Windows 2000-domeincontrollers upgraden naar Windows Server 2003

  • Artikel

In dit artikel wordt beschreven hoe u Microsoft Windows 2000-domeincontrollers kunt upgraden naar Windows Server 2003 en hoe u nieuwe Windows Server 2003-domeincontrollers toevoegt aan Windows 2000-domeinen.

Van toepassing op: Windows Server 2012 R2
Origineel KB-nummer: 325379

Samenvatting

In dit artikel wordt beschreven hoe u Microsoft Windows 2000-domeincontrollers kunt upgraden naar Windows Server 2003 en hoe u nieuwe Windows Server 2003-domeincontrollers toevoegt aan Windows 2000-domeinen. Ga naar de volgende Microsoft-website voor meer informatie over het upgraden van domeincontrollers naar Windows Server 2008 of Windows Server 2008 R2:

Domeincontrollers upgraden: Microsoft Ondersteuning Aan de slag voor het toevoegen van Windows Server 2008- of Windows Server 2008 R2-domeincontrollers aan bestaande domeinen

Domein- en forestinventaris

Voer de volgende stappen uit voordat u Windows 2000-domeincontrollers upgradet naar Windows Server 2003 of voordat u nieuwe Windows Server 2003-domeincontrollers toevoegt aan een Windows 2000-domein:

  1. Inventariseer de clients die toegang hebben tot resources in het domein waarop Windows Server 2003-domeincontrollers worden gehost voor compatibiliteit met SMB-ondertekening:

    Elke Windows Server 2003-domeincontroller schakelt SMB-aanmelding in het lokale beveiligingsbeleid in. Zorg ervoor dat alle netwerkclients die gebruikmaken van het SMB/CIFS-protocol voor toegang tot gedeelde bestanden en printers in domeinen waarop Windows Server 2003-domeincontrollers worden gehost, kunnen worden geconfigureerd of bijgewerkt om SMB-ondertekening te ondersteunen. Als dat niet mogelijk is, schakelt u SMB-ondertekening tijdelijk uit totdat updates kunnen worden geïnstalleerd of totdat de clients kunnen worden bijgewerkt naar nieuwere besturingssystemen die ondersteuning bieden voor SMB-ondertekening. Zie de sectie SMB-ondertekening uitschakelen aan het einde van deze stap voor meer informatie over het uitschakelen van SMB-ondertekening.

    Actieplannen

    In de volgende lijst ziet u de actieplannen voor populaire SMB-clients:

    • Microsoft Windows Server 2003, Microsoft Windows XP Professional, Microsoft Windows 2000 Server, Microsoft Windows 2000 Professional en Microsoft Windows 98

      U hoeft geen actie te ondernemen.

    • Microsoft Windows NT 4.0 Service Pack 3 of hoger installeren (Service Pack 6A wordt aanbevolen) op alle Windows NT 4.0-computers die toegang hebben tot domeinen die Windows Server 2003-computers bevatten. Schakel in plaats daarvan SMB-ondertekening tijdelijk uit op Windows Server 2003-domeincontrollers. Zie de sectie SMB-ondertekening uitschakelen aan het einde van deze stap voor meer informatie over het uitschakelen van SMB-ondertekening.

    • Microsoft Windows 95

      Installeer de Windows 9 x directoryserviceclient op de Windows 95-computers of schakel SMB-ondertekening tijdelijk uit op Windows Server 2003-domeincontrollers. De oorspronkelijke Win9 x-directoryserviceclient is beschikbaar op de cd-rom van Windows 2000 Server. Deze clientinvoegtoepassing is echter vervangen door een verbeterde Win9 x-directoryserviceclient. Zie de sectie SMB-ondertekening uitschakelen aan het einde van deze stap voor meer informatie over het uitschakelen van SMB-ondertekening.

    • Microsoft Network Client voor MS-DOS- en Microsoft LAN Manager-clients

      De Microsoft-netwerkclient voor MS-DOS en de Microsoft LAN Manager 2.x-netwerkclient kan worden gebruikt om toegang te bieden tot netwerkbronnen, of ze kunnen worden gecombineerd met een opstartbare diskette om besturingssysteembestanden en andere bestanden uit een gedeelde map op een bestandsserver te kopiëren als onderdeel van een software-installatieroutine. Deze clients bieden geen ondersteuning voor SMB-ondertekening. Gebruik een alternatieve installatiemethode of schakel SMB-ondertekening uit. Zie de sectie SMB-ondertekening uitschakelen aan het einde van deze stap voor meer informatie over het uitschakelen van SMB-ondertekening.

    • Macintosh-clients

      Sommige Macintosh-clients zijn niet compatibel met SMB-ondertekening en ontvangen het volgende foutbericht wanneer ze verbinding proberen te maken met een netwerkresource:

      - Fout -36 I/O

      Installeer bijgewerkte software als deze beschikbaar is. Anders schakelt u SMB-ondertekening uit op Windows Server 2003-domeincontrollers. Zie de sectie SMB-ondertekening uitschakelen aan het einde van deze stap voor meer informatie over het uitschakelen van SMB-ondertekening.

    • Andere SMB-clients van derden

      Sommige SMB-clients van derden bieden geen ondersteuning voor SMB-ondertekening. Neem contact op met uw SMB-provider om te zien of er een bijgewerkte versie bestaat. Anders schakelt u SMB-ondertekening uit op Windows Server 2003-domeincontrollers.

    SMB-ondertekening uitschakelen

    Als software-updates niet kunnen worden geïnstalleerd op betrokken domeincontrollers met Windows 95, Windows NT 4.0 of andere clients die vóór de introductie van Windows Server 2003 zijn geïnstalleerd, schakelt u de vereisten voor ondertekening van de SMB-service tijdelijk uit in groepsbeleid totdat u bijgewerkte clientsoftware kunt implementeren.

    U kunt het aanmelden van de SMB-service uitschakelen in het volgende knooppunt van standaardbeleid voor domeincontrollers op de organisatie-eenheid van domeincontrollers: Computerconfiguratie\Windows-instellingen\Beveiligingsinstellingen\Lokaal beleid\Beveiligingsopties\Microsoft-netwerkserver:

    Communicatie digitaal ondertekenen (altijd)

    Als domeincontrollers zich niet in de organisatie-eenheid van de domeincontroller bevinden, moet u het groepsbeleid-object (GPO) van de standaarddomeincontroller koppelen aan alle organisatie-eenheden die als host fungeren voor Windows 2000- of Windows Server 2003-domeincontrollers. U kunt ook de aanmelding van de SMB-service configureren in een groepsbeleidsobject dat is gekoppeld aan deze organisatie-eenheden.

  2. Inventariseer de domeincontrollers die zich in het domein en in het forest bevinden:

    1. Zorg ervoor dat alle Windows 2000-domeincontrollers in het forest alle juiste hotfixes en servicepacks hebben geïnstalleerd.

      Microsoft raadt aan dat op alle Windows 2000-domeincontrollers de besturingssystemen Windows 2000 Service Pack 4 (SP4) of hoger worden uitgevoerd. Als u Windows 2000 SP4 of hoger niet volledig kunt implementeren, moeten alle Windows 2000-domeincontrollers een Ntdsa.dll-bestand hebben waarvan de datumstempel en versie later zijn dan 4 juni 2001 en 5.0.2195.3673.

      Active Directory-beheerprogramma's op Windows 2000 SP4-, Windows XP- en Windows Server 2003-clientcomputers maken standaard gebruik van LDAP-ondertekening (Lightweight Directory Access Protocol). Als dergelijke computers gebruikmaken van (of terugvallen op) NTLM-verificatie wanneer ze op afstand Windows 2000-domeincontrollers beheren, werkt de verbinding niet. Om dit gedrag op te lossen, moet op extern beheerde domeincontrollers minimaal Windows 2000 SP3 zijn geïnstalleerd. Anders moet u LDAP-ondertekening uitschakelen op de clients waarop de beheerhulpprogramma's worden uitgevoerd.

      In de volgende scenario's wordt NTLM-verificatie gebruikt:

      • U beheert Windows 2000-domeincontrollers die zich in een extern forest bevinden dat is verbonden met een NTLM-vertrouwensrelatie (niet-Kerberos).
      • U richt mmc-modules (Microsoft Management Console) op een specifieke domeincontroller waarnaar wordt verwezen door het IP-adres. U klikt bijvoorbeeld op Start, klikt u op Uitvoeren en typt u de volgende opdracht: dsa.msc /server=ipaddress

      Als u het besturingssysteem en het revisieniveau van het servicepack van Active Directory-domeincontrollers in een Active Directory-domein wilt bepalen, installeert u de Windows Server 2003-versie van Repadmin.exe op een windows XP Professional- of Windows Server 2003-lidcomputer in het forest en voert u de volgende repadmin opdracht uit op een domeincontroller in elk domein in het forest:

      >repadmin /showattr <name of the domain controller that is in the target domain> ncobj:domain: /filter:"(&(objectCategory=computer)(primaryGroupID=516))" /subtree /atts:operatingSystem,operatingSystemVersion,operatingSystemServicePack

DN: CN=NA-DC-01,organizational unit=Domain Controllers,DC=company,DC=com
 1> operatingSystem: Windows Server 2003
 1> operatingSystemVersion: 5.2 (3718)
DN: CN=NA-DC-02,organizational unit=Domain Controllers,DC=company,DC=com
 1> operatingSystem: Windows 2000 Server
 1> operatingSystemVersion: 5.0 (2195)
 1> operatingSystemServicePack: Service Pack 1

      Opmerking

      De kenmerken van de domeincontroller houden de installatie van afzonderlijke hotfixes niet bij.

    2. Controleer de end-to-end Active Directory-replicatie in het forest.

      Controleer of elke domeincontroller in het bijgewerkte forest alle lokaal bewaarde naamgevingscontexten met de partners repliceert volgens de planning die sitekoppelingen of verbindingsobjecten definiëren. Gebruik de Windows Server 2003-versie van Repadmin.exe op een windows XP- of Windows Server 2003-computer in het forest met de volgende argumenten: Alle domeincontrollers in het forest moeten Active Directory foutloos repliceren en de waarden in de kolom 'Grootste delta' van de uitvoer van het repadmin mogen niet significant groter zijn dan de replicatiefrequentie op de bijbehorende sitekoppelingen of verbindingsobjecten die worden gebruikt door een bepaald doeldomein Controller.

      Los alle replicatiefouten tussen domeincontrollers op die niet binnenkomende replicatie hebben uitgevoerd in minder dan Tombstone Lifetime (TSL) aantal dagen (standaard 60 dagen). Als replicatie niet kan worden uitgevoerd om te functioneren, moet u de domeincontrollers mogelijk geforceerd degraderen en ze uit het forest verwijderen met behulp van de opdracht Ntdsutil metadata cleanup en ze vervolgens weer naar het forest promoveren. U kunt een geforceerde degradatie gebruiken om zowel de installatie van het besturingssysteem als de programma's op een zwevende domeincontroller op te slaan. Voor meer informatie over het verwijderen van zwevende Windows 2000-domeincontrollers uit hun domein, klikt u op het volgende artikelnummer om het artikel in de Microsoft Knowledge Base weer te geven:

      216498 Gegevens verwijderen in Active Directory na een mislukte degradatie van domeincontrollers

      Voer deze actie alleen uit als laatste redmiddel om de installatie van het besturingssysteem en de geïnstalleerde programma's te herstellen. U verliest niet-gerepliceerde objecten en kenmerken op zwevende domeincontrollers, waaronder gebruikers, computers, vertrouwensrelaties, hun wachtwoorden, groepen en groepslidmaatschappen.

      Wees voorzichtig wanneer u replicatiefouten probeert op te lossen op domeincontrollers die geen binnenkomende wijzigingen hebben gerepliceerd voor een bepaalde Active Directory-partitie gedurende meer dan tombstonelifetime aantal dagen. Wanneer u dit doet, kunt u objecten die zijn verwijderd op één domeincontroller opnieuw animeren, maar waarvoor directe of transitieve replicatiepartners de verwijdering in de afgelopen 60 dagen nooit hebben ontvangen.

      Overweeg om eventuele achterblijvende objecten te verwijderen die zich bevinden op domeincontrollers die in de afgelopen 60 dagen geen binnenkomende replicatie hebben uitgevoerd. U kunt ook de domeincontrollers die geen binnenkomende replicatie hebben uitgevoerd op een bepaalde partitie geforceerd verlagen in het tombstone-levensduuraantal dagen en hun resterende metagegevens uit het Active Directory-forest verwijderen met behulp van Ntdsutil en andere hulpprogramma's. Neem contact op met uw ondersteuningsprovider of Microsoft PSS voor aanvullende hulp.

    3. Controleer of de inhoud van de Sysvol-share consistent is.

      Controleer of het bestandssysteemgedeelte van het groepsbeleid consistent is. U kunt Gpotool.exe uit de Resource Kit gebruiken om te bepalen of beleid in een domein inconsistenties heeft. Gebruik Statuscontrole van de windows server 2003-ondersteuningshulpprogramma's om te bepalen of de Sysvol-sharereplicasets correct werken in elk domein.

      Als de inhoud van de Sysvol-share inconsistent is, lost u alle inconsistenties op.

    4. Gebruik Dcdiag.exe van de ondersteuningshulpprogramma's om te controleren of alle domeincontrollers Netlogon- en Sysvol-shares hebben gedeeld. Typ hiervoor de volgende opdracht bij een opdrachtprompt:

      DCDIAG.EXE /e /test:frssysvol

    5. Inventariseer de bewerkingsrollen.

      De schema- en infrastructuurbewerkingsmodellen worden gebruikt om forest- en domeinbrede schemawijzigingen te introduceren in het forest en de bijbehorende domeinen die worden gemaakt door het hulpprogramma Windows Server 2003 adprep. Controleer of de domeincontroller die als host fungeert voor de schemarol en de infrastructuurrol voor elk domein in het forest zich op live-domeincontrollers bevindt en of elke roleigenaar binnenkomende replicatie heeft uitgevoerd voor alle partities sinds ze voor het laatst opnieuw zijn opgestart.

      De DCDIAG /test:FSMOCHECK opdracht kan worden gebruikt om de operationele rollen voor het hele forest en het hele domein weer te geven. Operations-masterrollen die zich op niet-bestaande domeincontrollers bevinden, moeten worden overgemaakt naar een gezonde domeincontroller met behulp van NTDSUTIL. Rollen die zich op beschadigde domeincontrollers bevinden, moeten indien mogelijk worden overgedragen. Anders moeten ze in beslag worden genomen. De NETDOM QUERY FSMO opdracht identificeert geen FSMO-rollen die zich op verwijderde domeincontrollers bevinden.

      Controleer of de binnenkomende replicatie van Active Directory hebben uitgevoerd sinds het voor het laatst is opgestart. Binnenkomende replicatie kan worden geverifieerd met behulp van de REPADMIN /SHOWREPS DCNAME opdracht, waarbij DCNAME de NetBIOS-computernaam of de volledig gekwalificeerde computernaam van een domeincontroller is. Klik op de volgende artikelnummers om de artikelen in de Microsoft Knowledge Base weer te geven voor meer informatie over operations-masters en de plaatsing ervan:

      197132 Windows 2000 Active Directory FSMO-rollen

      223346 FSMO-plaatsing en -optimalisatie op Active Directory-domeincontrollers

    6. EventLog-beoordeling

      Controleer de gebeurtenislogboeken op alle domeincontrollers op problematische gebeurtenissen. De gebeurtenislogboeken mogen geen ernstige gebeurtenisberichten bevatten die duiden op een probleem met een van de volgende processen en onderdelen:

      fysieke connectiviteit
      Netwerkverbinding
      naamregistratie
      naamomzetting
      Verificatie
      Groepsbeleid
      Veiligheidsbeleid
      schijfsubsysteem
      schema
      Topologie
      replicatie-engine

    7. Inventaris van schijfruimte

      Het volume dat als host fungeert voor het Active Directory-databasebestand, Ntds.dit, moet vrije ruimte hebben die gelijk is aan ten minste 15-20% van de bestandsgrootte Ntds.dit. Het volume dat als host fungeert voor het Active Directory-logboekbestand moet ook vrije ruimte hebben die gelijk is aan ten minste 15-20% van de bestandsgrootte Ntds.dit. Zie de sectie 'Domeincontrollers zonder voldoende schijfruimte' van dit artikel voor meer informatie over het vrijmaken van extra schijfruimte.

    8. DNS-opruiming (optioneel)

      Schakel DNS-opruiming met tussenpozen van 7 dagen in voor alle DNS-servers in het forest. Voor de beste resultaten voert u deze bewerking 61 of meer dagen uit voordat u het besturingssysteem upgradet. Dit biedt de DNS-opruiming-daemon voldoende tijd om de verouderde DNS-objecten te verzamelen wanneer een offline defragmentatie wordt uitgevoerd op het bestand Ntds.dit.

    9. De DLT-serverservice uitschakelen (optioneel)

      De DLT Server-service is uitgeschakeld op nieuwe en bijgewerkte installaties van Windows Server 2003-domeincontrollers. Als het bijhouden van gedistribueerde koppelingen niet wordt gebruikt, kunt u de DLT Server-service uitschakelen op uw Windows 2000-domeincontrollers en BEGINNEN met het verwijderen van DLT-objecten uit elk domein in het forest. Zie de sectie Microsoft-aanbevelingen voor het bijhouden van gedistribueerde koppelingen in het volgende artikel in de Microsoft Knowledge Base: 312403 Distributed Link Tracking op Windows-gebaseerde domeincontrollers voor meer informatie

    10. Back-up van systeemstatus

      Maak een back-up van de systeemstatus van ten minste twee domeincontrollers in elk domein in het forest. U kunt de back-up gebruiken om alle domeinen in het forest te herstellen als de upgrade niet werkt.

Microsoft Exchange 2000 in Windows 2000-forests

Opmerking

  • Als Exchange 2000 Server is geïnstalleerd of wordt geïnstalleerd in een Windows 2000-forest, leest u deze sectie voordat u de Windows Server 2003-opdracht adprep /forestprep uitvoert.
  • Als Microsoft Exchange Server 2003-schemawijzigingen worden geïnstalleerd, gaat u naar de sectie 'Overzicht: Windows 2000-domeincontrollers upgraden naar Windows Server 2003' voordat u de Windows Server 2003-opdrachten adprep uitvoert.

Het Exchange 2000-schema definieert drie inetOrgPerson-kenmerken met niet-RFC-compatibele LDAPDisplayNames (Request for Comment): houseIdentifier, secretary en labeledURI.

De Windows 2000 inetOrgPerson Kit en de Windows Server 2003-opdracht adprep definiëren RFC-klachtversies van dezelfde drie kenmerken met identieke LDAPDisplayNames als de niet-RFC-compatibele versies.

Wanneer de Windows Server 2003-opdracht adprep /forestprep wordt uitgevoerd zonder corrigerende scripts in een forest dat Windows 2000 en Exchange 2000-schema bevat, verandert, worden de LDAPDisplayNames voor de kenmerken houseIdentifier, labeledURI en secretaresse beheerd. Een kenmerk wordt 'mangled' als 'Dup' of andere unieke tekens worden toegevoegd aan het begin van de conflicterende kenmerknaam, zodat objecten en kenmerken in de map unieke namen hebben.

Active Directory-forests zijn niet kwetsbaar voor mangled LDAPDisplayNames voor deze kenmerken in de volgende gevallen:

  • Als u de opdracht Windows Server 2003 adprep /forestprep uitvoert in een forest dat het Windows 2000-schema bevat voordat u het Exchange 2000-schema toevoegt.
  • Als u het Exchange 2000-schema installeert in het forest dat is gemaakt waarbij een Windows Server 2003-domeincontroller de eerste domeincontroller in het forest was.
  • Als u Windows 2000 inetOrgPerson Kit toevoegt aan een forest dat het Windows 2000-schema bevat en u vervolgens exchange 2000-schemawijzigingen installeert en vervolgens de opdracht Windows Server 2003 adprep /forestprep uitvoert.
  • Als u een Exchange 2000-schema toevoegt aan een bestaand Windows 2000-forest, voert u Exchange 2003 /forestprep uit voordat u de opdracht Windows Server 2003 adprep /forestprep uitvoert.

Mangled-kenmerken treden op in Windows 2000 in de volgende gevallen:

  • Als u de Exchange 2000-versies van de gelabeldeURI, de kenmerken houseIdentifier en secretaresse toevoegt aan een Windows 2000-forest voordat u de Windows 2000 inetOrgPerson Kit installeert.
  • U voegt de Exchange 2000-versies van de gelabeldeURI, de houseIdentifier en de secretary-kenmerken toe aan een Windows 2000-forest voordat u de Opdracht Windows Server 2003 adprep /forestprep uitvoert zonder eerst de opschoonscripts uit te voeren. Actieplannen voor elk scenario volgen:

Scenario 1: Exchange 2000-schemawijzigingen worden toegevoegd nadat u de opdracht Windows Server 2003 adprep /forestprep hebt uitgevoerd

Als exchange 2000-schemawijzigingen worden geïntroduceerd in uw Windows 2000-forest nadat de Windows Server 2003-opdracht adprep /forestprep is uitgevoerd, is er geen opschoning vereist. Ga naar de sectie Overzicht: Windows 2000-domeincontrollers upgraden naar Windows Server 2003.

Scenario 2: Exchange 2000-schemawijzigingen worden geïnstalleerd vóór de opdracht Windows Server 2003 adprep /forestprep

Als exchange 2000-schemawijzigingen al zijn geïnstalleerd, maar u de opdracht Windows Server 2003 adprep /forestprep NIET hebt uitgevoerd, kunt u het volgende actieplan overwegen:

  1. Meld u aan bij de console van de schema operations-master met behulp van een account dat lid is van de beveiligingsgroep Schema-beheerders.

  2. Klik op Start, klik op Uitvoeren, typ notepad.exe in het vak Openen en klik vervolgens op OK.

  3. Kopieer de volgende tekst, inclusief het afbreekstreepje na 'schemaUpdateNow: 1' naar Kladblok.

    dn: CN=ms-Exch-Assistant-Name,CN=Schema,CN=Configuration,DC=X
    changetype: Wijzigen
    vervangen:LDAPDisplayName
    LDAPDisplayName: msExchAssistantName
    -

    dn: CN=ms-Exch-LabeledURI,CN=Schema,CN=Configuration,DC=X
    changetype: Wijzigen
    vervangen: LDAPDisplayName
    LDAPDisplayName: msExchLabeledURI
    -

    dn: CN=ms-Exch-House-Identifier,CN=Schema,CN=Configuration,DC=X
    changetype: Wijzigen
    vervangen: LDAPDisplayName
    LDAPDisplayName: msExchHouseIdentifier
    -

    dn:
    changetype: Wijzigen
    toevoegen: schemaUpdateNow
    schemaUpdateNow: 1
    -

  4. Controleer of er geen spatie is aan het einde van elke regel.

  5. Klik in het menu Bestand op Opslaan. Voer in het dialoogvenster Opslaan als de volgende stappen uit:

    1. Typ in het vak Bestandsnaam het volgende: \%userprofile%\InetOrgPersonPrevent.ldf
    2. Klik in het vak Opslaan als opAlle bestanden.
    3. Klik in het vak Codering op Unicode.
    4. Klik op Opslaan.
    5. Sluit Kladblok af.

  6. Voer het script InetOrgPersonPrevent.ldf uit.

    1. Klik op Start, klik op Uitvoeren, typ cmd in het vak Openen en klik vervolgens op OK.

    2. Typ het volgende bij een opdrachtprompt en druk op Enter: cd %userprofile%

    3. Typ de volgende opdracht

    c:\documents and settings\%username%>ldifde -i -f inetorgpersonprevent.ldf -v -c DC=X "domain name path for forest root domain"

    Syntaxisnotities:

    • DC=X is een hoofdlettergevoelige constante.
    • Het domeinnaampad voor het hoofddomein moet tussen aanhalingstekens worden geplaatst.

    De syntaxis van de opdracht voor een Active Directory-forest waarvan het foresthoofddomein is TAILSPINTOYS.COM , is bijvoorbeeld:

    c:\documents and settings\administrator>ldifde -i -f inetorgpersonprevent.ldf -v -c DC=X "dc=tailspintoys,dc=com"

    Opmerking

    Mogelijk moet u de registersubsleutel Schema-update toegestaan wijzigen als u het volgende foutbericht ontvangt: Schema-update is niet toegestaan op deze DC omdat de registersleutel niet is ingesteld of de DC niet de fsmo-roleigenaar van het schema is.

  7. Controleer of de LDAPDisplayNames voor de kenmerken CN=ms-Exch-Assistant-Name, CN=ms-Exch-LabeledURI en CN=ms-Exch-House-Identifier in de naamgevingscontext van het schema nu worden weergegeven als msExchAssistantName, msExchLabeledURI en msExchHouseIdentifier voordat u de Windows Server 2003-opdrachten adprep /forestprep uitvoert.

  8. Ga naar de sectie 'Overzicht: Windows 2000-domeincontrollers upgraden naar Windows Server 2003' om de adprep /forestprep opdrachten en /domainprep uit te voeren.

Scenario 3: de opdracht Windows Server 2003 forestprep is uitgevoerd zonder eerst inetOrgPersonFix uit te voeren

Als u de Opdracht Windows Server 2003 adprep /forestprep uitvoert in een Windows 2000-forest dat de exchange 2000-schemawijzigingen bevat, worden de kenmerken LDAPDisplayName voor houseIdentifier, secretaresse en gelabeldeURI verwisseld. Als u beheerde namen wilt identificeren, gebruikt u Ldp.exe om de betrokken kenmerken te zoeken:

  1. Installeer Ldp.exe vanuit de map Support\Extra van de Microsoft Windows 2000- of Windows Server 2003-media.

  2. Start Ldp.exe vanaf een domeincontroller of lidcomputer in het forest.

    1. Klik in het menu Verbinding op Verbinding maken, laat het vak Server leeg, typ 389 in het vak Poort en klik vervolgens op OK.
    2. Klik in het menu Verbinding op Binden, laat alle vakken leeg en klik vervolgens op OK.

  3. Noteer het DN-naampad voor het kenmerk SchemaNamingContext. Voor een domeincontroller in het CORP.ADATUM.COM forest kan het DN-naampad bijvoorbeeld CN=Schema,CN=Configuration,DC=corp,DC=company,DC=com zijn.

  4. Klik in het menu Bladeren op Zoeken.

  5. Gebruik de volgende instellingen om het dialoogvenster Zoeken te configureren:

    • Basis-DN: het DN-pad voor de naamgevingscontext van het schema dat wordt geïdentificeerd in stap 3.
    • Filter: (ldapdisplayname=dup*)
    • Bereik: Substructuur

  6. Mangled houseIdentifier, secretary en gelabeldeURI-kenmerken hebben LDAPDisplayName-kenmerken die vergelijkbaar zijn met de volgende indeling:

    LDAPDisplayName: DUP-labeledURI-9591bbd3-d2a6-4669-afda-48af7c35507d;
    LDAPDisplayName: DUP-secretary-c5a1240d-70c0-455c-9906-a4070602f85f
    LDAPDisplayName: DUP-houseIdentifier-354b0ca8-9b6c-4722-aae7-e66906cc9eef

  7. Als de LDAPDisplayNames voor labeledURI, secretary en houseIdentifier zijn beheerd in stap 6, voert u het script Windows Server 2003 InetOrgPersonFix.ldf uit om te herstellen en gaat u naar de sectie Windows 2000-domeincontrollers upgraden met Winnt32.exe.

    1. Maak een map met de naam %Systemdrive%\IOP en pak het bestand InetOrgPersonFix.ldf uit naar deze map.

    2. Typ cd %systemdrive%\iopbij een opdrachtprompt .

    3. Pak het bestand InetOrgPersonFix.ldf uit het Support.cab bestand dat zich in de map Support\Tools van de Windows Server 2003-installatiemedia bevindt.

    4. Laad vanuit de console van de schemabewerkingsmaster het bestand InetOrgPersonFix.ldf met behulp van Ldifde.exe om het kenmerk LdapDisplayName van de kenmerken houseIdentifier, secretary en labeledURI te corrigeren. Typ hiervoor de volgende opdracht, waarbij <X> een hoofdlettergevoelige constante is en <dn-pad voor foresthoofddomein> het pad naar de domeinnaam voor het hoofddomein van het forest is:

      C:\IOP>ldifde -i -f inetorgpersonfix.ldf -v -c DC=X "domain name path for forest root domain"

      Syntaxisnotities:

      • DC=X is een hoofdlettergevoelige constante.
      • Het pad naar de domeinnaam voor het foresthoofddomein moet tussen aanhalingstekens staan.

  8. Controleer of de houseIdentifier-, secretaresse- en gelabeldeURI-kenmerken in de naamgevingscontext van het schema niet 'mangled' zijn voordat u Exchange 2000 installeert.

Overzicht: Windows 2000-domeincontrollers upgraden naar Windows Server 2003

De Windows Server 2003-opdracht adprep die u uitvoert vanuit de map \I386 van de Windows Server 2003-media, bereidt een Windows 2000-forest en de bijbehorende domeinen voor op de toevoeging van Windows Server 2003-domeincontrollers. Met de opdracht Windows Server 2003 adprep /forestprep worden de volgende functies toegevoegd:

  • Verbeterde standaardbeveiligingsdescriptors voor objectklassen

  • Nieuwe gebruikers- en groepskenmerken

  • Nieuwe Schema-objecten en -kenmerken, zoals inetOrgPersonHet hulpprogramma adprep ondersteunt twee opdrachtregelargumenten:

    • adprep /forestprep: Voert forestupgradebewerkingen uit.
    • dprep /domainprep: Voert domeinupgradebewerkingen uit.

De adprep /forestprep opdracht is een eenmalige bewerking die wordt uitgevoerd op de SCHEMA Operation Master (FSMO) van het forest. De forestprep-bewerking moet worden voltooid en gerepliceerd naar de infrastructuurmaster van elk domein voordat u in dat domein kunt uitvoeren adprep /domainprep .

De adprep /domainprep opdracht is een eenmalige bewerking die u uitvoert op de infrastructuur operations master-domeincontroller van elk domein in het forest waarop nieuwe of bijgewerkte Windows Server 2003-domeincontrollers worden gehost. De adprep /domainprep opdracht controleert of de wijzigingen van forestprep zijn gerepliceerd in de domeinpartitie en brengt vervolgens eigen wijzigingen aan in de domeinpartitie en groepsbeleid in de Sysvol-share.

U kunt een van de volgende acties niet uitvoeren tenzij de /forestprep- en /domainprep-bewerkingen zijn voltooid en gerepliceerd naar alle domeincontrollers in dat domein:

  • Upgrade de Windows 2000-domeincontrollers naar Windows Server 2003-domeincontrollers met behulp van Winnt32.exe.

Opmerking

U kunt de Windows 2000-lidservers en -computers op elk gewenst moment upgraden naar Windows Server 2003-lidcomputers. Promoot nieuwe Windows Server 2003-domeincontrollers in het domein met behulp van Dcpromo.exe. Het domein dat als host fungeert voor de schema operations-master is het enige domein waar u zowel als adprep /forestprepadprep /domainprepmoet uitvoeren. In alle andere domeinen hoeft u alleen uit te voeren adprep /domainprep.

De adprep /forestprep opdrachten en adprep /domainprep voegen geen kenmerken toe aan de gedeeltelijke kenmerkset van de globale catalogus en veroorzaken geen volledige synchronisatie van de globale catalogus. De RTM-versie van adprep /domainprep veroorzaakt een volledige synchronisatie van de map \Policies in de Sysvol-structuur. Zelfs als u forestprep en domainprep meerdere keren uitvoert, worden voltooide bewerkingen slechts één keer uitgevoerd.

Nadat de wijzigingen van adprep /forestprep en adprep /domainprep volledig zijn gerepliceerd, kunt u de Windows 2000-domeincontrollers upgraden naar Windows Server 2003 door Winnt32.exe uit te voeren vanuit de map \I386 van de Windows Server 2003-media. U kunt ook nieuwe Windows Server 2003-domeincontrollers toevoegen aan het domein met behulp van Dcpromo.exe.

Het forest upgraden met de opdracht adprep /forestprep

Als u een Windows 2000-forest en -domeinen wilt voorbereiden om Windows Server 2003-domeincontrollers te accepteren, volgt u eerst deze stappen in een testomgeving en vervolgens in een productieomgeving:

  1. Zorg ervoor dat u alle bewerkingen in de fase Forestinventarisatie hebt voltooid, met speciale aandacht voor de volgende items:

    1. U hebt back-ups van de systeemstatus gemaakt.
    2. Alle Windows 2000-domeincontrollers in het forest hebben alle juiste hotfixes en servicepacks geïnstalleerd.
    3. End-to-end-replicatie van Active Directory vindt plaats in het forest
    4. FRS repliceert het bestandssysteembeleid correct in elk domein.

  2. Meld u aan bij de console van de schema operations-master met een account dat lid is van de beveiligingsgroep Schemaadministrators.

  3. Controleer of het schema FSMO binnenkomende replicatie van de schemapartitie heeft uitgevoerd door het volgende te typen bij een Windows NT-opdrachtprompt: repadmin /showreps

    ( repadmin wordt geïnstalleerd door de map Support\Tools van Active Directory.)

  4. Vroege Microsoft-documentatie raadt u aan de schemabewerkingenmaster te isoleren op een privénetwerk voordat u uitvoert adprep /forestprep. Uit de praktijk blijkt dat deze stap niet nodig is en ertoe kan leiden dat een schema operations-master schemawijzigingen weigert wanneer deze opnieuw wordt gestart op een particulier netwerk.

  5. Voer uit adprep op de schema operations-master. Klik hiervoor op Start, klik op Uitvoeren, typ cmd en klik vervolgens op OK. Typ de volgende opdracht in de schema operations-master:

     X:\I386\adprep /forestprep

    waarbij X:\I386\ het pad is van de Windows Server 2003-installatiemedia. Met deze opdracht wordt de schema-upgrade voor het hele forest uitgevoerd.

    Opmerking

    Gebeurtenissen met gebeurtenis-id 1153 die zijn vastgelegd in het gebeurtenislogboek van directoryservice, zoals het volgende voorbeeld, kunnen worden genegeerd:

  6. Controleer of de adprep /forestprep opdracht is uitgevoerd op de schema operations-master. Controleer hiervoor vanuit de console van de schema operations-master de volgende items: - De adprep /forestprep opdracht is zonder fout voltooid. - Het object CN=Windows2003Update is geschreven onder CN=ForestUpdates,CN=Configuration,DC= forest_root_domain. Noteer de waarde van het kenmerk Revisie. - (Optioneel) De schemaversie verhoogd naar versie 30. Zie hiervoor het kenmerk ObjectVersion onder CN=Schema,CN=Configuration,DC= forest_root_domain. Als adprep /forestprep dit niet wordt uitgevoerd, controleert u de volgende items:

    • Het volledig gekwalificeerde pad voor Adprep.exe dat zich in de map \I386 van het installatiemedium bevindt, is opgegeven bij adprep het uitvoeren. Typ hiervoor de volgende opdracht:

      x:\i386\adprep /forestprep

      waarbij x het station is dat als host fungeert voor de installatiemedia.

    • De aangemelde gebruiker die adprep uitvoert, is lid van de beveiligingsgroep Schema-beheerders. Gebruik de whoami /all opdracht om dit te controleren.

    • Als adprep het nog steeds niet werkt, bekijkt u het Adprep.log-bestand in de map %systemroot%\System32\Debug\Adprep\Logs\Latest_log .

  7. Als u in stap 4 uitgaande replicatie op de schema operations-master hebt uitgeschakeld, schakelt u replicatie in, zodat de schemawijzigingen die door adprep /forestprep zijn aangebracht, kunnen worden doorgegeven. Voer hiervoor de volgende stappen uit:

    1. Klik op Start, klik op Uitvoeren, typ cmd en klik vervolgens op OK.
    2. Typ het volgende en druk op Enter: repadmin /options -DISABLE_OUTBOUND_REPL

  8. Controleer of de adprep /forestprep wijzigingen zijn gerepliceerd op alle domeincontrollers in het forest. Het is handig om de volgende kenmerken te bewaken:

    1. De schemaversie verhogen
    2. Cn=Windows2003Update, CN=ForestUpdates,CN=Configuration,DC= forest_root_domain of CN=Operations,CN=DomainUpdates,CN=System,DC= forest_root_domain en de bewerkings-GUID's eronder zijn gerepliceerd in.
    3. Zoek naar nieuwe schemaklassen, objecten, kenmerken of andere wijzigingen die worden adprep /forestprep toegevoegd, zoals inetOrgPerson. Bekijk de Sch XX.ldf-bestanden (waarbij XX een getal is tussen 14 en 30) in de map %systemroot%\System32 om te bepalen welke objecten en kenmerken er moeten zijn. InetOrgPerson wordt bijvoorbeeld gedefinieerd in Sch18.ldf.

  9. Zoek naar mangled LDAPDisplayNames. Als u manglednamen vindt, gaat u naar Scenario 3 van hetzelfde artikel.

  10. Meld u aan bij de console van de schemabewerkingsmaster met een account dat lid is van de beveiligingsgroep Schema-beheerders van het forest dat als host fungeert voor de schema operations-master.

Het domein upgraden met de opdracht adprep /domainprep

Voer uit adprep /domainprep nadat de /forestprep-wijzigingen volledig zijn gerepliceerd naar de infrastructuurhoofddomeincontroller in elk domein dat Windows Server 2003-domeincontrollers host. Ga hiervoor als volgt te werk:

  1. Identificeer de infrastructuurmasterdomeincontroller in het domein dat u wilt upgraden en meld u vervolgens aan met een account dat lid is van de beveiligingsgroep Domeinadministrators in het domein dat u wilt upgraden.

    Opmerking

    De ondernemingsbeheerder is mogelijk geen lid van de beveiligingsgroep Domeinadministrators in onderliggende domeinen van het forest.

  2. Voer uit adprep /domainprep op de infrastructuurmaster. Klik hiervoor op Start, klik op Uitvoeren, typ cmd en typ vervolgens op de infrastructuurmaster de volgende opdracht: X:\I386\adprep /domainprep waarbij X:\I386\ het pad is van de Windows Server 2003-installatiemedia. Met deze opdracht worden domeinbrede wijzigingen in het doeldomein uitgevoerd.

    Opmerking

    Met de adprep /domainprep opdracht wijzigt u bestandsmachtigingen in de Sysvol-share. Deze wijzigingen veroorzaken een volledige synchronisatie van bestanden in die mapstructuur.

  3. Controleer of domainprep is voltooid. Controleer hiervoor de volgende items:

    • De adprep /domainprep opdracht is zonder fouten voltooid.
    • Het CN=Windows2003Update,CN=DomainUpdates,CN=System,DC= dn-pad van het domein dat u bijwerkt bestaat Als adprep /domainprep niet wordt uitgevoerd, controleert u de volgende items:
    • De aangemelde gebruiker die wordt uitgevoerd adprep , is lid van de beveiligingsgroep Domeinadministrators in het domein waarop u een upgrade uitvoert. Gebruik hiervoor de whoami /all opdracht.
    • Het volledig gekwalificeerde pad voor Adprep.exe dat zich in de map \I386 van het installatiemedium bevindt, is opgegeven toen u uitvoerde adprep. Typ hiervoor bij een opdrachtprompt de volgende opdracht: x :\i386\adprep /forestprep waarbij x het station is dat als host fungeert voor het installatiemedium.
    • Als adprep het nog steeds niet werkt, bekijkt u het Adprep.log-bestand in de map %systemroot%\System32\Debug\Adprep\Logs\ Latest_log .

  4. Controleer of de adprep /domainprep wijzigingen zijn gerepliceerd. Controleer hiervoor voor de resterende domeincontrollers in het domein de volgende items: - De CN=Windows2003Update,CN=DomainUpdates,CN=System,DC= dn pad van het domein dat u bijwerkt , bestaat en de waarde voor het kenmerk Revisie komt overeen met de waarde van hetzelfde kenmerk op de infrastructuurmaster van het domein. - (Optioneel) Zoek naar objecten, kenmerken of wijzigingen in de toegangsbeheerlijst (ACL) die zijn adprep /domainprep toegevoegd. Herhaal stap 1-4 op de infrastructuurmaster van de resterende domeinen bulksgewijs of terwijl u DC's in deze domeinen toevoegt of upgradet naar Windows Server 2003. U kunt nu nieuwe Windows Server 2003-computers promoveren naar het forest met behulp van DCPROMO. Of u kunt bestaande Windows 2000-domeincontrollers upgraden naar Windows Server 2003 met behulp van WINNT32.EXE.

Windows 2000-domeincontrollers upgraden met behulp van Winnt32.exe

Nadat de wijzigingen van /forestprep en /domainprep volledig zijn gerepliceerd en u een beslissing hebt genomen over beveiligingsinteroperabiliteit met clients van een eerdere versie, kunt u Windows 2000-domeincontrollers upgraden naar Windows Server 2003 en nieuwe Windows Server 2003-domeincontrollers toevoegen aan het domein.

De volgende computers moeten een van de eerste domeincontrollers zijn waarop Windows Server 2003 in het forest in elk domein wordt uitgevoerd:

  • De domeinnaamgevingsmaster in het forest, zodat u standaard-DNS-programmapartities kunt maken.
  • De primaire domeincontroller van het foresthoofddomein, zodat de bedrijfsbrede beveiligingsprincipals die door de forestprep van Windows Server 2003 worden toegevoegd, zichtbaar worden in de ACL-editor.
  • De primaire domeincontroller in elk niet-hoofddomein, zodat u nieuwe domeinspecifieke Windows 2003-beveiligingsprincipals kunt maken. Gebruik hiervoor WINNT32 om bestaande domeincontrollers te upgraden die de gewenste operationele rol hosten. Of draag de rol over naar een nieuw gepromoveerde Windows Server 2003-domeincontroller. Voer de volgende stappen uit voor elke Windows 2000-domeincontroller die u upgradet naar Windows Server 2003 met WINNT32 en voor elke Windows Server 2003-werkgroep of lidcomputer die u promoveerde:

  1. Voordat u WINNT32 gebruikt om windows 2000-computers en domeincontrollers te upgraden, verwijdert u Windows 2000-beheerprogramma's. Gebruik hiervoor het hulpprogramma Programma's in Configuratiescherm. (Alleen upgrades voor Windows 2000.)

  2. Installeer hotfixbestanden of andere oplossingen die door Microsoft of de beheerder worden bepaald.

  3. Controleer elke domeincontroller op mogelijke upgradeproblemen. Voer hiervoor de volgende opdracht uit vanuit de map \I386 van het installatiemedium: winnt32.exe /checkupgradeonly Los eventuele problemen op die tijdens de compatibiliteitscontrole worden geïdentificeerd.

  4. Voer WINNT32.EXE uit vanuit de map \I386 van het installatiemedium en start de bijgewerkte 2003-domeincontroller opnieuw op.

  5. Verlaag zo nodig de beveiligingsinstellingen voor clients met een eerdere versie.

    Als op Windows NT 4.0-clients geen NT 4.0 SP6- of Windows 95-clients zijn geïnstalleerd, schakelt u de SMB-serviceondertekening uit op het standaardbeleid voor domeincontrollers op de organisatie-eenheid Domeincontrollers en koppelt u dit beleid vervolgens aan alle organisatie-eenheden die domeincontrollers hosten. Computerconfiguratie\Windows-instellingen\Beveiligingsinstellingen\Lokaal beleid\Beveiligingsopties\Microsoft-netwerkserver: communicatie digitaal ondertekenen (altijd)

  6. Controleer de status van de upgrade met behulp van de volgende gegevenspunten:

    • De upgrade is voltooid.
    • De hotfixes die u aan de installatie hebt toegevoegd, hebben de oorspronkelijke binaire bestanden vervangen.
    • Inkomende en uitgaande replicatie van Active Directory vindt plaats voor alle naamgevingscontexten die door de domeincontroller worden bewaard.
    • De Netlogon- en Sysvol-shares bestaan.
    • Het gebeurtenislogboek geeft aan dat de domeincontroller en de bijbehorende services in orde zijn.

    Opmerking

    Mogelijk ontvangt u het volgende gebeurtenisbericht nadat u de upgrade hebt uitgevoerd: U kunt dit gebeurtenisbericht veilig negeren.

  7. Installeer de Beheerhulpprogramma's voor Windows Server 2003 (alleen Windows 2000-upgrades en Windows Server 2003 niet-domeincontrollers). Adminpak.msi bevindt zich in de map \I386 van de windows server 2003-cd-rom. Windows Server 2003-media bevat bijgewerkte ondersteuningshulpprogramma's in het Support\Tools\Suptools.msi-bestand. Zorg ervoor dat u dit bestand opnieuw installeert.

  8. Maak nieuwe back-ups van ten minste de eerste twee Windows 2000-domeincontrollers die u hebt bijgewerkt naar Windows Server 2003 in elk domein in het forest. Zoek de back-ups van de Windows 2000-computers die u hebt bijgewerkt naar Windows Server 2003 in vergrendelde opslag, zodat u deze niet per ongeluk gebruikt om een domeincontroller te herstellen waarop nu Windows Server 2003 wordt uitgevoerd.

  9. (Optioneel) Voer een offlinedefragmentatie van de Active Directory-database uit op de domeincontrollers die u hebt bijgewerkt naar Windows Server 2003 nadat het SIS (Single Instance Store) is voltooid (alleen upgrades voor Windows 2000).

    Het SIS controleert bestaande machtigingen voor objecten die zijn opgeslagen in Active Directory en past vervolgens een efficiëntere beveiligingsdescriptor toe op deze objecten. Het SIS wordt automatisch gestart (geïdentificeerd door gebeurtenis 1953 in het gebeurtenislogboek van de adreslijstservice) wanneer bijgewerkte domeincontrollers het besturingssysteem Windows Server 2003 voor het eerst starten. U profiteert alleen van het verbeterde beveiligingsdescriptorarchief wanneer u een gebeurtenis-id 1966-gebeurtenisbericht in het gebeurtenislogboek van de directoryservice opslaat: dit gebeurtenisbericht geeft aan dat de opslagbewerking voor één exemplaar is voltooid en fungeert als een wachtrij voor de beheerder om offlinedefragmentatie van de Ntds.dit uit te voeren met behulp van NTDSUTIL.EXE.

    De offlinedefragmentatie kan de grootte van een Windows 2000 Ntds.dit-bestand met maximaal 40% verminderen, de Active Directory-prestaties verbeteren en de pagina's in de database bijwerken voor een efficiëntere opslag van kenmerken met een koppelingswaarde. Klik op het volgende artikelnummer in de Microsoft Knowledge Base voor meer informatie over het defragmenteren van de Active Directory-database:

    232122 Offline defragmentatie van de Active Directory-database uitvoeren

  10. Onderzoek de DLT-serverservice. Windows Server 2003-domeincontrollers schakelen de DLT Server-service uit bij nieuwe en upgrade-installaties. Als Windows 2000- of Windows XP-clients in uw organisatie de DLT Server-service gebruiken, gebruikt u groepsbeleid om de DLT Server-service in te schakelen op nieuwe of bijgewerkte Windows Server 2003-domeincontrollers. Verwijder anders stapsgewijs gedistribueerde koppelingstraceringsobjecten uit Active Directory. Klik voor meer informatie op het volgende artikelnummer om het artikel in de Microsoft Knowledge Base weer te geven:

    312403 Distributed Link Tracking op Windows-domeincontrollers

    Als u duizenden DLT-objecten of andere objecten bulksgewijs verwijdert, kunt u replicatie blokkeren vanwege een gebrek aan versieopslag. Wacht tombstonelifetime aantal dagen (standaard 60 dagen) nadat u het laatste DLT-object hebt verwijderd en totdat de garbagecollection is voltooid. Gebruik vervolgens NTDSUTIL.EXE om een offlinedefragmentatie van het bestand Ntds.dit uit te voeren.

  11. De structuur van de organisatie-eenheid met aanbevolen procedures configureren. Microsoft raadt beheerders aan om de best practice organisatie-eenheidsstructuur actief te implementeren in alle Active Directory-domeinen, en nadat ze Windows Server 2003-domeincontrollers hebben bijgewerkt of geïmplementeerd in de Windows-domeinmodus, de standaardcontainers die api's van eerdere versies gebruiken om gebruikers, computers en groepen te maken, om te leiden naar een organisatie-eenheidscontainer die de beheerder opgeeft.

    Voor meer informatie over de structuur van de organisatie-eenheid met aanbevolen procedures raadpleegt u de sectie 'Een organisatie-eenheid ontwerpen maken' van de whitepaper 'Best Practice Active Directory-ontwerp voor het beheren van Windows-netwerken'. Als u de whitepaper wilt bekijken, gaat u naar de volgende Microsoft-website: https://technet.microsoft.com/library/bb727085.aspx Voor meer informatie over het wijzigen van de standaardcontainer waarin gebruikers, computers en groepen die eerdere API's maken zich bevinden, klikt u op het volgende artikelnummer om het artikel in de Microsoft Knowledge Base weer te geven:

    324949 de gebruikers- en computercontainers in Windows Server 2003-domeinen omleiden

  12. Herhaal stap 1 tot en met 10 zoals vereist voor elke nieuwe of bijgewerkte Windows Server 2003-domeincontroller in het forest en stap 11 (Best Practice organisatie-eenheidsstructuur) voor elk Active Directory-domein.

    In samenvatting:

    • Windows 2000-domeincontrollers upgraden met WINNT32 (vanaf de slipstream-installatiemedia indien gebruikt)
    • Controleer of de hotfixes-bestanden zijn geïnstalleerd op de bijgewerkte computers
    • Installeer alle vereiste hotfixes die niet op installatiemedia zijn opgenomen
    • Controleer de status op nieuwe of bijgewerkte servers (AD, FRS, Beleid, enzovoort)
    • Wacht 24 uur na de upgrade van het besturingssysteem en vervolgens offline defragmenteren (optioneel)
    • Start de DLT-service indien nodig, anders verwijdert u DLT-objecten met q312403 / q315229 na forestbrede domeinpreps
    • Voer meer dan 60 dagen offline defragmentatie uit (tombstone-levensduur en garbagecollection aantal dagen) na het verwijderen van DLT-objecten

Droog uitgevoerde upgrades in een testomgeving

Voordat u Windows-domeincontrollers bijwerkt naar een windows 2000-productiedomein, valideert en verfijnt u het upgradeproces in het lab. Als de upgrade van een testomgeving die het productieforest nauwkeurig weerspiegelt, soepel verloopt, kunt u vergelijkbare resultaten verwachten in productieomgevingen. Voor complexe omgevingen moet de testomgeving de productieomgeving op de volgende gebieden spiegelen:

  • Hardware: computertype, geheugengrootte, plaatsing van paginabestanden, schijfgrootte, prestaties en RAID-configuratie, BIOS- en firmwarerevisieniveaus
  • Software: versies van client- en serverbesturingssystemen, client- en servertoepassingen, servicepackversies, hotfixes, schemawijzigingen, beveiligingsgroepen, groepslidmaatschappen, machtigingen, beleidsinstellingen, type objectaantal en locatie, versie-interoperabiliteit
  • Netwerkinfrastructuur: WINS, DHCP, koppelingssnelheden, beschikbare bandbreedte
  • Laden: met laadsimulators kunnen wachtwoordwijzigingen, het maken van objecten, Active Directory-replicatie, aanmeldingsverificatie en andere gebeurtenissen worden gesimuleerd. Het doel is niet om de schaal van de productieomgeving te reproduceren. In plaats daarvan zijn de doelen om de kosten en frequentie van veelvoorkomende bewerkingen te detecteren en hun effecten (naamquery's, replicatieverkeer, netwerkbandbreedte en processorverbruik) op de productieomgeving te interpoleren op basis van uw huidige en toekomstige vereisten.
  • Beheer: uitgevoerde taken, gebruikte hulpprogramma's, gebruikte besturingssystemen
  • Werking: capaciteit, interoperabiliteit
  • Schijfruimte: let op de begin-, piek- en eindgrootte van het besturingssysteem, Ntds.dit en Active Directory-logboekbestanden op globale catalogus- en niet-globale catalogusdomeincontrollers in elk domein na elk van de volgende bewerkingen:
    1. adprep /forestprep
    2. adprep /domainprep
    3. Windows 2000-domeincontrollers upgraden naar Windows Server 2003
    4. Offline defragmentatie uitvoeren na versie-upgrades

Inzicht in het upgradeproces en de complexiteit van de omgeving, gecombineerd met gedetailleerde observatie, bepaalt het tempo en de mate van zorg die u toepast op het upgraden van productieomgevingen. Omgevingen met een klein aantal domeincontrollers en Active Directory-objecten die zijn verbonden via WAN-koppelingen (High Availability Wide Area Network) kunnen binnen enkele uren worden bijgewerkt. Mogelijk moet u voorzichtiger zijn met bedrijfsimplementaties met honderden domeincontrollers of honderdduizenden Active Directory-objecten. In dergelijke gevallen kunt u de upgrade gedurende enkele weken of maanden uitvoeren.

Gebruik 'Dry-run'-upgrades in het lab om de volgende taken uit te voeren:

  • Inzicht in de werking van het upgradeproces en de bijbehorende risico's.
  • Stel potentiële probleemgebieden beschikbaar voor het implementatieproces in uw omgeving.
  • Test en ontwikkel terugvalplannen voor het geval de upgrade niet lukt.
  • Definieer het juiste detailniveau dat moet worden toegepast op het upgradeproces voor het productiedomein.

Domeincontrollers zonder voldoende schijfruimte

Op domeincontrollers met onvoldoende schijfruimte gebruikt u de volgende stappen om extra schijfruimte vrij te maken op het volume waarop de Ntds.dit- en logboekbestanden worden gehost:

  1. Verwijder de ongebruikte bestanden, inclusief *.tmp bestanden of bestanden in de cache die in internetbrowsers worden gebruikt. Typ hiervoor de volgende opdrachten (druk na elke opdracht op Enter):

    cd /d drive\  
del *.tmp /s

  2. Verwijder alle gebruikers- of geheugendumpbestanden. Typ hiervoor de volgende opdrachten (druk na elke opdracht op Enter):

    cd /d drive\  
del *.dmp /s

  3. Verwijder of verplaats bestanden die u vanaf andere servers kunt openen of verplaats deze eenvoudig opnieuw. Bestanden die u kunt verwijderen en eenvoudig kunt vervangen, zijn adminpak, ondersteuningshulpprogramma's en alle bestanden in de map %systemroot%\System32\Dllcache.

  4. Verwijder oude of ongebruikte gebruikersprofielen. Klik hiervoor op Start, klik met de rechtermuisknop op Deze computer, klik op Eigenschappen, klik op het tabblad Gebruikersprofielen en verwijder vervolgens alle profielen voor oude en ongebruikte accounts. Verwijder geen profielen voor serviceaccounts.

  5. Verwijder de symbolen in %systemroot%\Symbols. Typ hiervoor de volgende opdracht: rd /s %systemroot%\symbols Afhankelijk van of de servers een volledige of kleine symboolset hebben, kan dit ongeveer 70 MB tot 600 MB winnen.

  6. Voer een offlinedefragmentatie uit. Een offline defragmentatie van het bestand Ntds.dit kan ruimte vrijmaken, maar vereist tijdelijk het dubbele van de ruimte van het huidige DIT-bestand. Voer de offlinedefragmentatie uit met behulp van andere lokale volumes als er een beschikbaar is. Of gebruik ruimte op een best verbonden netwerkserver om de offline defragmentatie uit te voeren. Als de schijfruimte nog steeds onvoldoende is, verwijdert u stapsgewijs onnodige gebruikersaccounts, computeraccounts, DNS-records en DLT-objecten uit Active Directory.

Opmerking

Active Directory verwijdert geen objecten uit de database totdat het aantal tombstonelifetime-dagen (standaard 60 dagen) is verstreken en de garbagecollection is voltooid. Als u tombstonelifetime verlaagt tot een waarde die lager is dan end-to-end-replicatie in het forest, kan dit leiden tot inconsistenties in Active Directory.