Você está offline; aguardando reconexão

Como atualizar os controladores de domínio do Windows 2000 para Windows Server 2003

O suporte para o Windows Server 2003 termina em 14 de julho de 2015.

A Microsoft terminou o suporte para o Windows Server 2003 em 14 de julho de 2015. Esta alteração afetou as suas atualizações de software e opções de segurança. Saiba o que isto significa para você e como permanecer protegido.

Sumário
Este artigo descreve como atualizar controladores de domínio do Microsoft Windows 2000 para Microsoft Windows Server 2003 e como adicionar novos controladores de domínio do Windows Server 2003 aos domínios do Windows 2000.

Inventário de domínio e floresta

Antes de atualizar controladores de domínio do Windows 2000 para Windows Server 2003 ou antes de adicionar novos controladores de domínio do Windows Server 2003 a um domínio do Windows 2000, execute estas etapas:
  1. Fazer inventário dos clientes que acessam os recursos no domínio que hospeda os controladores de domínio do Windows Server 2003 para compatibilidade com assinatura SMB:

    Cada controlador de domínio do Windows Server 2003 permite a assinatura SMB em sua diretiva de segurança local. Certifique-se de que todos os clientes de rede que usam protocolo SMB/CIFS para acessar arquivos e impressoras compartilhados em domínios que hospedam controladores de domínio do Windows Server 2003 possam ser configurados ou atualizados para suportar assinatura SMB. Se não puderem, desative temporariamente a assinatura SMB até que as atualizações possam ser instaladas ou até que os clientes possam ser atualizados para sistemas operacionais mais recentes que suportem a assinatura SMB. Para obter informações sobre como desabilitar a assinatura SMB, consulte a seção "Para desabilitar a assinatura SMB" no final desta etapa.

    Planos de ação

    A seguinte lista mostra os planos de ação para clientes SMB populares:
    • Microsoft Windows Server 2003, Microsoft Windows XP Professional, Microsoft Windows 2000 Server, Microsoft Windows 2000 Professional e Microsoft Windows 98

      Nenhuma ação é necessária.
    • Microsoft Windows NT 4.0

      Instale o Service Pack 3 ou mais recente (Service Pack 6A é recomendado) em todos os computadores com Windows NT 4.0 que acessam domínios que contenham computadores com Windows Server 2003. Como alternativa, desative temporariamente a assinatura SMB nos controladores de domínio do Windows Server 2003. Para obter informações sobre como desabilitar assinatura SMB, consulte a seção "Para desabilitar assinatura SMB" no final desta etapa.
    • Microsoft Windows 95

      Instale o cliente do serviço de diretório do Windows 9x nos computadores com Windows 95 ou desative temporariamente a assinatura SMB em controladores de domínio com Windows Server 2003. O cliente do serviço de diretório do Win9x original está disponível no CD-ROM do Windows 2000 Server. No entanto, esse suplemento do cliente foi substituído por um cliente do serviço de diretório do Win9x. Para obter informações sobre como desabilitar assinatura SMB, consulte a seção "Para desabilitar assinatura SMB" no final desta etapa.
    • Cliente de rede da Microsoft para MS-DOS e clientes do Microsoft LAN Manager

      O cliente de rede da Microsoft para MS-DOS e o cliente de rede do Microsoft LAN Manager 2.x podem ser usados para fornecer acesso aos recursos de rede, ou podem ser combinados com um disquete inicializável para copiar arquivos de sistema e outros arquivos a partir de um diretório compartilhado em um servidor de arquivo como parte de uma rotina de instalação de software. Esses clientes não são compatíveis com assinatura SMB. Use um método de instalação alternativa, ou desative a assinatura SMB. Para obter informações sobre como desabilitar assinatura SMB, consulte a seção "Para desabilitar assinatura SMB" no final desta etapa.
    • Clientes Macintosh

      Alguns clientes Macintosh não são compatíveis com assinatura SMB e a seguinte mensagem de erro será exibida ao tentar se conectar a um recurso de rede:
      - Erro -36 E/S
      Instale um software atualizado se estiver disponível. Caso contrário, desative a assinatura SMB nos controladores de domínio do Windows Server 2003. Para obter informações sobre como desabilitar assinatura SMB, consulte a seção "Para desabilitar assinatura SMB" no final desta etapa.
    • Outros clientes SMB de outras empresas

      Alguns clientes SMB de outras empresas não são compatíveis com assinatura SMB. Consulte seu fornecedor SMB para verificar se existe uma versão atualizada. Caso contrário, desative a assinatura SMB nos controladores de domínio do Windows Server 2003.
    Para desabilitar assinatura SMB


    Se as atualizações de software não puderem ser instaladas em controladores de domínio afetados executando o Windows 95, Windows NT 4.0 ou outros clientes instalados antes da introdução do Windows Server 2003, desative temporariamente os requisitos de assinatura do serviço SMB na Diretiva de grupo até que possa implantar o software cliente atualizado.

    É possível desabilitar a assinatura de serviço SMB no seguinte nó da diretiva Controladores de domínio padrão na unidade organizacional dos controladores de domínio:
    Configuração do computador\Windows Settings\Security Settings\Local Policies\Security Options\Microsoft Network Server: Assinar digitalmente as comunicações (sempre)
    Se os controladores de domínio não estiverem localizados na unidade organizacional do controlador de domínio, será necessário vincular o GPO (Objeto da diretiva de grupo) do controlador de domínio padrão com todas as unidades organizacionais que hospedam controladores de domínio do Windows 2000 ou do Windows Server 2003. Ou, você poderá configurar a assinatura de serviço SMB em um GPO vinculado à essas unidades organizacionais.
  2. Faça um inventário dos controladores de domínio que estão no domínio e na floresta:
    1. Verifique se todos os controladores de domínio do Windows 2000 na floresta possuem os hotfixes e os service packs adequados instalados.

      A Microsoft recomenda que todos os controladores de domínio do Windows 2000 executem o Windows 2000 Service Pack 4 (SP4) ou sistemas operacionais mais recentes. Se não for possível implantar completamente o Windows 2000 SP4 ou a versão mais recente, todos os controladores de domínio do Windows 2000 devem ter um arquivo Ntdsa.dll com carimbo de data e versão posteriores a 4 de junho de 2001 e 5.0.2195.3673. Para obter mais informações, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
      331161 Hotfixes que devem ser instalados antes da execução de adprep /Forestprep em um controlador de domínio do Windows 2000 para preparar a floresta e os domínios para a adição de controladores de domínio com Windows Server 2003
      Por padrão, as ferramentas administrativas do Active Directory nos computadores clientes do Windows 2000 SP4, Windows XP e do Windows Server 2003 usam a assinatura LDAP (Lightweight Directory Access Protocol). Se tais computadores usarem (ou retornarem para) autenticação NTLM quando administram remotamente controladores de domínio do Windows 2000, a conexão não funcionará. Para resolver esse comportamento, controladores de domínio administrados remotamente devem ter, no mínimo, o Windows 2000 SP3 instalado. Caso contrário, será necessário desabilitar a assinatura LDAP nos clientes que executam as ferramentas de administração.Para obter mais informações sobre LDAP, clique nos números abaixo para ler os artigos na Base de Dados de Conhecimento Microsoft (alguns artigos podem estar em inglês):
      325465 Os controladores de domínio do Windows 2000 necessitam do Service Pack 3 ou posterior ao usar as ferramentas de administração do Windows Server 2003
      As seguintes situações usam autenticação NTLM:
      • Você administra controladores de domínio do Windows 2000 localizados em uma floresta externa conectada por um NTLM (não Kerberos) de confiança.
      • Você foca snap-ins do Console de gerenciamento Microsoft (MMC) em um controlador de domínio específico referenciado por seu endereço IP. Por exemplo, você clica em Iniciar, em Executar e digita o seguinte comando:
        dsa.msc /server=ipaddress
      Para determinar o nível de revisão do sistema operacional e do service pack dos controladores de domínio do Active Directory em um domínio do Active Directory, instale a versão para Windows Server 2003 do Repadmin.exe em um computador membro com Windows XP Professional ou com Windows Server 2003 na floresta e execute o seguinte comando repadmin em um controlador de domínio em cada domínio na floresta:
      >repadmin /showattrnome do controlador de domínio que está no domínio alvo ncobj:domain: /filter:"(&(objectCategory=computer)(primaryGroupID=516))" /subtree /atts:operatingSystem,operatingSystemVersion,operatingSystemServicePack

      DN: CN=NA-DC-01,organizational unit=Domain Controllers,DC=company,DC=com
      1> operatingSystem: Windows Server 2003
      1> operatingSystemVersion: 5.2 (3718)
      DN: CN=NA-DC-02,organizational unit=Domain Controllers,DC=company,DC=com

      1> operatingSystem: Windows 2000 Server
      1> operatingSystemVersion: 5.0 (2195)
      1> operatingSystemServicePack: Service Pack 1
      Observação: Os atributos do controlador de domínio não rastreiam a instalação de hotfixes individuais.
    2. Verifique a replicação de ponta a ponta do Active Directory por toda a floresta.

      Verifique se cada controlador de domínio na floresta atualizada duplica todos os seus contextos de nomeação mantidos localmente com seus parceiros de maneira consistente com a agenda definida pelos links do site e pelos objetos de conexão. Use a versão para Windows Server 2003 do Repadmin.exe em um computador membro com Windows XP ou com Windows Server 2003 na floresta com os seguintes argumentos:
      REPADMIN /REPLSUM /BYSRC /BYDEST /SORT:DELTA              <-output formatted to fit on pageDestDC    largest delta    fails/total  %%  errorNA-DC-01 13d.21h:10m:10s    97 / 143  67  (8240) There is no such object...NA-DC-02 13d.04h:11m:07s   180 / 763  23  (8524) The DSA operation...NA-DC-03 12d.03h:54m:41s     5 /   5 100  (8524) The DSA operation...
      Todos os controladores de domínio na floresta devem duplicar o Active Directory sem erro e os valores na coluna "Maior Delta" do resultado do repadmin não devem ser muito maiores do que a freqüência de replicação nos links de sites ou objetos de conexão correspondentes usados por um determinado controlador de domínio de destino.

      Resolva todo os erros de replicação entre os controladores de domínio que falharam com a replicação de entrada em um número de dias menor do que a vida útil para desativação (TSL) (por padrão, 60 dias). Se não for possível fazer a replicação funcionar, talvez seja necessário rebaixar forçosamente os controladores de domínio e removê-los da floresta usando o comando metadata cleanup do Ntdsutil e elevá-los de volta à floresta. É possível usar um rebaixamento forçado para salvar a instalação do sistema operacional e os programas que estão um em controlador de domínio órfão. Para obter mais informações sobre como remover controladores de domínio órfãos do Windows 2000 de seus domínios, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
      216498 Como remover dados do Active Directory após o rebaixamento malsucedido do controlador de domínio
      Considere esta ação apenas como última alternativa para recuperar a instalação do sistema operacional e os programas instalados. Você perderá objetos não-replicados e atributos em controladores de domínio órfãos incluindo servidores, computadores, relações de confiança, suas senhas, grupos e associações de grupo.

      Tenha cuidado ao tentar resolver erros de replicação em controladores de domínio que não duplicaram alterações de entrada para uma partição do Active Directory específica para número de dias maior de que avida útil para desativação . Ao fazer isso, você poderá reanimar objetos que foram excluídos em um controlador de domínio, cuja exclusão nunca foi recebida pelos parceiros de replicação direta ou transitiva, nos 60 dias anteriores.

      Remova quaisquer objetos remanescentes que residam nos controladores de domínio que não realizaram replicação de entrada nos últimos 60 dias. Como alternativa, é possível rebaixar forçosamente controladores de domínio que não realizaram qualquer replicação de entrada em uma determinada partição no número de dias de vida útil para desativação e remover seus metadados remanescentes da floresta do Active Directory usando Ntdsutil e outros utilitários. Contate seu fornecedor de suporte ou o Atendimento Microsoft para obter ajuda adicional.
    3. Verifique se o conteúdo do compartilhamento de Sysvol está consistente.

      Verifique se a parte do sistema de arquivo da diretiva de grupo está consistente. É possível usar o Gpotool.exe pelo Resource Kit para determinar se existem inconsistências nas diretivas em um domínio. Use o Healthcheck das ferramentas de suporte do Windows Server 2003 para determinar se a replicação do compartilhamento de Sysvol define as funções corretamente em cada domínio.

      Se o conteúdo do compartilhamento de Sysvol estiver inconsistente, resolva todas as inconsistências.
    4. Use o Dcdiag.exe das ferramentas de suporte para verificar se todos os controladores de domínio possuem compartilhamentos Netlogon e Sysvol compartilhados. Para fazer isso, digite o seguinte comando em um prompt de comando:
      DCDIAG.EXE /e /test:frssysvol
    5. Faça um inventário das funções de operação.

      Os mestres de operações de esquema e infra-estrutura são usados para introduzir alterações de esquema de floresta e de todo o domínio à floresta e seus domínios, feitas pelo utilitário adprep do Windows Server 2003. Verifique se o controlador de domínio que hospeda a função de esquema e a função de infra-estrutura para cada domínio na floresta reside em controladores de domínio ativos e se cada proprietário de função realizou replicação de entrada em todas as partições desde que reiniciaram pela última vez.

      O comando DCDIAG /test:FSMOCHECK pode ser usado para exibir funções operacionais de toda a floresta e de todo o domínio. Funções mestre de operações que residam em controladores de domínio que não existem devem ser executadas em um controlador de domínio sadio usando NTDSUTIL. Funções que residam em controladores de domínio com problemas devem ser transferidas se possível. Caso contrário, deverão ser executadas. O comando NETDOM QUERY FSMO não identifica as funções FSMO que residam em controladores de domínio excluídos.

      Verifique se o mestre de esquema e cada mestre de infra-estrutura realizaram replicação de entrada do Active Directory desde a última inicialização. Replicação de entrada pode ser verificada usando o comando REPADMIN /SHOWREPSDCNAME, no qualDCNAME é o nome NetBIOS do computador ou nome de computador totalmente qualificado de um controlador de domínio.Para obter mais informações sobre mestres de operações e sua colocação, clique nos números abaixo para ler os artigos na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
      197132 Funções FSMO do Active Directory do Windows 2000
      223346 Colocação e otimização de FSMO em controladores de domínio do Active Directory
    6. Revisão do log de eventos

      Examine os logs de eventos em todos os controladores de domínio em busca de eventos problemáticos. Os logs de eventos não devem conter mensagens de evento que indicam um problema com qualquer um dos seguintes processos e componentes:
      conectividade física
      conectividade de rede
      registro de nome
      resolução de nome
      autenticação
      Diretiva de grupo
      diretiva de segurança
      subsistema de disco
      esquema
      topologia
      mecanismo de replicação
    7. Inventário de espaço em disco

      O volume que hospeda o arquivo de banco de dados do Active Directory, Ntds.dit, deve ter espaço livre em disco igual a no mínimo 15-20% do arquivo Ntds.dit. O volume que hospeda o arquivo de log do Active Directory também deve ter espaço livre em disco igual a no mínimo 15-20% do arquivo Ntds.dit. Para obter informações adicionais sobre como liberar espaço em disco adicional, consulte a seção "Controladores de domínio sem espaço em disco suficiente" deste artigo.
    8. Eliminação de DNS (Opcional)

      Habilitar a eliminação de DNS em um intervalo de 7 dias para todos os servidores DNS na floresta. Para obter melhores resultados, realize essa operação 61 dias, ou mais, antes de atualizar o sistema operacional. Isso fornece ao daemon de eliminação de DNS tempo suficiente para coletar os objetos DNS envelhecidos quando uma desfragmentação offline é realizada no arquivo Ntds.dit.
    9. Desabilitar o serviço do servidor DLT (Opcional)

      O serviço do servidor DLT é desabilitado em instalações novas e atualizadas dos controladores de domínio do Windows Server 2003. Se o rastreamento de link distribuído não for usado, é possível desabilitar o serviço do servidor DLT nos seus controladores de domínio do Windows 2000 e começar a excluir objetos DLT de cada domínio na floresta. Para obter informações adicionais, consulte a seção "Recomendações da Microsoft para rastreamento de link distribuído" do seguinte artigo da Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
      312403 Rastreamento de link distribuído em controladores de domínio com Windows
    10. Backup do estado do sistema

      Faça um backup do estado do sistema de pelo menos dois controladores de domínio em cada domínio na floresta. É possível usar o backup para recuperar todos os domínios na floresta se a atualização não funcionar.

Microsoft Exchange 2000 em florestas do Windows 2000

ObservaçõesO esquema do Exchange 2000 define três atributos inetOrgPerson com LDAPDisplayNames compatíveis com não-RFC (Request for Comment): houseIdentifier, secretary e labeledURI.

O Windows 2000 inetOrgPerson Kit e o comando adprep do Windows Server 2003 define versões compatíveis com RFC dos mesmos três atributos com LDAPDisplayNames idênticos como as versões não compatíveis com RFC.

Quando o comando adprep /forestprep do Windows Server 2003 é executado sem scripts corretivos em uma floresta que contém alterações de esquema do Windows 2000 e do Exchange 2000, o LDAPDisplayNames para os atributos houseIdentifier, labeledURI e secretary se tornam desconfigurados. Um atributo se torna “desconfigurado” se "Dup" ou outros caracteres únicos forem adicionados ao início do nome do atributo em conflito de modo que os objetos e atributos no diretório possuam nomes únicos.


Florestas do Active Directory não são vulneráveis para LDAPDisplayNames desconfigurados para esses atributos nos seguintes casos:
  • Se executar o comando adprep /forestprep do Windows Server 2003 em uma floresta que contém o esquema do Windows 2000 antes de adicionar o esquema do Exchange 2000.
  • Se instalar o esquema do Exchange 2000 na floresta criada onde um controlador de domínio do Windows Server 2003 era o primeiro controlador de domínio na floresta.
  • Se adicionar o Windows 2000 inetOrgPerson a uma floresta que contém o esquema do Windows 2000 e instalar as alterações de esquema do Exchange 2000 e executar o comando adprep /forestprep do Windows Server 2003.
  • Se o esquema do Exchange 2000 for adicionado a uma floresta existente com o Windows 2000, execute Exchange 2003 /forestprep antes de executar o comando Windows Server 2003 adprep /forestprep.
Atributos desconfigurados irão ocorrer no Windows 2000 nos seguintes casos:
  • Se adicionar as versões para o Exchange 2000 dos atributos labeledURI, houseIdentifier e secretary a uma floresta do Windows 2000 antes de instalar o Windows 2000 inetOrgPerson Kit.
  • Você adiciona as versões para Exchange 2000 dos atributos labeledURI, houseIdentifier e secretary para uma floresta do Windows 2000 antes de executar o comando adprep /forestprep do Windows Server 2003 sem executar primeiro os scripts de limpeza.
A seguir estão os planos de ação para cada situação:

Situação 1: Alterações de esquema do Exchange 2000 são adicionadas após a execução do comando adprep /forestprep do Windows Server 2003

Se as alterações de esquema do Exchange 2000 forem introduzidas à sua floresta do Windows 2000 após a execução do comando adprep /forestprep do Windows Server 2003 , não será necessária nenhuma limpeza. Vá para a seção "Visão geral: Atualizando os controladores de domínio do Windows 2000 para o Windows Server 2003".

Situação 2: Alterações de esquema do Exchange 2000 serão instaladas antes do comando adprep /forestprep do Windows Server 2003

Se as alterações de esquema do Exchange 2000 já tiverem sido instaladas, mas você NÃO tiver executado o comando adprep /forestprep Windows Server 2003, considere o seguinte plano de ação:
  1. Faça o logon no console do mestre de operações do esquema usando uma conta que é membro do grupo de segurança Administradores de esquema .
  2. Clique em Iniciar, em Executar, digite notepad.exe na caixa Abrir e clique em OK.
  3. Copie o seguinte texto incluindo o hífen após "schemaUpdateNow: 1" no Bloco de notas.
    dn: CN=ms-Exch-Assistant-Name,CN=Schema,CN=Configuration,DC=X
    alterar_tipo: Modificar
    replace:LDAPDisplayName
    LDAPDisplayName: msExchAssistantName
    -

    dn: CN=ms-Exch-LabeledURI,CN=Schema,CN=Configuration,DC=X
    alterar_tipo: Modificar
    substituir: LDAPDisplayName
    LDAPDisplayName: msExchLabeledURI
    -

    dn: CN=ms-Exch-House-Identifier,CN=Schema,CN=Configuration,DC=X
    alterar_tipo: Modificar
    substituir: LDAPDisplayName
    LDAPDisplayName: msExchHouseIdentifier
    -

    dn:
    alterar_tipo: Modificar
    add: schemaUpdateNow
    schemaUpdateNow: 1
    -
  4. Veja se não haja espaço ao final de cada linha.
  5. No menu Arquivo, clique em Salvar. Na caixa de diálogo Salvar como, execute estas etapas:
    1. Na caixa Nome do arquivo, digite o seguinte:
      \%userprofile%\InetOrgPersonPrevent.ldf
    2. Na caixa Salvar como tipo, clique em Todos os arquivos.
    3. Na caixa Codificação, clique em Unicode.
    4. Clique em Salvar.
    5. Encerre o Bloco de notas.
  6. Execute o script InetOrgPersonPrevent.ldf.
    1. Clique em Iniciar, em Executar, digite cmd na caixa Abrir e clique em OK.
    2. Em um prompt de comando, digite o seguinte e pressione ENTER:
      cd%userprofile%
    3. Digite o seguinte comando
      c:\documents and settings\%username%>ldifde -i -f inetorgpersonprevent.ldf -v -c DC=X "caminho do nome de domínio para o domínio raiz da floresta"
      Observações sobre a sintaxe:
      • DC=X é uma constante que diferencia maiúscula de minúscula.
      • O caminho do nome de domínio para o domínio raiz deve estar entre aspas.
      Por exemplo, a sintaxe de comando para uma floresta do Active Directory cujo domínio raiz da floresta é TAILSPINTOYS.COM seria:
      c:\documents and settings\administrator>ldifde -i -f inetorgpersonprevent.ldf -v -c DC=X "dc=tailspintoys,dc=com"
      Observação Talvez seja preciso alterar a subchave do Registro
      Schema Update Allowed
      caso a seguinte mensagem de erro seja exibida:
      A atualização do Esquema não é permitida neste CD porque a chave do Registro não está definida ou porque o CD não está no proprietário da função do FSMO do esquema.
      Para obter mais informações sobre como alterar a subchave do Registro, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
      285172 Atualização de esquema requer acesso de gravação no esquema no Active Directory
  7. Verifique se o LDAPDisplayNames para os atributos CN=ms-Exch-Assistant-Name, CN=ms-Exch-LabeledURI CN=ms-Exch-House-Identifier no contexto de nomeação de esquema aparecem agora como msExchAssistantName, msExchLabeledURI e msExchHouseIdentifier antes de executar os comandos adprep /forestprep do Windows Server 2003.
  8. Vá para a seção "Visão geral: Atualizando os controladores de domínio do Windows 2000 para Windows Server 2003 " para executar os comandos adprep /forestprep e /domainprep.

Situação 3: O comando forestprep do Windows Server 2003 foi executado sem executar primeiro o inetOrgPersonFix

Se executar o comando adprep /forestprep do Windows Server 2003 em uma floresta do Windows 2000 que contenha as alterações de esquema do Exchange 2000, os atributos de LDAPDisplayName para houseIdentifier, secretary e labeledURI irão se tornar desconfigurados. Para identificar nomes desconfigurados, use Ldp.exe para localizar os atributos afetados:
  1. Instale Ldp.exe a partir da pasta Suporte\Ferramentas na mídia do Microsoft Windows 2000 ou do Windows Server 2003.
  2. Inicie o Ldp.exe a partir de um controlador de domínio ou computador membro na floresta.
    1. No menu Conexão, clique emConectar, deixe a caixa Server vazia, digite 389 na caixa Porta e clique em OK.
    2. No menu Conexão, clique em Vincular, deixe todas as caixas vazias e clique em OK.
  3. Registre o caminho do nome distinto para o atributo SchemaNamingContext. Por exemplo, para um controlador de domínio na floresta CORP.ADATUM.COM, o caminho do nome distinto pode ser CN=Schema,CN=Configuration,DC=corp,DC=company,DC=com.
  4. No menu Procurar, clique em Pesquisar.
  5. Use as seguintes configurações para configurar a caixa de diálogo Pesquisar:
    • Base DN: O caminho do nome distinto para o contexto de nomeação de esquema identificado na etapa 3.
    • Filtro: (ldapdisplayname=dup*)
    • Scope: Subárvore
  6. Atributos houseIdentifier, secretary e labeledURI desconfigurados possuem atributos LDAPDisplayName semelhantes ao seguinte formato:
    LDAPDisplayName: DUP-labeledURI-9591bbd3-d2a6-4669-afda-48af7c35507d;
    LDAPDisplayName: DUP-secretary-c5a1240d-70c0-455c-9906-a4070602f85f
    LDAPDisplayName: DUP-houseIdentifier-354b0ca8-9b6c-4722-aae7-e66906cc9eef
  7. Se o LDAPDisplayNames para labeledURI, secretary e houseIdentifier forem desconfigurados na etapa 6, execute o script InetOrgPersonFix.ldf do Windows Server 2003 para recuperar e vá para a seção "Atualizando os controladores de domínio do Windows 2000 com o Winnt32.exe".
    1. Crie uma pasta chamada %Systemdrive%\IOP e extraia o arquivo InetOrgPersonFix.ldf para essa pasta.
    2. Em um prompt de comando, digite cd %systemdrive%\iop
    3. Extraia o arquivo InetOrgPersonFix.ldf do arquivo Support.cab localizado na pasta Suporte\Ferramentas da mídia de instalação do Windows Server 2003.
    4. Pelo console do mestre de operações do esquema, carregue o arquivo InetOrgPersonFix.ldf usando Ldifde.exe para corrigir o atributo LdapDisplayName dos atributos houseIdentifier, secretary e labeledURI. Para fazer isso, digite o seguinte comando, no qual <X> é uma constante que diferencia maiúscula de minúscula e <caminho dn para domínio raiz da floresta> é o caminho do nome do domínio para o domínio raiz da floresta:
      C:\IOP>ldifde -i -f inetorgpersonfix.ldf -v -c DC=X "caminho do nome de domínio para o domínio raiz da floresta"
      Observações sobre a sintaxe:
      • DC=X é uma constante que diferencia maiúscula de minúscula.
      • O caminho do nome de domínio para o domínio raiz da floresta deve estar entre aspas.
  8. Verifique se os atributos houseIdentifier, secretary e labeledURI no contexto de nomeação do esquema não estão "desconfigurados" antes de instalar o Exchange 2000.
Para obter mais informações sobre um conflito de esquema relacionado com o Services para UNIX versão 2.0, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
293783 Não é possível atualizar o servidor do Windows 2000 apara Windows Server 2003 com o Windows Services para UNIX 2.0 instalado

Visão geral: Atualizando os controladores de domínio do Windows 2000 para Windows Server 2003

O comando adprep do Windows Server 2003 executado a partir da pasta \I386 na mídia do Windows Server 2003 prepara uma floresta do Windows 2000 e seus domínios para a adição dos controladores de domínio do Windows Server 2003. O comando adprep /forestprep do Windows Server 2003 adiciona os seguintes recursos:
  • Descritores de segurança padrão aperfeiçoados para classes de objetos
  • Novos atributos de usuário e de grupo
  • Novos objetos de esquema e atributos como inetOrgPerson
O utilitário adprep é compatível com dois argumentos de linha de comando:
adprep /forestprep: Executa operações de atualização de floresta.
adprep /domainprep: Executa operações de atualização de domínio.
O comando adprep /forestprep é uma operação única realizada no mestre de operações de esquema (FSMO) da floresta. A operação forestprep deve ser concluída e replicada para o mestre de infra-estrutura de cada domínio antes de executar o adprep /domainprep nesse domínio.

O comando adprep /domainprep é uma operação única executada no controlador de domínio mestre de operações de infra-estrutura de cada domínio na floresta que irá hospedar controladores de domínio do Windows Server 2003 novos ou atualizados. O comando adprep /domainprep verifica se as alterações do forestprep foram replicadas na partição do domínio e faz suas próprias alterações na partição do domínio e nas diretivas de grupo no compartilhamento de Sysvol.

Não é possível realizar as seguintes ações a menos que as operações /forestprep a /domainprep tenham sido concluídas e replicadas para todos os controladores de domínio nesse domínio:
  • Atualizar os controladores de domínio do Windows 2000 para controladores de domínio do Windows Server 2003 usando Winnt32.exe.

    Observação: É possível atualizar os servidores e computadores membro do Windows 2000 para computadores membros do Windows Server 2003 quando quiser.
  • Eleve novos controladores de domínio do Windows Server 2003 para o domínio usando o Dcpromo.exe.
O domínio que hospeda o mestre de operações de esquema é o único domínio no qual devem ser executados adprep /forestprep e adprep /domainprep. Em todos os outros domínios, é necessário executar apenas adprep /domainprep.

Os comandos adprep /forestprep e adprep /domainprep não adicionam atributos ao conjunto de atributos parciais do catálogo global ou causam uma sincronização completa do catálogo global. A versão RTM do adprep /domainprep causa uma sincronização completa da pasta \Policies na árvore Sysvol. Mesmo que forestprep e domainprep sejam executados diversas vezes, as operações concluídas são realizadas apenas uma vez.

Após as alterações de adprep /forestprep e adprep /domainprep terem sido replicadas completamente, é possível atualizar os controladores de domínio do Windows 2000 para Windows Server 2003 executando Winnt32.exe a partir da pasta \I386 da mídia do Windows Server 2003. Além disso, é possível adicionar novos controladores de domínio do Windows Server 2003 ao domínio usando o Dcpromo.exe.

Atualizando a floresta com o comando adprep /forestprep

Para preparar uma floresta e domínios do Windows 2000 para aceitar controladores de domínio do Windows Server 2003, execute estas etapas em um ambiente de laboratório primeiro e, então, em um ambiente de produção:
  1. Verifique se concluiu todas as operações na fase "Inventário de floresta" com atenção especial aos seguintes itens:
    1. Você criou backups do estado do sistema.
    2. Todos os controladores de domínio do Windows 2000 na floresta possuem os hotfixes e os service packs adequados instalados.
    3. Replicação de ponta a ponta do Active Directory está ocorrendo por toda a floresta
    4. FRS duplica a diretiva de sistema de arquivo corretamente em cada domínio.
  2. Faça o logon no console do mestre de operações do esquema com uma conta que é membro do grupo de segurança Administradores de esquema .
  3. Verifique se o esquema FSMO realizou replicação de entrada da partição de esquema digitando o seguinte em um prompt de comando do Windows NT:
    repadmin /showreps
    (repadmin é instalado pela pasta Suporte\Ferramentas do Active Directory.)
  4. Documentações anteriores da Microsoft recomendam que o mestre de operações de esquema seja isolado em uma rede privada antes da execução do adprep /forestprep. Experiências reais sugerem que esta etapa não é necessária e pode fazer com que o mestre de operações de esquema rejeite as alterações de esquema ao ser reiniciado em uma rede privada. Se quiser isolar as adições de esquema feitas pelo adprep, a Microsoft recomenda que você desabilite temporariamente a replicação de saída do Active Directory com o utilitário de linha de comando repadmin. Para fazer isto, execute as seguintes etapas:
    1. Clique em Iniciar, em Executar, digite cmd e clique em OK.
    2. Digite o seguinte e pressione ENTER:
      repadmin /options +DISABLE_OUTBOUND_REPL
  5. Execute adprep no mestre de operações de esquema. Para fazer isso, clique em Iniciar, em Executar, digite cmd e clique em OK. No mestre de operações de esquema, digite o seguinte comando
    X:\I386\adprep /forestprep
    no qualX:\I386\ é o caminho da mídia de instalação do Windows Server 2003. Esse comando executa a atualização de esquema por toda a floresta.

    Observação Eventos com identificação de evento 1153 registrados no log de eventos do Serviço de diretório, como o exemplo seguinte, podem ser ignorados:

    Tipo de evento: Erro
    Origem do evento: NTDS Geral
    Categoria: Processamento interno
    Identificação do evento: 1153
    Data: DD/MM/AAAA
    Hora: HH:MM:SS
    Usuário: Computador Todos: <Algum DC>
    Descrição: Identificador de classe 655562 (nome de classe msWMI-MergeablePolicyTemplate) possui uma superclasse 655560 inválida. Herança ignorada.

  6. Verifique se o comando adprep /forestprep foi executado com êxito no mestre de operações de esquema. Para fazer isso, pelo console do mestre de operações de esquema, verifique os seguintes itens:
    • O comando adprep /forestprep foi concluído sem erros.
    • O objeto CN=Windows2003Update está gravado sob CN=ForestUpdates,CN=Configuration,DC=domínio raiz da floresta. Registre o valor do atributo Revision.
    • (Opcional) A versão do esquema incrementada para versão 30. Para fazer isso, consulte o atributo ObjectVersion sob CN=Schema,CN=Configuration,DC=domínio raiz da floresta.
    Se adprep /forestprep não executar, verifique os seguintes itens:
    • O caminho totalmente qualificado para Adprep.exe localizado na pasta \I386 da mídia de instalação foi especificada ao executar o adprep. Para fazer isso, digite o seguinte comando:
      x:\i386\adprep /forestprep
      no qualx é a unidade que hospeda a mídia de instalação.
    • O usuário conectado que executa adprep possui associação com o grupo de segurança Administradores de esquema. Para verificar isso, use o comando whoami /all.
    • Se adprep ainda não funcionar, exiba o arquivo Adprep.log na pasta %systemroot%\System32\Debug\Adprep\Logs\Último_log .
  7. Se desabilitou a replicação de saída no mestre de operações de esquema na etapa 4, ative a replicação de modo que as alterações de esquema feitas pelo adprep /forestprep possam se propagar. Para fazer isto, execute as seguintes etapas:
    1. Clique em Iniciar, em Executar, digite cmd e clique em OK.
    2. Digite o seguinte e pressione ENTER:
      repadmin /options -DISABLE_OUTBOUND_REPL
  8. Verifique se as alterações de adprep /forestprep duplicaram em todos os controladores de domínio na floresta. É útil monitorar os seguintes atributos:
    1. Incrementando a versão do esquema
    2. O CN=Windows2003Update, CN=ForestUpdates,CN=Configuration,DC=domínio raiz da floresta ou CN=Operations,CN=DomainUpdates,CN=System,DC=domínio raiz da floresta e os GUIDs de operações sob ele foram replicados.
    3. Procure por novas classes de esquema, objetos, atributos ou outras alterações que o adprep /forestprep adiciona, como o inetOrgPerson. Exiba os arquivos SchXX.ldf (no qualXX é um número entre 14 e 30) na pasta %systemroot%\System32 para determinar quais objetos e atributos deveriam existir. Por exemplo, inetOrgPerson é definido em Sch18.ldf.
  9. Procure por LDAPDisplayNames desconfigurados.

    Se o Exchange 2000 foi instalado antes da execução do comando adprep /forestprep do Windows Server 2003, consulte o artigo a seguir na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
    314649 Comando adprep /forestprep do Windows Server 2003 faz com que os atributos sejam desconfigurados nas florestas do Windows 2000 que contêm servidores do Exchange 2000
    Se encontrar nomes desconfigurados, vá até o Cenário 3 do mesmo artigo.
  10. Faça o logon no console do mestre de operações de esquema com uma conta que é membro do grupo de segurança Administradores de esquema da floresta que hospeda o mestre de operações de esquemas.

Atualizando o domínio com o comando adprep /domainprep

Execute adprep /domainprep após as alterações de /forestprep serem replicadas totalmente para o controlador de domínio mestre de infra-estrutura em cada domínio que irá hospedar os controladores de domínio do Windows Server 2003. Para fazer isto, execute as seguintes etapas:
  1. Identifique o controlador de domínio mestre de infra-estrutura no domínio que está atualizando e faça o logon com uma conta que é membro do grupo de segurança Administradores de domínio no domínio que está atualizando.

    Observação: O administrador de empresas pode não ser um membro do grupo de segurança Administradores de domínio em domínios filho da floresta.
  2. Execute adprep /domainprep no mestre de infra-estrutura. Para fazer isso, clique em Iniciar, em Executar, digite cmd e no mestre de infra-estrutura digite o seguinte comando:
    X:\I386\adprep /domainprep
    , no qual X:\I386\ é o caminho da mídia de instalação do Windows Server 2003. Este comando executa alterações em todo o domínio no domínio alvo.

    Observação: O comando adprep /domainprep modifica permissões de arquivos no compartilhamento de Sysvol. Essas modificações causam uma sincronização de arquivos total nessa árvore de diretório.
  3. Verifique se domainprep foi concluído com êxito. Para fazer isso, verifique os seguintes itens:
    • O comando adprep /domainprep foi concluído sem erros.
    • O objeto CN=Windows2003Update,CN=DomainUpdates,CN=System,DC=caminho dn do domínio que está atualizando existe
    Se adprep /domainprep não executar, verifique os seguintes itens:
    • O usuário conectado que executa adprep possui associação com o grupo de segurança Administradores de domínio no domínio que está atualizando. Para fazer isso, use o comando whoami /all.
    • O caminho totalmente qualificado para Adprep.exe localizado no diretório \I386 da mídia de instalação foi especificada ao executar o adprep. Para fazer isso, digite o seguinte comando em um prompt de comando:
      x:\i386\adprep /forestprep
      no qualx é a unidade que hospeda a mídia de instalação.
    • Se adprep ainda não funcionar, exiba o arquivo Adprep.log na pasta %systemroot%\System32\Debug\Adprep\Logs\Último_log .
  4. Verifique se as alterações de adprep /domainprep foram replicadas. Para fazer isso, para os controladores de domínio restantes nos domínios, verifique os seguintes itens:
    • O objeto CN=Windows2003Update,CN=DomainUpdates,CN=System,DC=caminho dn do domínio que está atualizando existe e o valor para o atributo Revision corresponde ao valor do mesmo atributo no mestre de infra-estrutura do domínio.
    • (Opcional) Procure por alterações em objetos, atributos ou lista de controle de acesso (ACL) que o adprep /domainprep adicionou.
    Repita as etapas 1-4 no mestre de infra-estrutura dos domínios restantes em massa ou à medida que adiciona ou atualiza controladores de domínio nesses domínios para o Windows Server 2003. Agora é possível elevar novos computadores com Windows Server 2003 a floresta usando DCPROMO. Ou, é possível atualizar controladores de domínio do Windows 2000 existentes para Windows Server 2003 usando oWINNT32.EXE.

Atualizando controladores de domínio do Windows 2000 usando o Winnt32.exe

Após as alterações de /forestprep e /domainprep terem sido replicadas completamente e você ter tomado uma decisão sobre interoperabilidade de segurança com clientes de versões anteriores, é possível atualizar controladores de domínio do Windows 2000 para Windows Server 2003 e adicionar novos controladores de domínio do Windows Server 2003 ao domínio.

Os seguinte computadores devem estar entre os primeiros controladores de domínio que executam o Windows Server 2003 na floresta em cada domínio:
  • O mestre de nomeação de domínio na floresta para que seja possível criar partições de programa DNS padrão.
  • O controlador de domínio primário do domínio raiz da floresta para que os principais de segurança de toda a empresa que o forestprep do Windows Server 2003 adiciona se torne visível no editor ACL.
  • O controlador de domínio primário em cada domínio que não for raiz de modo que seja possível criar novos principais de segurança do Windows 2003 específicos do domínio.
Para fazer isso, use o WINNT32 para atualizar controladores de domínio existentes que hospedem a função operacional que deseja. Ou, transferir a função para um controlador de domínio do Windows Server 2003 recém-elevado. Realize as seguintes etapas para cada controlador de domínio do Windows 2000 atualizado para Windows Server 2003 com o WINNT32 e para cada grupo de trabalho ou computador membro com Windows Server 2003 que elevar:
  1. Antes de usar o WINNT32 para atualizar computadores membros e controladores de domínio do Windows 2000, remova as Ferramentas de administração do Windows 2000. Para fazer isso, use a ferramenta Adicionar ou remover programas do Painel de controle. (Atualizações do Windows 2000 apenas.)
  2. Instale todos os arquivos de hotfix ou outras correções que a Microsoft ou o administrador determinar como importantes.
  3. Verifique cada controlador de domínio em busca de possíveis problemas de atualização. Para fazer isso, execute o seguinte comando a partir da pasta \I386 da mídia de instalação:
    winnt32.exe /checkupgradeonly
    Resolva quaisquer problemas que o verificador de compatibilidade identificar.
  4. Execute o WINNT32.EXE a partir da pasta \I386 da mídia de instalação e reinicie o controlador de domínio 2003 atualizado.
  5. Reduza as configurações de segurança para clientes com versão anterior, conforme requerido.

    Se clientes Windows NT 4.0 não possuírem NT 4.0 SP6 ou clientes Windows 95 não possuírem o cliente do serviço de diretório instalado, desative a assinatura de serviço SMB na diretiva de Controladores de domínio padrão da unidade organizacional dos Controladores de domínio e, então, vincule esta diretiva a todas as unidades organizacionais que hospedam controladores de domínio.
    Configuração do computador\Windows Settings\Security Settings\Local Policies\Security Options\Microsoft Network Server: assinar digitalmente a comunicação (sempre)
  6. Verifique a condição da atualização usando os seguintes pontos de dados:
    • A atualização foi concluída com êxito.
    • Os hotfixes adicionados à instalação substituíram com êxito os binários originais.
    • Replicação de entrada e saída do Active Directory está ocorrendo para todos os contextos de nomeação mantidos pelo controlador de domínio.
    • Os compartilhamentos de Netlogon e de Sysvol existem.
    • O log de evento indica que o controlador de domínio e seus serviços estão sadios.

      Observação: A seguinte mensagem de evento pode ser exibida após a atualização:

      Tipo de evento: Erro
      Origem do evento: Backup NTDS
      Categoria: Backup
      Identificação do evento: 1913
      Data: Data
      Hora: HH:MM:SS
      Usuário: N/A
      Computador: nome_do_computador
      Descrição: Erro interno: O backup do Active Directory e a operação de restauração encontraram um erro inesperado. O backup ou a restauração não terão êxito até que isso seja corrigido.

      Essa mensagem de evento pode ser ignorada com segurança.
  7. Instale as Ferramentas de administração do Windows Server 2003 (apenas atualizações do Windows 2000 e Windows Server 2003 que não sejam controladores de domínio). Adminpak.msi está na pasta \I386 do CD-ROM do Windows Server 2003. A mídia do Windows Server 2003 contém ferramentas de suporte atualizadas no arquivo Suporte\Ferramentas\Suptools.msi. Certifique-se de reinstalar esse arquivo.
  8. Faça novos backups de pelo menos os dois primeiros controladores de domínio do Windows 2000 atualizados para Windows Server 2003 em cada domínio na floresta. Coloque os backups dos computadores com Windows 2000 atualizados para Windows Server 2003 em armazenamento bloqueado para que não os use acidentalmente para restaurar um controlador de domínio que agora excuta o Windows Server 2003.
  9. (Opcional) Realize uma desfragmentação offline do banco de dados do Active Directory nos controladores de domínio atualizados para Windows Server 2003 após o armazenamento de instância única (SIS) ter sido concluído (apenas atualizações do Windows 2000).

    O SIS revisa as permissões existentes nos objetos armazenados no Active Directory e então, aplica um descritor de segurança mais eficiente nesse objetos. O SIS inicia automaticamente (identificado pelo evento 1953 no log de eventos do serviço de diretório) quando controladores de domínio atualizados iniciam pela primeira vez o sistema operacional do Windows Server 2003. Você será beneficiado pelo armazenamento do descritor de segurança aperfeiçoado apenas quando registrar uma mensagem de evento de identificação de evento 1966 no log de eventos do serviço de diretório:

    Tipo de evento: Informações
    Origem do evento: NTDS SDPROP
    Categoria: Processamento interno
    Identificação do evento: 1966
    Data: DD/MM/AAAA
    Hora: HH:MM:SS
    Usuário: AUTORIDADE NT\LOGON ANÔNIMO
    Computador: <nome_do_computador>
    Descrição: O propagador do descritor de segurança concluiu um passe de propagação completo.
    Espaço alocado (MB):
    XX espaço livre (MB): XX

    Isso pode ter aumentado o espaço livre no banco de dados do Active Directory.
    Ação do usuário: Considere desfragmentar no modo offline o banco de dados para recuperar o espaço livre que possa estar disponível no banco de dados do Active Directory. Para obter mais informações, consulte o Centro de Ajuda e Suporte em http://support.microsoft.com.

    Esta mensagem de evento indica que a operação de armazenamento de instância única foi concluída e serve como uma fila para o administrador realizar as desfragmentação offline do Ntds.dit usando NTDSUTIL.EXE.

    A desfragmentação offline pode reduzir o tamanho de um arquivo Ntds.dit do Windows 2000 em até 40%, melhorar o desempenho do Active Directory e atualizar as páginas no banco de dados para um armazenamento mais eficiente de atributos Link Valued. Para obter mais informações sobre como desfragmentar o banco de dados do Active Directory, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
    232122 Realizando desfragmentação offline do banco de dados do Active Directory
  10. Investigue o serviço do servidor DLT. Os controladores de domínio do Windows Server 2003 desativam o serviço do servidor DLT em instalações novas e atualizadas. Se os clientes Windows 2000 ou Windows XP na sua organização usarem o serviço do servidor DLT, use a Diretiva de grupo para habilitar o serviço do servidor DLT em controladores de domínio novos ou atualizados do Windows Server 2003. Caso contrário, exclua incrementalmente objetos de rastreamento de link distribuído do Active Directory. Para obter mais informações, clique nos números abaixo para ler os artigos na Base de Dados de Conhecimento Microsoft (alguns artigos podem estar em inglês):
    312403 Rastreamento de link distribuído em controladores de domínio com Windows
    315229 Versão em texto do Dltpurge.vbs para artigo da Base de Dados de Conhecimento Microsoft Q312403
    Se excluir em massa milhares de objetos DLT ou outros objetos, será possível bloquear a replicação devido a falta de armazenamento de versão. Esperevida útil para desativação (por padrão, 60 dias) após excluir o último objeto DLT e pela conclusão da coleta de lixo e use o NTDSUTIL.EXE para realizar uma desfragmentação offline do arquivo Ntds.dit.
  11. Configure a estrutura de unidade organizacional de melhor prática. A Microsoft recomenda que os administradores implantem a estrutura de unidade organizacional de melhor prática em todos os domínios do Active Directory e após atualizar ou implantar os controladores de domínio do Windows Server 2003 no modo de domínio do Windows, redirecione os recipientes padrão que APIs de versões anteriores usaram para criar usuários, computadores e grupos para um recipiente de unidade organizacional que o administrador especifica.

    Para obter informações adicionais sobre a estrutura de unidade organizacional de melhor prática, exiba a seção "Criando um design de unidade organizacional" do documento "Design do Active Directory de melhor prática para gerenciamento de redes do Windows". Para ler esse documento, visite o seguinte site da Microsoft (em inglês): Para obter mais informações sobre como alterar o recipiente padrão onde os usuários, os computadores e os grupos criados por versões anteriores de APIs estão localizados, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
    324949 Redirecionando os recipientes de usuários e computadores nos domínios do Windows Server 2003
  12. Repita as etapas 1 a 10 conforme necessário para cada controlador de domínio do Windows Server 2003 novo ou atualizado na floresta e a etapa 11 (estrutura de unidade organizacional de melhor prática) para cada domínio do Active Directory.

    Em resumo:
    • Atualize os controladores de domínio do Windows 2000 com WINNT32 (a partir da mídia de instalação corrigida, se usada)
    • Verifique se os arquivos corrigidos foram instalados nos computadores atualizados
    • Instale quaisquer hotfixes necessários que não estejam na mídia de instalação
    • Verifique a saúde em servidores novos ou atualizados ( AD, FRS, Diretiva etc)
    • Espere 24 horas após a atualização OS e, então, faça um desfragmentação offline (opcional)
    • Inicie o serviço DLT se precisar, caso contrário exclua objetos DLT usando q312403 / q315229 post forest wide domainpreps
    • Realize desfragmentação offline 60+ dias (nº de dias de vida útil para desativação e coleta de lixo) após a exclusão de objetos DLT

Execute atualizações em um ambiente de laboratório

Antes de atualizar controladores de domínio do Windows para um domínio de produção do Windows 2000, valide e refine seu processo de atualização no laboratório. Se a atualização de um ambiente de laboratório que espelha com precisão a floresta de produção é realizada sem problemas, é possível esperar resultados semelhantes em ambientes de produção. Para ambientes complexos, o ambiente de laboratório deve espelhar o ambiente de produção na seguintes áreas:
  • Hardware: tipo de computador, tamanho da memória, colocação do arquivo de paginação, tamanho do disco, configuração de desempenho e raid, níveis de revisão de BIOS e firmware
  • Software: versões do sistema operacional cliente e servidor, aplicativos clientes e servidor, versões do service pack, hotfixes, alterações de esquema, grupos de segurança, associações de grupo, permissões, configurações de diretiva, local e tipo de contagem de objeto, interoperabilidade de versão
  • Infra-estrutura de rede: WINS, DHCP, velocidade de link, largura de banda disponível
  • Carregar: Simuladores de carga podem simular alterações de senha, criação de objeto, replicação de Active Directory, autenticação de logon e outros eventos. O objetivo é não reproduzir a escala do ambiente de produção. Em vez disso, os objetivos são descobrir os custos e a freqüência de operações comuns e interpolar seus efeitos (consulta de nomes, tráfego de replicação, largura de banda e consumo do processador) no ambiente de produção com base nas suas necessidades atuais e futuras.
  • Administração: tarefas realizadas, ferramentas usadas, sistemas operacionais usados
  • Operação: capacidade, interoperabilidade
  • Espaço em disco: Observe o tamanho inicial, o pico e o final dos arquivos de log do sistema operacional, do Ntds.dit e do Active Directory nos controladores de domínio de catálogo global e não global em cada domínio após cada uma das seguintes operações:
    1. adprep /forestprep
    2. adprep /domainprep
    3. Atualizando os controladores de domínio do Windows 2000 para Windows Server 2003
    4. Realizando desfragmentação offline após atualizações de versões
Uma compreensão do processo de atualização e complexidade do ambiente combinados com a observação detalhada determina o andamento e o grau de cuidado aplicado para atualizar ambientes de produção. Ambientes com um número baixo de controladores de domínio e objetos do Active Directory conectados sobre links WAN de alta disponibilidade podem ser atualizados em poucas horas. Pode ser necessário tomar mais cuidado com implantações empresariais que possuem centenas de controladores de domínio ou centenas de milhares de objetos do Active Directory. Em casos com esse, pode ser necessário realizar a atualização por diversas semanas ou meses.

Use atualizações "Dry-run (execução de programas manualmente)" no ambiente de laboratório para realizar as seguintes tarefas:
  • Entender os trabalhos internos do processo de atualização e os riscos associados.
  • Expor áreas com possíveis problemas para o processo de implantação no seu ambiente.
  • Testar e desenvolver planos de retorno no caso da atualização não ter êxito.
  • Definir o nível apropriado de detalhe para aplicar ao processo de atualização para o domínio de produção.

Controladores de domínio sem espaço em disco suficiente

Em controladores de domínio sem espaço em disco suficientes, use as seguintes etapas para liberar espaço adicional em disco no volume que hospeda os arquivos Ntds.dit e Log:
  1. Excluir os arquivos não usados incluindo os arquivos *.tmp ou arquivos armazenados em cache que os navegadores da Internet usam. Para fazer isso, digite os seguintes comandos (pressione ENTER após cada comando):
    cd /dunidade\
    del *.tmp /s
  2. Exclua quaisquer usuários ou arquivos de despejo de memória. Para fazer isso, digite os seguintes comandos (pressione ENTER após cada comando):
    cd /dunidade\
    del *.dmp /s
  3. Remova temporariamente ou altere o local de arquivos que possam ser acessados a partir de outros servidores ou que possam ser reinstalados com facilidade. Arquivos que podem ser removidos e reinstalados com facilidade incluem ADMINPAK, ferramentas de suporte e todos os arquivos na pasta %systemroot%\System32\Dllcache.
  4. Exclua perfis de usuários antigos ou inúteis. Para fazer isso, clique em Iniciar, clique com o botão direito do mouse em Meu computador, clique em Propriedades, clique na guia Perfis de usuário e exclua todos os perfis referentes contas antigas e inúteis. Não exclua nenhum perfil que possa ser de contas de serviço.
  5. Exclua os símbolos em %systemroot%\Symbols. Para fazer isso, digite o seguinte comando:
    rd /s %systemroot%\symbols
    Dependendo se os servidores possuem um conjunto de símbolos pequeno ou completo, isso pode recuperar 70 MB a 600 MB aproximadamente.
  6. Realize uma desfragmentação offline. Uma desfragmentação offline do arquivo Ntds.dit pode liberar espaço, mas requer temporariamente o dobro do espaço do arquivo DIT atual. Realize a desfragmentação offline usando outros volumes locais se houver algum disponível. Ou, use o espaço em um servidor de rede melhor conectado para realizar a desfragmentação offline. Se o espaço em disco ainda não for suficiente, exclua incrementalmente contas de usuários desnecessárias, contas do computador, registros DNS e objetos DLT do Active Directory.

    Observação: O Active Directory não exclui objetos do banco de dados até que o número de dias devida útil para desativação (por padrão, 60 dias) tenham passado e a coleta de lixo tenha sido concluída. Se reduzir avida útil para desativação para um valor menor do que a replicação de ponta a ponta na floresta, poderá causar inconsistências no Active Directory.
Referências
Para obter mais informações, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
821076 Arquivos de Ajuda do Windows Server 2003 contêm informações incorretas sobre como atualizar um Domínio do Windows 2000
Propriedades

ID do Artigo: 325379 - Última Revisão: 01/19/2007 20:13:00 - Revisão: 21.3

  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Exchange 2000 Server Standard Edition
  • kbinfo KB325379
Comentários
ript" src="https://c.microsoft.com/ms.js" '="">