Làm thế nào để nâng cao Active Directory tên miền và rừng của các chức năng cấp

Hỗ trợ cho Windows Server 2003 đã kết thúc vào ngày 14 tháng 7 năm 2015

Microsoft đã kết thúc hỗ trợ cho Windows Server 2003 vào ngày 14 tháng 7 năm 2015. Thay đổi này đã ảnh hưởng đến các bản cập nhật phần mềm và tùy chọn bảo mật của bạn. Tìm hiểu ý nghĩa của điều này với bạn và cách thực hiện để luôn được bảo vệ.

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch máy của Microsoft chứ không phải do con người dịch. Microsoft cung cấp các bài viết do con người dịch và cả các bài viết do máy dịch để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng ngôn ngữ của bạn. Tuy nhiên, bài viết do máy dịch không phải lúc nào cũng hoàn hảo. Loại bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, giống như một người nước ngoài có thể mắc sai sót khi nói ngôn ngữ của bạn. Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra. Microsoft cũng thường xuyên cập nhật phần mềm dịch máy này.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này:322692
TÓM TẮT
Bài viết này bàn về nâng cao tên miền và rừng chức năng mức được hỗ trợ bởi bộ kiểm soát miền dựa trên Microsoft Windows Server 2003 hoặc mới hơn. Có những bản phát hành bốn của Active Directory, và chỉ các cấp đã thay đổi từ Windows NT Server 4.0 yêu cầu đặc biệt xem xét. Vì vậy, những thay đổi cấp độ khác được đề cập đến bằng cách sử dụng các phiên bản mới hơn, hiện tại hoặc cũ hơn của hệ điều hành bộ điều khiển tên miền, tên miền hoặc cấp chức năng rừng.

Chức năng cấp là một phần mở rộng của các chế độ hỗn hợp và các khái niệm bản địa chế độ được giới thiệu trong Microsoft Windows 2000 Server để kích hoạt tính năng Active Directory mới. Một số tính năng Active Directory bổ sung có sẵn khi tất cả các bộ điều khiển vùng đang chạy phiên bản Windows Server mới nhất trong một tên miền hoặc trong một khu rừng, và khi các quản trị viên kích hoạt chức năng cấp tương ứng trong lĩnh vực hoặc trong rừng.

Để kích hoạt tính năng tên miền mới nhất, tất cả các bộ điều khiển tên miền phải chạy các phiên bản hệ điều hành Windows Server mới nhất trong lĩnh vực. Nếu yêu cầu này được đáp ứng, các quản trị viên có thể nâng cao trình độ chức năng tên miền.
Để kích hoạt tính năng rừng toàn mới nhất, tất cả các bộ điều khiển tên miền trong rừng phải chạy các phiên bản hệ điều hành Windows Server tương ứng để cấp chức năng mong muốn rừng. Ngoài ra, hiện tên miền chức năng cấp đã phải ở cấp độ mới nhất. Nếu các yêu cầu này được đáp ứng, các quản trị viên có thể nâng cao trình độ chức năng rừng.

Nói chung, những thay đổi để các cấp tên miền và rừng chức năng là không thể thay đổi. Nếu sự thay đổi có thể được hoàn tác, một phục hồi rừng phải được sử dụng. Với hệ điều hành Windows Server 2008 R2, thay đổi tên miền chức năng cấp và rừng chức năng cấp có thể được cuộn ngược lại. Tuy nhiên, cuộn lại có thể được thực hiện tại chỉ các kịch bản cụ thể được mô tả trong bài viết Technet về các đơn vị chức năng Active Directory.

Chú ý Các cấp độ tên miền chức năng mới nhất và mới nhất rừng chức năng cấp ảnh hưởng đến chỉ cách có bộ kiểm soát miền hoạt động với nhau như một nhóm. Các khách hàng tương tác với các tên miền hoặc với rừng là không bị ảnh hưởng. Ngoài ra, các ứng dụng được không bị ảnh hưởng bởi những thay đổi tên miền chức năng cấp hoặc các đơn vị chức năng rừng. Tuy nhiên, các ứng dụng có thể tận dụng lợi thế của các tính năng tên miền mới nhất và các tính năng mới nhất của rừng.

Để biết thêm chi tiết, xem bài viết TechNet về các tính năng liên kết với các cấp độ chức năng.

Nâng cấp chức năng

Lưu ý Không nâng cao trình độ chức năng nếu các tên miền đã hoặc sẽ có một bộ điều khiển tên miền đó là một phiên bản cũ hơn phiên bản đó là trích dẫn cho cấp đó. Ví dụ, một Windows Server 2008 chức năng cấp cần thiết tất cả các bộ điều khiển vùng có Windows Server 2008 hoặc một hệ điều hành sau này được cài đặt trong tên miền hoặc trong rừng. Sau khi cấp chức năng tên miền được đưa lên đến một mức độ cao hơn, nó có thể chỉ được thay đổi trở lại đến một mức độ lớn tuổi bằng cách sử dụng một phục hồi rừng. Hạn chế này tồn tại do các tính năng thường xuyên thay đổi thông tin liên lạc giữa các bộ điều khiển vùng, hoặc do các tính năng thay đổi lưu trữ dữ liệu Active Directory trong cơ sở dữ liệu.

Các phương pháp phổ biến nhất để cho phép các cấp tên miền và rừng chức năng là để sử dụng các công cụ quản trị giao diện (GUI) người dùng đồ họa mà đã được diễn tả trong phần TechNet về cấp độ chức năng Windows Server 2003 Active Directory. Bài viết này thảo luận về Windows Server 2003.However, các bước là như nhau trong các mới hơn các phiên bản hệ điều hành. Ngoài ra, ở cấp độ chức năng có thể được cấu hình bằng tay hoặc có thể được cấu hình bằng cách sử dụng script Windows PowerShell. Để biết thêm chi tiết về làm thế nào để cấu hình cấp chức năng, xem "View và thiết lập chức năng cấp" phần.

Để biết thêm chi tiết về cách sử dụng kịch bản Windows PowerShell để đặt cấu hình cấp chức năng, xem TechNet bài viết mà thảo luận về phương pháp này.

Xem và đặt ở cấp độ chức năng bằng tay

Lightweight Directory Access Protocol (LDAP) mà các công cụ như Ldp.exe và Adsiedit.msc có thể được sử dụng để xem và chỉnh sửa các hiện tại tên miền và rừng chức năng cấp đặt. Khi bạn thay đổi các thuộc tính cấp chức năng thủ công, các thực hành tốt nhất là thay đổi thuộc tính trên bộ điều khiển tên miền linh hoạt duy nhất Master hoạt động (FSMO) bình thường nhắm mục tiêu của công cụ quản trị của Microsoft.

Thiết đặt cấp chức năng tên miền

CácmsDS hành vi-một phiên bản thuộc tính là vào ngữ cảnh đặt tên người đứng đầu (NC) cho tên miền, ví dụ, DC = corp, DC = contoso, DC = com.

Sau đây là các giá trị có thể được thiết lập cho thuộc tính này:
  • Có giá trị là 0 hoặc không đặt = hỗn hợp tên miền cấp cao
  • Giá trị là 1 = Windows Server 2003 tên miền cấp
  • Giá trị của 2 = Windows Server 2003 tên miền cấp
  • Giá trị của 3 = cấp độ tên miền Windows Server 2008
  • Giá trị của 4 = cấp độ tên miền Windows Server 2008 R2

Chế độ hỗn hợp và cài đặt chế độ bản xứ

CácntMixedDomainthuộc tính là vào ngữ cảnh đặt tên người đứng đầu (NC) cho tên miền, ví dụ, DC = corp, DC = contoso, DC = com.

Sau đây là các giá trị có thể được thiết lập cho thuộc tính này:
  • Giá trị là 0 = bản địa miền cấp
  • Giá trị là 1 = hỗn hợp tên miền cấp cao

Thiết lập cấp rừng

Các msDS hành vi-một phiên bản thuộc tính là trên CN = đối tượng phân vùng trong bối cảnh cấu hình đặt tên đó (NC), tức là, CN = phân vùng, CN = Configuration, DC =ForestRootDomain.

Sau đây là các giá trị có thể được thiết lập cho thuộc tính này:
  • Có giá trị là 0 hoặc không đặt = hỗn hợp cấp rừng
  • Giá trị là 1 = Windows Server 2003 tạm thời rừng cấp
  • Giá trị của 2 = Windows Server 2003 rừng cấp

    Chú ý Khi bạn tăng sự msDS hành vi-một phiên bản thuộc tính từ các 0 có giá trị để các 1 giá trị của usingAdsiedit.msc, bạn nhận được thông báo lỗi sau:
    Bất hợp pháp thay đổi hoạt động. Một số khía cạnh của các sửa đổi không được phép.
  • Giá trị của 3 = cấp độ tên miền Windows Server 2008
  • Giá trị của 4 = cấp độ tên miền Windows Server 2008 R2
Sau khi sử dụng các công cụ Lightweight Directory Access Protocol (LDAP) để chỉnh sửa chức năng cấp, bấm Ok để tiếp tục. Các thuộc tính trên phân vùng container và trên đầu tên miền một cách chính xác được tăng lên. Nếu một thông báo lỗi là báo cáo của các tập tin Ldp.exe, bạn một cách an toàn có thể bỏ qua các thông báo lỗi. Để xác minh rằng sự gia tăng mức độ thành công, làm tươi danh sách thuộc tính và sau đó kiểm tra thiết đặt hiện thời. Thông báo lỗi này cũng có thể xảy ra sau khi bạn đã thực hiện sự gia tăng mức độ ngày FSMO có thẩm quyền nếu sự thay đổi đã không được nhân rộng với bộ điều khiển tên miền địa phương.

Một cách nhanh chóng xem các thiết đặt hiện tại bằng cách sử dụng các tập tin Ldp.exe

  1. Bắt đầu tập tin Ldp.exe.
  2. Trên cácKết nối trình đơn, nhấp vào Kết nối.
  3. Xác định bộ điều khiển tên miền mà bạn muốn truy vấn, hoặc để lại không gian trống để kết nối với bất kỳ điều khiển vùng.
Sau khi bạn kết nối với bộ kiểm soát miền, thông tin RootDSE cho bộ điều khiển vùng xuất hiện. Thông tin này bao gồm các thông tin về bộ điều khiển rừng, tên miền, và tên miền. Đây là một ví dụ về một bộ điều khiển tên miền dựa trên Windows Server 2003. Trong ví dụ sau đây, giả sử rằng chế độ tên miền Windows Server 2003 và rằng chế độ rừng Windows 2000 Server.

Chú ý Các chức năng điều khiển tên miền đại diện cho cấp độ cao nhất có thể chức năng cho điều khiển vùng.
  • 1 > domainFunctionality: 2=(DS_BEHAVIOR_WIN2003)
  • 1 > forestFunctionality: 0=(DS_BEHAVIOR_WIN2000)
  • 1 > domainControllerFunctionality: 2=(DS_BEHAVIOR_WIN2003)

Yêu cầu khi bạn tự thay đổi ở cấp độ chức năng

  • Bạn phải thay đổi chế độ tên miền bản địa chế độ trước khi bạn nâng cao trình độ tên miền nếu một trong các điều kiện sau là đúng:
    • Ở cấp độ tên miền chức năng lập trình được nâng lên đến chức năng cấp bằng trực tiếp cách sửa đổi giá trị của các msdsBehaviorVersion thuộc tính vào các domainDNS đối tượng.
    • Tên miền chức năng cấp nâng cấp chức năng bằng cách sử dụng các tiện ích Ldp.exe hoặc tiện ích Adsiedit.msc.
    Nếu bạn không thay đổi chế độ tên miền bản địa chế độ trước khi bạn nâng cao trình độ tên miền, các hoạt động không hoàn tất thành công, và bạn nhận được các thông báo lỗi sau đây:
    SV_PROBLEM_WILL_NOT_PERFORM
    ERROR_DS_ILLEGAL_MOD_OPERATION
    Ngoài ra, thông báo sau đây đăng nhập đăng nhập dịch vụ thư mục:
    Thư mục hoạt động không thể Cập Nhật cấp chức năng của các tên miền sau do vùng trong chế độ hỗn hợp.

    Trong trường hợp này, bạn có thể thay đổi chế độ tên miền sang chế độ bản xứ bằng cách sử dụng hoạt động thư mục người sử dụng & Computers-theo, bằng cách sử dụng hoạt động thư mục tên miền & tín thác giao diện MMC snap-in hoặc bởi lập trình thay đổi giá trị của các ntMixedDomain thuộc tính đến 0 vào đối tượng domainDNS. Khi quá trình này được sử dụng để nâng cao độ chức năng tên miền 2 (Windows Server 2003), chế độ tên miền sẽ tự động được thay đổi sang chế độ bản xứ.
  • Sự chuyển tiếp từ chế độ hỗn hợp chế độ bản xứ thay đổi phạm vi của nhóm quản trị viên Schema bảo mật và an ninh nhóm người quản trị doanh nghiệp cho các nhóm phổ quát. Khi các nhóm đã được thay đổi để các nhóm phổ quát, thông báo sau đây đăng nhập trong đăng nhập hệ thống:

    Sự kiện loại: thông tin
    Sự kiện nguồn: SAM
    Tổ chức sự kiện ID: 16408
    Máy tính: Tên máy chủ
    Mô tả: "chế độ hoạt động tên miền đã được thay đổi sang chế độ bản xứ. Sự thay đổi không thể đảo ngược."

  • Khi công cụ quản trị của Windows Server 2003 được sử dụng để gọi tên miền chức năng cấp, cả những ntmixedmode thuộc tính và các msdsBehaviorVersion thuộc tính bị biến theo thứ tự đúng. Tuy nhiên, điều này không xảy luôn ra. Trong kịch bản sau đây, chế độ bản địa ngầm được thiết lập một giá trị của 0 mà không thay đổi phạm vi cho nhóm bảo mật Schema quản trị viên và nhóm bảo mật quản trị doanh nghiệp cho universal:
    • Các msdsBehaviorVersion thuộc tính điều khiển chế độ chức năng tên miền được bằng tay hoặc lập trình đặt giá trị của 2.
    • Rừng chức năng cấp được thiết lập để 2 bằng cách sử dụng bất kỳ phương pháp.
    Trong trường hợp này, bộ điều khiển vùng chặn quá trình chuyển đổi rừng chức năng cấp cho đến khi tất cả các lĩnh vực trong mạng địa phương được cấu hình để chế độ bản xứ và thay đổi thuộc tính yêu cầu được thực hiện trong phạm vi nhóm bảo mật:.

Chức năng cấp có liên quan đến Windows 2000 Server

Windows 2000 Server hỗ trợ chỉ hỗn hợp chế độ và chế độ bản xứ. Ngoài ra, nó chỉ áp dụng các chế độ này cho các chức năng tên miền. Những phần sau danh sách các chế độ Windows Server 2003 tên miền vì các chế độ này ảnh hưởng đến cách Windows NT 4.0 và Windows 2000 Server tên miền được nâng cấp.

Có một số cân nhắc khi nâng cấp hệ điều hành của điều khiển vùng. Những cân nhắc do giới hạn lưu trữ và nhân rộng các thuộc tính được liên kết trong chế độ Windows 2000 Server.

Windows 2000 Server hỗn hợp (mặc định)

  • Hỗ trợ bộ kiểm soát miền: Microsoft Windows NT 4.0, Windows 2000 Server, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2
  • Kích hoạt tính năng: danh mục các nhóm địa phương và toàn cầu, toàn cầu hỗ trợ

Windows 2000 Server bản xứ

  • Hỗ trợ bộ kiểm soát miền: Windows 2000 Server, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2
  • Kích hoạt tính năng: nhóm các nhóm làm tổ, phổ quát, Sid History, chuyển đổi các nhóm giữa các nhóm bảo mật và nhóm phân phối, bạn có thể nâng cao cấp độ tên miền bằng cách tăng các thiết lập cấp rừng

Windows Server 2003 tạm

  • Hỗ trợ bộ kiểm soát miền: Windows NT 4.0, Windows Server 2003
  • Hỗ trợ các tính năng: không có không có tính năng tên miền-rộng kích hoạt ở cấp độ này. Tất cả các tên miền trong một khu rừng được tự động nâng lên đến mức này khi rừng mức tăng để tạm thời. Chế độ này chỉ được sử dụng khi bạn nâng cấp bộ kiểm soát miền trong tên miền Windows NT 4.0 lên bộ kiểm soát miền Windows Server 2003.

Windows Server 2003

  • Hỗ trợ bộ kiểm soát miền: Windows Server 2003, Windows Server 2008, Windows Server 2008 R2
  • Hỗ trợ các tính năng: đổi tên bộ điều khiển tên miền, đăng nhập dấu thời gian thuộc tính Cập Nhật và nhân rộng. Sử dụng mật khẩu hỗ trợ trên InetOrgPerson objectClass. Đoàn đại biểu hạn chế, bạn có thể chuyển hướng người sử dụng và máy vi tính container.
Tên miền được nâng cấp từ Windows NT 4.0 hoặc tạo bởi việc thúc đẩy của một máy tính dựa trên Windows Server 2003 hoạt động ở Windows 2000 trộn cấp độ chức năng. Windows 2000 Server (en) duy trì của họ hiện tên miền chức năng cấp khi bộ kiểm soát miền Windows 2000 Server được nâng cấp lên hệ điều hành Windows Server 2003. Bạn có thể nâng cao cấp chức năng tên miền Windows 2000 Server bản xứ hoặc Windows Server 2003.

Mức độ tạm thời - nâng cấp từ một tên miền Windows NT 4.0

Windows Server 2003 Active Directory giấy phép đặc biệt rừng tên miền chức năng mức và được đặt tên tạm thời Windows Server 2003. Cấp độ chức năng này được cung cấp cho nâng cấp hiện có tên miền Windows NT 4.0 nơi một hoặc nhiều Windows NT 4.0 sao lưu miền lý (BDCs) phải hoạt động sau khi n├óng cß║Ñp. Bộ kiểm soát miền Windows 2000 Server không được hỗ trợ trong chế độ này. Windows Server 2003 tạm áp dụng cho các kịch bản sau đây:
  • Tên miền nâng cấp từ Windows NT 4.0 cho Windows Server 2003.
  • Windows NT 4.0 BDCs không nâng cấp ngay lập tức.
  • Windows NT 4.0 tên miền có chứa các nhóm với các thành viên hơn 5000 (trừ nhóm người sử dụng tên miền).
  • Không có kế hoạch thực hiện bộ kiểm soát miền Windows Server2000 ở rừng bất cứ lúc nào.
Windows Server 2003 tạm cung cấp hai cải tiến quan trọng trong khi vẫn cho phép sao nhân bản để Windows NT 4.0 BDCs:
  1. Hiệu quả làm bản sao các nhóm bảo mật, và hỗ trợ cho hơn 5000 thành viên cho mỗi nhóm.
  2. Cải tiến KCC inter-site các thuật toán máy phát điện tô pô.
Bởi vì hiệu quả trong nhân rộng nhóm được kích hoạt trong cấp tạm thời, cấp tạm thời là mức khuyến cáo cho tất cả các nâng cấp Windows NT 4.0. Hãy xem phần "Thực hành tốt nhất" của bài viết này cho biết thêm chi tiết.

Thiết lập Windows Server 2003 tạm thời rừng chức năng cấp

Windows Server 2003 tạm thời có thể được kích hoạt trong ba cách khác nhau. Lần đầu tiên hai phương pháp cao được đề nghị. Điều này là do các nhóm bảo mật sử dụng giá trị được liên kết nhân rộng (LVR) sau khi tên miền Windows NT 4.0 cấp tiểu domain controller (PDC) đã được nâng cấp lên bộ kiểm soát miền Windows Server 2003. Lựa chọn thứ ba ít cao được đề nghị bởi vì thành viên trong các nhóm bảo mật sử dụng một thuộc tính đặc duy nhất mà có thể dẫn đến các vấn đề nhân rộng. Những cách mà trong đó tạm thời Windows Server 2003 có thể được kích hoạt là:
  1. Trong khi nâng cấp.

    Các tùy chọn được trình bày trong thuật sĩ cài đặt Dcpromo khi bạn nâng cấp PDC một tên miền Windows NT 4.0 mà phục vụ như điều khiển vùng đầu tiên trong tên miền gốc của một khu rừng new.
  2. Trước khi bạn nâng cấp Windows NT 4.0 PDC của Windows NT 4.0 là điều khiển vùng đầu tiên của một tên miền mới trong một rừng hiện có bằng cách thủ công cách cấu hình rừng chức năng cấp bằng cách sử dụng công cụ Lightweight Directory Access Protocol (LDAP).

    Tên miền con thừa kế các cài đặt chức năng rừng rộng từ rừng họ được phát huy thành. Nâng cấp PDC một tên miền Windows NT 4.0 là một tên miền con trong một rừng Windows Server 2003 hiện tại nơi tạm thời rừng chức năng cấp đã được cấu hình bằng cách sử dụng các tập tin Ldp.exe hoặc tập tin Adsiedit.msc cho phép các nhóm bảo mật sử dụng giá trị được liên kết nhân rộng sau khi phiên bản hệ điều hành nâng cấp.
  3. Sau khi nâng cấp bằng cách sử dụng công cụ LDAP.

    Sử dụng cuối hai tùy chọn khi bạn tham gia một rừng Windows Server 2003 hiện có trong quá trình nâng cấp. Đây là một kịch bản phổ biến khi một tên miền "rỗng gốc" là ở vị trí. Nâng cấp miền gia nhập như một đứa trẻ của gốc có sản phẩm nào và kế thừa các thiết lập tên miền từ rừng.

Thực tiễn tốt nhất

Sau phần thảo luận về thực hành tốt nhất để tăng cấp độ chức năng. Các phần được chia làm hai phần. "Nhiệm vụ chuẩn bị" thảo luận về các công việc mà bạn phải làm trước khi sự gia tăng và "Tối ưu đường dẫn tăng" thảo luận về những động lực và phương pháp cho các mức độ khác nhau tăng kịch bản.

Khám phá bộ kiểm soát miền Windows NT 4.0, hãy làm theo các bước sau:
  1. Từ bất kỳ điều khiển dựa trên Windows Server 2003 tên miền, mở Người dùng thư mục hoạt động và máy tính.
  2. Nếu điều khiển vùng không là đã được kết nối đến miền thích hợp, hãy làm theo các bước sau để kết nối với các tên miền thích hợp:
    1. Nhấp chuột phải vào đối tượng tên miền hiện tại, và sau đó nhấp vào Kết nối tới tên miền.
    2. Trong các Miền hộp thoại, gõ tên DNS miền mà bạn muốn kết nối tới, và sau đó nhấp vào Ok. Hoặc, nhấp vào Trình duyệt để chọn tên miền từ cây tên miền và sau đó bấm Ok.
  3. Nhấp chuột phải vào tên miền đối tượng, và sau đó nhấp vào Tìm.
  4. Trong các Tìm hộp thoại hộp, bấm vào Tìm kiếm tuỳ chỉnh.
  5. Nhấp vào tên miền mà bạn muốn thay đổi mức độ chức năng.
  6. Bấm vào các Nâng cao tab.
  7. Trong các Nhập LDAP truy vấn hộp, gõ sau đây và để lại không có dấu cách giữa bất kỳ ký tự:
    (&(objectCategory=computer)(operatingSystem Version=4*)(userAccountControl:1.2.840.113556.1.4.803:=8192))
    Chú ý Truy vấn này không phải là trường hợp nhạy cảm.
  8. Nhấp vào Tìm thấy bây giờ.

    Danh sách các máy tính trong tên miền đang chạy Windows NT 4.0 và hoạt động như bộ điều khiển vùng xuất hiện.
Điều khiển vùng có thể xuất hiện trong danh sách cho bất kỳ lý do sau đây:
  • Điều khiển vùng đang chạy Windows NT 4.0 và phải được nâng cấp.
  • Điều khiển vùng được nâng cấp lên Windows Server 2003, nhưng sự thay đổi không được nhân rộng để điều khiển miền của mục tiêu.
  • Điều khiển vùng không còn hoạt động, nhưng đối tượng máy tính của điều khiển vùng không được cắt bỏ khỏi miền này.
Trước khi bạn có thể thay đổi cấp độ chức năng tên miền lên Windows Server 2003, bạn phải về thể chất xác định vị trí bất kỳ bộ kiểm soát miền trong danh sách, xác định tình trạng hiện tại của bộ điều khiển vùng, và sau đó hoặc là nâng cấp hoặc loại bỏ bộ điều khiển tên miền như là thích hợp.

Chú ý Không giống như bộ kiểm soát miền Windows Server 2000, bộ kiểm soát miền Windows NT 4.0 không chặn một sự gia tăng mức độ.Khi bạn thay đổi tên miền chức năng cấp, nhân rộng để bộ kiểm soát miền Windows NT 4.0 sẽ ngừng.Tuy nhiên, khi bạn cố gắng để tăng để rừng Windows Server 2003 với tên miền trong Windows Server 2000, mức độ hỗn hợp bị chặn. Thiếu Windows NT 4.0 BDCs là ngụ ý bởi đáp ứng các yêu cầu cấp rừng của tất cả các tên miền Windows Server 2000 bản xứ cấp hoặc sau này.

Ví dụ: Nhiệm vụ chuẩn bị trước khi mức tăng

Trong ví dụ này, môi trường được đưa lên từ chế độ hỗn hợp Windows Server 2000 sang chế độ Windows Server 2003 rừng.

Hàng tồn kho rừng cho phiên bản trước của bộ điều khiển vùng.
Nếu danh sách chính xác máy chủ không có sẵn, hãy làm theo các bước sau:
  1. Khám phá hỗn hợp tên miền cấp cao, bộ kiểm soát miền Windows Server 2000 hoặc bộ điều khiển vùng với bị hư hỏng hoặc thiếu các đối tượng, sử dụng tên miền Active Directory và tín thác MMC snap-in.
  2. Trong snap-in, nhấp vào Chức năng nâng cao Forest, sau đó bấm Löu laøm để tạo ra một báo cáo chi tiết.
  3. Nếu không có vấn đề đã được tìm thấy, các tùy chọn để tăng đến mức độ rừng Windows Server 2003 có sẵn từ các "Có sẵn rừng chức năng cấp" thả xuống danh sách. Khi bạn cố gắng nâng cao trình độ rừng, các đối tượng bộ điều khiển tên miền trong các thùng chứa cấu hình không tìm kiếm bất kỳ bộ điều khiển vùng không có MSDS hành vi-một phiên bản đặt mục tiêu mong muốn mức. Đây giả định là một trong hai bộ kiểm soát miền Windows Server 2000 hoặc mới hơn Windows Server miền điều khiển vật mà bị hư hỏng.
  4. Nếu bộ điều khiển vùng Phiên bản trước đó hoặc bộ điều khiển vùng mà có máy tính bị hư hỏng hoặc thiếu các đối tượng đã được tìm thấy, họ được bao gồm trong báo cáo. Tình trạng của các bộ điều khiển tên miền phải được điều tra, và đại diện bộ điều khiển tên miền trong thư mục hoạt động phải được sửa chữa hoặc loại bỏ bằng cách sử dụng các tập tin Ntdsutil.
Để biết thêm thông tin, hãy bấm vào số bài viết sau để xem bài viết trong Cơ sở Kiến thức Microsoft:
216498 Làm thế nào để xoá dữ liệu trong thư mục hoạt động sau khi một bộ điều khiển tên miền không thành công việc
Kiểm chứng rằng nhân rộng đầu đến cuối là làm việc trong rừng
Để xác minh rằng kết thúc để kết thúc nhân bản là làm việc trong rừng, sử dụng Windows Server 2003 hoặc phiên bản mới hơn của Repadmin chống lại Windows Server 2000 hoặc bộ kiểm soát miền Windows Server 2003:
  • Repadmin/Replsum * /Sort:Delta [/Errorsonly] cho ban đầu hàng tồn kho.
  • Repadmin/Showrepl * /CSV>showrepl.csv. Chuyển nhập vào Excel, và sau đó sử dụng các dữ liệu-> Autofilter để xác định các tính năng sao chép.

    Sử dụng nhân rộng các công cụ như Repadmin để xác minh rằng nhân rộng toàn rừng hoạt động chính xác.
Xác minh tính tương thích của tất cả các chương trình hoặc dịch vụ với bộ kiểm soát miền Windows Server mới hơn và cao hơn Windows Server domain và rừng chế độ. Sử dụng một môi trường phòng thí nghiệm để kiểm tra kỹ lưỡng các chương trình sản xuất và dịch vụ cho các vấn đề tương thích. Liên hệ với nhà cung cấp để xác nhận của khả năng.

Chuẩn bị một kế hoạch quay lại ra bao gồm của một trong những hành động sau đây:
  • Ngắt kết nối ít nhất hai bộ kiểm soát miền từ mỗi tên miền trong rừng.
  • Tạo bản sao lưu trạng thái hệ thống của ít nhất hai bộ kiểm soát miền từ mỗi tên miền trong rừng.
Trước khi ra trở lại kế hoạch có thể được sử dụng, tất cả các bộ kiểm soát miền trong rừng phải được ngừng hoạt động trước khi quá trình phục hồi.

Chú ý Làm tăng mức độ không thể authoritatively khôi phục. Điều này có nghĩa rằng tất cả các bộ điều khiển vùng có nhân rộng sự gia tăng cấp phải được cho ngừng hoạt động.

Sau khi tất cả các bộ điều khiển tên miền trước đó được cho ngừng hoạt động, đưa lên bộ kiểm soát miền bị ngắt kết nối hoặc khôi phục lại bộ kiểm soát miền từ bản sao lưu. Loại bỏ siêu dữ liệu từ tất cả các bộ điều khiển tên miền khác và sau đó re-promote chúng. Đây là một quá trình khó khăn và phải tránh.

Ví dụ: Làm thế nào để có được từ Windows Server 2000 trộn cấp độ đến mức độ rừng Windows Server 2003

Tăng tất cả các tên miền đến cấp độ bản xứ Windows Server 2000. Sau khi điều này được hoàn thành, tăng mức chức năng cho các tên miền gốc rừng đến cấp độ rừng Windows Server 2003. Khi mức độ rừng sao chép để PDCs cho mỗi tên miền trong rừng, ở cấp độ tên miền tự động tăng lên cấp độ tên miền Windows Server 2003. Phương pháp này có những ưu điểm sau:
  • Sự gia tăng mức độ toàn rừng chỉ có thực hiện một thời gian. Bạn không phải bằng tay tăng mỗi tên miền trong rừng đến cấp độ chức năng tên miền Windows Server 2003.
  • Một kiểm tra cho bộ kiểm soát miền Windows Server 2000 được thực hiện trước khi mức tăng (xem các bước chuẩn bị). Sự gia tăng bị chặn cho đến khi bộ kiểm soát miền vấn đề gỡ bỏ hoặc nâng cấp. Một báo cáo chi tiết có thể được tạo ra bởi danh sách chặn bộ kiểm soát miền và cung cấp dữ liệu hữu dụng.
  • Hỗn hợp kiểm tra cho các tên miền trong Windows Server 2000 hoặc Windows Server 2003 cấp tạm thời được thực hiện. Sự gia tăng bị chặn cho đến khi các tên miền cấp đang tăng lên ít người bản thổ Windows Server 2000. Tên miền cấp tạm thời phải được tăng lên đến cấp độ tên miền Windows Server 2003. Một báo cáo chi tiết có thể được tạo theo danh sách chặn tên miền.

Nâng cấp Windows NT 4.0

Nâng cấp Windows NT 4.0 luôn luôn sử dụng cấp độ tạm thời trong khi nâng cấp PDC trừ khi bộ kiểm soát miền Windows Server 2000 đã được giới thiệu vào rừng PDC được nâng cấp thành. Khi chế độ tạm thời được sử dụng trong khi nâng cấp PDC, nhóm lớn hiện có sử dụng LVR nhân rộng ngay lập tức, tránh các vấn đề nhân rộng tiềm năng sẽ được thảo luận trước đó trong bài viết này. Sử dụng một trong những phương pháp sau đây để có được cấp tạm thời trong thời gian nâng cấp:
  • Chọn mức độ tạm thời trong thời gian Dcpromo. Tùy chọn này chỉ trình bày khi PDC được nâng cấp thành một khu rừng new.
  • Đặt mức rừng một rừng hiện có để tạm thời, và sau đó gia nhập rừng trong nâng cấp PDC. Nâng cấp miền thừa hưởng các thiết lập rừng.
  • Sau khi tất cả Windows NT 4.0 BDCs là nâng cấp hoặc gỡ bỏ, mỗi tên miền phải được chuyển sang cấp độ rừng và có thể được chuyển sang chế độ Windows Server 2003 rừng.
Một lý do để tránh sử dụng chế độ tạm thời là nếu đang có kế hoạch thực hiện bộ kiểm soát miền Windows Server 2000 sau khi n├óng cß║Ñp, hoặc tại bất kỳ thời điểm nào trong tương lai.

Xem xét đặc biệt cho các nhóm lớn trong Windows NT 4.0

Trưởng thành Windows NT 4.0 tên miền, các nhóm bảo mật có chứa nhiều hơn so với 5000 thành viên có thể tồn tại. Trong Windows NT 4.0, khi một thành viên của nhóm bảo mật thay đổi, chỉ đổi thành viên duy nhất được nhân rộng để điều khiển sao lưu vùng. Trong Windows Server 2000, nhóm thành viên là liên kết với thuộc tính lưu trữ trong một thuộc tính đặc duy nhất của đối tượng nhóm. Khi một thay đổi duy nhất được thực hiện để các thành viên của một nhóm, toàn bộ nhóm nhân rộng như một đơn vị duy nhất. Bởi vì các thành viên nhóm được nhân rộng như một đơn vị duy nhất, không có một tiềm năng cho các Cập Nhật của nhóm thành viên là "mất" khi các thành viên khác nhau được thêm vào hoặc gỡ bỏ đồng thời và bộ điều khiển tên miền khác nhau. Ngoài ra, kích thước đối tượng duy nhất này có thể nhiều hơn vùng đệm được sử dụng để cam kết một mục nhập vào cơ sở dữ liệu. Để biết thêm chi tiết, hãy xem phần "Phiên bản cửa hàng các vấn đề với nhóm lớn" của bài viết này. Đối với những lý do này, các giới hạn được đề nghị cho các thành viên nhóm là 5000.

Ngoại lệ cho quy tắc thành viên 5000 là nhóm chủ yếu (theo mặc định đây là nhóm "Miền người dùng"). Nhóm chính sử dụng một cơ chế "tính toán" dựa trên primarygroupID"" của người sử dụng để xác định thành viên. Nhóm chính không lưu trữ các thành viên theo đặc tính liên kết. Nếu các nhóm chính của người dùng được thay đổi để một nhóm tuỳ chỉnh, thành viên trong nhóm người sử dụng tên miền là bằng văn bản cho các thuộc tính được liên kết cho các nhóm và không còn tính toán. Nhóm chính mới Rid được viết "primarygroupID" và người dùng được lấy ra từ các thuộc tính thành viên của nhóm.

Nếu người quản trị không chọn cấp tạm thời cho nâng cấp vùng, bạn phải làm theo các bước sau trước khi nâng cấp:
  1. Hàng tồn kho tất cả các nhóm lớn và xác định bất kỳ nhóm nào hơn 5000, ngoại trừ nhóm người sử dụng tên miền.
  2. Tất cả các nhóm có hơn 5000 thành viên phải được chia thành các nhóm nhỏ hơn ít hơn 5.000 thành viên.
  3. Tìm tất cả các truy cập kiểm soát Lists nơi mà các tập đoàn lớn đã được nhập vào và thêm các nhóm nhỏ mà bạn đã tạo ở bước 2.
Windows Server 2003 tạm thời rừng cấp làm giảm quản trị viên phải khám phá và tái phân bổ các nhóm an ninh toàn cầu với các thành viên hơn 5000.

Phiên bản lưu trữ các vấn đề với các nhóm lớn

Trong dài chạy các chiến dịch như tìm kiếm sâu hoặc cam kết với một thuộc tính duy nhất, lớn, Active Directory phải chắc chắn rằng nhà nước của cơ sở dữ liệu là tĩnh cho đến khi thao tác hoàn tất. Ví dụ về tìm kiếm sâu hoặc cam kết để lớn thuộc tính là một nhóm lớn có sử dụng lưu trữ di sản.

Khi Cập Nhật của cơ sở dữ liệu liên tục đang xảy ra tại địa phương và từ các đối tác nhân rộng, Active Directory cung cấp một trạng thái tĩnh bằng xếp hàng lên tất cả đến những thay đổi cho đến khi kết thúc chiến dịch dài chạy. Ngay sau khi chiến dịch hoàn tất, những thay đổi xếp hàng đợi được áp dụng cho cơ sở dữ liệu.

Vò trí löu tröõ cho những thay đổi này xếp hàng đợi được gọi là "Phiên bản cửa hàng", và là xấp xỉ 100megabytes. Kích thước của phiên bản cửa hàng khác nhau và được dựa trên vật lý bộ nhớ. Nếu một hoạt động dài chạy không kết thúc trước khi cửa hàng Phiên bản là kiệt sức, bộ điều khiển tên miền sẽ ngừng việc chấp nhận thông tin Cập Nhật cho đến khi chiến dịch dài chạy và những thay đổi xếp hàng đợi cam. Các nhóm tiếp cận với số lượng lớn (hơn 5000 thành viên) đặt bộ điều khiển vùng có nguy cơ của hết các cửa hàng Phiên bản miễn là nhóm lớn là cam kết.

Windows Server 2003 giới thiệu một cơ chế sao nhân bản mới cho liên kết với đặc tính mà được gọi là liên kết giá trị nhân rộng (LVR). Thay vì của sao chép toàn bộ nhóm trong một hoạt động đơn nhân rộng, LVR địa chỉ vấn đề này bằng cách sao chép mỗi thành viên trong nhóm như là một hoạt động làm bản sao riêng biệt. LVR trở thành có sẵn khi cấp chức năng rừng được đưa lên đến cấp độ tạm thời rừng Windows Server 2003 hoặc Windows Server 2003 rừng cấp. Ở cấp độ chức năng này, LVR được sử dụng để tái tạo các nhóm trong số các bộ kiểm soát miền Windows Server 2003.
kbactivedirectory

Cảnh báo: Bài viết này được dịch tự động

Thuộc tính

ID Bài viết: 322692 - Xem lại Lần cuối: 09/11/2011 23:35:00 - Bản sửa đổi: 3.0

Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Server

  • kbactivedirectory kbhowtomaster kbmt KB322692 KbMtvi
Phản hồi