วิธีการปรับรุ่นตัวควบคุมโดเมน Windows 2000 กับ Windows Server 2003

การแปลบทความ การแปลบทความ
หมายเลขบทความ (Article ID): 325379 - ผลิตภัณฑ์ที่เกี่ยวข้องในบทความนี้
ขยายทั้งหมด | ยุบทั้งหมด

เนื้อหาบนหน้านี้

สรุป

บทความนี้อธิบายวิธีการปรับรุ่นตัวควบคุมโดเมนของ Microsoft Windows 2000 กับ Windows Server 2003 และวิธีการเพิ่มตัวควบคุมโดเมน Windows Server 2003 ใหม่ไปยังโดเมน Windows 2000 สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการปรับรุ่นตัวควบคุมโดเมน Windows Server 2008 หรือ Windows Server 2008 R2 แวะไปที่เว็บไซต์ต่อไปนี้ของ Microsoft:
http://technet.microsoft.com/en-us/library/ee522994 (WS.10) .aspx #

สินค้าคงคลังที่โดเมนและฟอเรสต์

ก่อนที่คุณปรับรุ่นตัวควบคุมโดเมน Windows 2000 กับ Windows Server 2003 หรือ ก่อนที่คุณเพิ่มตัวควบคุมโดเมน Windows Server 2003 ใหม่เข้ากับโดเมน Windows 2000 ทำตามขั้นตอนเหล่านี้:
  1. สินค้าคงคลังไคลเอ็นต์ที่เข้าถึงทรัพยากรในโดเมนที่โฮสต์ตัวควบคุมโดเมน Windows Server 2003 สำหรับความเข้ากันได้กับการลงลายมือชื่อใน smb:

    ตัวควบคุมโดเมน Windows Server 2003 แต่ละเปิดใช้งาน SMB ในการเซ็นชื่อในนโยบายการรักษาความปลอดภัยท้องถิ่น ตรวจสอบให้แน่ใจว่า ไคลเอนต์เครือข่ายทั้งหมดที่ใช้โพรโทคอล SMB/CIFS เพื่อเข้าถึงแฟ้มที่ใช้ร่วมกันและเครื่องพิมพ์ในโดเมนที่โฮสต์ตัวควบคุมโดเมน Windows Server 2003 สามารถกำหนดค่า หรือปรับรุ่นเพื่อสนับสนุนการลงลายมือชื่อใน smb ถ้าเป็นการชั่วคราวจะไม่สามารถ ปิดลงลายมือชื่อใน SMB จนกว่า จะสามารถติดตั้งโปรแกรมปรับปรุง หรือจน กว่าไคลเอนต์สามารถถูกปรับรุ่นระบบปฏิบัติการรุ่นใหม่ที่สนับสนุนการลงลายมือชื่อใน smb สำหรับข้อมูลเกี่ยวกับวิธีการยกเลิกการลงลายมือชื่อใน smb ให้ดู "เมื่อต้องการปิดการใช้งานการลงลายมือชื่อใน smb"ส่วนที่ตอนท้ายของขั้นตอนนี้

    แผนการดำเนินการ

    รายการต่อไปนี้แสดงแผนการดำเนินการสำหรับเครื่องไคลเอนต์ SMB ที่ได้รับความนิยม:
    • Microsoft Windows Server 2003, Microsoft Windows XP Professional, Microsoft Windows 2000 Server, Microsoft Windows 2000 Professional และ Microsoft Windows 98

      การดำเนินการที่ไม่จำเป็น
    • Microsoft Windows NT 4.0

      การติดตั้ง Service Pack 3 หรือรุ่นที่ใหม่กว่า (Service Pack 6A แนะนำ) ในการใช้ Windows NT 4.0 คอมพิวเตอร์ทั้งหมดที่เข้าถึงโดเมนที่ประกอบด้วยคอมพิวเตอร์ที่ใช้ Windows Server 2003 ปิดการใช้อีกวิธีหนึ่งคือ ชั่วคราวงาน SMB ในการเซ็นชื่อบนตัวควบคุมโดเมน Windows Server 2003 สำหรับข้อมูลเกี่ยวกับวิธีการยกเลิกการลงลายมือชื่อใน smb ให้ดู "เมื่อต้องการปิดการใช้งานการลงลายมือชื่อใน smb"ส่วนที่ตอนท้ายของขั้นตอนนี้
    • Microsoft Windows 95

      ติดตั้ง Windows 9xไคลบริการไดเรกทอรี บนคอมพิวเตอร์ที่ใช้ Windows 95 หรือเป็นการชั่วคราวปิดใช้งาน SMB ในการเซ็นชื่อบนตัวควบคุมโดเมน Windows Server 2003 Win9 ที่เดิมxไคลเอ็นต์บริการไดเรกทอรีที่มีอยู่บนซีดีรอมเซิร์ฟเวอร์ Windows 2000 อย่างไรก็ตาม โปรแกรม add-on ของไคลเอ็นต์ที่ได้ถูกแทนที่ ด้วย Win9 การปรับปรุงxไคลเอ็นต์บริการไดเรกทอรี สำหรับข้อมูลเกี่ยวกับวิธีการยกเลิกการลงลายมือชื่อใน smb ให้ดู "เมื่อต้องการปิดการใช้งานการลงลายมือชื่อใน smb"ส่วนที่ตอนท้ายของขั้นตอนนี้
    • ไคลเอ็นต์ของเครือข่าย Microsoft สำหรับเครื่องไคลเอนต์ MS-DOS และผู้จัดการ LAN ของ Microsoft

      ไคลเอ็นต์เครือข่ายของ Microsoft สำหรับ MS-DOS และไคลเอ็นต์ของเครือข่าย 2.x ผู้จัดการ LAN Microsoft อาจถูกใช้เพื่อให้การเข้าถึงทรัพยากรของเครือข่าย หรือดังกล่าวอาจถูกรวมกับฟลอปปีดิสก์สำหรับการคัดลอกแฟ้มระบบปฏิบัติการและแฟ้มอื่น ๆ จากไดเรกทอรีที่ใช้ร่วมกันบนเซิร์ฟเวอร์แฟ้มเป็นส่วนหนึ่งของขั้นตอนการติดตั้งซอฟต์แวร์ ไคลเอ็นต์เหล่านี้ไม่สนับสนุนการลงลายมือชื่อใน smb ใช้วิธีการติดตั้งการสำรอง หรือปิดการใช้งานการลงลายมือชื่อใน smb สำหรับข้อมูลเกี่ยวกับวิธีการยกเลิกการลงลายมือชื่อใน smb ให้ดู "เมื่อต้องการปิดการใช้งานการลงลายมือชื่อใน smb"ส่วนที่ตอนท้ายของขั้นตอนนี้
    • ไคลเอ็นต์ของ macintosh

      ไคลเอ็นต์บาง Macintosh ไม่ลายมือชื่อใน SMB ในการเข้าสู่ระบบที่เข้ากันได้ และจะได้รับข้อความแสดงข้อผิดพลาดต่อไปนี้เมื่อพวกเขาพยายามเชื่อมต่อกับทรัพยากรเครือข่าย:
      -ผิดพลาด-36 I/O
      ติดตั้งการปรับปรุงซอฟต์แวร์ถ้ามี มิฉะนั้น ปิด SMB ที่มีการเซ็นชื่อบนตัวควบคุมโดเมน Windows Server 2003 สำหรับข้อมูลเกี่ยวกับวิธีการยกเลิกการลงลายมือชื่อใน smb ให้ดู "เมื่อต้องการปิดการใช้งานการลงลายมือชื่อใน smb"ส่วนที่ตอนท้ายของขั้นตอนนี้
    • ไคลเอ็นต์ SMB อื่น ๆ ของบริษัทอื่น

      ไคลเอนต์ SMB อื่น ๆ บางอย่างไม่สนับสนุนการลงลายมือชื่อใน smb ปรึกษาผู้ให้บริการ SMB เพื่อดูว่า มีรุ่นที่ปรับปรุงแล้วมีอยู่ มิฉะนั้น ปิด SMB ที่มีการเซ็นชื่อบนตัวควบคุมโดเมน Windows Server 2003
    เมื่อต้องการปิดการใช้งานการลงลายมือชื่อใน smb

    หากโปรแกรมปรับปรุงซอฟต์แวร์ไม่สามารถติดตั้งตัวควบคุมโดเมนที่ได้รับผลกระทบที่ใช้ Windows 95, Windows NT 4.0 หรือไคลเอ็นต์อื่น ๆ ที่ติดตั้งก่อนที่จะแนะนำของ Windows Server 2003 บริการ SMB ที่เซ็นชื่อข้อกำหนดในนโยบายกลุ่มได้จนกว่าคุณสามารถปรับใช้ที่ปิดใช้งานชั่วคราว ปรับปรุงซอฟต์แวร์ของไคลเอ็นต์

    You can disable SMB service signing in the following node of Default Domain Controllers policy on the domain controllers organizational unit:
    Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\Microsoft Network Server: Digitally sign communications (always)
    If domain controllers are not located in the domain controller's organizational unit, you must link the default domain controller's Group Policy object (GPO) to all organizational units that host Windows 2000 or Windows Server 2003 domain controllers. Or, you can configure SMB service signing in a GPO that is linked to those organizational units.
  2. Inventory the domain controllers that are in the domain and in the forest:
    1. Make sure that all the Windows 2000 domain controllers in the forest have installed all the appropriate hotfixes and service packs.

      Microsoft recommends that all the Windows 2000 domain controllers run the Windows 2000 Service Pack 4 (SP4) or later operating systems. If you cannot fully deploy Windows 2000 SP4 or later, all the Windows 2000 domain controllersจำเป็นhave an Ntdsa.dll file whose date stamp and version is later than June 4th, 2001 and 5.0.2195.3673.สำหรับข้อมูลเพิ่มเติม ให้คลิกหมายเลขบทความต่อไปนี้ เพื่อดูบทความในฐานความรู้ของ Microsoft::
      331161Hotfixes to install before you run adprep /Forestprep on a Windows 2000 domain controller to prepare the Forest and domains for the addition of Windows Server 2003-based domain controllers
      By default, Active Directory administrative tools on Windows 2000 SP4, Windows XP, and Windows Server 2003 client computers use Lightweight Directory Access Protocol (LDAP) signing. If such computers use (or fall back to) NTLM authentication when they remotely administer Windows 2000 domain controllers, the connection will not work. To resolve this behavior, remotely administered domain controllers should have a minimum of Windows 2000 SP3 installed. Otherwise you should turn off LDAP signing on the clients that run the administration tools.For more information about LDAP, click the following article numbers to view the articles in the Microsoft Knowledge Base:
      325465Windows 2000 domain controllers require Service Pack 3 or later when using Windows Server 2003 administration tools
      The following scenarios use NTLM authentication:
      • You administer Windows 2000 domain controllers that are located in an external forest connected by an NTLM (non-Kerberos) trust.
      • You focus Microsoft Management Console (MMC) snap-ins against a specific domain controller that is referenced by its IP address. For example, you clickเริ่มการทำงานคลิกเรียกใช้, and then type the following command:
        dsa.msc /server=ipaddress
      To determine the operating system and the service pack revision level of Active Directory domain controllers in an Active Directory domain, install the Windows Server 2003 version of Repadmin.exe on a Windows XP Professional or Windows Server 2003 member computer in the forest, and then run the followingrepadmincommand against a domain controller in each domain in the forest:
      >repadmin /showattrname of the domain controller that is in the target domainncobj:domain: /filter:"(&(objectCategory=computer)(primaryGroupID=516))" /subtree /atts:operatingSystem,operatingSystemVersion,operatingSystemServicePack

      DN: CN=NA-DC-01,organizational unit=Domain Controllers,DC=company,DC=com
      1> operatingSystem: Windows Server 2003
      1> operatingSystemVersion: 5.2 (3718)
      DN: CN=NA-DC-02,organizational unit=Domain Controllers,DC=company,DC=com

      1> operatingSystem: Windows 2000 Server
      1> operatingSystemVersion: 5.0 (2195)
      1> operatingSystemServicePack: Service Pack 1
      หมายเหตุ:: The domain controller's attributes do not track the installation of individual hotfixes.
    2. Verify the end-to-end Active Directory replication throughout the forest.

      Verify that each domain controller in the upgraded forest replicates all its locally held naming contexts with its partners consistently with the schedule that site links or connection objects define. Use the Windows Server 2003 version of Repadmin.exe on a Windows XP- or Windows Server 2003-based member computer in the forest with the following arguments:
      REPADMIN /REPLSUM /BYSRC /BYDEST /SORT:DELTA              <-output formatted to fit on page
      
      DestDC    largest delta    fails/total  %%  error
      
      NA-DC-01 13d.21h:10m:10s    97 / 143  67  (8240) There is no such object...
      NA-DC-02 13d.04h:11m:07s   180 / 763  23  (8524) The DSA operation...
      NA-DC-03 12d.03h:54m:41s     5 /   5 100  (8524) The DSA operation...
      ตัวควบคุมโดเมนทั้งหมดในฟอเรสต์ต้องทำซ้ำ Active Directory โดยไม่มีข้อผิดพลาด และค่าในคอลัมน์ "เดลต้าใหญ่ที่สุด" ของผลลัพธ์ repadmin ไม่ควรมากมากกว่าความถี่ของการทำแบบจำลองบนการเชื่อมโยงไซต์ที่สอดคล้องกันหรือวัตถุที่เชื่อมต่อที่ใช้ โดยตัวควบคุมโดเมนปลายทางที่กำหนด

      แก้ไขข้อผิดพลาดการทำแบบจำลองทั้งหมดระหว่างตัวควบคุมโดเมนที่มีการล้มเหลวในการขาเข้า replicate ในน้อยกว่า Tombstone อายุการใช้งาน (TSL) จำนวนวันที่ (โดยค่าเริ่มต้น 60 วัน) ถ้าไม่สามารถทำการจำลองแบบทำงาน คุณอาจต้องการบังคับให้มีการลดระดับตัวควบคุมโดเมนที่ และเอาแฟ้มออกจากฟอเรสต์ โดยใช้การ Ntdsutilการล้างข้อมูลเมต้าดาต้าคำสั่ง และเลื่อนเหล่านั้นกลับเข้าไปในฟอเรสต์ คุณสามารถใช้ demotion ที่ forceful เพื่อบันทึกการติดตั้งระบบปฏิบัติการและโปรแกรมต่าง ๆ ที่อยู่บนตัวควบคุมโดเมน orphanedสำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการเอาตัวควบคุมโดเมน Windows 2000 orphaned จากโดเมนของตนเอง ให้คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
      216498How to remove data in Active Directory after an unsuccessful domain controller demotion
      Take this action only as a last resort to recover the installation of the operating system and the installed programs. You will lose unreplicated objects and attributes on orphaned domain controllers including users, computers, trust relationships, their passwords, groups and group memberships.

      Be careful when you try to resolve replication errors on domain controllers that have not replicated inbound changes for a particular Active Directory partition for greater thantombstonelifetimenumber of days. When you do so, you may reanimate objects that were deleted on one domain controller but for which direct or transitive replication partners never received the deletion in the previous 60 days.

      Consider removing any lingering objects that reside on domain controllers that have not performed inbound replication in the last 60 days. Alternatively, you can forcefully demote domain controllers that have not performed any inbound replication on a given partition in tombstone lifetime number of days and remove their remaining metadata from the Active Directory forest by using Ntdsutil and other utilities. Contact your support provider or Microsoft PSS for additional help.
    3. Verify that the contents of the Sysvol share are consistent.

      Verify that the file system portion of group policy is consistent. You can use Gpotool.exe from the Resource Kit to determine whether there are inconsistencies in policies across a domain. Use Healthcheck from the Windows Server 2003 support tools to determine whether the Sysvol share replica sets function correctly in each domain.

      If the contents of the Sysvol share are inconsistent, resolve all the inconsistencies.
    4. Use Dcdiag.exe from the support tools to verify that all the domain controllers have shared Netlogon and Sysvol shares. To do so, type the following command at a command prompt:
      DCDIAG.EXE /e /test:frssysvol
    5. Inventory the operations roles.

      The schema and infrastructure operations masters are used to introduce forest and domain-wide schema changes to the forest and its domains that are made by the Windows Server 2003adprepโปรแกรมอรรถประโยชน์ Verify that the domain controller that hosts the schema role and infrastructure role for each domain in the forest reside on live domain controllers and that each role owner has performed inbound replication over all partitions since they were last restarted.

      กระบวนการDCDIAG /test:FSMOCHECKcommand can be used to view forest-wide and domain-wide operational roles. Operations master roles that reside on non-existent domain controllers should be seized to a healthy domain controller by using NTDSUTIL. Roles that reside on unhealthy domain controllers should be transferred if possible. Otherwise, they should be seized. กระบวนการNETDOM QUERY FSMOcommand does not identify FSMO roles that reside on deleted domain controllers.

      Verify that the schema master and each infrastructure master has performed inbound replication of Active Directory since last booted. Inbound replication can be verified by using theREPADMIN /SHOWREPSDCNAMEคำสั่ง ที่ใดDCNAMEis the NetBIOS computer name or the fully qualified computer name of a domain controller.For more information about operations masters and their placement, click the following article numbers to view the articles in the Microsoft Knowledge Base:
      197132Windows 2000 Active Directory FSMO roles
      223346FSMO placement and optimization on Active Directory domain controllers
    6. EventLog Review

      Examine the event logs on all the domain controllers for problematic events. The event logs must not contain serious event messages that indicate a problem with any of the following processes and components:
      physical connectivity
      network connectivity
      name registration
      name resolution
      รับรองความถูกต้อง
      นโยบายกลุ่ม
      security policy
      disk subsystem
      เค้าร่าง
      topology
      replication engine
    7. Disk Space Inventory

      The volume that hosts the Active Directory database file, Ntds.dit, must have free space equal to at least 15-20% of the Ntds.dit file size. The volume that hosts the Active Directory log file must also have free space equal to at least 15-20% of the Ntds.dit file size. For additional information about how to free up additional disk space, see the "Domain Controllers Without Sufficient Disk Space" section of this article.
    8. DNS Scavenging (Optional)

      Enable DNS Scavenging at 7-day intervals for all DNS servers in the forest. For best results, perform this operation 61 or more days before you upgrade the operating system. This provides the DNS scavenging daemon sufficient time to garbage-collect the aged DNS objects when an offline defragmentation is performed on the Ntds.dit file.
    9. Disable the DLT Server Service (Optional)

      The DLT Server service is disabled on new and upgraded installations of Windows Server 2003 domain controllers. If distributed link tracking is not used, you can disable the DLT Server service on your Windows 2000 domain controllers and begin deleting DLT objects from each domain in the forest. For additional information, see the "Microsoft Recommendations for distributed link tracking" section of the following article in the Microsoft Knowledge Base:
      312403Distributed Link Tracking on Windows-based domain controllers
    10. System State Backup

      Make a system state backup of at least two domain controllers in every domain in the forest. You can use the backup to recover all the domains in the forest if the upgrade does not work.

Microsoft Exchange 2000 in Windows 2000 forests

หมายเหตุ
  • If Exchange 2000 Server is installed, or will be installed, in a Windows 2000 forest, read this section before you run the Windows Server 2003adprep /forestprepคำสั่ง
  • If Microsoft Exchange Server 2003 schema changes will be installed, go to the "Overview: Upgrading Windows 2000 domain controllers to Windows Server 2003" section before you run the Windows Server 2003adprepคำสั่ง
The Exchange 2000 schema defines threeinetOrgPersonattributes with non-Request for Comment (RFC)-compliant LDAPDisplayNames:houseIdentifier,secretaryและlabeledURI.

The Windows 2000 inetOrgPerson Kit and the Windows Server 2003adprepcommand define RFC-complaint versions of the same three attributes with identical LDAPDisplayNames as the non-RFC-compliant versions.

When the Windows Server 2003adprep /forestprepcommand is run without corrective scripts in a forest that contains Windows 2000 and Exchange 2000 schema changes, the LDAPDisplayNames for thehouseIdentifier,labeledURIและsecretaryattributes become mangled. An attribute becomes “mangled” if "Dup" or other unique characters are added to the beginning of the conflicted attribute name so that objects and attributes in the directory have unique names.


Active Directory forests are not vulnerable to mangled LDAPDisplayNames for these attributes in the following cases:
  • If you run the Windows Server 2003adprep /forestprepcommand in a forest that contains the Windows 2000 schema before you add the Exchange 2000 schema.
  • หากคุณติดตั้ง schema Exchange 2000 ในฟอเรสต์ที่ถูก สร้างขึ้น โดย Windows Server 2003 ตัวควบคุมโดเมนมีตัวควบคุมโดเมนแรกในฟอเรสต์
  • ถ้าคุณเพิ่ม inetOrgPerson Windows 2000 Kit ฟอเรสต์ ที่ประกอบด้วยเค้าร่างของ Windows 2000 และจากนั้น คุณติดตั้งการเปลี่ยนแปลง schema ของ Exchange 2000 และจากนั้น คุณเรียกใช้ Windows Server 2003adprep /forestprepคำสั่ง
  • ถ้าคุณสามารถเพิ่ม schema ของ Exchange 2000 ในฟอเรสต์ Windows 2000 ที่มีอยู่ แล้วรัน /forestprep Exchange 2003 ก่อนที่จะเรียกใช้คำสั่ง /forestprep adprep Windows Server 2003
แอตทริบิวต์ mangled จะเกิดขึ้นใน Windows 2000 ในกรณีต่อไปนี้:
  • ถ้าคุณเพิ่มใน Exchange 2000 รุ่นนี้labeledURIกระบวนการhouseIdentifierและsecretaryแอตทริบิวต์การฟอเรสต์ Windows 2000 ก่อนที่คุณติดตั้ง inetOrgPerson Windows 2000 Kit
  • คุณเพิ่มใน Exchange 2000 รุ่นนี้labeledURIกระบวนการhouseIdentifierและsecretaryแอตทริบิวต์การฟอเรสต์ Windows 2000 ก่อนที่คุณเรียกใช้ Windows Server 2003adprep /forestprepคำสั่ง โดยไม่มีการรันสคริปต์การล้างข้อมูลแรก
ทำตามแผนการดำเนินการสำหรับแต่ละสถานการณ์สมมติ:

สถานการณ์ที่ 1: การเปลี่ยนแปลง schema ของ Exchange 2000 เพิ่มเข้าไปหลังจากที่คุณเรียกใช้คำสั่ง /forestprep adprep Windows Server 2003

ถ้าการเปลี่ยนแปลง schema ของ Exchange 2000 จะสามารถแนะนำเพื่อฟอเรสต์ Windows 2000 ของคุณหลังจากที่ Windows Server 2003adprep /forestprepมีการเรียกใช้คำสั่ง การล้างข้อมูลไม่ถูกต้อง ไป "ภาพรวม: ปรับรุ่นตัวควบคุมโดเมน Windows 2000 กับ Windows Server 2003"ส่วน

สถานการณ์ที่ 2: การเปลี่ยนแปลง schema ของ Exchange 2000 จะถูกติดตั้งก่อนที่จะสั่ง /forestprep adprep ของ Windows Server 2003

ถ้าการเปลี่ยนแปลง schema ของ Exchange 2000 ได้ถูกติดตั้งไว้แล้ว แต่คุณไม่ได้เรียกใช้ Windows Server 2003adprep /forestprepคำสั่ง พิจารณาแผนการดำเนินการต่อไปนี้:
  1. เข้าสู่ระบบคอนโซลของเครื่องเก็บ schema หลักการดำเนินการ โดยใช้แอคเคาท์ที่เป็นสมาชิกของกลุ่มรักษาความปลอดภัย domain Admins เค้าร่าง
  2. คลิกเริ่มการทำงานคลิกเรียกใช้ประเภท:notepad.exeในการOPENกล่อง แล้วคลิกตกลง.
  3. การคัดลอกข้อความต่อไปนี้รวมถึงยัติภังค์ต่อท้ายหลัง " schemaUpdateNow: 1 " ไปยังแผ่นจดบันทึก
    dn: CN = ms - Exch - ผู้ช่วย - ชื่อ CN =แบบแผน CN =การตั้งค่าคอนฟิก DC = X
    changetype: ปรับเปลี่ยน
    แทน: LDAPDisplayName
    LDAPDisplayName: msExchAssistantName
    -

    dn: CN = ms - Exch - LabeledURI, CN =แบบแผน CN =การตั้งค่าคอนฟิก DC = X
    changetype: ปรับเปลี่ยน
    แทน: LDAPDisplayName
    LDAPDisplayName: msExchLabeledURI
    -

    dn: CN = ms - Exch - บ้าน-ตัวบ่งชี้ CN =แบบแผน CN =การตั้งค่าคอนฟิก DC = X
    changetype: ปรับเปลี่ยน
    แทน: LDAPDisplayName
    LDAPDisplayName: msExchHouseIdentifier
    -

    dn::
    changetype: ปรับเปลี่ยน
    เพิ่ม: schemaUpdateNow
    schemaUpdateNow: 1
    -
  4. ยืนยันว่า ไม่มีพื้นที่ว่างที่ตอนท้ายของแต่ละบรรทัด
  5. ในการแฟ้ม:เมนู คลิกบันทึก. ในการบันทึกเป็นกล่องโต้ตอบกล่อง ทำตามขั้นตอนเหล่านี้:
    1. ในการชื่อแฟ้มกล่อง พิมพ์ต่อไปนี้:
      \%userprofile%\InetOrgPersonPrevent.ldf
    2. ในการบันทึกเป็นชนิดกล่อง คลิกแฟ้มทั้งหมด.
    3. ในการการเข้ารหัสกล่อง คลิกunicode.
    4. คลิกบันทึก.
    5. ออกจาก Notepad
  6. เรียกใช้สคริปต์ InetOrgPersonPrevent.ldf
    1. คลิกเริ่มการทำงานคลิกเรียกใช้ประเภท:cmdในการOPENกล่อง แล้วคลิกตกลง.
    2. หน้าจอพร้อมรับคำสั่ง พิมพ์ต่อไปนี้ และกด enter:
      ซีดีโปรไฟล์ผู้ใช้%%
    3. พิมพ์คำสั่งต่อไปนี้
      c:\documents และ settings\%username%>ldifde -i -f inetorgpersonprevent.ldf - v - c DC = X "เส้นทางของชื่อโดเมนสำหรับโดเมนรากของฟอเรสต์"
      หมายเหตุไวยากรณ์:
      • DC = X คือ ค่าคง case-sensitive
      • เส้นทางของชื่อโดเมนสำหรับโดเมนหลักต้องมีอยู่ในอัญประกาศ
      ตัวอย่างเช่น จะเป็นไวยากรณ์คำสั่งสำหรับฟอเรสต์ Active Directory มีโดเมนซึ่งมีรากของฟอเรสต์จะ TAILSPINTOYS.COM:
      c:\documents และ settings\administrator > ldifde -i -f inetorgpersonprevent.ldf - v - c DC = X " dc = tailspintoys, dc = com "
      หมายเหตุ:คุณอาจต้องการเปลี่ยนแปลงนั้น
      อนุญาตให้ใช้การปรับปรุง schema
      จิสตรีซับคีย์หากคุณได้รับข้อความแสดงข้อความแสดงข้อผิดพลาดต่อไปนี้:
      ปรับปรุง schema ไม่ได้รับอนุญาตบน DC นี้เนื่องจากไม่มีการตั้งค่ารีจิสทรีคีย์ หรือ DC ไม่ใช่เค้าร่างเจ้าของบทบาทของ FSMO
      สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการเปลี่ยนคีย์ย่อยของรีจิสทรีนี้ ให้คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
      285172ปรับปรุง schema ต้องการเขียนการเข้าถึง schema ใน Active Directory
  7. ตรวจสอบว่า LDAPDisplayNames สำหรับการ CN = ms - Exch - ผู้ช่วย - ชื่อ CN = ms LabeledURI - Exch- และ CN =แอตทริบิวต์ ms-Exch-บ้านตัวบ่งชี้ในบริบทการตั้งชื่อเค้าร่างจะ ปรากฏขึ้นเป็น msExchAssistantName, msExchLabeledURI และ msExchHouseIdentifier ก่อนที่คุณเรียกใช้ Windows Server 2003adprep /forestprepคำสั่ง
  8. ไป "ภาพรวม: ปรับรุ่นตัวควบคุมโดเมน Windows 2000 กับ Windows Server 2003"ส่วนการทำงานนี้adprep /forestprepและ/domainprepคำสั่ง

สถานการณ์ที่ 3: คำสั่ง forestprep Windows Server 2003 ถูกรันโดยไม่ต้อง inetOrgPersonFix แรกที่กำลังทำงานอยู่

หากคุณเรียกใช้ Windows Server 2003adprep /forestprepคำสั่งในฟอเรสต์ของ Windows 2000 ที่ประกอบด้วยใน Exchange 2000 schema เปลี่ยน แอตทริบิวต์ LDAPDisplayName สำหรับhouseIdentifier,secretaryและlabeledURIจะกลายเป็น mangled เมื่อต้องการระบุชื่อ mangled ใช้ Ldp.exe เพื่อค้นหาแอตทริบิวต์ที่ได้รับผลกระทบ:
  1. ติดตั้ง Ldp.exe จากโฟลเดอร์ Support\Tools สื่อ Microsoft Windows 2000 หรือ Windows Server 2003
  2. เริ่ม Ldp.exe จากตัวควบคุมโดเมนหรือคอมพิวเตอร์สมาชิกในฟอเรสต์
    1. ในการเชื่อมต่อเมนู คลิกเชื่อมต่อปล่อยเซิร์ฟเวอร์:ชนิดที่ว่างเปล่า กล่อง389ในการพอร์ตกล่อง แล้วคลิกตกลง.
    2. ในการเชื่อมต่อเมนู คลิกผูกปล่อยให้กล่องทั้งหมดว่าง และจากนั้น คลิกตกลง.
  3. บันทึกเส้นทางของชื่อที่แตกต่างสำหรับแอตทริบิวต์ SchemaNamingContext ตัวอย่างเช่น สำหรับตัวควบคุมโดเมนในฟอเรสต์ CORP.ADATUM.COM เส้นทางของชื่อที่แตกต่างอาจ CN =แบบแผน CN =การตั้งค่าคอนฟิก DC =สร้าง DC =บริษัท DC = com ได้
  4. ในการเรียกดูเมนู คลิกค้นหา.
  5. ใช้การตั้งค่าต่อไปนี้เพื่อตั้งค่าคอนฟิกค้นหากล่องโต้ตอบ:
    • ฐาน DN: แบบเส้นชื่อที่แตกต่างของ schema บริบทการตั้งชื่อที่ระบุไว้ในขั้นตอนที่ 3
    • ตัวกรอง: (ldapdisplayname = dup *)
    • ขอบเขต:: ลำดับชั้นย่อย
  6. mangledhouseIdentifier,secretaryและlabeledURIแอตทริบิวต์มีแอตทริบิวต์ LDAPDisplayName ที่คล้ายกับรูปแบบต่อไปนี้:
    LDAPDisplayName: DUP-labeledURI-9591bbd3-d2a6-4669-afda-48af7c35507d
    LDAPDisplayName: DUP-secretary-c5a1240d-70c0-455c-9906-a4070602f85f
    LDAPDisplayName: DUP-houseIdentifier-354b0ca8-9b6c-4722-aae7-e66906cc9eef
  7. ถ้า LDAPDisplayNames สำหรับlabeledURI,secretaryและhouseIdentifierถูก mangled ในขั้นตอนที่ 6 เรียกใช้สคริปต์ InetOrgPersonFix.ldf 2003 Server Windows การกู้คืน แล้ว ไป "Upgrading Windows 2000 domain controllers with Winnt32.exe"ส่วน
    1. Create a folder named %Systemdrive%\IOP, and then extract the InetOrgPersonFix.ldf file to this folder.
    2. หน้าจอพร้อมรับคำสั่ง พิมพ์cd %systemdrive%\iop.
    3. Extract the InetOrgPersonFix.ldf file from the Support.cab file that is located in the Support\Tools folder of the Windows Server 2003 installation media.
    4. From the console of the schema operations master, load the InetOrgPersonFix.ldf file by using Ldifde.exe to correct theLdapDisplayNameคุณลักษณะขององค์ประกอบนั้นhouseIdentifier,secretaryและlabeledURIattributes. To do so, type the following command, where <x> is a case-sensitive constant and <dn path="" for="" forest="" root="" domain=""> is the domain name path for the root domain of the forest: </dn></x>
      C:\IOP>ldifde -i -f inetorgpersonfix.ldf -v -c DC=X "เส้นทางของชื่อโดเมนสำหรับโดเมนรากของฟอเรสต์"
      หมายเหตุไวยากรณ์:
      • DC = X คือ ค่าคง case-sensitive
      • เส้นทางของชื่อโดเมนสำหรับโดเมนรากของฟอเรสต์ต้องมีอยู่ในอัญประกาศ
  8. ตรวจสอบว่า การhouseIdentifier,secretaryและlabeledURIแอตทริบิวต์ในบริบทการตั้งชื่อเค้าร่างจะไม่ "mangled" ก่อนที่คุณติดตั้ง Exchange 2000
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความขัดแย้งของ schema ที่เกี่ยวข้องกับบริการสำหรับ UNIX รุ่น 2.0 คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
293783ไม่สามารถปรับรุ่นเซิร์ฟเวอร์ของ Windows 2000 กับ Windows Server 2003 ด้วย Windows Services สำหรับ UNIX 2.0 ที่ติดตั้ง

ภาพรวม: ปรับรุ่นตัวควบคุมโดเมน Windows 2000 กับ Windows Server 2003

Windows Server 2003adprepคำสั่งที่คุณเรียกใช้จากโฟลเดอร์ \I386 สื่อ Windows Server 2003 ที่ เตรียมฟอเรสต์ Windows 2000 และของโดเมนสำหรับการเพิ่มตัวควบคุมโดเมน Windows Server 2003 Windows Server 2003adprep /forestprepคำสั่งเพิ่มลักษณะการทำงานต่อไปนี้:
  • ตัวบอกลักษณะของการรักษาความปลอดภัยเริ่มต้นการปรับปรุงแล้วสำหรับคลาสของวัตถุ
  • ผู้ใช้และกลุ่มคุณลักษณะใหม่
  • วัตถุแบบแผนใหม่และแอตทริบิวต์ต้อง inetOrgPerson
กระบวนการadprepโปรแกรมอรรถประโยชน์สนับสนุนอาร์กิวเมนต์บรรทัดคำสั่งที่สอง:
adprep /forestprep: ดำเนินการปรับรุ่นฟอเรสต์ทำงาน
adprep /domainprep: โดเมนในการปรับรุ่นการดำเนินงานที่ทำงาน
กระบวนการadprep /forestprepคำสั่งถูกดำเนินการครั้งเดียวที่ดำเนินการแผนการดำเนินงานหลัก (FSMO) ของฟอเรสต์ กระบวนการforestprepต้องการให้เสร็จสมบูรณ์ และทำซ้ำการวางแผนหลักของโครงสร้างพื้นฐานของแต่ละโดเมนก่อนที่คุณสามารถเรียกใช้การดำเนินการadprep /domainprepในโดเมน

กระบวนการadprep /domainprepคำสั่งถูกดำเนินการครั้งเดียวที่คุณเรียกใช้บนตัวควบคุมโดเมนหลักการดำเนินงานโครงสร้างพื้นฐานของแต่ละโดเมนในฟอเรสต์ที่จะโฮสต์คอนโทรลเลอร์โดเมน Windows Server 2003 ใหม่ หรือเกรด กระบวนการadprep /domainprepคำสั่งตรวจสอบที่เปลี่ยนแปลงจากforestprepมีการจำลองแบบในพาร์ติชันของโดเมน และจากนั้น ทำให้การเปลี่ยนแปลงของคุณเองไปยังโดเมนพาร์ติชันและกลุ่มนโยบายใน Sysvol ใช้ร่วมกัน

คุณไม่สามารถทำอย่างใดอย่างหนึ่งของการดำเนินการต่อไปนี้นอกจากนี้/forestprepและ/domainprepการดำเนินได้เสร็จสมบูรณ์ และการจำลองแบบไปยังตัวควบคุมโดเมนทั้งหมดในโดเมนนั้น:
  • การปรับรุ่นตัวควบคุมโดเมนของ Windows 2000 กับตัวควบคุมโดเมน Windows Server 2003 โดยใช้ Winnt32.exe

    หมายเหตุ:: คุณสามารถปรับรุ่นเซิร์ฟเวอร์สมาชิกของ Windows 2000 และคอมพิวเตอร์ไปยังคอมพิวเตอร์สมาชิกของ Windows Server 2003 เมื่อใดก็ ตามที่คุณต้องการ
  • เลื่อนตัวควบคุมโดเมน Windows Server 2003 ใหม่ลงในโดเมน โดยใช้ Dcpromo.exe
โดเมนที่เป็นโฮสต์เครื่องเก็บ schema หลักการดำเนินคือ โดเมนเท่านั้นที่คุณต้องรันทั้งสองอย่างadprep /forestprepและadprep /domainprep. ในโดอื่น ๆ เมนทั้งหมด คุณเพียงต้องการเรียกใช้adprep /domainprep.

กระบวนการadprep /forestprepและadprep /domainprepคำสั่งไม่เพิ่มแอตทริบิวต์การคุณลักษณะบางส่วนของแค็ตตาล็อกส่วนกลางตั้งค่า หรือทำให้การซิงโครไนส์เต็มของแค็ตตาล็อกส่วนกลาง The RTM version ofadprep /domainprepdoes cause a full sync of the \Policies folder in the Sysvol tree. Even if you runforestprepและdomainprepseveral times, completed operations are performed only one time.

After the changes fromadprep /forestprepและadprep /domainprepcompletely replicate, you can upgrade the Windows 2000 domain controllers to Windows Server 2003 by running Winnt32.exe from the \I386 folder of the Windows Server 2003 media. Also, you can add new Windows Server 2003 domain controllers to the domain by using Dcpromo.exe.

Upgrading the forest with the adprep /forestprep command

To prepare a Windows 2000 forest and domains to accept Windows Server 2003 domain controllers, follow these steps first in a lab environment, then in a production environment:
  1. Make sure that you have completed all the operations in the "Forest Inventory" phase with special attention to the following items:
    1. You have created system state backups.
    2. All the Windows 2000 domain controllers in the forest have installed all the appropriate hotfixes and service packs.
    3. End-to-end replication of Active Directory is occurring throughout the forest
    4. FRS replicates the file system policy correctly throughout each domain.
  2. Log on to the console of the schema operations master with an account that is a member of the Schema Admins security group.
  3. Verify that the schema FSMO has performed inbound replication of the schema partition by typing the following at a Windows NT command prompt:
    repadmin /showreps
    (repadminis installed by the Support\Tools folder of Active Directory.)
  4. Early Microsoft documentation recommends that you isolate the schema operations master on a private network before you runadprep /forestprep. Real-world experience suggests that this step is not necessary and may cause a schema operations master to reject schema changes when it is restarted on a private network. If you want to isolate schema additions that were made byadprep, Microsoft recommends that you temporarily disable outbound replication of Active Directory with therepadminโปรแกรมอรรถประโยชน์บรรทัดคำสั่ง To do this, following these steps:
    1. คลิกเริ่มการทำงานคลิกเรียกใช้ประเภท:cmdแล้ว คลิกตกลง.
    2. Type the following, and then press ENTER:
      repadmin /options +DISABLE_OUTBOUND_REPL
  5. เรียกใช้adprepon the schema operations master. เมื่อต้องการทำเช่นนั้น คลิกเริ่มการทำงานคลิกเรียกใช้ประเภท:cmdแล้ว คลิกตกลง. On the schema operations master, type the following command
    X:\I386\adprep /forestprep
    โดย:X:\I386\is the path of the Windows Server 2003 installation media. This command runs the forest-wide schema upgrade.

    หมายเหตุ:Events with event ID 1153 that are logged in the Directory Service event log, such as the sample that follows, can be ignored:

    Event Type : Error
    Event Source : NTDS General
    Event Category: Internal Processing
    Event ID : 1153
    Date: MM/DD/YYYY
    Time: HH:MM:SS AM|PM
    User : Everyone Computer :<some dc=""></some>
    Description: Class identifier 655562 (class name msWMI-MergeablePolicyTemplate) has an invalid superclass 655560. Inheritance ignored.

  6. ตรวจสอบว่า การadprep /forestprepcommand successfully ran on the schema operations master. To do so, from the console of the schema operations master, verify the following items:
    • กระบวนการadprep /forestprepcommand completed without error.
    • The CN=Windows2003Update object is written under CN=ForestUpdates,CN=Configuration,DC=forest_root_domain. Record the value of the Revision attribute.
    • (Optional) The schema version incremented to version 30. To do so, see the ObjectVersion attribute under CN=Schema,CN=Configuration,DC=forest_root_domain.
    ถ้าadprep /forestprepdoes not run, verify the following items:
    • The fully qualified path for Adprep.exe located in the \I386 folder of the installation media was specified whenadprepran. To do so, type the following command:
      x:\i386\adprep /forestprep
      โดย:xis the drive that hosts the installation media.
    • The logged on user who runsadprephas membership to the Schema Admins security group. To verify this, use thewhoami /allคำสั่ง
    • ถ้าadprepstill does not work, view the Adprep.log file in the %systemroot%\System32\Debug\Adprep\Logs\Latest_logโฟลเดอร์
  7. If you disabled outbound replication on the schema operations master in step 4, enable replication so that the schema changes that were made byadprep /forestprepcan propagate. To do this, following these steps:
    1. คลิกเริ่มการทำงานคลิกเรียกใช้ประเภท:cmdแล้ว คลิกตกลง.
    2. พิมพ์ต่อไปนี้ และกด enter:
      repadmin /options - DISABLE_OUTBOUND_REPL
  8. ตรวจสอบว่า การadprep /forestprepมีการจำลองแบบเปลี่ยนแปลงตัวควบคุมโดเมนทั้งหมดในฟอเรสต์ เป็นประโยชน์ในการตรวจสอบแอตทริบิวต์ต่อไปนี้:
    1. incrementing รุ่นของ schema
    2. การ CN = Windows2003Update, CN = ForestUpdates, CN =การตั้งค่าคอนฟิก DC =forest_root_domainหรือ CN =การดำเนินการ CN = DomainUpdates, CN =ระบบ DC =forest_root_domainและมีการจำลองแบบ guid ของงานภายใต้นั้นใน
    3. ค้นหาสำหรับคลาสของ schema ใหม่ วัตถุ แอตทริบิวต์ หรืออื่น ๆ เปลี่ยนแปลงที่adprep /forestprepเพิ่ม เช่น inetOrgPerson ดูการ Schxx.ldf แฟ้ม (ที่ใดxxเป็นตัวเลขระหว่าง 14 ถึง 30) ใน %systemroot%\System32 ใน โฟลเดอร์ที่จะกำหนดสิ่งที่วัตถุ และคุณลักษณะไม่ควรจะ ตัวอย่างเช่น inetOrgPerson ถูกกำหนดใน Sch18.ldf
  9. หาค่า LDAPDisplayNames mangled

    ถ้ามีการติดตั้ง Exchange 2000 ก่อนที่ คุณรัน Windows Server 2003adprep /forestprepคำสั่ง ดูบทความในฐานความรู้ของ Microsoft ต่อไปนี้:
    314649คำสั่ง /forestprep adprep ของ windows Server 2003 ทำให้เกิดแอตทริบิวต์ mangled ใน forests Windows 2000 ที่ประกอบด้วยเซิร์ฟเวอร์ Exchange 2000
    หากคุณพบชื่อ mangled ไปที่สถานการณ์สมมติ 3 ของบทความเดียวกัน
  10. เข้าสู่ระบบคอนโซลของแผนงานหลักด้วยแอคเคาท์ที่เป็นสมาชิกของกลุ่มการรักษาความปลอดภัยกลุ่ม domain Admins Schema ของฟอเรสต์ที่เป็นโฮสต์เครื่องเก็บ schema หลักการดำเนินงาน

การปรับรุ่นโดเมนที่ มีคำสั่ง /domainprep adprep

เรียกใช้adprep /domainprepหลังจาก/forestprepการเปลี่ยนแปลงทั้งหมดทำซ้ำตัวควบคุมโดเมนหลักของโครงสร้างพื้นฐานในแต่ละโดเมนที่จะโฮสต์ตัวควบคุมโดเมน Windows Server 2003 โดยให้ทำตามขั้นตอนต่อไปนี้:
  1. ระบุตัวควบคุมโดเมนหลักของโครงสร้างพื้นฐานในโดเมนคุณกำลังปรับรุ่น แล้ว ล็อกอิน ด้วยบัญชีผู้ใช้ที่เป็นสมาชิกของกลุ่มรักษาความปลอดภัย Domain Admins ในโดเมนที่คุณกำลังปรับรุ่น

    หมายเหตุ:: องค์กรผู้ดูแลระบบอาจไม่เป็นสมาชิกของกลุ่ม Domain Admins ความปลอดภัยในโดเมนลูกของฟอเรสต์
  2. เรียกใช้adprep /domainprepในต้นแบบโครงสร้างพื้นฐาน To do so, click Start, click Run, typecmd, and then on the Infrastructure master type the following command:
    X:\I386\adprep /domainprep
    where X:\I386\ is the path of the Windows Server 2003 installation media. This command runs domain-wide changes in the target domain.

    หมายเหตุ:: แบบadprep /domainprepcommand modifies files permissions in the Sysvol share. These modifications cause a full synchronization of files in that directory tree.
  3. Verify thatdomainprepcompleted successfully. To do so, verify the following items:
    • กระบวนการadprep /domainprepcommand completed without error.
    • The CN=Windows2003Update,CN=DomainUpdates,CN=System,DC=dn path of domain you are upgradingexists
    ถ้าadprep /domainprepdoes not run, verify the following items:
    • The logged on user who runsadprephas membership to the Domain Admins security group in the domain being you are upgrading. To do so, use thewhoami /allคำสั่ง
    • The fully qualified path for Adprep.exe located in the \I386 directory of the installation media was specified when you ranadprep. To do so, at a command prompt type the following command:
      x:\i386\adprep /forestprep
      โดย:xis the drive that hosts the installation media.
    • ถ้าadprepstill does not work, view the Adprep.log file in the %systemroot%\System32\Debug\Adprep\Logs\Latest_logโฟลเดอร์
  4. ตรวจสอบว่า การadprep /domainprepchanges have replicated. To do so, for the remaining domain controllers in the domain, verify the following items:
    • The CN=Windows2003Update,CN=DomainUpdates,CN=System,DC=dn path of domain you are upgradingobject exists and the value for the Revision attribute matches the value of the same attribute on the infrastructure master of the domain.
    • (Optional) Look for objects, attributes or access control list (ACL) changes thatadprep /domainprepadded.
    Repeat steps 1-4 on the infrastructure master of the remaining domains in bulk or as you add or upgrade DC's in those domains to Windows Server 2003. Now you can promote new Windows Server 2003 computers into the forest by using DCPROMO. Or, you can upgrade existing Windows 2000 domain controllers to Windows Server 2003 by using WINNT32.EXE.

Upgrading Windows 2000 domain controllers by using Winnt32.exe

After the changes from/forestprepและ/domainprepcompletely replicate and you have made a decision about security interoperability with earlier-version clients, you can upgrade Windows 2000 domain controllers to Windows Server 2003 and add new Windows Server 2003 domain controllers to the domain.

The following computers must be among the first domain controllers that run Windows Server 2003 in the forest in each domain:
  • The domain naming master in the forest so that you can create default DNS program partitions.
  • The primary domain controller of the forest root domain so that the enterprise-wide security principals that Windows Server 2003'sforestprepadds become visible in the ACL editor.
  • The primary domain controller in each non-root domain so that you can create new domain-specific Windows 2003 security principals.
To do so, use WINNT32 to upgrade existing domain controllers that host the operational role you want. Or, transfer the role to a newly-promoted Windows Server 2003 domain controller. Perform the following steps for each Windows 2000 domain controller that you upgrade to Windows Server 2003 with WINNT32 and for each Windows Server 2003 workgroup or member computer that you promote:
  1. Before you use WINNT32 to upgrade Windows 2000 member computers and domain controllers, remove Windows 2000 Administration Tools. To do so, use the Add/Remove Programs tool in Control Panel. (Windows 2000 upgrades only.)
  2. Install any hotfix files or other fixes that either Microsoft or the administrator determines is important.
  3. Check each domain controller for possible upgrade issues. To do so, run the following command from the \I386 folder of the installation media:
    winnt32.exe /checkupgradeonly
    Resolve any issues that the compatibility check identifies.
  4. Run WINNT32.EXE from the \I386 folder of the installation media, and the restart the upgraded 2003 domain controller.
  5. Lower the security settings for earlier-version clients as required.

    If Windows NT 4.0 clients do not have NT 4.0 SP6 or Windows 95 clients do not have the directory service client installed, disable SMB Service signing on the Default Domain Controllers policy on the Domain Controllers organizational unit, and then link this policy to all organizational units that host domain controllers.
    Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\Microsoft Network Server: Digitally sign communications (always)
  6. Verify the health of the upgrade using the following data points:
    • The upgrade completed successfully.
    • The hotfixes that you added to the installation successfully replaced the original binaries.
    • Inbound and outbound replication of Active Directory is occurring for all naming contexts held by the domain controller.
    • The Netlogon and Sysvol shares exist.
    • The event log indicates that the domain controller and its services are healthy.

      หมายเหตุ:: You may receive the following event message after you upgrade:

      ชนิดเหตุการณ์: ข้อผิดพลาด
      Event Source: NTDS Backup
      Event Category: Backup
      Event ID: 1913
      วันที่:วันที่
      Time: HH:MM:SSAM|PM
      ผู้ใช้: n/a
      คอมพิวเตอร์:computername
      คำอธิบาย: ข้อผิดพลาดภายใน: The Active Directory ในการสำรองข้อมูล และการคืนค่าพบข้อผิดพลาดที่ไม่คาดคิดไว้ การสำรองข้อมูลหรือคืนค่าจะไม่สำเร็จจนกว่านี้ถูกแก้ไข

      คุณสามารถละเว้นข้อความเหตุการณ์นี้
  7. ติดตั้งเครื่องใน Windows Server 2003 จัดการมือ (การปรับรุ่น Windows 2000 และ Windows Server 2003 คอนโทรลเลอร์ไม่อยู่ในโดเมนเท่านั้น) Adminpak.msi อยู่ \I386 โฟลเดอร์ของสื่อ Windows Server 2003 ด้วยซีดีรอม Windows Server 2003 ประกอบด้วยเครื่องมือสนับสนุนการปรับปรุงในแฟ้ม Support\Tools\Suptools.msi ตรวจสอบให้แน่ใจว่า คุณได้ติดตั้งแฟ้มนี้
  8. ทำการสำรองข้อมูลใหม่ของน้อยคอนโทรลเลอร์โดเมน Windows 2000 สองครั้งแรกที่คุณปรับรุ่นเป็น Windows Server 2003 ในแต่ละโดเมนในฟอเรสต์ ค้นหาสำเนาสำรองของคอมพิวเตอร์ของ Windows 2000 ที่คุณปรับรุ่นการ Windows Server 2003 ในการเก็บข้อมูลที่ถูกล็อกเพื่อที่คุณได้โดยไม่ตั้งใจใช้เหล่านั้นเพื่อคืนค่าตัวควบคุมโดเมนที่รัน Windows Server 2003 ในขณะนี้
  9. (ใส่หรือไม่ใส่ก็ได้): ทำการจัดเรียงข้อมูลแบบออฟไลน์ของฐานข้อมูล Active Directory ในตัวควบคุมโดเมนที่คุณปรับรุ่นการ Windows Server 2003 หลังจากเก็บอินสแตนซ์เดียว (SIS) เสร็จสมบูรณ์(ปรับ Windows 2000 รุ่นเท่านั้น)

    SIS reviews สิทธิ์ที่มีอยู่บนวัตถุที่ถูกเก็บอยู่ใน Active Directory และจากนั้น ใช้ตัวบอกเกี่ยวกับความปลอดภัยอย่างมีประสิทธิภาพมากขึ้นบนวัตถุเหล่านั้น SIS เริ่มต้นโดยอัตโนมัติ (ที่ระบุ โดยเหตุการณ์ 1953 ในแฟ้มบันทึกเหตุการณ์ของบริการไดเรกทอรี) เมื่อตัวควบคุมโดเมนเกรดก่อนเริ่มระบบปฏิบัติการ Windows Server 2003 ได้คุณประโยชน์จากร้านตัวบอกเกี่ยวกับการปรับปรุงความปลอดภัยเมื่อคุณบันทึกข้อความเหตุการณ์ ID 1966 เหตุการณ์ในแฟ้มบันทึกเหตุการณ์ของบริการไดเรกทอรีเท่านั้น:

    ชนิดเหตุการณ์: ข้อมูล
    แหล่งที่มาของเหตุการณ์: SDPROP NTDS
    ประเภทเหตุการณ์: การประมวลผลภายใน
    รหัสเหตุการณ์: 1966
    วัน: ดด/DD/ปปปป
    เวลา: HH:MM:SS AM|PM
    ผู้ใช้: การเข้าสู่ระบบ AUTHORITY\ANONYMOUS NT
    คอมพิวเตอร์:<computername></computername>
    คำอธิบาย: propagator ตัวบอกเกี่ยวกับการรักษาความปลอดภัยที่เสร็จสมบูรณ์ในรอบการเผยแพร่เต็ม
    (MB) เนื้อที่ปันส่วน:
    เนื้อที่ว่าง XX (MB): XX

    ซึ่งอาจมีเพิ่มเนื้อที่ว่างในฐานข้อมูล Active Directory
    การดำเนินการของผู้ใช้: การจัดเรียงข้อมูลของฐานข้อมูลแบบออฟไลน์เพื่อเพิ่มเนื้อที่ว่างที่อาจพร้อมใช้งานในฐานข้อมูล Active Directory ในการพิจารณา สำหรับข้อมูลเพิ่มเติม โปรดดูที่ 'ศูนย์บริการช่วยเหลือและวิธีใช้' ที่ http://support.microsoft.com

    ข้อความเหตุการณ์นี้บ่งชี้ว่า การดำเนินการเก็บอินสแตนซ์เดียวเสร็จสมบูรณ์แล้ว และทำหน้าที่เป็นคิวเป็นผู้ดูแลระบบเพื่อดำเนินการของการจัดเรียงข้อมูลแบบออฟไลน์ของ Ntds.dit ใช้ NTDSUTIL.EXE

    จัดเรียงข้อมูลแบบออฟไลน์สามารถลดขนาดของแฟ้ม Windows 2000 Ntds.dit ถึง 40% ปรับปรุงประสิทธิภาพการทำงานของ Active Directory และเพจในฐานข้อมูลสำหรับการเก็บข้อมูลที่มีประสิทธิภาพมากขึ้นของแอตทริบิวต์ที่เชื่อมโยงที่ถูกหาค่าการปรับปรุงสำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการจัดเรียงไดเรกทอรีที่ใช้งานฐานข้อมูล คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
    232122กำลังทำการจัดเรียงข้อมูลแบบออฟไลน์ของฐานข้อมูล Active Directory
  10. ตรวจสอบการบริการเซิร์ฟเวอร์ DLT บริการ DLT Server บน fresh ปิดการใช้งานตัวควบคุมโดเมน windows Server 2003 และการติดตั้งการปรับรุ่น ถ้าไคลเอนต์ Windows 2000 หรือ Windows XP ในองค์กรของคุณใช้บริการ DLT Server ใช้ Group Policy ให้เปิดใช้งานบริการ DLT Server บนคอนโทรลเลอร์โดเมน Windows Server 2003 ใหม่ หรือเกรด มิฉะนั้น incrementally ลบการเชื่อมโยงแบบกระจายการติดตามวัตถุจาก Active Directoryหากต้องการทราบข้อมูลเพิ่มเติม โปรดคลิกที่หมายเลขบทความต่อไปนี้เพื่อดูบทความใน Microsoft Knowledge Base::
    312403การกระจายการเชื่อมโยงติดตามตัวควบคุมโดเมนที่ใช้ Windows
    315229ข้อความรุ่น Dltpurge.vbs สำหรับบทความฐานความรู้ของ Microsoft Q312403
    ถ้าคุณใช้ bulk ลบนับพัน DLT วัตถุหรือวัตถุอื่น คุณอาจบล็อกการจำลองแบบได้เนื่องจากไม่มีการจัดเก็บรุ่นของ รอสักครู่tombstonelifetimeจำนวนวันที่ (โดยค่าเริ่มต้น 60 วัน) หลัง จากที่คุณลบวัตถุ DLT ล่าสุด และ สำหรับคอลเลกชันเบจให้เสร็จสมบูรณ์ จากนั้นใช้ NTDSUTIL.EXE เพื่อทำการจัดเรียงข้อมูลแบบออฟไลน์ของแฟ้ม Ntds.dit
  11. การตั้งค่าคอนฟิกโครงสร้างหน่วยองค์กรวิธีปฏิบัติที่ดีที่สุด Microsoft แนะนำว่า ผู้ดูแลระบบกำลังใช้โครงสร้างหน่วยองค์กรวิธีปฏิบัติที่ดีที่สุดในโดเมน Active Directory ทั้งหมด และหลังจากที่จะปรับรุ่น หรือการปรับใช้ตัวควบคุมโดเมน Windows Server 2003 ในโดเมน Windows โหมด เปลี่ยนเส้นทางคอนเทนเนอร์เริ่มต้นที่ APIs เวอร์ชันก่อนหน้านี้ใช้ในการสร้างผู้ใช้ คอมพิวเตอร์ และกลุ่มไปยังคอนเทนเนอร์หน่วยองค์กรที่ระบุผู้ดูแล

    สำหรับข้อมูลเพิ่มเติมเกี่ยวกับโครงสร้างหน่วยองค์กรวิธีปฏิบัติที่ดีที่สุด ให้ดูส่วน "สร้างข้อองค์กรหน่วยออก" ของเอกสารทางเทคนิคของ "เครือที่ดีที่สุดฝึก Active Directory ออกแบบสำหรับการจัดการ Windows ข่าย" เมื่อต้องการดูเอกสารทางเทคนิค แวะไปที่เว็บไซต์ต่อไปนี้ของ Microsoft:
    http://technet.microsoft.com/en-us/library/bb727085.aspx
    For more information about changing the default container where users, computers and groups that earlier-version APIs create are located, click the following article number to view the article in the Microsoft Knowledge Base:
    324949Redirecting the users and computers containers in Windows Server 2003 domains
  12. Repeat steps 1 through 10 as required for each new or upgraded Windows Server 2003 domain controller in the forest and step 11 (Best Practice organizational unit structure) for each Active Directory domain.

    In Summary:
    • Upgrade Windows 2000 Domain controllers with WINNT32 (from the slipstreamed installation media if used)
    • Verify the hotfixed files have been installed on the upgraded computers
    • Install any required hotfixes not contained on installation media
    • Verify the health on new or upgraded servers ( AD, FRS, Policy etc)
    • Wait 24 hours after OS upgrade then offline defrag (optional)
    • Start the DLT Service if you must, otherwise delete DLT objects using q312403 / q315229 post forest wide domainpreps
    • Perform offline defrag 60+ days (tombstone lifetime and garbage collection # of days) after deleting DLT objects

Dry-run upgrades in a lab environment

Before you upgrade Windows domain controllers to a production Windows 2000 domain, validate and refine your upgrade process in the lab. If the upgrade of a lab environment that accurately mirrors the production forest performs smoothly, you can expect similar results in production environments. For complex environments, the lab environment must mirror the production environment in the following areas:
  • ฮาร์ดแวร์: computer type, memory size, page file placement, disk size, performance and raid configuration, BIOS and firmware revision levels
  • Software: client and server operating system versions, client and server applications, service pack versions, hotfixes, schema changes, security groups, group memberships, permissions, policy settings, object count type and location, version interoperability
  • Network infrastructure: WINS, DHCP, link speeds, available bandwidth
  • การโหลด: Load simulators can simulate password changes, object creation, Active Directory replication, logon authentication and other events. The goal is not to reproduce the scale of the production environment. Instead, the goals are to discover the costs and frequency of common operations and to interpolate their effects (name queries, replication traffic, network bandwidth, and processor consumption) on the production environment based on your current and future requirements.
  • การจัดการ: tasks performed, tools used, operating systems used
  • การดำเนินการ: capacity, interoperability
  • Disk Space: Note the starting, peak and ending size of the operating system, Ntds.dit and Active Directory log files on global catalog and non-global catalog domain controllers in each domain after each of the following operations:
    1. adprep /forestprep
    2. adprep /domainprep
    3. Upgrading Windows 2000 domain controllers to Windows Server 2003
    4. Performing offline defragmentation after version upgrades
ความเข้าใจเกี่ยวกับกระบวนการปรับรุ่นและความซับซ้อนของสภาพแวดล้อมรวมกับ observation โดยละเอียดกำหนด pace และระดับการระมัดที่คุณใช้กับการปรับรุ่นสภาพแวดล้อมการผลิต สภาพแวดล้อมที่ มีตัวควบคุมโดเมนและวัตถุ Active Directory จำนวนขนาดเล็กที่เชื่อมต่อผ่านการใช้งานสูงสุดที่การเชื่อมโยงบริเวณกว้าง (WAN) ของเครือข่ายอาจปรับรุ่นเป็นเพียงไม่กี่ชั่วโมง คุณอาจต้องใช้เวลาระมัดเพิ่มเติมเกี่ยวกับการปรับใช้ระดับองค์กรที่มีเป็นร้อย ๆ รายการของตัวควบคุมโดเมนหรือเป็นร้อย ๆ รายการของพัน Active Directory ของออบเจ็กต์ ในกรณีเช่น คุณอาจต้องทำการปรับรุ่นการผ่านหลักสูตรของหลายสัปดาห์หรือเดือน

ใช้การปรับรุ่น "รัน Dry" ในอาชีพที่จะทำการดำเนินการต่อไปนี้:
  • การทำความเข้าใจเกี่ยวกับ workings inner ของกระบวนการปรับรุ่นและความเสี่ยงที่เกี่ยวข้อง
  • แสดงพื้นที่ปัญหาอาจเกิดขึ้นสำหรับขั้นตอนการใช้งานในสภาพแวดล้อมการทำงานของคุณ
  • ทดสอบ และพัฒนาแผนการลดย้อนในกรณีที่การปรับรุ่นไม่สำเร็จ
  • กำหนดระดับของรายละเอียดที่จะนำไปใช้กับกระบวนการปรับรุ่นสำหรับโดเมนในการผลิตเหมาะสม

ตัวควบคุมโดเมน โดยไม่มีพื้นที่ว่างดิสก์เพียงพอ

ตัวควบคุมโดเมนมีพื้นที่ว่างดิสก์ไม่เพียงพอ ใช้ขั้นตอนต่อไปนี้เพื่อเพิ่มเนื้อที่ว่างเพิ่มเติมดิสก์บนไดรฟ์ข้อมูลที่โฮสต์ Ntds.dit และการล็อกแฟ้ม:
  1. ลบแฟ้มที่ไม่ได้ใช้งานรวมทั้งแฟ้ม *.tmp หรือแฟ้มที่เก็บไว้ชั่วคราวที่ใช้อินเทอร์เน็ตเบราว์เซอร์ เมื่อต้องการทำเช่นนั้น พิมพ์คำสั่ง (กด ENTER หลังจากแต่ละคำสั่ง) ต่อไปนี้:
    /d ซีดีไดรฟ์\
    del *.tmp /s
  2. ลบแฟ้มการถ่ายโอนข้อมูลหน่วยความจำหรือผู้ใช้ใด ๆ เมื่อต้องการทำเช่นนั้น พิมพ์คำสั่ง (กด ENTER หลังจากแต่ละคำสั่ง) ต่อไปนี้:
    /d ซีดีไดรฟ์\
    del *.dmp /s
  3. เป็นการชั่วคราวลบ หรือย้ายแฟ้มที่คุณสามารถเข้าถึงจากเซิร์ฟเวอร์อื่น หรือติดตั้งใหม่ได้อย่างง่ายดาย แฟ้มที่คุณสามารถลบ และแทนได้ง่ายรวม ADMINPAK เครื่อง มือสนับสนุน และแฟ้มทั้งหมดในโฟลเดอร์ %systemroot%\System32\Dllcache
  4. ลบโปรไฟล์ผู้ใช้เก่า หรือไม่ได้ใช้ เมื่อต้องการทำเช่นนั้น คลิกเริ่มการทำงานคลิกขวาMy Computerคลิกคุณสมบัติคลิกการโปรไฟล์ผู้ใช้แท็บ และลบโพรไฟล์ทั้งหมดที่อยู่สำหรับบัญชีผู้ใช้เก่า และไม่ได้ใช้ ไม่สามารถลบส่วนกำหนดค่าใด ๆ ที่อาจเป็นบัญชีบริการ
  5. ลบสัญลักษณ์ที่ systemroot%\Symbols % เมื่อต้องการทำเช่นนั้น พิมพ์คำสั่งต่อไปนี้:
    rd /s %systemroot%\symbols
    ขึ้นอยู่กับว่าเซิร์ฟเวอร์ที่มีสัญลักษณ์แบบเต็ม หรือขนาดเล็กที่ตั้ง นี้อาจได้รับประมาณ 70 ม.เมกะไบต์ถึง 600 MB
  6. ทำการจัดเรียงข้อมูลแบบออฟไลน์ จัดเรียงข้อมูลแบบออฟไลน์ของแฟ้ม Ntds.dit อาจเพิ่มพื้นที่ว่าง แต่ต้องการสองช่องว่างของแฟ้ม DIT ปัจจุบันเป็นการชั่วคราว ทำ defrag ในสถานะออฟไลน์ โดยใช้วอลุ่มภายในอื่น ๆ หากมีอยู่ หรือ ใช้เนื้อที่ว่างบนเซิร์ฟเวอร์เครือข่ายที่เชื่อมต่อที่ดีที่สุดเพื่อทำการจัดเรียงข้อมูลแบบออฟไลน์ ถ้ายังไม่พอเนื้อที่ดิสก์ incrementally ลบบัญชีผู้ใช้ที่ไม่จำเป็น บัญชีคอมพิวเตอร์ ระเบียน DNS และวัตถุ DLT จาก Active Directory

    หมายเหตุ:: ไดเรกตอรีใช้งานอยู่ไม่สามารถลบวัตถุจากฐานข้อมูลจนถึงtombstonelifetimeจำนวนวันที่ (โดยค่าเริ่มต้น 60 วัน) มีการส่งผ่าน และคอลเลกชันเบจเสร็จสมบูรณ์ ถ้าคุณลดtombstonelifetimeเมื่อต้องการค่าต่ำกว่าจุดสิ้นสุดการจบการทำแบบจำลองในฟอเรสต์ คุณอาจทำให้ไม่สอดคล้องกันใน Active Directory

ข้อมูลอ้างอิง

สำหรับข้อมูลเพิ่มเติม ให้คลิกหมายเลขบทความต่อไปนี้ เพื่อดูบทความในฐานความรู้ของ Microsoft::
821076windows Server 2003 วิธีใช้แฟ้มที่ประกอบด้วยข้อมูลเกี่ยวกับวิธีการปรับปรุงโดเมน Windows 2000 ที่ไม่ถูกต้อง

คุณสมบัติ

หมายเลขบทความ (Article ID): 325379 - รีวิวครั้งสุดท้าย: 13 มกราคม 2554 - Revision: 6.0
ใช้กับ
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Exchange 2000 Server Standard Edition
  • Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Datacenter Edition (64-Bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003 R2 Standard Edition (64-Bit x86)
Keywords: 
kbinfo kbmt KB325379 KbMtth
แปลโดยคอมพิวเตอร์
ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ
ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:325379

ให้ข้อเสนอแนะ

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com