Jak uaktualnić kontrolery domen systemu Windows 2000 do systemu Windows Server 2003

Streszczenie

W tym artykule omówiono, jak uaktualnić kontrolery domen systemu Microsoft Windows 2000 do systemu Windows Server 2003 i sposobu dodawania nowych kontrolerów domen systemu Windows Server 2003 do domen systemu Windows 2000. Aby uzyskać więcej informacji o tym, jak uaktualnić kontrolery domen systemu Windows Server 2008 lub Windows Server 2008 R2 odwiedź następującą witrynę firmy Microsoft w sieci Web:

Spis domen i lasów

Przed uaktualnieniem kontrolerów domen systemu Windows 2000 do systemu Windows Server 2003 lub przed dodaniem nowych kontrolerów domen systemu Windows Server 2003 do domeny systemu Windows 2000, wykonaj następujące kroki:
  1. Wykonaj spis klientów mających dostęp do zasobów w domenie, które kontrolery domen systemu Windows Server 2003 zgodność z podpisywaniem SMB:

    Każdy kontroler domeny systemu Windows Server 2003 umożliwia podpisywanie SMB w lokalnych zasadach zabezpieczeń. Upewnij się, że wszyscy klienci sieciowi, używający protokołu SMB/CIFS do dostęp do udostępnionych plików i drukarek w domenach, że kontrolery domeny hosta systemu Windows Server 2003 może zostać skonfigurowane lub uaktualnione pod kątem obsługi podpisywania SMB. Jeśli nie tymczasowo wyłączyć podpisywanie SMB aż aktualizacje mogą zostać zainstalowane lub będzie możliwe uaktualnienie klientów do nowszych systemów operacyjnych obsługujących podpisywanie SMB. Aby uzyskać informacje dotyczące sposobu wyłączania podpisywania SMB zobacz sekcję "Aby wyłączyć podpisywanie SMB" na końcu tego kroku.

    Plany działań

    Na poniższej liście przedstawiono planów działań dla popularnych klientów protokołu SMB:
    • Microsoft Windows Server 2003, Microsoft Windows XP Professional, Microsoft Windows 2000 Server, Microsoft Windows 2000 Professional i Microsoft Windows 98

      Jest wymagana żadna akcja.
    • Microsoft Windows NT 4.0

      Instalowanie dodatku Service Pack 3 lub nowszy (z dodatkiem Service Pack 6A jest zalecane) na wszystkich komputerach z systemem Windows NT 4.0 uzyskujących dostęp do domen zawierających komputery z systemem Windows Server 2003. Alternatywnie tymczasowo wyłączyć podpisywanie SMB na kontrolerach domen systemu Windows Server 2003. Aby uzyskać informacje dotyczące sposobu wyłączania podpisywania SMB zobacz sekcję "Aby wyłączyć podpisywanie SMB" na końcu tego kroku.
    • Microsoft Windows 95

      Zainstaluj klienta usługi katalogowej systemu Windows 9x na komputerach z systemem Windows 95 lub tymczasowo wyłącz podpisywanie SMB na kontrolerach domen systemu Windows Server 2003. Oryginalnego klienta usługi katalogowej systemu Win9x jest dostępna na dysku CD systemu Windows 2000 Server. Jednak ten dodatek klienta został zastąpiony przez ulepszone klienta usługi katalogowejx systemu Win9. Aby uzyskać informacje dotyczące sposobu wyłączania podpisywania SMB zobacz sekcję "Aby wyłączyć podpisywanie SMB" na końcu tego kroku.
    • Oprogramowanie klienckie Microsoft Network dla systemu MS-DOS i Microsoft LAN Manager klientów

      Klient sieci Microsoft dla systemu MS-DOS i klienta sieci Microsoft LAN Manager 2.x mogą służyć do zapewnienia dostępu do zasobów sieciowych, lub też mogą być łączone z dysku rozruchowego do kopiowania plików systemu operacyjnego oraz innych plików z katalogu udostępnionego na serwerze plików jako część instalacji oprogramowania. Ci klienci nie obsługują podpisywania SMB. Użyj alternatywnej metody instalacji lub wyłączyć podpisywanie SMB. Aby uzyskać informacje dotyczące sposobu wyłączania podpisywania SMB zobacz sekcję "Aby wyłączyć podpisywanie SMB" na końcu tego kroku.
    • Komputery klienckie Macintosh

      Niektórzy klienci typu Macintosh nie są kompatybilne podpisywania SMB i otrzyma następujący komunikat o błędzie podczas próby połączenia się z zasobem sieciowym:
      -Błąd -36 We/Wy
      Należy zainstalować zaktualizowane oprogramowanie, jeżeli jest dostępny. W przeciwnym przypadku należy wyłączyć podpisywanie SMB na kontrolerach domen systemu Windows Server 2003. Aby uzyskać informacje dotyczące sposobu wyłączania podpisywania SMB zobacz sekcję "Aby wyłączyć podpisywanie SMB" na końcu tego kroku.
    • Klienci SMB innych firm

      Niektórzy klienci SMB innych firm nie obsługują podpisywania SMB. Skontaktuj się z dostawcą SMB, aby sprawdzić, czy istnieje zaktualizowana wersja. W przeciwnym przypadku należy wyłączyć podpisywanie SMB na kontrolerach domen systemu Windows Server 2003.
    Aby wyłączyć podpisywanie SMB

    Jeśli nie można zainstalować aktualizacji oprogramowania na odpowiednich kontrolerach domen z systemem Windows 95, Windows NT 4.0 lub innych klientów, które zostały zainstalowane przed wprowadzeniem systemu Windows Server 2003, należy tymczasowo wyłączyć usługi SMB podpisywania wymagania w zasady grupy, dopóki nie można wdrożyć zaktualizowane oprogramowanie klienckie.

    Można wyłączyć podpisywanie usługi SMB w następującym węźle zasady domyślne kontrolery domeny w jednostce organizacyjnej kontrolerów domen:
    Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje Zabezpieczeń\serwer sieci Microsoft: Podpisuj cyfrowo komunikację (zawsze)
    Jeśli kontrolery domen nie znajdują się w jednostce organizacyjnej kontrolera domeny, należy połączyć obiekt zasady grupy domyślnego kontrolera domeny (GPO) ze wszystkimi jednostkami organizacyjnymi obsługującymi kontrolery domen systemu Windows 2000 lub Windows Server 2003. Lub można skonfigurować podpisywanie usługi SMB w obiekcie GPO połączonym z tymi jednostkami organizacyjnymi.
  2. Wykonaj spis kontrolerów domeny, które są w domenie i w lesie:
    1. Upewnij się, że wszystkie kontrolery domeny systemu Windows 2000 w lesie mają zainstalowane odpowiednie poprawki i dodatki service pack.

      Firma Microsoft zaleca, aby wszystkie kontrolery domeny systemu Windows 2000 uruchom dodatku Service Pack 4 (SP4) dla systemu Windows 2000 lub nowszych systemach operacyjnych. Jeśli nie można w pełni wdrożyć systemu Windows 2000 z dodatkiem SP4 lub nowszym, wszystkie systemu Windows 2000 domeny kontrolerów musi mają się plik Ntdsa.dll, którego stempel daty i wersja jest nowsza niż 4 lipca 2001 i 5.0.2195.3673. Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:

      331161 poprawki, które należy zainstalować przed uruchomieniem polecenia adprep/forestprep na kontrolerze domeny systemu Windows 2000, aby przygotować las i domeny do dodawania kontrolerów domen systemu Windows Server 2003

      Domyślnie narzędzia administracyjne usługi Active Directory na komputerach klienckich systemu Windows 2000 z dodatkiem SP4, Windows XP i Windows Server 2003 korzystać z podpisywania Lightweight Directory Access Protocol (LDAP). Jeśli takie komputery użyć (lub powrotu do) uwierzytelniania NTLM podczas zdalnego administrowania kontrolerami domeny systemu Windows 2000, połączenie nie będzie działać. Aby rozwiązać ten problem, na zdalnie administrowanych kontrolerach domen należy zainstalować przynajmniej dodatku SP3 dla systemu Windows 2000. W przeciwnym przypadku należy wyłączyć podpisywanie protokołu LDAP na klientach korzystających z narzędzi administracyjnych. Aby uzyskać więcej informacji o protokole LDAP, kliknij następujące numery artykułów w celu wyświetlenia tych artykułów z bazy wiedzy Microsoft Knowledge Base:

      Kontrolery domeny 325465 Windows 2000 wymagają dodatku SP3 lub nowszego w przypadku użycia narzędzi administracyjnych systemu Windows Server 2003

      W następujących scenariuszach wykorzystywane jest uwierzytelnianie NTLM:
      • Administrowanie kontrolerami domen systemu Windows 2000 znajdujące się w zewnętrznym lesie połączonym przez relację zaufania protokołu NTLM (nie Kerberos).
      • Skoncentrowane przystawek programu Microsoft Management Console (MMC) przeciwko określonego kontrolera domeny, który jest wywoływany przez jego adres IP. Na przykład kliknij przycisk Start, kliknij polecenie Uruchom, a następnie wpisz następujące polecenie:
        dsa.msc /server=ipaddress
      Aby określić poziom wersji dodatku service pack kontrolerów domeny usługi Active Directory w domenie usługi Active Directory i systemu operacyjnego, zainstaluj Repadmin.exe w wersji systemu Windows Server 2003 na komputerze członkowskim systemu Windows XP Professional lub Windows Server 2003 w lesie, a następnie uruchom następujące polecenie repadmin na kontrolerze domeny w każdej domenie w lesie:
      > repadmin/showattr nazwę kontrolera domeny, który znajduje się w domenie docelowej ncobj: / Filtr: "(& (objectCategory=computer)(primaryGroupID=516))"/ poddrzewo /atts:operatingSystem, operatingSystemVersion, operatingSystemServicePack

      DN: CN = NA-DC-01, organizacyjnej jednostka = Domain Controllers, DC = Firma, DC = com
      1 > system operacyjny: Windows Server 2003
      1 > operatingSystemVersion: 5.2 (3718)
      DN: CN = NA-DC-02, organizacyjnej jednostka = Domain Controllers, DC = Firma, DC = com
      1 > system operacyjny: Windows 2000 Server
      1 > operatingSystemVersion: 5.0 (2195)
      1 > operatingSystemServicePack: dodatek Service Pack 1
      Uwaga: atrybuty kontrolera domeny nie Śledź instalacji pojedynczych poprawek.
    2. Sprawdź replikację usługi Active Directory-to-end w lesie.

      Zweryfikuj, że każdy kontroler domeny w uaktualnionym lesie replikuje wszystkie jej lokalnie przechowywane konteksty nazewnictwa ze swoimi partnerami w zgodzie z harmonogramu zdefiniowanego łącza lokacji lub obiekty połączenia. Użyj programu Repadmin.exe w wersji systemu Windows Server 2003 w systemie Windows XP — lub komputerze członkowskim z systemem Windows Server 2003 w lesie z następującymi argumentami: wszystkie kontrolery domeny w lesie musi być wykonywana replikacja usługi Active Directory bez błędu, a wartości w kolumnie "Delta maks." danych wyjściowych repadmin nie powinny być znacznie większa niż częstotliwość replikacji na odpowiednie łącza lokacji lub obiekty połączeń, które są używane przez dany docelowy kontroler domeny.

      Usuń wszystkie błędy replikacji między kontrolerami domeny, które nie przeszły przychodząca replikacja w czasie krótszym niż okres istnienia reliktu (TSL) liczba dni (domyślnie 60 dni). Jeśli nie można zapewnić prawidłowej replikacji, może wymusisz obniżenie poziomu kontrolerów domen i usunięcie ich z lasu za pomocą polecenia Ntdsutil metadata cleanup i promować je ponownie do lasu. Obniżenie poziomu można użyć, aby zapisać instalacji systemu operacyjnego i programów, które znajdują się na oddzielonym kontrolerze domeny. Aby uzyskać więcej informacji na temat usuwania oddzielonych kontrolerów domeny systemu Windows 2000 z ich domeny, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:

      216498 jak usuwanie danych w usłudze Active Directory po niepomyślnej degradacji kontrolera domeny

      Tę akcję należy podjąć tylko w ostateczności odzyskać instalację systemu operacyjnego i zainstalowanych programów. Obiekty niezreplikowane i atrybuty na oddzielonych kontrolerach domen w tym użytkownicy, komputery, relacje zaufania, ich haseł, grup i członkostw grup zostaną utracone.

      Należy zachować ostrożność podczas próby usunięcia błędów replikacji na kontrolerach domeny, które nie zostały zreplikowane przychodzących zmian określonej partycji usługi Active Directory dla większej niż tombstonelifetime liczba dni. Po wykonaniu tej czynności może przywracanie obiektów, które zostały usunięte na jednym kontrolerze domeny, ale dla których bezpośrednich lub przechodnich partnerach replikacji nie odebrano w ciągu ostatnich 60 dni.

      Rozważ usunięcie wszystkich obiektów pokutujących rezydujących na kontrolerach domen, które nie przeprowadziły replikacji przychodzącej w ciągu ostatnich 60 dni. Alternatywnie wymuszonym obniżeniu kontrolerów domeny, które nie przeprowadziły replikacji przychodzącej na danej partycji w okresie istnienia reliktu liczonym dni i usunąć ich pozostałe metadane z lasu usługi Active Directory przy użyciu narzędzia Ntdsutil i innych narzędzi. Skontaktuj się z dostawcą pomocy technicznej lub Microsoft PSS, aby uzyskać dodatkową pomoc.
    3. Sprawdź, czy zawartość udziału Sysvol są spójne.

      Sprawdź, czy część systemu plików zasad grupy jest spójne. Gpotool.exe z zestawu Resource Kit służy do określenia, czy istnieją niespójności w zasadach w domenie. Użyj test kondycji z zestawu narzędzi obsługi systemu Windows Server 2003, aby ustalić, czy replik udziału Sysvol zestawy działają poprawnie w każdej domenie.

      Jeśli zawartość udziału Sysvol nie jest spójna, należy usunąć wszystkie niespójności.
    4. Użyj Dcdiag.exe z zestawu narzędzi obsługi, aby sprawdzić, czy wszystkie kontrolery domen zostały udostępnione Netlogon i Sysvol udziały. Aby to zrobić, wpisz następujące polecenie w wierszu polecenia:
      DCDIAG.EXE /e /test:frssysvol
    5. Sporządź spis ról operacji.

      Wzorce operacji schematu i infrastruktury są używane do wprowadzania zmian schematu na poziomie domeny i lasu w lesie i jego domenach, które są wykonane za pomocą narzędzia adprep systemu Windows Server 2003. Sprawdź, czy kontroler domeny, pełniący rolę schematu i rolę infrastruktury dla każdej domeny w lesie znajdują się na aktywnych kontrolerach domen i że każdy właściciel roli przeprowadził replikację przychodzącą związaną ze wszystkimi partycjami, od czasu ich ostatniego ponownego uruchomienia.

      Polecenia DCDIAG/test: FSMOCHECK umożliwia przeglądanie ról operacyjnych na poziomie domeny i lasu. Role wzorca operacji, które znajdują się na kontrolerach domeny nieistniejącej powinny być przejęte przez poprawny kontroler domeny przy użyciu narzędzia NTDSUTIL. Role znajdujące się na niepoprawnych kontrolerach domeny powinny być przeniesione, jeśli jest to możliwe. W przeciwnym przypadku powinny być przejęte. Polecenia NETDOM QUERY FSMO nie identyfikuje ról FSMO rezydujących na usuniętych kontrolerach domen.

      Sprawdź, czy wzorzec schematu i każdy wzorzec infrastruktury przeprowadził replikację przychodzącą usługi Active Directory od czasu ostatniego ponownego rozruchu. Replikację przychodzącą można zweryfikować przy użyciu polecenia REPADMIN/SHOWREPS Nazwa kontrolera domeny , gdzie Nazwa kontrolera domeny jest nazwą NetBIOS komputera lub nazwa komputera w pełni kwalifikowana kontrolera domeny. Aby uzyskać więcej informacji dotyczących wzorców operacji i ich rozmieszczenie, kliknij następujące numery artykułów w celu wyświetlenia tych artykułów z bazy wiedzy Microsoft Knowledge Base:

      Role FSMO usługi Windows 2000 Active Directory 197132

      223346 umieszczenie FSMO i optymalizacja kontrolerów domeny usługi Active Directory

    6. Przejrzyj dziennik zdarzeń.

      Sprawdź dzienniki zdarzeń na wszystkich kontrolerach domeny zdarzenia powodujące problemy. Dzienniki zdarzeń nie mogą zawierać komunikatów o poważnych zdarzeniach, które wskazują na problem z jednym z następujących procesów lub składników:
      fizyczną łącznością
      łączność sieciowa
      Rejestracja nazwy
      rozpoznawanie nazw
      uwierzytelnianie
      Zasady grupy
      zasady zabezpieczeń
      podsystemu dyskowego
      Schemat
      Topologia
      aparat replikacji
    7. Wykonaj spis miejsca na dysku

      Wolumin, na którym znajduje się plik bazy danych usługi Active Directory, pliku Ntds.dit, musi mieć wolnego miejsca równa co najmniej 15 – 20% rozmiaru pliku Ntds.dit. Wolumin, na którym znajduje się plik dziennika usługi Active Directory musi mieć wolnego miejsca równa co najmniej 15 – 20% rozmiaru pliku Ntds.dit. Aby uzyskać dodatkowe informacje dotyczące sposobu zwalniania dodatkowego miejsca na dysku Zobacz sekcję "Domeny kontrolerów bez odpowiedniej ilości miejsca" tego artykułu.
    8. DNS oczyszczanie (opcjonalnie)

      Włącz oczyszczanie usługi DNS w interwałach 7-dniowy dla wszystkich serwerów DNS w lesie. Aby uzyskać najlepsze wyniki wykonaj tę operację 61 lub więcej dni przed uaktualnieniem systemu operacyjnego. Zapewnia to oczyszczania usługi DNS będzie demon wystarczającą ilość czasu na śmieci collect obiektów usługi DNS podczas wykonywania defragmentacji w trybie offline pliku Ntds.dit.
    9. Wyłącz usługę Serwer DLT (opcjonalne)

      Usługa Serwer DLT jest wyłączona w nowych i uaktualnionych instalacjach kontrolerów domen systemu Windows Server 2003. Jeżeli śledzenie łączy rozproszonych nie jest używane, można wyłączyć usługę Serwer DLT na kontrolerach domeny systemu Windows 2000 i rozpocząć usuwanie obiektów DLT z każdej domeny w lesie. Aby uzyskać dodatkowe informacje Zobacz sekcję "Recommendations firmy Microsoft dotyczące śledzenia łączy rozproszonych" następującego artykułu z bazy wiedzy Microsoft Knowledge Base:
      312403 śledzenia łączy rozproszonych na kontrolerach domeny z systemem Windows

    10. Kopia zapasowa stanu systemu

      Utwórz stanu systemu kopię zapasową co najmniej dwóch kontrolerów domeny w każdej domenie w lesie. Wykonywanie kopii zapasowej można użyć do odzyskania wszystkich domen w lesie, jeśli uaktualnienia nie działa.

Microsoft Exchange 2000 w lasach systemu Windows 2000

Uwagi
  • Jeśli jest zainstalowany program Exchange 2000 Server lub będzie zainstalowany w lesie systemu Windows 2000, należy przeczytać tę sekcję przed uruchomieniem polecenia adprep/forestprep systemu Windows Server 2003.
  • Jeżeli zostaną zainstalowane zmiany schematu programu Microsoft Exchange Server 2003, przejdź do "Omówienie: uaktualnienie systemu Windows 2000 kontrolerów domeny do systemu Windows Server 2003" sekcji przed uruchomieniem polecenia adprep w systemie Windows Server 2003.
Schemat programu Exchange 2000 definiuje trzy atrybuty inetOrgPerson z non-Request for Comment (RFC) – zgodny z nazwy LDAPDisplayNames: houseIdentifier, secretaryi labeledURI.

Zestaw Windows 2000 inetOrgPerson Kit i polecenie adprep systemu Windows Server 2003 definiują RFC wersje tych trzech atrybutów z nazwami LDAPDisplayNames identyczne z RFC-niezgodnych wersji.

Kiedy polecenie adprep/forestprep systemu Windows Server 2003 jest uruchamiane bez skryptów korygujących w lesie zawierającym schemat systemu Windows 2000 i programu Exchange 2000 zmienia nazwy LDAPDisplayName houseIdentifier, labeledURIi są zniekształcone atrybuty sekretarza . Atrybut ulega "zniekształceniu" czy "Dup" lub inne unikatowe znaki są dodawane na początku nazwy atrybutu powodującej konflikt, tak, że obiekty i atrybuty w katalogu mają unikatowe nazwy.


Lasy usługi Active Directory nie są na zniekształcone nazwy LDAPDisplayNames tych atrybutów w następujących przypadkach:
  • Po uruchomieniu polecenia adprep/forestprep systemu Windows Server 2003 w lesie zawierającym schemat systemu Windows 2000 przed dodaniem schematu programu Exchange 2000.
  • Po zainstalowaniu schematu programu Exchange 2000 w lesie, który został utworzony w przypadku systemu Windows Server 2003 kontroler domeny był pierwszy kontroler domeny w lesie.
  • Jeśli dodano zestaw Windows 2000 inetOrgPerson Kit do lasu zawierającego schemat systemu Windows 2000, a następnie zainstalowano zmiany schematu programu Exchange 2000 i następnie uruchom polecenie adprep/forestprep systemu Windows Server 2003.
  • Jeśli schemat programu Exchange 2000 można dodać do istniejącego lasu systemu Windows 2000, uruchom/forestprep programu Exchange 2003 przed uruchomieniem polecenia adprep/forestprep systemu Windows Server 2003.
Zniekształcone atrybuty mogą występować w systemie Windows 2000 w następujących przypadkach:
  • Jeśli dodasz wersje programu Exchange 2000 labeledURI, houseIdentifieri atrybuty Sekretarz do lasu systemu Windows 2000 przed zainstalowaniem systemu Windows 2000 inetOrgPerson Kit.
  • Wersje programu Exchange 2000 labeledURI, houseIdentifieri atrybuty Sekretarz należy dodać do lasu systemu Windows 2000 przed uruchomieniem polecenia adprep/forestprep systemu Windows Server 2003 bez uprzedniego uruchomienia skryptów oczyszczających.
Wykonaj plany akcji dla każdego scenariusza:

Scenariusz 1: Zmiany schematu programu Exchange 2000 są dodawane po uruchomieniu polecenia adprep/forestprep systemu Windows Server 2003

Jeżeli zmiany schematu programu Exchange 2000 zostaną wprowadzone w lesie systemu Windows 2000 po uruchomieniu polecenia adprep/forestprep systemu Windows Server 2003, oczyszczanie nie jest wymagane. Przejdź do "Omówienie: uaktualnienie systemu Windows 2000 kontrolerów domeny do systemu Windows Server 2003" sekcja.

Scenariusz 2: Zmiany schematu programu Exchange 2000 zostaną zainstalowane przed polecenia adprep/forestprep systemu Windows Server 2003

Jeżeli zmiany schematu programu Exchange 2000 zostały już zainstalowane, ale nie uruchomiono polecenie adprep/forestprep systemu Windows Server 2003, rozważ wykonanie następującego planu akcji:
  1. Zaloguj się do konsoli wzorca operacji schematu przy użyciu konta będącego członkiem grupy Administratorzy schematu w systemie zabezpieczeń.
  2. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz notepad.exe w polu Otwórz , a następnie kliknij OK.
  3. Skopiuj następujący tekst z końcowym łącznikiem po "schemaUpdateNow: 1" do Notatnika.
    DN: CN = ms-Exch-Assistant-Name, CN = Schema, CN = Configuration, DC = X
    changeType: modyfikowanie
    replace:LDAPDisplayName
    LDAPDisplayName: msExchAssistantName
    -

    DN: CN = ms-Exch-LabeledURI, CN = Schema, CN = Configuration, DC = X
    changeType: modyfikowanie
    Zamień: LDAPDisplayName
    LDAPDisplayName: msExchLabeledURI
    -

    DN: CN = ms-Exch-House-Identifier, CN = Schema, CN = Configuration, DC = X
    changeType: modyfikowanie
    Zamień: LDAPDisplayName
    LDAPDisplayName: msExchHouseIdentifier
    -

    DN:
    changeType: modyfikowanie
    Dodawanie: schemaUpdateNow
    schemaUpdateNow: 1
    -
  4. Upewnij się, że brakuje miejsca na końcu każdego wiersza.
  5. W menu plik kliknij polecenie Zapisz. W oknie dialogowym Zapisz jako wykonaj następujące kroki:
    1. W polu Nazwa pliku wpisz następujące polecenie:
      \%userprofile%\InetOrgPersonPrevent.ldf
    2. W polu Zapisz jako typ kliknij Wszystkie pliki.
    3. W polu kodowanie kliknij pozycję Unicode.
    4. Kliknij przycisk Zapisz.
    5. Zamknij program Notatnik.
  6. Uruchom skrypt InetOrgPersonPrevent.ldf.
    1. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie cmd w polu Otwórz , a następnie kliknij OK.
    2. Wpisz następujące polecenie w wierszu polecenia, a następnie naciśnij klawisz ENTER:
      CD % userprofile %
    3. Wpisz następujące polecenie
      c:\Documents and settings\%username% > ldifde -i -f inetorgpersonprevent.ldf - v - c DC = X "ścieżka nazwy domeny dla domeny głównej lasu"
      Uwagi dotyczące składni:
      • DC = X jest rozróżniana.
      • Ścieżka nazwy domeny katalogu głównego musi być ujęte w cudzysłów.
      Byłoby na przykład składnia polecenia dla lasu usługi Active Directory, do której domeny katalogu głównego lasu jest TAILSPINTOYS.COM:
      c:\Documents and settings\administrator > ldifde -i -f inetorgpersonprevent.ldf - v - c DC = X "dc = tailspintoys, dc = com"
      Uwaga Może być konieczne zmienić podklucz rejestru Schema Update Allowed , jeżeli zostanie wyświetlony następujący komunikat o błędzie:
      Aktualizacja schematu nie jest dozwolona na tym kontrolerze domeny, ponieważ klucz rejestru nie jest ustawiona lub kontroler domeny nie jest właścicielem roli FSMO schematu.
      Aby uzyskać więcej informacji na temat zmiany tego podklucza rejestru kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:

      285172 wymagają aktualizacji schematu do zapisu schematu w usłudze Active Directory

  7. Sprawdź, czy nazwy LDAPDisplayNames dla CN = ms-Exch-Assistant-Name, CN = ms-Exch-LabeledURI oraz CN = atrybutów ms-Exch-House-Identifier w kontekście nazewnictwa schematu są wyświetlane jako msExchAssistantName, msExchLabeledURI oraz msExchHouseIdentifier przed uruchomieniem polecenia adprep/forestprep systemu Windows Server 2003.
  8. Przejdź do "Omówienie: uaktualnienie systemu Windows 2000 kontrolerów domeny do systemu Windows Server 2003 ", aby uruchomić polecenia adprep/forestprep i/domainprep .

Scenariusz 3: Polecenie forestprep systemu Windows Server 2003 zostało uruchomione bez wcześniejszego uruchomienia skryptu inetOrgPersonFix

Po uruchomieniu polecenia adprep/forestprep systemu Windows Server 2003 w lesie systemu Windows 2000, który zawiera zmiany schematu programu Exchange 2000, atrybuty LDAPDisplayName houseIdentifier, secretaryi labeledURI są zniekształcone. Aby zidentyfikować zniekształcone nazwy, użyj Ldp.exe do zlokalizowania atrybutów:
  1. Zainstaluj Ldp.exe z folderu Support\Tools nośników systemu Microsoft Windows 2000 lub Windows Server 2003.
  2. Uruchom Ldp.exe z kontrolera domeny lub komputerze członkowskim w lesie.
    1. W menu połączenie kliknij przycisk Połącz, pozostaw puste pole serwer , wpisz w polu Port 389 , a następnie kliknij OK.
    2. W menu połączenie kliknij Bind, wszystkie pola pozostaw puste, a następnie kliknij przycisk OK.
  3. Rekord ścieżka do nazwy wyróżniającej atrybutu SchemaNamingContext. Na przykład dla kontrolera domeny w lesie CORP. Las ADATUM.COM ścieżka do nazwy wyróżniającej może być następująca: CN = Schema, CN = Configuration, DC = corp, DC = Firma, DC = com.
  4. W menu Przejdź kliknij przycisk Wyszukaj.
  5. Aby skonfigurować okno dialogowe wyszukiwania , użyj następujących ustawień:
    • Base DN: ścieżka do nazwy wyróżniającej kontekstu nazewnictwa schematu, który zidentyfikowano w kroku 3.
    • Filtr: (ldapdisplayname = dup *)
    • Zakres: poddrzewo
  6. Zniekształcone atrybuty houseIdentifier, secretaryi labeledURI mają atrybuty LDAPDisplayName, które są podobne do następującego formatu:
    LDAPDisplayName: DUP-labeledURI-9591bbd3-d2a6-4669-afda-48af7c35507d;
    LDAPDisplayName: DUP-secretary-c5a1240d-70c0-455c-9906-a4070602f85f
    LDAPDisplayName: DUP-houseIdentifier-354b0ca8-9b6c-4722-aae7-e66906cc9eef
  7. Jeżeli nazwy LDAPDisplayName labeledURI, Sekretarzi houseIdentifier zostały zniekształcone w kroku 6, uruchom skrypt InetOrgPersonFix.ldf programu Windows Server 2003, aby odzyskać, a następnie przejdź do sekcji "uaktualnienie systemu Windows 2000 kontrolerów domeny z Winnt32.exe".
    1. Utwórz folder o nazwie % Systemdrive%\IOP, a następnie Wyodrębnij plik InetOrgPersonFix.ldf do tego folderu.
    2. W wierszu polecenia wpisz cd %systemdrive%\iop.
    3. Wyodrębnij plik InetOrgPersonFix.ldf z pliku Support.cab, który znajduje się w folderze Support\Tools na nośniku instalacyjnym systemu Windows Server 2003.
    4. W konsoli wzorca operacji schematu załaduj plik InetOrgPersonFix.ldf przy użyciu Ldifde.exe, aby skorygować wartość LdapDisplayName atrybutów houseIdentifier, secretaryi labeledURI . Aby to zrobić, wpisz następujące polecenie, gdzie < X > to stała rozróżniana wielkość liter, a < ścieżka do domeny głównej lasu > jest ścieżką nazwy domeny dla domeny głównej lasu:
      C:\IOP > ldifde -i -f inetorgpersonfix.ldf - v - c DC = X "ścieżka nazwy domeny dla domeny głównej lasu"
      Uwagi dotyczące składni:
      • DC = X jest rozróżniana.
      • Ścieżka nazwy domeny dla domeny głównej lasu musi być ujęte w cudzysłów.
  8. Sprawdź, czy atrybuty houseIdentifier, secretaryi labeledURI w kontekście nazewnictwa schematu nie są "zniekształcone" przed zainstalowaniem programu Exchange 2000.
Aby uzyskać więcej informacji dotyczących związanego konfliktu schematu z usługami dla systemu UNIX w wersji 2.0 kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:

293783 nie można uaktualnić systemu Windows 2000 server do systemu Windows Server 2003 Windows Services for UNIX 2.0 zainstalowany

Omówienie: Uaktualnienie kontrolerów domen systemu Windows 2000 do systemu Windows Server 2003

Polecenie adprep systemu Windows Server 2003 uruchamiane z folderu \I386 na nośniku systemu Windows Server 2003 przygotowuje las systemu Windows 2000 i jego domeny do dodawania kontrolerów domen systemu Windows Server 2003. Polecenie adprep/forestprep systemu Windows Server 2003 dodaje następujące funkcje:
  • Ulepszone domyślne deskryptory zabezpieczeń klas obiektów
  • Nowe atrybuty użytkowników i grup
  • Nowe obiekty i atrybuty schematu, takie jak klasa inetOrgPerson
Program adprep obsługuje dwa argumenty wiersza polecenia:
polecenie adprep/forestprep: uruchamia operacje uaktualniania lasu.
polecenie adprep/domainprep: uruchamia operacje uaktualniania domeny.
Polecenie adprep/forestprep jest uruchamia jednokrotną operację na wzorcu operacji schematu (FSMO) lasu. Operacja forestprep muszą wypełnić i zreplikowana na wzorcu infrastruktury każdej domeny przed uruchomieniem polecenia adprep/domainprep w tej domenie.

Polecenie adprep/domainprep jest to operacja jednorazowa, uruchomionego w systemie kontrolera domeny wzorca operacji infrastruktury w każdej domenie w lesie, który będzie obsługiwać nowych lub uaktualnionych kontrolerów domeny systemu Windows Server 2003. Polecenie adprep/domainprep sprawdza, czy zmiany spowodowane uruchomieniem polecenia forestprep zostały zreplikowane w partycji domeny, a następnie wprowadza własne zmiany domeny partycji i zasadach grupy w udziale Sysvol.

Nie można wykonać żadnej z następujących akcji forestprep/forestprep i/domainprep operacji ukończenia oraz zreplikowane do wszystkich kontrolerów domeny w danej domenie:
  • Uaktualnić kontrolery domen systemu Windows 2000 do kontrolerów domen systemu Windows Server 2003 przy użyciu Winnt32.exe.

    Uwaga: można uaktualnić systemu Windows 2000, serwerów członkowskich i komputery do komputerów członkowskich systemu Windows Server 2003 kiedy tylko chcesz.
  • Podwyższanie nowych kontrolerów domen systemu Windows Server 2003 w domenie za pomocą Dcpromo.exe.
Domeny obsługującej wzorzec operacji schematu jest wyłącznie w domenie należy uruchomić zarówno polecenie adprep/forestprep i adprep/domainprep. W innych domenach masz tylko polecenia adprep/domainprep.

Polecenie adprep/forestprep i polecenia adprep/domainprep nie należy dodawać ustawić atrybuty do częściowego atrybutów wykazu globalnego lub powodują pełnej synchronizacji wykazu globalnego. Wersja RTM polecenia adprep/domainprep powoduje pełnej synchronizacji folderu \Policies w drzewie Sysvol. Nawet jeśli uruchomisz forestprep i domainprep kilkakrotnie, operacje zostaną wykonane tylko jeden raz.

Po pełnej replikacji zmian wprowadzonych przez polecenie adprep/forestprep i adprep/domainprep można uaktualnić kontrolery domen systemu Windows 2000 do systemu Windows Server 2003, uruchamiając Winnt32.exe z folderu \I386 na nośniku systemu Windows Server 2003. Ponadto można dodać nowych kontrolerów domen systemu Windows Server 2003 do domeny przy użyciu Dcpromo.exe.

Uaktualnianie lasu za pomocą polecenia adprep/forestprep

Aby przygotować las systemu Windows 2000 i domeny do akceptowania kontrolerów domen systemu Windows Server 2003, wykonaj następujące kroki najpierw w środowisku testowym, a następnie w środowisku produkcyjnym:
  1. Upewnij się, że spełniono wszystkie operacje w fazy "Spis lasu", zwracając szczególną uwagę na następujące elementy:
    1. Został utworzony kopie zapasowe stanu systemu.
    2. Wszystkie kontrolery domeny systemu Windows 2000 w lesie mają zainstalowane odpowiednie poprawki i dodatki service pack.
    3. W całym lesie występuje replikacja end-to-end usługi Active Directory
    4. Usługa replikacji plików replikuje zasad systemu plików poprawnie w każdej domenie.
  2. Zaloguj się do konsoli wzorca operacji schematu przy użyciu konta, które jest członkiem grupy Administratorzy schematu w systemie zabezpieczeń.
  3. Sprawdź, że FSMO schematu przeprowadził replikację przychodzącą z partycją schematu, wpisując następujące polecenie w wierszu polecenia systemu Windows NT:
    repadmin/showreps
    (repadmin jest instalowany przez folder Support\Tools usługi Active Directory).
  4. Starszej dokumentacji firmy Microsoft zalecane jest izolowanie wzorca operacji schematu w sieci prywatnej przed uruchomieniem polecenia adprep/forestprep. Praktyczne doświadczenie wskazuje, że ten krok nie jest konieczne i może spowodować, że wzorzec operacji schematu odrzucić zmiany schematu podczas ponownego uruchamiania w sieci prywatnej.
  5. Uruchom program adprep na wzorcu operacji schematu. Aby to zrobić, kliknij przycisk Start, kliknij polecenie Uruchom, wpisz cmdi kliknij przycisk OK. Na wzorcu operacji schematu wpisz polecenie
    X:\I386\adprep /forestprep
    gdzie X:\I386\ to ścieżka do nośnika instalacyjnego systemu Windows Server 2003. To polecenie uruchamia uaktualnienie schematu w całym lesie.

    Uwaga Zdarzenia o identyfikatorze 1153 zarejestrowane w dzienniku zdarzeń usługi katalogowej, takie jak na poniższym przykładzie, mogą być ignorowane:
  6. Sprawdź, czy polecenie adprep/forestprep zostało pomyślnie wykonane na wzorcu operacji schematu. Aby to zrobić w konsoli wzorca operacji schematu, sprawdź następujące elementy:
    • Polecenie adprep/forestprep zostało ukończone bez błędu.
    • CN = Windows2003Update jest CN = ForestUpdates, CN = Configuration, DC =domena_główna_lasu. Zanotuj wartość atrybutu Revision.
    • (Opcjonalnie) Wersja schematu została zwiększona do wersji 30. Aby to zrobić, zobacz atrybut ObjectVersion w obiekcie CN = Schema, CN = Configuration, DC =domena_główna_lasu.
    Jeśli polecenie adprep/forestprep nie uruchamia się, sprawdź następujące elementy:
    • Podczas uruchamiania polecenia adprep , została określona w pełni kwalifikowana ścieżka Adprep.exe znajduje się w folderze \I386 na nośniku instalacyjnym. Aby to zrobić, wpisz następujące polecenie:
      x:\i386\adprep /forestprep
      gdzie x to dysk, na którym znajduje się nośnik instalacyjny.
    • Zalogowany użytkownik, który uruchamia polecenie adprep jest członkiem grupy zabezpieczeń Administratorzy schematu. Aby to sprawdzić, użyj whoami/all polecenia.
    • Jeśli program adprep nadal nie działa, Wyświetl plik Adprep.log w folderze%systemroot%\System32\Debug\Adprep\Logs\ %systemroot%\System32\Debug\Adprep\Logs\.
  7. Jeżeli wyłączono replikację wychodzącą na wzorcu operacji schematu w kroku 4, Włącz replikację tak, że może propagować zmiany schematu, które zostały wprowadzone przez polecenie adprep/forestprep . Aby to zrobić, wykonaj następujące czynności:
    1. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie cmd, a następnie kliknij OK.
    2. Wpisz następujące polecenie, a następnie naciśnij klawisz ENTER:
      Repadmin/opcje - DISABLE_OUTBOUND_REPL
  8. Sprawdź, czy zmiany polecenia adprep/forestprep zostały zreplikowane na wszystkich kontrolerach domeny w lesie. Zaleca się monitorowanie następujących atrybutów:
    1. Zwiększanie wersji schematu
    2. CN = Windows2003Update, CN = ForestUpdates, CN = Configuration, DC =domena_główna_lasu lub CN = operacji, CN = DomainUpdates, CN = System, DC =domena_główna_lasu i operacji w nich identyfikatorów GUID na jej podstawie.
    3. Wyszukaj nowe klasy schematu, obiekty, atrybuty lub inne zmiany tego polecenia adprep/forestprep dodaje, takich jak inetOrgPerson. Wyświetl pliki SchXXpliki ldf (gdzie XX to liczba między 14 a 30) w folderze %systemroot%\System32, aby ustalić, które obiekty i atrybuty powinny być. Na przykład klasa inetOrgPerson jest zdefiniowana w pliku Sch18.ldf.
  9. Wyszukaj zniekształcone nazwy LDAPDisplayName.

    Jeśli program Exchange 2000 został zainstalowany przed uruchomieniem polecenia adprep/forestprep systemu Windows Server 2003, zobacz następujący artykuł z bazy wiedzy Microsoft Knowledge Base:
    314649 program adprep/forestprep systemu Windows Server 2003 powoduje zniekształcone atrybuty w lasach systemu Windows 2000, które zawierają serwery programu Exchange 2000

    Jeśli zniekształcone nazwy zostaną znalezione, przejdź do scenariusza 3 w tym samym artykule.
  10. Zaloguj się do konsoli wzorca operacji schematu przy użyciu konta, które jest członkiem grupy zabezpieczeń grupy Administratorzy schematu w lesie obsługującym wzorzec operacji schematu.

Uaktualnianie domeny za pomocą polecenia adprep/domainprep

Po pełnej replikacji zmian/forestprep na kontrolerze domeny wzorca infrastruktury w każdej domenie, która będzie obsługiwać kontrolery domen systemu Windows Server 2003, uruchom polecenie adprep/domainprep . Aby to zrobić, wykonaj następujące kroki:
  1. Określ kontroler domeny wzorca infrastruktury w domenie jest uaktualniany, a następnie zaloguj się przy użyciu konta, które jest członkiem grupy zabezpieczeń Administratorzy domeny w domenie, która ma.

    Uwaga: administrator przedsiębiorstwa nie może być członkiem grupy zabezpieczeń Administratorzy domeny w domenach podrzędnych w lesie.
  2. Uruchom polecenie adprep/domainprep na wzorcu infrastruktury. Aby to zrobić, kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie cmdi następnie na wzorcu infrastruktury wpisz następujące polecenie:
    X:\I386\adprep /domainprep
    gdzie X:\I386\ to ścieżka do nośnika instalacyjnego systemu Windows Server 2003. To polecenie uruchamia zmiany na poziomie domeny w domenie docelowej.

    Uwaga: polecenie adprep/domainprep modyfikuje uprawnienia do plików w udziale Sysvol. Zmiany powodują pełną synchronizację plików w tym drzewie katalogów.
  3. Sprawdź, że domainprep została ukończona pomyślnie. Aby to zrobić, sprawdź następujące elementy:
    • Polecenie adprep/domainprep zostało ukończone bez błędu.
    • CN = Windows2003Update, CN = DomainUpdates, CN = System, DC =ścieżka nazwy domeny uaktualnianej istnieje
    Jeśli polecenie adprep/domainprep nie uruchamia się, sprawdź następujące elementy:
    • Zalogowany użytkownik, który uruchamia polecenie adprep jest członkiem grupy zabezpieczeń Administratorzy domeny w domenie, która jest uaktualniana. Aby to zrobić, użyj whoami/all polecenia.
    • W pełni kwalifikowana ścieżka Adprep.exe znajduje się w katalogu \I386 na nośniku instalacyjnym została określona podczas uruchamiania polecenia adprep. Aby to zrobić, wpisz następujące polecenie w wierszu polecenia:
      x:\i386\adprep /forestprep
      gdzie x to dysk, na którym znajduje się nośnik instalacyjny.
    • Jeśli program adprep nadal nie działa, Wyświetl plik Adprep.log w folderze%systemroot%\System32\Debug\Adprep\Logs\ %systemroot%\System32\Debug\Adprep\Logs\.
  4. Sprawdź, czy zmiany polecenia adprep/domainprep zostały zreplikowane. Aby to zrobić, dla pozostałych kontrolerów domeny w domenie, sprawdź następujące elementy:
    • CN = Windows2003Update, CN = DomainUpdates, CN = System, DC =ścieżka nazwy domeny uaktualnianej obiekt istnieje i wartość atrybutu Revision zgodna z wartością tego samego atrybutu we wzorcu infrastruktury domeny.
    • (Opcjonalnie) Szukaj tego polecenia adprep/domainprep dodane obiekty, atrybuty lub zmian listy (kontroli dostępu ACL) kontroli dostępu.
    Powtórz kroki 1 – 4 na wzorcach infrastruktury w pozostałych domenach luzem lub w trakcie dodać lub uaktualnić kontrolery domeny w tych domenach systemu Windows Server 2003. Teraz możesz promować nowe komputery systemu Windows Server 2003 do lasu za pomocą polecenia DCPROMO. Czy można uaktualnić istniejące kontrolery domeny systemu Windows 2000 do systemu Windows Server 2003 za pomocą programu WINNT32. EXE.

Uaktualnienie kontrolerów domen systemu Windows 2000 przy użyciu Winnt32.exe

Po pełnej replikacji zmian z/forestprep i/domainprep oraz po podjęciu decyzji dotyczącej zgodności zabezpieczeń z klientami we wcześniejszej wersji, można uaktualnić kontrolery domen systemu Windows 2000 do systemu Windows Server 2003 i dodać w domenie nowe kontrolery domen systemu Windows Server 2003.

Następujące komputery muszą znajdować się wśród pierwszych kontrolerów domen z systemem Windows Server 2003 w każdej domenie w lesie:
  • Wzorzec nazw domen w lesie, aby można było tworzyć domyślne partycje DNS.
  • Podstawowy kontroler domeny w domenie głównej lasu, aby podmioty zabezpieczeń całego przedsiębiorstwa tego systemu Windows 2003 Server forestprep dodaje staną się widoczne w edytorze ACL.
  • Podstawowy kontroler domeny w każdej domenie innej niż główna, aby nowe specyficzne dla domen systemu Windows 2003 może tworzyć podmioty zabezpieczeń.
Aby to zrobić, użyj programu WINNT32 w celu uaktualnienia istniejących kontrolerów domen obsługujących wybraną rolę operacyjne. Lub przenieść rolę do kontrolera domeny systemu Windows Server 2003 niedawno podwyższony. Wykonaj następujące kroki dla każdego kontrolera domeny systemu Windows 2000, który będzie uaktualniany do systemu Windows Server 2003 z programu WINNT32 oraz dla każdej grupy roboczej systemu Windows Server 2003 lub komputerze Członkowskim, którego poziom będzie podwyższany:
  1. Przed użyciem programu WINNT32 do uaktualnienia komputerów członkowskich z systemem Windows 2000 i kontrolery domeny, należy usunąć Narzędzia administracyjne systemu Windows 2000. Aby to zrobić, należy użyć narzędzia Dodaj/Usuń programy w Panelu sterowania. (System Windows 2000 tylko w przypadku uaktualnienia.)
  2. Zainstaluj dowolne pliki poprawek lub inne poprawki uznane przez firmę Microsoft lub administratora jest ważne.
  3. Sprawdź każdy kontroler domeny dla możliwe problemy z uaktualnieniem. Aby to zrobić, uruchom następujące polecenie z folderu \I386 na nośniku instalacyjnym:
    winnt32.exe /checkupgradeonly
    Rozwiąż wszystkie problemy podczas sprawdzania zgodności.
  4. Uruchom polecenie WINNT32. EXE z folderu \I386 na nośniku instalacyjnym i uaktualnionych 2003 uruchom ponownie kontroler domeny.
  5. Obniżenie poziomu zabezpieczeń dla starszych wersji klientów zgodnie z wymaganiami.

    Jeśli klienci systemu Windows NT 4.0 nie mają NT 4.0 SP6 lub klientów Windows 95 nie masz zainstalowany klient usług katalogowych, wyłącz podpisywanie usługi SMB w zasadzie domyślne kontrolery domeny w jednostce organizacyjnej Kontrolery domeny, a następnie połącz tę zasadę ze wszystkimi jednostkami organizacyjnymi obsługującymi kontrolery domen.
    Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje Zabezpieczeń\serwer sieci Microsoft: Podpisuj cyfrowo komunikację (zawsze)
  6. Sprawdź kondycję uaktualnienia za pomocą następujących informacji:
    • Uaktualnienie zostało ukończone pomyślnie.
    • Poprawki dodane do instalacji pomyślnie zastąpić oryginalne pliki binarne.
    • Przychodząca i wychodząca replikacja usługi Active Directory występuje dla wszystkich kontekstów nazewnictwa znajdujących się na kontrolerze domeny.
    • Istnieją udziały Netlogon i Sysvol.
    • Dziennik zdarzeń wskazuje, że kontroler domeny i jego usług są zdrowe.

      Uwaga: po uaktualnieniu może zostać wyświetlony następujący komunikat o zdarzeniu:
      Można bezpiecznie zignorować ten komunikat o zdarzeniu.
  7. Zainstaluj Windows Server 2003 Administration Tools (uaktualnienie systemu Windows 2000 i Windows Server 2003 niebędących kontrolerami domeny tylko). Plik adminpak.msi znajduje się w \I386 folder media systemu Windows Server 2003 CD-ROM. Windows Server 2003 zawiera zaktualizowane narzędzia obsługi w pliku Support\Tools\Suptools.msi. Upewnij się, ponownie zainstalować ten plik.
  8. Wykonaj nowe kopie zapasowe co najmniej dwóch pierwszych kontrolerów domeny systemu Windows 2000, które zostały uaktualnione do systemu Windows Server 2003 w każdej domenie w lesie. Umieść kopie zapasowe komputerów systemu Windows 2000, które zostały uaktualnione do systemu Windows Server 2003 w trudno dostępnym miejscu, można nie użyć ich przypadkiem do przywrócenia kontrolera domeny, na którym obecnie jest zainstalowany system Windows Server 2003.
  9. (Opcjonalnie) Wykonaj defragmentację w trybie offline bazy danych usługi Active Directory na kontrolerach domeny, które zostały uaktualnione do systemu Windows Server 2003 po Magazyn jednego wystąpienia (SIS) zostało ukończone (tylko w przypadku uaktualniania systemu Windows 2000).

    SIS przegląd istniejących uprawnień do obiektów przechowywanych w usłudze Active Directory, a następnie stosuje w obiektach bardziej efektywny deskryptor zabezpieczeń. SIS uruchamia się automatycznie (identyfikowanych przez wystąpienie zdarzenia 1953 w dzienniku zdarzeń usługi katalogowej) kiedy uaktualnionym kontrolerze domeny najpierw uruchomić system operacyjny Windows Server 2003. Można korzystać z ulepszonego magazynu deskryptorów zabezpieczeń tylko wtedy, gdy w dzienniku zdarzeń usługi katalogowej rejestrować komunikat zdarzenia zdarzenie o identyfikatorze 1966: ten komunikat o zdarzeniu oznacza, że operacja magazynu jednego wystąpienia została zakończona i służy jako kolejki administratora do wykonywania defragmentacji w trybie offline pliku Ntds.dit za pomocą narzędzia NTDSUTIL. EXE.

    Defragmentacja w trybie offline może zmniejszyć rozmiar pliku, pliku Ntds.dit systemu Windows 2000 nawet o 40%, poprawia wydajność usługi Active Directory i zaktualizować strony w bazie danych, bardziej efektywne przechowywanie atrybutów Link Valued. Aby uzyskać więcej informacji dotyczących sposobu defragmentowania bazy danych usługi Active Directory, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:

    232122 wykonanie defragmentacji offline bazy danych usługi Active Directory

  10. Zbadaj usługę Serwer DLT. Kontrolery domeny systemu Windows Server 2003 wyłączyć usługę DLT Server podczas nowych instalacji i uaktualniania. Jeśli w organizacji klienci z systemem Windows 2000 lub Windows XP korzystają z usługi DLT Server, użyj zasady grupy, aby włączyć usługę DLT Server na nowych lub uaktualnionych kontrolerów domeny systemu Windows Server 2003. W przeciwnym wypadku usuń przyrostowo obiekty DLT z usługi Active Directory. Aby uzyskać więcej informacji, kliknij następujące numery artykułów w celu wyświetlenia tych artykułów z bazy wiedzy Microsoft Knowledge Base:

    312403 śledzenia łączy rozproszonych na kontrolerach domeny z systemem Windows

    Wersja tekstowa 315229 Dltpurge.vbs do artykułu bazy wiedzy Microsoft Knowledge Base polecenia Q312403

    W przypadku zbiorczego usunięcia wielu tysięcy obiektów DLT lub innych obiektów, replikacja może być zablokowana z powodu braku magazynu wersji. Poczekaj tombstonelifetime liczba dni (domyślnie 60 dni) po usunięciu ostatniego obiektu DLT i do wyrzucania elementów bezużytecznych do zakończenia, a następnie użyć narzędzia NTDSUTIL. EXE do wykonania defragmentacji pliku Ntds.dit w trybie offline.
  11. Konfigurowanie struktury jednostek organizacyjnych najlepsze praktyki. Firma Microsoft zaleca, aby administratorzy aktywnie wdrażanie Najlepszą zalecaną strukturę jednostek organizacyjnych we wszystkich domenach usługi Active Directory i po uaktualnieniu lub wdrożeniu kontrolerów domen systemu Windows Server 2003 w trybie Windows Domain przekierować domyślne kontenery używane przez starsze wersje interfejsów API do tworzenia użytkowników, komputerów i grup do kontenera jednostki organizacyjnej określanego przez administratora.

    Aby uzyskać dodatkowe informacje na temat struktury jednostek organizacyjnych najlepsze praktyki zobacz sekcję "Tworzenie Organizational Unit Design" w białej księdze "Najlepsza praktyka Active Directory projektu dla zarządzania Windows Networks". Aby wyświetlić dokumentację, odwiedź następującą witrynę firmy Microsoft w sieci Web:Aby uzyskać więcej informacji dotyczących zmieniania domyślnego kontenera, w którym znajdują się użytkownicy, komputery i grupy tworzone przez starsze wersje interfejsów API kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:

    324949 przekierowywanie użytkowników i komputery, kontenerów w domenach systemu Windows Server 2003

  12. Powtórz kroki od 1 do 10, jak jest to wymagane dla każdego nowego lub uaktualnionego systemu Windows Server 2003 kontrolera domeny w lesie oraz krok 11 (najlepiej struktury jednostek organizacyjnych) dla każdej domeny usługi Active Directory.

    Podsumowanie:
    • Uaktualnij kontrolery domeny systemu Windows 2000 z programu WINNT32 (z nośnika instalacyjnego, jeśli używana)
    • Sprawdź, czy na uaktualnionych komputerach zostały zainstalowane poprawione pliki.
    • Zainstaluj wszystkie wymagane poprawki, które nie znajdują się na nośniku instalacyjnym
    • Sprawdź kondycję wszystkich nowych lub uaktualnionych serwerów (AD, FRS, zasady itp.)
    • Odczekaj 24 godziny po uaktualnieniu systemu operacyjnego następnie defragmentację w trybie offline (opcjonalnie)
    • Uruchom usługę DLT, jeśli musi w przeciwnym wypadku usuń obiekty DLT za pomocą polecenia q312403 / q315229 post forest wide domainpreps.
    • Wykonaj defragmentację w trybie offline ponad 60 dni (tombstone lifetime oraz wyrzucania elementów bezużytecznych # dni) po usunięciu obiektów DLT

Uaktualnianie w środowisku laboratoryjnym

Przed uaktualnieniem kontrolerów domen systemu Windows do domeny produkcyjnej systemu Windows 2000, zweryfikuj i zoptymalizuj proces uaktualniania w środowisku laboratoryjnym. Jeśli uaktualnienie w środowisku laboratoryjnym, które odpowiada środowisku produkcyjnemu z lasem, przebiegnie sprawnie, podobnych rezultatów można oczekiwać w środowisku produkcyjnym. W przypadku środowiska złożonego środowisko laboratoryjne musi odpowiadać środowisku produkcyjnemu w następujących obszarach:
  • Sprzęt: typ komputera, rozmiar pamięci, położenie pliku strony, rozmiar dysku, wydajność i raid configuration, systemu BIOS i wersje oprogramowania firmware
  • Oprogramowanie: wersje systemu operacyjnego klienta i serwera, aplikacje klienta i serwera, wersje dodatków service pack, poprawki, zmiany schematu, grupy zabezpieczeń, członkostwa grup, uprawnienia, ustawienia zasad, typu obiektu zliczania i lokalizacji, zgodność wersji
  • Infrastruktura sieciowa: WINS, DHCP, szybkość łączy, dostępna przepustowość
  • Obciążenia: symulatory ładowania mogą symulować zmiany haseł, obiekt tworzenie, replikacji usługi Active Directory, uwierzytelnianie logowania i innych zdarzeń. Celem nie jest odtworzenie skali środowiska produkcyjnego. Zamiast tego cele są do kosztów i częstości występowania typowych operacji oraz interpolowanie wyników ich działania (kwerendy nazw, ruch związany z replikacją, przepustowości sieci i zasobów procesora) w środowisku produkcyjnym na podstawie bieżących i przyszłych wymagań.
  • Administracja: zadania wykonywane, używane narzędzia, użyte systemy operacyjne
  • Operacja: pojemność, współdziałanie
  • Miejsce na dysku: Uwaga: początkowy, szczytowy i końcowy rozmiar systemu operacyjnego, pliku Ntds.dit i usługa Active Directory pliki dziennika w wykazie globalnym oraz na kontrolerach domeny niebędących wykazami globalnymi w każdej domenie po wykonaniu następujących czynności:
    1. polecenie adprep/forestprep
    2. polecenie adprep/domainprep
    3. Uaktualnienie kontrolerów domen systemu Windows 2000 do systemu Windows Server 2003
    4. Wykonanie defragmentacji offline po uaktualnieniu wersji.
Zrozumienie procesu uaktualniania i stopnia złożoności środowiska oraz przeprowadzenie szczegółowych obserwacji określa tempo i stopnia ostrożności, które mają zastosowanie do uaktualniania środowiska produkcyjnego. Środowisk z niewielką liczbą kontrolerów domen i obiektów usługi Active Directory połączonych w szybkiej, które łącza wide area network (WAN) mogą być uaktualnione w ciągu kilku godzin. Należy wykonywać to ostrożnie z przedsiębiorstwie są setki kontrolerów domen lub tysiące obiektów usługi Active Directory. W takich przypadkach można przeprowadzić uaktualnienie w ciągu kilku tygodni lub miesięcy.

Użyć "Na sucho" uaktualnienia w środowisku laboratoryjnym do wykonywania następujących zadań:
  • Znajomość wewnętrznego procesu uaktualniania i związanych z nimi ryzyk.
  • Zidentyfikować potencjalne obszary zagrożenia podczas procesu rozmieszczania w środowisku.
  • Przetestować i opracować plany awaryjne na wypadek niepowodzenia uaktualnienia.
  • Zdefiniować odpowiedni poziom szczegółów, który podczas procesu uaktualniania w domenie produkcyjnej.

Kontrolery domen bez odpowiedniej ilości miejsca

Na kontrolerach domen z niewystarczającą ilością miejsca wykonaj następujące kroki, aby zwolnić dodatkowe miejsce na dysku w woluminie obsługującym pliku Ntds.dit i plików dziennika:
  1. Usuń nieużywane pliki, w tym pliki *.tmp lub buforowane pliki wykorzystywane przez przeglądarki internetowe. Aby to zrobić, wpisz następujące polecenia (po każdym poleceniu naciśnij klawisz ENTER):
    CD /d dysk\
    / DEL *.tmp s
  2. Usuwanie dowolnego użytkownika lub pliki zrzutu pamięci. Aby to zrobić, wpisz następujące polecenia (po każdym poleceniu naciśnij klawisz ENTER):
    CD /d dysk\
    DEL *.dmp /s
  3. Tymczasowo Usuń lub Przenieś pliki, do których można uzyskać dostęp z innych serwerów lub łatwo zainstalować. Pliki, które można usunąć i łatwo zastąpić obejmują ADMINPAK, narzędzia obsługi i wszystkie pliki w folderze %systemroot%\System32\Dllcache.
  4. Usuń stare lub nieużywane profile użytkowników. Aby to zrobić, kliknij przycisk Start, kliknij prawym przyciskiem myszy Mój komputer, kliknij polecenie Właściwości, kliknij kartę Profile użytkownika i następnie usuń wszystkie profile odnoszące się do starych i nieużywanych kont. Nie usuwaj profilów, które mogą być dla kont usług.
  5. Usuń symbole w % systemroot%\Symbols. Aby to zrobić, wpisz następujące polecenie:
    RD /s %systemroot%\symbols
    W zależności od tego, czy serwery mają pełny lub mały symbol, ustaw oszczędności mogą wynieść około 70 MB do 600 MB.
  6. Wykonaj defragmentację w trybie offline. Defragmentacji pliku Ntds.dit w trybie offline może zwolnić miejsce, ale tymczasowo wymaga dwukrotnie miejsce bieżącego pliku DIT. Wykonaj defragmentację w trybie offline przy użyciu innych woluminów lokalnych, jeśli jest dostępny. Lub wykorzystać miejsce na najlepszy serwer sieci połączonych do wykonania defragmentacji offline. Jeśli ilość miejsca na dysku jest wciąż nie są wystarczające, stopniowo usunąć niepotrzebne konta użytkowników, konta komputerów, rekordy DNS i obiekty DLT z usługi Active Directory.

    Uwaga: usługi Active Directory nie usuwa obiektów z bazy danych dopóki nie przeszły tombstonelifetime liczba dni (domyślnie 60 dni) i wyrzucania elementów bezużytecznych. Jeśli wartość zmiennej tombstonelifetime jako wartość mniejsza od replikacji end-to-end w lesie, w usłudze Active Directory mogą pojawić się niespójności.

Powiązane artykuły

Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:

821076 pliki Pomocy systemu Windows Server 2003 zawierają nieprawidłowe informacje dotyczące sposobu aktualizacji domenie systemu Windows 2000

Właściwości

Identyfikator artykułu: 325379 — ostatni przegląd: 16.02.2017 — zmiana: 2

Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Exchange 2000 Server Standard Edition, Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86), Microsoft Windows Server 2003 R2 Datacenter x64 Edition, Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86), Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86), Microsoft Windows Server 2003 R2 Standard x64 Edition

Opinia