Windows 2000-Domänencontrollern auf Windows Server 2003 aktualisieren

Zusammenfassung

Dieser Artikel beschreibt, wie Microsoft Windows 2000-Domänencontroller auf Windows Server 2003 aktualisieren und neue Windows Server 2003-Domänencontroller zu Windows 2000-Domänen hinzufügen. Weitere Informationen zum Aktualisieren der Domänencontroller auf Windows Server 2008 oder Windows Server 2008 R2 finden Sie auf der folgenden Microsoft-Website:

Domänen- und Lager

Vor der Aktualisierung von Windows 2000-Domänencontrollern auf Windows Server 2003 oder Windows 2000-Domäne neue Windows Server 2003-Domänencontroller hinzufügen folgendermaßen Sie vor:
  1. Inventur der Clients, die Zugriff auf Ressourcen in der Domäne, der Windows Server 2003 für Kompatibilität mit SMB-Signaturen Domänencontroller:

    Jeder Windows Server 2003-Domänencontroller kann SMB-Signierung in seiner lokalen Sicherheitsrichtlinie. Stellen Sie sicher, dass alle Netzwerkclients, das SMB/CIFS-Protokoll auf freigegebene Dateien und Drucker in Domänen verwenden, Host Windows Server 2003-Domänencontrollern konfiguriert oder aktualisiert, um SMB-Signaturen unterstützen. Wenn sie nicht vorübergehend deaktivieren Sie, bis die Updates installiert werden können oder die Clients auf neue Betriebssysteme aktualisiert werden können, die SMB-Signierung unterstützen SMB-Signaturen. Informationen zum Deaktivieren von SMB-Signaturen finden Sie im Abschnitt "SMB-Signierung deaktivieren" am Ende dieses Schrittes.

    Aktionspläne

    Die folgende Liste zeigt die zu ergreifenden Maßnahmen für gängige SMB-Clients:
    • Microsoft Windows Server 2003, Microsoft Windows XP Professional, Microsoft Windows 2000 Server, Microsoft Windows 2000 Professional und Microsoft Windows 98

      Es ist keine Aktion erforderlich.
    • Microsoft Windows NT 4.0

      Installieren Sie Service Pack 3 oder höher (Service Pack 6A wird empfohlen) auf allen Windows NT 4.0-Computern, die auf Domänen zugreifen, die auf Computern mit Windows Server 2003 enthalten. Alternativ deaktivieren Sie SMB-Signierung auf Windows Server 2003-Domänencontrollern vorübergehend. Informationen zum Deaktivieren von SMB-Signaturen finden Sie im Abschnitt "SMB-Signierung deaktivieren" am Ende dieses Schrittes.
    • Microsoft Windows 95

      Installieren Sie den Verzeichnisdienstclient für Windows 9X auf Windows 95-basierten Computern oder deaktivieren Sie vorübergehend die SMB-Signierung auf Windows Server 2003-Domänencontroller. Der ursprüngliche Win9X -Verzeichnisdienstclient ist auf der Windows 2000 Server-CD. Dieses Client-Add-On wurde jedoch durch einen verbesserten Win9X -Verzeichnisdienstclient ersetzt. Informationen zum Deaktivieren von SMB-Signaturen finden Sie im Abschnitt "SMB-Signierung deaktivieren" am Ende dieses Schrittes.
    • Microsoft Network Client für MS-DOS und Microsoft LAN Manager-clients

      Microsoft Network Client für MS-DOS und Microsoft LAN Manager 2.x-Netzwerkclient Zugriff auf Netzwerkressourcen verwendet werden oder kann mit einer startfähigen Diskette Betriebssystemdateien und weitere Dateien als Teil einer Softwareinstallationsroutine von einem freigegebenen Verzeichnis auf einem Dateiserver kopieren kombiniert werden. Diese Clients unterstützen keine SMB-Signierung. Verwenden Sie eine alternative Installationsmethode oder deaktivieren Sie SMB-Signierung. Informationen zum Deaktivieren von SMB-Signaturen finden Sie im Abschnitt "SMB-Signierung deaktivieren" am Ende dieses Schrittes.
    • Macintosh-clients

      Einige Macintosh-Clients sind keine SMB-Signierung kompatibel und werden die folgende Fehlermeldung angezeigt, wenn sie versuchen, eine Verbindung:
      -E/a Fehler-36
      Installieren Sie aktualisierte Software, falls verfügbar. Andernfalls deaktivieren Sie die SMB-Signierung auf Windows Server 2003-Domänencontroller. Informationen zum Deaktivieren von SMB-Signaturen finden Sie im Abschnitt "SMB-Signierung deaktivieren" am Ende dieses Schrittes.
    • Weitere SMB-Clients von Drittanbietern

      Einige SMB-Clients von Drittanbietern unterstützen keine SMB-Signaturen. Wenden Sie sich an Ihrem SMB-Anbieter, ob eine aktualisierte Version vorhanden ist. Andernfalls deaktivieren Sie die SMB-Signierung auf Windows Server 2003-Domänencontroller.
    SMB-Signierung deaktivieren

    Wenn Softwareupdates nicht auf betroffenen Domänencontrollern, die unter Windows 95, Windows NT 4.0 installiert werden oder andere Clients, die vor der Einführung von Windows Server 2003 installiert wurden vorübergehend deaktivieren des SMB-Dienstes Anforderungen in der Gruppenrichtlinie erst bereitstellen können Signieren aktualisiert Clientsoftware.

    Sie können SMB-Dienst anmelden des Knotens der Standarddomänencontroller-Richtlinie auf die Organisationseinheit des Domänencontrollers deaktivieren:
    Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Policies\Security Richtlinien\Sicherheitsoptionen\Microsoft Network Server: Signieren Sie Kommunikation digital (immer)
    Wenn Domänencontroller nicht in der Domänencontroller-Organisationseinheit befinden, müssen Sie das Standarddomänencontroller-Gruppenrichtlinienobjekt (GPO) für alle Organisationseinheiten, Server Windows 2000 oder Windows Server 2003-Domänencontroller verknüpfen. Oder Sie können SMB-Dienst anmelden eines Gruppenrichtlinienobjekts, das mit den Organisationseinheiten verknüpft ist.
  2. Eine Inventur der Domänencontroller in der Domäne und der Gesamtstruktur:
    1. Stellen Sie sicher, dass alle Windows 2000-Domänencontroller in der Gesamtstruktur alle entsprechenden Hotfixes und Servicepacks installiert haben.

      Microsoft empfiehlt, dass alle Windows 2000-Domänencontrollern Windows 2000 Service Pack 4 (SP4) oder höher ausgeführt. Windows 2000 SP4 nicht vollständig einsetzen oder später alle der Windows 2000-Domäne Domänencontroller muss ein "Ntsda.dll" der Datei, deren Datum und Version 4. Juni 2001 und beträgt 5.0.2195.3673 aufweist. Für Weitere Informationen klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:

      331161 Hotfixes installieren, bevor Sie Adprep/forestprep auf einem Windows 2000-Domänencontroller zum Vorbereiten der Gesamtstruktur und Domänen auf die Hinzufügung von Windows Server 2003-Domänencontroller ausführen

      Active Directory-Verwaltungsprogramme auf Windows 2000 SP4, Windows XP und Windows Server 2003-Clientcomputern verwenden standardmäßig Lightweight Directory Access Protocol (LDAP) zu signieren. Wenn diese Computer (oder zurück zur) NTLM-Authentifizierung, wenn sie Windows 2000-Domänencontroller remote verwalten, die Verbindung funktioniert nicht. Um dieses Verhalten zu beheben, müssen remote verwalteten Domänencontrollern mindestens Windows 2000 SP3 installiert. Andernfalls sollten Sie LDAP-Signierung auf Clients, die die Verwaltungsprogramme ausführen deaktivieren. Weitere Informationen zu LDAP finden Sie in den folgenden Artikeln der Microsoft Knowledge Base Artikeln:

      325465 Windows 2000-Domänencontroller müssen Servicepack 3 oder höher bei Einsatz der Windows Server 2003-Verwaltungsprogramme

      Die folgenden Szenarien verwenden NTLM-Authentifizierung:
      • Sie verwalten Windows 2000-Domänencontrollern, die sich in einer externen Gesamtstruktur eine Vertrauensstellung NTLM (nicht Kerberos) verbunden.
      • Sie konzentrieren Microsoft Management Console (MMC)-Snap-ins auf einen bestimmten Domänencontroller, der die IP-Adresse verwiesen wird. Beispielsweise klicken Sie auf Start, klicken Sie auf Ausführenund geben Sie folgenden Befehl:
        dsa.msc /server=ipaddress
      Zur Bestimmung des Betriebssystems und des Service-Packs Revision der Active Directory-Domänencontroller in einer Active Directory-Domäne die Windows Server 2003-Version von Repadmin.exe auf einem Windows XP Professional oder Windows Server 2003-Mitgliedscomputer in der Gesamtstruktur, und führen Sie den folgenden Repadmin -Befehl für einen Domänencontroller in jeder Domäne in der Gesamtstruktur:
      > Repadmin /showattr Name des Domänencontrollers in der Zieldomäne Ncobj:domain: / filter: "(& (objectCategory=computer)(primaryGroupID=516))"/ subtree, /atts:operatingSystem, OperatingSystemVersion, OperatingSystemServicePack

      DN: CN = NA-DC-01, organisatorische Einheit = Domänencontroller, DC = Company, DC = com
      1 > Betriebssystem: WindowsServer 2003
      1 > OperatingSystemVersion: 5.2 (3718)
      DN: CN = NA-DC-02, organisatorische Einheit = Domänencontroller, DC = Company, DC = com
      1 > Betriebssystem: Windows 2000 Server
      1 > OperatingSystemVersion: 5.0 (2195)
      1 > OperatingSystemServicePack: Servicepack 1
      Hinweis: der Domänencontroller Attributen die Installation einzelner Hotfixes nicht überwacht.
    2. Überprüfen Sie die End-to-End-Active Directory-Replikation in der Gesamtstruktur.

      Stellen Sie sicher, dass jeder Domänencontroller in der Gesamtstruktur aktualisiert alle ihre lokal gespeicherten Namenskontexte mit Ihren mit dem Zeitplan repliziert, das Links zu Websites oder Verbindungsobjekte. Verwenden Sie die Windows Server 2003-Version von Repadmin.exe auf einem Windows XP- oder Windows Server 2003-Mitgliedscomputer in der Gesamtstruktur mit folgenden Argumenten: müssen alle Domänencontroller in der Gesamtstruktur Active Directory replizieren, ohne Fehler und die Werte in der Spalte "Größte Delta" Repadmin Ausgabe sollte nicht deutlich größer als die Replikationsrate entsprechende Websitehyperlinks oder Verbindungsobjekte, die von einer angegebenen Zieldomänencontroller verwendet werden.

      Beheben Sie alle Replikationsfehler zwischen Domänencontrollern, die auf eingehende nicht replizieren in weniger als Tombstone-Lebensdauer (TSL) Tage (standardmäßig 60 Tage). Wenn die Replikation kann nicht funktionieren, können haben, zwangsweise herabstufen der Domänencontroller mit dem Ntdsutil-Befehl Metadata Cleanup aus der Gesamtstruktur entfernen und anschließend erneut in die Gesamtstruktur heraufstufen. Zwangsweise Herabstufung können Sie die Installation des Betriebssystems und der Programme auf einem verwaisten Domänencontroller speichern. Für Weitere Informationen zum Entfernen verwaister Windows 2000-Domänencontroller aus ihrer Domäne finden Sie im folgenden Artikel der Microsoft Knowledge Base:

      216498 wie nach einer fehlgeschlagenen Herabstufung eines Domänencontrollers Daten im Active Directory entfernen

      Diese Maßnahme nur als letztes Mittel, um die Installation des Betriebssystems und die installierten Programme wiederherzustellen. Nicht replizierte Objekte und Attribute auf verwaisten Domänencontrollern einschließlich Benutzer, Computer, Vertrauensstellungen, ihre Kennwörter, Gruppen und Gruppenmitgliedschaften verloren.

      Seien Sie vorsichtig beim Replikationsfehler auf Domänencontrollern zu beheben, die eingehende Änderungen für bestimmte Active Directory-Partition mehr als Tombstone-Lebensdauer definierten Anzahl von Tagen nicht repliziert wurden. Wenn Sie dies tun, möglicherweise Objekte Wiederbeleben, die auf einem Domänencontroller jedoch für die direkte oder transitive Replikationspartner in den letzten 60 Tagen löschen nie erhalten gelöscht wurden.

      Erwägen Sie entfernen alle verbleibenden Objekte auf Domänencontrollern befinden, die keine eingehenden Replikation in den letzten 60 Tagen ausgeführt wurden. Alternativ können Sie Domänencontroller Herabstufung, die durchgeführt haben keine eingehenden Replikations für eine Partition in Tombstone Lebensdauer Tagen und ihre verbleibenden Metadaten mithilfe von Ntdsutil und anderen Programmen aus der Active Directory-Gesamtstruktur entfernen. Wenden Sie für weitere Hilfe sich an Ihren Supportanbieter oder Microsoft PSS.
    3. Stellen Sie sicher, dass der Inhalt der Sysvol-Freigabe konsistent sind.

      Stellen Sie sicher, dass der Dateisystemabschnitt der Gruppenrichtlinie konsistent ist. Gpotool.exe aus dem Resource Kit können Sie bestimmen, ob Inkonsistenzen in den Richtlinien innerhalb einer Domäne. Mit Healthcheck in Windows Server 2003 Supporttools feststellen, ob die Sysvol-Freigabe Funktion korrekt in jeder Domäne Replikatsätze.

      Wenn der Inhalt der Sysvol-Freigabe inkonsistent sind, beheben Sie alle Inkonsistenzen.
    4. Verwenden Sie Dcdiag.exe aus den Supporttools, um sicherzustellen, dass alle Domänencontroller haben Netlogon und Sysvol-Freigaben. Hierzu geben Sie folgenden Befehl ein:
      DCDIAG.EXE /e /test:frssysvol
    5. Inventur der Betriebsfunktionen.

      Die Schema- und Infrastruktur-Betriebsmaster dienen zum einführen Gesamtstruktur und domänenweite Schema ändert Sie die Gesamtstruktur und die Domänen, die von dem Dienstprogramm Adprep vor Windows Server 2003 durchgeführt werden. Stellen Sie sicher, dass der Domänencontroller, Rolle des Schema- und Infrastruktur-Betriebsmasters für jede Domäne in der Gesamtstruktur auf live-Domänencontroller befinden und dass jeder Rollenbesitzer seit dem letzten Neustart eine eingehende Replikation für alle Partitionen durchgeführt hat.

      Befehls DCDIAG /test:FSMOCHECK kann verwendet werden, um gesamtstrukturweite und domänenweite Betriebsfunktionen. Betriebsmasterfunktionen, die sich auf nicht existierenden Domänencontrollern befinden sollten mithilfe von NTDSUTIL durch einen fehlerfreien Domänencontroller übernommen werden. Rollen, die sich auf nicht fehlerfreien Domänencontrollern befinden, sollten möglichst übertragen werden. Andernfalls sollten sie übernommen werden. Der Befehl NETDOM QUERY FSMO erkennt nicht FSMO-Rollen, die sich auf gelöschten Domänencontrollern befinden.

      Überprüfen Sie, ob der Schemamaster und jeder Infrastruktur-Master durchgeführten eingehende Replikation von Active Directory seit zuletzt gestartet. Die eingehende Replikation kann mithilfe des Befehls REPADMIN/SHOWREPS DCNAME ist DCNAME der NetBIOS-Computername oder der vollqualifizierte Computername eines Domänencontrollers überprüft werden. Weitere Informationen zu Betriebsmastern und ihrer Platzierung klicken Sie auf die folgenden Artikelnummern klicken, um die Artikel der Microsoft Knowledge Base:

      197132 Windows 2000 Active Directory FSMO-Rollen

      223346 FSMO-Platzierung und-Optimierung auf Active Directory-Domänencontroller

    6. Überprüfung der Ereignisprotokolle

      Überprüfen Sie die Ereignisprotokolle auf allen Domänencontrollern auf problematische Ereignisse. Ereignisprotokolle müssen nicht schwerwiegende Nachrichten enthalten, die ein mit einer der folgenden Prozesse und Komponenten Problem:
      physische Verbindung
      Netzwerkkonnektivität
      Registrierung
      Auflösung
      Authentifizierung
      Gruppenrichtlinien
      Sicherheitsrichtlinien
      Festplatten-subsystem
      Schema
      Topologie
      Replikations-engine
    7. Inventur des Festplattenspeichers

      Der Datenträger, die Active Directory-Datenbankdatei, benötigen freien Speicherplatz in der Größenordnung von mindestens 15-20 % der Datei Ntds.dit. Der Datenträger, die Active Directory-Protokolldatei müssen auch freien Speicherplatz in der Größenordnung von mindestens 15-20 % der Datei Ntds.dit. Weitere Informationen zu zusätzlichen Speicherplatz finden im Abschnitt "Domäne-Controller ohne ausreichenden Speicherplatz" in diesem Artikel.
    8. DNS-Aufräumdaemon (Optional)

      Aktivieren Sie DNS-Aufräumvorgang in 7-Tages-Intervallen für alle DNS-Server in der Gesamtstruktur. Am besten ausgeführt 61 oder mehr Tage vor der Aktualisierung des Betriebssystems. Dies ermöglicht dem DNS-Aufräumdaemon ausreichend Zeit, Garbage-veralteten DNS-Objekte sammeln, wenn eine offline-Defragmentierung der Datei "Ntds.dit" durchgeführt wird.
    9. Deaktivieren des DLT-Serverdienstes (Optional)

      DLT-Serverdienst wird auf neuen und aktualisierten Installationen von Windows Server 2003-Domänencontroller deaktiviert. Wenn distributed Link tracking-nicht verwendet, können Sie deaktivieren den DLT-Serverdienst auf Windows 2000-Domänencontroller und DLT-Objekte aus jeder Domäne in der Gesamtstruktur löschen. Weitere Informationen finden Sie im Abschnitt "Microsoft Recommendations für distributed Link tracking" im folgenden Artikel der Microsoft Knowledge Base:
      312403 Überwachung verteilter Verknüpfungen auf Windows-basierten Domänencontrollern

    10. Sicherung des Systemstatus

      Sicherungskopie des Systemstatus mindestens zwei Domänencontroller in jeder Domäne in der Gesamtstruktur. Die Sicherung können Sie alle Domänen in der Gesamtstruktur wiederherstellen, wenn die Aktualisierung nicht funktioniert.

Microsoft Exchange 2000 in Windows 2000-Gesamtstrukturen

Hinweise
  • Wenn Exchange 2000 Server installiert ist oder, in einer Windows 2000-Gesamtstruktur installiert werden lesen Sie diesen Abschnitt, bevor Sie den Windows Server 2003-Befehl Adprep/forestprep ausführen.
  • Wenn Microsoft Exchange Server 2003 geändert installiert werden, fahren Sie mit der "Überblick: Aktualisieren auf Windows 2000-Domänencontrollern auf Windows Server 2003" Abschnitt, bevor Sie Windows Server 2003 Adprep Befehle ausführen.
Exchange 2000-Schema definiert drei InetOrgPerson -Attribute mit nicht Request for Comment (RFC)--kompatiblen LDAPDisplayNames: HouseIdentifier, Secretaryund LabeledURI.

Der InetOrgPerson-Kit in Windows 2000 und Windows Server 2003-Befehl Adprep definieren RFC-Versionen derselben drei Attribute mit identischen LDAPDisplayNames wie die nicht RFC-kompatiblen Versionen.

Ändert bei der Windows Server 2003-Befehl Adprep/forestprep ohne Korrekturen Skripts in einer Gesamtstruktur ausgeführt wird, die Windows 2000 und Exchange 2000-Schema enthält die LDAPDisplayNames für die Attribute "HouseIdentifier", "LabeledURI"und Secretary Attribute geändert werden. Ein Attribut wird "entstellt", wenn "Dup" oder andere eindeutigen Zeichen an den Anfang der Konflikt hinzugefügt werden, damit Objekte und Attribute im Verzeichnis eindeutige Namen haben.


Active Directory-Gesamtstrukturen sind nicht entstellten LDAPDisplayNames für diese Attribute in den folgenden Fällen:
  • Wenn Sie den Windows Server 2003-Befehl Adprep/forestprep in einer Gesamtstruktur, die Windows 2000-Schema enthält ausführen, bevor Sie das Exchange 2000-Schema hinzufügen.
  • Bei der Installation von Exchange 2000-Schema in der Gesamtstruktur, die war, Windows Server 2003-Domänencontroller der erste Domänencontroller in der Gesamtstruktur.
  • Wenn Sie Windows 2000 InetOrgPerson-Kit einer Gesamtstruktur hinzufügen, die Windows 2000-Schema enthält Sie installieren Exchange 2000 geändert und dann den Windows Server 2003-Befehl Adprep/forestprep ausführen.
  • Wenn Sie Exchange 2000-Schema zu einer vorhandenen Windows 2000-Gesamtstruktur hinzufügen, führen Sie Exchange 2003/ForestPrep vor dem Ausführen von adprep/forestprep der Windows Server 2003.
Entstellte Attribute treten unter Windows 2000 in den folgenden Fällen:
  • Wenn Sie vor der Installation von Windows 2000 InetOrgPerson-Kit die Exchange 2000-Versionen der LabeledURI, Secretary Attribute und HouseIdentifiereiner Windows 2000-Gesamtstruktur hinzufügen.
  • Ein Windows 2000-Gesamtstruktur vor dem Ausführen des Windows Server 2003-Befehls Adprep/forestprep ohne vorher die Bereinigungsskripts hinzugefügt Exchange 2000-Versionen der LabeledURI, Secretary Attribute und HouseIdentifier.
Aktionspläne für jedes Szenario gehen Sie vor:

Szenario 1: Exchange 2000 geändert werden hinzugefügt, nachdem Sie die Windows Server 2003 Adprep/forestprep ausführen

Wenn Exchange 2000 geändert, der Windows 2000-Gesamtstruktur eingeführt werden nach der Windows Server 2003-Befehl Adprep/forestprep ausgeführt wird, ist kein Cleanup erforderlich. Zu den "Überblick: Aktualisieren von Windows 2000-Domänencontrollern auf Windows Server 2003" Abschnitt.

Szenario 2: Exchange 2000 geändert werden vor der Windows Server 2003 Adprep/forestprep installiert

Wenn Exchange 2000 geändert haben bereits installiert, aber NICHT den Windows Server 2003-Befehl Adprep/forestprep ausgeführt wurde, sollten Sie den folgenden Aktionsplan:
  1. Melden Sie sich mit einem Konto, das Mitglied der Sicherheitsgruppe Schema-Admins der Konsole des Schema-Betriebsmasters an.
  2. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie notepad.exe ein und klicken Sie dann auf OK.
  3. Kopieren Sie den folgenden Text einschließlich des abschließenden Bindestrichs nach "SchemaUpdateNow: 1" in Editor.
    DN: CN = ms-Exch-Assistant-Name, CN = Schema, CN = Configuration, DC = X
    ChangeType: ändern
    replace:LDAPDisplayName
    LDAPDisplayName: MsExchAssistantName
    -

    DN: CN = ms-Exch-LabeledURI, CN = Schema, CN = Configuration, DC = X
    ChangeType: ändern
    Ersetzen: LDAPDisplayName
    LDAPDisplayName: MsExchLabeledURI
    -

    DN: CN = ms-Exch-House-Identifier, CN = Schema, CN = Configuration, DC = X
    ChangeType: ändern
    Ersetzen: LDAPDisplayName
    LDAPDisplayName: MsExchHouseIdentifier
    -

    DN:
    ChangeType: ändern
    hinzufügen: SchemaUpdateNow
    SchemaUpdateNow: 1
    -
  4. Bestätigen Sie, dass am Ende jeder Zeile ein Leerzeichen vorhanden ist.
  5. Klicken Sie im Menü Datei auf Speichern. Folgendermaßen Sie im Dialogfeld " Speichern unter " vor:
    1. Geben Sie im Feld Dateiname Folgendes ein:
      \%userprofile%\InetOrgPersonPrevent.ldf
    2. Klicken Sie im Feld Dateityp auf Alle Dateien.
    3. Klicken Sie im Feld Codierung auf Unicode.
    4. Klicken Sie auf Speichern.
    5. Beenden Sie den Editor.
  6. Führen Sie das Skript "InetOrgPersonPrevent.ldf".
    1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie cmd in das Feld Öffnen ein, und klicken Sie dann auf OK.
    2. In einer Befehlszeile Folgendes ein und drücken Sie dann die EINGABETASTE:
      CD %USERPROFILE%
    3. Geben Sie folgenden Befehl
      c:\Documents and settings\%username% > Ldifde – i – f inetorgpersonprevent.ldf - V-c DC = X "Domänennamen-Pfad für Stammdomäne der Gesamtstruktur"
      Syntax-Hinweise:
      • DC = X ist eine Konstante beachtet.
      • Der Domänennamen-Pfad für die Stammdomäne muss in Anführungszeichen eingeschlossen werden.
      Beispielsweise würde die Befehlssyntax für eine Active Directory-Gesamtstruktur, deren Stammdomäne TAILSPINTOYS.COM ist, sein:
      c:\Documents und Einstellungen\Administrator > Ldifde – i – f inetorgpersonprevent.ldf - V-c DC = X "dc = Tailspintoys, dc = com"
      Hinweis Sie müssen den Registrierungsunterschlüssel Schema Update Allowed ändern, wenn die folgende Fehlermeldung angezeigt:
      Schema aktualisieren darf nicht auf diesem Domänencontroller, da der Registrierungsschlüssel nicht festgelegt oder der Domänencontroller nicht der Besitzer der FSMO-Rolle ist.
      Weitere Informationen zum Ändern dieses Registrierungsunterschlüssels finden Sie im folgenden Artikel der Microsoft Knowledge Base:

      285172 Schema-Aktualisierung erfordern Schreibzugriff zu Schema in Active Directory

  7. Überprüfen Sie, ob die LDAPDisplayNames für CN = ms-Exch-Assistant-Name, CN = ms-Exch-LabeledURI "und" CN = ms-Exch-House-Identifier-Attribute im Schemanamenskontext nun als "msExchAssistantName", MsExchLabeledURI und MsExchHouseIdentifier angezeigt, vor dem Ausführen der Windows Server 2003-Befehle Adprep/forestprep .
  8. Zu der "Überblick: Aktualisieren von Windows 2000-Domänencontrollern auf Windows Server 2003 " Abschnitt, um die Befehle Adprep/forestprep und/DomainPrep auszuführen.

Szenario 3: Der Windows Server 2003-Befehl Forestprep wurde ohne ersten ausgeführten InetOrgPersonFix auszuführen.

Wenn Sie den Windows Server 2003-Befehl Adprep/forestprep in einer Windows 2000-Gesamtstruktur ausführen, die Exchange 2000 geändert enthält, werden die LDAPDisplayName-Attribute für LabeledURI, Secretaryund LabeledURI geändert werden. Mithilfe von Ldp.exe um entstellten Namen zu identifizieren, um die betroffenen Attribute zu suchen:
  1. Installieren Sie Ldp.exe aus dem Ordner "Support\Tools" der Microsoft Windows 2000 oder Windows Server 2003-Medien.
  2. Starten Sie Ldp.exe von einem Domänencontroller oder Mitgliedscomputer in der Gesamtstruktur.
    1. Im Menü Verbindung klicken Sie auf Verbinden, lassen Sie das Feld leer, geben Sie im Feld Port 389 und klicken Sie dann auf OK.
    2. Im Menü Verbindung klicken Sie auf binden, lassen Sie alle Felder leer und klicken Sie auf OK.
  3. Zeichnen Sie den Pfad des definierten Namens für das SchemaNamingContext-Attribut. Zum Beispiel für einen Domänencontroller in der Gesamtstruktur CORP. ADATUM.COM Gesamtstruktur der DN-Pfad möglicherweise CN = Schema, CN = Configuration, DC = corp, DC = Company, DC = com.
  4. Klicken Sie auf Suchenim Menü Durchsuchen .
  5. Verwenden Sie Folgendes, um das Dialogfeld Suchen konfigurieren:
    • Basis-DN: der Pfad des definierten Namens für den in Schritt 3 identifizierten Schemanamenskontext.
    • Filter: (Ldapdisplayname = Dup *)
    • Bereich: Unterstruktur
  6. Entstellte Attribute HouseIdentifier, Secretaryund LabeledURI haben LDAPDisplayName-Attribute, die der folgenden ähnlich sind:
    LDAPDisplayName: DUP-labeledURI-9591bbd3-d2a6-4669-afda-48af7c35507d;
    LDAPDisplayName: DUP-secretary-c5a1240d-70c0-455c-9906-a4070602f85f
    LDAPDisplayName: DUP-houseIdentifier-354b0ca8-9b6c-4722-aae7-e66906cc9eef
  7. Wenn in Schritt 6 die LDAPDisplayNames für LabeledURI, Secretaryund HouseIdentifier entstellt werden, führen Sie das Skript "InetOrgPersonfix.ldf" aus Windows Server 2003 um, und wechseln Sie zum Abschnitt "Aktualisieren von Windows 2000-Domänencontrollern mit Winnt32.exe".
    1. Erstellen Sie einen Ordner mit dem Namen % Systemdrive%\IOP, und extrahieren Sie die Datei "InetOrgPersonfix.ldf" in diesen Ordner.
    2. Geben Sie cd %systemdrive%\iopin einer Befehlszeile.
    3. Extrahieren Sie die Datei "InetOrgPersonfix.ldf" aus der Datei "Support.cab" im Ordner "Support\Tools" der Windows Server 2003-Installationsmedien.
    4. Laden Sie von der Konsole des Schema-Betriebsmasters die Datei "InetOrgPersonfix.ldf" Ldifde.exe LdapDisplayName -Attribute HouseIdentifier, Secretaryund LabeledURI Attribute zu korrigieren. Geben Sie hierzu den folgenden Befehl ein, wobei < X > eine Konstante Groß- und < dn-Pfad für Stammdomäne der Gesamtstruktur > der Domänennamen-Pfad für die Stammdomäne der Gesamtstruktur ist:
      C:\IOP > Ldifde – i – f inetorgpersonfix.ldf - V-c DC = X "Domänennamen-Pfad für Stammdomäne der Gesamtstruktur"
      Syntax-Hinweise:
      • DC = X ist eine Konstante beachtet.
      • Der Domänennamen-Pfad für Stammdomäne der Gesamtstruktur muss in Anführungszeichen eingeschlossen werden.
  8. Stellen Sie sicher, dass die Attribute HouseIdentifier, Secretaryund LabeledURI im Schemanamenskontext nicht "" entstellt sind vor der Installation von Exchange 2000.
Weitere Informationen zu einem ähnlichen Schemakonflikt mit Services for UNIX, Version 2.0 klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:

293783 kann nicht auf Windows Server 2003 mit Windows Services for UNIX 2.0 installiert Windows 2000 Server aktualisiert.

Übersicht: Aktualisieren von Windows 2000-Domänencontrollern auf Windows Server 2003

Der Windows Server 2003-Befehl Adprep , der Ordner \I386 der Windows Server 2003-Installationsmedium aus bereitet eine Windows 2000-Gesamtstruktur und ihre Domänen auf die Hinzufügung von Windows Server 2003-Domänencontroller. Der Windows Server 2003-Befehl Adprep/forestprep fügt die folgenden Features:
  • Verbesserte Standard Sicherheitsdeskriptoren für Objektklassen
  • Neue Benutzer- und Gruppenattribute
  • Neue Schemaobjekte und-Attribute wie "InetOrgPerson"
Das Dienstprogramm Adprep unterstützt zwei Befehlszeilenargumente:
Adprep/forestprep: Upgrade Gesamtstruktur ist.
Adprep/domainprep: Upgrade Domäne ist.
Adprep/ForestPrep wird einmalig für den Schema-Betriebsmaster (FSMO) der Gesamtstruktur ausgeführt. Der Forestprep -Vorgang muss abgeschlossen und auf dem Infrastrukturmaster jeder Domäne repliziert werden, bevor Sie Adprep/domainprep in dieser Domäne ausführen können.

Der Befehl Adprep/domainprep wird einmalig auf dem Infrastructure Operations master Domänencontroller jeder Domäne in der Gesamtstruktur ausführen, die neue oder aktualisierte Windows Server 2003-Domänencontroller enthalten wird. Der Befehl Adprep/domainprep stellt sicher, dass das Forestprep wurden in der Domänenpartition repliziert und dann ändert seine eigene Domäne Partition und Gruppe Richtlinien in der Sysvol-Freigabe.

Sie können die folgenden Aktionen durchführen, wenn /forestprep/ForestPrep und/DomainPrep Operationen abgeschlossen und auf alle Domänencontroller in dieser Domäne repliziert wurden:
  • Aktualisieren Sie Windows 2000-Domänencontroller auf Windows Server 2003-Domänencontrollern mit Winnt32.exe

    Hinweis: Sie können aktualisieren Windows 2000-Mitgliedsserver und-Computer zu Windows Server 2003-Mitgliedscomputer jederzeit.
  • Heraufstufen Sie neue Windows Server 2003-Domänencontroller in der Domäne mit Dcpromo.exe.
Die Domäne, die den Schema-Betriebsmaster enthält ist die einzige Domäne, in der Sie sowohl Adprep/forestprep als auch Adprep/domainprepausführen müssen. In allen anderen Domänen müssen Sie nur Adprep/domainprepausführen.

Adprep/domainprep Befehle Adprep/forestprep und fügen Sie keine Attribute zum partiellen Attributsatz globalen Katalogs und veranlasst eine vollständige Synchronisierung des globalen Katalogs. Die RTM-Version von Adprep/domainprep bewirkt eine vollständige Synchronisierung des Ordners "\Policies" in der Sysvol-Struktur. Auch wenn Sie Forestprep und Domainprep mehrere Male ausführen, werden abgeschlossenen Vorgänge nur einmal ausgeführt.

Nach ändert sich von Adprep/forestprep als auch Adprep/domainprep vollständig repliziert wurden, können Sie die Windows 2000-Domänencontroller auf Windows Server 2003 aktualisieren, durch Ausführen von Winnt32.exe im Ordner \I386 der Windows Server 2003-Medien aus. Sie können auch neue Windows Server 2003-Domänencontroller der Domäne mithilfe Dcpromo.exe hinzufügen.

Aktualisieren der Gesamtstruktur mit adprep/forestprep

Zur Vorbereitung einer Windows 2000-Gesamtstruktur und Domänen zu Windows Server 2003-Domänencontroller akzeptieren folgendermaßen Sie zunächst in einer Lab-Umgebung in einer produktiven Umgebung
  1. Stellen Sie sicher, dass alle Vorgänge in der Phase "Inventur der Gesamtstruktur" insbesondere Folgendes abgeschlossen haben:
    1. System vorhanden State Backups.
    2. Alle Windows 2000-Domänencontroller in der Gesamtstruktur haben alle entsprechenden Hotfixes und Servicepacks installiert.
    3. End-to-End-Replikation von Active Directory erfolgt in der Gesamtstruktur
    4. Dateireplikationsdienst repliziert die Dateisystemrichtlinie korrekt innerhalb jeder Domäne.
  2. Melden Sie sich bei der Konsole des Schema-Betriebsmasters mit einem Konto, das Mitglied der Sicherheitsgruppe Schema-Admins ist.
  3. Überprüfen Sie die Schema FSMO eingehende Replikation Schema-Partitionen durchgeführt hat, von Windows NT Befehlszeile Folgendes eingeben:
    Repadmin/showreps
    (Repadmin wird vom Ordner Support\Tools Active Directory installiert.)
  4. Älteren Microsoft-Dokumentationen empfiehlt, vor dem Ausführen von Adprep/forestprepSchemabetriebsmaster in einem privaten Netzwerk zu isolieren. Erfahrung schlägt vor, dass dieser Schritt nicht erforderlich ist und kann Schemabetriebsmaster Schemaversion ablehnen Neustart in einem privaten Netzwerk.
  5. Führen Sie Adprep auf dem Schema-Betriebsmaster. Dazu klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie cmd einund klicken Sie dann auf OK. Geben Sie den folgenden Befehl auf dem Schemabetriebsmaster
    X:\I386\adprep /forestprep
    Dabei ist X:\I386\ der Pfad der Windows Server 2003-Installationsmedien. Dieser Befehl führt das gesamtstrukturweite Schema aktualisieren.

    Hinweis Ereignisse mit Ereignis-ID 1153, die im Verzeichnisdienst-Ereignisprotokoll wie im Beispiel, die folgt angemeldet sind, können ignoriert werden:
  6. Stellen Sie sicher, dass der Befehl Adprep/forestprep auf dem Schema-Betriebsmaster erfolgreich ausgeführt wurde. Hierzu von der Konsole des Schema-Betriebsmasters, überprüfen Sie Folgendes:
    • Der Befehl Adprep/forestprep wurde ohne Fehler ausgeführt.
    • CN = Windows2003Update Objekt steht unter CN = ForestUpdates, CN = Configuration, DC =Stammdomäne der Gesamtstruktur. Datensatz der Wert des Attributs Revision.
    • (Optional) Die Schemaversion wurde auf Version 30. Sehen Sie hierzu das Attribut "ObjectVersion" unter CN = Schema, CN = Configuration, DC =Stammdomäne der Gesamtstruktur.
    Wenn Adprep/forestprep nicht ausgeführt wird, überprüfen Sie Folgendes:
    • Der vollqualifizierte Pfad für befindet sich im Ordner "\I386" des Installationsmediums Adprep.exe wurde bei der Ausführung von Adprep wurde angegeben. Geben Sie hierzu den folgenden Befehl ein:
      x:\i386\adprep /forestprep
      wobei x das Laufwerk befindet sich das Installationsmedium.
    • Der angemeldete Benutzer, der Adprep ausführt, ist Mitglied der Sicherheitsgruppe Schema-Admins. Verwenden Sie hierzu die Whoami/all Befehl.
    • Wenn Adprep immer noch nicht funktioniert, zeigen Sie die Datei "Adprep.log" im OrdnerLetztes Protokoll %systemroot%\System32\Debug\Adprep\Logs\.
  7. Deaktiviert die ausgehende Replikation auf dem Schema-Betriebsmaster in Schritt 4 aktivieren Sie Replikation, damit die Schema vorgenommenen von Adprep/forestprep verbreiten können. Dazu folgendermaßen vor:
    1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie cmd ein, und klicken Sie auf OK.
    2. Geben Sie Folgendes ein und drücken Sie dann die EINGABETASTE:
      Repadmin/Optionen - DISABLE_OUTBOUND_REPL
  8. Überprüfen Sie, ob die Änderungen Adprep/forestprep auf allen Domänencontrollern in der Gesamtstruktur repliziert. Es empfiehlt sich, die folgenden Attribute zu überwachen:
    1. Erhöhung der Schemaversion
    2. CN = Windows2003Update, CN = ForestUpdates, CN = Configuration, DC =Stammdomäne der Gesamtstruktur oder CN = Operations, CN = DomainUpdates, CN = System, DC =Stammdomäne der Gesamtstruktur und die GUIDs repliziert wurden.
    3. Suche fügt für neue Schemaklassen, Objekte, Attribute oder andere, Adprep/forestprep geändert , wie InetOrgPerson. Anzeigen die SchXXLDF-Dateien (wobei XX eine Zahl zwischen 14 und 30 ist) im Ordner %systemroot%\System32 bestimmen, welche Objekte und Attribute vorhanden sein sollten. InetOrgPerson ist z. B. in "Sch18.ldf" definiert.
  9. Suchen Sie nach entstellten LDAPDisplayNames.

    Wenn Exchange 2000 installiert wurde, bevor Sie den Windows Server 2003-Befehl Adprep/forestprep ausgeführt haben, finden Sie im folgenden Artikel der Microsoft Knowledge Base:
    314649 führt zu Windows Server 2003-Befehl Adprep/forestprep entstellten Attributen in Windows 2000-Gesamtstrukturen, die Exchange 2000-Servern

    Wenn Sie entstellte Namen finden, gehen Sie zu Szenario 3 desselben Artikels.
  10. Melden Sie sich bei der Konsole des Schema-Betriebsmasters mit einem Konto, das Mitglied der Sicherheitsgruppe Schema-Admins Gruppe der Gesamtstruktur ist, die den Schema-Betriebsmaster enthält.

Aktualisieren der Domäne mit dem Befehl Adprep/domainprep

Führen Sie Adprep/domainprep nach/ForestPrep Änderungen an den Infrastruktur-master-Domänencontroller in jeder Domäne replizieren, die Windows Server 2003-Domänencontroller enthalten wird. Gehen Sie hierzu folgendermaßen vor:
  1. Identifizieren Sie den Infrastruktur-Domänencontroller in der Domäne aktualisieren, und melden Sie sich mit einem Konto, das Mitglied der Sicherheitsgruppe Domänen-Admins in der Domäne ist, die Sie aktualisieren.

    Hinweis: der Organisations-Administrator kann nicht Mitglied der Sicherheitsgruppe Domänen-Admins in untergeordneten Domänen der Gesamtstruktur.
  2. Führen Sie Adprep/domainprep auf dem Infrastruktur-Master. Dazu klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie cmd einund geben Sie dann den folgenden Befehl auf dem Infrastrukturmaster:
    X:\I386\adprep /domainprep
    Dabei ist X:\I386\ der Pfad der Windows Server 2003-Installationsmedien. Dieser Befehl führt domänenweiten Änderungen in der Zieldomäne.

    Hinweis: der Befehl Adprep/domainprep ändert Dateiberechtigungen in der Sysvol-Freigabe. Diese Modifikationen veranlasst keine vollständige Synchronisierung der Dateien in der Verzeichnisstruktur.
  3. Stellen Sie sicher, dass Domainprep erfolgreich abgeschlossen. Überprüfen Sie hierzu Folgendes ein:
    • Der Befehl Adprep/domainprep wurde ohne Fehler ausgeführt.
    • CN = Windows2003Update, CN = DomainUpdates, CN = System, DC =dn-Pfad der Upgrade-Domäne vorhanden ist
    Wenn Adprep/domainprep nicht ausgeführt wird, überprüfen Sie Folgendes:
    • Der angemeldete Benutzer, der Adprep ausführt ist Mitglied der Sicherheitsgruppe Domänen-Admins in der Domäne, die Sie aktualisieren. Verwenden Sie dazu die Whoami/all Befehl.
    • Der vollqualifizierte Pfad für befindet sich im Verzeichnis "\I386" des Installationsmediums Adprep.exe wurde bei der Ausführung von Adprepwurde angegeben. Geben Sie dazu an der Befehlszeile folgenden Befehl ein:
      x:\i386\adprep /forestprep
      wobei x das Laufwerk befindet sich das Installationsmedium.
    • Wenn Adprep immer noch nicht funktioniert, zeigen Sie die Datei "Adprep.log" im OrdnerLetztes Protokoll %systemroot%\System32\Debug\Adprep\Logs\.
  4. Überprüfen Sie, ob der Adprep/domainprep ändert repliziert wurden. Klicken Sie hierzu für die verbleibenden Domänencontroller in der Domäne überprüfen Sie Folgendes:
    • CN = Windows2003Update, CN = DomainUpdates, CN = System, DC =dn-Pfad der Domäne werden Objekt vorhanden ist und der Wert für das Revisionsattribut entspricht dem Wert des gleichen Attributs auf dem Infrastruktur-Master der Domäne.
    • (Optional) Suchen Sie Objekte, Attribute oder Access Control Zugriffssteuerungsliste ändern, Adprep/domainprep hinzugefügt.
    Wiederholen Sie die Schritte 1-4 auf dem Infrastruktur-Master der verbleibenden Domänen in Massen oder beim Hinzufügen oder Aktualisieren auf Windows Server 2003. Jetzt können Sie mittels "Dcpromo.exe" neue Windows Server 2003-Computer in der Gesamtstruktur heraufstufen. Oder Sie aktualisieren den vorhandene Windows 2000-Domänencontrollern auf Windows Server 2003 WINNT32. EXE.

Aktualisieren von Windows 2000-Domänencontrollern mit Winnt32.exe

Nach dem Ändern/ForestPrep und/DomainPrep vollständig repliziert wurden und Sie eine Entscheidung über die Sicherheit Interoperabilität mit Clients früherer Versionen haben können Sie Windows 2000-Domänencontrollern auf Windows Server 2003 aktualisieren und neue Windows Server 2003-Domänencontroller der Domäne hinzufügen.

Folgende Computer muss auf dem ersten Domänencontroller, die Windows Server 2003 in der Gesamtstruktur in jeder Domäne ausführen:
  • Der Domain naming Master in der Gesamtstruktur, sodass standardmäßige DNS-Programmpartitionen erstellt werden können.
  • Der primäre Domänencontroller der Stammdomäne der Gesamtstruktur, die unternehmensweite Windows Server 2003 Forestprep hinzugefügte sichtbar im ACL-Editor.
  • Der primäre Domänencontroller in jeder nicht-Stammdomäne, sodass neue domänenspezifische Windows 2003-Sicherheitsprinzipale erstellt werden können.
Verwenden Sie hierzu WINNT32 zum Aktualisieren vorhandener Domänencontroller, Betriebsrolle die gewünschte. Oder übertragen Sie die Rolle auf einen neu heraufgestuften Windows Server 2003-Domänencontroller. Führen Sie die folgenden Schritte für jeden Computer, den Sie heraufstufen oder Windows 2000-Domänencontroller auf Windows Server 2003 mit WINNT32 und für jede Arbeitsgruppe Windows Server 2003 aktualisieren:
  1. Bevor Sie WINNT32 zum Aktualisieren von Windows 2000-Mitgliedscomputer und Domänencontroller verwenden, entfernen Sie Windows 2000-Verwaltungsprogramme. Dazu verwenden Sie das Tool Software Systemsteuerungsprogramm. (Windows 2000 nur aktualisiert.)
  2. Installieren Sie alle Hotfix-Dateien oder andere Updates, die Microsoft oder dem Administrator als wichtig eingestuft werden.
  3. Überprüfen Sie jeden Domänencontroller auf mögliche Aktualisierungsprobleme. Führen Sie hierzu den folgenden Befehl im Ordner "\I386" des Installationsmediums aus:
    winnt32.exe /checkupgradeonly
    Lösen Sie alle Probleme, die der Kompatibilitätstest identifiziert.
  4. Führen Sie WINNT32. EXE im Ordner \I386-Installationsmedien und Neustart 2003 aktualisierten Domänencontroller aus.
  5. Eine niedrigere Sicherheitsstufe für Clients früherer Versionen als erforderlich.

    Wenn Windows NT 4.0-Clients keinen NT 4.0 SP6, Windows 95-Clients nicht installierten Verzeichnisdienstclient müssen SMB-Dienst auf die Standarddomänencontroller-Richtlinie auf die Organisationseinheit Domain Controllers deaktivieren, und diese Richtlinie wird diese Host-Domänencontroller mit allen Organisationseinheiten verknüpfen.
    Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Policies\Security Richtlinien\Sicherheitsoptionen\Microsoft Network Server: Signieren Sie Kommunikation digital (immer)
  6. Überprüfen Sie den Status der Aktualisierung mithilfe der folgenden Datenpunkte:
    • Die Aktualisierung wurde erfolgreich abgeschlossen.
    • Die ursprünglichen Binärdateien ersetzt die Hotfixes, die Sie zur Installation hinzugefügt.
    • Eingehende und ausgehende Replikation von Active Directory erfolgt für alle Namenskontexte statt des Domänencontrollers.
    • Die Netlogon- und Sysvol-Freigaben vorhanden.
    • Das Ereignisprotokoll Zeigt an, dass der Domänencontroller und seine Dienste fehlerfrei sind.

      Hinweis: Sie erhalten die folgende Meldung nach der Aktualisierung:
      Sie können diese Fehlermeldung ignorieren.
  7. Installieren Sie Windows Server 2003-Verwaltungstools (Upgrades von Windows 2000 und Windows Server 2003 nicht-nur Domänencontroller). "Adminpak.msi" befindet sich in der \I386 Ordner von Windows Server 2003 CD-ROM Windows Server 2003-Medien enthält aktualisierte Supporttools in der Datei Support\Tools\Suptools.msi. Stellen Sie sicher, dass die Datei zu installieren.
  8. Sichern Sie mindestens die ersten beiden neuen Windows 2000-Domänencontrollern auf Windows Server 2003 in jeder Domäne in der Gesamtstruktur aktualisiert. Suchen Sie die Sicherung der Windows 2000-Computern, die Aktualisierung auf Windows Server 2003 in abgesperrten so dass Sie nicht versehentlich diese Domänencontroller wiederherstellen, der nun Windows Server 2003 ausgeführt wird.
  9. (Optional) Führen Sie eine offline-Defragmentierung der Active Directory-Datenbank auf den Domänencontrollern auf Windows Server 2003 aktualisiert, nach der single Instance Store (SIS) (nur Windows 2000-Updates) abgeschlossen wurde.

    SIS überprüft bestehende Berechtigungen für Objekte in Active Directory gespeichert und eine effizientere Sicherheitsbestimmung auf diese Objekte angewendet. Das SIS wird automatisch gestartet (identifiziert durch Ereignis 1953 im Ereignisprotokoll Verzeichnisses) Wenn aktualisierte Domänencontroller zunächst das Betriebssystem Windows Server 2003. Profitieren Sie von Sicherheit Deskriptor Speicher erst eine Ereignis-ID 1966 Meldung in das Ereignisprotokoll des Verzeichnisdienstes protokolliert: Diese Fehlermeldung gibt an, dass Einzelinstanz-Speichervorgang abgeschlossen und dient als ein Warteschlangen Administrator der Offlinedefragmentierung mithilfe von NTDSUTIL NTDS.dit ausführen. EXE.

    Die Offlinedefragmentierung die Größe der Datei Ntds.dit von Windows 2000 um bis zu 40 % reduzieren, verbessert die Leistung von Active Directory und aktualisiert die Seiten in der Datenbank für effizienteren Speicherung von Verknüpfungswertattributen. Weitere Informationen zum Defragmentieren der Active Directory-Datenbank klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:

  10. Überprüfen Sie den DLT-Serverdienst. Windows Server 2003-Domänencontroller deaktivieren den DLT-Serverdienst bei neu- und Upgrade-Installationen. Wenn Windows 2000 oder Windows XP-Clients in Ihrer Organisation den DLT-Serverdienst verwenden, verwenden Sie Gruppenrichtlinien ermöglichen den DLT-Serverdienst auf neue oder aktualisierte Windows Server 2003-Domänencontroller. Andernfalls inkrementell löschen Sie distributed Link tracking-Objekten aus Active Directory. Für Weitere Informationen klicken Sie auf die folgenden Artikelnummern klicken, um die Artikel der Microsoft Knowledge Base:

    312403 Überwachung verteilter Verknüpfungen auf Windows-basierten Domänencontrollern

    315229 Textversion von Dltpurge.vbs über Artikel Q312403 der Microsoft Knowledge Base für

    Beim Massenkopieren Tausende von DLT-Objekten oder anderen Objekten löschen blockiert Sie Replikation aufgrund mangelnder Versionsspeicher. Warten Sie Tombstone-Tage (standardmäßig 60 Tage) nach der Löschung des letzten DLT-Objekts und Garbage Collection abgeschlossen und NTDSUTIL verwenden. EXE, um offline-Defragmentierung der Datei "Ntds.dit" ausführen.
  11. Konfigurieren Sie die empfohlene Struktur der Organisationseinheit. Microsoft empfiehlt, dass Administratoren aktiv die empfohlene Struktur der Organisationseinheit in der Active Directory-Domänen bereitstellen und nach der Aktualisierung und Verteilung von Windows Server 2003-Domänencontrollern im Windows-Domänenmodus die Standardcontainer, die APIs früherer Versionen verwenden, Benutzer, Computer und Gruppen einen vom Administrator definierten Organisationseinheit-Container umzuleiten.

    Weitere Informationen über die empfohlene Struktur der Organisationseinheit finden Sie Abschnitt "Erstellen einer Organizational Unit Design" des White Papers "Best Practice Active Directory Design für Managing Windows Networks". Um das Whitepaper finden Sie auf der folgenden Microsoft-Website:Weitere Informationen zum Ändern des Standardcontainers, Benutzer, Computer und Gruppen, die APIs früherer Versionen erstellt befinden, klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:

    324949 Umleiten von Benutzern und Computern Container in Windows Server 2003-Domänen

  12. Wiederholen Sie die Schritte 1 bis 10 gegebenenfalls für jeden neuen oder aktualisierten Windows Server 2003-Domänencontroller in der Gesamtstruktur, und Schritt 11 (Best Practice Struktur der Organisationseinheit) für jede Active Directory-Domäne.

    Zusammenfassung:
    • Aktualisieren von Windows 2000-Domänencontroller mittels WINNT32 (vom Slipstream-Installationsmedium verwendet)
    • Überprüfen Sie, ob Dateien auf den aktualisierten Computern installiert wurden
    • Installieren Sie alle erforderlichen Updates nicht auf dem Installationsmedium enthalten sind
    • Überprüfen Sie den Status der neuen oder aktualisierten Server (Active Directory, Dateireplikationsdienst, Richtlinie etc.).
    • Warten Sie 24 Stunden nach Betriebssystem aktualisieren dann offline-Defragmentierung (optional)
    • Starten Sie den DLT-Dienst, wenn erforderlich, oder löschen Sie andernfalls die DLT-Objekte per Anleitung in q312403 / Q315229 nach gesamtstrukturweiter
    • Führen Sie offline-Defragmentierung 60 Tage (Tombstone-Lebensdauer und Garbage Collection Anzahl Tage) nach dem Löschen der DLT-Objekte

Probelauf Aktualisierungen in einer Lab-Umgebung

Vor der Aktualisierung von Windows-Domänencontroller in eine Windows 2000-Produktionsdomäne überprüfen Sie und verfeinern Sie Aktualisierung im Labor. Wenn reibungslos die Aktualisierung einer Lab-Umgebung, die genau die Produktionsgesamtstruktur spiegelt führt können Sie ähnliche Ergebnisse in Produktion erwarten. Für komplexe Umgebung muss die Lab-Umgebung Produktionsumfeld in folgenden Bereichen spiegeln:
  • Hardware: Computertyp, Speichergröße, Platzierung der Auslagerungsdatei, Festplattengröße, Leistung und RAID-Konfiguration, BIOS und Firmware-Version
  • Software: Client- und Betriebssystemversionen, Client-und Server Service Pack-Versionen, Hotfixes, geändert, Sicherheitsgruppen, Gruppenmitgliedschaften, Berechtigungen, Richtlinien, Anzahl Typ und Speicherort Version Interoperabilität
  • Infrastruktur: WINS, DHCP, Verbindungsrate, verfügbare Bandbreite
  • Laden: Laden Simulatoren simulieren Kennwort ändern-Objekt erstellen, Active Directory-Replikation Anmeldeauthentifizierung und andere Ereignisse. Soll nicht die Skalierung dieser Umgebung reproduzieren. Stattdessen sind die Ziele die Kosten und die Häufigkeit der Routinevorgänge und ihre Wirkung (Namensabfragen Replikationsverkehr, Netzwerkbandbreite und Prozessorzeit) interpolieren Produktion Umgebung basierend auf aktuellen und zukünftigen Bedarf.
  • Verwaltung: Aufgaben, Werkzeuge, verwendeten Betriebssysteme
  • Vorgang: Kapazität, Interoperabilität
  • Speicherplatz: Beachten Sie die Start-, und Spitzenwert des Betriebssystems Ntds.dit und Active Directory-Protokolldateien auf globaler Katalog und nicht-globalen Katalogdomänencontroller in jeder Domäne nach jeder der folgenden Operationen:
    1. Adprep/forestprep
    2. Adprep/domainprep
    3. Aktualisieren von Windows 2000-Domänencontrollern auf Windows Server 2003
    4. Offline-Defragmentierung nach Versions-upgrades
Verständnis des Aktualisierungsvorgangs und Komplexität der Umgebung zusammen mit detaillierten bestimmt das Tempo und Sorgfalt gelten für Produktion aktualisieren. Unternehmen mit einer geringen Anzahl von Domänencontrollern und Active Directory-Objekten verbunden über hohe Verfügbarkeit wide Area Network (WAN) Links in nur wenigen Stunden aktualisieren können. Eventuell müssen Sie mehr Sorgfalt bei Installationen, die von Domänencontrollern Hunderte oder Hunderttausende von Active Directory-Objekte. In solchen Fällen sollten Sie die Aktualisierung im Verlauf von mehreren Wochen oder Monaten.

Mit der "Probelauf" Upgrades in der Übungseinheit die folgenden Aufgaben ausführen:
  • Kennen Sie die Innenleben der Aktualisierung und den damit verbundenen Risiken.
  • Potentielle Probleme bei der Bereitstellung in Ihrer Umgebung verfügbar.
  • Testen Sie und entwickeln Sie Fallback für den Fall, dass die Aktualisierung fehlschlägt.
  • Definieren Sie die entsprechende Detailebene der Aktualisierungsprozess für die Produktionsdomäne zuweisen.

Domänencontroller ohne ausreichenden Speicherplatz

Gehen Sie auf Domänencontrollern ohne ausreichenden Speicherplatz folgendermaßen vor, um zusätzlichen Speicherplatz auf dem Volume hostet die Ntds.dit und-Protokolldateien freizugeben:
  1. Löschen Sie alle ungenutzten Dateien, einschließlich TMP-Dateien und zwischengespeicherte Dateien, die Browser verwenden. Geben Sie hierzu die folgenden Befehle (drücken Sie die EINGABETASTE nach jedem Befehl):
    CD/d Laufwerk\
    del *.tmp/s
  2. Löschen Sie alle Benutzer oder Speicherabbilddateien. Geben Sie hierzu die folgenden Befehle (drücken Sie die EINGABETASTE nach jedem Befehl):
    CD/d Laufwerk\
    del *.dmp/s
  3. Entfernen oder verschieben Sie vorübergehend Dateien, die Sie über andere Server zugreifen oder sich einfach neu installieren. Dateien entfernen und einfach ersetzen gehören ADMINPAK, Supporttools und alle Dateien im Ordner %systemroot%\System32\Dllcache.
  4. Löschen Sie alte oder nicht verwendete Benutzerprofile. Dazu klicken Sie auf Start, Maustaste auf Arbeitsplatz, klicken Sie auf Eigenschaften, klicken Sie auf die Registerkarte Benutzerprofile und löschen Sie alle Profile, die alte und ungenutzte Konten. Löschen Sie keine Profile, die für Dienstkonten.
  5. Löschen Sie die Symbole unter % systemroot%\Symbols. Geben Sie hierzu den folgenden Befehl ein:
    RD/s %systemroot%\symbols
    Je nachdem, ob der Server einen vollständigen oder kleinen Symbolsatz verfügen kann dies ungefähr 70 MB bis 600 MB erhalten.
  6. Führen Sie eine Offlinedefragmentierung. Offline-Defragmentierung der Datei "Ntds.dit" kann Speicherplatz benötigt jedoch vorübergehend den doppelten Speicherplatz der aktuellen DIT-Datei. Führen Sie offline-Defragmentierung mit anderen lokalen Datenträger verfügbar. Oder mit der Speicherplatz auf bewährte Netzwerk-Server die Offlinedefragmentierung. Wenn der Speicherplatz nicht ausreicht, löschen Sie schrittweise nicht benötigte Benutzerkonten, Computerkonten, DNS-Datensätze und DLT-Objekte aus Active Directory.

    Hinweis: Active Directory Löscht Objekte aus der Datenbank erst Tombstone-Tage (standardmäßig 60 Tage) abgelaufen und die Garbagecollection abgeschlossen ist. Wenn Sie einen Wert kleiner als End-to-End-Replikation in der Gesamtstruktur Tombstonelifetime verringern, ist Active Directory möglicherweise Inkonsistenzen.

Referenzen

Klicken Sie für weitere Informationen auf die folgende Artikelnummer, um den Artikel in der Microsoft Knowledge Base anzuzeigen:

821076 Windows Server 2003 Help Files enthalten falsche Information zum Aktualisieren einer Windows 2000-Domäne

Eigenschaften

Artikelnummer: 325379 – Letzte Überarbeitung: 09.01.2017 – Revision: 1

Feedback