Cómo elevar los niveles funcionales de dominio y bosque de Active Directory

Resumen

Para obtener información acerca de Windows Server 2016 y nuevas características en los servicios de dominio de Active Directory (AD DS), vea Novedades de Active Directory dominio Services para Windows Server 2016.

Este artículo analiza elevar los niveles funcionales de dominios y bosques son compatibles con los controladores de dominio basados en Microsoft Windows Server 2003 o posterior. Existen cuatro versiones de Active Directory y sólo los niveles que han cambiado desde Windows NT Server 4.0 requieren una consideración especial. Por lo tanto, los cambios de nivel se mencionan con las versiones más recientes, actuales o anteriores del sistema operativo de controlador de dominio, el dominio o el nivel funcional del bosque.

Niveles funcionales son una extensión de los conceptos de modo nativo introducidas en Microsoft Windows 2000 Server para activar las nuevas características de Active Directory y el modo mixto. Algunas características adicionales de Active Directory están disponibles cuando todos los controladores de dominio están ejecutando la versión más reciente de Windows Server en un dominio o un bosque, y cuando el administrador activa el correspondiente nivel funcional del dominio o del bosque.



Para activar las nuevas características de dominio, todos los controladores de dominio deben ejecutar la versión de sistema operativo más reciente de Windows Server en el dominio. Si se cumple este requisito, el administrador puede elevar el nivel funcional del dominio.

Para activar las nuevas características de todo el bosque, todos los controladores de dominio del bosque deben ejecutar la versión del sistema operativo Windows Server que corresponde al nivel funcional de bosque deseado. Además, el nivel funcional del dominio debe ser ya en el nivel más reciente. Si se cumplen estos requisitos, el administrador puede elevar el nivel funcional del bosque.



Por lo general, los cambios en los niveles funcionales de dominios y bosques son irreversibles. Si se puede deshacer el cambio, debe utilizarse una recuperación del bosque. Con el sistema operativo Windows Server 2008 R2, los cambios en los niveles funcionales de dominio y niveles funcionales del bosque se pueden deshacer. Sin embargo, el censo atrás puede realizarse en sólo las situaciones específicas que se describen en el artículo de Technet acerca de los niveles funcionales de Active Directory.

Nota: Los niveles funcionales de dominio más reciente y el más reciente niveles funcionales del bosque afectan sólo a la forma en que los controladores de dominio funcionan juntos como un grupo. Los clientes que interactúan con el dominio o el bosque no se ven afectados. Además, las aplicaciones se ven afectadas por cambios en los niveles funcionales de dominio o en los niveles funcionales de bosque. Sin embargo, las aplicaciones pueden sacar partido de las características más recientes del dominio y de las características más recientes del bosque.

Para obtener más información, vea el artículo de TechNet acerca de las características asociadas a los distintos niveles funcionales.

Elevar el nivel funcional

Precaución No eleve el nivel funcional si el dominio tiene o va a tener un controlador de dominio que sea de una versión anterior a la versión que se cita para ese nivel. Por ejemplo, un nivel funcional de Windows Server 2008 requiere que todos los controladores de dominio tienen Windows Server 2008 o un sistema operativo posterior instalado en el dominio o el bosque. Después de elevar el nivel funcional del dominio a un nivel superior, sólo se cambia a un nivel anterior utilizando una recuperación del bosque. Esta restricción existe porque las características cambian a menudo la comunicación entre los controladores de dominio o porque las características cambian el almacenamiento de los datos de Active Directory en la base de datos.


El método más común para habilitar los niveles funcionales de dominio y de bosque es utilizar Herramientas de administración (GUI) que se documentan en el artículo de TechNet sobre niveles funcionales de Active Directory de Windows Server 2003 de la interfaz de usuario gráfico. Este artículo describe Windows Server 2003.sin embargo, los pasos son los mismos en cuanto el sistema operativo las versiones más recientes. Además, el nivel funcional se puede configurar manualmente o puede configurarse mediante secuencias de comandos de Windows PowerShell. Para obtener más información acerca de cómo configurar manualmente el nivel funcional, consulte la "vista y establezca el nivel funcional" sección.


Para obtener más información acerca de cómo utilizar secuencias de comandos de Windows PowerShell para configurar el nivel funcional, vea el artículo de TechNet que explica este método.

Ver y configurar manualmente el nivel funcional

Las herramientas del Protocolo ligero de acceso a directorios (LDAP), como Ldp.exe y Adsiedit.msc pueden utilizarse para ver y modificar el dominio y el bosque funcional configuración del nivel actual. Al cambiar los atributos de nivel funcionales manualmente, lo mejor es hacer cambios de atributos en el controlador de dominio Flexible Single Master Operations (FSMO) que normalmente está dirigido por las herramientas administrativas de Microsoft.

Configuración del nivel funcional de dominio

El atributo msDS-Behavior-Version es en el contexto de nomenclatura de la cabeza (CN) para el dominio, es decir, DC = corp, DC = contoso, DC = com.

Los siguientes son los valores que se pueden establecer para este atributo:
  • Valor de 0 o no está establecido = dominio del nivel mixto

  • Valor de 1 = nivel del dominio de Windows Server 2003

  • Valor de 2 = nivel del dominio de Windows Server 2003

  • El valor 3 = nivel del dominio de Windows Server 2008

  • Valor de 4 = nivel del dominio de Windows Server 2008 R2

Configuración de modo nativo y modo mixto

El atributo ntMixedDomain es en el contexto de nomenclatura de la cabeza (CN) para el dominio, es decir, DC = corp, DC = contoso, DC = com.

Los siguientes son los valores que se pueden establecer para este atributo:
  • Valor del 0 = dominio del nivel nativo
  • Valor del 1 = dominio del nivel mixto

Configuración del nivel de bosque

Es el atributo msDS-Behavior-Version en el CN = particiones de objeto en el contexto de nomenclatura configuración (NC), es decir, CN = Partitions, CN = Configuration, DC =ForestRootDomain.

Los siguientes son los valores que se pueden establecer para este atributo:
  • Valor de 0 o no está establecido = bosque de nivel mixto
  • Valor de 1 = nivel del bosque provisional de Windows Server 2003
  • Valor de 2 = nivel del bosque de Windows Server 2003

    Nota: Al aumentar el atributo msDS-Behavior-Version en el valor 0 al valor 1 , usingAdsiedit.msc, recibirá el siguiente mensaje de error:
    Operación de modificación ilegal. No se permite algún aspecto de la modificación.

  • El valor 3 = nivel del dominio de Windows Server 2008

  • Valor de 4 = nivel del dominio de Windows Server 2008 R2
Después de utilizar las herramientas del Protocolo ligero de acceso a directorios (LDAP) para editar el nivel funcional, haga clic en Aceptar para continuar. Los atributos en el contenedor de particiones y en el encabezado del dominio se han incrementado correctamente. Si un mensaje de error es el informe por el archivo Ldp.exe, puede ignorar el mensaje de error. Para comprobar que el incremento de nivel se realizó correctamente, actualice la lista de atributos y, a continuación, compruebe la configuración actual. Este mensaje de error también puede producirse después de haber realizado el incremento de nivel en el FSMO autorizado si el cambio no se ha replicado en el controlador de dominio local.

Ver rápidamente la configuración actual utilizando el archivo Ldp.exe

  1. Inicie el archivo Ldp.exe.
  2. En el menú conexión , haga clic en Conectar.
  3. Especificar el controlador de dominio que desea consultar o deje el espacio en blanco para conectarse a cualquier controlador de dominio.
Después de conectarse a un controlador de dominio, aparece la información de RootDSE del controlador de dominio. Esta información incluye información sobre los controladores de dominio, dominio y bosque. El siguiente es un ejemplo de un controlador de dominio basado en Windows Server 2003. En el ejemplo siguiente, suponga que el modo de dominio es Windows Server 2003 y que el modo de bosque es Windows 2000 Server.



Nota: La funcionalidad del controlador de dominio representa el mayor nivel funcional posible para este controlador de dominio.
  • 1 > domainFunctionality: 2=(DS_BEHAVIOR_WIN2003)
  • 1 > forestFunctionality: 0=(DS_BEHAVIOR_WIN2000)
  • 1 > domainControllerFunctionality: 2=(DS_BEHAVIOR_WIN2003)

Cuando se cambia manualmente el nivel funcional de requisitos

  • Debe cambiar el modo de dominio al modo nativo antes de elevar el nivel de dominio si se cumple alguna de las condiciones siguientes:
    • El nivel funcional del dominio se ha elevado mediante programación en el segundo nivel funcional modificando directamente el valor del atributo msdsBehaviorVersion en el objeto domainDNS .
    • El nivel funcional del dominio es elevado al segundo nivel funcional mediante la utilidad Ldp.exe o Adsiedit.msc.
    Si no cambia el modo de dominio al modo nativo antes de elevar el nivel de dominio, la operación no se realiza correctamente y recibe mensajes de error siguientes:
    SV_PROBLEM_WILL_NOT_PERFORM

    ERROR_DS_ILLEGAL_MOD_OPERATION
    Además, se graba el mensaje siguiente en el registro de servicios de directorio:

    Active Directory no pudo actualizar el nivel funcional del siguiente dominio porque el dominio está en modo mixto.


    En este escenario, puede cambiar el modo del dominio a modo nativo mediante el uso de equipos y usuarios de Active Directory, complemento, mediante el uso de los dominios de Active Directory y el complemento MMC de interfaz de usuario de confianza o cambiar mediante programación el valor del atributo ntMixedDomain a 0 en el objeto domainDNS. Cuando este proceso se utiliza para elevar el nivel funcional del dominio a 2 (Windows Server 2003), se cambia automáticamente el modo del dominio a modo nativo.
  • La transición del modo mixto al modo nativo cambia el ámbito de grupo de seguridad Administradores de esquema y grupo de seguridad Administradores de organización a grupos universales. Cuando estos grupos han cambiado a grupos universales, se registra el siguiente mensaje de error en el registro del sistema:
  • Cuando se utilizan las herramientas administrativas de Windows Server 2003 para invocar el nivel funcional del dominio, se modifican el atributo ntmixedmode y el atributo msdsBehaviorVersion en el orden correcto. Sin embargo, esto no siempre es así. En el siguiente escenario, el modo nativo se establece implícitamente en un valor de 0 sin cambiar el ámbito de grupo de seguridad Administradores de esquema y el grupo de seguridad Administradores de empresa a universal:
    • Manualmente o mediante programación el atributo msdsBehaviorVersion que controla el modo funcional del dominio se establece en el valor de 2.
    • El nivel funcional del bosque se establece en 2 utilizando cualquier método.
    En este escenario, los controladores de dominio bloquean la transición al nivel funcional del bosque hasta que todos los dominios que se encuentran en la red de área local están configurados en modo nativo y se realiza el cambio de atributo requerido en los ámbitos de grupo de seguridad:.

Niveles funcionales relevantes para Windows 2000 Server

Windows 2000 Server admite sólo el modo mixto y modo nativo. Además, sólo se aplica estos modos a la funcionalidad del dominio. Las secciones siguientes enumeran los modos de dominio de Windows Server 2003 porque estos modos afectan a cómo actualizar los dominios de Windows NT 4.0 y Windows 2000 Server.


Hay una serie de consideraciones al elevar el nivel de sistema operativo del controlador de dominio. Estas consideraciones son causadas por las limitaciones de almacenamiento y la replicación de los atributos vinculados en modos de Windows 2000 Server.

Servidor de Windows 2000 mixto (predeterminado)

  • Controladores de dominio compatibles: Microsoft Windows NT 4.0, Windows 2000 Server, Windows Server 2003

  • Activa características: soporte de catálogo de grupos locales y globales, globales

Nativo de Windows 2000 Server

  • Controladores de dominio compatibles: Windows 2000 Server, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2
  • Activa características: grupos universales, anidamiento, Sid History, conversión de grupos entre grupos de seguridad y grupos de distribución, puede elevar los niveles de dominio incrementando la configuración del nivel de bosque

Windows Server 2003 provisional

  • Controladores de dominio compatibles: Windows NT 4.0, Windows Server 2003
  • Características admitidas: hay ninguna característica de todo el dominio en este nivel. Todos los dominios de un bosque se elevan automáticamente a este nivel cuando el nivel del bosque se eleva a provisional. Este modo sólo se utiliza al actualizar los controladores de dominio en dominios de Windows NT 4.0 a controladores de dominio de Windows Server 2003.

Windows Server 2003

  • Controladores de dominio compatibles: Windows Server 2003, Windows Server 2008, Windows Server 2008 R2
  • Características admitidas: cambiar nombre de controlador de dominio, actualizar y replicar marca de fecha y hora de inicio de sesión. Soporte de contraseña de usuario en InetOrgPerson objectClass. La delegación restringida, puede redirigir los usuarios y equipos de contenedores.
Los dominios que se actualizó desde Windows NT 4.0 o creados por la promoción de un equipo basado en Windows Server 2003 funcionan en el nivel funcional mixto de Windows 2000. Dominios de Windows 2000 Server mantienen su nivel funcional de dominio actual cuando se actualizan los controladores de dominio de Windows 2000 Server para el sistema operativo Windows Server 2003. Puede elevar el nivel funcional de dominio nativo de Windows 2000 Server o Windows Server 2003.

Nivel provisional - actualización desde un dominio de Windows NT 4.0

Active Directory de Windows Server 2003 permite un bosque y el dominio nivel funcional especial que se denomina Windows Server 2003 provisional. Este nivel funcional se proporciona para actualizaciones de dominios de Windows NT 4.0 existentes en uno o más controladores de dominio de reserva de Windows NT 4.0 (BDC) deben funcionar después de la actualización. Los controladores de dominio de Windows 2000 Server no se admiten en este modo. Windows Server 2003 provisional se aplica a las situaciones siguientes:
  • Actualizaciones de dominio de Windows NT 4.0 a Windows Server 2003.


  • BDC de Windows NT 4.0 no se actualizan inmediatamente.

  • Dominios de Windows NT 4.0 que contienen grupos de más de 5000 miembros (excepto el grupo de usuarios de dominio).

  • No hay planes para implementar controladores de dominio de Server de Windows 2000 en el bosque en cualquier momento.
Windows Server 2003 provisional proporciona dos mejoras importantes, mientras se sigue permitiendo la replicación en los BDC de Windows NT 4.0:
  1. Replicación eficiente de los grupos de seguridad y compatibilidad con más de 5000 miembros por grupo.

  2. Algoritmos de generador de topología entre sitios KCC mejorados.
Debido a las eficiencias en la replicación de grupos que se activa en el nivel provisional, el nivel intermedio es el nivel recomendado para todas las actualizaciones de Windows NT 4.0. Consulte la sección "Prácticas recomendadas" de este artículo para obtener más detalles.

Establecer el nivel funcional del bosque provisional de Windows Server 2003

Windows Server 2003 provisional se puede activar de tres maneras diferentes. Los dos primeros métodos son muy recomendables. Esto es porque los grupos de seguridad usan replicación de valor vinculado (LVR) después de que se ha actualizado el controlador principal de dominio de Windows NT 4.0 del dominio (PDC) a un controlador de dominio de Windows Server 2003. La tercera opción menos recomienda porque la pertenencia a grupos de seguridad usa un único atributo de varios valores que puede provocar problemas de replicación. Las formas en que se puede activar Windows Server 2003 provisional son:
  1. Durante la actualización.



    La opción se presenta en el Asistente para la instalación de Dcpromo cuando actualiza el PDC de un dominio de Windows NT 4.0 que sirve como el primer controlador de dominio en el dominio raíz de un bosque nuevo.
  2. Antes de actualizar el PDC de Windows NT 4.0 de Windows NT 4.0 como el primer controlador de dominio de un nuevo dominio en un bosque existente, configurando manualmente el nivel funcional del bosque mediante herramientas del Protocolo ligero de acceso a directorios (LDAP).



    Dominios secundarios heredan la configuración de la funcionalidad de bosques desde el bosque se promocionan en. Actualizar el PDC de un dominio de Windows NT 4.0 como un dominio secundario en un bosque de Windows Server 2003 existente, donde los niveles funcionales de bosque provisional estuviese configurados mediante el archivo Ldp.exe o el archivo Adsiedit.msc permite grupos de seguridad para usar la replicación de valor vinculado después de la actualización de la versión del sistema operativo.
  3. Después de la actualización utilizando herramientas LDAP.



    Utilice las dos últimas opciones cuando se une a un bosque de Windows Server 2003 existente durante una actualización. Éste es un escenario común cuando un dominio "raíz vacío" que se encuentra en posición. El dominio actualizado se une como secundario de la raíz vacía y hereda la configuración de dominio del bosque.

Mejores prácticas

En la siguiente sección se describe las prácticas recomendadas para incrementar los niveles funcionales. La sección se divide en dos partes. "Tareas de preparación" describen el trabajo que debe realizar antes el aumento y "Aumentar rutas óptimas" explica las motivaciones y métodos de nivel diferente aumentan escenarios.

Para descubrir los controladores de dominio de Windows NT 4.0, siga estos pasos:
  1. Desde cualquier controlador de dominio basado en Windows Server 2003, abra usuarios y equipos de usuarios de Active Directory.
  2. Si el controlador de dominio ya no está conectado al dominio apropiado, siga estos pasos para conectar con el dominio apropiado:
    1. Haga clic derecho en el objeto de dominio actual y, a continuación, haga clic en Conectar con el dominio.

    2. En el cuadro de diálogo dominio , escriba el nombre DNS del dominio al que desea conectarse y, a continuación, haga clic en Aceptar. O bien, haga clic en Examinar para seleccionar el dominio en el árbol de dominio y, a continuación, haga clic en Aceptar.
  3. Haga clic derecho en el objeto de dominio y, a continuación, haga clic en Buscar.
  4. En el cuadro de diálogo Buscar , haga clic en Búsqueda personalizada.
  5. Haga clic en el dominio para el que desea cambiar el nivel funcional.
  6. Haga clic en la ficha Opciones avanzadas.
  7. En el cuadro de consulta LDAP escriba , escriba lo siguiente y no deje ningún espacio entre caracteres:
    (&(objectCategory=computer)(operatingSystem Version=4*)(userAccountControl:1.2.840.113556.1.4.803:=8192))
    Nota: Esta consulta no distingue mayúsculas de minúsculas.
  8. Haga clic en Buscar ahora.



    Aparecerá una lista de los equipos del dominio que se ejecuta Windows NT 4.0 y funcionan como controladores de dominio.
Un controlador de dominio puede aparecer en la lista de cualquiera de las siguientes razones:
  • El controlador de dominio está ejecutando Windows NT 4.0 y debe actualizarse.

  • El controlador de dominio se actualiza a Windows Server 2003, pero el cambio no se replica en el controlador de dominio de destino.
  • El controlador de dominio ya no está en servicio, pero no se quita el objeto de equipo del controlador de dominio del dominio.
Para poder cambiar el nivel funcional del dominio a Windows Server 2003, debe ubicar físicamente cualquier controlador de dominio en la lista, determinar el estado actual del controlador de dominio y actualizar o quitar el controlador de dominio según corresponda.

Nota: A diferencia de los controladores de dominio de Windows Server 2000, los controladores de dominio de Windows NT 4.0 no bloquean un incremento de nivel. Cuando cambia el nivel funcional del dominio, se detendrá la replicación en los controladores de dominio Windows NT 4.0. Sin embargo, cuando intenta incrementar al nivel del bosque de Windows Server 2003 con dominios de Windows Server 2000, se bloquea el nivel mixto. La falta de BDC de Windows NT 4.0 es implícita al cumplir con el requisito de nivel de bosque de todos los dominios al nivel nativo de Windows Server 2000 o posterior.

Ejemplo: Tareas preparación antes del incremento de nivel

En este ejemplo, se provoca el entorno de modo mixto de Windows Server 2000 a modo de bosque de Windows Server 2003.

Inventario del bosque para versiones anteriores de controladores de dominio.

Si no hay una lista de servidores exacta, siga estos pasos:
  1. Para descubrir los dominios de nivel mixtos, los controladores de dominio de Windows Server 2000 o controladores de dominio con objetos perdidos o dañados, utilice el complemento MMC confía y dominios de Active Directory.

  2. En el complemento, haga clic en Elevar funcionalidad de bosquey, a continuación, haga clic en Guardar como para generar un informe detallado.


  3. Si no se han encontrado problemas, la opción para incrementar al nivel del bosque de Windows Server 2003 está disponible en la lista desplegable "niveles funcionales del bosque disponibles" . Al tratar de elevar el nivel del bosque, los objetos de controlador de dominio en los contenedores de configuración se buscan los controladores de dominio que no tengan msds-versión de comportamiento establecidos en el nivel de destino deseado. Se supone que estos controladores de dominio de Windows Server 2000 o en objetos de controlador de dominio de Windows Server más reciente que están dañados.
  4. Si los controladores de dominio de versión anteriores o controladores de dominio tienen que se han encontrado objetos de equipo dañados o perdidos, se incluyen en el informe. Se debe investigar el estado de estos controladores de dominio y la representación del controlador de dominio de Active Directory se debe reparar o quitar utilizando el archivo Ntdsutil.

Para obtener más información, haga clic en el siguiente número de artículo para verlo en Microsoft Knowledge Base:
216498 cómo quitar datos en active directory después de degradar un controlador de dominio incorrecta

Compruebe que la replicación de extremo a extremo está trabajando en el bosque
Para comprobar que End to End replicación funciona en el bosque, utilice el Windows Server 2003 o una versión más reciente de Repadmin contra los controladores de dominio de Windows Server 2003 o de Windows Server 2000:
  • Repadmin/Replsum * / Sort: Delta [GUID_obj._DSA_origen] para el inventario inicial.

  • Repadmin/columna * /CSV > showrepl.csv. Importar a Excel y, a continuación, utilice los datos -> Autofiltro para identificar características de replicación.



    Utilice herramientas de replicación, como Repadmin para comprobar que la replicación de todo el bosque funciona correctamente.
Comprobar la compatibilidad de todos los programas o servicios con los controladores de dominio de Windows Server más reciente y con el modo superior de dominios y bosques de Windows Server. Utilice un entorno de laboratorio para probar exhaustivamente los programas de producción y servicios para problemas de compatibilidad. Póngase en contacto con proveedores para confirmar la función.



Preparar un plan de reserva que incluya uno de las siguientes acciones:
  • Desconectar al menos dos controladores de dominio de cada dominio del bosque.
  • Crear una copia de seguridad de al menos dos controladores de dominio de cada dominio del bosque.
Antes de que se puede usar el plan de reserva, todos los controladores de dominio del bosque deben ser decomisados antes del proceso de recuperación.

Nota: No se puede restaurar autoritativamente aumenta de nivel. Esto significa que todos los controladores de dominio que se han replicado el incremento de nivel deben ser decomisados.



Después de que todos los controladores de dominio anteriores se han decomisado, abrir los controladores de dominio desconectados o restaure los controladores de dominio desde la copia de seguridad. Quitar los metadatos de todos los demás controladores de dominio y, a continuación, vuelva a promocionarlos. Esto es un proceso difícil y debe evitarse.


Ejemplo: Cómo llegar desde el nivel de servidor de Windows 2000 mixto a nivel de bosque de Windows Server 2003

Eleve todos los dominios al nivel nativo de Windows Server 2000. Una vez finalizado este procedimiento, aumentar el nivel funcional del dominio raíz del bosque al nivel del bosque de Windows Server 2003. Cuando el nivel del bosque se replica en los PDC para cada dominio del bosque, el nivel de dominio se incrementa automáticamente al nivel de dominio de Windows Server 2003. Este método tiene las siguientes ventajas:
  • El incremento de nivel en todo el bosque se realiza sólo una vez. No tiene que incrementar manualmente cada dominio del bosque en el nivel funcional de dominio de Windows Server 2003.

  • Se realiza una comprobación de los controladores de dominio de Windows Server 2000 antes el nivel de aumento (consulte los pasos de preparación). El incremento queda bloqueado hasta que se quitan o se actualizan controladores de dominio del problema. Puede generar un informe detallado con una lista el bloqueo de controladores de dominio y que proporcionan datos procesables.

  • Se realiza nivel provisional de Windows Server 2003 o una comprobación de dominios de Windows Server 2000 mixto. El incremento queda bloqueado hasta que los niveles de dominio se incrementan por lo menos a Windows Server 2000 nativo. Dominios de nivel intermedios deben aumentarse a nivel de dominio de Windows Server 2003. Puede generar un informe detallado con una lista de los dominios bloqueados.

Actualizaciones de Windows NT 4.0

Las actualizaciones de Windows NT 4.0 utilice siempre nivel provisional durante la actualización del PDC, a menos que se hayan introducido los controladores de dominio de Windows Server 2000 en el bosque se actualiza el PDC en. Cuando se utiliza el modo provisional durante la actualización del PDC, los grupos de grandes existentes usan inmediatamente la replicación LVR evitando los posibles problemas de replicación que se describen anteriormente en este artículo. Para obtener el nivel provisional durante la actualización, utilice uno de los métodos siguientes:
  • Seleccione el nivel provisional durante Dcpromo. Esta opción sólo se presenta cuando el PDC se promociona a un bosque nuevo.

  • Establecer el nivel de bosque de un bosque existente como temporal y, a continuación, una el bosque durante la actualización del PDC. El dominio actualizado hereda la configuración del bosque.

  • Después de todos los BDC de Windows NT 4.0 se hayan actualizado o quitado, cada dominio debe ser trasladado al nivel del bosque y se puede cambiar al modo de bosque de Windows Server 2003.
Un motivo para evitar el uso del modo provisional es que haya planes para implementar controladores de dominio de Windows Server 2000 después de la actualización, o en cualquier momento en el futuro.

Consideración especial para grupos grandes en Windows NT 4.0

En dominios maduros de Windows NT 4.0, pueden existir grupos de seguridad que contengan a muchos más de 5000 miembros. En Windows NT 4.0, cuando cambia un miembro de un grupo de seguridad, sólo el único miembro que cambia se replica en los controladores de dominio de reserva. En Windows Server 2000, los miembros del grupo son atributos vinculados almacenados en un único atributo de varios valores del objeto de grupo. Cuando se realiza un único cambio en la pertenencia de un grupo, todo el grupo se replica como una única unidad. Porque la pertenencia al grupo se replica como una única unidad, es posible para las actualizaciones de pertenencia a grupo se "pierdan" cuando se agregan o se quitan al mismo tiempo en distintos controladores de dominio distintos miembros. Además, el tamaño de este objeto único puede ser mayor que el búfer usado para confirmar una entrada en la base de datos. Para obtener más información, consulte la sección "Versión problemas con grandes grupos de tiendas" de este artículo. Por estos motivos, el límite recomendado para miembros del grupo es 5000.



La excepción a la regla de 5000 miembros es el grupo principal (de forma predeterminada es el grupo "Usuarios del dominio"). El grupo principal utiliza un mecanismo "calculado" basado en "primarygroupID" del usuario para determinar la pertenencia. El grupo principal no almacena a los miembros como atributos vinculados de varios valores. Si se cambia el grupo principal del usuario a un grupo personalizado, su pertenencia al grupo usuarios de dominio se escribe en el atributo vinculado para el grupo y ya no se calcula. El nuevo grupo principal que RID se escribe "primarygroupID" y el usuario se quitará el atributo de miembro del grupo.


Si el administrador no selecciona el nivel provisional para actualizar el dominio, debe seguir estos pasos antes de la actualización:
  1. Inventario de todos los grupos grandes e identificar cualquier grupo de más de 5000 miembros, salvo el grupo de usuarios de dominio.

  2. Todos los grupos que tienen más de 5000 miembros se deben descomponer en grupos más pequeños de menos de 5000 miembros.

  3. Busque todas las listas de Control de acceso donde se especificaron los grupos grandes y agregar los grupos pequeños que creó en el paso 2.
Nivel de bosque provisional de Windows Server 2003 libera a los administradores de tener que descubrir y reasignar los grupos de seguridad globales con más de 5000 miembros.

Problemas con grupos grandes de almacén de versiones

Durante las operaciones prolongadas como búsquedas profundas o confirmaciones en un único atributo grande, Active Directory debe asegurarse de que el estado de la base de datos es estático hasta que finalice la operación. Un ejemplo de búsquedas profundas o confirmaciones en atributos grandes es un grupo grande que utiliza almacenamiento heredado.



Como continuamente se están produciendo actualizaciones a la base de datos localmente y desde los asociados de replicación, Active Directory proporciona un estado estático poniendo en cola todos los cambios entrantes hasta que finaliza la operación prolongada. Tan pronto como se termine la operación, los cambios en cola se aplican a la base de datos.



La ubicación de almacenamiento para que estos cambios en cola se conoce como "almacén de versión" y es aproximadamente 100megabytes. El tamaño del almacén de versión varía y depende de la memoria física. Si una operación prolongada no termina antes de que se agotara el almacén de versiones, el controlador de dominio dejará de aceptar actualizaciones hasta que la operación de larga duración y se confirman los cambios en cola. Grupos que alcanzan gran número (más de 5000 miembros) colocar el controlador de dominio en el riesgo de agotar el almacén de versión mientras se confirma el grupo grande.



Windows Server 2003 presenta un nuevo mecanismo de replicación de atributos con varios valores vinculados que se llama replicación de valor vinculado (LVR). En lugar de replicar todo el grupo en una única operación de replicación, LVR resuelve este problema replicando cada miembro del grupo como una operación de replicación diferente. LVR está disponible cuando el nivel funcional del bosque se produce a nivel de bosque provisional de Windows Server 2003 o a nivel de bosque de Windows Server 2003. En este nivel funcional, LVR se utiliza para replicar grupos entre los controladores de dominio de Windows Server 2003.
Propiedades

Id. de artículo: 322692 - Última revisión: 17 ene. 2017 - Revisión: 2

Comentarios