Active Directory 도메인 및 포리스트 기능 수준을 올리는 방법

요약

Windows Server 2016 및 Active Directory 도메인 서비스 AD DS의에서 새로운 기능에 대 한 정보를 Active Directory 도메인 서비스에 대 한 Windows 서버 2016의 새로운 란을 참조 하십시오.

설명 또는 최신 Microsoft Windows Server 2003 기반 도메인 컨트롤러에서 지원 되는 도메인 및 포리스트 기능 수준 올리기. Active Directory의 릴리스 4 이며 Windows NT Server 4.0에서 변경 된 수준만 특별 한 주의가 필요 합니다. 따라서 도메인 컨트롤러의 운영 체제, 도메인 또는 포리스트 기능 수준을 최신 최신 또는 이전 버전을 사용 하 여 다른 수준의 변경 언급 됩니다.

기능 수준은 혼합된 모드와 기본 모드 Active Directory의 새로운 기능을 활성화 하려면 Microsoft Windows 2000 Server에서 소개 된 개념의 확장 된 개념입니다. 추가 기능 Active Directory 도메인 또는 포리스트에 있는 모든 도메인 컨트롤러가 최신 Windows Server 버전을 실행 중인 경우와 관리자는 해당 도메인 이나 포리스트의 기능 수준을 활성화 가지 있습니다.



최신 도메인 기능을 활성화 하려면 모든 도메인 컨트롤러에서 실행 되어야 합니다 최신 Windows Server 운영 체제 버전 도메인에. 이 요구 사항이 충족 되 면 관리자가 도메인 기능 수준을 올릴 수 있습니다.

새로운 포리스트 차원의 기능을 활성화 하려면 포리스트에 있는 모든 도메인 컨트롤러가 실행 되어야 합니다 해당 하는 Windows Server 운영 체제 버전 원하는 포리스트 기능 수준에. 또한 현재 도메인 기능 수준은 이미 최신 수준에 있어야 합니다. 이러한 요구 사항이 충족 되 면 관리자가 포리스트 기능 수준을 올릴 수 있습니다.



일반적으로 도메인 및 포리스트 기능 수준에 대 한 변경 내용이 되돌릴 수 없는.입니다. 변경 내용을 취소할 수 없습니다, 경우 포리스트 복구를 사용 합니다. Windows Server 2008 R2 운영 체제를 사용 하 여 도메인 기능 수준 및 포리스트 기능 수준 변경 내용은 롤백할 수 있습니다. 하지만 롤이 다시 수행할 수 있습니다 특정 시나리오 는 Active Directory 기능 수준에 대 한 Technet 문서에서 설명 하는.

참고: 최신 도메인 기능 수준 및 최신 포리스트 기능 수준 도메인 컨트롤러 그룹으로 함께 작동 하는 방법을만 영향을 줍니다. 포리스트 또는 도메인과 상호 작용 하는 클라이언트에 영향을 받지 않습니다. 또한 응용 프로그램이 변경 되거나 도메인 기능 수준을 포리스트 기능 수준에 영향을 받지 않습니다. 그러나 응용 프로그램이 사용할 수 있습니다 최신 도메인 기능 및 포리스트 기능 최신.

자세한 내용은 TechNet 문서에 연결 된 다양 한 기능 수준 기능에 대 한참조.

기능 수준 올리기

주의 도메인에 있거나 해당 수준에 인용 되는 버전 보다 이전 버전의 도메인 컨트롤러는 경우 기능 수준을 올리지 마십시오. 예를 들어, Windows Server 2008 기능 수준에 모든 도메인 컨트롤러는 Windows Server 2008 또는 도메인 이나 포리스트에 있는 도메인에 설치 된 운영 체제 필요 합니다. 도메인 기능 수준을 더 높은 수준으로 올린 후 에서만 변경할 수 있습니다 다시 이전 수준으로 포리스트 복구를 사용 하 여. 이러한 제한 기능 도메인 컨트롤러 간의 통신 변경 되는 경우가 있기 때문에 데이터베이스의 Active Directory 데이터 저장소를 변경 하는 기능 때문에 존재 합니다.


도메인 및 포리스트 기능 수준에서 사용할 수 있도록 그래픽 사용자 인터페이스 (GUI) 관리 도구를 Windows Server 2003 Active Directory 기능 수준에 대 한 TechNet 문서에서 설명 하는사용 하는 가장 일반적인 방법은. 이 문서에서는 Windows Server 2003.However, 단계는 최신 운영 체제 버전에서 동일 합니다. 또한 기능 수준을 수동으로 구성할 수 있습니다 또는 Windows PowerShell 스크립트를 사용 하 여 구성할 수 있습니다. 수동으로 기능 수준 구성 하는 방법에 대 한 자세한 내용은 "보기 및 설정 기능 수준"을 참조 하십시오. 섹션.


이 메서드를 설명 하는 TechNet 문서기능 수준을 구성 하려면 Windows PowerShell 스크립트를 사용 하는 방법에 대 한 자세한 내용은 참조.

확인 하 고 수동으로 기능 수준 설정

보고 현재 도메인 및 포리스트 기능 수준 설정을 수정 하려면 Ldp.exe, Adsiedit.msc 등 경량 디렉터리 액세스 프로토콜 (LDAP) 도구를 사용할 수 있습니다. 수동으로 기능 수준 속성을 변경 하면 Microsoft 관리 도구에서 일반적으로 차별화 된 신축 단일 마스터 작업 (FSMO) 도메인 컨트롤러에서 특성을 변경 하는 것이 좋습니다.

도메인 기능 수준 설정

동작 버전 특성 켜져 명명 컨텍스트 (NC) 머리 즉, DC는 도메인에 대 한 회사, DC = contoso, DC = com =.

다음은이 속성에 대해 설정할 수 있는 값입니다.
  • 값이 0 이거나 설정 하지: 혼합된 수준 도메인

  • 1 = Windows Server 2003 도메인 수준

  • 2 = Windows Server 2003 도메인 수준

  • 값 3 = Windows Server 2008 도메인 수준

  • 4 = Windows Server 2008 R2 도메인 수준

혼합된 모드와 기본 모드 설정

NtMixedDomain 특성 켜져 명명 컨텍스트 (NC) 머리, 즉 DC 도메인 corp, DC = contoso, DC = com =.

다음은이 속성에 대해 설정할 수 있는 값입니다.
  • 값 0: 기본 수준 도메인
  • 값 1: 혼합된 수준 도메인

포리스트 수준 설정

동작 버전 특성은 CN에 파티션 개체는 구성 명명 컨텍스트 (NC) 즉, CN = 파티션, CN = 구성, DC = =포리스트 루트 도메인.

다음은이 속성에 대해 설정할 수 있는 값입니다.
  • 값이 0 이거나 설정 하지: 혼합된 수준 포리스트
  • 1 = Windows Server 2003 임시 포리스트 수준
  • 2 = Windows Server 2003 포리스트 수준

    참고: UsingAdsiedit.msc 하 여 1 값을 0 값에서 를 동작 버전 특성을 늘리면 다음과 같은 오류 메시지가 나타납니다.
    올바르지 않은 수정 작업입니다. 일부 작업은 허용 되지 않습니다.

  • 값 3 = Windows Server 2008 도메인 수준

  • 4 = Windows Server 2008 R2 도메인 수준
경량 디렉터리 액세스 프로토콜 (LDAP) 도구를 사용 하 여 기능 수준을 편집 후 계속 진행 하려면 확인 클릭 합니다. 파티션 컨테이너와 도메인 헤드의 특성이 올바르게 올라가고 오류 메시지가 Ldp.exe 파일에서 보고서를 경우에 오류 메시지를 무시 해도 됩니다. 수준 올리기가 성공적으로 완료 되었는지 확인 하려면 특성 목록을 새로 고치고 현재 설정을 확인 합니다. 수행할 수준 올리기는 권한 있는 FSMO에 변경 로컬 도메인 컨트롤러에 아직 복제 되지 않은 경우에이 오류 메시지가 나타날 수 있습니다.

Ldp.exe 파일을 사용 하 여 현재 설정을 쉽게 파악합니다

  1. Ldp.exe 파일을 시작 합니다.
  2. 연결 메뉴에서 연결을 클릭 합니다.
  3. 쿼리를 도메인 컨트롤러를 지정 하거나 공간을 비워 모든 도메인 컨트롤러에 연결할 합니다.
도메인 컨트롤러에 연결한 후에 도메인 컨트롤러에 대 한 RootDSE 정보가 나타납니다. 이 정보에는 포리스트, 도메인 및 도메인 컨트롤러에 대 한 정보가 포함 됩니다. 다음은 Windows Server 2003 기반 도메인 컨트롤러의 예입니다. 다음 예제에서는 도메인 모드를 Windows Server 2003 포리스트 모드를 Windows 2000 서버와 가정 합니다.



참고: 가장 높은 기능 수준을이 도메인 컨트롤러에 대해 도메인 컨트롤러 기능을 나타냅니다.
  • 1 > domainFunctionality: 2=(DS_BEHAVIOR_WIN2003)
  • 1 > forestFunctionality: 0=(DS_BEHAVIOR_WIN2000)
  • 1 > domainControllerFunctionality: 2=(DS_BEHAVIOR_WIN2003)

수동으로 기능 수준 변경 요구 사항.

  • 다음 조건 중 하나가 참일 경우 도메인 수준을 올리기 전에 도메인 모드를 기본 모드로 변경 해야.
    • 프로그래밍 방식으로 도메인 기능 수준은 domainDNS 개체의 msdsBehaviorVersion 특성의 값을 직접 수정 하 여 두 번째 기능 수준으로 발생 합니다.
    • Ldp.exe 유틸리티나 Adsiedit.msc 유틸리티를 사용 하 여 두 번째 기능 수준이 도메인 기능 수준을 발생 합니다.
    도메인 수준을 올리기 전에 도메인 모드를 기본 모드로 변경 되지 않는 경우 작업이 성공적으로 완료 되지 및 다음과 같은 오류 메시지가 나타납니다.
    SV_PROBLEM_WILL_NOT_PERFORM

    ERROR_DS_ILLEGAL_MOD_OPERATION
    또한, 다음과 같은 메시지가 디렉터리 서비스 로그에 기록 됩니다.

    Active Directory는 혼합된 모드 도메인 이기 때문에 다음 도메인 기능 수준을 업데이트 하지 못했습니다.


    이 시나리오에서는 domainDNS 개체에서 0으로 ntMixedDomain 특성의 값을 프로그래밍 방식으로 변경 하거나 Active Directory 사용자 및 컴퓨터 스냅인을 Active Directory 도메인을 사용 하 여 & 신뢰 UI MMC 스냅인을 사용 하 여 도메인 모드를 기본 모드로 변경할 수 있습니다. 이 과정을 사용 하 여 도메인 기능 수준을 2 (Windows Server 2003)을 도메인 모드를 기본 모드로 자동으로 변경 됩니다.
  • 혼합된 모드에서 전용 모드로 전환 보안 스키마 관리자 그룹과 엔터프라이즈 관리자 보안 그룹의 범위를 유니버설 그룹으로 변경합니다. 이러한 그룹이 유니버설 그룹으로 변경 된 경우 다음과 같은 메시지가 시스템 로그에 기록 됩니다.
  • 호출 도메인 기능 수준을 Windows Server 2003 관리 도구를 사용할 때 ntmixedmode 특성과 msdsBehaviorVersion 특성의 순서에 따라 수정 됩니다. 그러나이 발생 하지 않습니다 항상. 와 같은 경우에 기본 모드로 암시적으로 설정 됩니다 0 유니버설 보안 스키마 관리자 그룹과 엔터프라이즈 관리자 보안 그룹의 범위를 변경 하지 않고.
    • 도메인 기능 모드를 제어 하는 msdsBehaviorVersion 특성을 수동으로 또는 프로그래밍 방식으로 값을 2로 설정 됩니다.
    • 포리스트 기능 수준은 다른 어떤 방법으로 2 로 설정 됩니다.
    이 시나리오에서는 도메인 컨트롤러가 포리스트 기능 수준으로 전환 될 때까지 차단 기본 모드로 구성 된 모든 로컬 영역 네트워크에 있는 도메인 및 보안 그룹 범위에 필요한 특성이 변경 됩니다:.

Windows 2000 Server와 관련 된 기능 수준

Windows 2000 Server 혼합된 모드와 기본 모드를 지원합니다. 또한,에 적용 되므로 이러한 모드 도메인 기능. 다음 섹션에서는 이러한 모드는 Windows 2000 Server 및 Windows NT 4.0 도메인을 업그레이드 하는 방법을 적용 하기 때문에 Windows Server 2003 도메인 모드를 나열 합니다.


도메인 컨트롤러 운영 체제 수준을 발생 시킬 때 몇 가지 고려 사항이 있습니다. 이러한 고려 사항은 Windows 2000 Server의 연결 된 특성의 저장 및 복제 제한 되어 발생 합니다.

Windows 2000 Server 혼합 (기본값)

  • 도메인 컨트롤러 지원: Microsoft Windows NT 4.0, Windows 2000 Server, Windows Server 2003

  • 기능 활성화: 로컬 및 글로벌 그룹, 글로벌 카탈로그 지원

Windows 2000 Server 전용

  • 지원 되는 도메인 컨트롤러: Windows 2000 Server, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2
  • 기능 활성화: 그룹 중첩, 유니버설 그룹, Sid 기록, 보안 그룹과 메일 그룹 간의 그룹 변환, 올릴 수 있습니다 도메인 수준 포리스트 수준 설정을 늘려

Windows Server 2003 임시

  • 지원 되는 도메인 컨트롤러: Windows NT 4.0, Windows Server 2003
  • 지원 되는 기능:이 수준에서 활성화 도메인 범위 기능이 없습니다. 포리스트의 모든 도메인은 포리스트 수준을 임시 증가 한다이 수준으로 올리면 자동으로. 이 모드는 Windows Server 2003 도메인 컨트롤러에 Windows NT 4.0 도메인의 도메인 컨트롤러를 업그레이드 하는 경우에 사용 됩니다.

Windows Server 2003

  • 도메인 컨트롤러 지원: Windows Server 2003, Windows Server 2008에서는 Windows Server 2008 R2
  • 지원 되는 기능: 도메인 컨트롤러 이름 바꾸기, 로그온 타임 스탬프 특성 업데이트 및 복제 합니다. InetOrgPerson 개체 클래스에 대 한 사용자 암호 지원입니다. 제한 된 위임 사용자 및 컴퓨터 리디렉션할 수 있습니다 컨테이너.
Windows NT 4.0에서 업그레이드 되거나 Windows Server 2003 기반 컴퓨터의 프로 모션에 의해 작성 되는 도메인은 Windows 2000 혼합 기능 수준에서 작동 합니다. Windows 2000 Server 도메인에 Windows 2000 Server 도메인 컨트롤러를 Windows Server 2003 운영 체제를 업그레이드 하는 경우 현재 도메인 기능 수준은 유지 관리 합니다. 기본 Windows 2000 Server 또는 Windows Server 2003 도메인 기능 수준을 발생 시킬 수 있습니다.

중간 수준-Windows NT 4.0 도메인에서 업그레이드

Windows Server 2003 Active Directory에는 특별 한 포리스트 및 도메인 기능 수준을 Windows Server 2003 임시를 허용 합니다. 이 기능 수준은 업그레이드 기존 Windows NT 4.0 도메인에 하나 이상의 Windows NT 4.0 백업 도메인 컨트롤러 (Bdc)를 업그레이드 한 후 작동 해야 위치에 대 한 제공 됩니다. Windows 2000 Server 도메인 컨트롤러는이 모드에서 지원 되지 않습니다. Windows Server 2003 임시 다음과 같은 시나리오에 적용 됩니다.
  • 도메인 업그레이드는 Windows NT 4.0에서 Windows Server 2003.


  • Windows NT 4.0 Bdc가 즉시 업그레이드 하지 마십시오.

  • (Domain users 그룹은 제외) 구성원이 5000 명이 넘는 그룹이 포함 된 Windows NT 4.0 도메인입니다.

  • 포리스트에 있는 언제 든 지 Windows Server2000 도메인 컨트롤러를 구현 하지 않으려는 경우
Windows Server 2003 임시 여전히 Windows NT 4.0 Bdc로 복제를 허용 하는 동안 두 가지 중요 한 향상 된 기능을 제공 합니다.
  1. 그룹당 5000 명이 넘는 구성원 지원 및 보안 그룹의 효율적인 복제 합니다.

  2. 향상 된 KCC 사이트 간 토폴로지 생성기 알고리즘
임시 수준에서 활성화 되는 그룹 복제의 효율성을 높이기 중간 수준에는 모든 Windows NT 4.0 업그레이드에 대 한 권장된 수준이입니다. 자세한 내용은이 문서의 "최상의 방법" 섹션을 참조 하십시오.

Windows Server 2003 임시 포리스트 기능 수준을 설정합니다.

Windows Server 2003 임시를 세 가지 방법으로 활성화할 수 있습니다. 처음 두 방법을 사용 하는 것이 좋습니다. 즉, 보안 그룹 Windows NT 4.0 도메인의 주 도메인 컨트롤러 (PDC)를 Windows Server 2003 도메인 컨트롤러로 업그레이드 한 후 연결 된 값 복제 (LVR)를 사용 합니다. 세 번째 옵션은 덜 좋습니다 복제 문제가 발생할 수 있습니다 단일 다중 값된 특성을 사용 하 여 보안 그룹의 구성원이 있기 때문에. Windows Server 2003 임시 활성화 될 수 있는 방법은 다음과 같습니다.
  1. 업그레이드 하는 동안



    옵션은 새 포리스트의 루트 도메인에 첫 번째 도메인 컨트롤러로 사용 되는 Windows NT 4.0 도메인의 PDC를 업그레이드할 때 Dcpromo 설치 마법사에 표시 됩니다.
  2. 업그레이드 하기 전에 Windows NT 4.0 PDC를 Windows NT 4.0의 기존 포리스트에 새 도메인의 첫 번째 도메인 컨트롤러로 경량 디렉터리 액세스 프로토콜 (LDAP) 도구를 사용 하 여 포리스트 기능 수준의 수동으로 구성 합니다.



    자식 도메인에는 승격 되는 포리스트에서 포리스트 범위 기능 설정을 상속 합니다. Adsiedit.msc 파일은 운영 체제 버전에서 업그레이드 한 후 연결 된 값 복제를 사용 하 여 보안 그룹을 사용 하거나 Ldp.exe 파일을 사용 하 여 임시 포리스트 기능 수준 있도록 구성한 있는 기존 Windows Server 2003 포리스트의 자식 도메인으로 Windows NT 4.0 도메인의 PDC를 업그레이드 합니다.
  3. LDAP 도구를 사용 하 여 업그레이드 합니다.



    업그레이드 시 기존 Windows Server 2003 포리스트 조인할 때 마지막 두 개의 옵션을 사용 합니다. "빈 루트" 도메인 위치에 있을 때 일반적인 시나리오입니다. 업그레이드 된 도메인은 빈 루트의 자식으로 참여 되 고 포리스트에서 도메인 설정을 상속 합니다.

유용한 정보

다음 섹션 기능 수준 향상을 위한 최선의 방법에 설명 합니다. 섹션에서 두 부분으로 나뉩니다. 올리기 전에 수행 해야 하는 작업을 설명 하는 "준비 작업" 및 "최적의 수준 올리기" 동기를 설명 하 고 메서드를 다양 한 수준 올리기 시나리오.

Windows NT 4.0 도메인 컨트롤러를 검색 하려면 다음과이 같이 하십시오.
  1. 모든 Windows Server 2003 기반 도메인 컨트롤러에서 Active Directory 사용자 및 컴퓨터를엽니다.
  2. 도메인 컨트롤러가 아직 도메인에 연결 되어 있지 않으면 해당 도메인에 연결 하려면 다음과 같이 하십시오.
    1. 현재 도메인 개체를 마우스 오른쪽 단추로 클릭 한 다음 도메인에 연결을 클릭 합니다.

    2. 도메인 대화 상자에서 연결할 도메인의 DNS 이름을 입력 한 다음 확인을 누릅니다. 또는 도메인 트리에서 도메인을 선택 하려면 찾아보기 를 클릭 한 다음 확인을 클릭 합니다.
  3. 도메인 개체를 마우스 오른쪽 단추로 클릭 한 다음 찾기를 클릭 합니다.
  4. 찾기 대화 상자에서 사용자 지정 검색을 클릭 합니다.
  5. 기능 수준을 변경할 도메인을 누릅니다.
  6. 고급 탭을 클릭합니다.
  7. 입력 LDAP 쿼리 상자에 다음 명령을 입력 하 고 문자 사이 공백을 삽입 하지 않습니다.
    (&(objectCategory=computer)(operatingSystem Version=4*)(userAccountControl:1.2.840.113556.1.4.803:=8192))
    참고: 이 쿼리는 대 소문자를 구분 하지 않습니다.
  8. 지금 찾기를 누릅니다.



    Windows NT 4.0을 실행 하 고 도메인 컨트롤러로 작동 하는 도메인의 컴퓨터 목록이 나타납니다.
도메인 컨트롤러는 다음과 같은 이유로 목록에 나타날 수 있습니다.
  • 도메인 컨트롤러가 Windows NT 4.0이 실행 되 고 업그레이드 해야 합니다.

  • 도메인 컨트롤러가 Windows Server 2003으로 업그레이드 했지만 변경 대상 도메인 컨트롤러에 복제 되지 않습니다.
  • 서비스에서 도메인 컨트롤러를 더 이상 있지만 도메인 컨트롤러의 컴퓨터 개체가 도메인에서 제거 되지 않습니다.
도메인 기능 수준을 Windows Server 2003으로 변경 하려면, 먼저 목록에서 도메인 컨트롤러를 실제로 찾아서, 도메인 컨트롤러의 현재 상태를 확인 한 다음 업그레이드 하거나 제거 해야 적절 한 도메인 컨트롤러.

참고: Windows NT 4.0 도메인 컨트롤러는 Windows Server 2000 도메인 컨트롤러와 달리 수준 올리기가 차단 하지 않습니다. 도메인 기능 수준으로 변경 하면 Windows NT 4.0 도메인 컨트롤러 복제가 중지 됩니다. 그러나 Windows Server 2000에서 도메인과 Windows Server 2003 포리스트 수준으로 증가 할 때 혼합된 수준 차단 됩니다. Windows Server 2000 기본 수준 이상 모든 도메인의 포리스트 수준 요구 사항을 충족 하 여 Windows NT 4.0 Bdc의 부족 포함 됩니다.

수준을 올리기 전에 준비 작업을 예:

이 예제에서는 환경에서 Windows Server 2003 포리스트 모드로 Windows Server 2000 혼합된 모드에서 발생 합니다.

이전 버전의 도메인 컨트롤러에 대 한 포리스트 인벤토리.

정확한 서버 목록을 사용할 수 없는 경우 다음이 단계를 수행 합니다.
  1. 혼합된 수준 도메인, 도메인 컨트롤러를 Windows Server 2000, 또는 손상 되거나 누락 된 개체를 사용 하 여 도메인 컨트롤러를 사용 하 여 Active Directory 도메인 및 트러스트 MMC 스냅인을 사용 하 여 검색 합니다.

  2. 스냅인에서 포리스트 기능 수준 올리기클릭 다른 이름으로 자세한 보고서를 생성 합니다.


  3. 아무 문제를 발견 하는 경우 Windows Server 2003 포리스트 수준으로 올리는 옵션을 "사용 가능한 포리스트 기능 수준 선택" 드롭다운 목록에서에서 사용할 수 있는. 포리스트 수준을 올릴 때 도메인 컨트롤러 개체는 구성 컨테이너에는 도메인 컨트롤러 동작 버전 을 원하는 수준으로 설정 되어 있지 않은 검색 됩니다. 이러한 도메인 컨트롤러를 Windows Server 2000 또는 최신 Windows Server 도메인 컨트롤러 개체를 손상 된 것으로 간주 됩니다.
  4. 이전 버전의 도메인 컨트롤러 또는 도메인 컨트롤러에 있는 경우 손상 되거나 손실 된 컴퓨터 개체가 발견 된, 보고서에 포함 됩니다. 이 도메인 컨트롤러의 상태를 조사 해야 하 고 Active Directory에서 도메인 컨트롤러 표시 복구 또는 Ntdsutil 파일을 사용 하 여 제거 해야 합니다.

자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료의 다음 문서를 확인하십시오.
216498 는 실패 한 도메인 컨트롤러 수준 내리기 후 active directory에서 데이터를 제거 하는 방법

포리스트의 종단 간 복제가 작동 하는지 확인
종단 간 복제가 제대로 작동 하는지 포리스트의 확인 하려면 Windows Server 2003 또는 Windows Server 2000 또는 Windows Server 2003 도메인 컨트롤러에 대해 Repadmin의 최신 버전을 사용 합니다.
  • Repadmin/Replsum * /Sort:Delta [/Errorsonly] 초기 인벤터리에 대 한.

  • Repadmin/Showrepl * /CSV > showrepl.csv. Excel로 가져와서 자동 복제 기능을 식별 하기 위해 필터를 사용 하 여 데이터-> 하는 다음.



    Repadmin 같은 복제 도구를 사용 하 여 포리스트 전체의 복제가 제대로 작동 확인.
모든 프로그램이 나 서비스의 호환성 최신 Windows Server 도메인 컨트롤러와 상위 Windows Server 도메인 및 포리스트 모드를 확인 합니다. 프로덕션 프로그램과 서비스 호환성 문제에 대 한 철저 한 테스트 랩 환경을 사용 합니다. 기능 확인에 대 한 공급 업체에 문의 합니다.



다음 작업 중 하나를 포함 하는 철회 계획을 준비 하십시오.
  • 포리스트의 각 도메인에서 최소 두 명의 도메인 컨트롤러를 분리 합니다.
  • 포리스트의 각 도메인에서 최소 두 명의 도메인 컨트롤러의 시스템 상태 백업을 만듭니다.
철회 계획을 사용 하려면 먼저 복구 프로세스 전에 포리스트의 모든 도메인 컨트롤러 역할을 해제 해야 합니다.

참고: 수준 올리기는 정식으로 복원할 수 없습니다. 즉, 수준 올리기가 복제 된 모든 도메인 컨트롤러를 해제할 수 있어야 합니다.



이전 도메인 컨트롤러를 불러오거나 후 연결이 끊긴된 도메인 컨트롤러 또는 도메인 컨트롤러를 백업에서 복원 합니다. 모든 다른 도메인 컨트롤러에서 메타 데이터를 제거한 다음 다시 올립니다. 어려운 과정 이므로 피해 야 합니다.


예: Windows Server 2003 포리스트 수준으로 Windows Server 2000 혼합 수준에서 하는 방법

모든 도메인이 Windows Server 2000 기본 수준으로 늘립니다. 이 완료 되 면 Windows Server 2003 포리스트 수준으로 포리스트 루트 도메인의 기능 수준을 올립니다. 포리스트 수준이 포리스트에 있는 각 도메인의 Pdc에 복제 되 면 도메인 수준이 자동으로 Windows Server 2003 도메인 수준으로 증가. 이 메서드는 다음과 같은 장점이 있습니다.
  • 포리스트 범위 수준 올리기가 한 번만 수행 됩니다. 각 포리스트에 있는 도메인에서 Windows Server 2003 도메인 기능 수준으로 수동으로 늘릴 필요가 없습니다.

  • 수준을 하기 전에 Windows Server 2000 도메인 컨트롤러에 대 한 검사를 수행 (준비 단계 참조)를 증가 합니다. 증가 문제 도메인 컨트롤러를 제거 하거나 업그레이드 될 때까지 차단 됩니다. 도메인 컨트롤러를 차단 하 고 유효한 데이터를 제공 하 여 자세한 보고서를 생성할 수 있습니다.

  • Windows Server 2000의 도메인에 대 한 확인을 혼합 또는 Windows Server 2003 임시 수준을 수행 됩니다. 증가 차단 도메인 수준 이상 증가 된 때까지 Windows Server 2000 기본. 중간 수준 도메인을 Windows Server 2003 도메인 수준으로 늘려야 합니다. 또한 블로킹 도메인 목록을 하 여 자세한 보고서를 생성할 수 있습니다.

Windows NT 4.0 업그레이드

Windows NT 4.0 업그레이드 항상 사용 임시 수준을 PDC 업그레이드 하는 동안 Windows Server 2000 도메인 컨트롤러가 PDC로 업그레이드 된 포리스트로 살펴보았습니다. PDC 업그레이드 하는 동안 임시 모드를 사용 하면 기존의 큰 그룹 LVR 복제를 사용 즉시이 문서의 앞부분에서 설명 하는 복제 문제를 방지 합니다. 다음 방법 중 하나를 사용 하 여 업그레이드 하는 동안 임시 수준으로 올리십시오.
  • Dcpromo는 동안 임시 수준을 선택 합니다. 이 옵션은 PDC를 새 포리스트로 업그레이드 하는 경우에 표시 됩니다.

  • 그 동안 기존 포리스트의 포리스트 수준을 설정 하 고 PDC 업그레이드 하는 동안 포리스트를 참여 시킵니다. 업그레이드 된 도메인은 포리스트 설정을 상속 합니다.

  • 무엇 보다도 Windows NT 4.0 Bdc 업그레이드 되거나 제거 되 각 도메인 포리스트 수준으로 전환 해야 하 고 Windows Server 2003 포리스트 모드로 전환 될 수 있습니다.
업그레이드 한 후 또는 나중에 언제 든 지 Windows Server 2000 도메인 컨트롤러를 구현할 계획이 있으면 임시 모드를 사용 하지 않는 이유는

Windows NT 4.0의 큰 그룹에 대 한 특별 한 고려 사항

발전 된 Windows NT 4.0 도메인의 구성원이 5000 명이 훨씬 넘는 보안 그룹이 있을 수 있습니다. Windows NT 4.0 보안 그룹의 구성원이 변경 되 면 구성원 단일 변경 내용만 백업 도메인 컨트롤러에 복제 됩니다. Windows Server 2000 그룹 구성원은 그룹 개체의 단일 다중 값된 특성에 저장 되는 연결 된 특성. 그룹의 구성원에 게 단일 변경 그룹 전체를 하나의 단위로 복제 됩니다. 그룹 구성원이 하나의 단위로 복제 되므로, 잠재적 그룹 구성원에 대 한 업데이트에 대 한 여러 구성원이 추가 되거나 여러 도메인 컨트롤러에서 동시에 제거 하는 경우 "손실" 될 수 있습니다. 또한이 단일 개체의 크기가 데이터베이스에 항목을 입력 하는 데 사용 되는 버퍼 보다 더 수 있습니다. 자세한 내용은이 문서의 "버전 저장소 문제 큰 그룹" 절을 참조 하십시오. 이러한 이유로 권장된 그룹 구성원 제한 5000입니다.



5000 구성원 규칙의 예외는 주 그룹 (기본적으로는 "도메인 사용자" 그룹). 주 그룹 구성원을 확인 하는 사용자의 "primarygroupID"를 기반으로 "계산 된" 메커니즘을 사용 합니다. 주 그룹으로 연결 된 다중값된 특성 멤버를 저장 하지 않습니다. 사용자 지정 그룹에 사용자의 기본 그룹이 변경 되 면 Domain Users 그룹의 구성원 그룹에는 연결 된 특성에 기록 되 고 더 이상 계산 됩니다. 그룹의 member 특성에서 Rid "primarygroupID" 및 사용자 작성 된 새 주 그룹이 제거 됩니다.


관리자가 도메인 업그레이드에 대 한 중간 수준을 선택 하지를 업그레이드 하기 전에 다음이 단계를 수행 해야.
  1. 모든 큰 그룹을 목록 하 고 domain users 그룹을 제외 하 고 5000 넘는 그룹을 식별 합니다.

  2. 모든 그룹을 구성원이 5000 명이 넘는 미만 5000 명의 작은 그룹으로 나눠야 합니다.

  3. 큰 그룹이 입력 된 모든 액세스 제어 목록을 찾아 2 단계에서 만든 작은 그룹을 추가 합니다.
Windows Server 2003 임시 포리스트 수준에서는 관리자가 구성원이 5000 명이 넘는 글로벌 보안 그룹을 찾아서 하지 않아도 됩니다.

버전 저장소는 큰 그룹의 문제

자세한 검색 또는 큰 단일 특성에 대 한 커밋 같은 장기 실행 작업을 하는 동안 Active Directory 작업이 완료 될 때까지 데이터베이스 상태를 정적 있는지 확인 해야 합니다. 큰 특성 커밋 또는 완전 검색의 예로 레거시 저장소를 사용 하는 큰 그룹입니다.



데이터베이스에 대 한 업데이트는 로컬 및 복제 파트너 로부터 지속적으로 수행 되므로, Active Directory은 장기 실행 작업이 완료 될 때까지 들어오는 모든 변경 내용을 대기 시켜 정적 상태를 제공 합니다. 작업이 완료 되 면 즉시 대기 된 변경 내용이 데이터베이스에 적용 됩니다.



대기 중인 변경 내용을 저장 위치를 "버전 저장소" 라고 이며 약 100megabytes. 버전 저장소의 크기는 실제 메모리를 기반으로 하며합니다. 버전 저장소가 꽉 찰 전에 장기 실행 작업이 완료 되지 않으면, 도메인 컨트롤러는 장기 실행 작업까지 업데이트를 수락 하지 것입니다 및 대기 된 변경 내용이 커밋됩니다. 도메인 컨트롤러는 큰 그룹으로의 버전 저장소가 꽉 위험에 처하게 하는 다 수 (5000 명이 넘는 구성원)에 도달 하는 그룹.



Windows Server 2003에서는 연결 값 복제 (LVR) 라고 하는 연결 된 다중 값된 특성에 대 한 새 복제 메커니즘을 소개 합니다. LVR 그룹 전체를 단일 복제 작업을 복제 하는 대신 각 그룹 구성원을 별도 작업으로 복제 하 여이 문제를 해결 합니다. LVR은 포리스트 기능 수준을 Windows Server 2003 임시 포리스트 수준 또는 Windows Server 2003 포리스트 수준으로 발생 하는 경우에 사용할 수 있습니다. 이 기능 수준은 LVR 그룹 Windows Server 2003 도메인 컨트롤러 간에 복제를 사용 합니다.
속성

문서 ID: 322692 - 마지막 검토: 2017. 2. 7. - 수정: 2

Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Server

피드백