Обновление контроллеров домена Windows 2000 до Windows Server 2003

Переводы статьи Переводы статьи
Код статьи: 325379 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Аннотация

В статье рассматривается обновление контроллеров домена Microsoft Windows 2000 до Windows Server 2003 и добавление контроллеров домена Windows Server 2003 в домены Windows 2000. Дополнительные сведения об обновлении контроллеров домена до Windows Server 2008 или Windows Server 2008 R2 см. на следующем веб-сайте корпорации Майкрософт:
http://technet.microsoft.com/ru-ru/library/ee522994(WS.10).aspx#

Проверка домена и леса

Перед обновлением контроллеров домена Windows 2000 до Windows Server 2003 или перед добавлением нового контроллера домена Windows Server 2003 к домену Windows 2000 выполните следующие указания:
  1. Составьте список клиентских компьютеров, работающих с ресурсами домена, в котором размещены контроллеры домена Windows Server 2003, для совместимости с подписываниями SMB (Server Message Block):

    Каждый контроллер домена Windows Server 2003 в своей локальной политике безопасности включает подписывание SMB. Убедитесь, что все клиенты сети, использующие протокол SMB/CIFS для получения доступа к общим файлам и принтерам в домене, в котором размещены контроллеры домена Windows Server 2003, могут быть настроены и обновлены для поддержки подписывания SMB. Если это невозможно, временно отключите подписывание SMB до тех пор, пока не будет установлено обновление или пока клиенты не смогут быть обновлены до более новой операционной системы, поддерживающей подписывание SMB. Для получения сведений о том, как отключить подписывание SMB, см. раздел "Отключение подписывания SMB" в конце данного шага указаний.

    Последовательность действий

    В следующем списке представлена последовательность действий для наиболее распространенных клиентов SMB:
    • Microsoft Windows Server 2003, Microsoft Windows XP Professional, Microsoft Windows 2000 Server, Microsoft Windows 2000 Professional и Microsoft Windows 98

      Действий не требуется.
    • Microsoft Windows NT 4.0

      На всех компьютерах под управлением Windows NT 4.0, имеющих доступ к доменам, содержащим компьютеры под управлением Windows Server 2003, установите пакет обновления 3 или более позднюю версию (рекомендована версия пакета обновления 6А) или же временно отключите подписывание SMB на контроллерах домена Windows Server 2003. Для получения сведений о том, как отключить подписывание SMB, см. раздел "Отключение подписывания SMB" в конце данного шага указаний.
    • Microsoft Windows 95.

      Установите на компьютер под управлением Windows 95 клиент службы каталогов Active Directory для Windows 9x или временно отключите подписывание SMB на контроллерах домена Windows Server 2003. Клиент службы каталогов Active Directory для Win9x находится на компакт-диске Windows 2000 Server, однако данный клиент заменен улучшенной версией клиента службы каталогов для Win9x. Для получения сведений о том, как отключить подписывание SMB, см. раздел "Отключение подписывания SMB" в конце данного шага иснтрукции.
    • Клиент сети Microsoft для MS-DOS и клиент Microsoft LAN Manager

      В процессе текущей установки программного обеспечения клиент сети Microsoft для MS-DOS и клиент сети Microsoft LAN Manager 2.x могут быть использованы для обеспечения доступа к сетевым ресурсам, или их можно использовать вместе с загрузочной дискетой для копировани файлов операционной системы и других файлов из общей папки на файловом сервере. Это клиенты не поддерживают подписывание SMB. Используйте другой метод установки или отключите подписывание SMB. Для получения сведений о том, как отключить подписывание SMB, см. раздел "Отключение подписывания SMB" в конце данного шага указаний.
    • Клиент Macintosh

      Некоторые клиенты Macintosh несовместимы с подписыванием SMB и при попытке подключиться к сетевому ресурсу будут получать следующие сообщения об ошибке:
      - Error -36 I/O
      Если есть возможность, установите обновленное программное обеспечение. В противном случае временно отключите подписывание SMB на контроллерах домена Windows Server 2003. Для получения сведений о том, как отключить подписывание SMB, см. раздел "Отключение подписывания SMB" в конце данного шага указаний.
    • Другие SMB клиенты сторонних разработчиков

      Некоторые клиенты SMB сторонних разработчиков не поддерживают подписывание SMB. Обратитесь к вашему поставщику SMB, чтобы выяснить, существует ли обновленная версия. В противном случае временно отключите подписывание SMB на контроллерах домена Windows Server 2003.
    Отключение подписывания SMB

    Если программное обеспечение не может быть установлено на соответствующие контроллеры домена под управлением Windows 95, Windows NT 4.0 или других клиентов, которые были установлены до установки Windows Server 2003, в групповой политике необходимо временно запретить подписывание сообщений SMB, пока не будет развернуто обновленное программное обеспечение.

    Для этого в подразделении контроллеров домена необходимо выбрать политику по умолчанию для контроллеров домена и изменить значение параметра
    Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности\Сервер сети Microsoft: Использовать цифровую подпись (всегда)
    Необходимо также привязать соответствующий объект групповой политики (GPO) к остальным подразделениям, в которых находятся контролеры доменов под управлением Windows 2000 или Windows Server 2003. Вместо этого можно соответствующим образом настроить подписывание SMB в объектах групповой политики, привязанных к этим подразделениям.
  2. Проверить контроллеры домена, находящиеся в обновляемом домене и в лесу.
    1. Следует убедиться, что на всех контроллерах доменов под управлением Windows 2000 установлены соответствующие исправления и пакеты обновления.

      Корпорация Microsoft рекомендует, чтобы на всех контроллерах доменов под управлением Windows 2000 был установлен пакет обновления 4 (SP4) для Windows 2000 или более поздняя версия. Если развернуть пакет обновления 4 (SP4) для Windows 2000 или более позднюю версию полностью невозможно, необходимо убедиться, что на всех контроллерах домена под управлением Windows 2000 обязательно установлен файл Ntdsa.dll версии 5.0.2195.3673 или более поздней, выпущенный 4 июня 2001 года или позже. Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
      331161 Перечень исправлений, которые следует установить на контроллерах домена Windows 2000 перед выполнением команды Adprep /Forestprep
      По умолчанию на клиентских компьютерах под управлением Windows 2000 с пакетом обновления 4 (SP4), Windows XP и Windows Server 2003 средства администрирования Active Directory используют подписывание сообщений протокола LDAP (Lightweight Directory Access Protocol). При использовании на таких компьютерах проверки подлинности NTLM (как основной или в результате невозможности проверки подлинности другими способами) при удаленном администрировании с них контроллеров доменов под управлением Windows 2000 подключение не будет работать. Для решения этой проблемы на удаленно администрируемых контроллерах домена должна быть установлена версия Windows 2000 с пакетом обновления 3 (SP3) или более поздняя, в противном случае необходимо запретить использование подписывания для протокола LDAP на соответствующих клиентских компьютерах. Для получения дополнительных сведений о протоколе LDAP щелкните следующие номера статей базы знаний Майкрософт:
      325465 Для использования средств администрирования Windows 2003 Server на контроллере домена Windows 2000 требуется пакет обновления 3 (SP3) или более поздний (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
      Проверка подлинности NTLM используется в следующих ситуациях.
      • Администрирование контроллеров домена под управлением Windows 2000, находящихся в отдельном лесу, подключенном с помощью доверительных отношений, использующих версию NTLM с отключенным протоколом Kerberos.
      • Указание оснастке Microsoft Management Console (MMC) только IP-адреса контроллера домена. Например, если нажать кнопку Пуск, выбрать пункт Выполнить и ввести следующую команду:
        dsa.msc /server=ip-адрес
      Чтобы определить операционную систему и номер пакета обновления контроллеров домена, необходимо на компьютере под управлением Windows Server 2003 или Windows XP Professional, находящемся в этом лесу, установить программу Repadmin.exe для Windows Server 2003 и выполнить следующую команду repadmin для контроллера домена в каждом домене леса:
      >repadmin /showattr имя контроллера домена в домене назначения ncobj:domain: /filter:"(&(objectCategory=computer)(primaryGroupID=516))" /subtree /atts:operatingSystem,operatingSystemVersion,operatingSystemServicePack

      DN: CN=NA-DC-01,organizational unit=Domain Controllers,DC=company,DC=com
      1> operatingSystem: Windows Server 2003
      1> operatingSystemVersion: 5.2 (3718)
      DN: CN=NA-DC-02,organizational unit=Domain Controllers,DC=company,DC=com

      1> operatingSystem: Windows 2000 Server
      1> operatingSystemVersion: 5.0 (2195)
      1> operatingSystemServicePack: Service Pack 1
      Примечание. В атрибутах контроллеров доменов не отражается установка отдельных исправлений.
    2. Необходимо проверить прохождение репликации Active Directory во всем лесу.

      Следует убедиться, что все контроллеры доменов в обновляемом лесу реплицируют все свои локальные контексты именований в соответствии с расписанием, определенным для сайта или для объектов подключений. На компьютере под управлением Windows XP или Windows Server 2003, не являющемся контроллером домена, необходимо запустить версию программы Repadmin.exe, предназначенную для Windows Server 2003, со следующими параметрами:
      REPADMIN /REPLSUM /BYSRC /BYDEST /SORT:DELTA              <-output formatted to fit on page
      
      DestDC    largest delta    fails/total  %%  error
      
      NA-DC-01 13d.21h:10m:10s    97 / 143  67  (8240) There is no such object...
      NA-DC-02 13d.04h:11m:07s   180 / 763  23  (8524) The DSA operation...
      NA-DC-03 12d.03h:54m:41s     5 /   5 100  (8524) The DSA operation...
      На всех контроллерах домена в лесу репликация должна завершиться без ошибок, и значение в столбце Largest Delta не должно существенно превышать частоту репликации, определенную для соответствующих сайтов или объектов подключения, использующихся данным контроллером домена назначения.

      Устраните все ошибки репликации между контроллерами домена, произошедшие при входящих репликациях за количество дней меньшее, чем определено параметром TSL (по умолчанию 60 дней). Если контроллеры домена не могут осуществить репликацию функции, необходимо понизить их роль, в программе Ntdsutil использовать команду metadata cleanup, чтобы удалить их из леса, а затем повысить их роль и ввести в лес. Для сохранения операционной системы и приложений, установленных на потерянных контроллерах доменов, можно использовать принудительное понижение роли. Для получения дополнительных сведений об удалении из домена потерянных контроллеров домена под управлением Windows 2000 щелкните следующий номер статьи базы знаний Майкрософт:
      216498 Удаление данных из Active Directory после неудачного понижения роли контроллера домена
      Эта процедура может использоваться только в качестве крайнего средства, позволяющего сохранить установленную операционную систему и приложения. При этом будут потеряны нереплицированные объекты и атрибуты потерянных контроллеров домена, включая пользователей, компьютеры, доверительные отношения и их пароли, группы и данные о членстве в группах.

      Необходимо соблюдать осторожность при устранении ошибок репликации на контроллерах домена, которые не проводили репликацию входящих изменений для отдельного раздела Active Directory в течение более чем tombstonelifetime дней. После этого можно восстановить объекты, удаленные на одном контроллере домена, но прямые или транзитные партнеры репликации которого не принимали удаление в предыдущие 60 дней.

      Необходимо удалить любые активные объекты, располагающиеся на контроллерах домена, не проводивших входящую репликацию в течение последних 60 дней, или же можно принудительно понизить роль контроллеров домена, которые не выполняют входящую репликацию в данном разделе в течение количества дней меньшего, чем определяемое параметром TSL, и удалить их оставшиеся метаданные из леса Active Directory с помощью Ntdsutil и других программ. За дополительной справкой обратитесь к организации, осуществляющей поддержку, или в службу технической поддержки Microsoft.
    3. Проверьте целостность папки общего доступа Sysvol.

      Убедитесь в непротиворечивости файлов раздела системной групповой политики. Для обнаружения нарушений в файлах системной политики в домене может быть использована программа Gpotool.exe из набора Resource Kit. Для определения правильности работы реплики ресурса Sysvol в каждом домене может быть использована программа Healthcheck из набора Windows Server 2003 support tools.

      При обнаружении противеречий в содержимом ресурса Sysvol их необходимо устранить.
    4. Необходимо с помощью программы Dcdiag.exe из набора средств поддержки проверить, имеют ли все контроллеры домена общие папки Netlogon и Sysvol. Для этого выполните следующую команду:
      DCDIAG.EXE /e /test:frssysvol
    5. Проверьте распределение ролей.

      Хозяин схемы и хозяин инфраструктуры вносят изменения схемы уровня леса и уровня домена с помощью программы adprep для Windows Server 2003. Убедитесь, что контроллер домена, обладающий ролями схемы и инфраструктуры для каждого домена в лесу, располагается на действующих контроллерах домена и что каждый обладатель роли выполнял входящую репликацию по всем разделам с тех пор, как они были перезапущены.

      Для просмотра ролей в лесу и в домене можно использовать команду DCDIAG /test:FSMOCHECK. Роли хозяев операций, располагающиеся на несуществующих контроллерах домена, дожны быть получены исправным контроллером домена с помощью NTDSUTIL. Роли, расположенные на неисправных контроллерах домена, должны быть по возможности перемещены, в противном случае их необходимо получить. Команда NETDOM QUERY FSMO не идентифицирует роли FSMO, расположенные на контроллерах домена, которые были удалены.

      Убедитесь, что хозяин схемы и каждый хозяин инфраструктуры выполнил входящую репликацию Active Directory с момента последней загрузки. Входящая репликация может быть проверена с помощью команды REPADMIN /SHOWREPS DCNAME, где DCNAME является NetBIOS-именем компьютера или полным именем компьютера контроллера домена. Для получения дополнительных сведений о хозяевах операций и их размещении щелкните следующий номер статьи базы знаний Майкрософт:
      197132 Роли FSMO службы Active Directory в Windows 2000
      223346 Размещение и оптимизация FSMO на контроллерах домена Active Directory
    6. Просмотр журналов событий

      Следует убедиться в отсутствии в журналах событий сообщений о проблемах. В журналах событий не должно быть сообщений о серьезных проблемах со следующими процессами и компонентами:
      физическое подключение
      сетевое подключение
      регистрация имен
      разрешение имен
      проверка подлинности
      Групповая политика
      политика безопасности
      дисковая подсистема
      схема
      топология
      механизм репликации
    7. Проверка объема свободного места на жестком диске

      Объем свободного места на томе, содержащем файл базы данных Active Directory (Ntds.dit), должен быть не менее 15-20% размера файла Ntds.dit. Объем свободного места на томе, содержащем файл журнала Active Directory, должен быть не менее 15-20% размера файла Ntds.dit. Для получения дополнительных сведений о способах освобождения дискового пространства см. раздел «Отсутствие свободного места на контроллерах домена» далее.
    8. Очистка DNS (необязательно)

      Следует настроить очистку DNS на запуск раз в 7 дней для всех серверов DNS в лесу. Рекомендуется произвести эту операцию за 61 или более дней до обновления операционной системы. Это даст процедуре очистки DNS требуемое время для удаления устаревших объектов DNS при выполнении дефрагментации файла Ntds.dit в автономном режиме.
    9. Отключение службы сервера DLT (отслеживания изменившихся связей) (необязательно)

      На новых или обновленных контроллерах домена под управлением Windows Server 2003 служба сервера DLT отключена. Если служба DLT не используется, можно отключить службу сервера DLT на контроллерах домена под управлением Windows 2000 и начать удалять объекты DLT в каждом домене в лесу. Для получения дополнительных сведений ознакомьтесь с разделом «Рекомендации Майкрософт в отношении службы DLT для серверов с ОС Windows 2000» следующей статьи базы знаний Майкрософт:
      312403 Отслеживание изменившихся связей (Distributed Link Tracking) на контроллерах доменов с ОС Windows
    10. Архивация состояния системы

      Необходимо выполнить архивацию состояния системы как минимум двух контроллеров домена в каждом домене леса. Эти данные могут быть впоследствии использованы для восстановления доменов после неудачной попытки обновления.

Microsoft Exchange 2000 в лесах Windows 2000

Примечания
  • Если в лесу Windows 2000 установлен или будет установлен Exchange 2000 Server, прочтите этот раздел перед тем, как запустить команду adprep /forestprep для Windows Server 2003.
  • Если будут установлены изменения схемы Microsoft Exchange Server 2003, ознакомьтесь с разделом «Обзор: Обновление контоллеров домена Windows 2000 до Windows Server 2003» перед тем, как запускать команды adprep для Windows Server 2003.
Схема Exchange 2000 определяет 3 атрибута inetOrgPerson с параметрами LDAPDisplayName, несовместимыми с требованиями, изложенными в документах RFC: houseIdentifier, secretary и labeledURI.

Набор Windows 2000 inetOrgPerson Kit и команда adprep для Windows Server 2003 определяют совместимые с RFC версии аналогичных трех атрибутов с идентичными параметрами LDAPDisplayName как версии, несовместимые с RFC.

Когда в лесу, содержащем изменения схемы Windows 2000 и Exchange 2000, запускается команда adprep /forestprep для Windows Server 2003 без корректирующих сценариев, атрибуты LDAPDisplayName для houseIdentifier, labeledURI и secretary подгоняются. Подгонкой атрибутов называется процедура, при которой к началу имени конфликтного атрибута добавляется сочетание Dup или другие уникальные символы, чтобы объекты и атрибуты в папке обладали уникальными именами.


Леса Active Directory не восприимчивы к подогнанным именам LDAPDisplayName для этих атрибутов в следующих случаях:
  • При запуске команды adprep /forestprep для Windows Server 2003 в лесу, содержащем схему Windows 2000, перед добавлением схемы Exchange 2000.
  • При установке схемы Exchange 2000 в лесу, созданном там, где контроллер домена Windows Server 2003 был первым контроллером домена в лесу.
  • При добавлении набора Windows 2000 inetOrgPerson Kit к лесу, содержащему схему Windows 2000, установите изменения схемы Exchange 2000, после чего запустите команду adprep /forestprep для Windows Server 2003.
  • При добавлении схемы Exchange 2000 к существующему лесу Windows 2000 перед запуском команды Windows Server 2003 adprep /forestprep запустите /forestprep Exchange 2003.
Подогнанные атрибуты появятся в Windows 2000 в следующих случаях:
  • При добавлении атрибутов labeledURI, houseIdentifier и secretary версии Exchange 2000 к лесу Windows 2000 до установки набора Windows 2000 inetOrgPerson Kit.
  • При добавлении атрибутов labeledURI, houseIdentifier и secretary версии Exchange 2000 к лесу Windows 2000 до запуска команды adprep /forestprep для Windows Server 2003 без предварительного запуска сценариев очистки.
Последовательность действий в каждой ситуации:

Ситуация 1. Изменения схемы Exchange 2000 добавлены после запуска команды Windows Server 2003 adprep /forestprep

Если изменения схемы Exchange 2000 будут производиться после выполнения команды adprep /forestprep для Windows Server 2003, очистка не нужна. Перейдите к разделу «Обзор: Обновление контроллеров домена Windows 2000 до Windows Server 2003».

Ситуация 2: Изменения схемы Exchange 2000 устанавливаются перед запуском команды Windows Server 2003 adprep /forestprep

Если изменения схемы Exchange 2000 были сделаны до выполнения команды adprep /forestprep для Windows Server 2003, выполните следующие действия:
  1. Войдите в систему на компьютере, являющемся хозяином схемы, используя учетную запись, входящую в группу безопасности «Администраторы схемы».
  2. Нажмите кнопку Пуск, выберите команду Выполнить, в поле Открыть введите notepad.exe и нажмите кнопку ОК.
  3. Скопируйте следующий текст, включая замыкающий дефис после «schemaUpdateNow: 1», в редактор «Блокнот».
    dn: CN=ms-Exch-Assistant-Name,CN=Schema,CN=Configuration,DC=X
    changetype: Modify
    replace:LDAPDisplayName
    LDAPDisplayName: msExchAssistantName
    -

    dn: CN=ms-Exch-LabeledURI,CN=Schema,CN=Configuration,DC=X
    changetype: Modify
    replace: LDAPDisplayName
    LDAPDisplayName: msExchLabeledURI
    -

    dn: CN=ms-Exch-House-Identifier,CN=Schema,CN=Configuration,DC=X
    changetype: Modify
    replace: LDAPDisplayName
    LDAPDisplayName: msExchHouseIdentifier
    -

    dn:
    changetype: Modify
    add: schemaUpdateNow
    schemaUpdateNow: 1
    -
  4. Убедитесь в том, что в конце каждой строки нет пробелов.
  5. В меню Файл выберите пункт Сохранить. В диалоговом окне Сохранить как выполните следующие действия:
    1. В поле Имя файла введите следующее:
      \%userprofile%\InetOrgPersonPrevent.ldf
    2. В поле Тип файла выберите Все файлы.
    3. В списке Вид кодировки выберите пункт Unicode.
    4. Нажмите кнопку Сохранить.
    5. Закройте редактор «Блокнот».
  6. Выполните сценарий InetOrgPersonPrevent.ldf.
    1. В меню Пуск выберите пункт Выполнить, введите в поле Открыть команду cmd и нажмите кнопку ОК.
    2. В командной строке введите следующую команду и нажмите клавишу ВВОД:
      cd %userprofile%
    3. Введите следующую команду
      c:\documents and settings\%username%>ldifde -i -f inetorgpersonprevent.ldf -v -c DC=X "путь имени доменна корневого домена леса"
      Примечания по синтаксису:
      • Константа DC=X зависит от регистра символов.
      • Путь имени домена корневого домена леса должен быть заключен в кавычки.
      Например, синтаксис команды для леса Active Directory, чьим корневым доменом леса является TAILSPINTOYS.COM, будет таким:
      c:\documents and settings\administrator>ldifde -i -f inetorgpersonprevent.ldf -v -c DC=X "dc=tailspintoys,dc=com"
      Примечание Возможно, придется изменить раздел реестра
      Schema Update Allowed
      при получении следующего сообщения об ошибке:
      Обновление схемы на этом контроллере домена не разрешено, так как не установлен раздел реестра или контроллер домена не является обладателем роли FSMO схемы.
      Для получения дополнительных сведений об изменении раздела реестра щелкните следующий номер статьи базы знаний Майкрософт:
      285172 Для обновлений схемы Active Directory необходимо наличие права записи в схему
  7. Перед выполнением команд adprep /forestprep для Windows Server 2003 убедитесь, что в контексте именования схемы атрибуты LDAPDisplayNames для CN=ms-Exch-Assistant-Name, CN=ms-Exch-LabeledURI и CN=ms-Exch-House-Identifier отображаются как msExchAssistantName, msExchLabeledURI и msExchHouseIdentifier.
  8. Перейдите к разделу «Обзор: Обновление операционной системы контроллеров домена с Windows 2000 до Windows Server 2003» чтобы запустить команды adprep /forestprep и /domainprep.

Ситуация 3. Команда forestprep для Windows Server 2003 была запущена без предварительного выполнения программы InetOrgPersonFix

При выполнение команды adprep /forestprep для Windows Server 2003 в лесу Windows 2000, содержащем изменения схемы Exchange 2000, атрибуты LDAPDisplayName для houseIdentifier, secretary и labeledURI подгоняются. Для нахождения подогнанных имен выполните следующие действия.
  1. Установите программу Ldp.exe из папки Support\Tools компакт-диска Microsoft Windows 2000 или Windows Server 2003.
  2. Запустите файл Ldp.exe на любом компьютере домена.
    1. В меню Connection выберите команду Connect, оставьте поле Server незаполненным, укажите в поле Port значение 389 и нажмите кнопку ОК.
    2. В меню Connection выберите Bind, оставьте все поля пустыми и нажмите кнопку ОК.
  3. Запишите путь различающегося имени для атрибута SchemaNamingContext. Например, для контроллера домена в лесу CORP.ADATUM.COM различающееся имя может иметь вид CN=Schema,CN=Configuration,DC=corp,DC=company,DC=com.
  4. В меню Browse выберите команду Search.
  5. В окне Search установите следующие значения параметров.
    • Base DN: Различающееся имя, записанное на шаге 3.
    • Filter: (ldapdisplayname=dup*)
    • Scope: Поддерево
  6. У подогнанных атрибутов houseIdentifier, secretary и labeledURI атрибуты LDAPDisplayName могут выглядеть следующим образом:
    LDAPDisplayName: DUP-labeledURI-9591bbd3-d2a6-4669-afda-48af7c35507d;
    LDAPDisplayName: DUP-secretary-c5a1240d-70c0-455c-9906-a4070602f85f;
    LDAPDisplayName: DUP-houseIdentifier-354b0ca8-9b6c-4722-aae7-e66906cc9eef
  7. Если атрибуты LDAPDisplayName для атрибутов labeledURI, secretary и houseIdentifier были повреждены на шаге 6, запустите сценарий Windows Server 2003 InetOrgPersonFix.ldf для восстановления, и перейдите к разделу «Обновление контроллеров домена под управлением Windows 2000 с использованием программы Winnt32.exe».
    1. Создайте папку %systemdrive%\IOP и извлеките в нее файл InetOrgPersonFix.ldf.
    2. В командной строке введите cd %systemdrive%\iop.
    3. Извлеките файл InetOrgPersonFix.ldf из файла Support.cab, находящегося в папке Support\Tools установочного диска Windows Server 2003.
    4. Используя программу Ldifde.exe, загрузите сценарий InetOrgPersonFix.ldf на компьютере-хозяине схемы, чтобы исправить атрибут LdapDisplayName атрибутов houseIdentifier, secretary и labeledURI. Для этого введите следующую команду (включая кавычки), где <X> — константа, зависящая от регистра символов, а <корневой домен леса> — путь имени домена корневого домена леса:
      C:\IOP>ldifde -i -f inetorgpersonfix.ldf -v -c DC=X «доменное имя корневого домена леса»
      Примечания по синтаксису:
      • Константа DC=X зависит от регистра символов.
      • Путь имени домена корневого домена леса должен быть заключен в кавычки.
  8. Перед установкой сервера Exchange 2000 убедитесь, что атрибуты houseIdentifier, secretary и labeledURI контекста именования схемы не подогнаны.
Для получения дополнительных сведений о конфликте схемы, связанном со службами для UNIX, щелкните следующий номер статьи базы знаний Майкрософт:
293783 Если установлены службы Windows для UNIX 2.0, обновить сервер Windows 2000 до Windows Server 2003 невозможно (Эта ссылка может указывать на содержимое полностью или частично на английском языке)

Обзор: Обновление контроллеров домена Windows 2000 до Windows Server 2003

Команда adprep, расположенная в папке \I386 компакт-диска Windows Server 2003, подготавливает лес Windows 2000 и его домены к добавлению контроллеров домена под управлением Windows Server 2003. Команда adprep /forestprep для Windows Server 2003 добавляет следующие возможности:
  • улучшенные использующиеся по умолчанию дескрипторы безопасности для классов объектов;
  • новые атрибуты пользователей и групп;
  • новые объекты и атрибуты схемы (такие как inetOrgPerson).
Программа adprep поддерживает два параметра командной строки:
adprep /forestprep: проводит обновление леса;
adprep /domainprep: проводит обновление домена.
Команда adprep /forestprep является единовременной операцией, выполняемой над хозяином схемы (FSMO) леса. Команда adprep /domainprep в этом домене должна запускаться только после окончания операции forestprep и репликации на компьютеры-хозяева схем всех доменов.

Команда adprep /domainprep является единовременной операцией, выполняемой над хозяином инфраструктуры всех доменов в лесу, в которых будут установлены контроллеры домена под управлением Windows Server 2003. Команда adprep /domainprep проверяет, чо изменения от forestprep реплицированы в разделе домена и затем произвели изменения в разделе домена и групповых политиках в общих папках Sysvol.

Пока команды /forestprep и /domainprep не выполнены и результаты не реплицированы на все контроллеры в данном домене, будет невозможно выполнять следующие действия.
  • На контроллерах домена под управлением Windows 2000 обновлять операционную систему до Windows Server 2003, используя программу Winnt32.exe.

    Примечание. На компьютерах под управлением Windows 2000, не являющихся контроллерами домена, операционная система может быть обновлена до Windows Server 2003 в любой момент времени.
  • Вводить в домен новые контроллеры домена под управлением Windows Server 2003, используя программу Dcpromo.exe.
В домене, в котором находится хозяин схемы, необходимо выполнить обе команды — adprep /forestprep и adprep /domainprep. В остальных доменах необходимо выполнять только команду adprep /domainprep.

Команды adprep /forestprep и adprep /domainprep не добавляют атрибуты к подмножеству атрибутов глобального каталога и не вызывают полную синхронизацию глобального каталога. RTM-версия команды adprep /domainprep вызывает полную синхронизацию папки \Policies в дереве Sysvol. Даже при многократном запуске команд forestprep и domainprep полностью операции выполняются только один раз.

После завершения репликации изменений, внесенных командами adprep /forestprep и adprep /domainprep, можно проводить обновление операционной системы контроллеров домена с Windows 2000 до Windows Server 2003, используя программу Winnt32.exe, находящуюся в папке \I386 компакт-диска Windows Server 2003. Кроме того, для добавления в домен контроллеров домена под управлением Windows Server 2003 также можно использовать программу Dcpromo.exe.

Обновление леса с помощью команды adprep /forestprep

Для подготовки леса Windows 2000 к добавлению контроллеров домена под управлением Windows Server 2003 выполните следующие действия (сначала выполняйте их в лабораторных условиях).
  1. Убедитесь, что выполнены все операции этапа «Проверка леса». При этом убедитесь в следующем.
    1. Было проведено архивирование состояния системы.
    2. На всех контроллерах доменов под управлением Windows 2000 установлены соответствующие исправления и пакеты обновления.
    3. В лесу проходит полная репликация Active Directory.
    4. Во всех доменах без ошибок проходит репликация политики файловой системы.
  2. Войдите в систему на компьютере, являющемся хозяином схемы, используя учетную запись, входящую в группу безопасности «Администраторы схемы».
  3. Убедитесь, что FSMO схемы выполнила входящую репликацию раздела схемы, введя следующую команду в командной строке Windows NT:
    repadmin /showreps
    (программа repadmin установлена из папки Active Directory Support\Tools.)
  4. В прежних версиях документации Майкрософт рекомендуется изолировать хозяина схемы в частной сети перед запуском adprep /forestprep. Практика показывает, что это не обязательно и может послужить причиной того, что хозяин схемы отклонит изменения схемы при перезапуске в частной сети. Чтобы изолировать изменения схемы, сделанные при помощи adprep, корпорация Майкрософт рекомендует временно отключить исходящую репликацию Active Directory с помощью программы repadmin с интерфейсом командной строки. Для этого выполните следующие действия:
    1. Выберите в меню Пуск пункт Выполнить, введите команду cmd и нажмите кнопку ОК.
    2. Введите следующую команду и нажмите клавишу ВВОД:
      repadmin /options +DISABLE_OUTBOUND_REPL
  5. Запустите на этом компьютере программу adprep. Для этого нажмите кнопку Пуск, выберите команду Выполнить, введите командную строку cmd и нажмите кнопку ОК. На компьютере, являющемся хозяином схемы, введите следующую команду
    X:\I386\adprep /forestprep
    , где X:\I386\ является путем установочного диска Windows Server 2003. Эта команда выполняет обновление схемы на уровне леса.

    Примечание. События с кодом (ID) 1153, подобные приведенным ниже и появляющиеся в журнале событий службы каталогов, могут не учитываться:

    Тип события: Ошибка
    Источник события: NTDS General
    Категория события: Внутренняя обработка
    Код события: 1153
    Дата: ДД/ММ/ГГГГ
    Время: ЧЧ:ММ:СС
    Пользователь: Компьютер для группы «Все»: <контроллеры домена>
    Описание: Идентификатор класса 655562 (имя класса msWMI-MergeablePolicyTemplateимеет неправильный суперкласс 655560. Наследование игнорируется.

  6. Проверьте, успешно ли выполнена команда adprep /forestprep на хозяине схемы. Для этого убедитесь в следующем.
    • Команда adprep /forestprep завершила работу без ошибок.
    • Объект CN=Windows2003Update записан по адресу CN=ForestUpdates,CN=Configuration,DC=forest_root_domain. Запишите значение атрибута Revision.
    • (Необязательно) Версия схемы увеличена до 30. Это значение хранится в атрибуте ObjectVersion по адресу CN=Schema,CN=Configuration,DC=forest_root_domain.
    Если команда adprep /forestprep не запускается, проверьте следующее.
    • Был ли при запуске программы adprep указан полный путь к файлу Adprep.exe, находящемуся в папке \I386 установочного диска. Для этого служит следующая команда:
      x:\i386\adprep /forestprep
      , где x - буква диска, где находится установочный носитель.
    • Является ли пользователь, запускающий программу adprep, членом группы безопасности «Администраторы схемы». Для этого используйте команду whoami /all.
    • Если программа adprep по-прежнему не запускается, просмотрите файл ADPREP.LOG в папке %systemroot%\System32\Debug\Adprep\Logs\Latest_log.
  7. Если в шаге 4 исходящая репликация хозяина схемы была отключена, включите репликацию, чтобы изменения схемы, выполненные с помощью adprep /forestprep, могли распространяться. Для этого выполните следующие действия:
    1. Выберите в меню Пуск пункт Выполнить, введите команду cmd и нажмите кнопку ОК.
    2. Введите следующую команду и нажмите клавишу ВВОД:
      repadmin /options -DISABLE_OUTBOUND_REPL
  8. Убедитесь, что изменения, внесенные командой adprep /forestprep, реплицированы на все контроллеры доменов в лесу. Для проверки можно отслеживать следующее.
    1. Увеличение номера версии схемы
    2. CN=Windows2003Update, CN=ForestUpdates,CN=Configuration,DC=forest_root_domain или CN=Operations,CN=DomainUpdates,CN=System,DC=forest_root_domain и операции GUID в этом разделе были реплицированы.
    3. Новые классы схемы, объекты, атрибуты и другие изменения, добавленные командой adprep /forestprep, как inetOrgPerson. Просмотрите файлы SchXX.ldf (где XX является числом от 14 до 30) в папке %systemroot%\System32, чтобы определить, какие объекты и атрибуты должны там быть. Например, класс inetOrgPerson определяется в файле Sch18.ldf.
  9. Проверьте, нет ли испорченных имен LDAPDisplayName.

    Если Exchange 2000 был установлен до запуска команды adprep /forestprep для Windows Server 2003, ознакомьтесь со следующей статьей базы знаний корпорации Майкрософт:
    314649 Выполнение команды adprep /forestprep для Windows Server 2003 повреждает атрибуты в лесу Windows 2000, содержащем серверы Exchange 2000
    При нахождении подогнанных имен перейдите к Ситуации 3 в настоящей статье.
  10. Войдите в систему на компьютере, являющемся хозяином схемы, используя учетную запись, входящую в группу безопасности «Администраторы схемы».

Обновление домена с помощью команды adprep /domainprep

После того как изменения, внесенные командой /forestprep, будут полностью реплицированы на хозяев инфраструктуры всех доменов, в которые будут добавлены контроллеры под управлением Windows Server 2003, выполните команду adprep /domainprep. Для этого выполните следующие действия:
  1. В обновляемом домене найдите хозяина инфраструктуры и войдите в систему с учетной записью пользователя, входящего в группу безопасности администраторов данного домена.

    Примечание. Администратор предприятия может не являться членом группы безопасности администраторов домена в дочернем домене леса.
  2. Запустите программу adprep /domainprep на хозяине инфраструктуры. Для этого нажмите кнопку «Пуск», выберите «Выполнить», введите cmd и выполните следующую команду:
    X:\I386\adprep /domainprep
    где X:\I386\ — путь к установочным файлам Windows Server 2003. Эта команда выполняет изменения на уровне текущего домена.

    Примечание. Команда adprep /domainprep изменяет разрешения на доступ к файлам в общей папке Sysvol. Это вызывает полную синхронизацию файлов в дереве.
  3. Убедитесь, что команда adprep /domainprep успешно завершилась. Для этого убедитесь в следующем.
    • Команда adprep /domainprep завершила работу без ошибок.
    • The CN=Windows2003Update,CN=DomainUpdates,CN=System,DC=dn путь обновлящющегося домена существует
    Если команда adprep /domainprep не запускается, проверьте следующее.
    • Является ли пользователь, запускающий программу adprep, членом группы безопасности администраторов домена в обновляемом домене. Для этого используйте команду whoami /all.
    • Был ли при запуске программы adprep указан полный путь к файлу Adprep.exe, находящемуся в папке \I386 установочного диска. Для этого в командной строке введите следующую команду:
      x:\i386\adprep /forestprep
      , где x - буква диска, где находится установочный носитель.
    • Если программа adprep по-прежнему не запускается, просмотрите файл ADPREP.LOG в папке %systemroot%\System32\Debug\Adprep\Logs\Latest_log.
  4. Убедитесь, что изменения, внесенные командой adprep /domainprep, реплицированы. Для этого проверьте, выполняется ли для для оставшихся контроллеров в домене следующее условие.
    • CN=Windows2003Update,CN=DomainUpdates,CN=System,DC=путь имени обновляющегося доменасуществует, и значение атрибута Revision совпадает со значение аналогичного атрибута на компьютере-хозяине инфраструктуры домена.
    • (Необязательно) Найдите изменения, внесенные командой adprep /domainprep в объекты, атрибуты и таблицы управления доступом (Access Control List, ACL).
    Выполните шаги 1-4 на хозяевах инфраструктуры оставшихся доменов сразу или по мере добавления в них контроллеров домена под управлением Windows Server 2003. После этого компьютеры под управлением Windows Server 2003 могут быть добавлены к лесу при помощи программы DCPROMO. Вместо этого на существующих контроллерах домена под управлением Windows 2000 операционная система может быть обновлена до Windows Server 2003 с помощью программы WINNT32.EXE.

Обновление операционной системы контроллеров домена Windows 2000 с помощью программы Winnt32.exe

Прежде чем обновлять операционную систему на контроллерах домена с Windows 2000 до Windows 2003 Server или добавлять новые контроллеры домена под управлением Windows 2003 Server, необходимо принять решение о режиме взаимодействия со старыми версиями клиентов и дождаться, пока будут полностью реплицированы изменения, внесенные программами /forestprep и /domainprep.

В первую очередь операционная система Windows Server 2003 должна быть установлена на следующих компьютерах в каждом домене леса.
  • Хозяин именования домена в лесу — это позволит создавать программные разделы DNS, используемые по умолчанию.
  • Основной контроллер домена в корневом домене леса. Это сделает видимыми для редактора списков доступа участников безопасности уровня предприятия, добавленных командой forestprep Windows Server 2003.
  • Основной контроллер домена в остальных доменах леса. Это даст возможность создавать новых участников безопасности, характерных для доменов Windows 2003.
Для этого можно использовать программу WINNT32, чтобы обновить соответствующие существующие контроллеры доменов или передать роли новым контроллерам домена под управлением Windows Server 2003. На каждом контроллере домена под управлением Windows 2000, который будет обновляться до Windows Server 2003 с помощью программы WINNT32, а также на каждом компьютере под управлением Windows Server 2003, роль которого будет повышаться, выполните следующие действия.
  1. Перед запуском программы WINNT32 для обновления операционной системы удалите средства администрирования Windows 2000. Для этого воспользуйтесь средством «Установка и удаление программ» панели управления. (Только при обновлении Windows 2000.)
  2. Установите все файлы исправления и остальные существенные исправления, определенные корпорацией Майкрософт или администратором.
  3. Убедитесь в отсутствии возможных препятствий для обновления. Для этого запустите следующую программу из папки \I386 установочного носителя:
    winnt32.exe /checkupgradeonly
    Устраните обнаруженные проблемы совместимости.
  4. Запустите программу WINNT32.EXE из папки \I386 установочного носителя и перезагрузите обновленный контроллер домена.
  5. При необходимости понизьте параметры безопасности для работы с ранними версиями клиентов.

    Если на клиентах под управлением Windows NT 4.0 не установлен пакет обновления 6 (SP6) или на клиентах под управлением Windows 95 не установлен клиент службы каталогов Active Directory, необходимо в подразделении «Контоллеры домена» выбрать политику по умолчанию для контроллеров домена, запретить подписывание сообщений протокола SMB и привязать эту политику ко всем организационным подразделениям, содержащим контроллеры домена.
    Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности\Сервер сети Microsoft: Использовать цифровую подпись (всегда)
  6. Чтобы проверить, успешно ли прошло обновление, убедитесь в следующем.
    • Обновление завершилось без ошибок.
    • Соответствующие исходные двоичные файлы успешно заменены исправлениями, добавленными к установке.
    • Для контекстов именования контроллера домена завершилась входящая и исходящая репликация Active Directory.
    • Существуют общие папки Netlogon и Sysvol.
    • Журнал событий не содержит записей об ошибках контроллера домена и его служб.

      Примечание. После обновления может появиться сообщение о следующем событии:

      Тип события: Ошибка
      Источник события: Архивация NTDS
      Категория события: Архивация
      Код события: 1913
      Дата: Дата
      Время: ЧЧ:ММ:СС
      Пользователь: Н/Д
      Компьютер: имя_компьютера
      Описание: Внутренняя ошибка. В результате архивации и восстановления Active Directory возникла непредвиденная ошибка. Пока она не будет исправлена, выполнение архивации и восстановления будет невозможно.

      Данное сообщение может не приниматься во внимание.
  7. Установите средства администрирования для Windows Server 2003 (на обновленные компьютеры под управлением Windows 2000 и компьютеры под управлением Windows Server 2003, не являющиеся контроллерами домена). Файл Adminpak.msi находится в папке \I386 компакт-диска Windows Server 2003. Установочный диск Windows Server 2003 содержит обновленные средства поддержки, находящиеся в файле Support\Tools\Suptools.msi. Убедитесь, что данный файл переустановлен.
  8. В каждом домене леса выполните архивирование информации по крайней мере первых двух контроллеров домена под управлением Windows 2000, которые были обновлены до Windows Server 2003. Перенесите в отдельное хранилище носители с архивированными данными компьютеров под управлением Windows 2000, которые были обновлены до Windows Server 2003. Это предотвратит их случайное использование для восстановления данных на контроллерах домена под управлением Windows Server 2003.
  9. (Необязательно) На контроллерах домена, которые были обновлены до Windows Server 2003, после завершения установки хранилища единственных копий (Single Instanse Store, SIS) выполните дефрагментацию базы данных Active Directory в автономном режиме (только при обновлении с Windows 2000).

    Служба SIS анализирует разрешения на доступ к объектам, хранящимся в Active Directory, и применяет для этих объектов более эффективный дескриптор безопасности. Служба SIS запускается автоматически (при этом в журнале событий служба каталогов появляется запись о событии с кодом 1953) при первом запуске операционной системы Windows Server 2003 на обновленном контроллера домена. Преимущества от использования усовершенствованного дескриптора безопасности могут быть получены только после появления в журнале событий службы каталогов записи о событии с кодом 1966:

    Тип события: Уведомление
    Источник события: NTDS SDPROP
    Категория события: Внутренняя обработка
    Код события: 1966
    Дата: ДД/ММ/ГГГГ
    Время: ЧЧ:ММ:СС
    Пользователь: NT AUTHORITY\АНОНИМНЫЙ ВХОД
    Компьютер: <имя_компьютера>
    Описание: Службой распространения дескрипторов безопасности завершен полный цикл распространения.
    Выделено (МБ):
    XX Свободно (МБ): ХХ

    Это может увеличить свободное место в базе данных Active Directory.
    Действие пользователя: Попробуйте дефрагментировать базу данных в автономном режиме, чтобы освободить место, которое не используется в базе данных Active Directory. Для получения дополнительных сведений посетите веб-узел центра справки и поддержки по адресу http://support.microsoft.com.

    Данное сообщение свидетельствует о том, что служба SIS завершила операцию. После этого администратор должен выполнить дефрагментацию файла Ntds.dit в автономном режиме, используя программу NTDSUTIL.EXE.

    Дефрагментация в автономном режиме позволяет уменьшить размер файла Ntds.dit для Windows 2000, улучшить производительность службы Active Directory и обновить страницы в базе данных Active Directory для более эффективного хранения атрибутов. Для получения дополнительных сведений о дефрагментации базы данных Active Directory щелкните следующий номер статьи базы знаний Майкрософт:
    232122 Автономная дефрагментация базы данных Active Directory (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
  10. Проверьте состояние службы сервера DLT. При установке на контроллер домена операционной системы Windows Server 2003 либо при обновлении до этой операционной системы служба сервера DLT отключается. Если компьютеры под управлением Windows 2000 или Windows XP используют службу сервера DLT, необходимо в групповой политике включить эту службу на обновленных контроллерах домена под управлением Windows Server 2003. В противном случае необходимо удалить объекты отслеживания изменившихся связей из базы Active Directory. Для получения дополнительных сведений щелкните следующие номера статей базы знаний Майкрософт.
    312403 Отслеживание изменившихся связей (Distributed Link Tracking) на контроллерах доменов с ОС Windows
    315229 Текстовая версия Dltpurge.vbs к статье базы знаний Майкрософт Q312403 (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
    Удаление нескольких тысяч объектов DLT (или объектов другого типа) может привести к блокировке репликации из-за нехватки места в хранилище версий. Подождите tombstonelifetime дней (по умолчанию — 60 дней) после удаления последнего объекта DLT для завершения процесса очистки и выполните дефрагментацию файла Ntds.dit в автономном режиме с помощью программы NTDSUTIL.EXE.
  11. Создайте рекомендуемую структуру подразделений. Корпорация Майкрософт рекомендует администраторам развертывать во всех доменах Active Directory рекомендуемую структуру подразделений, а после обновления контроллеров домена до Windows Server 2003 и установки режима Windows Domain переадресовать контейнеры по умолчанию, используемые ранними версиями API для создания учетных записей пользователей, компьютеров и групп, на контейнеры подразделений, указанные администратором.

    Для получения дополнительных сведений о рекомендуемой структуре подразделений ознакомьтесь с главой «Creating an Organizational Unit Design» документа «Best Practice Active Directory Design for Managing Windows Networks». Для просмотра официального документа посетите следующий веб-узел корпорации Майкрософт:
    http://technet.microsoft.com/ru-ru/library/bb727085.aspx
    Для получения дополнительных сведений об изменении контейнера по умолчанию, в котором находятся пользователи, компьютеры и группы, созданные ранними версиями API, щелкните следующий номер статьи базы знаний Майкрософт:
    324949 Перенаправление контейнеров пользователей и компьютеров в доменах Windows Server 2003 (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
  12. При необходимости повторяйте шаги 1-10 для каждого нового или обновленного контроллера домена в лесу и шаг 11 (рекомендуемая структура подразделений) — для каждого домена Active Directory.

    Резюме.
    • Обновите контроллеры домена под управлением Windows 2000, используя программу WINNT32 (используйте установочный носитель со внесенными исправлениями, если таковой имеется).
    • Убедитесь, что на обновляемых компьютерах установлены исправленные файлы.
    • Установите исправления, отсутствующие на установочном диске.
    • Убедитесь в работоспособности новых или обновленных серверов (AD, FRS, политики и т.д.).
    • Через 24 часа после установки операционной системы выполните дефрагментацию в автономном режиме (необязательно).
    • Если необходимо, запустите службу DLT, в противном случае удалите объекты DLT, руководствуясь статьями q312403 / q315229.
    • Через 60 или более дней после удаления этих объектов выполните дефрагментацию в автономном режиме (количество дней определяется исходя из параметра tombstonelifetime и времени на сборку мусора).

Выполнение обновления в лабораторных условиях

Перед обновлением контроллеров работающего домена Windows 2000 необходимо провести пробное обновление в лабораторных условиях. Если в лаборатории полностью смоделирована реальная среда и если в лабораторных условиях обновление прошло нормально, то можно ожидать, что и в реальных условиях оно пройдет без ошибок. При моделировании сложной среды в лабораторной среде следует моделировать следующее.
  • Оборудование: тип компьютера, объем памяти, размещение файла подкачки, объем диска, производительность и настройка RAID, версии BIOS и микропрограмм.
  • Программное обеспечение: версии операционных систем клиента и сервера; приложения, установленные на сервере и на клиенте; версии пакетов обновления; установленные исправления; изменения схемы; группы безопасности; членство в группах; разрешения; параметры политик; тип и расположение счетчика объектов, а также вопросы взаимодействия различных версий приложений.
  • Инфраструктура сети: WINS, DHCP; скорости каналов связи; пропускная способность.
  • Нагрузка: используя соответствующие эмуляторы, можно смоделировать изменения паролей, создание объектов, репликацию Active Directory, проверку подлинности и другие события. Целью подобного моделирования не является создание уменьшенной копии реальной среды; его целями являются определение затрат на выполнение основных операций, частоты их выполнения и прогнозирование их возможного влияния на работу реальной среды сейчас и в будущем (за счет трафика репликации и разрешения имен, загрузки пропускной способности каналов связи, потребления ресурсов процессора и т.п.).
  • Администрирование: выполняемые задания; используемые средства; используемые операционные системы.
  • Работа: емкость и возможность взаимодействия.
  • Дисковое пространство: необходимо после каждой перечисленной ниже операции отследить начальное, конечное и максимальное значение размеров файлов журналов операционной системы, Ntds.dit и Active Directory на контроллерах домена, являющихся серверами глобального каталога либо не являющихся таковыми.
    1. adprep /forestprep
    2. adprep /domainprep
    3. Обновление контроллеров домена Windows 2000 до Windows Server 2003.
    4. Выполнение дефрагментации в автономном режиме после обновлений версий.
Степень сложности обновляемой среды, результаты моделирования и знание сути процесса обновления позволяют определить необходимый темп обновления, а также направления, требующие наибольшего внимания при обновлении. Среды, включающие небольшое число объектов Active Directory и контроллеров домена, соединенных надежными каналами связи, могут быть обновлены в течение нескольких часов, однако процесс обновления на предприятии, включающем несколько сотен контроллеров доменов и сотни тысяч объектов Active Directory, требует намного больше времени и усилий. В подобных случаях обновление может потребовать нескольких недель или месяцев.

Пробное обновление в лабораторных условиях предназначено для следующих целей.
  • Помогает понять суть процесса обновления и оценить возможные риски.
  • Выявляет потенциальные проблемы, которые могут возникнуть при обновлении реальной среды.
  • Дает возможность разработать и проверить план действий в случае неудачного обновления.
  • Определяет соответствующий уровень детализации при обновлении реального домена.

Отсутствие свободного места на контроллерах домена

Если на контроллере домена недостаточно свободного дискового пространства, выполните следующие действия, чтобы освободить пространство на томе, содержащем файлы журналов и Ntds.dit.
  1. Удалите неиспользуемые файлы, включая файлы с расширением TMP, и временные файлы, используемые обозревателем Интернета. Для этого в командной строке введите следующие команды. После каждой команды нажимайте клавишу ВВОД.
    cd /d drive\
    del *.tmp /s
  2. Удалите файлы дампов памяти и пользовательские файлы дампов. Для этого в командной строке введите следующие команды. После каждой команды нажимайте клавишу ВВОД.
    cd /d drive\
    del *.dmp /s
  3. Временно удалите или переместите файлы, которые могут быть легко переустановлены либо получены с других серверов. В число таких файлов входят ADMINPAK, набор Support Tools и все файлы в папке %systemroot%\System32\Dllcache.
  4. Удалите старые и неиспользуемые профили пользователей. Для этого нажмите кнопку Пуск, щелкните правой кнопкой мыши Мой компьютер, выберите Свойства, перейдите на вкладку Профили пользователей и удалите все профили старых или неиспользуемых учетных записей. Не удаляйте профили, которые могут использоваться служебными учетными записями.
  5. Удалите символы в папке %systemroot%\Symbols. Для этого выполните следующую команду:
    rd /s %systemroot%\symbols
    В зависимости от набора символов, который был на сервере, это освободит от 70 до 600 МБ.
  6. Выполните дефрагментацию в автономном режиме. Дефрагментация файла Ntds.dit в автономном режиме может освободить дополнительное дисковое пространство, однако временно увеличивает в два раза размер текущего файла DIT. Если присутствуют другие локальные диски, используйте их при дефрагментации в автономном режиме. При этом также можно использовать сервер, подключенный по сети (рекомендуется выбирать сервер, имеющий наибольшую скорость подключения). Если объем дискового пространства все еще недостаточен, последовательно удалите неиспользуемые учетные записи пользователей, компьютеров, записи DNS и объекты DLT из базы Active Directory.

    Примечание. Служба Active Directory не удаляет объекты из базы данных, пока не пройдет tombstonelifetime дней (по умолчанию — 60 дней) и не закончится процесс сборки мусора.. Уменьшение значения tombstonelifetime до величины меньшей, чем половина времени, требуемого на полное прохождение репликации в лесу, может привести к противоречиям в данных Active Directory.

Ссылки

Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
821076 В файлах справочной системы Windows Server 2003 содержатся неверные сведения о том, как обновить домен под управлением Windows 2000 (Эта ссылка может указывать на содержимое полностью или частично на английском языке)

Свойства

Код статьи: 325379 - Последний отзыв: 23 декабря 2009 г. - Revision: 23.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • операционная система Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Exchange 2000 Server Standard Edition
  • Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Datacenter x64 Edition
  • Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003 R2 Standard x64 Edition
Ключевые слова: 
kbinfo KB325379

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com