如何將 Windows 2000 網域控制站升級至 Windows Server 2003

文章翻譯 文章翻譯
文章編號: 325379 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

結論

本文將告訴您,如何將 Microsoft Windows 2000 網域控制站升級至 Microsoft Windows Server 2003,以及如何將新的 Windows Server 2003 網域控制站新增到 Windows 2000 網域中。

清查網域和樹系

在您將 Windows 2000 網域控制站升級成 Windows Server 2003,或是將新的 Windows Server 2003 網域控制站新增至 Windows 2000 網域之前,請依照下列步驟執行:
  1. 清查存取裝載 Windows Server 2003 網域控制站的網域中資源的用戶端,看看 Windows Server 2003 網域控制站是否與 SMB 簽章相容:

    每個 Windows Server 2003 網域控制站會啟用自己本機安全性原則的 SMB 簽章。請確認您可以設定或升級所有網路用戶端 (這些網路用戶端會使用 SMB/CIFS 通訊協定,存取裝載 Windows Server 2003 網域控制站的網域中的共用檔案及印表機),以支援 SMB 簽章。如果無法進行設定或升級,在可以安裝更新程式或用戶端可以升級為支援 SMB 簽章的較新作業系統之前,請暫時停用 SMB 簽章。如需有關如何停用 SMB 簽章的資訊,請參閱本步驟結尾的<停用 SMB 簽章>一節。

    動作計劃

    下列清單說明一般 SMB 用戶端適用的動作計劃:
    • Microsoft Windows Server 2003、Microsoft Windows XP Professional (商用版)、Microsoft Windows 2000 Server、Microsoft Windows 2000 Professional 和 Microsoft Windows 98

      不需執行任何操作。
    • Microsoft Windows NT 4.0

      在存取含有 Windows Server 2003 電腦的網域的所有 Windows NT 4.0 電腦上,安裝 Service Pack 3 或更新版本 (建議使用 Service Pack 6A)。或者,暫時停用 Windows Server 2003 網域控制站的 SMB 簽章。如需有關如何停用 SMB 簽章的資訊,請參閱本步驟結尾的<停用 SMB 簽章>一節。
    • Microsoft Windows 95

      在 Windows 95 電腦上安裝 Windows 9x 目錄服務用戶端,或者暫時停用 Windows Server 2003 網域控制站的 SMB 簽章。您可以在 Windows 2000 Server 光碟上找到原始的 Win9x 目錄服務用戶端。然而,該用戶端附加元件已經由改良過的 Win9x 目錄服務用戶端所取代。如需有關如何停用 SMB 簽章的資訊,請參閱本步驟結尾的<停用 SMB 簽章>一節。
    • Microsoft Network Client for MS-DOS 及 Microsoft LAN Manager 用戶端

      Microsoft Network Client for MS-DOS 及 Microsoft LAN Manager 2.x 網路用戶端可能用來提供網路資源的存取權,或是與可開機磁片加以結合,以便在做為軟體安裝常式一部份的檔案伺服器上複製共用目錄中的作業系統檔案及其他檔案。這些用戶端不支援 SMB 簽章。請使用替代的安裝方法,或是停用 SMB 簽章。如需有關如何停用 SMB 簽章的資訊,請參閱本步驟結尾的<停用 SMB 簽章>一節。
    • Macintosh 用戶端

      某些 Macintosh 用戶端與 SMB 簽章不相容,因此,當這些用戶端嘗試連線至網路資源時,將會收到下列錯誤訊息:
      - Error -36 I/O (- 錯誤 -36 I/O)
      請安裝更新的軟體 (如果有)。否則,請停用 Windows Server 2003 網域控制站的 SMB 簽章。如需有關如何停用 SMB 簽章的資訊,請參閱本步驟結尾的<停用 SMB 簽章>一節。
    • 其他協力廠商 SMB 用戶端

      某些協力廠商 SMB 用戶端並不支援 SMB 簽章。請詢問您的 SMB 提供者,看看是否有更新的版本。否則,請停用 Windows Server 2003 網域控制站的 SMB 簽章。
    停用 SMB 簽章

    如果在引入 Windows Server 2003 之前,您無法在受影響的 Windows 95 及 Windows NT 4.0 網域控制站上安裝軟體更新,請暫時停用「群組原則」中的 SMB Service 簽章要求,直到您可以部署更新的用戶端軟體。

    您可以在網域控制站組織單元上,停用下列「預設網域控制站」原則之節點中的 SMB 服務簽署:
    電腦設定\Windows 設定\安全性設定\本機原則\安全性選項\Microsoft 網路伺服器:數位簽章伺服器的通訊 (自動)
    如果網域控制站不在網域控制站的組織單位中,您必須將預設網域控制站的群組原則物件 (GPO,Group Policy Object) 連結到所有裝載 Windows 2000 或 Windows Server 2003 網域控制站的組織單位。或者,您可以在連結到那些組織單位的 GPO 中設定 SMB Service 簽章。
  2. 清查網域及樹系中的網域控制站:
    1. 確認樹系中的所有 Windows 2000 網域控制站都已安裝適當的 Hotfix 及 Service Pack。

      Microsoft 建議所有 Windows 2000 網域控制站執行 Windows 2000 Service Pack 4 (SP4) 或更新版本的作業系統。如果您無法完全地部署 Windows 2000 SP4 或更新版本,則所有 Windows 2000 網域控制站必須具有比日期戳記及版本為 2001 年 6 月 4 日及 5.0.2195.3673 還新的 Ntdsa.dll 檔案。 如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
      331161 執行 Adprep /Forestprep 之前,必須安裝在 Windows 2000 網域控制站上的 Hotfix
      依預設,Windows 2000 SP4、Windows XP 及 Windows Server 2003 用戶端電腦上的 Active Directory 系統管理工具會使用「輕量型目錄存取協定」(LDAP,Lightweight Directory Access Protocol) 簽章。如果上述電腦在遠端管理 Windows 2000 網域控制站時使用 (或回到) NTLM 驗證,連線將會失敗。遠端所管理的網域控制站必須安裝 Windows 2000 SP3 及更新的版本,才能解決這個問題。或者,您可以關閉執行系統管理工作的用戶端上的 LDAP 簽章。 如需有關 LDAP 的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
      325465 使用 Windows Server 2003 系統管理工具時,Windows 2000 網域控制站需要 SP3 (含) 以後版本
      下列是使用 NTLM 驗證的案例:
      • 您管理的 Windows 2000 網域控制站位在 NTLM (非 Kerberos) 信任所連線的外部樹系中。
      • 您的 Microsoft Management Console (MMC) 嵌入式管理單元焦點集中在由本身 IP 位址所參照的特定網域控制站。例如,您可以按一下 [開始],再按一下 [執行],然後輸入下列命令:
        dsa.msc /server=ipaddress
      如果要判斷 Active Directory 網域中 Active Directory 網域控制站的作業系統及 Service Pack 修訂等級,請在樹系中的 Windows XP Professional 或 Windows Server 2003 成員電腦上安裝 Windows Server 2003 版本的 Repadmin.exe,然後對樹系中每個網域的網域控制站執行下列 repadmin 命令:
      >repadmin /showattr name of the domain controller that is in the target domain ncobj:domain:/filter:"(&(objectCategory=computer)(primaryGroupID=516))" /subtree /atts:operatingSystem,operatingSystemVersion,operatingSystemServicePack

      DN:CN=NA-DC-01,organizational unit=Domain Controllers,DC=company,DC=com
      1> operatingSystem:Windows Server 2003
      1> operatingSystemVersion: 5.2 (3718)
      DN:CN=NA-DC-02,organizational unit=Domain Controllers,DC=company,DC=com

      1> operatingSystem:Windows 2000 Server
      1> operatingSystemVersion:5.0 (2195)
      1> operatingSystemServicePack:Service Pack 1
      注意:網域控制站的屬性不會追蹤個別 Hotfix 的安裝。
    2. 確認整個樹系的端對端 Active Directory 複寫。

      確認已升級樹系中每個網域控制站會根據站台連結或連線物件所定義的排程,將本機上所儲存的命名內容一致地複寫到協力電腦上。在樹系中的 Windows XP 或 Windows Server 2003 成員電腦上使用 Windows Server 2003 版本的 Repadmin.exe,並加入下列引數:
      REPADMIN /REPLSUM /BYSRC /BYDEST /SORT:DELTA              <-output formatted to fit on page
      
      DestDC    largest delta    fails/total  %%  error
      
      NA-DC-01 13d.21h:10m:10s    97 / 143  67  (8240) There is no such object...
      NA-DC-02 13d.04h:11m:07s   180 / 763  23  (8524) The DSA operation...
      NA-DC-03 12d.03h:54m:41s     5 /   5 100  (8524) The DSA operation...
      樹系中所有網域控制站必須正確地複寫 Active Directory,並且 repadmin 輸出中 Largest Delta 欄位的值不得大於特定目的網域控制站所使用的相符站台連結或連線物件上的複寫頻率。

      解決網域控制站之間,一直無法輸入複寫少於 Tombstone 存留時間 (TSL,Tombstone Lifetime) 天數 (預設為 60 天) 的所有複寫錯誤。如果無法複寫,您必須強制將網域控制站降級,並使用 Ntdsutil metadata cleanup 命令將它們從樹系中移除,然後再升級回到樹系中。您可以使用強制降級程序來儲存孤立網域控制站上的作業系統安裝及程式。 如需有關如何將孤立的 Windows 2000 網域控制站從所屬網域移除的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
      216498 HOW TO:在網域控制站降級失敗後,移除 Active Directory 中的資料
      在最不得已的情況下,而您必須修復作業系統安裝及已安裝程式時,才能採用這個動作。您將會遺失孤立網域控制站上未複寫的物件及屬性,包括使用者、電腦、信任關係、密碼、群組及群組成員。

      當您嘗試在超過 tombstonelifetime 天未對特定 Active Directory 磁碟分割進行複寫輸入變更的網域控制站上,解決複寫錯誤時,請特別小心。當您執行這項操作時,可能會重新啟動某個網域控制站上已刪除的物件,但直接或可轉移的協力電腦在過去的 60 天之內尚未收到刪除。

      考慮移除過去 60 天內尚未執行輸入複寫的網域控制站上的任何延遲物件。或者,您可以強制將特定磁碟分割上在所設定的 Tombstone 存留時間天數內尚未執行任何輸入複寫的網域控制站降級,並使用 Ntdsutil 及其他公用程式移除 Active Directory 樹系中的其餘中斷資料。請與您的技術支援提供者或「Microsoft 技術支援處」聯絡,以取得其他協助。
    3. 確認 Sysvol 共用的內容是一致的。

      確認群組原則的檔案系統部份是一致的。您可以使用 Resource Kit 中的 Gpotool.exe 來判斷整個網域的原則是否一致。使用 Windows Server 2003 支援工具中的 Healthcheck 來判斷每個網域中的 Sysvol 共用複本組是否正確地運作。

      如果 Sysvol 共用的內容不一致,請解決所有不一致之處。
    4. 您可以使用支援工具中的 Dcdiag.exe 來確認所有網域控制站均具有共用的 Netlogon 及 Sysvol 共用。如果要執行這項操作,請在命令提示字元中輸入下列命令:
      DCDIAG.EXE /e /test:frssysvol
    5. 清查作業角色。

      架構及基礎結構操作主機是用來將整個樹系和網域架構變更引入到 Windows Server 2003 adprep 公用程式所建立的樹系及所屬的網域。請檢查樹系中裝載了現用網域控制站上每個網域的架構角色及基礎結構角色的網域控制站,以及每個角色擁有者已經在所有磁碟分割中執行輸入複寫,因為這兩者是最後重新啟動的。

      您可以使用 DCDIAG /test:FSMOCHECK 命令,檢視整個樹系及整個網域的操作角色。駐留在不存在的網域控制站上的操作主機角色可以使用 NTDSUTIL,以取回狀況良好的網域控制站。狀況不佳的網域控制站上的角色應該加以轉移 (如果可能的話),不然就會被取回。NETDOM QUERY FSMO 命令無法識別已刪除網域控制站上的 FSMO 角色。

      請確認架構主機及每個基礎結構主機從上次開機以來,已經執行過 Active Directory 的輸入複寫。您可以使用 REPADMIN /SHOWREPS DCNAME 命令來檢查輸入複寫,其中 DCNAME 是 NetBIOS 電腦名稱,或網域控制站的完整電腦名稱。 如需有關操作主機及其安置的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
      197132 Windows 2000 Active Directory FSMO 角色
      223346 在 Active Directory 網域控制站上安置與最佳化 FSMO
    6. 檢視 EventLog

      檢查所有網域控制站上的事件日誌,看看是否有問題事件。事件日誌一定不會包含說明下列處理程序及元件問題的嚴重事件訊息:
      實體連線能力 (physical connectivity)
      網路連線能力 (network connectivity)
      名稱登錄 (name registration)
      名稱解析 (name resolution)
      驗證 (authentication)
      群組原則 (Group Policy)
      安全性原則 (security policy)
      磁碟子系統 (disk subsystem)
      架構 (schema)
      拓樸 (topology)
      複寫引擎 (replication engine)
    7. 清查磁碟空間

      裝載 Active Directory 資料庫檔案 Ntds.dit 的磁碟區,必須擁有至少 Ntds.dit 檔案大小 15-20% 的可用空間。裝載 Active Directory 記錄檔的磁碟區,也必須擁有至少 Ntds.dit 檔案大小 15-20% 的可用空間。如需有關如何釋放額外磁碟空間的詳細資訊,請參閱本文的<沒有足夠磁碟空間的網域控制站>一節。
    8. DNS 清除 (選擇性)

      每隔 7 天啟用樹系中所有 DNS 伺服器的 DNS 清除。為了得到最好的效果,請在升級作業系統的 61 天 (或更多天) 之前,執行這項操作。如此,就可以在 Ntds.dit 檔案執行離線磁碟重組時,為「DNS 清除精靈」提供足夠的時間在老舊 DNS 物件上收集廢棄項目。
    9. 停用 DLT Server 服務 (選擇性)

      全新及已升級的 Windows Server 2003 網域控制站安裝的 DLT Server 服務是停用的。如果沒有使用分散式連結追蹤,您可以停用 Windows 2000 網域控制站上的 DLT Server 服務,並刪除樹系中每個網域的 DLT 物件。如需詳細資訊,請參閱下列「Microsoft 知識庫」文件中的<Microsoft 對分散式連結追蹤的建議事項>一節:
      312403 Distributed Link Tracking on Windows-based domain controllers
    10. 系統狀態備份

      在樹系的每個網域中,至少對兩個網域控制站進行系統狀態備份。如果升級失敗,您可以使用這個備份來修復樹系中的所有網域。

Windows 2000 樹系中的 Microsoft Exchange 2000

注意
  • 如果 Windows 2000 樹系中已經安裝或打算安裝 Exchange 2000 Server,在您執行 Windows Server 2003 adprep /forestprep 命令之前,請先仔細閱讀本章節。
  • 如果您將要安裝 Microsoft Exchange Server 2003 架構變更,請先閱讀<概觀:將 Windows 2000 網域控制站升級至 Windows Server 2003>一節,再執行 Windows Server 2003 adprep 命令。
Exchange 2000 架構定義了三個不符合 LDAPDisplayNames 要求建議 (RFC,Request for Comment) 的 inetOrgPerson 屬性:houseIdentifiersecretarylabeledURI

Windows 2000 inetOrgPerson Kit 及 Windows Server 2003 adprep 命令會定義具有完全一樣 LDAPDisplayNames 的相同三個屬性的 RFC 相符版本,做為 RFC 相符版本。

當您在含有 Windows 2000 及 Exchange 2000 架構變更的樹系中,執行 Windows Server 2003 adprep /forestprep 命令 (但沒有修正指令碼) 時,houseIdentifierlabeledURIsecretary 屬性的 LDAPDisplayNames 將會改變。如果將 Dup 或其他獨特的字元加入衝突的屬性名稱開頭,屬性就會「改變」,如此,目錄中的物件及屬性就能具有唯一的名稱。


在下列案例中,Active Directory 樹系並不會出現有關這三個屬性的改變 LDAPDisplayNames 的弱點:
  • 新增 Exchange 2000 架構之前,您在含有 Windows 2000 架構的樹系中執行 Windows Server 2003 adprep /forestprep 命令。
  • 您在 Windows Server 2003 網域控制站是樹系中第一個網域控制站的樹系中安裝 Exchange 2000 架構。
  • 您將 Windows 2000 inetOrgPerson Kit 新增至含有 Windows 2000 架構的樹系,並安裝 Exchange 2000 架構變更,然後執行 Windows Server 2003 adprep /forestprep 命令。
  • 如果您將 Exchange 2000 架構新增至現有的 Windows 2000 樹系,則請在執行 Windows Server 2003 adprep /forestprep 命令之前,先執行 Exchange 2003 /forestprep。
在下列案例中,Windows 2000 將發生改變屬性:
  • 您在安裝 Windows 2000 inetOrgPerson Kit 之前,將 labeledURIhouseIdentifiersecretary 屬性的 Exchange 2000 版本新增至 Windows 2000 樹系。
  • 您在執行 Windows Server 2003 adprep /forestprep 命令 (在未先執行清理指令碼的情況下) 之前,將 labeledURIhouseIdentifiersecretary 屬性新增至 Windows 2000 樹系。
下列說明每個案例的動作計劃:

案例 1:在您執行 Windows Server 2003 adprep /forestprep command 之後,新增了 Exchange 2000 架構變更

執行 Windows Server 2003 adprep /forestprep 命令之後,如果將 Exchange 2000 架構變更引入 Windows 2000 樹系,就不需要執行清理。請參閱<概觀:將 Windows 2000 網域控制站升級至 Windows Server 2003>一節。

案例 2:將在執行 Windows Server 2003 adprep /forestprep 命令之前,先安裝 Exchange 2000 架構變更

如果您已經安裝 Exchange 2000 架構變更,但尚未執行 Windows Server 2003 adprep /forestprep 命令,請考量下列動作計劃:
  1. 使用 Schema Admins 安全性群組成員的帳戶,登入架構操作主機的主控台。
  2. 按一下 [開始],再按一下 [執行],在 [開啟] 方塊中輸入 notepad.exe,然後按一下 [確定]
  3. 將 "schemaUpdateNow:1" 之後的下列文字 (包括結尾的連字號) 複製到「記事本」。
    dn:CN=ms-Exch-Assistant-Name,CN=Schema,CN=Configuration,DC=X
    changetype:Modify
    replace:LDAPDisplayName
    LDAPDisplayName:msExchAssistantName
    -

    dn:CN=ms-Exch-LabeledURI,CN=Schema,CN=Configuration,DC=X
    changetype:Modify
    replace:LDAPDisplayName
    LDAPDisplayName:msExchLabeledURI
    -

    dn:CN=ms-Exch-House-Identifier,CN=Schema,CN=Configuration,DC=X
    changetype:Modify
    replace:LDAPDisplayName
    LDAPDisplayName:msExchHouseIdentifier
    -

    dn:
    changetype:Modify
    add:schemaUpdateNow
    schemaUpdateNow:1
    -
  4. 確認每行的結尾沒有包含空格。
  5. [檔案] 功能表上,按一下 [儲存檔案]。在 [另存新檔] 對話方塊中,執行下列步驟:
    1. [檔案名稱] 方塊中,輸入下列命令:
      \%userprofile%\InetOrgPersonPrevent.ldf
    2. [存檔類型] 方塊中,按一下 [所有檔案]
    3. [編碼] 方塊中,按一下 [Unicode]
    4. 按一下 [儲存]
    5. 結束「記事本」。
  6. 執行 InetOrgPersonPrevent.ldf 指令碼。
    1. 按一下 [開始],再按一下 [執行],在 [開啟] 方塊中輸入 cmd,然後按一下 [確定]
    2. 在命令提示字元中輸入下列命令,然後按下 ENTER:
      cd %userprofile%
    3. 輸入下列命令
      c:\documents and settings\%username%>ldifde -i -f inetorgpersonprevent.ldf -v -c DC=X "domain name path for forest root domain"
      語法備註:
      • DC=X 是區分大小寫的常數。
      • 根網域的網域名稱路徑必須以引號括住。
      例如,Active Directory 樹系 (其樹系根網域為 TAILSPINTOYS.COM) 的命令語法會是:
      c:\documents and settings\administrator>ldifde -i -f inetorgpersonprevent.ldf -v -c DC=X "dc=tailspintoys,dc=com"
      注意 如果收到下列錯誤訊息,您可能需要變更
      Schema Update Allowed
      登錄子機碼:
      Schema update is not allowed on this DC because the registry key is not set or the DC is not the schema FSMO Role Owner. (在此 DC 中不容許架構更新,因為登錄機碼尚未設定或 DC 不是架構 FSMO 角色的擁有者)
      如需有關如何變更此登錄子機碼的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
      285172 Schema Updates Require Write Access to Schema in Active Directory
  7. 在您執行 Windows Server 2003 adprep /forestprep 命令之前,請先確認架構命名內容中 CN=ms-Exch-Assistant-Name、CN=ms-Exch-LabeledURI 及 CN=ms-Exch-House-Identifier 屬性的 LDAPDisplayNames,現在顯示為 msExchAssistantName、msExchLabeledURI 及 msExchHouseIdentifier。
  8. 請參閱<概觀:將 Windows 2000 網域控制站升級到 Windows Server2003>一節,以執行 adprep /forestprep/domainprep 命令。

案例 3:未先執行 inetOrgPersonFix,就執行 Windows Server 2003 forestprep 命令

如果您在包含 Exchange 2000 架構變更的 Windows 2000 樹系中執行 Windows Server 2003 adprep /forestprep 命令,houseIdentifiersecretarylabeledURI 的 LDAPDisplayName 屬性將會改變。如果要識別改變名稱,請使用 Ldp.exe 找出受影響的屬性:
  1. 從 Microsoft Windows 2000 或 Windows Server 2003 安裝媒體的 Support\Tools 資料夾安裝 Ldp.exe。
  2. 從樹系的網域控制站或成員電腦啟動 Ldp.exe。
    1. [Connection] 功能表上,按一下 [Connect],將 [Server] 方塊保持空白,在 [Port] 方塊中輸入 389,再按一下 [OK]
    2. [Connection] 功能表上,按一下 [Bind],將所有方塊保持空白,再按一下 [OK]
  3. 記下 SchemaNamingContext 屬性的辨別名稱路徑。例如,CORP.ADATUM.COM 樹系中的網域控制站,辨別名稱路徑可能是 CN=Schema,CN=Configuration,DC=corp,DC=company,DC=com。
  4. [Browse] 功能表上,按一下 [Search]
  5. 使用下列設定值來設定 [Search] 對話方塊:
    • Base DN:在步驟 3 所識別的架構命名內容的辨別名稱路徑。
    • Filter:(ldapdisplayname=dup*)
    • Scope:樹狀子目錄
  6. 改變的 houseIdentifiersecretarylabeledURI 屬性具有類似下列格式的 LDAPDisplayName 屬性:
    LDAPDisplayName:DUP-labeledURI-9591bbd3-d2a6-4669-afda-48af7c35507d;
    LDAPDisplayName:DUP-secretary-c5a1240d-70c0-455c-9906-a4070602f85f
    LDAPDisplayName:DUP-houseIdentifier-354b0ca8-9b6c-4722-aae7-e66906cc9eef
  7. 如果步驟 6 中 labeledURIsecretaryhouseIdentifier 的 LDAPDisplayNames 改變了,請執行 Windows Server 2003 InetOrgPersonFix.ldf 指令碼進行修復,然後移至<使用 Winnt32.exe 升級 Windows 2000 網域控制站>一節。
    1. 建立名為 %Systemdrive%\IOP 的資料夾,然後將 InetOrgPersonFix.ldf 檔案解壓縮到這個資料夾。
    2. 在命令提示字元中輸入 cd %systemdrive%\iop
    3. 在 Windows Server 2003 安裝媒體的 Support\Tools 資料夾中,將 InetOrgPersonFix.ldf 檔案從 Support.cab 檔案中解壓縮。
    4. 在架構操作主機的主控台上,使用 Ldifde.exe 載入 InetOrgPersonFix.ldf 檔案,以修正 houseIdentifiersecretarylabeledURI 屬性的 LdapDisplayName 屬性。如果要執行這項操作,請輸入下列命令,其中 <X> 是區分大小寫的常數,<dn path for forest root domain> 是樹系根網域的網域名稱路徑:
      C:\IOP>ldifde -i -f inetorgpersonfix.ldf -v -c DC=X "domain name path for forest root domain"
      語法備註:
      • DC=X 是區分大小寫的常數。
      • 樹系根網域的網域名稱路徑必須以引號括住。
  8. 在安裝 Exchange 2000 之前,請先確認架構命名內容中的 houseIdentifiersecretarylabeledURI 屬性沒有「改變」。
如需有關 Services for UNIX 2.0 版相關架構衝突的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
293783 Cannot upgrade Windows 2000 server to Windows Server 2003 with Windows Services for UNIX 2.0 installed

概觀:將 Windows 2000 網域控制站升級到 Windows Server2003

從 Windows Server 2003 安裝媒體的 \I386 資料夾執行 Windows Server 2003 adprep 命令,會為新增的 Windows Server 2003 網域控制站準備 Windows 2000 樹系及網域。Windows Server 2003 adprep /forestprep 命令會新增下列功能:
  • 物件類別的改良預設安全性描述元
  • 新的使用者及群組屬性
  • 新的 Schema 物件及屬性,例如 inetOrgPerson
adprep 公用程式支援兩個命令列引數:
adprep /forestprep:執行樹系升級作業。
adprep /domainprep:執行網域升級作業。
adprep /forestprep 命令是在樹系的架構操作主機 (FSMO) 上執行的一次性作業。您必須完成 forestprep 作業並複寫到每個網域的基礎結構主機,才可以在網域中執行 adprep /domainprep

adprep /domainprep 命令是您在樹系中每個網域的基礎結構操作主機網域控制站上執行的一次性作業,它會裝載新建或更新的 Windows Server 2003 網域控制站。adprep /domainprep 命令會檢查 forestprep 所做的變更已經複寫在網域磁碟分割,然後將本身的變更套用在 Sysvol 共用的網域磁碟分割及群組原則。

除非您已經完成 /forestprep/domainprep 作業並複寫到該網域的所有網域控制站,否則無法執行下列動作:
  • 使用 Winnt32.exe 將 Windows 2000 網域控制站升級到 Windows Server 2003 網域控制站。

    注意:無論何時您都可以將 Windows 2000 成員伺服器及電腦升級為 Windows Server 2003 成員電腦。
  • 使用 Dcpromo.exe 將新的 Windows Server 2003 網域控制站升級為網域。
只有裝載架構操作主機的網域上才需要同時執行 adprep /forestprepadprep /domainprep。在所有其他的網域中,您只需要執行 adprep /domainprep

adprep /forestprepadprep /domainprep 命令不會新增屬性到通用類別目錄部分屬性集,或引發通用類別目錄的同步處理。RTM 版本的 adprep /domainprep 會引發 Sysvol 樹狀目錄中 \Policies 資料夾的完整同步處理。即使您多次執行 forestprepdomainprep,完成的作業只會執行一次。

完成複寫 adprep /forestprepadprep /domainprep 所作的變更之後,您可以執行 Windows Server 2003 安裝媒體 \I386 資料夾中的 Winnt32.exe,將 Windows 2000 網域控制站升級到 Windows Server 2003。此外,您可以使用 Dcpromo.exe 將新的 Windows Server 2003 網域控制站新增到網域。

使用 adprep /forestprep 命令升級樹系

為了準備 Windows 2000 樹系及網域以接受 Windows Server 2003 網域控制站,請先在測試環境中執行下列步驟,然後再於實際生產環境中執行:
  1. 確認您已完成「清查樹系」階段的所有作業,其中必須特別注意下列項目:
    1. 您已經建立系統狀態備份。
    2. 樹系中所有 Windows 2000 網域控制站都已安裝適當的 Hotfix 及 Service Pack。
    3. 整個樹系的端對端 Active Directory 複寫。
    4. FRS 正確地複寫每個網域的檔案系統原則。
  2. 使用 Schema Admins 安全性群組成員的帳戶,登入架構操作主機的主控台。
  3. 在 Windows NT 命令提示字元中輸入下列命令,以確認架構 FSMO 已經執行架構磁碟分割的輸入複寫:
    repadmin /showreps
    (repadmin 是透過 Active Directory 的 Support\Tools 資料夾加以安裝)。
  4. 以前的 Microsoft 說明文件建議您,在執行 adprep /forestprep 之前,先隔離私人網路上的架構操作主機。實際的操作經驗中認為這個步驟是不必要的,並且當架構操作主機在私人網路上重新啟動時,可能會拒絕架構變更。如果要隔離 adprep 所做的架構新增,Microsoft 建議您使用 repadmin 命令列公用程式暫時停用 Active Directory 的輸出複寫。如果要執行這項操作,請依照下列步驟執行:
    1. 按一下 [開始],按一下 [執行],輸入 cmd,然後按一下 [確定]
    2. 輸入下列命令,然後按下 ENTER:
      repadmin /options +DISABLE_OUTBOUND_REPL
  5. 在架構操作主機上執行 adprep。如果要執行這項操作,請按一下 [開始],再按一下 [執行],輸入 cmd,然後按一下 [確定]。在架構操作主機上,輸入下列命令
    X:\I386\adprep /forestprep
    其中 X:\I386\ 是 Windows Server 2003 安裝媒體的路徑。這個命令會執行整個樹系的架構升級。

    注意 您可以忽略記錄在「目錄服務」事件日誌中,事件 ID 1153 的事件,如下列範例所示:

    事件類型:錯誤
    事件來源:NTDS 一般
    事件類別目錄:正在進行內部處理
    事件 ID:1153
    日期:MM/DD/YYYY
    時間:上午|下午 HH:MM:SS
    使用者:所有人電腦:<部分 DC>
    描述:類別識別元 655562 (類別名稱 msWMI-MergeablePolicyTemplate) 的超級類別 655560 不正確。繼承已被忽略。

  6. 確認 adprep /forestprep 命令在架構操作主機上順利地執行。如果要執行這項操作,請在架構操作主機的主控台上,確認下列項目:
    • adprep /forestprep 命令已經完成,並且沒有任何錯誤。
    • 在 CN=ForestUpdates,CN=Configuration,DC=forest_root_domain 下寫入 CN=Windows2003Update 物件。記下 Revision 屬性的值。
    • (選擇性) 架構版本已增加到版本 30。如果要執行這項操作,請查看 CN=Schema,CN=Configuration,DC=forest_root_domain 下的 ObjectVersion 屬性。
    如果無法執行 adprep /forestprep,請檢查下列項目:
    • 之前 adprep 執行時,已指定安裝媒體中 \I386 資料夾所儲存 Adprep.exe 的完整路徑名稱。如果要執行這項操作,請依照下列步驟執行:
      x:\i386\adprep /forestprep
      其中 x 是主控安裝媒體的磁碟機。
    • 執行 adprep 的已登入使用者具有 Schema Admins 安全性群組的成員資格。如果要進行確認,請使用 whoami /all 命令。
    • 如果 adprep 仍然無法運作,請檢視 %systemroot%\System32\Debug\Adprep\Logs\Latest_log 資料夾中的 Adprep.log 檔案。
  7. 如果您在步驟 4 中停用了架構操作主機上的輸出複寫,請啟用複寫,如此,才能傳播 adprep /forestprep 所做的架構變更。如果要執行這項操作,請依照下列步驟執行:
    1. 按一下 [開始],再按一下 [執行],輸入 cmd,然後按一下 [確定]
    2. 輸入下列命令,然後按下 ENTER:
      repadmin /options -DISABLE_OUTBOUND_REPL
  8. 確認 adprep /forestprep 變更已經複寫在樹系的所有網域控制站上。這對監視下列屬性而言,十分好用:
    1. 逐漸增加的架構版本
    2. 其下的 CN=Windows2003Update, CN=ForestUpdates,CN=Configuration,DC=forest_root_domain 或 CN=Operations,CN=DomainUpdates,CN=System,DC=forest_root_domain 與操作 GUID 已複寫進去。
    3. 搜尋新的架構類別、物件、屬性或 adprep /forestprep 所新增的其他變更,例如 inetOrgPerson。檢視 %systemroot%\System32 資料夾中的 SchXX.ldf 檔案 (其中 XX 是介於 14 到 30 5 之間的數字),以判斷應該有哪些物件及屬性。例如,inetOrgPerson 是在 Sch18.ldf 中定義的。
  9. 尋找改變的 LDAPDisplayNames。

    如果您先安裝 Exchange 2000,再執行 Windows Server 2003 adprep /forestprep 命令,請參閱「Microsoft 知識庫」下列文件中的<How to Identify Mangled Name Attributes>章節:
    314649 Windows Server 2003 adprep /forestprep Command Causes Mangled Attributes in Windows 2000 Forests That Contain Exchange 2000 Servers
    如果您找到改變名稱,請參閱同一文件中<Exchange 2000 in Windows 2000 Forests>一節的「案例 3」。
  10. 使用裝載架構操作主機的樹系中 Schema Admins 安全性群組成員帳戶,登入架構操作主機的主控台。

使用 adprep /domainprep 命令升級網域

請在 /forestprep 對將主控 Windows Server 2003 網域控制站的每個網域,其基礎結構主機網域控制站變更完整複寫之後,再執行 adprep /domainprep。如果要執行這項操作,請依照下列步驟執行:
  1. 識別您將要升級的網域中的基礎結構主機網域控制站,然後使用所要升級的網域中 Domain Admins 安全性群組成員帳戶登入。

    注意:企業系統管理員可能不是樹系的子網域中 Domain Admins 安全性群組的成員。
  2. 在基礎結構主機上執行 adprep /domainprep。如果要執行這項操作,請按一下 [開始],再按一下 [執行],輸入 cmd,然後在基礎結構主機上輸入下列命令:
    X:\I386\adprep /domainprep
    其中 X:\I386\ 是 Windows Server 2003 安裝媒體的路徑。這個命令會在目標網域中執行整個網域的變更。

    注意adprep /domainprep 命令會修改 Sysvol 共用中的檔案使用權限。這些修改會完整地將該樹狀目錄中的檔案同步處理。
  3. 確認 domainprep 已順利完成。如果要執行這項操作,請檢查下列項目:
    • adprep /domainprep 命令已經完成,並且沒有任何錯誤。
    • CN=Windows2003Update,CN=DomainUpdates,CN=System,DC=dn path of domain you are upgrading 存在
    如果無法執行 adprep /domainprep,請檢查下列項目:
    • 執行 adprep 的已登入使用者具有您將要升級的網域中 Domain Admins 安全性群組的成員資格。如果要執行這項操作,請使用 whoami /all 命令。
    • 之前 adprep 執行時,已指定安裝媒體中 \I386 目錄所儲存 Adprep.exe 的完整路徑名稱。如果要執行這項操作,請在命令提示字元中輸入下列命令:
      x:\i386\adprep /forestprep
      其中 x 是主控安裝媒體的磁碟機。
    • 如果 adprep 仍然無法運作,請檢視 %systemroot%\System32\Debug\Adprep\Logs\Latest_log 資料夾中的 Adprep.log 檔案。
  4. 確認已經複寫 adprep /domainprep 變更。如果要執行這項操作,網域中的其餘網域控制站可以檢查下列項目:
    • CN=Windows2003Update,CN=DomainUpdates,CN=System,DC=dn path of domain you are upgrading 物件存在,且 Revision 屬性值符合網域基礎結構主機上相同屬性的值。
    • (選擇性) 尋找 adprep /domainprep 所新增的物件、屬性或存取控制清單 (ACL) 變更。
    在大量其餘網域的基礎結構主機上,或是在您新增或升級那些網域的 DC 至 Windows Server 2003 時,重複步驟 1-4。現在您可以使用 DCPROMO,將新的 Windows Server 2003 電腦升級為樹系。或者,您可以使用 WINNT32.EXE,將現有的 Windows 2000 網域控制站升級為 Windows Server 2003。

使用 Winnt32.exe 升級 Windows 2000 網域控制站

在您完整地複寫 /forestprep/domainprep 所做的變更,並且做出有關舊版用戶端中安全性互通性的決策之後,您可以將 Windows 2000 網域控制站升級成 Windows Server 2003,並在網域中新增新的 Windows Server 2003 網域控制站。

下列電腦必須在每個網域的樹系中執行 Windows Server 2003 的第一個網域控制站之間:
  • 樹系中的網域命名主機,如此,您可以建立預設的 DNS 程式分割。
  • 樹系根網域的網域主控制站,如此,Windows Server 2003 的 forestprep 新增的整個企業安全性原則就會變成可以在 ACL 編輯器中看到。
  • 每個非根網域中的網域主控制站,如此,您可以建立新的網域特定 Windows 2003 安全性原則。
如果要執行這項操作,請使用 WINNT32,以便升級裝載了您想要的操作角色的現有網域控制站。或者,將角色轉移至剛升級的 Windows Server 2003 網域控制站。針對使用 WINNT32,您升級至 Windows Server 2003 的每個 Windows 2000 網域控制站,以及所要升級的每個 Windows Server 2003 工作群組或成員電腦,執行下列步驟:
  1. 在您使用 WINNT32 來升級 Windows 2000 成員電腦及網域控制站之前,請先移除 Windows 2000 系統管理工具。如果要執行這項操作,請使用「控制台」中的「新增/移除程式」工具(僅限 Windows 2000 升級使用)。
  2. 安裝 Microsoft 或系統管理員判定為重要的任何 Hotfix 檔案或其他修正程式。
  3. 檢查每個網域控制站,看看是否出現可能的升級問題。如果要執行這項操作,請從安裝媒體的 \I386 資料夾執行下列命令:
    winnt32.exe /checkupgradeonly
    解決相容性檢查所識別的任何問題。
  4. 從安裝媒體的 \I386 資料夾執行 WINNT32.EXE,然後重新啟動已升級的 2003 網域控制站。
  5. 如有必要,請降低較舊版本用戶端的安全性設定。

    如果 Windows NT 4.0 用戶端沒有 NT 4.0 SP6,或者 Windows 95 用戶端尚未安裝目錄服務用戶端,請在「網域控制站」組織單位的「預設網域控制站」原則上停用 SMB 服務簽署,然後將這個原則連結至主控網域控制站的所有組織單位。
    電腦設定\Windows 設定\安全性設定\本機原則\安全性選項\Microsoft 網路伺服器:數位簽章伺服器的通訊 (自動)
  6. 使用下列資料點來檢查升級的狀態:
    • 升級已順利地完成。
    • 新增至安裝的 Hotfix 成功地取代原始的二進位檔案。
    • 網域控制站正在執行所有命令內容的 Active Directory 輸入及輸出複寫。
    • Netlogon 及 Sysvol 共用已存在。
    • 事件日記指出網域控制站及其服務狀況良好。

      注意:升級之後,您可能收到下列事件訊息:

      事件類型:錯誤
      事件來源:NTDS 備份
      事件類別目錄:備份
      事件 ID:1913
      日期:Date
      時間:上午|下午 HH:MM:SS
      使用者:N/A
      電腦:computername
      描述:內部錯誤:Active Directory 備份及還原作業發生意外的錯誤。問題修正之前,備份或還原將無法成功。

      您可以安心地忽略這個事件訊息。
  7. 安裝 Windows Server 2003 系統管理工具 (僅限 Windows 2000 升級及 Windows Server 2003 非網域控制站使用)。Adminpak.msi 位於 Windows Server 2003 光碟的 \I386 資料夾中。Windows Server 2003 媒體的 Support\Tools\Suptools.msi 檔案中包含更新的支援工具。請確定您重新安裝這個檔案。
  8. 至少為您在樹系的每個網域中升級至 Windows Server 2003 的前面兩個 Windows 2000 網域控制站,製作新的備份。找出已鎖定存放裝置中升級至 Windows Server 2003 的 Windows 2000 電腦的備份,如此,您就不會意外地使用這些備份,還原目前執行 Windows Server 2003 的網域控制站。
  9. (選擇性)「單一例項存放裝置」(SIS) 執行完成 (僅限 Windows 2000 升級使用) 之後,在您升級至 Windows Server 2003 的網域控制站上執行 Active Directory 資料庫的離線磁碟重組。

    SIS 會檢閱 Active Directory 中所存放物件的現有使用權限,然後在那些物件上套用更有效的安全性描述元。當已升級的網域控制站第一次啟動 Windows Server 2003 作業系統時,SIS 就會自動地啟動 (從目錄服務事件日誌的事件 1953 看出來的)。您只有在記錄目錄服務事件日誌中事件 ID 1966 事件訊息時,才能從改良的安全性描述元得到好處:

    事件類型:資訊
    事件來源:NTDS SDPROP
    事件類別目錄:正在進行內部處理
    事件 ID:1966
    日期:MM/DD/YYYY
    時間:上午|下午 HH:MM:SS
    使用者:NT AUTHORITY\ANONYMOUS LOGON
    電腦:<computername>
    描述:安全性描述元傳播程式已經完成完整的傳播。
    配置的空間 (MB):
    XX 可用空間 (MB):XX

    這可能已經增加 Active Directory 資料庫的可用空間。
    使用者動作:考慮離線重組資料庫,以釋放 Active Directory 資料庫中可用的空間。如需詳細資訊,請參閱 http://support.microsoft.com 上的「說明和支援中心」。

    這個事件訊息指出,「單一例項存放裝置」作業已經完成,並做為佇列,讓系統管理員可以使用 NTDSUTIL.EXE,執行離線重組 Ntds.dit。

    離線重組可以減少 Windows 2000 Ntds.dit 檔案最多 40% 的大小、改善 Active Directory 效能,並更新資料庫中的頁面,以便更有效地儲存 Link Valued 屬性。 如需有關如何對 Active Directory 資料庫進行磁碟重組的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
    232122 執行 Active Directory 資料庫離線重組作業
  10. 調查 DLT Server 服務。Windows Server 2003 網域控制站停用全新及升級安裝上的 DLT Server 服務。如果您組織的 Windows 2000 或 Windows XP 用戶端使用 DLT Server 服務,請使用「群組原則」,以啟用全新或升級的 Windows Server 2003 網域控制站上的 DLT Server 服務。或者,以遞增方式刪除 Active Directory 中的分散式連結追蹤物件。 如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
    312403 Distributed Link Tracking on Windows-based domain controllers
    315229 Text version of Dltpurge.vbs for Microsoft Knowledge Base article Q312403
    如果您大量地刪除數千個 DLT 物件或其他物件,可能會因為缺少版本儲存而封鎖了複寫。刪除最後一個 DLT 物件以及完成廢棄項目收集之後,請等候 tombstonelifetime 天 (預設是 60 天),然後使用 NTDSUTIL.EXE 執行 Ntds.dit 檔案的離線磁碟重組。
  11. 設定最佳做法的組織單位結構。Microsoft 建議系統管理員主動在所有 Active Directory 網域中部署最佳做法的組織單位結構,並且在「Windows 網域」節點中升級或部署 Windows Server 2003 網域控制站之後,重新將舊版 API 用來建立使用者、電腦及群組的預設容器,導向至系統管理員指定的組織單位容器。

    如需有關最佳做法組織單位結構的詳細資訊,請參閱《管理 Windows 網路的最佳 Active Directory 設計》(英文) 白皮書中的<建立組織單元設計>一節。如果要檢視此白皮書,請造訪下列的 Microsoft 網站:
    http://www.microsoft.com/technet/prodtechnol/windows2000serv/technologies/activedirectory/plan/bpaddsgn.mspx
    如需有關變更儲存舊版 API 所建立之使用者、電腦及群組的預設容器的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
    324949 Redirecting the users and computers containers in Windows Server 2003 domains
  12. 請視需要,為樹系中每個全新或升級的 Windows Server 2003 網域控制站,重複步驟 1 至 10,並且為每個 Active Directory 網域重複步驟 11 (最佳做法的組織單位結構)。

    摘要:
    • 使用 WINNT32 (使用時,從安裝媒體匯集) 升級 Windows 2000 網域控制站
    • 確認已升級的電腦上已經安裝了 Hotfix 檔案
    • 安裝未包含在安裝媒體上的任何必要 Hotfix
    • 檢查全新或升級伺服器 (AD、FRS、原則等等) 的狀態
    • 升級 OS 之後,等候 24 小時,再執行離線重組 (選擇性)
    • 啟動 DLT Service (如果一定要的話),或者使用 q312403 / q315229 post forest wide domainpreps 刪除 DLT 物件
    • 刪除 DLT 物件之後,執行離線重組 60+ 天 (tombstone 存留時間及廢棄項目收集 # 的天數)

在測試環境中預備測試 (Dry-Run) 升級

在您將 Windows 網域控制站升級成實際生產 Windows 2000 網域之前,請先在測試環境中驗證並調整升級程序。如果您在能夠精準地反映實際樹系情況的測試環境中順利地執行升級,就可以預期實際生產環境也會得到類似的結果。在複雜的環境中,測試環境必須反映實際生產環境的下列部份:
  • 硬體:電腦類型、記憶體大小、分頁檔位置、磁碟大小、效能及 RAID 設定、BIOS 及韌體版本等級
  • 軟體:用戶端及伺服器作業系統版本、用戶端及伺服器應用程式、Service Pack 版本、Hotfix、架構變更、安全性群組、群組成員資格、使用權限、原則設定、物件計數類型及位置、版本交互操作性
  • 網路基礎結構:WINS、DHCP、連結速度、可用頻寬
  • 載入:載入模擬器可以模擬密碼變更、物件建立、Active Directory 複寫、登入驗證及其他事件。這並不是用來重現實際生產環境的規模,而是用來探索一般作業的成本及頻率,並根據目前及未來的需求,在實際生產環境上插入兩者的影響 (名稱查詢、複寫傳輸、網路頻寬及處理器耗用)。
  • 系統管理:執行的工作、使用的工具、使用的作業系統
  • 作業:容量、交互操作性
  • 磁碟空間:記下作業系統的啟動、尖峰及結束大小、Ntds.dit、通用類別目錄上 Active Directory 記錄檔,以及執行下列操作之後,每個網域中的非通用類別目錄網域控制站:
    1. adprep /forestprep
    2. adprep /domainprep
    3. 將 Windows 2000 網域控制站升級至 Windows Server 2003
    4. 版本更新之後,執行離線重組
瞭解更新程序及複雜的環境,再加上仔細地監視,有助於判斷必須注意有關實際生產環境所適用的速度及等級。具有少數網域控制站,以及透過高可用性廣域網路 (WAN) 連結所連線 Active Directory 物件的環境,可能只需數小時進行升級。對於具有數以百計的網域控制站或數十萬 Active Directory 物件的企業部署,您必須更加小心。在這類情況中,您可能會花上數週或數月的時間來執行升級。

在測試環境中使用預備測試 (Dry-Run) 升級,以執行下列工作:
  • 瞭解升級程序的內部運作,以及相關的風險。
  • 在您的環境中找出部署程序的潛在問題。
  • 測試及部署返回計劃,以防升級失敗。
  • 定義詳細資料的適當等級,以套用在實際網域的升級程序中。

磁碟空間不足的網域控制站

在磁碟空間不足的網域控制站上,請執行下列步驟,以釋放主控 Ntds.dit 及記錄檔的磁碟區的額外磁碟空間:
  1. 刪除未使用檔案,包括 *.tmp 檔或網際網路瀏覽器使用的快取檔案。如果要執行這項操作,請輸入下列命令 (在每個命令之後,按下 ENTER):
    cd /d drive\
    del *.tmp /s
  2. 刪除任何使用者或記憶體傾印檔案。如果要執行這項操作,請輸入下列命令 (在每個命令之後,按下 ENTER):
    cd /d drive\
    del *.dmp /s
  3. 將您可以從其他伺服器存取或能夠輕易地重新安裝的檔案暫時移除或重新配置。您可以移除並輕易取代的檔案,包括了 ADMINPAK、Support Tools,以及 %systemroot%\System32\Dllcache 資料夾中的所有檔案。
  4. 刪除舊的或未使用的使用者設定檔。如果要執行這項操作,請按一下 [開始],用滑鼠右鍵按一下 [我的電腦],再按一下 [內容],再按 [使用者設定檔] 索引標籤,然後刪除舊的或未使用帳戶的所有設定檔。請勿刪除可能是服務帳戶的任何設定檔。
  5. 刪除 %systemroot%\Symbols 的符號。如果要執行這項操作,請輸入下列命令:
    rd /s %systemroot%\symbols
    根據伺服器是否具有完整或少部份的符號組而定,這個動作可能取得大約 70 MB 至 600 MB 的空間。
  6. 執行離線重組。離線重組 Ntds.dit 檔也許可以釋放空間,但是暫時需要目前 DIT 檔的兩倍空間。使用其他本機磁碟區 (如果其中一個可以使用),執行離線重組。或者,使用最佳連線網路伺服器上的空間來執行離線重組。如果磁碟空間仍然不足,漸增地刪除不必要的使用者帳戶、電腦帳戶、Active Directory 的 DNS 記錄及 DLT 物件。

    注意:Active Directory 不會刪除資料庫的物件,除非已經超過 tombstonelifetime 天 (預設是 60 天),而且已經完成廢棄項目收集。如果您將 tombstonelifetime 的值減少至低於樹系中端對端複寫的值,則可能造成 Active Directory 中不一致的情形。

?考

如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
821076 Windows Server 2003 Help Files Contain Incorrect Information About How to Update a Windows 2000 Domain

屬性

文章編號: 325379 - 上次校閱: 2006年9月22日 - 版次: 21.1
這篇文章中的資訊適用於:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Exchange 2000 Server Standard Edition
關鍵字:?
kbinfo KB325379
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com