Aktualisieren von Windows 2000-Domänencontrollern auf Windows Server 2003

  • Artikel

In diesem Artikel wird erläutert, wie Sie Microsoft Windows 2000-Domänencontroller auf Windows Server 2003 aktualisieren und neue Windows Server 2003-Domänencontroller zu Windows 2000-Domänen hinzufügen.

Gilt für: Windows Server 2012 R2
Ursprüngliche KB-Nummer: 325379

Zusammenfassung

In diesem Artikel wird erläutert, wie Sie Microsoft Windows 2000-Domänencontroller auf Windows Server 2003 aktualisieren und neue Windows Server 2003-Domänencontroller zu Windows 2000-Domänen hinzufügen. Weitere Informationen zum Upgrade von Domänencontrollern auf Windows Server 2008 oder Windows Server 2008 R2 finden Sie auf der folgenden Microsoft-Website:

Upgrade von Domänencontrollern: Microsoft-Support Schnellstart zum Hinzufügen von Windows Server 2008- oder Windows Server 2008 R2-Domänencontrollern zu vorhandenen Domänen

Domänen- und Gesamtstrukturbestand

Führen Sie vor dem Upgrade von Windows 2000-Domänencontrollern auf Windows Server 2003 oder vor dem Hinzufügen neuer Windows Server 2003-Domänencontroller zu einer Windows 2000-Domäne die folgenden Schritte aus:

  1. Inventarisieren Sie die Clients, die auf Ressourcen in der Domäne zugreifen, die Windows Server 2003-Domänencontroller hosten, um die Kompatibilität mit der SMB-Signatur zu gewährleisten:

    Jeder Windows Server 2003-Domänencontroller ermöglicht die SMB-Anmeldung in seiner lokalen Sicherheitsrichtlinie. Stellen Sie sicher, dass alle Netzwerkclients, die das SMB/CIFS-Protokoll für den Zugriff auf freigegebene Dateien und Drucker in Domänen verwenden, die Windows Server 2003-Domänencontroller hosten, konfiguriert oder aktualisiert werden können, um SMB-Signierung zu unterstützen. Wenn dies nicht der Fall ist, deaktivieren Sie die SMB-Signatur vorübergehend, bis Updates installiert werden können oder bis die Clients auf neuere Betriebssysteme aktualisiert werden können, die SMB-Signierung unterstützen. Informationen zum Deaktivieren der SMB-Signatur finden Sie im Abschnitt So deaktivieren Sie die SMB-Signatur am Ende dieses Schritts.

    Aktionspläne

    In der folgenden Liste sind die Aktionspläne für beliebte SMB-Clients aufgeführt:

    • Microsoft Windows Server 2003, Microsoft Windows XP Professional, Microsoft Windows 2000 Server, Microsoft Windows 2000 Professional und Microsoft Windows 98

      Es ist keine Aktion erforderlich.

    • Microsoft Windows NT 4.0 Installieren Sie Service Pack 3 oder höher (Service Pack 6A wird empfohlen) auf allen Windows NT 4.0-basierten Computern, die auf Domänen zugreifen, die Windows Server 2003-basierte Computer enthalten. Deaktivieren Sie stattdessen vorübergehend die SMB-Signatur auf Windows Server 2003-Domänencontrollern. Informationen zum Deaktivieren der SMB-Signatur finden Sie im Abschnitt So deaktivieren Sie die SMB-Signatur am Ende dieses Schritts.

    • Microsoft Windows 95

      Installieren Sie den Windows 9 x-Verzeichnisdienstclient auf den Windows 95-basierten Computern, oder deaktivieren Sie die SMB-Signatur vorübergehend auf Windows Server 2003-Domänencontrollern. Der ursprüngliche Win9 x-Verzeichnisdienstclient ist auf der Windows 2000 Server-CD-ROM verfügbar. Dieses Client-Add-On wurde jedoch durch einen verbesserten Win9 x-Verzeichnisdienstclient ersetzt. Informationen zum Deaktivieren der SMB-Signatur finden Sie im Abschnitt So deaktivieren Sie die SMB-Signatur am Ende dieses Schritts.

    • Microsoft Network Client für MS-DOS- und Microsoft LAN Manager-Clients

      Der Microsoft-Netzwerkclient für MS-DOS und der Microsoft LAN Manager 2.x-Netzwerkclient können verwendet werden, um zugriff auf Netzwerkressourcen bereitzustellen, oder sie können mit einer startbaren Diskette kombiniert werden, um Betriebssystemdateien und andere Dateien aus einem freigegebenen Verzeichnis auf einem Dateiserver im Rahmen einer Softwareinstallationsroutine zu kopieren. Diese Clients unterstützen keine SMB-Signatur. Verwenden Sie eine alternative Installationsmethode, oder deaktivieren Sie die SMB-Signatur. Informationen zum Deaktivieren der SMB-Signatur finden Sie im Abschnitt So deaktivieren Sie die SMB-Signatur am Ende dieses Schritts.

    • Macintosh-Clients

      Einige Macintosh-Clients sind nicht mit der SMB-Signatur kompatibel und erhalten die folgende Fehlermeldung, wenn sie versuchen, eine Verbindung mit einer Netzwerkressource herzustellen:

      – Fehler -36 E/A

      Installieren Sie die aktualisierte Software, sofern sie verfügbar ist. Deaktivieren Sie andernfalls die SMB-Signierung auf Windows Server 2003-Domänencontrollern. Informationen zum Deaktivieren der SMB-Signatur finden Sie im Abschnitt So deaktivieren Sie die SMB-Signatur am Ende dieses Schritts.

    • Andere SMB-Clients von Drittanbietern

      Einige SMB-Clients von Drittanbietern unterstützen keine SMB-Signatur. Wenden Sie sich an Ihren SMB-Anbieter, um festzustellen, ob eine aktualisierte Version vorhanden ist. Deaktivieren Sie andernfalls die SMB-Signierung auf Windows Server 2003-Domänencontrollern.

    So deaktivieren Sie die SMB-Signatur

    Wenn Softwareupdates auf betroffenen Domänencontrollern unter Windows 95, Windows NT 4.0 oder anderen Clients, die vor der Einführung von Windows Server 2003 installiert wurden, nicht installiert werden können, deaktivieren Sie vorübergehend die Signierungsanforderungen für den SMB-Dienst in Gruppenrichtlinie, bis Sie die aktualisierte Clientsoftware bereitstellen können.

    Sie können die SMB-Dienstsignatur im folgenden Knoten der Richtlinie für Standarddomänencontroller in der Domänencontroller-Organisationseinheit deaktivieren: Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen\Microsoft Network Server:

    Digitales Signieren von Kommunikationen (immer)

    Wenn sich Domänencontroller nicht in der Organisationseinheit des Domänencontrollers befinden, müssen Sie das Gruppenrichtlinie-Objekt (GPO) des Standarddomänencontrollers mit allen Organisationseinheiten verknüpfen, die Windows 2000- oder Windows Server 2003-Domänencontroller hosten. Alternativ können Sie die Anmeldung des SMB-Diensts in einem GPO konfigurieren, das mit diesen Organisationseinheiten verknüpft ist.

  2. Inventarisieren Sie die Domänencontroller, die sich in der Domäne und in der Gesamtstruktur befinden:

    1. Stellen Sie sicher, dass auf allen Windows 2000-Domänencontrollern in der Gesamtstruktur alle entsprechenden Hotfixes und Service Packs installiert sind.

      Microsoft empfiehlt, dass auf allen Windows 2000-Domänencontrollern das Betriebssystem Windows 2000 Service Pack 4 (SP4) oder höher ausgeführt wird. Wenn Sie Windows 2000 SP4 oder höher nicht vollständig bereitstellen können, müssen alle Windows 2000-Domänencontroller über eine Ntdsa.dll Datei verfügen, deren Datumsstempel und Version höher als der 4. Juni 2001 und 5.0.2195.3673 sind.

      Standardmäßig verwenden Active Directory-Verwaltungstools auf Clientcomputern unter Windows 2000 SP4, Windows XP und Windows Server 2003 die LDAP-Signatur (Lightweight Directory Access Protocol). Wenn diese Computer bei der Remoteverwaltung von Windows 2000-Domänencontrollern die NTLM-Authentifizierung verwenden (oder darauf zurückgreifen), funktioniert die Verbindung nicht. Um dieses Verhalten zu beheben, sollte auf remote verwalteten Domänencontrollern mindestens Windows 2000 SP3 installiert sein. Andernfalls sollten Sie die LDAP-Signierung auf den Clients deaktivieren, auf denen die Verwaltungstools ausgeführt werden.

      In den folgenden Szenarien wird die NTLM-Authentifizierung verwendet:

      • Sie verwalten Windows 2000-Domänencontroller, die sich in einer externen Gesamtstruktur befinden, die durch eine NTLM-Vertrauensstellung (nicht Kerberos) verbunden ist.
      • Sie konzentrieren microsoft Management Console (MMC)-Snap-Ins auf einen bestimmten Domänencontroller, auf den durch seine IP-Adresse verwiesen wird. Klicken Sie z. B. auf Start, klicken Sie auf Ausführen, und geben Sie dann den folgenden Befehl ein: dsa.msc /server=ipaddress

      Um das Betriebssystem und die Service Pack-Revisionsebene von Active Directory-Domänencontrollern in einer Active Directory-Domäne zu bestimmen, installieren Sie die Windows Server 2003-Version von Repadmin.exe auf einem Windows XP Professional- oder Windows Server 2003-Mitgliedscomputer in der Gesamtstruktur, und führen Sie dann den folgenden repadmin Befehl für einen Domänencontroller in jeder Domäne in der Gesamtstruktur aus:

      >repadmin /showattr <name of the domain controller that is in the target domain> ncobj:domain: /filter:"(&(objectCategory=computer)(primaryGroupID=516))" /subtree /atts:operatingSystem,operatingSystemVersion,operatingSystemServicePack

DN: CN=NA-DC-01,organizational unit=Domain Controllers,DC=company,DC=com
 1> operatingSystem: Windows Server 2003
 1> operatingSystemVersion: 5.2 (3718)
DN: CN=NA-DC-02,organizational unit=Domain Controllers,DC=company,DC=com
 1> operatingSystem: Windows 2000 Server
 1> operatingSystemVersion: 5.0 (2195)
 1> operatingSystemServicePack: Service Pack 1

      Hinweis

      Die Attribute des Domänencontrollers verfolgen die Installation einzelner Hotfixes nicht nach.

    2. Überprüfen Sie die End-to-End-Active Directory-Replikation in der gesamten Gesamtstruktur.

      Stellen Sie sicher, dass jeder Domänencontroller in der aktualisierten Gesamtstruktur alle lokal gehaltenen Benennungskontexte mit seinen Partnern konsistent mit dem Zeitplan repliziert, den Standortlinks oder Verbindungsobjekte definieren. Verwenden Sie die Windows Server 2003-Version von Repadmin.exe auf einem Windows XP- oder Windows Server 2003-basierten Mitgliedscomputer in der Gesamtstruktur mit den folgenden Argumenten: Alle Domänencontroller in der Gesamtstruktur müssen Active Directory ohne Fehler replizieren, und die Werte in der Spalte "Größtes Delta" der Repadminausgabe sollten nicht wesentlich größer sein als die Replikationshäufigkeit auf den entsprechenden Standortverknüpfungs- oder Verbindungsobjekten, die von einer bestimmten Zieldomäne verwendet werden. Controller.

      Beheben Sie alle Replikationsfehler zwischen Domänencontrollern, bei denen die eingehende Replikation in weniger als der Anzahl von Tagen (Tombstone Lifetime, TSL) fehlgeschlagen ist (standardmäßig 60 Tage). Wenn die Replikation nicht funktioniert, müssen Sie die Domänencontroller möglicherweise mit dem Befehl Ntdsutil metadata cleanup aus der Gesamtstruktur entfernen und dann wieder in die Gesamtstruktur heraufstufen. Sie können eine erzwungene Herabstufung verwenden, um sowohl die Betriebssysteminstallation als auch die Programme zu speichern, die sich auf einem verwaisten Domänencontroller befinden. Weitere Informationen zum Entfernen verwaister Windows 2000-Domänencontroller aus ihrer Domäne finden Sie in den folgenden Artikeln der Microsoft Knowledge Base:

      216498 Entfernen von Daten in Active Directory nach einer nicht erfolgreichen Herabstufung des Domänencontrollers

      Führen Sie diese Aktion nur als letztes Mittel aus, um die Installation des Betriebssystems und der installierten Programme wiederherzustellen. Sie verlieren nicht replizierte Objekte und Attribute auf verwaisten Domänencontrollern, einschließlich Benutzern, Computern, Vertrauensstellungen, deren Kennwörtern, Gruppen und Gruppenmitgliedschaften.

      Seien Sie vorsichtig, wenn Sie versuchen, Replikationsfehler auf Domänencontrollern zu beheben, die keine eingehenden Änderungen für eine bestimmte Active Directory-Partition für mehr als die tombstonelifetime-Anzahl von Tagen repliziert haben. In diesem Fall können Sie Objekte, die auf einem Domänencontroller gelöscht wurden, aber für die direkte oder transitive Replikationspartner in den letzten 60 Tagen nie gelöscht wurden, reanimieren.

      Entfernen Sie ggf. alle objekte, die sich auf Domänencontrollern befinden, die in den letzten 60 Tagen keine eingehende Replikation durchgeführt haben. Alternativ können Sie Domänencontroller, die keine eingehende Replikation auf einer bestimmten Partition durchgeführt haben, in der Tombstone-Lebensdaueranzahl von Tagen erzwungen herabstufen und ihre verbleibenden Metadaten mithilfe von Ntdsutil und anderen Hilfsprogrammen aus der Active Directory-Gesamtstruktur entfernen. Wenden Sie sich an Ihren Supportanbieter oder an Microsoft PSS, um weitere Hilfe zu erfahren.

    3. Stellen Sie sicher, dass der Inhalt der Sysvol-Freigabe konsistent ist.

      Stellen Sie sicher, dass der Dateisystemteil der Gruppenrichtlinie konsistent ist. Sie können Gpotool.exe aus dem Resource Kit verwenden, um zu bestimmen, ob Inkonsistenzen in Richtlinien in einer Domäne vorliegen. Verwenden Sie die Integritätsprüfung der Windows Server 2003-Supporttools, um zu ermitteln, ob die Sysvol-Freigabereplikatsätze in jeder Domäne ordnungsgemäß funktionieren.

      Wenn der Inhalt der Sysvol-Freigabe inkonsistent ist, beheben Sie alle Inkonsistenzen.

    4. Verwenden Sie Dcdiag.exe aus den Supporttools, um zu überprüfen, ob alle Domänencontroller über freigegebene Netlogon- und Sysvol-Freigaben verfügen. Geben Sie dazu den folgenden Befehl an einer Eingabeaufforderung ein:

      DCDIAG.EXE /e /test:frssysvol

    5. Inventarisieren Sie die Betriebsrollen.

      Die Schema- und Infrastrukturbetriebsmaster werden verwendet, um Gesamtstruktur- und domänenweite Schemaänderungen an der Gesamtstruktur und ihren Domänen einzuführen, die vom Windows Server 2003-Hilfsprogramm adprep vorgenommen werden. Vergewissern Sie sich, dass sich der Domänencontroller, der die Schema- und Infrastrukturrolle für jede Domäne in der Gesamtstruktur hostet, auf aktiven Domänencontrollern befindet und dass jeder Rollenbesitzer seit dem letzten Neustart eine eingehende Replikation über alle Partitionen durchgeführt hat.

      Der DCDIAG /test:FSMOCHECK Befehl kann verwendet werden, um gesamtstruktur- und domänenweite Betriebsrollen anzuzeigen. Vorgänge master Rollen, die sich auf nicht vorhandenen Domänencontrollern befinden, sollten mithilfe von NTDSUTIL auf einen fehlerfreien Domänencontroller übernommen werden. Rollen, die sich auf fehlerhaften Domänencontrollern befinden, sollten nach Möglichkeit übertragen werden. Andernfalls sollten sie beschlagnahmt werden. Der NETDOM QUERY FSMO Befehl identifiziert keine FSMO-Rollen, die sich auf gelöschten Domänencontrollern befinden.

      Vergewissern Sie sich, dass die seit dem letzten Start eine eingehende Replikation von Active Directory durchgeführt hat. Die eingehende Replikation kann mithilfe des REPADMIN /SHOWREPS DCNAME Befehls überprüft werden, wobei DCNAME der NetBIOS-Computername oder der vollqualifizierte Computername eines Domänencontrollers ist. Weitere Informationen zu Betriebsmastern und deren Platzierung finden Sie in den folgenden Artikeln der Microsoft Knowledge Base:

      197132 Windows 2000 Active Directory FSMO-Rollen

      223346 FSMO-Platzierung und -Optimierung auf Active Directory-Domänencontrollern

    6. EventLog Review

      Untersuchen Sie die Ereignisprotokolle auf allen Domänencontrollern auf problematische Ereignisse. Die Ereignisprotokolle dürfen keine schwerwiegenden Ereignismeldungen enthalten, die auf ein Problem mit einem der folgenden Prozesse und Komponenten hinweisen:

      Physische Konnektivität
      Netzwerkkonnektivität
      Namensregistrierung
      Namensauflösung
      Authentifizierung
      Gruppenrichtlinien
      Sicherheitsrichtlinie
      Datenträgersubsystem
      Schema
      Topologie
      Replikations-Engine

    7. Speicherplatzbestand

      Das Volume, auf dem die Active Directory-Datenbankdatei Ntds.dit gehostet wird, muss über freien Speicherplatz von mindestens 15 bis 20 % der Ntds.dit-Dateigröße verfügen. Das Volume, auf dem die Active Directory-Protokolldatei gehostet wird, muss ebenfalls über freien Speicherplatz verfügen, der mindestens 15 bis 20 % der Ntds.dit-Dateigröße entspricht. Weitere Informationen zum Freigeben von zusätzlichem Speicherplatz finden Sie im Abschnitt "Domänencontroller ohne ausreichenden Speicherplatz" dieses Artikels.

    8. DNS-Scavenging (optional)

      Aktivieren Sie dns Scavenging in 7-Tage-Intervallen für alle DNS-Server in der Gesamtstruktur. Um optimale Ergebnisse zu erzielen, führen Sie diesen Vorgang 61 oder mehr Tage vor dem Upgrade des Betriebssystems aus. Dies bietet dem DNS-Scavengingdaemon genügend Zeit, um die veralteten DNS-Objekte zu sammeln, wenn eine Offlinedefragmentierung für die Datei Ntds.dit ausgeführt wird.

    9. Deaktivieren des DLT-Serverdiensts (optional)

      Der DLT-Serverdienst ist bei neuen und aktualisierten Installationen von Windows Server 2003-Domänencontrollern deaktiviert. Wenn die Nachverfolgung verteilter Links nicht verwendet wird, können Sie den DLT Server-Dienst auf Ihren Windows 2000-Domänencontrollern deaktivieren und mit dem Löschen von DLT-Objekten aus jeder Domäne in der Gesamtstruktur beginnen. Weitere Informationen finden Sie im Abschnitt "Microsoft-Empfehlungen für die Nachverfolgung verteilter Links" des folgenden Artikels in der Microsoft Knowledge Base: 312403 Distributed Link Tracking auf Windows-basierten Domänencontrollern

    10. Systemstatussicherung

      Erstellen Sie eine Systemstatussicherung von mindestens zwei Domänencontrollern in jeder Domäne in der Gesamtstruktur. Sie können die Sicherung verwenden, um alle Domänen in der Gesamtstruktur wiederherzustellen, wenn das Upgrade nicht funktioniert.

Microsoft Exchange 2000 in Windows 2000-Gesamtstrukturen

Hinweis

  • Wenn Exchange 2000 Server in einer Windows 2000-Gesamtstruktur installiert ist oder installiert wird, lesen Sie diesen Abschnitt, bevor Sie den Windows Server 2003-Befehl adprep /forestprep ausführen.
  • Wenn Microsoft Exchange Server 2003-Schemaänderungen installiert werden, wechseln Sie zum Abschnitt "Übersicht: Aktualisieren von Windows 2000-Domänencontrollern auf Windows Server 2003", bevor Sie die Windows Server 2003-Befehle adprep ausführen.

Das Exchange 2000-Schema definiert drei inetOrgPerson-Attribute mit nicht RFC-kompatiblen LDAPDisplayNames(Request for Comment): houseIdentifier, secretary und labeledURI.

Das Windows 2000 inetOrgPerson Kit und der Windows Server 2003-Befehl adprep definieren RFC-complaint-Versionen derselben drei Attribute mit identischen LDAPDisplayNames wie die nicht RFC-kompatiblen Versionen.

Wenn der Windows Server 2003-Befehl adprep /forestprep ohne Korrekturskripts in einer Gesamtstruktur ausgeführt wird, die Windows 2000- und Exchange 2000-Schemaänderungen enthält, werden die Attribute LDAPDisplayNames für den houseIdentifier, labeledURI und secretary verwaltet. Ein Attribut wird "mangled", wenn "Dup" oder andere eindeutige Zeichen am Anfang des konfliktierten Attributnamens hinzugefügt werden, sodass Objekte und Attribute im Verzeichnis eindeutige Namen haben.

Active Directory-Gesamtstrukturen sind in den folgenden Fällen nicht anfällig für verwaltete LDAPDisplayNames für diese Attribute:

  • Wenn Sie den Windows Server 2003-Befehl adprep /forestprep in einer Gesamtstruktur ausführen, die das Windows 2000-Schema enthält, bevor Sie das Exchange 2000-Schema hinzufügen.
  • Wenn Sie das Exchange 2000-Schema in der Gesamtstruktur installieren, das erstellt wurde, wobei ein Windows Server 2003-Domänencontroller der erste Domänencontroller in der Gesamtstruktur war.
  • Wenn Sie Windows 2000 inetOrgPerson Kit einer Gesamtstruktur hinzufügen, die das Windows 2000-Schema enthält, installieren Sie dann Exchange 2000-Schemaänderungen, und führen Sie dann den Windows Server 2003-Befehl adprep /forestprep aus.
  • Wenn Sie exchange 2000-Schema zu einer vorhandenen Windows 2000-Gesamtstruktur hinzufügen, führen Sie Exchange 2003 /forestprep aus, bevor Sie den Windows Server 2003-Befehl adprep /forestprep ausführen.

In windows 2000 treten in den folgenden Fällen verworrene Attribute auf:

  • Wenn Sie einer Windows 2000-Gesamtstruktur vor der Installation des Windows 2000 inetOrgPerson Kit die Exchange 2000-Versionen von labeledURI, houseIdentifier und secretary hinzufügen.
  • Sie fügen die Exchange 2000-Versionen der attributeedURI, houseIdentifier und secretary einer Windows 2000-Gesamtstruktur hinzu, bevor Sie den Windows Server 2003-Befehl adprep /forestprep ausführen, ohne zuerst die Bereinigungsskripts auszuführen. Es folgen Aktionspläne für jedes Szenario:

Szenario 1: Änderungen am Exchange 2000-Schema werden hinzugefügt, nachdem Sie den Windows Server 2003-Befehl adprep /forestprep ausgeführt haben.

Wenn Exchange 2000-Schemaänderungen in Ihrer Windows 2000-Gesamtstruktur eingeführt werden, nachdem der Windows Server 2003-Befehl adprep /forestprep ausgeführt wurde, ist keine Bereinigung erforderlich. Wechseln Sie zum Abschnitt "Übersicht: Upgraden von Windows 2000-Domänencontrollern auf Windows Server 2003".

Szenario 2: Exchange 2000-Schemaänderungen werden vor dem Windows Server 2003-Befehl adprep /forestprep installiert

Wenn Exchange 2000-Schemaänderungen bereits installiert wurden, Sie aber den Windows Server 2003-Befehl adprep /forestprep NICHT ausgeführt haben, sollten Sie den folgenden Aktionsplan in Betracht ziehen:

  1. Melden Sie sich bei der Konsole der Schemavorgänge an, die master, indem Sie ein Konto verwenden, das Mitglied der Sicherheitsgruppe Schemaadministratoren ist.

  2. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sienotepad.exe in das Feld Öffnen ein, und klicken Sie dann auf OK.

  3. Kopieren Sie den folgenden Text einschließlich des nachfolgenden Bindestrichs nach "schemaUpdateNow: 1" in Editor.

    dn: CN=ms-Exch-Assistant-Name,CN=Schema,CN=Configuration,DC=X
    changetype: Modify
    replace:LDAPDisplayName
    LDAPDisplayName: msExchAssistantName
    -

    dn: CN=ms-Exch-LabeledURI,CN=Schema,CN=Configuration,DC=X
    changetype: Modify
    replace: LDAPDisplayName
    LDAPDisplayName: msExchLabeledURI
    -

    dn: CN=ms-Exch-House-Identifier,CN=Schema,CN=Configuration,DC=X
    changetype: Modify
    replace: LDAPDisplayName
    LDAPDisplayName: msExchHouseIdentifier
    -

    Dn:
    changetype: Modify
    add: schemaUpdateNow
    schemaUpdateNow: 1
    -

  4. Vergewissern Sie sich, dass am Ende jeder Zeile kein Leerzeichen vorhanden ist.

  5. Klicken Sie im Menü Datei auf Speichern . Führen Sie im Dialogfeld Speichern unter folgende Schritte durch:

    1. Geben Sie im Feld Dateiname Folgendes ein: \%userprofile%\InetOrgPersonPrevent.ldf
    2. Klicken Sie im Feld Dateityp auf Alle Dateien.
    3. Klicken Sie im Feld Codierung auf Unicode.
    4. Klicken Sie auf Speichern.
    5. Beenden Sie den Editor.

  6. Führen Sie das Skript InetOrgPersonPrevent.ldf aus.

    1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie cmd in das Feld Öffnen ein, und klicken Sie dann auf OK.

    2. Geben Sie an einer Eingabeaufforderung Folgendes ein, und drücken Sie dann die EINGABETASTE: cd %userprofile%

    3. Geben Sie den folgenden Befehl ein:

    c:\documents and settings\%username%>ldifde -i -f inetorgpersonprevent.ldf -v -c DC=X "domain name path for forest root domain"

    Syntaxhinweise:

    • DC=X ist eine Konstante, bei der die Groß-/Kleinschreibung beachtet wird.
    • Der Domänennamenspfad für die Stammdomäne muss in Anführungszeichen eingeschlossen werden.

    Die Befehlssyntax für eine Active Directory-Gesamtstruktur, deren Stammdomäne der Gesamtstruktur lautet TAILSPINTOYS.COM , lautet beispielsweise:

    c:\documents and settings\administrator>ldifde -i -f inetorgpersonprevent.ldf -v -c DC=X "dc=tailspintoys,dc=com"

    Hinweis

    Möglicherweise müssen Sie den Registrierungsunterschlüssel Schemaupdate zugelassen ändern, wenn die folgende Fehlermeldung angezeigt wird: Schemaupdate ist auf diesem Domänencontroller nicht zulässig, da der Registrierungsschlüssel nicht festgelegt ist oder der DC nicht der FSMO-Rollenbesitzer des Schemas ist.

  7. Vergewissern Sie sich, dass die Attribute LDAPDisplayNames für die Attribute CN=ms-Exch-Assistant-Name, CN=ms-Exch-LabeledURI und CN=ms-Exch-House-Identifier im Schemabenennungskontext jetzt als msExchAssistantName, msExchLabeledURI und msExchHouseIdentifier angezeigt werden, bevor Sie die Windows Server 2003-Befehle adprep /forestprep ausführen.

  8. Wechseln Sie zum Abschnitt "Übersicht: Aktualisieren von Windows 2000-Domänencontrollern auf Windows Server 2003", um die adprep /forestprep Befehle und /domainprep auszuführen.

Szenario 3: Der Forestprep-Befehl von Windows Server 2003 wurde ausgeführt, ohne zuerst inetOrgPersonFix auszuführen.

Wenn Sie den Windows Server 2003-Befehl adprep /forestprep in einer Windows 2000-Gesamtstruktur ausführen, die die Exchange 2000-Schemaänderungen enthält, werden die LDAPDisplayName-Attribute für houseIdentifier, secretary und labeledURI verwaltet. Verwenden Sie Ldp.exe, um die betroffenen Attribute zu ermitteln, um die betreffenden Namen zu identifizieren:

  1. Installieren Sie Ldp.exe aus dem Ordner Support\Tools des Microsoft Windows 2000- oder Windows Server 2003-Mediums.

  2. Starten Sie Ldp.exe von einem Domänencontroller oder Mitgliedscomputer in der Gesamtstruktur aus.

    1. Klicken Sie im Menü Verbindung auf Verbinden, lassen Sie das Feld Server leer, geben Sie 389 in das Feld Port ein, und klicken Sie dann auf OK.
    2. Klicken Sie im Menü Verbindung auf Binden, lassen Sie alle Felder leer, und klicken Sie dann auf OK.

  3. Notieren Sie sich den Distinguished Name-Pfad für das SchemaNamingContext-Attribut. Für einen Domänencontroller in der CORP.ADATUM.COM Gesamtstruktur kann der Distinguished Name-Pfad beispielsweise CN=Schema,CN=Configuration,DC=corp,DC=company,DC=com sein.

  4. Klicken Sie im Menü Durchsuchen auf Suchen.

  5. Verwenden Sie die folgenden Einstellungen, um das Dialogfeld Suchen zu konfigurieren:

    • Basis-DN: Der Distinguished Name-Pfad für den Schemabenennungskontext, der in Schritt 3 identifiziert wird.
    • Filter: (ldapdisplayname=dup*)
    • Bereich: Unterstruktur

  6. Mangled houseIdentifier-, secretary- und labeledURI-Attribute verfügen über LDAPDisplayName-Attribute, die dem folgenden Format ähneln:

    LDAPDisplayName: DUP-labeledURI-9591bbd3-d2a6-4669-afda-48af7c35507d;
    LDAPDisplayName: DUP-secretary-c5a1240d-70c0-455c-9906-a4070602f85f
    LDAPDisplayName: DUP-houseIdentifier-354b0ca8-9b6c-4722-aae7-e66906cc9eef

  7. Wenn die LDAPDisplayNames für labeledURI, secretary und houseIdentifier in Schritt 6 verwaltet wurden, führen Sie das Windows Server 2003-Skript InetOrgPersonFix.ldf zur Wiederherstellung aus, und wechseln Sie dann zum Abschnitt "Upgraden von Windows 2000-Domänencontrollern mit Winnt32.exe".

    1. Erstellen Sie einen Ordner mit dem Namen %Systemdrive%\IOP, und extrahieren Sie dann die Datei InetOrgPersonFix.ldf in diesen Ordner.

    2. Geben Sie an einer Eingabeaufforderung ein cd %systemdrive%\iop.

    3. Extrahieren Sie die Datei InetOrgPersonFix.ldf aus der Support.cab Datei, die sich im Ordner Support\Tools des Windows Server 2003-Installationsmediums befindet.

    4. Laden Sie aus der Konsole der Schemavorgänge master die Datei InetOrgPersonFix.ldf, indem Sie Ldifde.exe verwenden, um das LdapDisplayName-Attribut der Attribute houseIdentifier, secretary und labeledURI zu korrigieren. Geben Sie dazu den folgenden Befehl ein, wobei X> eine Konstante ist, bei <der die Groß-/Kleinschreibung beachtet wird, und <dn path für die Stammdomäne> der Gesamtstruktur den Domänennamenpfad für die Stammdomäne der Gesamtstruktur ist:

      C:\IOP>ldifde -i -f inetorgpersonfix.ldf -v -c DC=X "domain name path for forest root domain"

      Syntaxhinweise:

      • DC=X ist eine Konstante, bei der die Groß-/Kleinschreibung beachtet wird.
      • Der Domänennamenspfad für die Stammdomäne der Gesamtstruktur muss in Anführungszeichen eingeschlossen werden.

  8. Vergewissern Sie sich vor der Installation von Exchange 2000, dass die Attribute houseIdentifier, secretary und labeledURI im Schemabenennungskontext nicht "mangled" sind.

Übersicht: Upgrade von Windows 2000-Domänencontrollern auf Windows Server 2003

Der Windows Server 2003-Befehl adprep , den Sie im Ordner \I386 des Windows Server 2003-Mediums ausführen, bereitet eine Windows 2000-Gesamtstruktur und deren Domänen für das Hinzufügen von Windows Server 2003-Domänencontrollern vor. Der Windows Server 2003-Befehl adprep /forestprep fügt die folgenden Features hinzu:

  • Verbesserte Standardsicherheitsbeschreibungen für Objektklassen

  • Neue Benutzer- und Gruppenattribute

  • Neue Schemaobjekte und Attribute wie inetOrgPersonDas Hilfsprogramm adprep unterstützt zwei Befehlszeilenargumente:

    • adprep /forestprep: Führt Gesamtstrukturupgradevorgänge aus.
    • dprep /domainprep: Führt Domänenupgradevorgänge aus.

Der adprep /forestprep Befehl ist ein einmaliger Vorgang, der für den Schemavorgang master (FSMO) der Gesamtstruktur ausgeführt wird. Der forestprep-Vorgang muss abgeschlossen und in die Infrastruktur master jeder Domäne repliziert werden, bevor Sie in dieser Domäne ausführen adprep /domainprep können.

Der adprep /domainprep Befehl ist ein einmaliger Vorgang, den Sie für die Infrastrukturvorgänge master Domänencontroller jeder Domäne in der Gesamtstruktur ausführen, die neue oder aktualisierte Windows Server 2003-Domänencontroller hostet. Der adprep /domainprep Befehl überprüft, ob die Änderungen von forestprep in der Domänenpartition repliziert wurden, und nimmt dann eigene Änderungen an der Domänenpartition und den Gruppenrichtlinien in der Sysvol-Freigabe vor.

Sie können keine der folgenden Aktionen ausführen, es sei denn, die Vorgänge /forestprep und /domainprep wurden abgeschlossen und auf alle Domänencontroller in dieser Domäne repliziert:

  • Aktualisieren Sie die Windows 2000-Domänencontroller mithilfe von Winnt32.exe auf Windows Server 2003-Domänencontroller.

Hinweis

Sie können die Windows 2000-Mitgliedsserver und -computer jederzeit auf Windows Server 2003-Mitgliedscomputer aktualisieren. Heraufstufen neuer Windows Server 2003-Domänencontroller in die Domäne mithilfe von Dcpromo.exe. Die Domäne, die die Schemavorgänge master hostet, ist die einzige Domäne, in der Sie sowohl als adprep /domainprepauch adprep /forestprep ausführen müssen. In allen anderen Domänen müssen Sie nur ausführen adprep /domainprep.

Die adprep /forestprep Befehle und adprep /domainprep fügen keine Attribute zum teilseitigen Attributsatz des globalen Katalogs hinzu oder verursachen eine vollständige Synchronisierung des globalen Katalogs. Die RTM-Version von adprep /domainprep führt zu einer vollständigen Synchronisierung des Ordners \Policies in der Sysvol-Struktur. Selbst wenn Sie forestprep und domainprep mehrmals ausführen, werden abgeschlossene Vorgänge nur einmal ausgeführt.

Nach den Änderungen von adprep /forestprep und adprep /domainprep der vollständigen Replikation können Sie die Windows 2000-Domänencontroller auf Windows Server 2003 aktualisieren, indem Sie Winnt32.exe aus dem Ordner \I386 des Windows Server 2003-Mediums ausführen. Außerdem können Sie der Domäne mithilfe von Dcpromo.exe neue Windows Server 2003-Domänencontroller hinzufügen.

Aktualisieren der Gesamtstruktur mit dem Befehl adprep /forestprep

Um eine Windows 2000-Gesamtstruktur und Domänen für die Annahme von Windows Server 2003-Domänencontrollern vorzubereiten, führen Sie die folgenden Schritte zuerst in einer Labumgebung und dann in einer Produktionsumgebung aus:

  1. Stellen Sie sicher, dass Sie alle Vorgänge in der Phase "Gesamtstrukturinventur" mit besonderem Augenmerk auf die folgenden Punkte abgeschlossen haben:

    1. Sie haben Systemstatussicherungen erstellt.
    2. Alle Windows 2000-Domänencontroller in der Gesamtstruktur haben alle entsprechenden Hotfixes und Service Packs installiert.
    3. Die End-to-End-Replikation von Active Directory findet in der gesamten Gesamtstruktur statt.
    4. FRS repliziert die Dateisystemrichtlinie ordnungsgemäß in jeder Domäne.

  2. Melden Sie sich bei der Konsole der Schemavorgänge master mit einem Konto an, das Mitglied der Sicherheitsgruppe Schemaadministratoren ist.

  3. Überprüfen Sie, ob das Schema FSMO eine eingehende Replikation der Schemapartition ausgeführt hat, indem Sie Folgendes an einer Windows NT-Eingabeaufforderung eingeben: repadmin /showreps

    ( repadmin wird vom Ordner Support\Tools von Active Directory installiert.)

  4. In der frühen Microsoft-Dokumentation wird empfohlen, die Schemavorgänge master in einem privaten Netzwerk zu isolieren, bevor Sie ausführenadprep /forestprep. Die praxisnahe Erfahrung deutet darauf hin, dass dieser Schritt nicht erforderlich ist und dazu führen kann, dass Schemavorgänge master Schemaänderungen ablehnen, wenn sie in einem privaten Netzwerk neu gestartet werden.

  5. Führen Sie für die Schemavorgänge master ausadprep. Klicken Sie hierzu auf Start, klicken Sie auf Ausführen, geben Sie cmd ein, und klicken Sie dann auf OK. Geben Sie im master Schemavorgänge den folgenden Befehl ein:

     X:\I386\adprep /forestprep

    Dabei ist X:\I386\ der Pfad des Windows Server 2003-Installationsmediums. Dieser Befehl führt das gesamtstrukturweite Schemaupgrade aus.

    Hinweis

    Ereignisse mit der Ereignis-ID 1153, die im Ereignisprotokoll des Verzeichnisdiensts protokolliert werden, z. B. das folgende Beispiel, können ignoriert werden:

  6. Vergewissern Sie sich, dass der adprep /forestprep Befehl für die Schemavorgänge master erfolgreich ausgeführt wurde. Überprüfen Sie dazu in der Konsole der Schemavorgänge master die folgenden Elemente: – Der adprep /forestprep Befehl wurde ohne Fehler abgeschlossen. – Das CN=Windows2003Update-Objekt wird unter CN=ForestUpdates,CN=Configuration,DC= forest_root_domain geschrieben. Notieren Sie sich den Wert des Revision-Attributs. – (Optional) Die auf Version 30 inkrementierte Schemaversion. Informationen hierzu finden Sie im ObjectVersion-Attribut unter CN=Schema,CN=Configuration,DC= forest_root_domain. Wenn adprep /forestprep nicht ausgeführt wird, überprüfen Sie folgendes:

    • Der vollqualifizierte Pfad für Adprep.exe, der sich im Ordner \I386 des Installationsmediums befindet, wurde bei adprep der Ausführung angegeben. Geben Sie dazu den folgenden Befehl ein:

      x:\i386\adprep /forestprep

      Wobei x das Laufwerk ist, auf dem die Installationsmedien gehostet werden.

    • Der angemeldete Benutzer, der adprep ausführt, ist Mitglied der Sicherheitsgruppe Schemaadministratoren. Verwenden Sie den Befehl, um dies whoami /all zu überprüfen.

    • Wenn adprep immer noch nicht funktioniert, zeigen Sie die Adprep.log Datei im Ordner %systemroot%\System32\Debug\Adprep\Logs\Latest_log an.

  7. Wenn Sie die ausgehende Replikation für die Schemavorgänge master in Schritt 4 deaktiviert haben, aktivieren Sie die Replikation, damit die von adprep /forestprep vorgenommenen Schemaänderungen weitergegeben werden können. Führen Sie dazu die folgenden Schritte aus:

    1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie cmd ein, und klicken Sie dann auf OK.
    2. Geben Sie Folgendes ein, und drücken Sie dann die EINGABETASTE: repadmin /options -DISABLE_OUTBOUND_REPL

  8. Vergewissern Sie sich, dass die adprep /forestprep Änderungen auf allen Domänencontrollern in der Gesamtstruktur repliziert wurden. Es ist nützlich, die folgenden Attribute zu überwachen:

    1. Erhöhen der Schemaversion
    2. CN=Windows2003Update, CN=ForestUpdates,CN=Configuration,DC= forest_root_domain or CN=Operations,CN=DomainUpdates,CN=System,DC= forest_root_domain und die darin befindlichen Betriebs-GUIDs wurden repliziert.
    3. Suchen Sie nach neuen Schemaklassen, Objekten, Attributen oder anderen Änderungen, die adprep /forestprep hinzugefügt werden, z. B. inetOrgPerson. Zeigen Sie die Sch XX.ldf-Dateien (wobei XX eine Zahl zwischen 14 und 30 ist) im Ordner %systemroot%\System32 an, um zu bestimmen, welche Objekte und Attribute vorhanden sein sollten. Beispielsweise ist inetOrgPerson in Sch18.ldf definiert.

  9. Suchen Sie nach verwalteten LDAPDisplayNames. Wenn Sie abgekürte Namen finden, wechseln Sie zu Szenario 3 desselben Artikels.

  10. Melden Sie sich bei der Konsole der Schemavorgänge master mit einem Konto an, das Mitglied der Gruppensicherheitsgruppe Schema-Admins der Gesamtstruktur ist, die die Schemavorgänge master hostet.

Aktualisieren der Domäne mit dem Befehl adprep /domainprep

Führen Sie nach adprep /domainprep der vollständigen Replikation der /forestprep-Änderungen in die Infrastruktur master Domänencontroller in jeder Domäne aus, die Windows Server 2003-Domänencontroller hostet. Führen Sie hierfür die folgenden Schritte aus:

  1. Identifizieren Sie die Infrastruktur master Domänencontrollers in der Domäne, die Sie aktualisieren, und melden Sie sich dann mit einem Konto an, das Mitglied der Sicherheitsgruppe Domänenadministratoren in der Domäne ist, die Sie aktualisieren.

    Hinweis

    Der Unternehmensadministrator ist möglicherweise kein Mitglied der Sicherheitsgruppe Domänenadministratoren in untergeordneten Domänen der Gesamtstruktur.

  2. Führen Sie auf der Infrastruktur master ausadprep /domainprep. Klicken Sie hierzu auf Start, klicken Sie auf Ausführen, geben Sie cmd ein, und geben Sie dann auf der master Infrastruktur den folgenden Befehl ein: X:\I386\adprep /domainprep Wobei X:\I386\ der Pfad des Windows Server 2003-Installationsmediums ist. Dieser Befehl führt domänenweite Änderungen in der Zieldomäne aus.

    Hinweis

    Der adprep /domainprep Befehl ändert die Dateiberechtigungen in der Sysvol-Freigabe. Diese Änderungen führen zu einer vollständigen Synchronisierung von Dateien in dieser Verzeichnisstruktur.

  3. Vergewissern Sie sich, dass die Domänenvorbereitung erfolgreich abgeschlossen wurde. Überprüfen Sie dazu die folgenden Elemente:

    • Der adprep /domainprep Befehl wurde ohne Fehler abgeschlossen.
    • CN=Windows2003Update,CN=DomainUpdates,CN=System,DC= dn Pfad der Domäne, die Sie aktualisieren , vorhandenWenn adprep /domainprep sie nicht ausgeführt wird, überprüfen Sie die folgenden Elemente:
    • Der angemeldete Benutzer, der ausgeführt wird adprep , ist mitglied der Sicherheitsgruppe Domänenadministratoren in der Domäne, die Sie aktualisieren. Verwenden Sie dazu den whoami /all Befehl.
    • Der vollqualifizierte Pfad für Adprep.exe, der sich im Verzeichnis \I386 des Installationsmediums befindet, wurde angegeben, als Sie ausgeführt haben adprep. Geben Sie dazu an einer Eingabeaufforderung den folgenden Befehl ein: x :\i386\adprep /forestprep Dabei steht x für das Laufwerk, auf dem die Installationsmedien gehostet werden.
    • Wenn adprep immer noch nicht funktioniert, zeigen Sie die Adprep.log-Datei im Ordner %systemroot%\System32\Debug\Adprep\Logs\ Latest_log an.

  4. Vergewissern Sie sich, dass die adprep /domainprep Änderungen repliziert wurden. Überprüfen Sie dazu für die verbleibenden Domänencontroller in der Domäne die folgenden Elemente: - Das CN=Windows2003Update,CN=DomainUpdates,CN=System,DC= dn Pfad des Domänenobjekts, das Sie aktualisieren, ist vorhanden, und der Wert für das Revision-Attribut entspricht dem Wert desselben Attributs für die Infrastruktur master der Domäne. – (Optional) Suchen Sie nach hinzugefügten Änderungen an Objekten, Attributen oder Zugriffssteuerungslisten (Access Control List, adprep /domainprep ACL). Wiederholen Sie die Schritte 1 bis 4 für die Infrastruktur master der verbleibenden Domänen in einem Massenvorgang oder beim Hinzufügen oder Aktualisieren von DCs in diesen Domänen auf Windows Server 2003. Jetzt können Sie neue Windows Server 2003-Computer mithilfe von DCPROMO in die Gesamtstruktur heraufstufen. Alternativ können Sie vorhandene Windows 2000-Domänencontroller mithilfe von WINNT32.EXE auf Windows Server 2003 aktualisieren.

Aktualisieren von Windows 2000-Domänencontrollern mithilfe von Winnt32.exe

Nachdem die Änderungen von /forestprep und /domainprep vollständig repliziert wurden und Sie eine Entscheidung zur Sicherheitsinteroperabilität mit Clients früherer Versionen getroffen haben, können Sie Windows 2000-Domänencontroller auf Windows Server 2003 aktualisieren und der Domäne neue Windows Server 2003-Domänencontroller hinzufügen.

Die folgenden Computer müssen zu den ersten Domänencontrollern gehören, auf denen Windows Server 2003 in der Gesamtstruktur in jeder Domäne ausgeführt wird:

  • Die Domänenbenennung master in der Gesamtstruktur, sodass Sie STANDARD-DNS-Programmpartitionen erstellen können.
  • Der primäre Domänencontroller der Stammdomäne der Gesamtstruktur, sodass die unternehmensweiten Sicherheitsprinzipale, die der Forestprep von Windows Server 2003 hinzufügt, im ACL-Editor sichtbar werden.
  • Der primäre Domänencontroller in jeder Nicht-Stammdomäne, damit Sie neue domänenspezifische Windows 2003-Sicherheitsprinzipale erstellen können. Verwenden Sie dazu WINNT32, um vorhandene Domänencontroller zu aktualisieren, die die gewünschte Betriebsrolle hosten. Oder übertragen Sie die Rolle auf einen neu heraufgestuften Windows Server 2003-Domänencontroller. Führen Sie die folgenden Schritte für jeden Windows 2000-Domänencontroller aus, den Sie mit WINNT32 auf Windows Server 2003 upgraden, und für jeden Windows Server 2003-Arbeitsgruppen- oder Mitgliedscomputer, den Sie höher stufen:

  1. Bevor Sie WINNT32 verwenden, um Windows 2000-Mitgliedscomputer und Domänencontroller zu aktualisieren, entfernen Sie die Windows 2000-Verwaltungstools. Verwenden Sie dazu das Tool Software in Systemsteuerung. (Nur Windows 2000-Upgrades.)

  2. Installieren Sie alle Hotfixdateien oder andere Fixes, die entweder von Microsoft oder vom Administrator als wichtig festgelegt werden.

  3. Überprüfen Sie jeden Domänencontroller auf mögliche Upgradeprobleme. Führen Sie dazu den folgenden Befehl im Ordner \I386 des Installationsmediums aus: winnt32.exe /checkupgradeonly Beheben Sie alle Probleme, die von der Kompatibilitätsprüfung identifiziert werden.

  4. Führen Sie WINNT32.EXE aus dem Ordner \I386 des Installationsmediums aus, und starten Sie den aktualisierten 2003-Domänencontroller neu.

  5. Verringern Sie die Sicherheitseinstellungen für Clients früherer Versionen nach Bedarf.

    Wenn auf Windows NT 4.0-Clients nt 4.0 SP6 oder Windows 95-Clients der Verzeichnisdienstclient nicht installiert ist, deaktivieren Sie die SMB-Dienstsignatur für die Standarddomänencontrollerrichtlinie in der Organisationseinheit Domänencontroller, und verknüpfen Sie diese Richtlinie dann mit allen Organisationseinheiten, die Domänencontroller hosten. Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen\Microsoft-Netzwerkserver: Digitales Signieren der Kommunikation (immer)

  6. Überprüfen Sie die Integrität des Upgrades mithilfe der folgenden Datenpunkte:

    • Das Upgrade wurde erfolgreich abgeschlossen.
    • Die Hotfixes, die Sie der Installation hinzugefügt haben, haben die ursprünglichen Binärdateien erfolgreich ersetzt.
    • Die eingehende und ausgehende Replikation von Active Directory erfolgt für alle Benennungskontexte, die vom Domänencontroller gehalten werden.
    • Die Freigaben Netlogon und Sysvol sind vorhanden.
    • Das Ereignisprotokoll gibt an, dass der Domänencontroller und seine Dienste fehlerfrei sind.

    Hinweis

    Nach dem Upgrade wird möglicherweise die folgende Ereignismeldung angezeigt: Sie können diese Ereignismeldung sicher ignorieren.

  7. Installieren Sie die Windows Server 2003-Verwaltungstools (nur Windows 2000-Upgrades und Nicht-Domänencontroller für Windows Server 2003). Adminpak.msi befindet sich im Ordner \I386 der Windows Server 2003-CD-ROM. Windows Server 2003-Medien enthalten aktualisierte Supporttools in der Support\Tools\Suptools.msi-Datei. Stellen Sie sicher, dass Sie diese Datei neu installieren.

  8. Erstellen Sie neue Sicherungen von mindestens den ersten beiden Windows 2000-Domänencontrollern, die Sie in jeder Domäne in der Gesamtstruktur auf Windows Server 2003 aktualisiert haben. Suchen Sie die Sicherungen der Windows 2000-Computer, die Sie auf Windows Server 2003 aktualisiert haben, im gesperrten Speicher, damit Sie sie nicht versehentlich zum Wiederherstellen eines Domänencontrollers verwenden, auf dem jetzt Windows Server 2003 ausgeführt wird.

  9. (Optional) Führen Sie eine Offlinedefragmentierung der Active Directory-Datenbank auf den Domänencontrollern durch, die Sie auf Windows Server 2003 aktualisiert haben, nachdem der einzelne instance Store (SIS) abgeschlossen wurde (nur Windows 2000-Upgrades).

    Das SIS überprüft vorhandene Berechtigungen für objekte, die in Active Directory gespeichert sind, und wendet dann einen effizienteren Sicherheitsdeskriptor auf diese Objekte an. Das SIS wird automatisch gestartet (identifiziert durch ereignis 1953 im Ereignisprotokoll des Verzeichnisdiensts), wenn das windows Server 2003-Betriebssystem auf Domänencontrollern gestartet wird, die aktualisiert wurden. Sie profitieren vom verbesserten Sicherheitsdeskriptorspeicher nur, wenn Sie eine Ereignis-ID 1966 im Verzeichnisdienstereignisprotokoll protokollieren: Diese Ereignismeldung gibt an, dass der einzelne instance Store-Vorgang abgeschlossen wurde und als Warteschlange dient, die der Administrator für die Offlinedefragmentierung von Ntds.dit mithilfe von NTDSUTIL.EXE ausführen kann.

    Die Offlinedefragmentierung kann die Größe einer Windows 2000 Ntds.dit-Datei um bis zu 40 % reduzieren, die Active Directory-Leistung verbessern und die Seiten in der Datenbank aktualisieren, um die Attribute mit Linkwert effizienter zu speichern. Weitere Informationen zum Defragmentieren der Active Directory-Datenbank finden Sie im folgenden Artikel der Microsoft Knowledge Base:

    232122 Ausführen der Offlinedefragmentierung der Active Directory-Datenbank

  10. Untersuchen Sie den DLT-Serverdienst. Windows Server 2003-Domänencontroller deaktivieren den DLT-Serverdienst bei Neuinstallationen und Upgradeinstallationen. Wenn Windows 2000- oder Windows XP-Clients in Ihrem organization den DLT-Serverdienst verwenden, verwenden Sie Gruppenrichtlinie, um den DLT-Serverdienst auf neuen oder aktualisierten Windows Server 2003-Domänencontrollern zu aktivieren. Andernfalls löschen Sie inkrementelle Nachverfolgungsobjekte für verteilte Links aus Active Directory. Weitere Informationen finden Sie, indem Sie auf die folgende Artikelnummer klicken, um den Artikel in der Microsoft Knowledge Base anzuzeigen:

    312403 der Nachverfolgung von verteilten Links auf Windows-basierten Domänencontrollern

    Wenn Sie Tausende von DLT-Objekten oder andere Objekte per Massenlöschung löschen, können Sie die Replikation aufgrund eines fehlenden Versionsspeichers blockieren. Warten Sie tombstonelifetime die Anzahl der Tage (standardmäßig 60 Tage), nachdem Sie das letzte DLT-Objekt gelöscht haben, und bis die Garbage Collection abgeschlossen ist. Verwenden Sie dann NTDSUTIL.EXE, um eine Offlinedefragmentierung der Datei Ntds.dit durchzuführen.

  11. Konfigurieren Sie die Organisationseinheitsstruktur mit bewährten Methoden. Microsoft empfiehlt Administratoren, die Organisationseinheitsstruktur der bewährten Methode aktiv in allen Active Directory-Domänen bereitzustellen und nach dem Upgrade oder Bereitstellen von Windows Server 2003-Domänencontrollern im Windows-Domänenmodus die Standardcontainer, die APIs früherer Versionen verwenden, um Benutzer, Computer und Gruppen zu erstellen, in einen Organisationseinheitscontainer umzuleiten, den der Administrator angibt.

    Weitere Informationen zur Struktur bewährter Organisationseinheiten findest du im Abschnitt "Erstellen eines Organisationseinheitenentwurfs" des Whitepapers "Best Practice Active Directory Design for Managing Windows Networks". Um das Whitepaper anzuzeigen, besuchen Sie die folgende Microsoft-Website: https://technet.microsoft.com/library/bb727085.aspx Weitere Informationen zum Ändern des Standardcontainers, in dem sich Benutzer, Computer und Gruppen befinden, die apIs früherer Versionen erstellen, finden Sie in der Microsoft Knowledge Base auf die folgende Artikelnummer:

    324949 Umleiten der Benutzer- und Computercontainer in Windows Server 2003-Domänen

  12. Wiederholen Sie die Schritte 1 bis 10 nach Bedarf für jeden neuen oder aktualisierten Windows Server 2003-Domänencontroller in der Gesamtstruktur und Schritt 11 (Struktur bewährter Organisationseinheiten) für jede Active Directory-Domäne.

    Zusammenfassung:

    • Upgrade von Windows 2000-Domänencontrollern mit WINNT32 (von den Slipstream-Installationsmedien, falls verwendet)
    • Überprüfen, ob die Hotfixes-Dateien auf den aktualisierten Computern installiert wurden
    • Installieren Sie alle erforderlichen Hotfixes, die nicht auf dem Installationsmedium enthalten sind.
    • Überprüfen der Integrität auf neuen oder aktualisierten Servern (AD, FRS, Richtlinie usw.)
    • Warten Sie 24 Stunden nach dem Betriebssystemupgrade und dann die Offline-Defragmentierung (optional)
    • Starten Sie ggf. den DLT-Dienst, andernfalls löschen Sie DLT-Objekte mithilfe von q312403/q315229 nach gesamtstrukturweiten Domänenvorschauen.
    • Offline-Defragmentierung von mehr als 60 Tagen (Tombstone-Lebensdauer und Garbage Collection # von Tagen) nach dem Löschen von DLT-Objekten ausführen

Testlaufupgrades in einer Labumgebung

Bevor Sie Windows-Domänencontroller auf eine Windows 2000-Produktionsdomäne aktualisieren, überprüfen und verfeinern Sie Ihren Upgradeprozess im Lab. Wenn das Upgrade einer Labumgebung, die die Produktionsgesamtstruktur genau widerspiegelt, reibungslos funktioniert, können Sie ähnliche Ergebnisse in Produktionsumgebungen erwarten. Bei komplexen Umgebungen muss die Labumgebung die Produktionsumgebung in den folgenden Bereichen Spiegel:

  • Hardware: Computertyp, Arbeitsspeichergröße, Auslagerungsdateiplatzierung, Datenträgergröße, Leistung und Raid-Konfiguration, BIOS- und Firmwarerevisionsebenen
  • Software: Client- und Serverbetriebssystemversionen, Client- und Serveranwendungen, Service Pack-Versionen, Hotfixes, Schemaänderungen, Sicherheitsgruppen, Gruppenmitgliedschaften, Berechtigungen, Richtlinieneinstellungen, Objektanzahltyp und Standort, Versionsinteroperabilität
  • Netzwerkinfrastruktur: WINS, DHCP, Verbindungsgeschwindigkeiten, verfügbare Bandbreite
  • Laden: Ladesimulatoren können Kennwortänderungen, Objekterstellung, Active Directory-Replikation, Anmeldeauthentifizierung und andere Ereignisse simulieren. Das Ziel besteht nicht darin, den Umfang der Produktionsumgebung zu reproduzieren. Stattdessen besteht das Ziel in der Ermittlung der Kosten und häufigkeit gängiger Vorgänge und deren Auswirkungen (Namensabfragen, Replikationsdatenverkehr, Netzwerkbandbreite und Prozessorverbrauch) auf die Produktionsumgebung basierend auf Ihren aktuellen und zukünftigen Anforderungen.
  • Verwaltung: ausgeführte Aufgaben, verwendete Tools, verwendete Betriebssysteme
  • Betrieb: Kapazität, Interoperabilität
  • Speicherplatz: Beachten Sie die Start-, Spitzen- und Endgröße der Betriebssystem-, Ntds.dit- und Active Directory-Protokolldateien auf globalen Katalog- und nicht-globalen Katalogdomänencontrollern in jeder Domäne nach jedem der folgenden Vorgänge:
    1. adprep /forestprep
    2. adprep /domainprep
    3. Upgrade von Windows 2000-Domänencontrollern auf Windows Server 2003
    4. Durchführen der Offlinedefragmentierung nach Versionsupgrades

Ein Verständnis des Upgradeprozesses und der Komplexität der Umgebung in Kombination mit einer detaillierten Beobachtung bestimmen das Tempo und den Grad der Sorgfalt, die Sie beim Upgrade von Produktionsumgebungen anwenden. Umgebungen mit einer kleinen Anzahl von Domänencontrollern und Active Directory-Objekten, die über WAN-Verbindungen (Wide Area Network) mit hoher Verfügbarkeit verbunden sind, können innerhalb weniger Stunden ein Upgrade durchführen. Möglicherweise müssen Sie bei Unternehmensbereitstellungen mit Hunderten von Domänencontrollern oder hunderttausenden Active Directory-Objekten vorsichtiger sein. In solchen Fällen können Sie das Upgrade über mehrere Wochen oder Monate durchführen.

Verwenden Sie "Dry-run"-Upgrades im Lab, um die folgenden Aufgaben auszuführen:

  • Machen Sie sich mit dem Inneren des Upgradeprozesses und den damit verbundenen Risiken vertraut.
  • Machen Sie potenzielle Problembereiche für den Bereitstellungsprozess in Ihrer Umgebung verfügbar.
  • Testen und entwickeln Sie Fallbackpläne für den Fall, dass das Upgrade nicht erfolgreich ist.
  • Definieren Sie die geeignete Detailebene, die auf den Upgradeprozess für die Produktionsdomäne angewendet werden soll.

Domänencontroller ohne ausreichenden Speicherplatz

Führen Sie auf Domänencontrollern mit unzureichendem Speicherplatz die folgenden Schritte aus, um zusätzlichen Speicherplatz auf dem Volume freizugeben, auf dem die Ntds.dit- und Protokolldateien gehostet werden:

  1. Löschen Sie die nicht verwendeten Dateien, einschließlich *.tmp Dateien oder zwischengespeicherte Dateien, die von Internetbrowsern verwendet werden. Geben Sie hierzu die folgenden Befehle ein (drücken Sie nach jedem Befehl die EINGABETASTE):

    cd /d drive\  
del *.tmp /s

  2. Löschen Sie alle Benutzer- oder Speicherabbilddateien. Geben Sie hierzu die folgenden Befehle ein (drücken Sie nach jedem Befehl die EINGABETASTE):

    cd /d drive\  
del *.dmp /s

  3. Entfernen oder verschieben Sie Dateien vorübergehend, auf die Sie von anderen Servern zugreifen können, oder verschieben Sie sie einfach neu. Zu den Dateien, die Sie entfernen und einfach ersetzen können, gehören ADMINPAK, Support Tools und alle Dateien im Ordner %systemroot%\System32\Dllcache.

  4. Löschen Sie alte oder nicht verwendete Benutzerprofile. Klicken Sie dazu auf Start, klicken Sie mit der rechten Maustaste auf Arbeitsplatz, klicken Sie auf Eigenschaften, klicken Sie auf die Registerkarte Benutzerprofile , und löschen Sie dann alle Profile für alte und nicht verwendete Konten. Löschen Sie keine Profile, die möglicherweise für Dienstkonten gelten.

  5. Löschen Sie die Symbole unter %systemroot%\Symbols. Geben Sie dazu den folgenden Befehl ein: rd /s %systemroot%\symbols Je nachdem, ob die Server über einen vollständigen oder einen kleinen Symbolsatz verfügen, kann dies ungefähr 70 MB bis 600 MB erreichen.

  6. Führen Sie eine Offline-Defragmentierung aus. Eine Offline-Defragmentierung der Datei Ntds.dit kann Speicherplatz freigeben, erfordert jedoch vorübergehend den doppelten Speicherplatz der aktuellen DIT-Datei. Führen Sie die Offline-Defragmentierung mithilfe anderer lokaler Volumes durch, sofern eines verfügbar ist. Oder verwenden Sie Speicherplatz auf einem am besten verbundenen Netzwerkserver, um die Offlinedefragmentierung durchzuführen. Wenn der Speicherplatz immer noch nicht ausreicht, löschen Sie inkrementell unnötige Benutzerkonten, Computerkonten, DNS-Einträge und DLT-Objekte aus Active Directory.

Hinweis

Active Directory löscht Objekte erst aus der Datenbank, wenn die tombstonelifetime-Anzahl von Tagen (standardmäßig 60 Tage) vergangen ist und die Garbage Collection abgeschlossen ist. Wenn Sie tombstonelifetime auf einen Wert reduzieren, der niedriger ist als die End-to-End-Replikation in der Gesamtstruktur, können Inkonsistenzen in Active Directory auftreten.