Cómo actualizar los controladores de dominio de Windows 2000 a Windows Server 2003

Resumen

Este artículo describe cómo actualizar los controladores de dominio de Microsoft Windows 2000 a Windows Server 2003 y cómo agregar nuevos controladores de dominio de Windows Server 2003 a dominios de Windows 2000. Para obtener más información acerca de cómo actualizar controladores de dominio a Windows Server 2008 o Windows Server 2008 R2, visite el siguiente sitio Web de Microsoft:

Inventario de dominio y bosque

Antes de actualizar los controladores de dominio de Windows 2000 a Windows Server 2003, o antes de agregar nuevos controladores de dominio de Windows Server 2003 a un dominio de Windows 2000, siga estos pasos:
  1. Inventario de los clientes que tienen acceso a recursos del dominio que alojan controladores de dominio de Windows Server 2003 para la compatibilidad con la firma SMB:

    Cada controlador de dominio de Windows Server 2003 habilita la firma SMB en su directiva de seguridad local. Asegúrese de que todos los clientes de red que utilizan el protocolo SMB/CIFS para acceder a compartir archivos e impresoras en los dominios que los controladores de dominio de host Windows Server 2003 pueden ser configurados o actualizarse para permitir la firma SMB. Si no es posible, deshabilite temporalmente la firma SMB hasta que se puedan instalar actualizaciones o hasta que los clientes pueden actualizarse a sistemas operativos más recientes que admiten la firma SMB. Para obtener información acerca de cómo deshabilitar la firma SMB, vea la sección "para deshabilitar la firma SMB" al final de este paso.

    Planes de acción

    La siguiente lista muestra los planes de acción para los clientes SMB más conocidos:
    • Microsoft Windows Server 2003, Microsoft Windows XP Professional, Microsoft Windows 2000 Server, Microsoft Windows 2000 Professional y Microsoft Windows 98

      No es necesaria ninguna acción.
    • Microsoft Windows NT 4.0

      Instalar el Service Pack 3 o posterior (se recomienda Service Pack 6A) en todos los equipos basados en Windows NT 4.0 que acceden a dominios que contienen equipos basados en Windows Server 2003. También puede deshabilitar temporalmente la firma SMB en los controladores de dominio de Windows Server 2003. Para obtener información acerca de cómo deshabilitar la firma SMB, vea la sección "para deshabilitar la firma SMB" al final de este paso.
    • Microsoft Windows 95

      Instalar al cliente de servicios de directorio de Windows 9x en los equipos basados en Windows 95 o deshabilite temporalmente la firma SMB en controladores de dominio de Windows Server 2003. El cliente de servicios de directorio de original Win9x está disponible en el CD-ROM de Windows 2000 Server. Sin embargo, ese complemento de clientes se reemplazó por un cliente de servicios de directorio de mejorada Win9x . Para obtener información acerca de cómo deshabilitar la firma SMB, vea la sección "para deshabilitar la firma SMB" al final de este paso.
    • Cliente de redes Microsoft para MS-DOS y Microsoft LAN Manager clientes

      El cliente de redes Microsoft para MS-DOS y el cliente de red de Microsoft LAN Manager 2.x pueden utilizarse para proporcionar acceso a recursos de red, o bien pueden combinarse con un disquete de arranque para copiar archivos del sistema operativo y otros archivos de un directorio compartido en un servidor de archivos como parte de una rutina de instalación de software. Estos clientes no admiten la firma SMB. Utilice un método de instalación alternativo o deshabilite la firma SMB. Para obtener información acerca de cómo deshabilitar la firma SMB, vea la sección "para deshabilitar la firma SMB" al final de este paso.
    • Clientes Macintosh

      Algunos clientes Macintosh no son compatibles con la firma de SMB y recibirán el mensaje de error siguiente cuando intenten conectarse a un recurso de red:
      -Error-36 i/OS
      Instale software actualizado si está disponible. De lo contrario, deshabilite la firma SMB en controladores de dominio de Windows Server 2003. Para obtener información acerca de cómo deshabilitar la firma SMB, vea la sección "para deshabilitar la firma SMB" al final de este paso.
    • Otros clientes SMB de terceros

      Algunos clientes SMB de terceros no admiten la firma SMB. Consulte a su proveedor SMB para ver si existe una versión actualizada. De lo contrario, deshabilite la firma SMB en controladores de dominio de Windows Server 2003.
    Para deshabilitar la firma SMB

    Si las actualizaciones de software no se instala en controladores de dominio afectados que ejecutan Windows 95, Windows NT 4.0, o a otros clientes que fueron instalados antes de la introducción de Windows Server 2003, deshabilite temporalmente el servicio SMB firma requisitos de directiva de grupo hasta que pueda implementar software cliente actualizado.

    Puede deshabilitar la firma en el siguiente nodo de la directiva predeterminada de controladores de dominio en la unidad organizativa controladores de dominio del servicio SMB:
    Equipo equipo\Configuración Windows\Configuración seguridad\Directivas locales\Opciones Seguridad\servidor de red: Firmar digitalmente las comunicaciones (siempre)
    Si los controladores de dominio no se encuentran en la unidad organizativa del controlador de dominio, debe vincular objeto del controlador de dominio predeterminado de directiva de grupo (GPO) para todas las unidades organizativas que alojan controladores de dominio Windows 2000 o Windows Server 2003. O bien, puede configurar la firma en un GPO que esté vinculado a esas unidades organizativas del servicio SMB.
  2. Inventario de los controladores de dominio que están en el dominio y el bosque:
    1. Asegúrese de que han instalado todos los controladores de dominio de Windows 2000 en el bosque todos los service Pack y las revisiones apropiados.

      Microsoft recomienda que todos los controladores de dominio de Windows 2000 ejecuten el Service Pack 4 (SP4) de Windows 2000 o sistemas operativos posteriores. Si no puede implementar totalmente Windows 2000 SP4 o posterior, todos los Windows 2000 dominio controladores debe tener un archivo Ntdsa.dll cuya marca de fecha y la versión es posterior a la del 4 de junio de 2001 y a 5.0.2195.3673. Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

      331161 hotfix para instalar antes de ejecutar adprep /Forestprep en un controlador de dominio de Windows 2000 para preparar el bosque y los dominios para la adición de controladores de dominio basados en Windows Server 2003

      De forma predeterminada, herramientas administrativas de Active Directory en los equipos cliente de Windows 2000 SP4, Windows XP y Windows Server 2003 utilizan la firma del Protocolo ligero de acceso a directorios (LDAP). Si estos equipos usar (o retroceder a) autenticación NTLM cuando administran de forma remota los controladores de dominio de Windows 2000, la conexión no funcionará. Para resolver este comportamiento, los controladores de dominio administrados de forma remota deben tener un mínimo de Windows 2000 SP3 instalado. En caso contrario debe desactivar la firma LDAP en los clientes que ejecuten las herramientas de administración. Para obtener más información acerca de LDAP, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:

      Controladores de dominio de 325465 los Windows 2000 requieren el Service Pack 3 o posterior al utilizar las herramientas de administración de Windows Server 2003

      Los escenarios siguientes utilizan la autenticación NTLM:
      • Administrar controladores de dominio de Windows 2000 que se encuentran en un bosque externo conectado por una confianza NTLM (no Kerberos).
      • Centra los complementos de Microsoft Management Console (MMC) con un controlador de dominio específico al que se hace referencia por su dirección IP. Por ejemplo, haga clic en Inicio, haga clic en Ejecutary, a continuación, escriba el comando siguiente:
        dsa.msc /server=ipaddress
      Para determinar el sistema operativo y el nivel de revisión de service pack de los controladores de dominio de Active Directory en un dominio de Active Directory, instale la versión de Windows Server 2003 de Repadmin.exe en un equipo miembro del bosque con Windows XP Professional o Windows Server 2003 y, a continuación, ejecute el siguiente comando repadmin contra un controlador de dominio en cada dominio del bosque:
      > repadmin /showattr nombre del controlador de dominio que se encuentra en el dominio de destino ncobj: / filtro: "(& (objectCategory=computer)(primaryGroupID=516))"/ subtree /atts:operatingSystem, operatingSystemVersion, operatingSystemServicePack

      DN: CN = unidad organizativa NA-DC-01 = Domain Controllers, DC = company, DC = com
      1 > sistema operativo: Windows Server 2003
      1 > operatingSystemVersion: 5.2 (3718)
      DN: CN = unidad organizativa NA-DC-02 = Domain Controllers, DC = company, DC = com
      1 > sistema operativo: Windows 2000 Server
      1 > operatingSystemVersion: 5.0 (2195)
      1 > operatingSystemServicePack: Service Pack 1
      Nota: los atributos del controlador de dominio no hacen el seguimiento de la instalación de revisiones individuales.
    2. Comprobar la replicación de Active Directory de end-to-end en todo el bosque.

      Compruebe que cada controlador de dominio del bosque actualizado replica todos sus contextos de nomenclatura mantenidos localmente con sus asociados de manera coherente con la programación que definen vínculos del sitio o los objetos de conexión. Utilice la versión de Windows Server 2003 de Repadmin.exe en un Windows XP o equipo miembro basado en Windows Server 2003 en el bosque con los argumentos siguientes: todos los controladores de dominio del bosque deben replicar Active Directory sin errores y los valores en la columna "Largest Delta" del resultado de repadmin no deben ser significativamente mayores que la frecuencia de replicación en los objetos de conexión que utilizan un controlador de dominio de destino dado o vínculos de sitio correspondientes.

      Resuelva todos los errores de replicación entre controladores de dominio que no han podido entrante replicar en menos de desecho (TSL) número de días (de manera predeterminada, 60 días). Si no se puede realizar la replicación funcione, puede tenga que forzar la degradación de los controladores de dominio y quitarlos del bosque mediante el comando de limpieza de metadatos de Ntdsutil y después promoverlos de nuevo en el bosque. Puede usar una degradación forzosa para guardar tanto la instalación del sistema operativo y los programas que están en un controlador de dominio huérfano. Para obtener más información acerca de cómo quitar los controladores de dominio de Windows 2000 huérfanos de su dominio, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

      216498 cómo quitar datos en Active Directory después de degradar un controlador de dominio incorrecta

      Realice esta acción sólo como último recurso para recuperar la instalación del sistema operativo y los programas instalados. Perderá los atributos en los controladores de dominio huérfanos, incluyendo usuarios, equipos, relaciones de confianza, sus contraseñas, grupos y pertenencias a grupos y objetos.

      Tenga cuidado al intentar resolver errores de replicación en controladores de dominio que no se han replicado los cambios entrantes de una determinada partición de Active Directory para el mayor número de días períodoObjetosDeDesecho . Cuando lo haga, puede reanimar objetos que fueron eliminados en un controlador de dominio pero para los asociados de replicación directa o transitiva nunca recibieron la eliminación en los 60 días anteriores.

      Considere la posibilidad de quitar los objetos persistentes que residen en controladores de dominio que no han realizado la replicación entrante en los últimos 60 días. O bien, puede degradar forzosamente los controladores de dominio que no se han realizado la replicación entrante en una partición determinada en el número de período de duración de objetos de desecho de días y quitar sus metadatos restantes del bosque de Active Directory mediante Ntdsutil y otras utilidades. Para obtener ayuda adicional, póngase en contacto con su proveedor de soporte técnico o Microsoft PSS.
    3. Compruebe que el contenido del recurso compartido Sysvol es coherente.

      Compruebe que la parte del sistema de archivos de directiva de grupo es coherente. Puede usar Gpotool.exe del Kit de recursos para determinar si hay incoherencias en las directivas en un dominio. Use Healthcheck, de las herramientas de soporte de Windows Server 2003 para determinar si la réplica del recurso compartido Sysvol conjuntos funcionan correctamente en cada dominio.

      Si el contenido del recurso compartido Sysvol es incoherente, resuelva todas las incoherencias.
    4. Use Dcdiag.exe desde las herramientas de soporte técnico para comprobar que todos los controladores de dominio han compartido Netlogon y Sysvol se comparte. Para ello, escriba el comando siguiente en un símbolo del sistema:
      DCDIAG.EXE /e /test:frssysvol
    5. Las funciones de operaciones de inventario.

      Los maestros de operaciones de esquema e infraestructura se utilizan para introducir cambios en el esquema de todo el dominio y bosque en el bosque y sus dominios realizados por la utilidad adprep de Windows Server 2003. Compruebe que el controlador de dominio que aloja la función de esquema y de infraestructura para cada dominio del bosque reside en controladores de dominio activos y que cada propietario de la función ha realizado la replicación entrante en todas las particiones desde que se reinició por última vez.

      El comando DCDIAG/Test: FSMOCHECK puede utilizarse para ver las funciones operativas de todo el bosque y el dominio. Funciones de maestro de operaciones que residen en controladores de dominio inexistentes deben asumirse en un controlador de dominio en buen estado mediante NTDSUTIL. Las funciones que residen en controladores de dominio mal estado deben transferirse si es posible. De lo contrario, se deben asumir. El comando NETDOM QUERY FSMO no identifica las funciones FSMO que residen en controladores de dominio eliminado.

      Compruebe que el maestro de esquema y cada maestro de infraestructura ha realizado la replicación entrante de Active Directory desde arrancó por última vez. Replicación entrante puede comprobarse mediante el comando REPADMIN /SHOWREPS DCNAME , donde NOMBREDEDC es el nombre del equipo NetBIOS o el nombre de equipo completo de un controlador de dominio. Para obtener más información acerca de los maestros de operaciones y su colocación, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:

      197132 funciones de FSMO de Active Directory de Windows 2000

      223346 ubicación de FSMO y optimización en controladores de dominio de Active Directory

    6. Revisión de EventLog

      Examine los registros de sucesos en todos los controladores de dominio para sucesos problemáticos. Los registros de sucesos no deben contener mensajes de sucesos graves que indican un problema con cualquiera de los procesos y componentes siguientes:
      conectividad física
      conectividad de red
      registro de nombre
      resolución de nombres
      autenticación de
      Directiva de grupo
      Directiva de seguridad
      subsistema de disco
      esquema
      topología
      motor de replicación
    7. Inventario de espacio de disco

      El volumen que aloja el archivo de base de datos de Active Directory, Ntds.dit, debe tener espacio libre igual a por lo menos el 15-20% del tamaño del archivo Ntds.dit. El volumen que aloja el archivo de registro de Active Directory también debe tener espacio libre igual a por lo menos el 15-20% del tamaño del archivo Ntds.dit. Para obtener información adicional acerca de cómo liberar espacio en disco adicional, consulte la sección "Controladores de dominio sin suficiente espacio disco" de este artículo.
    8. DNS borrado (opcional)

      Habilitar el borrado de DNS en intervalos de 7 días para todos los servidores DNS del bosque. Para obtener mejores resultados, realice esta operación 61 o más días antes de actualizar el sistema operativo. Esto proporciona la reorganización de DNS daemon suficiente tiempo para recopilar los objetos DNS antiguos cuando se realiza una desfragmentación sin conexión en el archivo Ntds.dit.
    9. Deshabilitar el servicio de servidor DLT (opcional)

      El servicio servidor DLT está deshabilitado en las instalaciones nuevas y actualizadas de los controladores de dominio de Windows Server 2003. Si no se utilizan el seguimiento de vínculos distribuidos, puede deshabilitar el servicio servidor DLT en los controladores de dominio de Windows 2000 y empezar a eliminar objetos DLT de cada dominio del bosque. Para obtener información adicional, consulte la sección "Microsoft Recommendations for distributed link tracking" del siguiente artículo en Microsoft Knowledge Base:
      312403 seguimiento de vínculos distribuidos en controladores de dominio basados en Windows

    10. Copia de seguridad de estado del sistema

      Asegúrese un estado del sistema de copia de seguridad de al menos dos controladores de dominio en cada dominio del bosque. Puede utilizar la copia de seguridad para recuperar todos los dominios del bosque si la actualización no funciona.

Microsoft Exchange 2000 en bosques de Windows 2000

Notas:El esquema de Exchange 2000 define tres atributos de inetOrgPerson con no-Request for Comment (RFC)-compatible con LDAPDisplayNames: houseIdentifier, secretaryy labeledURI.

El inetOrgPerson Kit de Windows 2000 y el comando adprep de Windows Server 2003 definen versiones cumplan con RFC de estos mismos tres atributos con LDAPDisplayNames idénticos que las versiones compatibles con RFC.

Cambia cuando se ejecuta el comando adprep /forestprep de Windows Server 2003 sin secuencias de comandos correctoras en un bosque que contiene el esquema de Windows 2000 y Exchange 2000, los LDAPDisplayNames para los atributos houseIdentifier, labeledURIy secretary atributos se alterarán. Un atributo se "altera" si se agregan "Dup" u otros caracteres únicos al principio del nombre de atributo en conflicto para que los objetos y atributos en el directorio tienen nombres únicos.


Bosques de Active Directory no son vulnerables a LDAPDisplayNames alterados para estos atributos en los siguientes casos:
  • Si ejecuta el comando adprep /forestprep de Windows Server 2003 en un bosque que contiene el esquema de Windows 2000 antes de agregar el esquema de Exchange 2000.
  • Si instala el esquema de Exchange 2000 en el bosque que se crea en un equipo con Windows Server 2003 controlador de dominio fue el primer controlador de dominio en el bosque.
  • Si agrega inetOrgPerson Kit de Windows 2000 a un bosque que contiene el esquema de Windows 2000 y a continuación, instale los cambios de esquema de Exchange 2000 y, a continuación, ejecutar el comando adprep /forestprep de Windows Server 2003.
  • Si se agrega el esquema de Exchange 2000 a un bosque de Windows 2000 existente, a continuación, ejecutar/ForestPrep de Exchange 2003 antes de ejecutar el comando adprep /forestprep de Windows Server 2003.
La alteración de atributos se producirá en Windows 2000 en los siguientes casos:
  • Si agrega las versiones de Exchange 2000 de los atributos secretary , houseIdentifiery labeledURIa un bosque de Windows 2000 antes de instalar el inetOrgPerson Kit de Windows 2000.
  • Agrega las versiones de Exchange 2000 de los atributos secretary , houseIdentifiery labeledURIa un bosque de Windows 2000 antes de ejecutar el comando adprep /forestprep de Windows Server 2003 sin ejecutar primero las secuencias de comandos de limpieza.
Siguen los planes de acción para cada escenario:

Escenario 1: Se agregan cambios de esquema de Exchange 2000 después de ejecutar el comando adprep /forestprep de Windows Server 2003

Si los cambios de esquema de Exchange 2000 se introducirán en el bosque de Windows 2000 después de ejecuta el comando adprep /forestprep de Windows Server 2003, no se requiere ninguna limpieza. Ir a la "Resumen: los controladores de dominio de actualizar Windows 2000 a Windows Server 2003" sección.

Escenario 2: Cambios de esquema de Exchange 2000 se instalarán antes el comando adprep /forestprep de Windows Server 2003

Si los cambios de esquema de Exchange 2000 ya están instalados, pero NO ha ejecutado el comando adprep /forestprep de Windows Server 2003, considere el siguiente plan de acción:
  1. Inicie sesión en la consola del maestro de operaciones de esquema utilizando una cuenta que sea miembro del grupo de seguridad Administradores de esquema.
  2. Haga clic en Inicio, haga clic en Ejecutar, escriba notepad.exe en el cuadro Abrir y, a continuación, haga clic en Aceptar.
  3. Copie el texto siguiente, incluyendo el guión final después de "schemaUpdateNow: 1" al Bloc de notas.
    DN: CN = ms-Exch-Assistant-nombre, CN = Schema, CN = Configuration, DC = X
    ChangeType: modificar
    replace:LDAPDisplayName
    LDAPDisplayName: msExchAssistantName
    -

    DN: CN = ms-Exch-LabeledURI, CN = Schema, CN = Configuration, DC = X
    ChangeType: modificar
    reemplazar: LDAPDisplayName
    LDAPDisplayName: msExchLabeledURI
    -

    DN: CN = ms-Exch-House-identificador, CN = Schema, CN = Configuration, DC = X
    ChangeType: modificar
    reemplazar: LDAPDisplayName
    LDAPDisplayName: msExchHouseIdentifier
    -

    DN:
    ChangeType: modificar
    agregar: schemaUpdateNow
    schemaUpdateNow: 1
    -
  4. Confirme que no hay ningún espacio al final de cada línea.
  5. En el menú archivo , haga clic en Guardar. En el cuadro de diálogo Guardar como , siga estos pasos:
    1. En el cuadro nombre de archivo , escriba lo siguiente:
      \%userprofile%\InetOrgPersonPrevent.ldf
    2. En el cuadro Guardar como tipo , haga clic en Todos los archivos.
    3. En el cuadro de codificación , haga clic en Unicode.
    4. Haga clic en Guardar.
    5. Cierre el Bloc de notas.
  6. Ejecute la secuencia de comandos InetOrgPersonPrevent.ldf.
    1. Haga clic en Inicio, haga clic en Ejecutar, escriba cmd en el cuadro Abrir y, a continuación, haga clic en Aceptar.
    2. En el símbolo del sistema, escriba lo siguiente y, a continuación, presione ENTRAR:
      CD % userprofile %
    3. Escriba el siguiente comando
      c:\Documents and settings\%username% > ldifde -i -f inetorgpersonprevent.ldf - v - c DC = X "ruta de acceso de nombre de dominio para el dominio raíz del bosque"
      Notas de la sintaxis:
      • DC = X es una constante que distingue mayúsculas de minúsculas.
      • La ruta de acceso del nombre de dominio para el dominio raíz debe estar entre comillas.
      Por ejemplo, la sintaxis del comando para un bosque de Active Directory cuyo dominio raíz es TAILSPINTOYS.COM sería:
      c:\Documents and settings\administrator > ldifde -i -f inetorgpersonprevent.ldf - v - c DC = X "dc = tailspintoys, dc = com"
      Nota: Puede que necesite cambiar la subclave del registro Permitir actualizar esquema si recibe el mensaje de error siguiente:
      No se permite actualizar el esquema en este DC porque la clave del registro no está establecida o el DC no es el propietario de la función FSMO del esquema.
      Para obtener más información acerca de cómo modificar esta subclave del registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

      285172 actualización del esquema requieren acceso de escritura al esquema en Active Directory

  7. Compruebe que los LDAPDisplayNames para CN = ms-Exch-Assistant-nombre, CN = ms-Exch-LabeledURI y CN = ms-Exch-House-Identifier atributos en el contexto de nomenclatura del esquema aparecen ahora como msExchAssistantName, msExchLabeledURI y msExchHouseIdentifier antes de ejecutar los comandos adprep /forestprep de Windows Server 2003.
  8. Ir a la "Resumen: los controladores de dominio de actualizar Windows 2000 a Windows Server 2003 " para ejecutar los comandos adprep /forestprep y /domainprep .

Escenario 3: El comando forestprep de Windows Server 2003 se ejecutó sin ejecutar antes inetOrgPersonFix

Si ejecuta el comando adprep /forestprep de Windows Server 2003 en un bosque de Windows 2000 que contiene cambios del esquema de Exchange 2000, los atributos LDAPDisplayName de labeledURI , secretaryy houseIdentifierse alterarán. Para identificar los nombres alterados, use Ldp.exe para localizar los atributos afectados:
  1. Instale Ldp.exe desde la carpeta Support\Tools de los medios de Microsoft Windows 2000 o Windows Server 2003.
  2. Inicie Ldp.exe desde un controlador de dominio o un equipo miembro del bosque.
    1. En el menú conexión , haga clic en Conectar, deje en blanco el cuadro servidor , escriba 389 en el cuadro puerto y, a continuación, haga clic en Aceptar.
    2. En el menú conexión , haga clic en enlazar, deje vacíos todos los cuadros y, a continuación, haga clic en Aceptar.
  3. Registre la ruta de acceso completa para el atributo SchemaNamingContext. Por ejemplo, para un controlador de dominio del bosque Corp. Bosque ADATUM.COM, la ruta de acceso completa podría ser CN = Schema, CN = Configuration, DC = corp, DC = company, DC = com.
  4. En el menú Examinar , haga clic en Buscar.
  5. Para configurar el cuadro de diálogo de búsqueda , utilice la siguiente configuración:
    • DN Base: la ruta de acceso completa para el contexto de nomenclatura de esquema que se identificó en el paso 3.
    • Filtro: (ldapdisplayname = dup *)
    • Ámbito: subárbol
  6. Atributos houseIdentifier, secretaryy labeledURI alterados tienen atributos LDAPDisplayName que son similares al formato siguiente:
    LDAPDisplayName: DUP-labeledURI-9591bbd3-d2a6-4669-afda-48af7c35507d;
    LDAPDisplayName: DUP-secretary-c5a1240d-70c0-455c-9906-a4070602f85f
    LDAPDisplayName: DUP-houseIdentifier-354b0ca8-9b6c-4722-aae7-e66906cc9eef
  7. Si los LDAPDisplayNames de labeledURI, secretaryy houseIdentifier fueron alterados en el paso 6, ejecute la secuencia de comandos InetOrgPersonFix.ldf de Windows Server 2003 para recuperarlos y, a continuación, vaya a la sección "controladores de dominio de actualización de Windows 2000 con Winnt32.exe".
    1. Cree una carpeta denominada % Systemdrive%\IOP y, a continuación, extraiga el archivo InetOrgPersonFix.ldf en esta carpeta.
    2. En el símbolo del sistema, escriba cd %systemdrive%\iop.
    3. Extraiga el archivo InetOrgPersonFix.ldf del archivo Support.cab, que se encuentra en la carpeta Support\Tools de los medios de instalación de Windows Server 2003.
    4. Desde la consola del maestro de operaciones de esquema, cargue el archivo InetOrgPersonFix.ldf utilizando Ldifde.exe para corregir el atributo LdapDisplayName de los atributos houseIdentifier, secretaryy labeledURI . Para ello, escriba el siguiente comando, donde < X > es una constante que distingue mayúsculas de minúsculas y < ruta de acceso completa del dominio raíz del bosque > es la ruta de acceso del nombre de dominio para el dominio raíz del bosque:
      C:\IOP > ldifde -i -f inetorgpersonfix.ldf - v - c DC = X "ruta de acceso de nombre de dominio para el dominio raíz del bosque"
      Notas de la sintaxis:
      • DC = X es una constante que distingue mayúsculas de minúsculas.
      • La ruta de acceso del nombre de dominio para el dominio raíz del bosque debe estar entre comillas.
  8. Compruebe que los atributos houseIdentifier, secretaryy labeledURI en el contexto de nomenclatura de esquema no están "trastocados" antes de instalar Exchange 2000.
Para obtener más información acerca de un conflicto de esquema relacionado con servicios para UNIX versión 2.0, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

293783 no puede actualizar Windows 2000 server a Windows Server 2003 con Windows Services for UNIX instalado de 2.0

Información general: Actualizar los controladores de dominio de Windows 2000 a Windows Server 2003

El comando adprep de Windows Server 2003 que ejecuta desde la carpeta \I386 de los medios de Windows Server 2003 prepara un bosque de Windows 2000 y sus dominios para la adición de controladores de dominio de Windows Server 2003. El comando adprep /forestprep de Windows Server 2003 agrega las características siguientes:
  • Descriptores de seguridad predeterminados mejorados para clases de objetos
  • Nuevos atributos de usuario y de grupo
  • Nuevos objetos de esquema y atributos, como inetOrgPerson
La utilidad adprep admite dos argumentos de línea de comandos:
adprep /forestprep: ejecuta operaciones de actualización del bosque.
adprep /domainprep: ejecuta operaciones de actualización de dominio.
El comando adprep /forestprep es una única operación que se realiza en el maestro de operaciones de esquema (FSMO) del bosque. La operación forestprep debe completarse y replicarse ante el maestro de infraestructura de cada dominio antes de ejecutar adprep /domainprep en ese dominio.

El comando adprep /domainprep es una operación de una sola vez que se ejecuta en el controlador de dominio maestro de operaciones de infraestructura de cada dominio del bosque que alojará controladores de dominio de Windows Server 2003 nuevos o actualizados. El comando adprep /domainprep comprueba que los cambios de forestprep se han replicado en la partición de dominio y, a continuación, realiza sus propios cambios a las directivas de grupo y la partición de dominio en el recurso compartido Sysvol.

No puede realizar cualquiera de las siguientes acciones a menos que el /forestprep/ForestPrep y las operaciones /domainprep hayan completado y replicado en todos los controladores de dominio de ese dominio:
  • Actualizar los controladores de dominio de Windows 2000 a controladores de dominio de Windows Server 2003 mediante Winnt32.exe.

    Nota: puede actualizar los servidores miembro de Windows 2000 y equipos a equipos miembro de Windows Server 2003 siempre que lo desee.
  • Promover nuevos controladores de dominio de Windows Server 2003 al dominio mediante Dcpromo.exe.
El dominio que aloja al maestro de operaciones de esquema es el único dominio donde debe ejecutar adprep /forestprep y adprep /domainprep. En todos los demás dominios, sólo tiene que ejecutar adprep /domainprep.

El adprep /forestprep y adprep /domainprep comandos no agregan atributos para el atributo parcial de catálogo global establecido o causan una sincronización completa del catálogo global. La versión RTM de adprep /domainprep produzca una sincronización completa de la carpeta \Policies del árbol de Sysvol. Incluso aunque ejecute forestprep y domainprep varias veces, las operaciones completadas se realizan sólo una vez.

Después de los cambios de adprep /forestprep y adprep /domainprep se replican completamente, puede actualizar los controladores de dominio de Windows 2000 a Windows Server 2003 ejecutando Winnt32.exe desde la carpeta \I386 de los medios de Windows Server 2003. Además, puede agregar nuevos controladores de dominio de Windows Server 2003 al dominio mediante Dcpromo.exe.

Actualizar el bosque con el comando adprep /forestprep

Para preparar un bosque de Windows 2000 y los dominios para aceptar controladores de dominio de Windows Server 2003, siga primero estos pasos en un entorno de laboratorio, a continuación, en un entorno de producción:
  1. Asegúrese de que ha completado todas las operaciones en la fase "Inventario de bosque" con atención especial a los siguientes elementos:
    1. Ha creado el sistema copias de seguridad del estado.
    2. Todos los controladores de dominio de Windows 2000 del bosque han instalado todos los service Pack y las revisiones apropiados.
    3. End-to-end replicación de Active Directory se está produciendo en todo el bosque
    4. FRS replica correctamente en cada dominio, la directiva de sistema de archivos.
  2. Inicie sesión en la consola del maestro de operaciones de esquema con una cuenta que sea miembro del grupo de seguridad Administradores de esquema.
  3. Compruebe que el FSMO del esquema ha realizado la replicación entrante de la partición del esquema escribiendo lo siguiente en un símbolo del sistema de Windows NT:
    repadmin /showreps
    (repadmin se instala en la carpeta Support\Tools de Active Directory).
  4. Documentación anterior de Microsoft recomienda que aísle al maestro de operaciones de esquema en una red privada antes de ejecutar adprep /forestprep. La experiencia real sugiere que este paso no es necesario y puede causar un maestro de operaciones de esquema rechace los cambios de esquema cuando se reinicia en una red privada.
  5. Ejecute adprep en el maestro de operaciones de esquema. Para ello, haga clic en Inicio, haga clic en Ejecutar, escriba cmdy, a continuación, haga clic en Aceptar. En el maestro de operaciones de esquema, escriba el comando siguiente
    X:\I386\adprep /forestprep
    donde X:\I386\ es la ruta de acceso de los medios de instalación de Windows Server 2003. Este comando ejecuta la actualización del esquema de todo el bosque.

    Nota: Eventos con el evento ID 1153 que se graban en el registro de sucesos del servicio de directorio, como el ejemplo que sigue, pueden omitirse:
  6. Compruebe que el comando adprep /forestprep se ejecutó correctamente en el maestro de operaciones de esquema. Para ello, desde la consola del maestro de operaciones de esquema, compruebe los elementos siguientes:
    • El comando adprep /forestprep se completó sin errores.
    • CN = Windows2003Update objeto está escrito bajo CN = ForestUpdates, CN = Configuration, DC =dominioRaízDelBosque. Registre el valor del atributo Revision.
    • (Opcional) La versión del esquema que se ha incrementado a la versión 30. Para ello, vea el atributo ObjectVersion bajo CN = Schema, CN = Configuration, DC =dominioRaízDelBosque.
    Si adprep /forestprep no se ejecuta, compruebe los elementos siguientes:
    • La ruta de acceso completa de Adprep.exe en la carpeta \I386 de los medios de instalación se especificó cuando se ejecutó adprep . Para ello, escriba el comando siguiente:
      x:\i386\adprep /forestprep
      donde x es la unidad que aloja los medios de instalación.
    • El usuario ha iniciado sesión y que ejecuta adprep tiene la pertenencia al grupo de seguridad Administradores de esquema. Para comprobar esto, utilice el whoami /all comando.
    • Si adprep sigue sin funcionar, vea el archivo Adprep.log en la carpetaregistroMásReciente %systemroot%\System32\Debug\Adprep\Logs\.
  7. Si deshabilita la replicación saliente en el maestro de operaciones de esquema en el paso 4, habilite la replicación para que pueden propagar los cambios de esquema realizados por adprep /forestprep . Para ello, siga estos pasos:
    1. Haga clic en Inicio, haga clic en Ejecutar, escriba cmd y, a continuación, haga clic en Aceptar.
    2. Escriba lo siguiente y, a continuación, presione ENTRAR:
      repadmin/opciones - DISABLE_OUTBOUND_REPL
  8. Compruebe que los cambios de adprep /forestprep se han replicado en todos los controladores de dominio del bosque. Es útil supervisar los atributos siguientes:
    1. Incremento de la versión de esquema
    2. CN = Windows2003Update, CN = ForestUpdates, CN = Configuration, DC =dominioRaízDelBosque o CN = Operations, CN = DomainUpdates, CN = System, DC =dominioRaízDelBosque y las operaciones GUID debajo de él se han replicado.
    3. Búsqueda de nuevas clases de esquema, objetos, atributos u otro cambia ese adprep /forestprep agrega, como inetOrgPerson. Vea los archivos SchXXdeben ser archivos .ldf (donde XX es un número entre 14 y 30) en la carpeta %systemroot%\System32 para determinar qué objetos y atributos. Por ejemplo, inetOrgPerson se define en Sch18.ldf.
  9. Busque LDAPDisplayNames alterados.

    Si Exchange 2000 se instaló antes de ejecutar el comando adprep /forestprep de Windows Server 2003, consulte el artículo siguiente en Microsoft Knowledge Base:
    314649 el comando adprep /forestprep de Windows Server 2003 hace que la alteración de atributos en los bosques de Windows 2000 que contienen servidores de Exchange 2000

    Si encuentra nombres trastocados, vaya a la situación 3 del mismo artículo.
  10. Inicie sesión en la consola del maestro de operaciones de esquema con una cuenta que sea miembro del grupo de seguridad de grupo de administradores de esquema del bosque que aloja al maestro de operaciones de esquema.

Actualizar el dominio con el comando adprep /domainprep

Ejecute adprep /domainprep después de los cambios de /forestprep se repliquen completamente en el controlador de dominio maestro de infraestructura en cada dominio que alojará controladores de dominio de Windows Server 2003. Para hacerlo, siga estos pasos:
  1. Identifique el controlador de dominio maestro de infraestructura en el dominio que se va a actualizar y, a continuación, inicie sesión con una cuenta que sea miembro del grupo de seguridad Administradores de dominio en el dominio que está actualizando.

    Nota: el Administrador de empresa no puede ser miembro del grupo de seguridad Administradores de dominio en dominios secundarios del bosque.
  2. Ejecute adprep /domainprep en el maestro de infraestructura. Para ello, haga clic en Inicio, haga clic en ejecutar, escriba cmdy, a continuación, en el maestro de infraestructura, escriba el comando siguiente:
    X:\I386\adprep /domainprep
    donde X:\I386\ es la ruta de acceso de los medios de instalación de Windows Server 2003. Este comando ejecuta cambios en todo el dominio en el dominio de destino.

    Nota: el comando adprep /domainprep modifica permisos de archivo en el recurso compartido Sysvol. Estas modificaciones causan una sincronización completa de los archivos de ese árbol de directorio.
  3. Compruebe que domainprep se completó correctamente. Para ello, compruebe los elementos siguientes:
    • El comando adprep /domainprep se completó sin errores.
    • CN = Windows2003Update, CN = DomainUpdates, CN = System, DC =ruta dn del dominio que está actualizando existe
    Si adprep /domainprep no se ejecuta, compruebe los elementos siguientes:
    • El usuario ha iniciado sesión y que ejecuta adprep tiene la pertenencia al grupo de seguridad Administradores de dominio en el dominio que está actualizando. Para ello, utilice el whoami /all comando.
    • La ruta de acceso completa de Adprep.exe en el directorio \I386 de los medios de instalación se especificó cuando se ejecutó adprep. Para ello, escriba el comando siguiente en un símbolo del sistema:
      x:\i386\adprep /forestprep
      donde x es la unidad que aloja los medios de instalación.
    • Si adprep sigue sin funcionar, vea el archivo Adprep.log en la carpetaregistroMásReciente %systemroot%\System32\Debug\Adprep\Logs\.
  4. Compruebe que los cambios de adprep /domainprep se han replicado. Para hacerlo, con los restantes controladores de dominio en el dominio, compruebe los elementos siguientes:
    • CN = Windows2003Update, CN = DomainUpdates, CN = System, DC =ruta dn del dominio que está actualizando el objeto existe y el valor del atributo Revision coincide con el valor del mismo atributo en el maestro de infraestructura del dominio.
    • (Opcional) Busque objetos, atributos o cambios (ACL) que agregó adprep /domainprep .
    Repita los pasos 1-4 en el maestro de infraestructura de los dominios restantes de forma masiva o a medida que agregue o actualice los controladores de dominio en los dominios a Windows Server 2003. Ahora puede promover nuevos equipos de Windows Server 2003 en el bosque mediante DCPROMO. O bien, puede actualizar los controladores de dominio de Windows 2000 existentes a Windows Server 2003 mediante WINNT32. EXE.

Actualizar controladores de dominio de Windows 2000 con Winnt32.exe

Después de los cambios de /forestprep y /domainprep se repliquen completamente y haya tomado una decisión acerca de la interoperabilidad de seguridad con clientes de versiones anteriores, puede actualizar los controladores de dominio de Windows 2000 a Windows Server 2003 y agregar nuevos controladores de dominio de Windows Server 2003 al dominio.

Los equipos siguientes deben estar entre los primeros controladores de dominio que ejecutan Windows Server 2003 en el bosque de cada dominio:
  • El maestro de nombres dominio en el bosque para que pueda crear particiones de programa DNS predeterminadas.
  • El controlador principal de dominio del dominio raíz del bosque para que los principales de seguridad de toda la empresa de Windows Server 2003 forestprep agrega se vuelven visibles en el editor de ACL.
  • El controlador principal de dominio en cada dominio no raíz para que pueda crear nuevos específicos de dominio Windows 2003 entidades principales de seguridad.
Para ello, utilice WINNT32 para actualizar los controladores de dominio existentes que alojan la función operativa que desea. O bien, transfiera la función a un controlador de dominio de Windows Server 2003 recién promovido. Realice los pasos siguientes para cada controlador de dominio de Windows 2000 que actualice a Windows Server 2003 mediante WINNT32 y para cada grupo de trabajo de Windows Server 2003 o un equipo miembro que promueva:
  1. Antes de utilizar WINNT32 para actualizar los controladores de dominio y equipos miembro con Windows 2000, quite herramientas de administración de Windows 2000. Para ello, utilice la herramienta Agregar o quitar programas del Panel de Control. (Actualizaciones de Windows 2000 sólo.)
  2. Instale todas las revisiones u otras correcciones que Microsoft o el administrador considere importantes.
  3. Compruebe que cada controlador de dominio para posibles problemas de actualización. Para ello, ejecute el comando siguiente desde la carpeta \I386 de los medios de instalación:
    winnt32.exe /checkupgradeonly
    Resolver los problemas que identifica la comprobación de compatibilidad.
  4. Ejecutar WINNT32. EXE desde la carpeta \I386 de los medios de instalación y el controlador de dominio de reinicio el 2003 actualizado.
  5. Reduzca la configuración de seguridad para clientes de versiones anteriores según sea necesario.

    Si los clientes de Windows NT 4.0 no tienen NT 4.0 SP6 o los clientes de Windows 95 no tienen instalado el cliente del servicio de directorio, desactivar la firma en la directiva predeterminada de controladores de dominio en la unidad organizativa controladores de dominio del servicio SMB y, a continuación, vincule esta directiva a todas las unidades organizativas que alojan controladores de dominio.
    Equipo equipo\Configuración Windows\Configuración seguridad\Directivas locales\Opciones Seguridad\servidor de red: Firmar digitalmente las comunicaciones (siempre)
  6. Comprobar el estado de la actualización utilizando los puntos de datos siguientes:
    • La actualización se completó correctamente.
    • Las revisiones que agregó a la instalación reemplazan los archivos binarios originales.
    • La replicación entrante y saliente de Active Directory se está produciendo para todos los contextos de nomenclatura mantenidos por el controlador de dominio.
    • Los recursos compartidos Netlogon y Sysvol existen.
    • El registro de sucesos indica que el controlador de dominio y sus servicios están en buenas condiciones.

      Nota: puede recibir el mensaje de suceso siguiente después de la actualización:
      Puede ignorar este mensaje de suceso.
  7. Instalar las herramientas de administración de Windows Server 2003 (actualizaciones de Windows 2000 y Windows Server 2003 controladores de dominio no sólo). Adminpak.msi se encuentra en el \I386 carpeta de los medios de Windows Server 2003 CD-ROM Windows Server 2003 contiene herramientas de soporte actualizadas en el archivo Support\Tools\Suptools.msi. Asegúrese de volver a instalar este archivo.
  8. Realizar copias de seguridad nuevas de al menos los dos primeros controladores de dominio de Windows 2000 que actualizó a Windows Server 2003 en cada dominio del bosque. Busque las copias de seguridad de los equipos con Windows 2000 que actualizó a Windows Server 2003 en un almacenamiento bloqueado para que no las utilice accidentalmente para restaurar un controlador de dominio que ahora ejecuta Windows Server 2003.
  9. (Opcional) Realice una desfragmentación sin conexión de la base de datos de Active Directory en los controladores de dominio que actualizó a Windows Server 2003 después de que el almacén de instancia única (SIS) ha completado (sólo actualizaciones de Windows 2000).

    El SIS revisa los permisos existentes en objetos almacenados en Active Directory y, a continuación, aplica un descriptor de seguridad más eficiente sobre estos objetos. El SIS se inicia automáticamente (identificado por el suceso 1953 en el registro de sucesos del servicio de directorio) cuando los controladores de dominio actualizados inician por primera vez el sistema operativo Windows Server 2003. Usted se beneficiará el almacén del descriptor de seguridad mejorada sólo cuando grabe un mensaje de evento de 1966 de ID de evento en el registro de sucesos del servicio de directorio: este mensaje de suceso indica que la operación del almacén de instancias únicas se ha completado y sirve como colas para que un administrador realice la desfragmentación sin conexión del archivo Ntds.dit mediante NTDSUTIL. EXE.

    La desfragmentación sin conexión puede reducir el tamaño de un archivo Ntds.dit de Windows 2000 hasta en un 40%, mejora el rendimiento de Active Directory y actualiza las páginas de la base de datos para un almacenamiento más eficiente de los atributos Link Valued. Para obtener más información acerca de cómo desfragmentar la base de datos de Active Directory, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

    232122 realiza una desfragmentación sin conexión de la base de datos de Active Directory

  10. Investigue el servicio servidor DLT. Controladores de dominio de Windows Server 2003 deshabilitan el servicio servidor DLT en fresco y se instala la actualización. Si los clientes de Windows 2000 o Windows XP de su organización utilizan el servicio servidor DLT, utilice Directiva de grupo para habilitar el servicio servidor DLT en los controladores de dominio de Windows Server 2003 nuevos o actualizados. De lo contrario, elimine incrementalmente los objetos de Active Directory de seguimiento de vínculos distribuidos. Para obtener más información, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:

    312403 seguimiento de vínculos distribuidos en controladores de dominio basados en Windows

    315229 versión de texto de Dltpurge.vbs para el artículo Q312403 de Microsoft Knowledge Base

    Si elimina de forma masiva miles de objetos DLT u otros objetos, puede bloquear la replicación debido a una falta del almacén de versiones. Esperar el número de días períodoObjetosDeDesecho (de forma predeterminada, 60 días) después de eliminar el último objeto DLT y para la recolección completar, a continuación, utilice NTDSUTIL. EXE para realizar una desfragmentación sin conexión del archivo Ntds.dit.
  11. Configure la estructura recomendada de unidades organizativas. Microsoft recomienda que los administradores activamente implementación la estructura recomendada de unidades organizativas en todos los dominios de Active Directory y después de actualizar o implementar controladores de dominio de Windows Server 2003 en modo de dominio de Windows, redirijan los contenedores predeterminados que las API de versiones anteriores utilizan para crear usuarios, equipos y grupos a un contenedor de unidad organizativa que especifique el administrador.

    Para obtener información adicional acerca de la estructura recomendada de unidades organizativas, consulte la sección "Creating an Organizational Unit Design" de las notas del producto "Best Practice Active Directory Design para administrar Windows Networks". Para ver las notas del producto, visite el siguiente sitio Web de Microsoft:Para obtener más información acerca de cómo cambiar el contenedor predeterminado donde se encuentran los usuarios, equipos y grupos creados con API de versiones anteriores, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

    324949 redirigir los usuarios y equipos de contenedores de dominios de Windows Server 2003

  12. Repita los pasos 1 a 10 según sea necesario para cada controlador de dominio de Windows Server 2003 nuevo o actualizado en el bosque y el paso 11 (estructura de unidades organizativas de mejores prácticas) para cada dominio de Active Directory.

    En resumen:
    • Actualizar controladores de dominio de Windows 2000 con WINNT32 (desde el medio de instalación integrado, si se utiliza)
    • Comprobar que los archivos de revisiones se han instalado en los equipos actualizados
    • Instale cualquier revisión requerida no contenidas en el medio de instalación
    • Compruebe el estado de los servidores nuevos o actualizados (AD, FRS, directiva, etc.)
    • Espere 24 horas después de actualización del sistema operativo desfragmentación sin conexión (opcional)
    • Inicie el servicio DLT si debe hacerlo; objetos DLT mediante q312403 / q315229 registrar domainpreps amplia de bosque
    • Realizar desfragmentación sin conexión más de 60 días (desecho duración y recolección de basura Nº de días) después de eliminar objetos DLT

Realice las actualizaciones en un entorno de laboratorio

Antes de actualizar los controladores de dominio de Windows a un dominio de Windows 2000 de producción, valide y refine el proceso de actualización en el laboratorio. Si la actualización de un entorno de laboratorio que refleja con precisión el bosque de producción se realiza fluidamente, puede esperar resultados similares en los entornos de producción. Para entornos complejos, el entorno de laboratorio debe reflejar el entorno de producción en las áreas siguientes:
  • Hardware: tipo de equipo, tamaño de la memoria, colocación del archivo de página, tamaño del disco, rendimiento y configuración raid, BIOS y niveles de revisión de firmware
  • Software: versiones de sistema operativo de cliente y servidor, aplicaciones cliente y servidor, versiones de service pack, revisiones, cambios de esquema, grupos de seguridad, pertenencia a grupos, permisos, configuración de la directiva, tipo de recuento de objeto y ubicación, interoperabilidad de versiones
  • Infraestructura de red: WINS, DHCP, velocidades de vínculo, ancho de banda disponible
  • Carga: los simuladores de carga pueden simular cambios de contraseña, objeto de creación, la replicación de Active Directory, autenticación de inicio de sesión y otros eventos. El objetivo no es reproducir la escala del entorno de producción. En su lugar, los objetivos son descubrir los costos y la frecuencia de operaciones comunes y de interpolar sus efectos (consultas de nombres, tráfico de replicación, ancho de banda de red y consumo de procesador) en el entorno de producción según sus requerimientos actuales y futuros.
  • Administración: tareas realizadas, herramientas utilizadas, sistemas operativos utilizados
  • Operación: capacidad, interoperabilidad
  • Espacio en disco: Nota inicial, pico y final tamaño del sistema operativo, Ntds.dit y Active Directory los archivos de registro en el catálogo global y controladores de dominio de catálogo no global en cada dominio después de cada una de las siguientes operaciones:
    1. adprep /forestprep
    2. adprep /domainprep
    3. Actualizar controladores de dominio de Windows 2000 a Windows Server 2003
    4. Realizar la desfragmentación sin conexión después de las actualizaciones de versión
Comprender el proceso de actualización y la complejidad del entorno, junto con una observación detallada determinan el ritmo y el grado de cuidado que se debe aplicar al actualizar entornos de producción. Entornos con un número pequeño de controladores de dominio y objetos de Active Directory conectados a través de vínculos de área extensa (WAN) de la red pueden actualizarse en unas pocas horas de alta disponibilidad. Tendrá que tener más cuidado con las implementaciones empresariales que tengan cientos de controladores de dominio o cientos de miles de objetos de Active Directory. En estos casos, es aconsejable realizar la actualización a lo largo de varias semanas o meses.

Utilice "Realice" las actualizaciones en el laboratorio para realizar las tareas siguientes:
  • Comprender el funcionamiento interno del proceso de actualización y los riesgos asociados.
  • Exponer posibles áreas problemáticas para el proceso de implementación en su entorno.
  • Comprobar y desarrollar planes de reserva en caso de que la actualización no se realiza correctamente.
  • Definir el nivel apropiado de detalle que desee aplicar para el proceso de actualización para el dominio de producción.

Controladores de dominio sin suficiente espacio en disco

En controladores de dominio con espacio insuficiente en disco, utilice los pasos siguientes para liberar espacio en disco adicional en el volumen que aloja los archivos Ntds.dit y de registro:
  1. Eliminar los archivos no utilizados, incluyendo archivos *.tmp o archivos almacenados en caché que utilizan los exploradores de internet. Para ello, escriba los comandos siguientes (presione ENTRAR después de cada comando):
    CD /d unidad\
    del *.tmp /s
  2. Elimine cualquier usuario o archivos de volcado de memoria. Para ello, escriba los comandos siguientes (presione ENTRAR después de cada comando):
    CD /d unidad\
    del *.dmp /s
  3. Temporalmente, quite o reubique los archivos a los que se pueden tener acceso desde otros servidores o reinstalar fácilmente. Archivos que puede quitar y reemplazar fácilmente incluyen ADMINPAK, Support Tools y todos los archivos en la carpeta %systemroot%\System32\Dllcache.
  4. Eliminar perfiles de usuario antiguos o no utilizados. Para ello, haga clic en Inicio, haga clic derecho en Mi PC, haga clic en Propiedades, haga clic en la ficha Perfiles de usuario y, a continuación, elimine todos los perfiles de cuentas antiguas y no utilizadas. No elimine los perfiles que pueden ser cuentas de servicio.
  5. Eliminar los símbolos en % systemroot%\Symbols. Para ello, escriba el comando siguiente:
    RD /s %systemroot%\symbols
    Dependiendo de si los servidores tienen un símbolo completo o pequeño conjunto, esto puede tener aproximadamente 70 MB y 600 MB.
  6. Realice una desfragmentación sin conexión. Una desfragmentación sin conexión del archivo Ntds.dit puede liberar espacio, pero temporalmente requiere doblar el espacio del archivo DIT actual. Realizar la desfragmentación sin conexión utilizando otros volúmenes locales, si está disponible. O bien, utilizar espacio en un servidor de red conectada mejor para realizar la desfragmentación sin conexión. Si el espacio en disco sigue siendo insuficiente, elimine incrementalmente las cuentas de usuario innecesarios, cuentas de equipo, los registros DNS y objetos DLT de Active Directory.

    Nota: Active Directory no elimina objetos de la base de datos hasta que ha superado el número de días (de forma predeterminada, 60 días) períodoObjetosDeDesecho y finaliza la recolección. Si reduce tombstonelifetime a un valor inferior de replicación end-to-end en el bosque, puede causar incoherencias en Active Directory.

Referencias

Para obtener más información, haga clic en el siguiente número de artículo para verlo en Microsoft Knowledge Base:

821076 archivos de Ayuda de Windows Server 2003 contienen información incorrecta acerca de cómo actualizar un dominio de Windows 2000

Propiedades

Id. de artículo: 325379 - Última revisión: 9 ene. 2017 - Revisión: 1

Comentarios