Como atualizar controladores de domínio do Windows 2000 para o Windows Server 2003

Este artigo discute como atualizar os controladores de domínio do Microsoft Windows 2000 para o Windows Server 2003 e como adicionar novos controladores de domínio do Windows Server 2003 aos domínios do Windows 2000.

Aplica-se a: Windows Server 2012 R2
Número de KB original: 325379

Resumo

Este artigo discute como atualizar os controladores de domínio do Microsoft Windows 2000 para o Windows Server 2003 e como adicionar novos controladores de domínio do Windows Server 2003 aos domínios do Windows 2000. Para obter mais informações sobre como atualizar controladores de domínio para o Windows Server 2008 ou Windows Server 2008 R2, visite o seguinte site da Microsoft:

Atualizar controladores de domínio: Suporte da Microsoft início rápido para adicionar controladores de domínio do Windows Server 2008 ou Windows Server 2008 R2 aos domínios existentes

Inventário de domínio e floresta

Antes de atualizar os controladores de domínio do Windows 2000 para o Windows Server 2003 ou antes de adicionar novos controladores de domínio do Windows Server 2003 a um domínio do Windows 2000, siga estas etapas:

1. Inventário dos clientes que acessam recursos no domínio que hospedam controladores de domínio do Windows Server 2003 para compatibilidade com a assinatura de SMB:

   Cada controlador de domínio do Windows Server 2003 permite a assinatura do SMB em sua política de segurança local. Verifique se todos os clientes de rede que usam o protocolo SMB/CIFS para acessar arquivos e impressoras compartilhados em domínios que hospedam controladores de domínio do Windows Server 2003 podem ser configurados ou atualizados para dar suporte à assinatura SMB. Se não puderem, desabilite temporariamente a assinatura do SMB até que as atualizações possam ser instaladas ou até que os clientes possam ser atualizados para sistemas operacionais mais recentes que dão suporte à assinatura do SMB. Para obter informações sobre como desabilitar a assinatura de SMB, consulte a seção Para desabilitar a assinatura do SMB no final desta etapa.

   Planos de ação

   A lista a seguir mostra os planos de ação para clientes SMB populares:

   • Microsoft Windows Server 2003, Microsoft Windows XP Professional, Microsoft Windows 2000 Server, Microsoft Windows 2000 Professional e Microsoft Windows 98

     Nenhuma ação é necessária.

   • Microsoft Windows NT 4.0 Instalar o Service Pack 3 ou posterior (o Service Pack 6A é recomendado) em todos os computadores baseados em Windows NT 4.0 que acessam domínios que contêm computadores baseados no Windows Server 2003. Em vez disso, desabilite temporariamente a assinatura de SMB em controladores de domínio do Windows Server 2003. Para obter informações sobre como desabilitar a assinatura de SMB, consulte a seção Para desabilitar a assinatura do SMB no final desta etapa.

   • Microsoft Windows 95

     Instale o cliente de serviço de diretório do Windows 9 x nos computadores baseados no Windows 95 ou desabilite temporariamente a assinatura de SMB nos controladores de domínio do Windows Server 2003. O cliente de serviço de diretório x win9 original está disponível na CD-ROM do Servidor windows 2000. No entanto, esse complemento do cliente foi substituído por um cliente de serviço de diretório x win9 x aprimorado. Para obter informações sobre como desabilitar a assinatura de SMB, consulte a seção Para desabilitar a assinatura do SMB no final desta etapa.

   • Cliente da Rede Microsoft para clientes MS-DOS e Microsoft LAN Manager

     O cliente de rede Microsoft Network para MS-DOS e o cliente de rede 2.x do Microsoft LAN Manager podem ser usados para fornecer acesso aos recursos de rede ou podem ser combinados com um disquete inicializável para copiar arquivos do sistema operacional e outros arquivos de um diretório compartilhado em um servidor de arquivos como parte de uma rotina de instalação de software. Esses clientes não dão suporte à assinatura de SMB. Use um método de instalação alternativo ou desabilite a assinatura de SMB. Para obter informações sobre como desabilitar a assinatura de SMB, consulte a seção Para desabilitar a assinatura do SMB no final desta etapa.

   • Clientes Macintosh

     Alguns clientes Macintosh não são compatíveis com a assinatura de SMB e receberão a seguinte mensagem de erro quando tentarem se conectar a um recurso de rede:

     - Erro -36 E/S

     Instale o software atualizado se ele estiver disponível. Caso contrário, desabilite a assinatura de SMB em controladores de domínio do Windows Server 2003. Para obter informações sobre como desabilitar a assinatura de SMB, consulte a seção Para desabilitar a assinatura do SMB no final desta etapa.

   • Outros clientes SMB de terceiros

     Alguns clientes SMB de terceiros não dão suporte à assinatura de SMB. Consulte seu provedor SMB para ver se existe uma versão atualizada. Caso contrário, desabilite a assinatura de SMB em controladores de domínio do Windows Server 2003.

   Para desabilitar a assinatura do SMB

   Se as atualizações de software não puderem ser instaladas em controladores de domínio afetados que estão executando o Windows 95, Windows NT 4.0 ou outros clientes que foram instalados antes da introdução do Windows Server 2003, desabilite temporariamente os requisitos de assinatura do serviço SMB em Política de Grupo até que você possa implantar o software cliente atualizado.

   Você pode desabilitar a assinatura do serviço SMB no seguinte nó da política Controladores de Domínio Padrão na unidade organizacional dos controladores de domínio: Configuração do Computador\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança\Microsoft Network Server:

   Assinar comunicações digitalmente (sempre)

   Se os controladores de domínio não estiverem localizados na unidade organizacional do controlador de domínio, você deverá vincular o objeto Política de Grupo (GPO) do controlador de domínio padrão a todas as unidades organizacionais que hospedam controladores de domínio windows 2000 ou Windows Server 2003. Ou você pode configurar a assinatura do serviço SMB em um GPO vinculado a essas unidades organizacionais.

2. Inventário dos controladores de domínio que estão no domínio e na floresta:

   1. Verifique se todos os controladores de domínio do Windows 2000 na floresta instalaram todos os hotfixes e pacotes de serviço apropriados.

      A Microsoft recomenda que todos os controladores de domínio do Windows 2000 executem o Windows 2000 Service Pack 4 (SP4) ou sistemas operacionais posteriores. Se você não conseguir implantar totalmente o Windows 2000 SP4 ou posterior, todos os controladores de domínio do Windows 2000 devem ter um arquivo Ntdsa.dll cujo carimbo de data e versão sejam posteriores a 4 de junho de 2001 e 5.0.2195.3673.

      Por padrão, as ferramentas administrativas do Active Directory nos computadores cliente Windows 2000 SP4, Windows XP e Windows Server 2003 usam a assinatura LDAP (Lightweight Directory Access Protocol). Se esses computadores usarem (ou recuarem para) autenticação NTLM quando administrarem remotamente controladores de domínio do Windows 2000, a conexão não funcionará. Para resolve esse comportamento, os controladores de domínio administrados remotamente devem ter um mínimo de Windows 2000 SP3 instalado. Caso contrário, você deve desativar a assinatura LDAP nos clientes que executam as ferramentas de administração.

      Os seguintes cenários usam a autenticação NTLM:

      • Você administra controladores de domínio do Windows 2000 que estão localizados em uma floresta externa conectada por uma confiança NTLM (não Kerberos).
      • Você concentra os snap-ins do Microsoft Management Console (MMC) em um controlador de domínio específico referenciado por seu endereço IP. Por exemplo, clique em Iniciar, clique em Executar e digite o seguinte comando: dsa.msc /server=ipaddress

      Para determinar o sistema operacional e o nível de revisão do service pack dos controladores de domínio do Active Directory em um domínio do Active Directory, instale a versão do Windows Server 2003 do Repadmin.exe em um computador membro do Windows XP Professional ou Windows Server 2003 na floresta e execute o seguinte repadmin comando em um controlador de domínio em cada domínio na floresta:

      >repadmin /showattr <name of the domain controller that is in the target domain> ncobj:domain: /filter:"(&(objectCategory=computer)(primaryGroupID=516))" /subtree /atts:operatingSystem,operatingSystemVersion,operatingSystemServicePack
      
      DN: CN=NA-DC-01,organizational unit=Domain Controllers,DC=company,DC=com
       1> operatingSystem: Windows Server 2003
       1> operatingSystemVersion: 5.2 (3718)
      DN: CN=NA-DC-02,organizational unit=Domain Controllers,DC=company,DC=com
       1> operatingSystem: Windows 2000 Server
       1> operatingSystemVersion: 5.0 (2195)
       1> operatingSystemServicePack: Service Pack 1
      

      Observação

      Os atributos do controlador de domínio não acompanham a instalação de hotfixes individuais.

   2. Verifique a replicação do Active Directory de ponta a ponta em toda a floresta.

      Verifique se cada controlador de domínio na floresta atualizada replica todos os seus contextos de nomenclatura controlados localmente com seus parceiros consistentemente com o agendamento que os links do site ou objetos de conexão definem. Use a versão do Windows Server 2003 do Repadmin.exe em um computador membro baseado no Windows XP ou windows Server 2003 na floresta com os seguintes argumentos: todos os controladores de domínio na floresta devem replicar o Active Directory sem erro, e os valores na coluna "Maior Delta" da saída de repadmin não devem ser significativamente maiores do que a frequência de replicação nos links de site correspondentes ou objetos de conexão que são usados por um determinado domínio de destino Controlador.

      Resolva todos os erros de replicação entre controladores de domínio que não conseguiram replicar em menos de 60 dias o número de dias do Tombstone Lifetime (TSL) (por padrão, 60 dias). Se a replicação não puder ser feita para funcionar, talvez seja necessário rebaixar à força os controladores de domínio e removê-los da floresta usando o comando de limpeza de metadados Ntdsutil e promovê-los de volta à floresta. Você pode usar um rebaixamento forçado para salvar a instalação do sistema operacional e os programas que estão em um controlador de domínio órfão. Para obter mais informações sobre como remover controladores de domínio órfãos do Windows 2000 de seu domínio, clique no número do artigo a seguir para exibir o artigo na Base de Dados de Conhecimento da Microsoft:

      216498 Como remover dados no Active Directory após um rebaixamento mal sucedido do controlador de domínio

      Tome essa ação apenas como último recurso para recuperar a instalação do sistema operacional e dos programas instalados. Você perderá objetos e atributos não corrigidos em controladores de domínio órfãos, incluindo usuários, computadores, relações de confiança, suas senhas, grupos e associações de grupo.

      Tenha cuidado ao tentar resolve erros de replicação em controladores de domínio que não replicaram alterações de entrada para uma partição específica do Active Directory para maior que o número de dias de tombstonelifetime. Ao fazer isso, você pode reanimar objetos que foram excluídos em um controlador de domínio, mas para os quais os parceiros de replicação direta ou transitiva nunca receberam a exclusão nos últimos 60 dias.

      Considere remover objetos persistentes que residem em controladores de domínio que não executaram a replicação de entrada nos últimos 60 dias. Como alternativa, você pode rebaixar com força os controladores de domínio que não executaram nenhuma replicação de entrada em uma determinada partição no número de dias de tempo de vida da lápide e remover os metadados restantes da floresta do Active Directory usando Ntdsutil e outros utilitários. Entre em contato com o provedor de suporte ou o Microsoft PSS para obter ajuda adicional.

   3. Verifique se o conteúdo do compartilhamento Sysvol é consistente.

      Verifique se a parte do sistema de arquivos da política de grupo é consistente. Você pode usar Gpotool.exe do Kit de Recursos para determinar se há inconsistências nas políticas em um domínio. Use o Healthcheck das ferramentas de suporte do Windows Server 2003 para determinar se o compartilhamento Sysvol réplica define a função corretamente em cada domínio.

      Se o conteúdo do compartilhamento Sysvol for inconsistente, resolve todas as inconsistências.

   4. Use Dcdiag.exe das ferramentas de suporte para verificar se todos os controladores de domínio compartilharam compartilhamentos Netlogon e Sysvol. Para fazer isso, digite o seguinte comando em um prompt de comando:

      DCDIAG.EXE /e /test:frssysvol
      

   5. Inventário das funções de operações.

      Os mestres de operações de esquema e infraestrutura são usados para introduzir alterações de esquema em toda a floresta e em todo o domínio que são feitas pelo utilitário adprep do Windows Server 2003. Verifique se o controlador de domínio que hospeda a função de esquema e a função de infraestrutura para cada domínio na floresta reside em controladores de domínio ao vivo e se cada proprietário da função realizou a replicação de entrada em todas as partições desde a última reinicialização.

      O DCDIAG /test:FSMOCHECK comando pode ser usado para exibir funções operacionais em toda a floresta e em todo o domínio. As operações master funções que residem em controladores de domínio inexistentes devem ser apreendidas em um controlador de domínio saudável usando o NTDSUTIL. As funções que residem em controladores de domínio não íntegros devem ser transferidas, se possível. Caso contrário, eles devem ser apreendidos. O NETDOM QUERY FSMO comando não identifica funções FSMO que residem em controladores de domínio excluídos.

      Verifique se o executou a replicação de entrada do Active Directory desde a última inicialização. A replicação de entrada pode ser verificada usando o REPADMIN /SHOWREPS DCNAME comando, em que DCNAME é o nome do computador NetBIOS ou o nome do computador totalmente qualificado de um controlador de domínio. Para obter mais informações sobre os mestres de operações e seu posicionamento, clique nos seguintes números de artigo para exibir os artigos na Base de Dados de Conhecimento da Microsoft:

      197132 funções FSMO do Windows 2000 Active Directory

      223346 posicionamento e otimização do FSMO em controladores de domínio do Active Directory

   6. Revisão eventLog

      Examine os logs de eventos em todos os controladores de domínio para obter eventos problemáticos. Os logs de eventos não devem conter mensagens de evento sérias que indiquem um problema com qualquer um dos seguintes processos e componentes:

      conectividade física
      conectividade de rede
      registro de nome
      resolução de nomes
      autenticação
      Política de grupo
      política de segurança
      subsistema de disco
      Esquema
      Topologia
      mecanismo de replicação

   7. Inventário de espaço em disco

      O volume que hospeda o arquivo de banco de dados do Active Directory, Ntds.dit, deve ter espaço livre igual a pelo menos 15 a 20% do tamanho do arquivo Ntds.dit. O volume que hospeda o arquivo de log do Active Directory também deve ter espaço livre igual a pelo menos 15 a 20% do tamanho do arquivo Ntds.dit. Para obter mais informações sobre como liberar espaço em disco adicional, consulte a seção "Controladores de Domínio sem espaço suficiente em disco" deste artigo.

   8. Limpeza DNS (opcional)

      Habilite a limpeza de DNS em intervalos de sete dias para todos os servidores DNS na floresta. Para obter melhores resultados, execute essa operação 61 ou mais dias antes de atualizar o sistema operacional. Isso fornece o daemon de limpeza DNS tempo suficiente para coletar lixo os objetos DNS envelhecidos quando uma desfragmentação offline é executada no arquivo Ntds.dit.

   9. Desabilitar o Serviço do Servidor DLT (Opcional)

      O serviço DLT Server está desabilitado em instalações novas e atualizadas de controladores de domínio do Windows Server 2003. Se o rastreamento de link distribuído não for usado, você poderá desabilitar o serviço DLT Server em seus controladores de domínio do Windows 2000 e começar a excluir objetos DLT de cada domínio na floresta. Para obter mais informações, confira a seção "Recomendações da Microsoft para acompanhamento de link distribuído" do seguinte artigo na Base de Dados de Conhecimento da Microsoft: 312403 Acompanhamento de Link Distribuído em controladores de domínio baseados no Windows

   10. Backup do Estado do Sistema

       Faça um backup de estado do sistema de pelo menos dois controladores de domínio em cada domínio na floresta. Você pode usar o backup para recuperar todos os domínios na floresta se a atualização não funcionar.

Microsoft Exchange 2000 em florestas do Windows 2000

O esquema do Exchange 2000 define três atributos inetOrgPerson com LDAPDisplayNames não compatível com Solicitação de Comentário (RFC): houseIdentifier, secretary e labeledURI.

O Kit inetOrgPerson do Windows 2000 e o comando Windows Server 2003 adprep definem versões de reclamação rfc dos mesmos três atributos com LDAPDisplayNames idênticos que as versões não compatíveis com RFC.

Quando o comando Windows Server 2003 adprep /forestprep é executado sem scripts corretivos em uma floresta que contém alterações de esquema do Windows 2000 e exchange 2000, os atributos LDAPDisplayNames para houseIdentifier, labeledURI e atributos de secretário ficam mutilados. Um atributo se torna "mutilado" se "Dup" ou outros caracteres exclusivos forem adicionados ao início do nome de atributo conflitante para que objetos e atributos no diretório tenham nomes exclusivos.

As florestas do Active Directory não são vulneráveis a LDAPDisplayNames mutiladas para esses atributos nos seguintes casos:

• Se você executar o comando Windows Server 2003 adprep /forestprep em uma floresta que contém o esquema windows 2000 antes de adicionar o esquema do Exchange 2000.
• Se você instalar o esquema do Exchange 2000 na floresta criado em que um controlador de domínio do Windows Server 2003 foi o primeiro controlador de domínio na floresta.
• Se você adicionar o Windows 2000 inetOrgPerson Kit a uma floresta que contém o esquema windows 2000 e instalar alterações de esquema do Exchange 2000 e executar o comando Windows Server 2003 adprep /forestprep .
• Se você adicionar o esquema do Exchange 2000 a uma floresta existente do Windows 2000, execute o Exchange 2003 /forestprep antes de executar o comando Windows Server 2003 adprep /forestprep .

Os atributos mutilados ocorrerão no Windows 2000 nos seguintes casos:

• Se você adicionar as versões do Exchange 2000 do labeledURI, o houseIdentifier e o secretário atribuir a uma floresta do Windows 2000 antes de instalar o Kit inetOrgPerson do Windows 2000.
• Você adiciona as versões do Exchange 2000 do labeledURI, do houseIdentifier e dos atributos do secretário a uma floresta do Windows 2000 antes de executar o comando Windows Server 2003 adprep /forestprep sem executar primeiro os scripts de limpeza. Planos de ação para cada cenário a seguir:

Cenário 1: as alterações de esquema do Exchange 2000 são adicionadas após você executar o comando adprep/forestprep do Windows Server 2003

Se as alterações de esquema do Exchange 2000 forem introduzidas na floresta do Windows 2000 após a execução do comando Windows Server 2003 adprep /forestprep , nenhuma limpeza será necessária. Acesse a seção "Visão geral: atualizando os controladores de domínio do Windows 2000 para o Windows Server 2003".

Cenário 2: As alterações de esquema do Exchange 2000 serão instaladas antes do comando adprep/forestprep do Windows Server 2003

Se as alterações de esquema do Exchange 2000 já tiverem sido instaladas, mas você NÃO tiver executado o comando Windows Server 2003 adprep /forestprep , considere o seguinte plano de ação:

1. Faça logon no console das operações de esquema master usando uma conta que é membro do grupo de segurança schema Admins.

2. Clique em Iniciar, clique em Executar, digite notepad.exe na caixa Abrir e clique em OK.

3. Copie o texto a seguir, incluindo o hífen à direita após "schemaUpdateNow: 1" no Bloco de Notas.

   dn: CN=ms-Exch-Assistant-Name,CN=Schema,CN=Configuration,DC=X
   changetype: Modificar
   replace:LDAPDisplayName
   LDAPDisplayName: msExchAssistantName
   -

   dn: CN=ms-Exch-LabeledURI,CN=Schema,CN=Configuration,DC=X
   changetype: Modificar
   substitua: LDAPDisplayName
   LDAPDisplayName: msExchLabeledURI
   -

   dn: CN=ms-Exch-House-Identifier,CN=Schema,CN=Configuration,DC=X
   changetype: Modificar
   substitua: LDAPDisplayName
   LDAPDisplayName: msExchHouseIdentifier
   -

   Dn:
   changetype: Modificar
   add: schemaUpdateNow
   schemaUpdateNow: 1
   -

4. Confirme se não há espaço no final de cada linha.

5. No menu Arquivo, clique em Salvar. Na caixa de diálogo Salvar como, siga estas etapas:

   1. Na caixa Nome do arquivo , digite o seguinte: \%userprofile%\InetOrgPersonPrevent.ldf
   2. Na caixa Salvar como tipo , clique em Todos os Arquivos.
   3. Na caixa Codificação , clique em Unicode.
   4. Clique em Salvar.
   5. Sair do Bloco de Notas.

6. Execute o script InetOrgPersonPrevent.ldf.

   1. Clique em Iniciar, clique em Executar, digite cmd na caixa Abrir e clique em OK.

   2. Em um prompt de comando, digite o seguinte e pressione ENTER: cd %userprofile%

   3. Digite o comando a seguir

   c:\documents and settings\%username%>ldifde -i -f inetorgpersonprevent.ldf -v -c DC=X "domain name path for forest root domain"
   

   Notas de sintaxe:

   • DC=X é uma constante sensível a casos.
   • O caminho do nome de domínio para o domínio raiz deve ser incluído entre aspas.

   Por exemplo, a sintaxe de comando de uma floresta do Active Directory cujo domínio raiz da floresta é TAILSPINTOYS.COM seria:

   c:\documentos e configurações\administrador>ldifde -i -f inetorgpersonprevent.ldf -v -c DC=X "dc=tailspintoys,dc=com"

   Observação

   Talvez seja necessário alterar a subchave de Registro Permitido de Atualização de Esquema se receber a seguinte mensagem de erro: a atualização de esquema não é permitida neste DC porque a chave do registro não está definida ou o DC não é o proprietário da função FSMO do esquema.

7. Verifique se os atributos LDAPDisplayNames para CN=ms-Exch-Assistant-Name, CN=ms-Exch-LabeledURI e CN=ms-Exch-House-Identifier no contexto de nomenclatura de esquema agora aparecem como msExchAssistantName, msExchLabeledURI e msExchHouseIdentifier antes de executar os comandos do Windows Server 2003 adprep /forestprep .

8. Acesse a seção "Visão geral: atualizando os controladores de domínio do Windows 2000 para o Windows Server 2003" para executar os adprep /forestprep comandos e /domainprep .

Cenário 3: o comando forestprep do Windows Server 2003 foi executado sem primeiro executar inetOrgPersonFix

Se você executar o comando Windows Server 2003 adprep /forestprep em uma floresta do Windows 2000 que contém as alterações de esquema do Exchange 2000, os atributos LDAPDisplayName para houseIdentifier, secretary e labeledURI ficarão mutilados. Para identificar nomes mutilados, use Ldp.exe para localizar os atributos afetados:

1. Instale Ldp.exe da pasta Support\Tools da mídia Microsoft Windows 2000 ou Windows Server 2003.

2. Inicie Ldp.exe de um controlador de domínio ou computador membro na floresta.

   1. No menu Conexão , clique em Conectar, deixe a caixa Servidor vazia, digite 389 na caixa Porta e clique em OK.
   2. No menu Conexão , clique em Associar, deixe todas as caixas vazias e clique em OK.

3. Registre o caminho de nome distinto para o atributo SchemaNamingContext. Por exemplo, para um controlador de domínio na floresta CORP.ADATUM.COM, o caminho de nome diferenciado pode ser CN=Schema,CN=Configuration,DC=corp,DC=company,DC=com.

4. No menu Procurar , clique em Pesquisar.

5. Use as seguintes configurações para configurar a caixa de diálogo Pesquisar :

   • DN base: o caminho de nome diferenciado para o contexto de nomenclatura de esquema identificado na etapa 3.
   • Filtro: (ldapdisplayname=dup*)
   • Escopo: Subtree

6. Os atributos houseIdentifier, secretary e labeledURI mutilados têm atributos LDAPDisplayName semelhantes ao seguinte formato:

   LDAPDisplayName: DUP-labeledURI-9591bbd3-d2a6-4669-afda-48af7c35507d;
   LDAPDisplayName: DUP-secretary-c5a1240d-70c0-455c-9906-a4070602f85f
   LDAPDisplayName: DUP-houseIdentifier-354b0ca8-9b6c-4722-aae7-e66906cc9eef

7. Se o LDAPDisplayNames for labeledURI, secretary e houseIdentifier estiverem mutilados na etapa 6, execute o script InetOrgPersonFix.ldf do Windows Server 2003 para recuperar e vá para a seção "Atualizar controladores de domínio do Windows 2000 com Winnt32.exe".

   1. Crie uma pasta chamada %Systemdrive%\IOP e, em seguida, extraia o arquivo InetOrgPersonFix.ldf para essa pasta.

   2. Em um prompt de comando, digite cd %systemdrive%\iop.

   3. Extraia o arquivo InetOrgPersonFix.ldf do arquivo Support.cab localizado na pasta Support\Tools da mídia de instalação do Windows Server 2003.

   4. No console das operações de esquema master, carregue o arquivo InetOrgPersonFix.ldf usando Ldifde.exe para corrigir o atributo LdapDisplayName dos atributos houseIdentifier, secretary e labeledURI. Para fazer isso, digite o seguinte comando, em que <X> é uma constante sensível a casos e <o caminho dn para o domínio> raiz da floresta é o caminho do nome de domínio para o domínio raiz da floresta:

      C:\IOP>ldifde -i -f inetorgpersonfix.ldf -v -c DC=X "domain name path for forest root domain"
      

      Notas de sintaxe:

      • DC=X é uma constante sensível a casos.
      • O caminho do nome de domínio para o domínio raiz da floresta deve ser incluído entre aspas.

8. Verifique se os atributos houseIdentifier, secretary e labeledURI no contexto de nomenclatura de esquema não são "mutilados" antes de instalar o Exchange 2000.

Visão geral: atualizar controladores de domínio do Windows 2000 para o Windows Server 2003

O comando Windows Server 2003 adprep executado a partir da pasta \I386 da mídia do Windows Server 2003 prepara uma floresta do Windows 2000 e seus domínios para a adição de controladores de domínio do Windows Server 2003. O comando Windows Server 2003 adprep /forestprep adiciona os seguintes recursos:

• Descritores de segurança padrão aprimorados para classes de objeto

• Novos atributos de usuário e grupo

• Novos objetos e atributos de Esquema como inetOrgPersonO utilitário adprep dá suporte a dois argumentos de linha de comando:

  • adprep /forestprep: executa operações de atualização florestal.
  • dprep /domainprep: executa operações de atualização de domínio.

O adprep /forestprep comando é uma operação única executada na operação de esquema master (FSMO) da floresta. A operação forestprep deve ser concluída e replicada para a infraestrutura master de cada domínio antes que você possa executar adprep /domainprep nesse domínio.

O adprep /domainprep comando é uma operação única que você executa nas operações de infraestrutura master controlador de domínio de cada domínio na floresta que hospedará controladores de domínio do Windows Server 2003 novos ou atualizados. O adprep /domainprep comando verifica se as alterações de forestprep foram replicadas na partição de domínio e, em seguida, faz suas próprias alterações nas políticas de partição de domínio e de grupo no compartilhamento Sysvol.

Você não pode executar nenhuma das seguintes ações, a menos que as operações /forestprep e /domainprep tenham sido concluídas e replicadas para todos os controladores de domínio nesse domínio:

• Atualize os controladores de domínio do Windows 2000 para controladores de domínio do Windows Server 2003 usando Winnt32.exe.

Os adprep /forestprep comandos e adprep /domainprep não adicionam atributos ao conjunto de atributos parciais do catálogo global ou causam uma sincronização completa do catálogo global. A versão RTM do adprep /domainprep causa uma sincronização completa da pasta \Policies na árvore Sysvol. Mesmo que você execute forestprep e domainprep várias vezes, as operações concluídas serão executadas apenas uma vez.

Após as alterações de e adprep /domainprep replicar completamente, você pode atualizar os controladores de adprep /forestprep domínio do Windows 2000 para o Windows Server 2003 executando Winnt32.exe da pasta \I386 da mídia do Windows Server 2003. Além disso, você pode adicionar novos controladores de domínio do Windows Server 2003 ao domínio usando Dcpromo.exe.

Atualizar a floresta com o comando adprep /forestprep

Para preparar uma floresta e domínios do Windows 2000 para aceitar controladores de domínio do Windows Server 2003, siga estas etapas primeiro em um ambiente de laboratório e em um ambiente de produção:

1. Verifique se você concluiu todas as operações na fase "Inventário florestal" com atenção especial para os seguintes itens:

   1. Você criou backups de estado do sistema.
   2. Todos os controladores de domínio do Windows 2000 na floresta instalaram todos os hotfixes e pacotes de serviço apropriados.
   3. A replicação de ponta a ponta do Active Directory está ocorrendo em toda a floresta
   4. O FRS replica a política do sistema de arquivos corretamente em cada domínio.

2. Faça logon no console das operações de esquema master com uma conta que é membro do grupo de segurança schema Admins.

3. Verifique se o esquema FSMO realizou a replicação de entrada da partição de esquema digitando o seguinte em um prompt de comando Windows NT:repadmin /showreps

   ( o repadmin é instalado pela pasta Support\Tools do Active Directory.)

4. A documentação inicial da Microsoft recomenda que você isole as operações de esquema master em uma rede privada antes de executar adprep /forestprep. A experiência do mundo real sugere que essa etapa não é necessária e pode fazer com que uma operação de esquema master rejeitar alterações de esquema quando é reiniciada em uma rede privada.

5. Execute adprep no master de operações de esquema. Para fazer isso, clique em Iniciar, clique em Executar, digite cmd e clique em OK. Nas operações de esquema master, digite o seguinte comando:

    X:\I386\adprep /forestprep
   

   onde X:\I386\ é o caminho da mídia de instalação do Windows Server 2003. Esse comando executa a atualização de esquema em toda a floresta.

   Observação

   Eventos com a ID do evento 1153 que estão registrados no log de eventos do Serviço de Diretório, como o exemplo a seguir, podem ser ignorados:

6. Verifique se o adprep /forestprep comando foi executado com êxito nas operações de esquema master. Para fazer isso, no console das operações de esquema master, verifique os seguintes itens: – O adprep /forestprep comando concluído sem erro. - O objeto CN=Windows2003Update é gravado em CN=ForestUpdates,CN=Configuration,DC= forest_root_domain. Registre o valor do atributo Revisão. – (Opcional) A versão do esquema incrementada para a versão 30. Para fazer isso, consulte o atributo ObjectVersion em CN=Schema,CN=Configuration,DC= forest_root_domain. Se adprep /forestprep não for executado, verifique os seguintes itens:

   • O caminho totalmente qualificado para Adprep.exe localizado na pasta \I386 da mídia de instalação foi especificado quando adprep executado. Para fazer isso, digite o seguinte comando:

     x:\i386\adprep /forestprep
     

     onde x é a unidade que hospeda a mídia de instalação.

   • O usuário conectado que executa o adprep tem associação ao grupo de segurança schema Admins. Para verificar isso, use o whoami /all comando.

   • Se adprep ainda não funcionar, exiba o arquivo Adprep.log na pasta %systemroot%\System32\Debug\Adprep\Logs\Latest_log .

7. Se você desabilitou a replicação de saída nas operações de esquema master na etapa 4, habilite a replicação para que as alterações de esquema feitas por adprep /forestprep possam se propagar. Para fazer isso, siga estas etapas:

   1. Clique em Iniciar, clique em Executar, digite cmd e clique em OK.
   2. Digite o seguinte e pressione ENTER: repadmin /options -DISABLE_OUTBOUND_REPL

8. Verifique se as adprep /forestprep alterações foram replicadas em todos os controladores de domínio na floresta. É útil monitorar os seguintes atributos:

   1. Incrementando a versão do esquema
   2. O CN=Windows2003Update, CN=ForestUpdates,CN=Configuration,DC= forest_root_domain ou CN=Operations,CN=DomainUpdates,CN=System,DC= forest_root_domain e as operações em que guids foram replicadas.
   3. Pesquise novas classes de esquema, objetos, atributos ou outras alterações que adprep /forestprep adicionam, como inetOrgPerson. Exiba os arquivos Sch XX.ldf (em que XX é um número entre 14 e 30) na pasta %systemroot%\System32 para determinar quais objetos e atributos devem haver. Por exemplo, inetOrgPerson é definido em Sch18.ldf.

9. Procure LDAPDisplayNames mutilados. Se você encontrar nomes mutilados, acesse Cenário 3 do mesmo artigo.

10. Faça logon no console das operações de esquema master com uma conta que é membro do grupo de segurança do grupo schema Admins da floresta que hospeda as operações de esquema master.

Atualizar o domínio com o comando adprep /domainprep

Execute adprep /domainprep após as alterações /forestprep replicar totalmente para a infraestrutura master controlador de domínio em cada domínio que hospedará controladores de domínio do Windows Server 2003. Para fazer isso, siga estas etapas:

1. Identifique a infraestrutura master controlador de domínio no domínio que você está atualizando e faça logon com uma conta que é membro do grupo de segurança de administradores de domínio no domínio que você está atualizando.

   Observação

   O administrador da empresa pode não ser membro do grupo de segurança de administradores de domínio em domínios filho da floresta.

2. Execute adprep /domainprep no master de infraestrutura. Para fazer isso, clique em Iniciar, clique em Executar, digite cmd e, em seguida, na infraestrutura master digite o seguinte comando: X:\I386\adprep /domainprep em que X:\I386\ é o caminho da mídia de instalação do Windows Server 2003. Esse comando executa alterações em todo o domínio no domínio de destino.

   Observação

   O adprep /domainprep comando modifica as permissões de arquivos no compartilhamento Sysvol. Essas modificações causam uma sincronização completa de arquivos nessa árvore de diretório.

3. Verifique se o domainprep foi concluído com êxito. Para fazer isso, verifique os seguintes itens:

   • O adprep /domainprep comando foi concluído sem erro.
   • O caminho de domínio CN=Windows2003Update,CN=DomainUpdates,CN=System,DC= dn de domínio que você está atualizando existesSe adprep /domainprep não for executado, verifique os seguintes itens:
   • O usuário conectado que executa adprep tem associação ao grupo de segurança de administradores de domínio no domínio que você está atualizando. Para fazer isso, use o whoami /all comando.
   • O caminho totalmente qualificado para Adprep.exe localizado no diretório \I386 da mídia de instalação foi especificado quando você executou adprep. Para fazer isso, em um prompt de comando digite o seguinte comando: x :\i386\adprep /forestprep em que x é a unidade que hospeda a mídia de instalação.
   • Se adprep ainda não funcionar, exiba o arquivo Adprep.log na pasta %systemroot%\System32\Debug\Adprep\Logs\ Latest_log .

4. Verifique se as adprep /domainprep alterações foram replicadas. Para fazer isso, para os controladores de domínio restantes no domínio, verifique os seguintes itens: - O cn=Windows2003Update,CN=DomainUpdates,CN=System,DC= dn caminho do domínio que você está atualizando existe e o valor do atributo Revisão corresponde ao valor do mesmo atributo na master de infraestrutura do domínio. – (Opcional) Procure objetos, atributos ou alterações de ACL (lista de controle de acesso) adicionadas adprep /domainprep . Repita as etapas 1-4 na infraestrutura master dos domínios restantes em massa ou à medida que você adiciona ou atualiza DCs nesses domínios para o Windows Server 2003. Agora você pode promover novos computadores Windows Server 2003 na floresta usando DCPROMO. Ou você pode atualizar os controladores de domínio existentes do Windows 2000 para o Windows Server 2003 usando WINNT32.EXE.

Atualizar controladores de domínio do Windows 2000 usando Winnt32.exe

Após as alterações de /forestprep e /domainprep se replicarem completamente e você tiver tomado uma decisão sobre a interoperabilidade de segurança com clientes de versão anterior, você pode atualizar os controladores de domínio do Windows 2000 para o Windows Server 2003 e adicionar novos controladores de domínio do Windows Server 2003 ao domínio.

Os seguintes computadores devem estar entre os primeiros controladores de domínio que executam o Windows Server 2003 na floresta em cada domínio:

• A nomenclatura de domínio master na floresta para que você possa criar partições de programa DNS padrão.
• O principal controlador de domínio do domínio raiz da floresta para que as entidades de segurança em toda a empresa que o forestprep do Windows Server 2003 adiciona se tornem visíveis no editor da ACL.
• O controlador de domínio primário em cada domínio não raiz para que você possa criar novas entidades de segurança do Windows 2003 específicas do domínio. Para fazer isso, use WINNT32 para atualizar os controladores de domínio existentes que hospedam a função operacional desejada. Ou transfira a função para um controlador de domínio do Windows Server 2003 recém-promovido. Execute as seguintes etapas para cada controlador de domínio do Windows 2000 que você atualiza para o Windows Server 2003 com WINNT32 e para cada grupo de trabalho ou computador membro do Windows Server 2003 que você promove:

1. Antes de usar WINNT32 para atualizar computadores membros do Windows 2000 e controladores de domínio, remova as Ferramentas de Administração do Windows 2000. Para fazer isso, use a ferramenta Adicionar/Remover Programas no Painel de Controle. (Somente atualizações do Windows 2000.)

2. Instalar arquivos hotfix ou outras correções que a Microsoft ou o administrador determina são importantes.

3. Verifique cada controlador de domínio para obter possíveis problemas de atualização. Para fazer isso, execute o seguinte comando da pasta \I386 da mídia de instalação: winnt32.exe /checkupgradeonly Resolva todos os problemas que a compatibilidade marcar identificar.

4. Execute WINNT32.EXE da pasta \I386 da mídia de instalação e reinicie o controlador de domínio atualizado de 2003.

5. Reduza as configurações de segurança para clientes de versão anterior, conforme necessário.

   Se Windows NT clientes 4.0 não tiverem clientes NT 4.0 SP6 ou Windows 95 não tiverem o cliente de serviço de diretório instalado, desabilite a assinatura do Serviço SMB na política Controladores de Domínio Padrão na unidade organizacional controladores de domínio e vincule essa política a todas as unidades organizacionais que hospedam controladores de domínio. Configuração do computador\Configurações do Windows\Configurações de segurança\Políticas locais\Opções de segurança\Servidor de Rede da Microsoft: assinar digitalmente comunicações (sempre)

6. Verifique a integridade da atualização usando os seguintes pontos de dados:

   • A atualização foi concluída com êxito.
   • Os hotfixes adicionados à instalação substituíram com êxito os binários originais.
   • A replicação de entrada e saída do Active Directory está ocorrendo para todos os contextos de nomenclatura mantidos pelo controlador de domínio.
   • As ações Netlogon e Sysvol existem.
   • O log de eventos indica que o controlador de domínio e seus serviços são saudáveis.

   Observação

   Você pode receber a seguinte mensagem de evento depois de atualizar: você pode ignorar com segurança essa mensagem de evento.

7. Instale as Ferramentas de Administração do Windows Server 2003 (atualizações do Windows 2000 e controladores não-domínio do Windows Server 2003). Adminpak.msi está na pasta \I386 da CD-ROM do Windows Server 2003. A mídia do Windows Server 2003 contém ferramentas de suporte atualizadas no arquivo Support\Tools\Suptools.msi. Certifique-se de reinstalar esse arquivo.

8. Faça novos backups de pelo menos os dois primeiros controladores de domínio do Windows 2000 que você atualizou para o Windows Server 2003 em cada domínio na floresta. Localize os backups dos computadores Windows 2000 que você atualizou para o Windows Server 2003 no armazenamento bloqueado para que você não os use acidentalmente para restaurar um controlador de domínio que agora executa o Windows Server 2003.

9. (Opcional) Execute um desfragmentação offline do banco de dados do Active Directory nos controladores de domínio que você atualizou para o Windows Server 2003 após a conclusão do SIS (repositório de instância única) (somente atualizações do Windows 2000).

   O SIS examina as permissões existentes em objetos armazenados no Active Directory e, em seguida, aplica um descritor de segurança mais eficiente nesses objetos. O SIS começa automaticamente (identificado pelo evento 1953 no log de eventos do serviço de diretório) quando os controladores de domínio atualizados iniciam pela primeira vez o sistema operacional Windows Server 2003. Você se beneficia do repositório de descritor de segurança aprimorado somente quando registra uma mensagem de evento da ID do evento 1966 no log de eventos do serviço de diretório: essa mensagem de evento indica que a operação do repositório de instância única foi concluída e serve como uma fila que o administrador executará de desfragmentação offline do Ntds.dit usando NTDSUTIL.EXE.

   O desfragmentação offline pode reduzir o tamanho de um arquivo Ntds.dit do Windows 2000 em até 40%, melhora o desempenho do Active Directory e atualiza as páginas no banco de dados para armazenamento mais eficiente de atributos do Link Valued. Para obter mais informações sobre como desfragmentar o banco de dados do Active Directory, clique no número do artigo a seguir para exibir o artigo na Base de Dados de Conhecimento da Microsoft:

   232122 Executar desfragmentação offline do banco de dados do Active Directory

10. Investigue o Serviço de Servidor DLT. Os controladores de domínio do Windows Server 2003 desabilitam o serviço do DLT Server em instalações novas e atualizadas. Se clientes Windows 2000 ou Windows XP em sua organização usarem o serviço DLT Server, use Política de Grupo para habilitar o serviço DLT Server em controladores de domínio novos ou atualizados do Windows Server 2003. Caso contrário, exclua incrementalmente objetos de acompanhamento de link distribuído do Active Directory. Para obter mais informações, clique no seguinte número de artigo para exibir o artigo na Base de Dados de Conhecimento da Microsoft:

    312403 Acompanhamento de Link Distribuído em controladores de domínio baseados no Windows

    Se você excluir em massa milhares de objetos DLT ou outros objetos, poderá bloquear a replicação devido à falta de armazenamento de versões. Aguarde o número de dias de tombstonelifetime (por padrão, 60 dias) depois de excluir o último objeto DLT e para que a coleta de lixo seja concluída e use NTDSUTIL.EXE para executar um desfragmentação offline do arquivo Ntds.dit.

11. Configure a estrutura de unidade organizacional de melhores práticas. A Microsoft recomenda que os administradores implantem ativamente a estrutura de unidade organizacional de melhores práticas em todos os domínios do Active Directory e, depois de atualizar ou implantar controladores de domínio do Windows Server 2003 no modo domínio do Windows, redirecione os contêineres padrão que as APIs de versão anterior usam para criar usuários, computadores e grupos em um contêiner de unidade organizacional especificado pelo administrador.

    Para obter informações adicionais sobre a estrutura de unidade organizacional de melhores práticas, exiba a seção "Criando um Design de Unidade Organizacional" do white paper "Design do Active Directory de Melhores Práticas para Gerenciar Redes do Windows". Para exibir o white paper, visite o seguinte site da Microsoft: https://technet.microsoft.com/library/bb727085.aspx Para obter mais informações sobre como alterar o contêiner padrão em que os usuários, computadores e grupos que as APIs de versão anterior criam estão localizados, clique no número do artigo a seguir para exibir o artigo na Base de Dados de Conhecimento da Microsoft:

    324949 Redirecionar os contêineres de usuários e computadores em domínios do Windows Server 2003

12. Repita as etapas 1 a 10 conforme necessário para cada novo ou atualizado controlador de domínio do Windows Server 2003 na floresta e a etapa 11 (estrutura de unidade organizacional de Melhores Práticas) para cada domínio do Active Directory.

    Em Resumo:

    • Atualizar controladores de domínio do Windows 2000 com WINNT32 (da mídia de instalação slipstreamed, se usado)
    • Verifique se os arquivos hotfixes foram instalados nos computadores atualizados
    • Instalar os hotfixes necessários não contidos na mídia de instalação
    • Verifique a integridade em servidores novos ou atualizados (AD, FRS, Policy e assim por diante)
    • Aguarde 24 horas após a atualização do sistema operacional e desfragamento offline (opcional)
    • Inicie o Serviço DLT se necessário, caso contrário, exclua objetos DLT usando q312403 / q315229 pós-floresta-wide domainpreps
    • Executar desfragmentação offline de mais de 60 dias (vida útil da lápide e coleta de lixo # de dias) após excluir objetos DLT

Atualizações de execução seca em um ambiente de laboratório

Antes de atualizar os controladores de domínio do Windows para um domínio de produção do Windows 2000, valide e refina o processo de atualização no laboratório. Se a atualização de um ambiente de laboratório que espelha com precisão a floresta de produção for executada sem problemas, você poderá esperar resultados semelhantes em ambientes de produção. Para ambientes complexos, o ambiente de laboratório deve espelho o ambiente de produção nas seguintes áreas:

• Hardware: tipo de computador, tamanho da memória, posicionamento do arquivo de página, tamanho do disco, configuração de desempenho e raid, BIOS e níveis de revisão de firmware
• Software: versões do sistema operacional cliente e servidor, aplicativos cliente e servidor, versões do service pack, hotfixes, alterações de esquema, grupos de segurança, associações de grupo, permissões, configurações de política, tipo de contagem de objetos e local, interoperabilidade de versão
• Infraestrutura de rede: WINS, DHCP, velocidades de link, largura de banda disponível
• Carga: simuladores de carga podem simular alterações de senha, criação de objeto, replicação do Active Directory, autenticação de logon e outros eventos. O objetivo não é reproduzir a escala do ambiente de produção. Em vez disso, as metas são descobrir os custos e a frequência das operações comuns e interpolar seus efeitos (consultas de nome, tráfego de replicação, largura de banda de rede e consumo de processador) no ambiente de produção com base em seus requisitos atuais e futuros.
• Administração: tarefas executadas, ferramentas usadas, sistemas operacionais usados
• Operação: capacidade, interoperabilidade
• Espaço em Disco: observe o tamanho inicial, pico e final do sistema operacional, Ntds.dit e arquivos de log do Active Directory no catálogo global e controladores de domínio de catálogo não globais em cada domínio após cada uma das seguintes operações:
  1. adprep /forestprep
  2. adprep /domainprep
  3. Atualizar controladores de domínio do Windows 2000 para o Windows Server 2003
  4. Executar desfragmentação offline após atualizações de versão

Uma compreensão do processo de atualização e complexidade do ambiente combinado com a observação detalhada determina o ritmo e o grau de cuidado que você aplica à atualização dos ambientes de produção. Ambientes com um pequeno número de controladores de domínio e objetos do Active Directory conectados em links WAN (rede de ampla disponibilidade) podem ser atualizados em apenas algumas horas. Talvez seja necessário ter mais cuidado com implantações empresariais que tenham centenas de controladores de domínio ou centenas de milhares de objetos do Active Directory. Nesses casos, talvez você queira executar a atualização ao longo de várias semanas ou meses.

Use atualizações de "execução seca" no laboratório para executar as seguintes tarefas:

• Entenda o funcionamento interno do processo de atualização e os riscos associados.
• Exponha áreas problemáticas potenciais para o processo de implantação em seu ambiente.
• Teste e desenvolva planos de recuo caso a atualização não tenha êxito.
• Defina o nível apropriado de detalhes a ser aplicado ao processo de atualização para o domínio de produção.

Controladores de domínio sem espaço em disco suficiente

Em controladores de domínio com espaço em disco insuficiente, use as seguintes etapas para liberar espaço adicional em disco no volume que hospeda os arquivos Ntds.dit e Log:

1. Exclua os arquivos não utilizados, incluindo *.tmp arquivos ou arquivos armazenados em cache que os navegadores de Internet usam. Para fazer isso, digite os seguintes comandos (pressione ENTER após cada comando):

   cd /d drive\  
   del *.tmp /s  
   

2. Exclua qualquer usuário ou arquivos de despejo de memória. Para fazer isso, digite os seguintes comandos (pressione ENTER após cada comando):

   cd /d drive\  
   del *.dmp /s  
   

3. Remova ou realoque temporariamente arquivos que você pode acessar de outros servidores ou reinstalar facilmente. Os arquivos que você pode remover e substituir facilmente incluem ADMINPAK, Ferramentas de Suporte e todos os arquivos na pasta %systemroot%\System32\Dllcache.

4. Exclua perfis de usuário antigos ou não utilizados. Para fazer isso, clique em Iniciar, clique com o botão direito do mouse em Meu Computador, clique em Propriedades, clique na guia Perfis de Usuário e exclua todos os perfis que são para contas antigas e não usadas. Não exclua nenhum perfil que possa ser para contas de serviço.

5. Exclua os símbolos em %systemroot%\Symbols. Para fazer isso, digite o seguinte comando: rd /s %systemroot%\symbols dependendo se os servidores têm um conjunto de símbolos completo ou pequeno, isso pode ganhar aproximadamente 70 MB a 600 MB.

6. Execute um desfragmentação offline. Um desfragmentação offline do arquivo Ntds.dit pode liberar espaço, mas requer temporariamente o dobro do espaço do arquivo DIT atual. Execute o desfragamento offline usando outros volumes locais se um estiver disponível. Ou use espaço em um servidor de rede conectado melhor para executar o desfragmentação offline. Se o espaço em disco ainda não for suficiente, exclua incrementalmente contas de usuário desnecessárias, contas de computador, registros DNS e objetos DLT do Active Directory.