Jak podnieść poziom funkcjonalności domeny i lasu usługi Active Directory

W tym artykule opisano sposób podnoszenia poziomu funkcjonalności domeny i lasu usługi Active Directory.

Dotyczy: Windows Server 2003
Oryginalny numer KB: 322692

Podsumowanie

Aby uzyskać informacje o Windows Server 2016 i nowych funkcjach w Active Directory Domain Services (AD DS), zobacz Co nowego w Active Directory Domain Services dla Windows Server 2016.

W tym artykule omówiono podnoszenie poziomu funkcjonalności domeny i lasu, które są obsługiwane przez kontrolery domeny oparte na systemie Microsoft Windows Server 2003 lub nowsze. Istnieją cztery wersje usługi Active Directory i tylko te poziomy, które uległy zmianie z systemu Windows NT Server 4.0, wymagają szczególnej uwagi. W związku z tym inne zmiany poziomu są wymienione przy użyciu nowszych, bieżących lub starszych wersji systemu operacyjnego kontrolera domeny, domeny lub poziomu funkcjonalności lasu.

Poziomy funkcjonalności to rozszerzenie trybu mieszanego i koncepcje trybu natywnego wprowadzone w systemie Microsoft Windows 2000 Server w celu aktywowania nowych funkcji usługi Active Directory. Niektóre dodatkowe funkcje usługi Active Directory są dostępne, gdy wszystkie kontrolery domeny korzystają z najnowszej wersji systemu Windows Server w domenie lub w lesie oraz gdy administrator aktywuje odpowiedni poziom funkcjonalności w domenie lub w lesie.

Aby aktywować najnowsze funkcje domeny, wszystkie kontrolery domeny muszą mieć uruchomioną najnowszą wersję systemu operacyjnego Windows Server w domenie. Jeśli to wymaganie zostanie spełnione, administrator może podnieść poziom funkcjonalności domeny.

Aby aktywować najnowsze funkcje w całym lesie, wszystkie kontrolery domeny w lesie muszą mieć uruchomioną wersję systemu operacyjnego Windows Server odpowiadającą żądanemu poziomowi funkcjonalności lasu. Ponadto bieżący poziom funkcjonalności domeny musi już być na najnowszym poziomie. Jeśli te wymagania zostaną spełnione, administrator może podnieść poziom funkcjonalności lasu.

Ogólnie rzecz biorąc, zmiany poziomów funkcjonalności domeny i lasu są nieodwracalne. Jeśli można cofnąć zmianę, należy użyć odzyskiwania lasu. W systemie operacyjnym Windows Server 2008 R2 można wycofać zmiany poziomów funkcjonalności domeny i poziomów funkcjonalności lasu. Wycofywanie można jednak wykonać tylko w określonych scenariuszach opisanych w artykule Technet dotyczącym poziomów funkcjonalności usługi Active Directory.

Podnoszenie poziomu funkcjonalności

Najczęstszą metodą włączania poziomów funkcjonalności domeny i lasu jest użycie graficznych narzędzi administracyjnych interfejsu użytkownika (GUI), które zostały udokumentowane w artykule TechNet dotyczącym poziomów funkcjonalności usługi Active Directory systemu Windows Server 2003. W tym artykule omówiono system Windows Server 2003. Jednak kroki są takie same w nowszych wersjach systemu operacyjnego. Ponadto poziom funkcjonalności można ręcznie skonfigurować lub skonfigurować przy użyciu skryptów Windows PowerShell. Aby uzyskać więcej informacji na temat ręcznego konfigurowania poziomu funkcjonalności, zobacz sekcję "Wyświetlanie i ustawianie poziomu funkcjonalności".

Aby uzyskać więcej informacji na temat sposobu używania skryptu Windows PowerShell do konfigurowania poziomu funkcjonalności, zobacz Podnoszenie poziomu funkcjonalności lasu.

Ręczne wyświetlanie i ustawianie poziomu funkcjonalności

Narzędzia LDAP (Lightweight Directory Access Protocol), takie jak Ldp.exe i Adsiedit.msc, mogą służyć do wyświetlania i modyfikowania bieżących ustawień poziomu funkcjonalności domeny i lasu. Po ręcznej zmianie atrybutów poziomu funkcjonalności najlepszym rozwiązaniem jest wprowadzenie zmian atrybutów na kontrolerze domeny FSMO (Flexible Single Master Operations), który jest zwykle przeznaczony dla narzędzi administracyjnych firmy Microsoft.

Ustawienia poziomu funkcjonalności domeny

Atrybut msDS-Behavior-Version znajduje się w nagłówku kontekstu nazewnictwa (NC) domeny, czyli DC=corp, DC=contoso, DC=com.

Dla tego atrybutu można ustawić następujące wartości:

• Wartość 0 lub nie ustawiona =domena poziomu mieszanego
• Wartość 1 =Poziom domeny systemu Windows Server 2003
• Wartość 2 =Poziom domeny systemu Windows Server 2003
• Wartość 3=Poziom domeny systemu Windows Server 2008
• Wartość 4=Poziom domeny systemu Windows Server 2008 R2

Ustawienia trybu mieszanego i natywnego

Atrybut ntMixedDomain znajduje się w nagłówku kontekstu nazewnictwa (NC) domeny, czyli DC=corp, DC=contoso, DC=com.

Dla tego atrybutu można ustawić następujące wartości:

• Wartość 0 =domena natywna poziomu
• Wartość 1=Domena poziomu mieszanego

Ustawienie poziomu lasu

Atrybut msDS-Behavior-Version znajduje się w obiekcie CN=Partitions w kontekście nazewnictwa konfiguracji (NC), czyli CN=Partitions, CN=Configuration, DC= ForestRootDomain.

Dla tego atrybutu można ustawić następujące wartości:

• Wartość 0 lub nie ustawiona =las poziomu mieszanego

• Wartość 1=Poziom lasu tymczasowego systemu Windows Server 2003

• Wartość 2 =Poziom lasu systemu Windows Server 2003

  Uwaga

  Po zwiększeniu atrybutu msDS-Behavior-Version z wartości 0 do wartości 1 przy użyciu poleceniaAdsiedit.msc zostanie wyświetlony następujący komunikat o błędzie:
  Niedozwolona operacja modyfikowania. Niektóre aspekty modyfikacji są niedozwolone.

• Wartość 3=Poziom domeny systemu Windows Server 2008

• Wartość 4=Poziom domeny systemu Windows Server 2008 R2

Po użyciu narzędzi LDAP (Lightweight Directory Access Protocol) do edytowania poziomu funkcjonalności kliknij przycisk OK, aby kontynuować. Atrybuty w kontenerze partycji i na głowie domeny są poprawnie zwiększone. Jeśli komunikat o błędzie jest zgłaszany przez plik Ldp.exe, możesz bezpiecznie zignorować komunikat o błędzie. Aby sprawdzić, czy wzrost poziomu zakończył się pomyślnie, odśwież listę atrybutów, a następnie sprawdź bieżące ustawienie. Ten komunikat o błędzie może również wystąpić po wykonaniu wzrostu poziomu na autorytatywnym FSMO, jeśli zmiana nie została jeszcze zreplikowana do lokalnego kontrolera domeny.

Szybkie wyświetlanie bieżących ustawień przy użyciu pliku Ldp.exe

1. Uruchom plik Ldp.exe.
2. W menu Connection kliknij polecenie Connect.
3. Określ kontroler domeny, którego chcesz wykonać zapytanie, lub pozostaw puste miejsce, aby nawiązać połączenie z dowolnym kontrolerem domeny.

Po nawiązaniu połączenia z kontrolerem domeny zostaną wyświetlone informacje RootDSE dla kontrolera domeny. Te informacje zawierają informacje o lesie, domenie i kontrolerach domeny. Poniżej przedstawiono przykład kontrolera domeny opartego na systemie Windows Server 2003. W poniższym przykładzie załóżmy, że tryb domeny to Windows Server 2003, a tryb lasu to Windows 2000 Server.

Wymagania podczas ręcznej zmiany poziomu funkcjonalności

• Należy zmienić tryb domeny na tryb natywny przed podniesieniem poziomu domeny, jeśli spełniony jest jeden z następujących warunków:

  • Poziom funkcjonalności domeny jest programowo podniesiony do drugiego poziomu funkcjonalności przez bezpośrednie zmodyfikowanie wartości atrybutu msdsBehaviorVersion w obiekcie domainDNS.
  • Poziom funkcjonalności domeny jest podniesiony do drugiego poziomu funkcjonalności przy użyciu narzędzia Ldp.exe lub narzędzia Adsiedit.msc.

  Jeśli nie zmienisz trybu domeny na tryb natywny przed podniesieniem poziomu domeny, operacja nie zostanie ukończona pomyślnie i zostaną wyświetlone następujące komunikaty o błędach:

  SV_PROBLEM_WILL_NOT_PERFORM

  ERROR_DS_ILLEGAL_MOD_OPERATION

  Ponadto w dzienniku usług katalogowych jest rejestrowany następujący komunikat:

  Active Directory could not update the functional level of the following domain because the domain is in mixed mode.
  

  W tym scenariuszu można zmienić tryb domeny na tryb natywny przy użyciu przystawki Użytkownicy usługi Active Directory & Komputery, używając przystawki MMC Domeny usługi Active Directory & zaufania interfejsu użytkownika lub programowo zmieniając wartość atrybutu ntMixedDomain na 0 w obiekcie domainDNS. Gdy ten proces jest używany do podniesienia poziomu funkcjonalności domeny do 2 (Windows Server 2003), tryb domeny jest automatycznie zmieniany na tryb natywny.

• Przejście z trybu mieszanego do trybu natywnego zmienia zakres grupy zabezpieczeń Administratorzy schematu i Grupy zabezpieczeń Administratorzy przedsiębiorstwa na grupy uniwersalne. Po zmianie tych grup na grupy uniwersalne w dzienniku systemu jest rejestrowany następujący komunikat:

  Event Type: Information  
  Event Source: SAM  
  Event ID: 16408  
  Computer:Server Name  
  Description: "Domain operation mode has been changed to Native Mode. The change cannot be reversed."
  

• Gdy narzędzia administracyjne systemu Windows Server 2003 są używane do wywoływania poziomu funkcjonalności domeny, atrybut ntmixedmode i atrybut msdsBehaviorVersion są modyfikowane w odpowiedniej kolejności. Jednak nie zawsze tak się dzieje. W następującym scenariuszu tryb natywny jest niejawnie ustawiony na wartość 0 bez zmiany zakresu dla grupy zabezpieczeń Administratorzy schematu i grupy zabezpieczeń Administratorzy przedsiębiorstwa na uniwersalną:

  • Atrybut msdsBehaviorVersion, który steruje trybem funkcjonalnym domeny, jest ręcznie lub programowo ustawiany na wartość 2.
  • Poziom funkcjonalności lasu jest ustawiony na 2 przy użyciu dowolnej metody. W tym scenariuszu kontrolery domeny blokują przejście do poziomu funkcjonalności lasu, dopóki wszystkie domeny znajdujące się w sieci lokalnej nie zostaną skonfigurowane do trybu natywnego, a wymagana zmiana atrybutu zostanie wprowadzona w zakresach grupy zabezpieczeń.

Poziomy funkcjonalności związane z systemem Windows 2000 Server

System Windows 2000 Server obsługuje tylko tryb mieszany i tryb natywny. Ponadto te tryby są stosowane tylko do funkcji domeny. W poniższych sekcjach wymieniono tryby domeny systemu Windows Server 2003, ponieważ te tryby wpływają na sposób uaktualniania domen systemu Windows NT 4.0 i Windows 2000 Server.

Podczas podnoszenia poziomu systemu operacyjnego kontrolera domeny należy wziąć pod uwagę wiele kwestii. Te zagadnienia są spowodowane ograniczeniami magazynu i replikacji połączonych atrybutów w trybach systemu Windows 2000 Server.

Windows 2000 Server mixed (domyślnie)

• Obsługiwane kontrolery domeny: Microsoft Windows NT 4.0, Windows 2000 Server, Windows Server 2003
• Aktywowane funkcje: grupy lokalne i globalne, obsługa wykazu globalnego

Natywny system Windows 2000 Server

• Obsługiwane kontrolery domeny: Windows 2000 Server, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2
• Aktywowane funkcje: zagnieżdżanie grup, grupy uniwersalne, historia identyfikatorów Sid, konwertowanie grup zabezpieczeń między grupami zabezpieczeń i grupami dystrybucyjnymi, można podnieść poziomy domeny, zwiększając ustawienia poziomu lasu

Windows Server 2003 interim

• Obsługiwane kontrolery domeny: Windows NT 4.0, Windows Server 2003
• Obsługiwane funkcje: na tym poziomie nie aktywowano żadnych funkcji w całej domenie. Wszystkie domeny w lesie są automatycznie podnoszone do tego poziomu, gdy poziom lasu wzrośnie do tymczasowego. Ten tryb jest używany tylko podczas uaktualniania kontrolerów domeny w domenach systemu Windows NT 4.0 do kontrolerów domeny systemu Windows Server 2003.

Windows Server 2003

• Obsługiwane kontrolery domeny: Windows Server 2003, Windows Server 2008, Windows Server 2008 R2
• Obsługiwane funkcje: zmiana nazwy kontrolera domeny, atrybut sygnatury czasowej logowania zaktualizowany i zreplikowany. Obsługa haseł użytkownika w klasie objectClass inetOrgPerson. Ograniczone delegowanie umożliwia przekierowanie kontenerów Użytkownicy i Komputery.

Domeny uaktualnione z systemu Windows NT 4.0 lub utworzone przez podwyższenie poziomu funkcjonalności komputera z systemem Windows Server 2003 działają na mieszanym poziomie funkcjonalności systemu Windows 2000. Domeny systemu Windows 2000 Server utrzymują bieżący poziom funkcjonalności domeny, gdy kontrolery domeny systemu Windows 2000 Server są uaktualnione do systemu operacyjnego Windows Server 2003. Poziom funkcjonalności domeny można podnieść do natywnego systemu Windows 2000 Server lub Windows Server 2003.

Poziom tymczasowy — uaktualnianie z domeny systemu Windows NT 4.0

Usługa Active Directory systemu Windows Server 2003 zezwala na specjalny poziom funkcjonalności lasu i domeny o nazwie Windows Server 2003 interim. Ten poziom funkcjonalności jest udostępniany w przypadku uaktualnień istniejących domen systemu Windows NT 4.0, w których co najmniej jeden kontroler domeny kopii zapasowej systemu Windows NT 4.0 (BDCs) musi działać po uaktualnieniu. Kontrolery domeny systemu Windows 2000 Server nie są obsługiwane w tym trybie. System Windows Server 2003 interim ma zastosowanie do następujących scenariuszy:

• Uaktualnienia domeny z systemu Windows NT 4.0 do systemu Windows Server 2003.
• Kontrolery BDB systemu Windows NT 4.0 nie są uaktualnione natychmiast.
• Domeny systemu Windows NT 4.0 zawierające grupy zawierające więcej niż 5000 członków (z wyłączeniem grupy użytkowników domeny).
• Nie ma żadnych planów implementacji kontrolerów domeny systemu Windows Server2000 w lesie w dowolnym momencie.

System Windows Server 2003 interim oferuje dwa ważne ulepszenia, jednocześnie zezwalając na replikację do kontrolerów BDB systemu Windows NT 4.0:

1. Wydajna replikacja grup zabezpieczeń i obsługa ponad 5000 członków na grupę.
2. Ulepszono algorytmy generatora topologii międzylokacyjnej KCC.

Ze względu na wydajność replikacji grupy, która jest aktywowana na poziomie tymczasowym, poziom tymczasowy jest zalecany dla wszystkich uaktualnień systemu Windows NT 4.0. Aby uzyskać więcej informacji, zobacz sekcję "Najlepsze rozwiązania" w tym artykule.

Ustawianie poziomu funkcjonalności lasu tymczasowego systemu Windows Server 2003

Tymczasowy system Windows Server 2003 można aktywować na trzy różne sposoby. Pierwsze dwie metody są wysoce zalecane. Dzieje się tak, ponieważ grupy zabezpieczeń używają replikacji wartości połączonych (LVR) po uaktualnieniu podstawowego kontrolera domeny domeny systemu Windows NT 4.0 (PDC) do kontrolera domeny systemu Windows Server 2003. Trzecia opcja jest mniej zalecana, ponieważ członkostwo w grupach zabezpieczeń używa jednego atrybutu wielowartościowego, co może powodować problemy z replikacją. Sposoby aktywowania systemu Windows Server 2003 interim są następujące:

1. Podczas uaktualniania.

   Opcja jest wyświetlana w kreatorze instalacji Dcpromo podczas uaktualniania kontrolera PDC domeny systemu Windows NT 4.0, która służy jako pierwszy kontroler domeny w domenie głównej nowego lasu.

2. Przed uaktualnieniem kontrolera PDC systemu Windows NT 4.0 systemu Windows NT 4.0 jako pierwszego kontrolera domeny nowej domeny w istniejącym lesie przez ręczne skonfigurowanie poziomu funkcjonalności lasu przy użyciu narzędzi protokołu Lightweight Directory Access Protocol (LDAP).

   Domeny podrzędne dziedziczą ustawienia funkcji dla całego lasu z lasu, do który są promowane. Uaktualnienie kontrolera PDC domeny systemu Windows NT 4.0 jako domeny podrzędnej w istniejącym lesie systemu Windows Server 2003, w którym pośrednie poziomy funkcjonalności lasu zostały skonfigurowane przy użyciu pliku Ldp.exe lub pliku Adsiedit.msc, zezwala grupom zabezpieczeń na używanie replikacji wartości połączonych po uaktualnieniu wersji systemu operacyjnego.

3. Po uaktualnieniu przy użyciu narzędzi LDAP.

   Użyj dwóch ostatnich opcji podczas dołączania do istniejącego lasu systemu Windows Server 2003 podczas uaktualniania. Jest to typowy scenariusz, gdy "pusta domena główna" jest w stanie. Uaktualniona domena jest przyłączona jako element podrzędny pustego katalogu głównego i dziedziczy ustawienie domeny z lasu.

Najważniejsze wskazówki

W poniższej sekcji omówiono najlepsze rozwiązania dotyczące zwiększania poziomów funkcjonalności. Sekcja jest podzielona na dwie części. "Zadania przygotowania" omawiają pracę, którą należy wykonać przed zwiększeniem, a "Optymalne ścieżki zwiększają" omawiają motywacje i metody dla różnych scenariuszy zwiększania poziomu.

Aby odnaleźć kontrolery domeny systemu Windows NT 4.0, wykonaj następujące kroki:

1. Z dowolnego kontrolera domeny opartego na systemie Windows Server 2003 otwórz Użytkownicy i komputery usługi Active Directory.

2. Jeśli kontroler domeny nie jest jeszcze połączony z odpowiednią domeną, wykonaj następujące kroki, aby nawiązać połączenie z odpowiednią domeną:

   1. Kliknij prawym przyciskiem myszy bieżący obiekt domeny, a następnie kliknij przycisk Połącz z domeną.
   2. W oknie dialogowym Domena wpisz nazwę DNS domeny, z którą chcesz nawiązać połączenie, a następnie kliknij przycisk OK. Możesz też kliknąć przycisk Przeglądaj , aby wybrać domenę z drzewa domeny, a następnie kliknij przycisk OK.

3. Kliknij prawym przyciskiem myszy obiekt domeny, a następnie kliknij przycisk Znajdź.

4. W oknie dialogowym Znajdowanie kliknij pozycję Wyszukiwanie niestandardowe.

5. Kliknij domenę, dla której chcesz zmienić poziom funkcjonalności.

6. Kliknij kartę Zaawansowane .

7. W polu Wprowadź zapytanie LDAP wpisz następujące polecenie i nie pozostaw spacji między znakami: (&(objectCategory=computer)(operatingSystem Version=4*)(userAccountControl:1.2.840.113556.1.4.803:=8192))

   Uwaga

   To zapytanie nie uwzględnia wielkości liter.

8. Kliknij pozycję Znajdź teraz.

   Zostanie wyświetlona lista komputerów w domenie z systemem Windows NT 4.0 i działających jako kontrolery domeny.

Kontroler domeny może pojawić się na liście z dowolnego z następujących powodów:

• Na kontrolerze domeny jest uruchomiony system Windows NT 4.0 i musi zostać uaktualniony.
• Kontroler domeny jest uaktualniony do systemu Windows Server 2003, ale zmiana nie jest replikowana do docelowego kontrolera domeny.
• Kontroler domeny nie jest już w służbie, ale obiekt komputera kontrolera domeny nie jest usuwany z domeny.

Aby można było zmienić poziom funkcjonalności domeny na Windows Server 2003, należy fizycznie zlokalizować dowolny kontroler domeny na liście, określić bieżący stan kontrolera domeny, a następnie uaktualnić lub usunąć kontroler domeny zgodnie z potrzebami.

Przykład: Przygotowanie zadań przed zwiększeniem poziomu

W tym przykładzie środowisko jest wywoływane z trybu mieszanego systemu Windows Server 2000 do trybu lasu systemu Windows Server 2003.

Spis lasu dla wcześniejszych wersji kontrolerów domeny.

Jeśli dokładna lista serwerów nie jest dostępna, wykonaj następujące kroki:

1. Aby odnaleźć domeny na poziomie mieszanym, kontrolery domeny systemu Windows Server 2000 lub kontrolery domeny z uszkodzonymi lub brakującymi obiektami, użyj domen usługi Active Directory i przystawki MMC zaufania.
2. W przystawce kliknij pozycję Podnieś funkcjonalność lasu, a następnie kliknij pozycję Zapisz jako , aby wygenerować szczegółowy raport.
3. Jeśli nie znaleziono żadnych problemów, opcja zwiększenia poziomu lasu systemu Windows Server 2003 jest dostępna z listy rozwijanej "Dostępne poziomy funkcjonalności lasu ". Podczas próby podniesienia poziomu lasu obiekty kontrolera domeny w kontenerach konfiguracji są wyszukiwane dla wszystkich kontrolerów domeny, które nie mają msds-behavior-version ustawionego na żądany poziom docelowy. Zakłada się, że są to kontrolery domeny systemu Windows Server 2000 lub nowsze obiekty kontrolera domeny systemu Windows Server, które są uszkodzone.
4. Jeśli znaleziono kontrolery domeny starszej wersji lub kontrolery domeny z uszkodzonymi lub brakującymi obiektami komputera, zostaną one uwzględnione w raporcie. Należy zbadać stan tych kontrolerów domeny, a reprezentacja kontrolera domeny w usłudze Active Directory musi zostać naprawiona lub usunięta przy użyciu pliku Ntdsutil.

Aby uzyskać więcej informacji, kliknij następujący numer artykułu, aby wyświetlić artykuł w bazie wiedzy Microsoft Knowledge Base:
216498 Jak usunąć dane w usłudze Active Directory po nieudanej degradacji kontrolera domeny

Sprawdź, czy replikacja end-to-end działa w lesie

Aby sprawdzić, czy replikacja end-to end działa w lesie, użyj systemu Windows Server 2003 lub nowszej wersji programu Repadmin względem kontrolerów domeny systemu Windows Server 2000 lub Windows Server 2003:

• Repadmin/Replsum * /Sort:Delta[/Errorsonly] dla początkowego spisu.

• Repadmin/Showrepl * /CSV>showrepl.csv. Zaimportuj do programu Excel, a następnie użyj filtru Data-Autofilter>, aby zidentyfikować funkcje replikacji.

  Użyj narzędzi replikacji, takich jak Repadmin, aby sprawdzić, czy replikacja w całym lesie działa prawidłowo.

Sprawdź zgodność wszystkich programów lub usług z nowszymi kontrolerami domeny systemu Windows Server oraz z wyższym trybem domeny i lasu systemu Windows Server. Użyj środowiska laboratoryjnego, aby dokładnie przetestować programy produkcyjne i usługi pod kątem problemów ze zgodnością. Skontaktuj się z dostawcami w celu potwierdzenia możliwości.

Przygotuj plan wycofywania obejmujący jedną z następujących akcji:

• Odłącz co najmniej dwa kontrolery domeny od każdej domeny w lesie.
• Utwórz kopię zapasową stanu systemu co najmniej dwóch kontrolerów domeny z każdej domeny w lesie.

Aby można było użyć planu zaplecza, wszystkie kontrolery domeny w lesie muszą zostać zlikwidowane przed procesem odzyskiwania.

Po zlikwidowaniu wszystkich poprzednich kontrolerów domeny wywołaj odłączone kontrolery domeny lub przywróć kontrolery domeny z kopii zapasowej. Usuń metadane ze wszystkich innych kontrolerów domeny, a następnie ponownie je zaprowizuj. Jest to trudny proces i należy go unikać.

Przykład: Jak uzyskać poziom mieszany z systemem Windows Server 2000 do poziomu lasu systemu Windows Server 2003

Zwiększ wszystkie domeny do poziomu natywnego systemu Windows Server 2000. Po zakończeniu tej operacji zwiększ poziom funkcjonalności domeny głównej lasu do poziomu lasu systemu Windows Server 2003. Gdy poziom lasu jest replikowany do komputerów pc dla każdej domeny w lesie, poziom domeny jest automatycznie zwiększany do poziomu domeny systemu Windows Server 2003. Ta metoda ma następujące zalety:

• Wzrost poziomu całego lasu jest wykonywany tylko raz. Nie trzeba ręcznie zwiększać każdej domeny w lesie do poziomu funkcjonalności domeny systemu Windows Server 2003.
• Sprawdzanie kontrolerów domeny systemu Windows Server 2000 jest wykonywane przed zwiększeniem poziomu (zobacz kroki przygotowywania). Wzrost jest blokowany do czasu usunięcia lub uaktualnienia problematycznych kontrolerów domeny. Szczegółowy raport można wygenerować, wyświetlając listę zablokowanych kontrolerów domeny i udostępniając dane z możliwością działania.
• Sprawdzanie domen w systemie Windows Server 2000 mieszany lub Windows Server 2003 poziom tymczasowy jest wykonywana. Wzrost jest blokowany, dopóki poziomy domeny nie zostaną zwiększone do co najmniej natywnego systemu Windows Server 2000. Domeny na poziomie tymczasowym należy zwiększyć do poziomu domeny systemu Windows Server 2003. Szczegółowy raport można wygenerować, wyświetlając listę domen blokujących.

Uaktualnienia systemu Windows NT 4.0

Uaktualnienia systemu Windows NT 4.0 zawsze używają poziomu tymczasowego podczas uaktualniania kontrolera domeny PDC, chyba że kontrolery domeny systemu Windows Server 2000 zostały wprowadzone do lasu, do którego kontroler domeny jest uaktualniony. Gdy tryb tymczasowy jest używany podczas uaktualniania kontrolera PDC, istniejące duże grupy używają natychmiast replikacji LVR, unikając potencjalnych problemów z replikacją, które zostały omówione wcześniej w tym artykule. Użyj jednej z następujących metod, aby przejść do poziomu tymczasowego podczas uaktualniania:

• Wybierz poziom tymczasowy podczas dcpromo. Ta opcja jest wyświetlana tylko wtedy, gdy kontroler PDC zostanie uaktualniony do nowego lasu.
• Ustaw poziom lasu istniejącego lasu na tymczasowy, a następnie dołącz do lasu podczas uaktualniania kontrolera PDC. Uaktualniona domena dziedziczy ustawienie lasu.
• Po uaktualnieniu lub usunięciu wszystkich kontrolerów BDB systemu Windows NT 4.0 każda domena musi zostać przesunięta do poziomu lasu i może zostać przełączona do trybu lasu systemu Windows Server 2003.

Należy unikać używania trybu tymczasowego, jeśli istnieją plany wdrożenia kontrolerów domeny systemu Windows Server 2000 po uaktualnieniu lub w dowolnym momencie w przyszłości.

Szczególna uwaga dla dużych grup w systemie Windows NT 4.0

W dojrzałych domenach systemu Windows NT 4.0 mogą istnieć grupy zabezpieczeń zawierające znacznie więcej niż 5000 członków. W systemie Windows NT 4.0 po zmianie członka grupy zabezpieczeń tylko jedna zmiana członkostwa jest replikowana do kontrolerów domeny kopii zapasowej. W systemie Windows Server 2000 członkostwo w grupach to połączone atrybuty przechowywane w jednym wielowartościowym atrybucie obiektu grupy. Po wprowadzeniu jednej zmiany członkostwa w grupie cała grupa jest replikowana jako pojedyncza jednostka. Ponieważ członkostwo w grupie jest replikowane jako pojedyncza jednostka, istnieje możliwość"utraty aktualizacji członkostwa w grupie", gdy różne elementy członkowskie zostaną dodane lub usunięte w tym samym czasie na różnych kontrolerach domeny. Ponadto rozmiar tego pojedynczego obiektu może być większy niż bufor używany do zatwierdzenia wpisu w bazie danych. Aby uzyskać więcej informacji, zobacz sekcję "Problemy ze sklepem wersji z dużymi grupami" w tym artykule. Z tych powodów zalecany limit dla członków grupy wynosi 5000.

Wyjątkiem od reguły składowej 5000 jest grupa podstawowa (domyślnie jest to grupa "Użytkownicy domeny"). Grupa podstawowa używa mechanizmu "obliczonego" opartego na "primarygroupID" użytkownika w celu określenia członkostwa. Grupa podstawowa nie przechowuje elementów członkowskich jako atrybutów połączonych wielowartościowych. Jeśli grupa podstawowa użytkownika zostanie zmieniona na grupę niestandardową, jego członkostwo w grupie Użytkownicy domeny zostanie zapisane w połączonym atrybucie grupy i nie zostanie już obliczone. Nowa grupa podstawowa Rid jest zapisywana w "primarygroupID", a użytkownik jest usuwany z atrybutu elementu członkowskiego grupy.

Jeśli administrator nie wybierze poziomu tymczasowego dla domeny uaktualnienia, należy wykonać następujące kroki przed uaktualnieniem:

1. Utwórz spis wszystkich dużych grup i zidentyfikuj wszystkie grupy powyżej 5000, z wyjątkiem grupy użytkowników domeny.
2. Wszystkie grupy, które mają więcej niż 5000 członków, muszą być podzielone na mniejsze grupy mniejsze niż 5000 członków.
3. Znajdź wszystkie Access Control Listy, w których wprowadzono duże grupy, i dodaj małe grupy utworzone w kroku 2. Tymczasowy poziom lasu systemu Windows Server 2003 zwalnia administratorów z konieczności odnajdywania i ponownego lokalizowania globalnych grup zabezpieczeń z ponad 5000 członkami.

Problemy ze sklepem wersji z dużymi grupami

Podczas długotrwałych operacji, takich jak głębokie wyszukiwanie lub zatwierdzenia pojedynczego, dużego atrybutu, usługa Active Directory musi upewnić się, że stan bazy danych jest statyczny do czasu zakończenia operacji. Przykładem głębokich wyszukiwań lub zatwierdzeń do dużych atrybutów jest duża grupa korzystająca ze starszego magazynu.

Ponieważ aktualizacje bazy danych są stale wykonywane lokalnie i od partnerów replikacji, usługa Active Directory zapewnia stan statyczny przez kolejkowanie wszystkich zmian przychodzących do czasu zakończenia długotrwałej operacji. Po zakończeniu operacji zmiany w kolejce są stosowane do bazy danych.

Lokalizacja magazynu dla tych zmian w kolejce jest określana jako "magazyn wersji" i wynosi około 100 megabajtów. Rozmiar magazynu wersji jest różny i zależy od pamięci fizycznej. Jeśli długotrwała operacja nie zakończy się przed wyczerpaniem magazynu wersji, kontroler domeny przestanie akceptować aktualizacje do czasu zatwierdzenia długotrwałej operacji i zatwierdzenia zmian w kolejce. Grupy, które osiągają dużą liczbę (ponad 5000 członków) narażają kontroler domeny na ryzyko wyczerpania magazynu wersji, o ile zostanie zatwierdzona duża grupa.

System Windows Server 2003 wprowadza nowy mechanizm replikacji połączonych atrybutów wielowartościowych nazywanych replikacją wartości łącza (LVR). Zamiast replikować całą grupę w ramach jednej operacji replikacji, LVR rozwiązuje ten problem, replikując każdy element członkowski grupy jako oddzielną operację replikacji. Funkcja LVR staje się dostępna, gdy poziom funkcjonalności lasu zostanie podniesiony do poziomu lasu tymczasowego systemu Windows Server 2003 lub do poziomu lasu systemu Windows Server 2003. Na tym poziomie funkcjonalności funkcja LVR służy do replikowania grup między kontrolerami domeny systemu Windows Server 2003.