base:

   232122 wykonywania defragmentacji bazy danych usługi Active Directory w trybie offline

10. Zbadaj usługę serwera DLT. Kontrolery domeny systemu Windows Server 2003 wyłączają usługę serwera DLT na nowych i uaktualnianych instalacjach. Jeśli klienci systemu Windows 2000 lub Windows XP w organizacji korzystają z usługi DLT Server, użyj zasady grupy, aby włączyć usługę DLT Server na nowych lub uaktualnianych kontrolerach domeny systemu Windows Server 2003. W przeciwnym razie przyrostowe usuwanie rozproszonych obiektów śledzenia linków z usługi Active Directory. Aby uzyskać więcej informacji, kliknij następujący numer artykułu, aby wyświetlić artykuł w bazie wiedzy Microsoft Knowledge Base:

    312403 śledzenia linków rozproszonych na kontrolerach domeny opartych na systemie Windows

    Jeśli zbiorczo usuniesz tysiące obiektów DLT lub innych obiektów, replikacja może zostać zablokowana z powodu braku magazynu wersji. Zaczekaj na liczbę dni (domyślnie 60 dni) po usunięciu ostatniego obiektu DLT i zakończeniu odzyskiwania pamięci, a następnie użyj NTDSUTIL.EXE, aby wykonać defragmentację pliku Ntds.dit w trybie offline.

11. Skonfiguruj strukturę jednostek organizacyjnych najlepszych rozwiązań. Firma Microsoft zaleca administratorom aktywne wdrażanie struktury jednostki organizacyjnej najlepszych rozwiązań we wszystkich domenach usługi Active Directory, a po uaktualnieniu lub wdrożeniu kontrolerów domeny systemu Windows Server 2003 w trybie domeny systemu Windows przekieruj domyślne kontenery używane przez interfejsy API starszej wersji do tworzenia użytkowników, komputerów i grup do kontenera jednostki organizacyjnej określonego przez administratora.

    Aby uzyskać dodatkowe informacje na temat struktury jednostki organizacyjnej najlepszych rozwiązań, zobacz sekcję "Tworzenie projektu jednostki organizacyjnej" w oficjalnym dokumencie "Best Practice Active Directory Design for Managing Windows Networks". Aby wyświetlić oficjalny dokument, odwiedź następującą witrynę sieci Web firmy Microsoft: https://technet.microsoft.com/library/bb727085.aspx Aby uzyskać więcej informacji na temat zmiany domyślnego kontenera, w którym znajdują się użytkownicy, komputery i grupy tworzone przez interfejsy API starszej wersji, kliknij następujący numer artykułu, aby wyświetlić artykuł w bazie wiedzy Microsoft Knowledge Base:

    324949 Przekierowywanie kontenerów użytkowników i komputerów w domenach systemu Windows Server 2003

12. Powtórz kroki od 1 do 10 zgodnie z wymaganiami dla każdego nowego lub uaktualnianego kontrolera domeny systemu Windows Server 2003 w lesie i krok 11 (struktura jednostki organizacyjnej najlepszych rozwiązań) dla każdej domeny usługi Active Directory.

    Podsumowanie:

    • Uaktualnij kontrolery domeny systemu Windows 2000 za pomocą WINNT32 (z nośnika instalacyjnego strumienia strumieniowego, jeśli jest używany)
    • Sprawdź, czy pliki poprawek zostały zainstalowane na uaktualnionych komputerach
    • Zainstaluj wszelkie wymagane poprawki, które nie są zawarte na nośniku instalacyjnym
    • Sprawdź kondycję nowych lub uaktualnianych serwerów (AD, FRS, Zasady itd.)
    • Odczekaj 24 godziny po uaktualnieniu systemu operacyjnego, a następnie defragmentuj tryb offline (opcjonalnie)
    • Uruchom usługę DLT, jeśli musisz, w przeciwnym razie usuń obiekty DLT przy użyciu q312403 / q315229 po wycofaniu domeny w całym lesie
    • Wykonaj defragmentację trybu offline przez ponad 60 dni (okres istnienia reliktu i odzyskiwanie pamięci # dni) po usunięciu obiektów DLT

Uaktualnienia na sucho w środowisku laboratoryjnym

Przed uaktualnieniem kontrolerów domeny systemu Windows do produkcyjnej domeny systemu Windows 2000 zweryfikuj i uściślij proces uaktualniania w laboratorium. Jeśli uaktualnienie środowiska laboratoryjnego, które dokładnie odzwierciedla las produkcyjny, działa sprawnie, można oczekiwać podobnych wyników w środowiskach produkcyjnych. W przypadku złożonych środowisk środowisko laboratoryjne musi odzwierciedlać środowisko produkcyjne w następujących obszarach:

• Sprzęt: typ komputera, rozmiar pamięci, umieszczanie pliku strony, rozmiar dysku, wydajność i konfiguracja raid, poziomy poprawek systemu BIOS i oprogramowania układowego
• Oprogramowanie: wersje systemu operacyjnego klienta i serwera, aplikacje klienckie i serwerowe, wersje dodatku Service Pack, poprawki, zmiany schematu, grupy zabezpieczeń, członkostwo w grupach, uprawnienia, ustawienia zasad, typ liczby obiektów i lokalizacja, współdziałanie wersji
• Infrastruktura sieciowa: WINS, DHCP, szybkość połączenia, dostępna przepustowość
• Ładowanie: symulatory ładowania mogą symulować zmiany haseł, tworzenie obiektów, replikację usługi Active Directory, uwierzytelnianie logowania i inne zdarzenia. Celem nie jest odtworzenie skali środowiska produkcyjnego. Zamiast tego celem jest odnalezienie kosztów i częstotliwości typowych operacji oraz interpolacja ich skutków (zapytań dotyczących nazw, ruchu replikacji, przepustowości sieci i użycia procesora) w środowisku produkcyjnym na podstawie bieżących i przyszłych wymagań.
• Administracja: wykonywane zadania, używane narzędzia, używane systemy operacyjne
• Operacja: pojemność, współdziałanie
• Miejsce na dysku: zwróć uwagę na początkowy, szczytowy i końcowy rozmiar systemu operacyjnego, ntds.dit i plików dziennika usługi Active Directory w wykazie globalnym i kontrolerach domeny wykazu nieglosowego w każdej domenie po każdej z następujących operacji:
  1. adprep /forestprep
  2. adprep /domainprep
  3. Uaktualnianie kontrolerów domeny systemu Windows 2000 do systemu Windows Server 2003
  4. Wykonywanie defragmentacji w trybie offline po uaktualnieniu wersji

Zrozumienie procesu uaktualniania i złożoności środowiska w połączeniu ze szczegółową obserwacją określa tempo i stopień ostrożności, jakie należy zastosować do uaktualniania środowisk produkcyjnych. Środowiska z niewielką liczbą kontrolerów domeny i obiektów usługi Active Directory połączonych za pośrednictwem łączy sieci rozległej o wysokiej dostępności (WAN) mogą zostać uaktualnione w ciągu zaledwie kilku godzin. Może być konieczne bardziej zadbanie o wdrożenia w przedsiębiorstwie, które mają setki kontrolerów domeny lub setki tysięcy obiektów usługi Active Directory. W takich przypadkach może być konieczne przeprowadzenie uaktualnienia w ciągu kilku tygodni lub miesięcy.

Użyj uaktualnień "Dry-run" w laboratorium, aby wykonać następujące zadania:

• Zapoznaj się z wewnętrznym działaniem procesu uaktualniania i powiązanymi czynnikami ryzyka.
• Uwidacznianie potencjalnych obszarów problemów dla procesu wdrażania w środowisku.
• Przetestuj i opracuj plany powrotu na wypadek, gdy uaktualnienie nie powiedzie się.
• Zdefiniuj odpowiedni poziom szczegółowości, który ma zostać zastosowany do procesu uaktualniania dla domeny produkcyjnej.

Kontrolery domeny bez wystarczającej ilości miejsca na dysku

Na kontrolerach domeny z niewystarczającą ilością miejsca na dysku wykonaj następujące kroki, aby zwolnić dodatkowe miejsce na dysku na woluminie hostującym pliki Ntds.dit i Log:

1. Usuń nieużywane pliki, w tym *.tmp pliki lub buforowane pliki używane przez przeglądarki internetowe. W tym celu wpisz następujące polecenia (naciśnij klawisz ENTER po każdym poleceniu):

   cd /d drive\  
   del *.tmp /s  
   

2. Usuń wszystkie pliki zrzutu użytkownika lub pamięci. W tym celu wpisz następujące polecenia (naciśnij klawisz ENTER po każdym poleceniu):

   cd /d drive\  
   del *.dmp /s  
   

3. Tymczasowo usuń lub przenieś pliki, do których można uzyskać dostęp z innych serwerów, lub z łatwością zainstaluj je ponownie. Pliki, które można usunąć i łatwo zastąpić, obejmują adminpak, narzędzia pomocy technicznej i wszystkie pliki w folderze %systemroot%\System32\Dllcache.

4. Usuń stare lub nieużywane profile użytkowników. W tym celu kliknij przycisk Start, kliknij prawym przyciskiem myszy pozycję Mój komputer, kliknij pozycję Właściwości, kliknij kartę Profile użytkowników , a następnie usuń wszystkie profile dla starych i nieużywanych kont. Nie usuwaj żadnych profilów, które mogą być przeznaczone dla kont usług.

5. Usuń symbole w folderze %systemroot%\Symbols. W tym celu wpisz następujące polecenie: rd /s %systemroot%\symbols W zależności od tego, czy serwery mają pełny, czy mały zestaw symboli, może to zyskać od około 70 MB do 600 MB.

6. Wykonaj defragmentację w trybie offline. Defragmentacja pliku Ntds.dit w trybie offline może zwolnić miejsce, ale tymczasowo wymaga podwójnego miejsca w bieżącym pliku DIT. Wykonaj defragmentowanie trybu offline przy użyciu innych woluminów lokalnych, jeśli jest dostępny. Możesz też użyć miejsca na najlepiej połączonym serwerze sieciowym, aby wykonać defragmentację w trybie offline. Jeśli miejsce na dysku nadal nie jest wystarczające, przyrostowe usuwanie niepotrzebnych kont użytkowników, kont komputerów, rekordów DNS i obiektów DLT z usługi Active Directory.