Обновление контроллеров домена Windows 2000 до Windows Server 2003

В этой статье описывается обновление контроллеров домена Microsoft Windows 2000 до Windows Server 2003 и добавление новых контроллеров домена Windows Server 2003 в домены Windows 2000.

Применяется к: Windows Server 2012 R2
Исходный номер базы знаний: 325379

Сводка

В этой статье описывается обновление контроллеров домена Microsoft Windows 2000 до Windows Server 2003 и добавление новых контроллеров домена Windows Server 2003 в домены Windows 2000. Дополнительные сведения об обновлении контроллеров домена до Windows Server 2008 или Windows Server 2008 R2 см. на следующем веб-сайте Майкрософт:

Обновление контроллеров домена: служба поддержки Майкрософт краткое руководство по добавлению контроллеров домена Windows Server 2008 или Windows Server 2008 R2 в существующие домены

Инвентаризация доменов и лесов

Перед обновлением контроллеров домена Windows 2000 до Windows Server 2003 или перед добавлением новых контроллеров домена Windows Server 2003 в домен Windows 2000 выполните следующие действия.

1. Выполните инвентаризацию клиентов, обращаюющихся к ресурсам в домене, на котором размещены контроллеры домена Windows Server 2003, на совместимость с подписыванием SMB:

   Каждый контроллер домена Windows Server 2003 включает вход SMB в свою локальную политику безопасности. Убедитесь, что все сетевые клиенты, использующие протокол SMB/CIFS для доступа к общим файлам и принтерам в доменах, на которых размещены контроллеры домена Windows Server 2003, могут быть настроены или обновлены для поддержки подписывания SMB. Если это невозможно, временно отключите подписывание SMB, пока не удастся установить обновления или пока клиенты не будут обновлены до более новых операционных систем, поддерживающих подписывание SMB. Сведения об отключении подписывания SMB см. в разделе Отключение подписи SMB в конце этого шага.

   Планы действий

   В следующем списке показаны планы действий для популярных клиентов SMB:

   • Microsoft Windows Server 2003, Microsoft Windows XP Professional, Microsoft Windows 2000 Server, Microsoft Windows 2000 Professional и Microsoft Windows 98

     Не требуется выполнять никаких действий.

   • Microsoft Windows NT 4.0 установите с пакетом обновления 3 (SP3) или более поздней версии (рекомендуется пакет обновления 6A) на всех компьютерах с Windows NT версии 4.0, которые обращаются к доменам, содержащим компьютеры под управлением Windows Server 2003. Вместо этого временно отключите подписывание SMB на контроллерах домена Windows Server 2003. Сведения об отключении подписывания SMB см. в разделе Отключение подписи SMB в конце этого шага.

   • Microsoft Windows 95

     Установите клиент службы каталогов Windows 9 x на компьютерах под управлением Windows 95 или временно отключите подписывание SMB на контроллерах домена Windows Server 2003. Исходный клиент службы каталогов Win9 x доступен на компакт-диске Windows 2000 Server. Однако эта клиентская надстройка была заменена улучшенным клиентом службы каталогов Win9 x . Сведения об отключении подписывания SMB см. в разделе Отключение подписи SMB в конце этого шага.

   • Сетевой клиент Майкрософт для клиентов MS-DOS и Microsoft LAN Manager

     Сетевой клиент Microsoft для MS-DOS и сетевой клиент Microsoft LAN Manager 2.x можно использовать для предоставления доступа к сетевым ресурсам или их можно объединить с загрузочным гибким диском для копирования файлов операционной системы и других файлов из общего каталога на файловом сервере в рамках процедуры установки программного обеспечения. Эти клиенты не поддерживают подписывание SMB. Используйте альтернативный метод установки или отключите подписывание SMB. Сведения об отключении подписывания SMB см. в разделе Отключение подписи SMB в конце этого шага.

   • Клиенты Macintosh

     Некоторые клиенты Macintosh не совместимы с подписыванием SMB и получают следующее сообщение об ошибке при попытке подключиться к сетевому ресурсу:

     — Ошибка -36 ввода-вывода

     Установите обновленное программное обеспечение, если оно доступно. В противном случае отключите вход SMB на контроллерах домена Windows Server 2003. Сведения об отключении подписывания SMB см. в разделе Отключение подписи SMB в конце этого шага.

   • Другие сторонние клиенты SMB

     Некоторые сторонние клиенты SMB не поддерживают подписывание SMB. Обратитесь к поставщику SMB, чтобы узнать, существует ли обновленная версия. В противном случае отключите вход SMB на контроллерах домена Windows Server 2003.

   Отключение подписывания SMB

   Если обновления программного обеспечения не удается установить на затронутых контроллерах домена, работающих под управлением Windows 95, Windows NT 4.0 или других клиентов, установленных до введения Windows Server 2003, временно отключите требования к подписи службы SMB в групповая политика, пока вы не сможете развернуть обновленное клиентское программное обеспечение.

   Вы можете отключить вход службы SMB в следующем узле политики контроллеров домена по умолчанию в подразделении контроллеров домена: Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности\Параметры безопасности\Microsoft Network Server:

   Цифровая подпись сообщений (всегда)

   Если контроллеры домена не находятся в подразделении контроллера домена, необходимо связать объект групповая политика контроллера домена по умолчанию со всеми подразделениями, в которых размещены контроллеры домена Windows 2000 или Windows Server 2003. Кроме того, вы можете настроить вход службы SMB в объекте групповой политики, связанном с этими подразделениями.

2. Выполните инвентаризацию контроллеров домена, которые находятся в домене и лесу:

   1. Убедитесь, что на всех контроллерах домена Windows 2000 в лесу установлены все соответствующие исправления и пакеты обновления.

      Корпорация Майкрософт рекомендует, чтобы все контроллеры домена Windows 2000 запускали операционные системы Windows 2000 с пакетом обновления 4 (SP4) или более поздней версии. Если не удается полностью развернуть Windows 2000 с пакетом обновления 4 (SP4) или более поздней версии, все контроллеры домена Windows 2000 должны иметь файл Ntdsa.dll с меткой дат и версией позже 4 июня 2001 г. и 5.0.2195.3673.

      По умолчанию средства администрирования Active Directory на клиентских компьютерах Windows 2000 с пакетом обновления 4 (SP4), Windows XP и Windows Server 2003 используют протокол LDAP. Если такие компьютеры используют проверку подлинности NTLM (или возвращаются к ней) при удаленном администрировании контроллеров домена Windows 2000, подключение не будет работать. Чтобы устранить эту проблему, удаленно администрируемые контроллеры домена должны иметь как минимум Windows 2000 с пакетом обновления 3 (SP3). В противном случае следует отключить подписывание LDAP на клиентах, на которые запущены средства администрирования.

      В следующих сценариях используется проверка подлинности NTLM:

      • Вы администрируете контроллеры домена Windows 2000, расположенные во внешнем лесу, подключенном доверием NTLM (без Kerberos).
      • Оснастки консоли управления (MMC) фокусируются на определенном контроллере домена, на который ссылается ЕГО IP-адрес. Например, нажмите кнопку Пуск, нажмите кнопку Выполнить, а затем введите следующую команду: dsa.msc /server=ipaddress

      Чтобы определить уровень версий операционной системы и пакетов обновления контроллеров домена Active Directory в домене Active Directory, установите версию Repadmin.exe Windows Server 2003 на компьютере-члене Windows XP Professional или Windows Server 2003 в лесу, а затем выполните следующую repadmin команду для контроллера домена в каждом домене в лесу:

      >repadmin /showattr <name of the domain controller that is in the target domain> ncobj:domain: /filter:"(&(objectCategory=computer)(primaryGroupID=516))" /subtree /atts:operatingSystem,operatingSystemVersion,operatingSystemServicePack
      
      DN: CN=NA-DC-01,organizational unit=Domain Controllers,DC=company,DC=com
       1> operatingSystem: Windows Server 2003
       1> operatingSystemVersion: 5.2 (3718)
      DN: CN=NA-DC-02,organizational unit=Domain Controllers,DC=company,DC=com
       1> operatingSystem: Windows 2000 Server
       1> operatingSystemVersion: 5.0 (2195)
       1> operatingSystemServicePack: Service Pack 1
      

      Примечание.

      Атрибуты контроллера домена не отслеживают установку отдельных исправлений.

   2. Проверьте сквозную репликацию Active Directory в лесу.

      Убедитесь, что каждый контроллер домена в обновленном лесу реплицирует все локально удерживаемые контексты именования со своими партнерами в соответствии с расписанием, определяемым ссылками на сайт или объектами подключения. Используйте версию Windows Server 2003 Repadmin.exe на компьютере-члене под управлением Windows XP- или Windows Server 2003 в лесу со следующими аргументами: Все контроллеры домена в лесу должны реплицировать Active Directory без ошибок, а значения в столбце "Крупнейший разностный" выходных данных repadmin не должны быть значительно больше частоты репликации для соответствующих ссылок сайта или объектов подключения, используемых заданным целевым доменом. Контроллер.

      Устраните все ошибки репликации между контроллерами домена, которые не смогли выполнить реплицирование входящего трафика за меньшее число дней (по умолчанию — 60 дней). Если репликация не может быть выполнена для работы, может потребоваться принудительно понизить уровень контроллеров домена и удалить их из леса с помощью команды Очистка метаданных Ntdsutil, а затем повысить их обратно в лес. Вы можете использовать принудительное понижение, чтобы сохранить установку операционной системы и программы, которые находятся на потерянном контроллере домена. Дополнительные сведения о том, как удалить потерянные контроллеры домена Windows 2000 из своего домена, щелкните следующий номер статьи, чтобы просмотреть статью в базе знаний Майкрософт:

      216498 Удаление данных в Active Directory после неудачного понижения уровня контроллера домена

      Выполните это действие только в крайнем случае, чтобы восстановить установку операционной системы и установленных программ. Вы потеряете нереплицированные объекты и атрибуты на потерянных контроллерах домена, включая пользователей, компьютеры, отношения доверия, их пароли, группы и членство в группах.

      Будьте осторожны при попытке устранить ошибки репликации на контроллерах домена, которые не реплицировали входящие изменения для определенной секции Active Directory в течение более чем число дней tombstonelifetime . В этом случае можно повторно анимировать объекты, удаленные на одном контроллере домена, но для которых партнеры по прямой или транзитивной репликации не получали удаление за предыдущие 60 дней.

      Рассмотрите возможность удаления всех затяжных объектов, которые находятся на контроллерах домена, которые не выполняли входящую репликацию в течение последних 60 дней. Кроме того, с помощью Ntdsutil и других служебных программ можно принудительно понизить число контроллеров домена, которые не выполняли входящую репликацию в данном разделе, и удалить оставшиеся метаданные из леса Active Directory. Обратитесь за дополнительной помощью к поставщику службы поддержки или Microsoft PSS.

   3. Убедитесь, что содержимое общей папки Sysvol согласовано.

      Убедитесь, что часть групповой политики файловой системы согласована. Вы можете использовать Gpotool.exe из набора ресурсов, чтобы определить наличие несоответствий в политиках в домене. Используйте проверку работоспособности из средств поддержки Windows Server 2003, чтобы определить, правильно ли работает общий ресурс Sysvol реплика в каждом домене.

      Если содержимое общей папки Sysvol является несогласованным, устраните все несоответствия.

   4. Используйте Dcdiag.exe из средств поддержки, чтобы убедиться, что все контроллеры домена имеют общие общие папки Netlogon и Sysvol. Для этого введите следующую команду в командной строке:

      DCDIAG.EXE /e /test:frssysvol
      

   5. Инвентаризация ролей операций.

      Мастера операций с схемой и инфраструктурой используются для внесения изменений в схему леса и области в лес и его домены, внесенные служебной программой adprep Для Windows Server 2003. Убедитесь, что контроллер домена, на котором размещены роль схемы и роль инфраструктуры для каждого домена в лесу, находятся на динамических контроллерах домена и что каждый владелец роли выполнил входящую репликацию по всем секциям с момента последнего перезапуска.

      Команду DCDIAG /test:FSMOCHECK можно использовать для просмотра операционных ролей на уровне леса и домена. Операции master роли, которые находятся на несуществующих контроллерах домена, должны быть захвачены в работоспособном контроллере домена с помощью NTDSUTIL. Роли, размещенные на неработоспособных контроллерах домена, должны быть перенесены по возможности. В противном случае они должны быть изъяты. Команда NETDOM QUERY FSMO не определяет роли FSMO, которые находятся на удаленных контроллерах домена.

      Убедитесь, что служба выполнила входящую репликацию Active Directory с момента последней загрузки. Входящую репликацию можно проверить с помощью REPADMIN /SHOWREPS DCNAME команды , где DCNAME — это имя компьютера NetBIOS или полное имя компьютера контроллера домена. Дополнительные сведения о мастерах операций и их размещении см. в следующих номерах статей базы знаний Майкрософт:

      197132 роли FSMO в Windows 2000 Active Directory

      223346 размещение и оптимизация FSMO на контроллерах домена Active Directory

   6. Проверка журнала событий

      Проверьте журналы событий на всех контроллерах домена на наличие проблемных событий. Журналы событий не должны содержать сообщения о серьезных событиях, указывающие на проблему с любым из следующих процессов и компонентов:

      физическое подключение
      сетевое подключение
      регистрация имени
      разрешение имен
      authentication
      Групповая политика
      Политика безопасности
      подсистема диска
      Схемы
      Топологии
      Обработчик репликации

   7. Инвентаризация дискового пространства

      Том, на котором размещается файл базы данных Active Directory, Ntds.dit, должен иметь свободное пространство, равное не менее 15–20 % от размера файла Ntds.dit. Том, на котором размещается файл журнала Active Directory, также должен иметь свободное место, равное не менее 15–20 % от размера файла Ntds.dit. Дополнительные сведения о том, как освободить дополнительное место на диске, см. в разделе "Контроллеры домена без достаточного места на диске" этой статьи.

   8. Очистка DNS (необязательно)

      Включите очистку DNS с интервалом в 7 дней для всех DNS-серверов в лесу. Для достижения наилучших результатов выполните эту операцию за 61 или более дней до обновления операционной системы. Это обеспечивает управляющую программу очистки DNS достаточно времени для сборки мусора устаревших объектов DNS при выполнении автономной дефрагментации в файле Ntds.dit.

   9. Отключение службы сервера DLT (необязательно)

      Служба DLT Server отключена в новых и обновленных установках контроллеров домена Windows Server 2003. Если отслеживание распределенных ссылок не используется, можно отключить службу DLT Server на контроллерах домена Windows 2000 и начать удаление объектов DLT из каждого домена в лесу. Дополнительные сведения см. в разделе "Рекомендации Майкрософт по отслеживанию распределенных ссылок" следующей статьи базы знаний Майкрософт: 312403 отслеживание распределенных ссылок на контроллерах домена под управлением Windows

   10. Резервное копирование состояния системы

       Создайте резервную копию состояния системы по крайней мере двух контроллеров домена в каждом домене в лесу. Вы можете использовать резервную копию для восстановления всех доменов в лесу, если обновление не работает.

Microsoft Exchange 2000 в лесах Windows 2000

Схема Exchange 2000 определяет три атрибута inetOrgPerson с ldapDisplayNames, не соответствующими запросу на комментарий (RFC): houseIdentifier, secretary и labeledURI.

Набор windows 2000 inetOrgPerson и команда Windows Server 2003 adprep определяют версии RFC-жалобы с теми же тремя атрибутами с одинаковыми ldapDisplayNames, что и версии, не совместимые с RFC.

При выполнении команды Windows Server 2003 adprep /forestprep без корректирующих скриптов в лесу, который содержит изменения схемы Windows 2000 и Exchange 2000, ldapDisplayNames для атрибутов houseIdentifier, labeledURI и secretary становятся измененными. Атрибут становится "усложняется", если в начало имени конфликтующего атрибута добавляются "Dup" или другие уникальные символы, чтобы объекты и атрибуты в каталоге имели уникальные имена.

Леса Active Directory не уязвимы для изуродованного ldapDisplayNames для этих атрибутов в следующих случаях:

• При выполнении команды Windows Server 2003 adprep /forestprep в лесу, который содержит схему Windows 2000, перед добавлением схемы Exchange 2000.
• При установке схемы Exchange 2000 в лесу, который был создан, где контроллер домена Windows Server 2003 был первым контроллером домена в лесу.
• Если добавить windows 2000 inetOrgPerson Kit в лес, содержащий схему Windows 2000, а затем установить изменения схемы Exchange 2000, а затем выполнить команду Windows Server 2003 adprep /forestprep .
• Если вы добавите схему Exchange 2000 в существующий лес Windows 2000, перед выполнением команды Windows Server 2003 запустите Exchange 2003 adprep /forestprep /forestprep.

В Windows 2000 маниакированные атрибуты будут встречаться в следующих случаях:

• Если добавить версии Exchange 2000 для labeledURI, houseIdentifier и секретаря в лес Windows 2000 перед установкой комплекта inetOrgPerson Kit для Windows 2000.
• Вы добавляете версии Exchange 2000 с атрибутами labeledURI, houseIdentifier и секретаря в лес Windows 2000 перед выполнением команды Windows Server 2003 adprep /forestprep без предварительного запуска скриптов очистки. Планы действий для каждого сценария:

Сценарий 1. Изменения схемы Exchange 2000 добавляются после выполнения команды Windows Server 2003 adprep /forestprep

Если изменения схемы Exchange 2000 будут внесены в лес Windows 2000 после выполнения команды Windows Server 2003 adprep /forestprep , очистка не требуется. Перейдите к разделу "Обзор: обновление контроллеров домена Windows 2000 до Windows Server 2003".

Сценарий 2. Изменения схемы Exchange 2000 будут установлены перед командой Windows Server 2003 adprep /forestprep

Если изменения схемы Exchange 2000 уже установлены, но вы не выполнили команду Windows Server 2003 adprep /forestprep , рассмотрите следующий план действий:

1. Войдите в консоль операций схемы master с помощью учетной записи, которая является членом группы безопасности "Администраторы схемы".

2. Нажмите кнопку Пуск, нажмите кнопку Выполнить, введите notepad.exe в поле Открыть и нажмите кнопку ОК.

3. Скопируйте следующий текст, включая конечный дефис после schemaUpdateNow: 1, в Блокнот.

   dn: CN=ms-Exch-Assistant-Name,CN=Schema,CN=Configuration,DC=X
   changetype: Modify
   replace:LDAPDisplayName
   LDAPDisplayName: msExchAssistantName
   -

   dn: CN=ms-Exch-LabeledURI,CN=Schema,CN=Configuration,DC=X
   changetype: Modify
   replace: LDAPDisplayName
   LDAPDisplayName: msExchLabeledURI
   -

   dn: CN=ms-Exch-House-Identifier,CN=Schema,CN=Configuration,DC=X
   changetype: Modify
   replace: LDAPDisplayName
   LDAPDisplayName: msExchHouseIdentifier
   -

   Dn:
   changetype: Modify
   add: schemaUpdateNow
   schemaUpdateNow: 1
   -

4. Убедитесь, что в конце каждой строки нет пробела.

5. В меню Файл выберите пункт Сохранить. В диалоговом окне Сохранить как выполните указанные ниже действия.

   1. В поле Имя файла введите следующее: \%userprofile%\InetOrgPersonPrevent.ldf
   2. В поле Тип файла щелкните Все файлы.
   3. В поле Кодировка щелкните Юникод.
   4. Нажмите кнопку Сохранить.
   5. Закройте Блокнот.

6. Запустите скрипт InetOrgPersonPrevent.ldf.

   1. Нажмите кнопку Пуск, нажмите кнопку Выполнить, введите cmd в поле Открыть и нажмите кнопку ОК.

   2. В командной строке введите следующее и нажмите клавишу ВВОД: cd %userprofile%

   3. Введите следующую команду:

   c:\documents and settings\%username%>ldifde -i -f inetorgpersonprevent.ldf -v -c DC=X "domain name path for forest root domain"
   

   Синтаксические примечания:

   • DC=X является константой с учетом регистра.
   • Путь к домену для корневого домена должен быть заключен в кавычки.

   Например, синтаксис команды для леса Active Directory, корневой домен которого леса:TAILSPINTOYS.COM

   c:\documents and settings\administrator>ldifde -i -f inetorgpersonprevent.ldf -v -c DC=X "dc=tailspintoys,dc=com"

   Примечание.

   Возможно, потребуется изменить подраздел реестра Разрешено обновление схемы , если появляется следующее сообщение об ошибке: Обновление схемы не разрешено в этом контроллере домена, так как раздел реестра не задан или контроллер домена не является владельцем роли FSMO схемы.

7. Перед выполнением команд Windows Server 2003 adprep /forestprep убедитесь, что значения LDAPDisplayName для атрибутов CN=ms-Exch-Assistant-Name, CN=ms-Exch-LabeledURI и CN=ms-Exch-House-Identifier в контексте именования схемы теперь отображаются как msExchAssistantName, msExchLabeledURI и msExchHouseIdentifier.

8. Чтобы выполнить adprep /forestprep команды и/domainprep, перейдите в раздел "Обзор: обновление контроллеров домена Windows 2000 до Windows Server 2003".

Сценарий 3. Команда forestprep Windows Server 2003 была запущена без предварительного выполнения inetOrgPersonFix

Если выполнить команду Windows Server 2003 adprep /forestprep в лесу Windows 2000, который содержит изменения схемы Exchange 2000, атрибуты LDAPDisplayName для houseIdentifier, secretary и labeledURI будут изменены. Чтобы определить извеченные имена, используйте Ldp.exe для поиска затронутых атрибутов:

1. Установите Ldp.exe из папки Support\Tools носителя Microsoft Windows 2000 или Windows Server 2003.

2. Запустите Ldp.exe с контроллера домена или компьютера-члена в лесу.

   1. В меню Подключение щелкните Подключиться, оставьте поле Сервер пустым, введите 389 в поле Порт и нажмите кнопку ОК.
   2. В меню Подключение выберите пункт Привязка, оставьте все поля пустыми и нажмите кнопку ОК.

3. Запишите путь различающегося имени для атрибута SchemaNamingContext. Например, для контроллера домена в лесу CORP.ADATUM.COM различающееся имя может быть CN=Schema,CN=Configuration,DC=corp,DC=company,DC=com.

4. В меню Обзор выберите пункт Поиск.

5. Используйте следующие параметры для настройки диалогового окна Поиск :

   • Базовое имя: различающееся имя для контекста именования схемы, определенного на шаге 3.
   • Фильтр: (ldapdisplayname=dup*)
   • Область: поддеревье

6. Атрибуты Mangled houseIdentifier, secretary и labeledURI имеют атрибуты LDAPDisplayName, аналогичные следующему формату:

   LDAPDisplayName: DUP-labeledURI-9591bbd3-d2a6-4669-afda-48af7c35507d;
   LDAPDisplayName: DUP-secretary-c5a1240d-70c0-455c-9906-a4070602f85f
   LDAPDisplayName: DUP-houseIdentifier-354b0ca8-9b6c-4722-aae7-e66906cc9eef

7. Если ldapDisplayNames для labeledURI, secretary и houseIdentifier были упорядочены на шаге 6, запустите скрипт InetOrgPersonFix.ldf Windows Server 2003 для восстановления, а затем перейдите к разделу "Обновление контроллеров домена Windows 2000 с помощью Winnt32.exe".

   1. Создайте папку с именем %Systemdrive%\IOP, а затем извлеките в нее файл InetOrgPersonFix.ldf.

   2. В командной строке введите cd %systemdrive%\iop.

   3. Извлеките файл InetOrgPersonFix.ldf из файла Support.cab, расположенного в папке Support\Tools установочного носителя Windows Server 2003.

   4. В консоли master операций схемы загрузите файл InetOrgPersonFix.ldf с помощью Ldifde.exe, чтобы исправить атрибут LdapDisplayName атрибутов houseIdentifier, secretary и labeledURI. Для этого введите следующую команду, где <X> — константой с учетом регистра, а <путь dn для корневого домена> леса — это путь к доменному имени корневого домена леса:

      C:\IOP>ldifde -i -f inetorgpersonfix.ldf -v -c DC=X "domain name path for forest root domain"
      

      Синтаксические примечания:

      • DC=X является константой с учетом регистра.
      • Путь к доменному имени корневого домена леса должен быть заключен в кавычки.

8. Прежде чем устанавливать Exchange 2000, убедитесь, что атрибуты houseIdentifier, secretary и labeledURI в контексте именования схемы не являются "свораченными".

Обзор. Обновление контроллеров домена Windows 2000 до Windows Server 2003

Команда Windows Server 2003 adprep , выполняемая из папки \I386 носителя Windows Server 2003, подготавливает лес Windows 2000 и его домены для добавления контроллеров домена Windows Server 2003. Команда Windows Server 2003 adprep /forestprep добавляет следующие функции:

• Улучшенные дескрипторы безопасности по умолчанию для классов объектов

• Новые атрибуты пользователя и группы

• Новые объекты схемы и атрибуты, такие как inetOrgPerson Служебная программа adprep поддерживает два аргумента командной строки:

  • adprep /forestprep: выполняет операции обновления леса.
  • dprep /domainprep: выполняет операции обновления домена.

Команда adprep /forestprep — это одноразовая операция, выполняемая в операции схемы master (FSMO) леса. Операция forestprep должна завершиться и реплицироваться в инфраструктуру master каждого домена, прежде чем вы сможете запустить adprep /domainprep в этом домене.

Команда adprep /domainprep — это одноразовая операция, выполняемая в операциях инфраструктуры master контроллера домена каждого домена в лесу, в котором будут размещаться новые или обновленные контроллеры домена Windows Server 2003. Команда adprep /domainprep проверяет, реплицированы ли изменения из forestprep в разделе домена, а затем вносит собственные изменения в раздел домена и групповые политики в общей папке Sysvol.

Вы не можете выполнить одно из следующих действий, если только операции /forestprep и /domainprep не были завершены и не реплицированы на все контроллеры домена в этом домене:

• Обновите контроллеры домена Windows 2000 до контроллеров домена Windows Server 2003 с помощью Winnt32.exe.

Команды adprep /forestprep и adprep /domainprep не добавляют атрибуты в набор частичных атрибутов глобального каталога и не вызывают полную синхронизацию глобального каталога. Версия adprep /domainprep RTM вызывает полную синхронизацию папки \Policies в дереве Sysvol. Даже если вы запускаете forestprep и domainprep несколько раз, завершенные операции выполняются только один раз.

После изменения и adprep /forestprepadprep /domainprep полной репликации можно обновить контроллеры домена Windows 2000 до Windows Server 2003, запустив Winnt32.exe из папки \I386 носителя Windows Server 2003. Кроме того, вы можете добавить в домен новые контроллеры домена Windows Server 2003 с помощью Dcpromo.exe.

Обновление леса с помощью команды adprep /forestprep

Чтобы подготовить лес и домены Windows 2000 к приему контроллеров домена Windows Server 2003, сначала выполните следующие действия в лабораторной среде, а затем в рабочей среде:

1. Убедитесь, что вы выполнили все операции на этапе "Инвентаризация леса", уделяя особое внимание следующим элементам:

   1. Вы создали резервные копии состояния системы.
   2. Все контроллеры домена Windows 2000 в лесу установили все соответствующие исправления и пакеты обновления.
   3. Сквозная репликация Active Directory выполняется по всему лесу
   4. FRS правильно реплицирует политику файловой системы в каждом домене.

2. Войдите в консоль операций схемы master с учетной записью, которая является членом группы безопасности "Администраторы схемы".

3. Убедитесь, что FSMO схемы выполнил входящую репликацию секции схемы, введя в командной строке Windows NT следующую команду:repadmin /showreps

   ( repadmin устанавливается в папке Support\Tools Active Directory.)

4. На ранних этапах документации Майкрософт рекомендуется изолировать операции схемы master в частной сети перед запуском adprep /forestprep. Реальный опыт показывает, что этот шаг не является обязательным и может привести к тому, что операции схемы master отклонить изменения схемы при перезапуске в частной сети.

5. Выполните adprep операции схемы master. Для этого нажмите кнопку Пуск, нажмите кнопку Выполнить, введите cmd и нажмите кнопку ОК. В master операций схемы введите следующую команду:

    X:\I386\adprep /forestprep
   

   где X:\I386\ — это путь к установочному носителю Windows Server 2003. Эта команда выполняет обновление схемы на уровне леса.

   Примечание.

   События с идентификатором события 1153, зарегистрированные в журнале событий службы каталогов, например приведенный ниже пример, можно игнорировать:

6. Убедитесь, что adprep /forestprep команда успешно выполнена в операциях схемы master. Для этого в консоли master операций схемы проверьте следующие элементы: - Команда adprep /forestprep выполнена без ошибок. — Объект CN=Windows2003Update записывается в раздел CN=ForestUpdates,CN=Configuration,DC= forest_root_domain. Запишите значение атрибута Revision. — (Необязательно) Версия схемы, увеличенная до версии 30. Для этого см. атрибут ObjectVersion в разделе CN=Schema,CN=Configuration,DC= forest_root_domain. Если adprep /forestprep не выполняется, проверьте следующие элементы:

   • При запуске был указан adprep полный путь для Adprep.exe, расположенных в папке \I386 установочного носителя. Для этого введите следующую команду:

     x:\i386\adprep /forestprep
     

     где x — диск, на котором размещается установочный носитель.

   • Вошедший в систему пользователь, который запускает adprep, имеет членство в группе безопасности "Администраторы схемы". Чтобы проверить это, используйте whoami /all команду .

   • Если adprep по-прежнему не работает, просмотрите файл Adprep.log в папке %systemroot%\System32\Debug\Adprep\Logs\Latest_log .

7. Если вы отключили исходящую репликацию для операций схемы master на шаге 4, включите репликацию, чтобы можно было adprep /forestprep распространить внесенные изменения схемы. Для этого выполните следующие действия.

   1. Нажмите кнопку Пуск, нажмите кнопку Выполнить, введите cmd и нажмите кнопку ОК.
   2. Введите следующее и нажмите клавишу ВВОД: repadmin /options -DISABLE_OUTBOUND_REPL

8. Убедитесь, что adprep /forestprep изменения реплицированы на всех контроллерах домена в лесу. Полезно отслеживать следующие атрибуты:

   1. Увеличение версии схемы
   2. CN=Windows2003Update, CN=ForestUpdates,CN=Configuration,DC= forest_root_domain или CN=Operations,CN=DomainUpdates,CN=System,DC= forest_root_domain и guid-идентификаторы операций в нем реплицированы.
   3. Найдите новые классы схемы, объекты, атрибуты или другие добавляемые adprep /forestprep изменения, например inetOrgPerson. Просмотрите файлы Sch XX.ldf (где XX — это число от 14 до 30) в папке %systemroot%\System32, чтобы определить, какие объекты и атрибуты должны быть. Например, inetOrgPerson определен в Sch18.ldf.

9. Найдите упреженные значения LDAPDisplayNames. Если вы найдете изуродованные имена, перейдите к сценарию 3 той же статьи.

10. Войдите в консоль операций схемы master с учетной записью, которая является членом группы безопасности "Администраторы схемы" леса, в котором размещаются операции схемы master.

Обновление домена с помощью команды adprep /domainprep

Запустите adprep /domainprep после того, как изменения /forestprep полностью реплицируются в инфраструктуру master контроллера домена в каждом домене, где будут размещаться контроллеры домена Windows Server 2003. Для этого выполните указанные ниже действия.

1. Определите инфраструктуру master контроллера домена в обновляемом домене, а затем войдите в систему с учетной записью, которая является членом группы безопасности "Администраторы домена" в обновляемом домене.

   Примечание.

   Администратор предприятия не может быть членом группы безопасности "Администраторы домена" в дочерних доменах леса.

2. Запустите adprep /domainprep на master инфраструктуры. Для этого нажмите кнопку Пуск, нажмите кнопку Выполнить, введите cmd, а затем в master инфраструктуры введите следующую команду: X:\I386\adprep /domainprep где X:\I386\ — это путь к установочному носителю Windows Server 2003. Эта команда выполняет изменения на уровне домена в целевом домене.

   Примечание.

   Команда adprep /domainprep изменяет разрешения файлов в общей папке Sysvol. Эти изменения приводят к полной синхронизации файлов в этом дереве каталогов.

3. Убедитесь, что domainprep успешно завершен. Для этого проверьте следующие элементы:

   • Команда adprep /domainprep выполнена без ошибок.
   • CN=Windows2003Update,CN=DomainUpdates,CN=System,DC= dn путь обновляемого домена существуетЕсли adprep /domainprep не выполняется, проверьте следующие элементы:
   • Пользователь, выполнивший вход, имеет adprep членство в группе безопасности "Администраторы домена" в обновляемом домене. Для этого используйте whoami /all команду .
   • Полный путь для Adprep.exe, расположенных в каталоге \I386 установочного носителя, был указан при запуске adprep. Для этого в командной строке введите следующую команду: x :\i386\adprep /forestprep где x — это диск, на котором размещается установочный носитель.
   • Если adprep по-прежнему не работает, просмотрите файл Adprep.log в папке %systemroot%\System32\Debug\Adprep\Logs\ Latest_log .

4. Убедитесь, что adprep /domainprep изменения реплицированы. Для этого для остальных контроллеров домена в домене проверьте наличие следующих элементов: - Cn=Windows2003Update,CN=DomainUpdates,CN=System,DC= dn пути обновляемого объекта домена существует, а значение атрибута Revision соответствует значению того же атрибута в инфраструктуре master домена. — (Необязательно) Найдите добавленные объекты, атрибуты или список adprep /domainprep управления доступом (ACL). Повторите шаги 1–4 в инфраструктуре master остальных доменов в пакетном режиме или при добавлении или обновлении контроллеров домена в этих доменах до Windows Server 2003. Теперь вы можете повысить уровень новых компьютеров Windows Server 2003 в лес с помощью DCPROMO. Кроме того, можно обновить существующие контроллеры домена Windows 2000 до Windows Server 2003 с помощью WINNT32.EXE.

Обновление контроллеров домена Windows 2000 с помощью Winnt32.exe

После полной репликации изменений с /forestprep и /domainprep и принятия решения о взаимодействии безопасности с клиентами более ранних версий можно обновить контроллеры домена Windows 2000 до Windows Server 2003 и добавить в домен новые контроллеры домена Windows Server 2003.

Следующие компьютеры должны быть одними из первых контроллеров домена под управлением Windows Server 2003 в лесу в каждом домене:

• Именование доменов master в лесу, чтобы можно было создавать секции программ DNS по умолчанию.
• Основной контроллер домена корневого домена леса, чтобы субъекты безопасности на уровне предприятия, добавляемые в forestprep Windows Server 2003, были видны в редакторе ACL.
• Основной контроллер домена в каждом некорневом домене, чтобы можно было создавать субъекты безопасности Windows 2003 для конкретного домена. Для этого используйте WINNT32 для обновления существующих контроллеров домена, на которых размещена нужная операционная роль. Или перенесите роль в только что повышенный контроллер домена Windows Server 2003. Выполните следующие действия для каждого контроллера домена Windows 2000, обновляемого до Windows Server 2003 с WINNT32, и для каждой рабочей группы или компьютера-члена Windows Server 2003, которые вы повышаете.

1. Прежде чем использовать WINNT32 для обновления компьютеров-членов Windows 2000 и контроллеров домена, удалите средства администрирования Windows 2000. Для этого используйте средство "Установка и удаление программ" в панель управления. (Только обновления windows 2000.)

2. Установите все файлы исправлений или другие исправления, которые, по определению майкрософт или администратора, важны.

3. Проверьте каждый контроллер домена на наличие возможных проблем с обновлением. Для этого выполните следующую команду из папки \I386 установочного носителя: winnt32.exe /checkupgradeonly устраните все проблемы, обнаруженные проверка совместимости.

4. Запустите WINNT32.EXE из папки \I386 установочного носителя и перезапустите обновленный контроллер домена 2003.

5. По мере необходимости опустите параметры безопасности для клиентов более ранней версии.

   Если у клиентов Windows NT 4.0 нет nt 4.0 с пакетом обновления 6 (SP6) или windows 95 не установлен клиент службы каталогов, отключите подписывание службы SMB в политике контроллеров домена по умолчанию в подразделении Контроллеры домена, а затем свяжите эту политику со всеми подразделениями, в которых размещены контроллеры домена. Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности\Microsoft Network Server: цифровая подпись сообщений (всегда)

6. Проверьте работоспособность обновления, используя следующие точки данных:

   • Обновление успешно завершено.
   • Исправления, добавленные в установку, успешно заменили исходные двоичные файлы.
   • Входящая и исходящая репликация Active Directory выполняется для всех контекстов именования, хранящиеся контроллером домена.
   • Существуют общие папки Netlogon и Sysvol.
   • Журнал событий указывает, что контроллер домена и его службы работоспособны.

   Примечание.

   После обновления может появиться следующее сообщение о событии: Это сообщение можно игнорировать.

7. Установите средства администрирования Windows Server 2003 (только для обновлений Windows 2000 и Windows Server 2003, не являющихся контроллерами домена). Adminpak.msi находится в папке \I386 компакт-диска Windows Server 2003. Носитель Windows Server 2003 содержит обновленные средства поддержки в файле Support\Tools\Suptools.msi. Убедитесь, что вы переустановите этот файл.

8. Создайте новые резервные копии по крайней мере первых двух контроллеров домена Windows 2000, обновленных до Windows Server 2003, в каждом домене в лесу. Найдите резервные копии компьютеров с Windows 2000, обновленных до Windows Server 2003, в заблокированном хранилище, чтобы случайно не использовать их для восстановления контроллера домена под управлением Windows Server 2003.

9. (Необязательно) Выполните автономную дефрагментацию базы данных Active Directory на контроллерах домена, обновленных до Windows Server 2003 после завершения хранилища отдельных экземпляров (SIS) (только обновления Windows 2000).

   SIS проверяет существующие разрешения на объекты, хранящиеся в Active Directory, а затем применяет к этим объектам более эффективный дескриптор безопасности. SIS запускается автоматически (определяется событием 1953 в журнале событий службы каталогов), когда обновленные контроллеры домена впервые запускают операционную систему Windows Server 2003. Улучшенное хранилище дескрипторов безопасности используется только при регистрации сообщения о событии с идентификатором 1966 в журнале событий службы каталогов. Это сообщение о событии указывает, что операция хранилища одного экземпляра завершена, и служит очередью администратора для выполнения автономной дефрагментации ntds.dit с помощью NTDSUTIL.EXE.

   Автономная дефрагментация может уменьшить размер файла Ntds.dit Windows 2000 до 40 %, повысить производительность Active Directory и обновить страницы в базе данных для более эффективного хранения атрибутов Link Valued. Дополнительные сведения о дефрагментации базы данных Active Directory см. в следующем номере статьи в базе знаний Майкрософт:

   232122 выполнение автономной дефрагментации базы данных Active Directory

10. Изучите службу DLT-сервера. Контроллеры домена Windows Server 2003 отключают службу DLT Server при новых установках и обновлениях. Если клиенты Windows 2000 или Windows XP в вашей организации используют службу DLT Server, используйте групповая политика, чтобы включить службу DLT Server на новых или обновленных контроллерах домена Windows Server 2003. В противном случае добавочно удаляйте объекты отслеживания распределенных ссылок из Active Directory. Для получения дополнительных сведений щелкните следующий номер статьи, чтобы просмотреть статью в базе знаний Майкрософт:

    312403 отслеживание распределенных ссылок на контроллерах домена под управлением Windows

    При массовом удалении тысяч объектов DLT или других объектов репликация может быть заблокирована из-за отсутствия хранилища версий. Подождите количество дней tombstonelifetime (по умолчанию 60 дней) после удаления последнего объекта DLT и завершения сборки мусора, а затем используйте NTDSUTIL.EXE для выполнения автономной дефрагментации файла Ntds.dit.

11. Настройте структуру подразделения с рекомендациями. Корпорация Майкрософт рекомендует администраторам активно развертывать рекомендуемую структуру подразделений во всех доменах Active Directory, а после обновления или развертывания контроллеров домена Windows Server 2003 в режиме домена Windows перенаправлять контейнеры по умолчанию, которые API более ранних версий используют для создания пользователей, компьютеров и групп, в контейнер подразделения, который указывает администратор.

    Дополнительные сведения о рекомендуемой структуре подразделений см. в разделе "Создание структуры подразделений" технического документа "Рекомендации по проектированию Active Directory для управления сетями Windows". Чтобы просмотреть технический документ, посетите следующий веб-сайт Майкрософт: https://technet.microsoft.com/library/bb727085.aspx Дополнительные сведения об изменении контейнера по умолчанию, где находятся пользователи, компьютеры и группы, создаваемые API более ранней версии, щелкните следующий номер статьи, чтобы просмотреть статью в базе знаний Майкрософт:

    324949 перенаправление контейнеров пользователей и компьютеров в доменах Windows Server 2003

12. Повторите шаги 1–10 при необходимости для каждого нового или обновленного контроллера домена Windows Server 2003 в лесу и шага 11 (структура подразделения с рекомендациями) для каждого домена Active Directory.

    В разделе Сводка:

    • Обновление контроллеров домена Windows 2000 с помощью WINNT32 (с установочного носителя, если он используется)
    • Убедитесь, что на обновленных компьютерах установлены файлы исправлений.
    • Установка всех необходимых исправлений, не содержащихся на установочном носителе
    • Проверка работоспособности на новых или обновленных серверах (AD, FRS, Политика и т. д.)
    • Подождите 24 часа после обновления ОС, а затем автономная дефрагментация (необязательно)
    • При необходимости запустите службу DLT. В противном случае удалите объекты DLT с помощью q312403 / q315229 после использования домена на уровне леса.
    • Выполнение автономной дефрагментации через 60 дней (время существования надгробия и количество дней сборки мусора) после удаления объектов DLT

Обновления в лабораторной среде с сухим запуском

Перед обновлением контроллеров домена Windows до рабочего домена Windows 2000 проверьте и уточните процесс обновления в лаборатории. Если обновление лабораторной среды, которая точно отражает рабочий лес, выполняется без сбоев, можно ожидать аналогичных результатов в рабочей среде. Для сложных сред лабораторная среда должна зеркало рабочую среду в следующих областях:

• Оборудование: тип компьютера, размер памяти, размещение файлов подкачки, размер диска, конфигурация производительности и raid, уровни версий BIOS и встроенного ПО
• Программное обеспечение: версии клиентских и серверных операционных систем, клиентские и серверные приложения, версии пакетов обновления, исправления, изменения схемы, группы безопасности, членство в группах, разрешения, параметры политики, тип и расположение количества объектов, взаимодействие версий
• Сетевая инфраструктура: WINS, DHCP, скорость канала, доступная пропускная способность
• Загрузка. Симуляторы загрузки могут имитировать изменения паролей, создание объектов, репликацию Active Directory, проверку подлинности входа и другие события. Цель не в том, чтобы воспроизвести масштаб рабочей среды. Вместо этого цель — выявить затраты и частоту общих операций и интерполировать их влияние (запросы имен, трафик репликации, пропускную способность сети и потребление процессора) на рабочую среду с учетом текущих и будущих требований.
• Администрирование: выполняемые задачи, используемые инструменты, используемые операционные системы
• Операция: емкость, взаимодействие
• Место на диске. Обратите внимание на начальный, пиковой и конечный размер файлов журнала операционной системы, Ntds.dit и Active Directory в контроллерах домена глобального каталога и не глобального каталога в каждом домене после каждой из следующих операций:
  1. adprep /forestprep
  2. adprep /domainprep
  3. Обновление контроллеров домена Windows 2000 до Windows Server 2003
  4. Выполнение автономной дефрагментации после обновления версии

Понимание процесса обновления и сложности среды в сочетании с подробным наблюдением определяет темпы и степень ухода, которые вы применяете к обновлению рабочих сред. Среды с небольшим количеством контроллеров домена и объектов Active Directory, подключенных через каналы глобальной сети с высоким уровнем доступности, могут обновиться всего за несколько часов. Возможно, вам придется больше заботиться о корпоративных развертываниях с сотнями контроллеров домена или сотнями тысяч объектов Active Directory. В таких случаях может потребоваться выполнить обновление в течение нескольких недель или месяцев.

Используйте обновления с сухим запуском в лаборатории для выполнения следующих задач:

• Изучите внутреннюю работу процесса обновления и связанные с ним риски.
• Предоставление потенциальных проблемных областей для процесса развертывания в вашей среде.
• Протестируйте и разработайте резервные планы на случай, если обновление не удастся выполнить.
• Определите соответствующий уровень детализации, применяемый к процессу обновления для рабочего домена.

Контроллеры домена без достаточного места на диске

На контроллерах домена с недостаточным местом на диске выполните следующие действия, чтобы освободить дополнительное место на томе, на котором размещены файлы Ntds.dit и log:

1. Удалите неиспользуемые файлы, включая файлы *.tmp или кэшированные файлы, используемые браузерами. Для этого введите следующие команды (после каждой команды нажмите клавишу ВВОД):

   cd /d drive\  
   del *.tmp /s  
   

2. Удалите все файлы дампа пользователей или памяти. Для этого введите следующие команды (после каждой команды нажмите клавишу ВВОД):

   cd /d drive\  
   del *.dmp /s  
   

3. Временно удалите или переместите файлы, к которым можно получить доступ с других серверов, или легко переустановите. Файлы, которые можно удалить и легко заменить, включают ADMINPAK, средства поддержки и все файлы в папке %systemroot%\System32\Dllcache.

4. Удалите старые или неиспользуемые профили пользователей. Для этого нажмите кнопку Пуск, щелкните правой кнопкой мыши мой компьютер, выберите пункт Свойства, перейдите на вкладку Профили пользователей , а затем удалите все профили для старых и неиспользуемых учетных записей. Не удаляйте профили, которые могут быть для учетных записей служб.

5. Удалите символы в папке %systemroot%\Symbols. Для этого введите следующую команду: rd /s %systemroot%\symbols В зависимости от того, имеют ли серверы полный или небольшой набор символов, он может получить от 70 МБ до 600 МБ.

6. Выполнение автономной дефрагментации. Автономная дефрагментация файла Ntds.dit может освободить место, но временно требует удвоения места в текущем DIT-файле. Выполните автономную дефрагментацию с помощью других локальных томов, если они доступны. Или используйте место на лучшем подключенном сетевом сервере для выполнения автономной дефрагментации. Если дискового пространства по-прежнему недостаточно, постепенно удаляйте ненужные учетные записи пользователей, учетные записи компьютеров, записи DNS и объекты DLT из Active Directory.