Bạn hiện đang ngoại tuyến, hãy chờ internet để kết nối lại

Làm thế nào để nâng cấp bộ kiểm soát miền Windows 2000 lên Windows Server 2003

Hỗ trợ cho Windows Server 2003 đã kết thúc vào ngày 14 tháng 7 năm 2015

Microsoft đã kết thúc hỗ trợ cho Windows Server 2003 vào ngày 14 tháng 7 năm 2015. Thay đổi này đã ảnh hưởng đến các bản cập nhật phần mềm và tùy chọn bảo mật của bạn. Tìm hiểu ý nghĩa của điều này với bạn và cách thực hiện để luôn được bảo vệ.

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch máy của Microsoft chứ không phải do con người dịch. Microsoft cung cấp các bài viết do con người dịch và cả các bài viết do máy dịch để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng ngôn ngữ của bạn. Tuy nhiên, bài viết do máy dịch không phải lúc nào cũng hoàn hảo. Loại bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, giống như một người nước ngoài có thể mắc sai sót khi nói ngôn ngữ của bạn. Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra. Microsoft cũng thường xuyên cập nhật phần mềm dịch máy này.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này:325379
TÓM TẮT
Bài viết này bàn về cách nâng cấp bộ kiểm soát miền Microsoft Windows 2000 lên Windows Server 2003 và làm thế nào để thêm mới bộ kiểm soát miền Windows Server 2003 Windows 2000 (en). Để biết thêm chi tiết về cách nâng cấp bộ kiểm soát miền lên Windows Server 2008 hoặc Windows Server 2008 R2, ghé thăm Web site sau của Microsoft:

Tên miền và rừng hàng tồn kho

Trước khi bạn nâng cấp bộ kiểm soát miền Windows 2000 lên Windows Server 2003 hoặc trước khi bạn thêm mới bộ kiểm soát miền Windows Server 2003 sang một tên miền Windows 2000, hãy làm theo các bước sau:
  1. Hàng tồn kho khách truy nhập tài nguyên thuộc về phạm vi lưu trữ bộ kiểm soát miền Windows Server 2003 cho tương thích với SMB ký:

    Mỗi bộ kiểm soát miền Windows Server 2003 cho phép SMB đăng nhập chính sách an ninh địa phương của mình. Đảm bảo rằng tất cả các khách hàng khác của mạng sử dụng giao thức SMB/CIFS truy nhập chia sẻ tệp và máy in trong tên miền máy chủ lưu trữ bộ kiểm soát miền Windows Server 2003 có thể được cấu hình hoặc nâng cấp để hỗ trợ SMB ký kết. Nếu họ có thể không, tạm thời vô hiệu hóa SMB ký kết cho đến khi Cập Nhật có thể được cài đặt hoặc cho đến khi các khách hàng có thể được nâng cấp lên hệ điều hành mới hơn hỗ trợ SMB ký kết. Để có thông tin về làm thế nào để vô hiệu hoá SMB ký, xem các "Để vô hiệu hoá SMB ký"phần cuối bước này.

    Kế hoạch hành động

    Danh sách dưới đây cho thấy các kế hoạch hành động cho phổ biến SMB khách hàng:
    • Microsoft Windows Server 2003, Microsoft Windows XP Professional, Microsoft Windows 2000 Server, Microsoft Windows 2000 Professional và Microsoft Windows 98

      Không có hành động được yêu cầu.
    • Microsoft Windows NT 4.0

      Cài đặt Service Pack 3 hoặc sau này (Service Pack 6A được khuyến khích) trên tất cả máy Windows NT 4.0 dựa trên tính truy cập vào tên miền có chứa máy tính dựa trên Windows Server 2003. Ngoài ra, tạm thời vô hiệu hoá SMB ký kết vào bộ kiểm soát miền Windows Server 2003. Để có thông tin về làm thế nào để vô hiệu hoá SMB ký, xem các "Để vô hiệu hoá SMB ký"phần cuối bước này.
    • Microsoft Windows 95

      Cài đặt Windows 9x khách hàng dịch vụ thư mục trên máy tính dựa trên Windows 95 hoặc tạm thời vô hiệu hoá SMB ký kết vào bộ kiểm soát miền Windows Server 2003. Win9 gốcx khách hàng dịch vụ thư mục có sẵn trên CD-ROM máy chủ Windows 2000. Tuy nhiên, rằng tiện ích khách hàng đã được thay thế bởi một Win9 cải tiếnx thư mục dịch vụ khách hàng. Để có thông tin về làm thế nào để vô hiệu hoá SMB ký, xem các "Để vô hiệu hoá SMB ký"phần cuối bước này.
    • Máy sử dụng mạng Microsoft cho MS-DOS và Microsoft mạng LAN quản lý khách hàng

      Máy sử dụng mạng Microsoft cho MS-DOS và Microsoft LAN Manager 2.x mạng lưới khách hàng có thể được sử dụng để cung cấp truy cập tới tài nguyên mạng, hoặc họ có thể được kết hợp với khả năng khởi động đĩa mềm để sao chép các tập tin hệ thống điều hành và các tập tin từ một thư mục được chia sẻ trên một máy chủ tập tin là một phần của một thói quen cài đặt phần mềm. Các khách hàng không hỗ trợ giao thức SMB ký kết. Sử dụng một phương pháp cài đặt khác, hoặc vô hiệu hóa SMB ký kết. Để có thông tin về làm thế nào để vô hiệu hoá SMB ký, xem các "Để vô hiệu hoá SMB ký"phần cuối bước này.
    • Macintosh khách hàng

      Một số khách hàng Macintosh không SMB ký kết tương thích và sẽ nhận được thông báo lỗi sau khi họ cố gắng để kết nối tới tài nguyên mạng:
      -I/O lỗi -36
      Cài đặt cập nhật phần mềm nếu nó có sẵn. Nếu không, hãy tắt SMB ký kết vào bộ kiểm soát miền Windows Server 2003. Để có thông tin về làm thế nào để vô hiệu hoá SMB ký, xem các "Để vô hiệu hoá SMB ký"phần cuối bước này.
    • Máy sử dụng SMB bên thứ ba khác

      Một số khách hàng SMB bên thứ ba hỗ trợ SMB ký kết. Tham khảo ý kiến nhà cung cấp SMB để xem nếu một phiên bản tồn tại. Nếu không, hãy tắt SMB ký kết vào bộ kiểm soát miền Windows Server 2003.
    Để vô hiệu hoá SMB ký


    Nếu phần mềm Cập Nhật không thể được cài đặt trên bộ điều khiển vùng bị ảnh hưởng đang chạy Windows 95, Windows NT 4.0 hoặc các khách hàng khác đã được cài đặt trước sự ra đời của Windows Server 2003, tạm thời vô hiệu hoá dịch vụ SMB ký yêu cầu trong chính sách nhóm cho đến khi bạn có thể triển khai các cập nhật phần mềm khách hàng.

    Bạn có thể vô hiệu hoá dịch vụ SMB đăng nhập nút sau của chính sách mặc định bộ điều khiển vùng trên đơn vị tổ chức bộ điều khiển tên miền:
    Máy tính Configuration\Windows Settings\Security Policies Local Options\Microsoft mạng máy chủ: Truyền thông (luôn luôn) ký điện tử
    Nếu bộ điều khiển vùng không được đặt trong đơn vị tổ chức điều khiển vùng, bạn phải liên kết của điều khiển vùng mặc định Group Policy object (GPO) để tất cả các đơn vị tổ chức mà máy chủ Windows 2000 hoặc Windows Server 2003 tên miền lý. Hoặc, bạn có thể cấu hình dịch vụ SMB đăng nhập GPO được liên kết với những đơn vị tổ chức.
  2. Hàng tồn kho bộ kiểm soát miền là thuộc về phạm vi và trong rừng:
    1. Hãy chắc chắn rằng tất cả các bộ điều khiển tên miền Windows 2000 trong rừng đã cài đặt tất cả các thích hợp hotfixes và gói dịch vụ.

      Microsoft khuyến cáo rằng tất cả các bộ điều khiển tên miền Windows 2000 chạy Windows 2000 Service Pack 4 (SP4) hoặc hệ điều hành sau này. Nếu bạn hoàn toàn không thể triển khai Windows 2000 SP4 hoặc mới hơn, tất cả các bộ điều khiển tên miền Windows 2000 phải có một tập tin Ntdsa.dll có đóng dấu ngày và phiên bản là muộn hơn ngày 4 tháng 6 năm 2001 và 5.0.2195.3673. Để biết thêm thông tin, hãy bấm vào số bài viết sau để xem bài viết trong Cơ sở Kiến thức Microsoft:
      331161Hotfixes cài đặt trước khi bạn chạy adprep /Forestprep trên bộ kiểm soát miền Windows 2000 để chuẩn bị rừng và tên miền cho việc bổ sung các bộ điều khiển dựa trên Windows Server 2003 tên miền
      Theo mặc định, Active Directory công cụ quản trị trên Windows 2000 SP4, Windows XP và Windows Server 2003 khách hàng máy tính sử dụng Lightweight Directory Access Protocol (LDAP) ký kết. Nếu các máy tính sử dụng (hoặc rơi trở lại) NTLM xác thực khi họ từ xa quản trị bộ kiểm soát miền Windows 2000, kết nối sẽ không hoạt động. Để giải quyết hành vi này, bộ điều khiển từ xa quản lý tên miền nên có tối thiểu của Windows 2000 SP3 được cài đặt. Nếu không, bạn nên tắt LDAP ký ngày khách hàng chạy các công cụ hành chính.Để biết thêm chi tiết về LDAP, nhấp vào số bài viết sau để xem các bài viết trong cơ sở kiến thức Microsoft:
      325465Yêu cầu bộ kiểm soát miền Windows 2000 Service Pack 3 hoặc sau khi sử dụng Windows Server 2003 administration tools
      Các kịch bản sau đây sử dụng NTLM xác thực:
      • Bạn quản lý bộ kiểm soát miền Windows 2000 được đặt trong một khu rừng bên ngoài kết nối bằng một NTLM (không Kerberos) tin tưởng.
      • Bạn tập trung quản lý giao diện điều khiển Microsoft (MMC) snap-in chống lại bộ kiểm soát miền cụ thể là tham chiếu theo địa chỉ IP của nó. Ví dụ, bạn nhấp vào Bắt đầu, bấm Chạy, và sau đó gõ lệnh sau đây:
        DSA.msc /server = ipaddress
      Để xác định hệ điều hành và dịch vụ gói phiên bản cấp của bộ điều khiển vùng Active Directory trong một tên miền Active Directory, cài đặt phiên bản Windows Server 2003 của Repadmin.exe trên một máy tính Windows XP Professional hoặc Windows Server 2003 thành viên trong rừng, và sau đó chạy sau đây repadmin lệnh chống lại bộ kiểm soát miền trong mỗi tên miền trong rừng:
      > repadmin /showattr tên của bộ điều khiển tên miền là thuộc về phạm vi mục tiêu ncobj:Domain: /filter:"(&(objectCategory=computer)(primaryGroupID=516))"/ subtree /atts:operatingSystem, operatingSystemVersion, operatingSystemServicePack

      DN: CN = NA-DC-01, tổ chức đơn vị = bộ kiểm soát miền, DC = công ty, DC = com
      1 > operatingSystem: Windows Server 2003
      1 > operatingSystemVersion: 5,2 (3718)
      DN: CN = NA-DC-02, tổ chức đơn vị = bộ kiểm soát miền, DC = công ty, DC = com

      1 > operatingSystem: Windows 2000 Server
      1 > operatingSystemVersion: 5,0 (2195)
      1 > operatingSystemServicePack: gói dịch vụ 1
      Chú ý: Thuộc tính bộ điều khiển tên miền theo dõi việc lắp đặt riêng lẻ hotfixes.
    2. Xác minh nhân rộng Active Directory kết thúc để kết thúc trong suốt rừng.

      Kiểm chứng rằng mỗi bộ kiểm soát miền trong rừng nâng cấp sao chép tất cả các bối cảnh đặt tên tại địa phương được tổ chức với các đối tác một cách nhất quán với lịch trình mà trang web liên kết hoặc kết nối các đối tượng xác định. Sử dụng phiên bản Windows Server 2003 Repadmin.exe trên Windows XP - hoặc Windows Server 2003 dựa trên tài khoản của máy tính trong rừng với các đối số đằng sau: tất cả các bộ điều khiển tên miền trong rừng phải sao chép thư mục hoạt động mà không có lỗi, và các giá trị trong cột "Lớn nhất Delta" đầu ra repadmin không phải là lớn hơn đáng kể so với tần số nhân rộng trên liên kết trang web tương ứng hoặc đối tượng kết nối được sử dụng bởi bộ kiểm soát miền điểm đến cho trước.

      Giải quyết tất cả các bản sao lỗi giữa điều khiển vùng đã không gửi đến replicate trong ít hơn Tombstone đời (TSL) số ngày (theo mặc định, 60 ngày). Nếu sao nhân bản không thể làm cho hoạt động, bạn có thể phải buộc demote bộ kiểm soát miền và loại bỏ chúng khỏi rừng bằng cách sử dụng Ntdsutil siêu dữ liệu sạch chỉ huy, và sau đó thúc đẩy họ trở lại vào rừng. Bạn có thể sử dụng một việc mạnh mẽ để tiết kiệm cả tiến trình cài đặt hệ điều hành và các chương trình trên một bộ điều khiển tên miền mồ côi. Để biết thêm chi tiết về làm thế nào để loại bỏ bộ kiểm soát miền Windows 2000 mồ côi từ tên miền của mình, nhấp vào số bài viết sau đây để xem bài viết trong cơ sở kiến thức Microsoft:
      216498Làm thế nào để xoá dữ liệu trong thư mục hoạt động sau khi một bộ điều khiển tên miền không thành công việc
      Hành động này chỉ như là một phương sách cuối cùng để khôi phục lại tiến trình cài đặt của hệ điều hành và cài đặt chương trình. Bạn sẽ mất các đối tượng unreplicated và thuộc tính trên bộ điều khiển mồ côi vùng bao gồm người dùng, máy tính, các mối quan hệ tin tưởng, họ mật khẩu, nhóm và nhóm thành viên.

      Hãy cẩn thận khi bạn cố gắng giải quyết nhân rộng lỗi trên bộ điều khiển vùng không có nhân rộng trong nước thay đổi cho một phân vùng hoạt động thư mục cụ thể cho lớn hơn tombstonelifetime số ngày. Khi bạn làm như vậy, bạn có thể reanimate các đối tượng đã bị xóa trên bộ điều khiển tên miền nhất nhưng cho đối tác trực tiếp hoặc transitive nhân rộng mà không bao giờ nhận được xoá trong 60 ngày trước đó.

      Xem xét việc loại bỏ bất kỳ đối tượng nán lại nằm trên bộ điều khiển vùng đã không thực hiện trong nước nhân rộng trong 60 ngày qua. Ngoài ra, bạn có thể mạnh mẽ demote bộ kiểm soát miền mà đã không thực hiện bất kỳ nhân rộng trong nước trên một phân vùng nhất định trong tombstone đời số ngày và loại bỏ siêu dữ liệu còn lại của họ từ rừng Active Directory bằng cách sử dụng Ntdsutil và tiện ích khác. Liên hệ với nhà cung cấp hỗ trợ hoặc Microsoft PSS cho trợ giúp bổ sung.
    3. Kiểm chứng rằng nội dung của phần Sysvol phù hợp.

      Kiểm chứng rằng tệp hệ thống phần của chính sách nhóm phù hợp. Bạn có thể sử dụng Gpotool.exe từ nguồn tài nguyên Kit để xác định liệu có mâu thuẫn trong các chính sách trên một tên miền. Sử dụng Healthcheck từ các công cụ hỗ trợ Windows Server 2003 để xác định liệu bản sao chia sẻ Sysvol bộ chức năng một cách chính xác trong mỗi tên miền.

      Nếu nội dung của phần Sysvol là không phù hợp, giải quyết tất cả những mâu thuẫn.
    4. Sử dụng Dcdiag.exe từ các công cụ hỗ trợ để chắc rằng tất cả các bộ điều khiển vùng đã chia sẻ Netlogon và Sysvol cổ phần. Để làm điều này, gõ lệnh sau tại dấu nhắc lệnh:
      DCDIAG.EXE e /test:frssysvol
    5. Hàng tồn kho vai trò hoạt động.

      Thạc sĩ hoạt động giản đồ và cơ sở hạ tầng được sử dụng để giới thiệu rừng và giản đồ toàn miền thay đổi thành rừng và tên miền của nó được thực hiện bởi Windows Server 2003 adprep Tiện ích. Kiểm chứng rằng điều khiển vùng chủ giản đồ vai trò và vai trò cơ sở hạ tầng cho mỗi tên miền trong rừng nằm trên bộ điều khiển tên miền trực tiếp và rằng mỗi chủ sở hữu vai trò đã biểu diễn trong nước nhân rộng trên tất cả các phân vùng kể từ khi họ bị cuối khởi động lại.

      Các DCDIAG /test:FSMOCHECK lệnh có thể được dùng để xem rừng rộng và toàn miền vai trò hoạt động. Hoạt động từ vai trò chủ nằm trên bộ điều khiển vùng không tồn tại nên bị tịch thu lên bộ kiểm soát miền lành mạnh bằng cách sử dụng NTDSUTIL. Vai trò mà cư trú trên bộ điều khiển vùng không lành mạnh nên được chuyển nếu có thể. Nếu không, họ sẽ bị tịch thu. Các NETDOM TRUY VẤN FSMO bộ chỉ huy không xác định vai trò FSMO nằm trên bộ điều khiển vùng đã xoá.

      Kiểm chứng rằng master giản đồ và mỗi cơ sở hạ tầng thầy đã biểu diễn trong nước làm bản sao thư mục hoạt động kể từ cuối khởi động. Nhân rộng trong nước có thể được xác minh bằng cách sử dụng các REPADMIN /SHOWREPS DCNAME lệnh, nơi DCNAME là tên máy tính NetBIOS tên máy tính đầy đủ điều kiện của điều khiển vùng.Để biết thêm chi tiết về hoạt động từ thạc sĩ và vị trí của họ, nhấp vào số bài viết sau để xem các bài viết trong cơ sở kiến thức Microsoft:
      197132Windows 2000 Active Directory FSMO vai trò
      223346 FSMO theo vị trí và tối ưu hóa trên bộ điều khiển vùng Active Directory
    6. Các đánh giá

      Kiểm tra các bản ghi sự kiện vào tất cả các bộ điều khiển tên miền cho các sự kiện có vấn đề. Bản ghi sự kiện không chứa thông điệp nghiêm trọng sự kiện cho thấy một vấn đề với bất kỳ quy trình và các thành phần sau đây:
      khả năng kết nối vật lý
      kết nối mạng
      đăng ký tên
      độ phân giải tên
      xác thực
      Chính sách Nhóm
      chính sách bảo mật
      đĩa hệ thống phụ
      Lược đồ
      tô pô
      công cụ sao chép
    7. Disk Space hàng tồn kho

      Khối lượng chủ cơ sở dữ liệu thư mục hoạt động tập tin, Ntds.dit, phải có miễn phí không gian bằng ít nhất 15-20% kích thước tập tin Ntds.dit. Khối lượng chủ Active Directory đăng nhập tập tin cũng phải có miễn phí không gian bằng ít nhất 15-20% kích thước tập tin Ntds.dit. Để biết thêm chi tiết về làm thế nào để giải phóng thêm không gian đĩa, hãy xem phần "Tên miền bộ điều khiển mà không có đủ không gian đĩa" của bài viết này.
    8. DNS Scavenging (tùy chọn)

      Enable DNS Scavenging tại các khoảng 7 ngày cho tất cả các máy chủ DNS trong rừng. Cho kết quả tốt nhất, thực hiện thao tác này 61 hoặc nhiều ngày trước khi bạn nâng cấp hệ điều hành. Điều này cung cấp DNS scavenging daemon đủ thời gian để rác-thu thập các đối tượng DNS tuổi khi một phân mảnh gián tuyến được thực hiện trên các tập tin Ntds.dit.
    9. Vô hiệu hoá các dịch vụ Server DLT (tùy chọn)

      Dịch vụ DLT Server bị vô hiệu hoá cài đặt mới và nâng cấp bộ kiểm soát miền Windows Server 2003. Nếu phân phối liên kết theo dõi không được sử dụng, bạn có thể vô hiệu hoá dịch vụ DLT Server trên bộ kiểm soát miền Windows 2000 và bắt đầu xóa DLT đối tượng từ mỗi tên miền trong rừng. Để biết thêm chi tiết, xem phần "Microsoft khuyến nghị cho phân phối liên kết theo dõi" bài viết sau trong cơ sở kiến thức Microsoft:
      312403 Phân phối liên kết theo dõi trên bộ điều khiển Windows trên vùng
    10. Sao lưu trạng thái hệ thống

      Thực hiện một trạng thái hệ thống sao lưu của ít nhất hai bộ kiểm soát miền trong mỗi tên miền trong rừng. Bạn có thể dùng bản sao lưu để khôi phục lại tất cả các lĩnh vực trong rừng nếu nâng cấp không hoạt động.

Microsoft Exchange 2000 trong Windows 2000 rừng

Chú ý
  • Nếu Exchange 2000 Server được cài đặt, hoặc sẽ được cài đặt, trong một khu rừng Windows 2000, đọc phần này trước khi bạn chạy Windows Server 2003 adprep /forestprep bộ chỉ huy.
  • Nếu thay đổi lược đồ Microsoft Exchange Server 2003 sẽ được cài đặt, hãy vào các "Tổng quan: Nâng cấp bộ kiểm soát miền Windows 2000 lên Windows Server 2003"phần trước khi bạn chạy Windows Server 2003 adprep lệnh.
Giản đồ Exchange 2000 xác định ba inetOrgPerson thuộc tính với không yêu cầu cho nhận xét (RFC)-tuân thủ LDAPDisplayNames: houseIdentifier, thư ký, và labeledURI.

Windows 2000 inetOrgPerson Kit và Windows Server 2003 adprep lệnh xác định phiên bản RFC khiếu nại của cùng một thuộc tính ba với giống hệt nhau LDAPDisplayNames là các phiên bản không RFC tuân-thủ.

Khi máy chủ Windows 2003 adprep /forestprep lệnh được chạy mà không có kịch bản khắc phục trong một khu rừng có chứa thay Windows 2000 và Exchange 2000 giản đồ đổi, LDAPDisplayNames cho các houseIdentifier, labeledURI, và thư ký thuộc tính trở nên đọc sai. Đọc một thuộc tính sẽ trở thành "sai" nếu "Dup" hay nhân vật độc đáo khác được thêm vào đầu của tên thuộc tính hướng liên để cho các đối tượng và các thuộc tính trong thư mục có tên duy nhất.


Hoạt động thư mục rừng không phải là dễ bị tổn thương để đọc sai LDAPDisplayNames cho các thuộc tính trong các trường hợp sau:
  • Nếu bạn chạy Windows Server 2003 adprep /forestprep lệnh trong một khu rừng có giản đồ Windows 2000 trước khi bạn thêm giản đồ Exchange 2000.
  • Nếu bạn cài đặt giản đồ Exchange 2000 trong rừng đã tạo ra trong trường hợp một Windows Server 2003 bộ kiểm soát miền là điều khiển vùng đầu tiên trong rừng.
  • Nếu bạn thêm Windows 2000 inetOrgPerson Kit để một khu rừng có chứa giản đồ Windows 2000, sau đó bạn cài đặt thay đổi lược đồ Exchange 2000 và sau đó bạn chạy Windows Server 2003 adprep /forestprep bộ chỉ huy.
  • Nếu bạn thêm giản đồ Exchange 2000 đến một rừng Windows 2000 hiện có, sau đó chạy Exchange 2003 /forestprep trước khi bạn chạy Windows Server 2003 adprep /forestprep lệnh.
Thuộc tính đọc sai sẽ xảy ra trong Windows 2000 trong các trường hợp sau:
  • Nếu bạn thêm các phiên bản Exchange 2000 của các labeledURI, các houseIdentifier, và các thư ký thuộc tính đến một rừng Windows 2000 trước khi cài đặt Windows 2000 inetOrgPerson Kit.
  • Bạn thêm các phiên bản Exchange 2000 của các labeledURI, các houseIdentifier, và các thư ký thuộc tính đến một rừng Windows 2000 trước khi bạn chạy Windows Server 2003 adprep /forestprep lệnh mà không cần đầu tiên chạy các script dọn dẹp.
Kế hoạch hành động cho mỗi kịch bản theo:

Kịch bản 1: Thay đổi lược đồ Exchange 2000 được thêm vào sau khi chạy Windows Server 2003 adprep /forestprep lệnh

Nếu thay đổi lược đồ Exchange 2000 sẽ được giới thiệu của bạn Windows 2000 rừng sau khi Windows Server 2003 adprep /forestprep lệnh được chạy, dọn không được yêu cầu. Đi đến những "Tổng quan: Nâng cấp bộ kiểm soát miền Windows 2000 lên Windows Server 2003"phần.

Kịch bản 2: Thay đổi lược đồ Exchange 2000 sẽ được cài đặt trước khi Windows Server 2003 adprep /forestprep lệnh

Nếu thay đổi lược đồ Exchange 2000 đã được cài đặt, nhưng bạn đã không chạy Windows Server 2003 adprep /forestprep lệnh, hãy xem xét kế hoạch hành động sau đây:
  1. Đăng nhập vào giao diện điều khiển của giản đồ hoạt động kinh doanh chủ bằng cách sử dụng trương mục là một thành viên của nhóm quản trị viên Schema bảo mật.
  2. Nhấp vào Bắt đầu, bấm Chạy, loại Notepad.exe trong các Mở hộp, và sau đó nhấp vào Ok.
  3. Sao chép văn bản sau đây bao gồm các dấu gạch nối sau "schemaUpdateNow: 1" Notepad.
    DN: CN = ms-Exch-trợ lý-tên, CN = Schema, CN = Configuration, DC = X
    changetype: sửa đổi
    thay thế: LDAPDisplayName
    LDAPDisplayName: msExchAssistantName
    -

    DN: CN = ms-Exch-LabeledURI, CN = Schema, CN = Configuration, DC = X
    changetype: sửa đổi
    thay thế: LDAPDisplayName
    LDAPDisplayName: msExchLabeledURI
    -

    DN: CN = ms-Exch-nhà-Identifier, CN = Schema, CN = Configuration, DC = X
    changetype: sửa đổi
    thay thế: LDAPDisplayName
    LDAPDisplayName: msExchHouseIdentifier
    -

    DN:
    changetype: sửa đổi
    thêm: schemaUpdateNow
    schemaUpdateNow: 1
    -
  4. Xác nhận rằng đó là không có không gian vào cuối mỗi dòng.
  5. Trên các Tệp trình đơn, nhấp vào Lưu. Trong các Löu laøm hộp thoại, hãy làm theo các bước sau:
    1. Trong các Tên tệp hộp, gõ như sau:
      \%userprofile%\InetOrgPersonPrevent.LDF
    2. Trong các Lưu như kiểu hộp, bấm vào Tất cả các tệp.
    3. Trong các Mã hóa hộp, bấm vào Unicode.
    4. Nhấp vào Lưu.
    5. Bỏ thuốc lá Notepad.
  6. Chạy kịch bản InetOrgPersonPrevent.ldf.
    1. Nhấp vào Bắt đầu, bấm Chạy, loại CMD trong các Mở hộp, và sau đó nhấp vào Ok.
    2. Tại dấu nhắc lệnh, gõ như sau, và sau đó nhấn ENTER:
      đĩa CD % userprofile %
    3. Gõ lệnh sau đây
      c:\Documents and settings\%username%>ldifde -i -f inetorgpersonprevent.ldf - v - c DC = X "tên miền tên đường dẫn cho tên miền gốc rừng"
      Cú pháp ghi chú:
      • DC = X là một hằng số chữ.
      • Tên miền con đường cho các tên miền gốc phải được bao trong dấu ngoặc kép.
      Ví dụ, cú pháp lệnh cho một rừng Active Directory có rừng gốc miền là TAILSPINTOYS.COM sẽ là:
      c:\Documents and settings\administrator > ldifde -i -f inetorgpersonprevent.ldf - v - c DC = X "dc = tailspintoys, dc = com"
      Chú ý Bạn có thể cần phải thay đổi các
      Giản đồ Update cho phép
      registry subkey nếu bạn nhận được thông báo lỗi sau:
      Giản đồ Cập Nhật là không được phép vào DC này vì khóa sổ đăng ký không được thiết lập hoặc các DC là không giản đồ FSMO vai trò chủ sở hữu.
      Để biết thêm chi tiết về làm thế nào để thay đổi này registry subkey, nhấp vào số bài viết sau đây để xem bài viết trong cơ sở kiến thức Microsoft:
      285172Giản đồ Cập Nhật yêu cầu quyền truy cập ghi vào giản đồ trong Active Directory
  7. Xác minh rằng LDAPDisplayNames cho CN = ms-Exch-trợ lý-tên, CN = ms-Exch-LabeledURI, và CN = ms-Exch-nhà-Identifier thuộc tính trong bối cảnh đặt tên lược đồ bây giờ xuất hiện như là msExchAssistantName, msExchLabeledURI và msExchHouseIdentifier trước khi bạn chạy Windows Server 2003 adprep /forestprep lệnh.
  8. Đi đến những "Tổng quan: Nâng cấp bộ kiểm soát miền Windows 2000 lên Windows Server 2003 "phần để chạy các adprep /forestprep/domainprep lệnh.

Kịch bản 3: Windows Server 2003 forestprep lệnh được chạy mà không cần đầu tiên chạy inetOrgPersonFix

Nếu bạn chạy Windows Server 2003 adprep /forestprep lệnh trong một khu rừng Windows 2000 có chứa những thay đổi lược đồ Exchange 2000, các thuộc tính LDAPDisplayName cho houseIdentifier, thư ký, và labeledURI sẽ trở nên đọc sai. Để xác định các đọc sai tên, sử dụng Ldp.exe để xác định vị trí các thuộc tính bị ảnh hưởng:
  1. Cài đặt Ldp.exe từ thư mục Support\Tools của Microsoft Windows 2000 hoặc Windows Server 2003 phương tiện truyền thông.
  2. Bắt đầu Ldp.exe từ một bộ điều khiển vùng hoặc tài khoản của máy tính trong rừng.
    1. Trên các Kết nối trình đơn, nhấp vào Kết nối, để lại các Máy chủ hộp có sản phẩm nào, loại 389 trong các Cảng hộp, và sau đó nhấp vào Ok.
    2. Trên các Kết nối trình đơn, nhấp vào Ràng buộc, để tất cả các ô trống và bấm Ok.
  3. Kỷ lục đường phân biệt tên cho thuộc tính SchemaNamingContext. Ví dụ, cho một bộ điều khiển tên miền trong CorpADATUM.COM rừng, đường dẫn phân biệt tên có thể CN = Schema, CN = Configuration, DC = corp, DC = công ty, DC = com.
  4. Trên các Trình duyệt trình đơn, nhấp vào Tìm kiếm.
  5. Sử dụng các thiết đặt sau để đặt cấu hình các Tìm kiếm hộp thoại:
    • Căn cứ DN: Đường dẫn phân biệt tên cho lược đồ đặt tên bối cảnh mà được xác định trong bước 3.
    • Bộ lọc: (ldapdisplayname = dup *)
    • Phạm vi: Subtree
  6. Đọc sai houseIdentifier, thư ký, và labeledURI thuộc tính có thuộc tính LDAPDisplayName tương tự như các định dạng sau:
    LDAPDisplayName: DUP-labeledURI-9591bbd3-d2a6-4669-afda-48af7c35507d;
    LDAPDisplayName: DUP-secretary-c5a1240d-70c0-455c-9906-a4070602f85f
    LDAPDisplayName: DUP-houseIdentifier-354b0ca8-9b6c-4722-aae7-e66906cc9eef
  7. Nếu LDAPDisplayNames cho labeledURI, thư ký, và houseIdentifier đã được đọc sai trong bước 6, chạy Windows Server 2003 InetOrgPersonFix.ldf script để phục hồi, và sau đó đi đến những "Nâng cấp bộ kiểm soát miền Windows 2000 với Winnt32.exe"phần.
    1. Tạo một thư mục có tên % Systemdrive%\IOP, và sau đó giải nén tập tin InetOrgPersonFix.ldf vào thư mục này.
    2. Tại dấu nhắc lệnh, gõ CD %systemdrive%\iop.
    3. Giải nén các tập tin InetOrgPersonFix.ldf từ Support.cab tập tin nằm trong thư mục Support\Tools phương tiện truyền thông cài đặt Windows Server 2003.
    4. Từ giao diện điều khiển giản đồ hoạt động master, nạp tệp InetOrgPersonFix.ldf bằng cách sử dụng Ldifde.exe để sửa các LdapDisplayName thuộc tính của các houseIdentifier, thư ký, và labeledURI thuộc tính. Để làm điều này, gõ lệnh sau, nơi <x>là một hằng số chữ và <dn path="" for="" forest="" root="" domain="">là tên miền con đường cho các tên miền gốc của rừng:<b00> </b00> </dn> </x>
      C:\IOP>ldifde -i -f inetorgpersonfix.ldf - v - c DC = X "tên miền tên đường dẫn cho tên miền gốc rừng"
      Cú pháp ghi chú:
      • DC = X là một hằng số chữ.
      • Đường dẫn tên miền tên miền gốc rừng phải được bao trong dấu ngoặc kép.
  8. Xác minh rằng các houseIdentifier, thư ký, và labeledURI đọc thuộc tính trong bối cảnh giản đồ đặt tên không "sai" trước khi cài đặt Exchange 2000.
Để biết thêm chi tiết về cuộc xung đột giản đồ có liên quan với các dịch vụ cho UNIX Phiên bản 2.0, nhấp vào số bài viết sau đây để xem bài viết trong cơ sở kiến thức Microsoft:
293783Không thể nâng cấp máy chủ Windows 2000 lên Windows Server 2003 với dịch vụ Windows cho UNIX 2.0 cài đặt

Tổng quan: Nâng cấp bộ kiểm soát miền Windows 2000 lên Windows Server 2003

Windows Server 2003 adprep lệnh bạn chạy khỏi cặp \I386 của phương tiện Windows Server 2003 chuẩn bị một khu rừng Windows 2000 và tên miền của mình cho việc bổ sung các bộ kiểm soát miền Windows Server 2003. Windows Server 2003 adprep /forestprep lệnh cho biết thêm các tính năng sau đây:
  • Trình mô tả bảo mật cải tiến mặc định cho các lớp học đối tượng
  • Thuộc tính người dùng và nhóm mới
  • Các đối tượng lược đồ mới và các thuộc tính như inetOrgPerson
Các adprep Tiện ích hỗ trợ hai đối số dòng lệnh:
adprep /forestprep: Chạy các hoạt động nâng cấp rừng.
adprep /domainprep: Chạy các hoạt động nâng cấp tên miền.
Các adprep /forestprep lệnh là một hoạt động một thời gian thực hiện trên lược đồ chiến dịch master (FSMO) của rừng. Các forestprep thao tác phải hoàn tất và nhân rộng để làm chủ cơ sở hạ tầng của mỗi tên miền trước khi bạn có thể chạy adprep /domainprep trong miền đó.

Các adprep /domainprep lệnh là một hoạt động một thời gian mà bạn chạy trên bộ điều khiển vùng chủ hoạt động kinh doanh cơ sở hạ tầng của mỗi tên miền trong rừng sẽ lưu trữ mới hoặc nâng cấp bộ kiểm soát miền Windows Server 2003. Các adprep /domainprep lệnh để kiểm chứng rằng những thay đổi từ forestprep có nhân rộng trong cuộc phân chia tên miền và sau đó làm cho những thay đổi của mình để các tên miền phân vùng và nhóm chính sách trong chia sẻ Sysvol.

Bạn không thể thực hiện một trong những hành động sau đây, trừ khi các /forestprep và các /domainprep các hoạt động đã hoàn thành và nhân rộng để tất cả các bộ kiểm soát miền trong miền đó:
  • Nâng cấp bộ kiểm soát miền Windows 2000 lên Windows Server 2003 bộ kiểm soát miền bằng cách sử dụng Winnt32.exe.

    Chú ý: Nâng cấp bạn có thể lên máy chủ Windows 2000 thành viên và các máy tính Windows Server 2003 thành viên máy tính bất cứ khi nào bạn muốn.
  • Thúc đẩy mới bộ kiểm soát miền Windows Server 2003 vào phạm vi bằng cách sử dụng Dcpromo.exe.
Tên miền máy chủ hoạt động lược đồ là tên miền duy nhất mà bạn phải chạy cả hai adprep /forestprepadprep /domainprep. Trong tất cả các tên miền khác, bạn chỉ có thể chạy adprep /domainprep.

Các adprep /forestprep và các adprep /domainprep lệnh không thêm thuộc tính cho các thuộc tính một phần danh mục toàn cầu đặt hoặc gây ra một đồng bộ hoá đầy đủ của các cửa hàng toàn cầu. Phiên bản RTM của adprep /domainprep gây ra một đồng bộ đầy đủ của thư mục \Policies trong cây Sysvol. Thậm chí nếu bạn chạy forestprepdomainprep nhiều lần, đã hoàn thành các hoạt động được thực hiện chỉ có một thời gian.

Sau những thay đổi từ adprep /forestprepadprep /domainprep có hoàn toàn replicate, bạn thể nâng cấp bộ kiểm soát miền Windows 2000 lên Windows Server 2003 bằng cách chạy Winnt32.exe từ cặp \I386 của phương tiện Windows Server 2003. Ngoài ra, bạn có thể thêm mới bộ kiểm soát miền Windows Server 2003 tên miền bằng cách sử dụng Dcpromo.exe.

Nâng cấp rừng với lệnh /forestprep adprep

Chuẩn bị một khu rừng Windows 2000 và tên miền để chấp nhận bộ kiểm soát miền Windows Server 2003, hãy làm theo các bước sau lần đầu tiên trong một môi trường phòng thí nghiệm, sau đó trong một môi trường sản xuất:
  1. Hãy chắc chắn rằng bạn đã hoàn thành tất cả các hoạt động trong giai đoạn "Rừng hàng tồn kho" với sự quan tâm đặc biệt đến các mục sau đây:
    1. Bạn đã tạo ra hệ thống sao lưu bang.
    2. Tất cả các bộ điều khiển tên miền Windows 2000 trong rừng đã cài đặt tất cả các thích hợp hotfixes và gói dịch vụ.
    3. Kết thúc để kết thúc làm bản sao Active Directory đang xảy ra trên toàn rừng
    4. FRS sao chép chính sách hệ thống tập tin một cách chính xác trong suốt mỗi tên miền.
  2. Đăng nhập vào giao diện điều khiển của bậc thầy hoạt động lược đồ với trương mục là một thành viên của nhóm quản trị viên Schema bảo mật.
  3. Kiểm chứng rằng giản đồ FSMO đã biểu diễn trong nước làm bản sao các lược đồ phân vùng bằng cách gõ sau tại dấu nhắc lệnh Windows NT:
    repadmin /showreps
    (repadmin được cài đặt trong thư mục Support\Tools của Active Directory.)
  4. Đầu tài liệu Microsoft khuyến cáo bạn cô lập giản đồ master hoạt động trên một mạng lưới tư nhân trước khi bạn chạy adprep /forestprep. Kinh nghiệm thực tế cho thấy rằng bước này là không cần thiết và có thể gây ra một giản đồ hoạt động từ master để từ chối thay đổi lược đồ khi nó được khởi động lại vào mạng riêng.
  5. Chạy adprep Ngày giản đồ hoạt động master. Để làm điều này, bấm Bắt đầu, bấm Chạy, loại CMD, sau đó bấm Ok. Ngày giản đồ hoạt động kinh doanh chủ, gõ lệnh sau đây
    X:\I386\adprep /forestprep
    nơi X:\I386\ là đường dẫn chứa trình cài đặt Windows Server 2003. Lệnh này chạy nâng cấp rừng toàn lược đồ.

    Chú ý Sự kiện với tổ chức sự kiện ID 1153 đã đăng trong sổ ghi sự kiện dịch vụ thư mục, chẳng hạn như các mẫu sau, có thể được bỏ qua:

    Loại sự kiện: lỗi
    Sự kiện nguồn: NTDS chung
    Sự kiện thể loại: Nội bộ xử lý
    ID sự kiện: 1153
    Ngày: MM/DD/YYYY
    Thời gian: HH:MM:SS AM|AM
    Người dùng: Tất cả mọi người máy tính:<some dc=""></some>
    Mô tả: Định danh lớp 655562 (lớp tên msWMI-MergeablePolicyTemplate) có một lớp cha không hợp lệ 655560. Thừa kế bị bỏ qua.

  6. Xác minh rằng các adprep /forestprep lệnh thành công hoạt động trên lược đồ hoạt động master. Làm như vậy, từ bàn điều khiển của giản đồ hoạt động kinh doanh chủ, xác minh các mục sau đây:
    • Các adprep /forestprep lệnh hoàn thành mà không có lỗi.
    • CN = Windows2003Update đối tượng được viết dưới CN = ForestUpdates, CN = Configuration, DC =forest_root_domain. Ghi giá trị thuộc tính bản sửa đổi.
    • (Tùy chọn) Phiên bản giản đồ incremented đến phiên bản 30. Để làm điều này, xem các thuộc tính ObjectVersion dưới CN = Schema, CN = Configuration, DC =forest_root_domain.
    Nếu adprep /forestprep không chạy, xác minh các mục sau đây:
    • Đường dẫn đầy đủ điều kiện cho Adprep.exe nằm trong thư mục \I386 vật chứa cài đặt được chỉ rõ khi adprep chạy. Để làm điều này, gõ lệnh sau đây:
      x: \i386\adprep /forestprep
      nơi x là ổ đĩa lưu trữ các vật chứa cài đặt.
    • Người dùng đăng nhập vào người điều hành adprep có thành viên của nhóm quản trị viên Schema bảo mật. Để xác minh điều này, hãy sử dụng các whoami/tất cả bộ chỉ huy.
    • Nếu adprep vẫn không làm việc, xem tệp Adprep.log trong %systemroot%\System32\Debug\Adprep\Logs\Latest_log thư mục.
  7. Nếu bạn vô hiệu hóa nhân rộng ra bên ngoài vào giản đồ hoạt động từ bậc thầy trong bước 4, phép sao nhân bản để các giản đồ thay đổi đó đã được thực hiện bởi adprep /forestprep có thể truyền. Để làm điều này, theo các bước sau:
    1. Nhấp vào Bắt đầu, bấm Chạy, loại CMD, sau đó bấm Ok.
    2. Loại sau đây, và sau đó nhấn ENTER:
      repadmin/tùy chọn - DISABLE_OUTBOUND_REPL
  8. Xác minh rằng các adprep /forestprep những thay đổi có nhân rộng trên tất cả các bộ điều khiển tên miền trong rừng. Nó rất hữu ích để giám sát các thuộc tính sau:
    1. Incrementing bản đồ
    2. CN = Windows2003Update, CN = ForestUpdates, CN = Configuration, DC =forest_root_domain hoặc CN = hoạt động, CN = DomainUpdates, CN = hệ thống, DC =forest_root_domain và các hoạt động GUIDs dưới nó có nhân rộng trong.
    3. Tìm kiếm cho lớp học lược đồ mới, các đối tượng, thuộc tính hoặc khác thay đổi mà adprep /forestprep cho biết thêm, chẳng hạn như inetOrgPerson. Xem SchXX.LDF tập tin (nơi XX là một số giữa 14 và 30) trong %systemroot%\System32 thư mục để xác định những gì các đối tượng và thuộc tính không nên. Ví dụ, inetOrgPerson được định nghĩa trong Sch18.ldf.
  9. Tìm đọc sai LDAPDisplayNames.

    Nếu Exchange 2000 đã được cài đặt trước khi bạn chạy Windows Server 2003 adprep /forestprep lệnh, xem bài viết sau trong cơ sở kiến thức Microsoft:
    314649 Windows Server 2003 adprep /forestprep chỉ huy nguyên nhân thuộc tính đọc sai trong các khu rừng Windows 2000 có chứa các máy chủ Exchange 2000
    Nếu bạn tìm thấy đọc sai tên, hãy vào kịch bản 3 cùng một điều.
  10. Đăng nhập vào giao diện điều khiển của bậc thầy hoạt động lược đồ với trương mục là một thành viên của nhóm bảo mật nhóm quản trị viên giản đồ của rừng chủ Thạc sĩ hoạt động lược đồ.

Nâng cấp tên miền với lệnh /domainprep adprep

Chạy adprep /domainprep sau khi các /forestprep thay đổi hoàn toàn tái tạo với bộ điều khiển tên miền chủ cơ sở hạ tầng trong mỗi tên miền sẽ đăng cai bộ kiểm soát miền Windows Server 2003. Để làm như vậy, hãy làm theo các bước sau:
  1. Xác định các bộ điều khiển vùng chủ cơ sở hạ tầng trong lĩnh vực bạn đang nâng cấp, và sau đó đăng nhập với trương mục là một thành viên của nhóm bảo mật quản trị viên tên miền trong tên miền bạn đang nâng cấp.

    Chú ý: Quản trị doanh nghiệp có thể không có một thành viên của nhóm bảo mật quản trị viên tên miền trong tên miền con của rừng.
  2. Chạy adprep /domainprep trên cơ sở hạ tầng master. Để làm như vậy, bấm vào Start, chọn Run, loại CMD, và sau đó vào cơ sở hạ tầng master gõ lệnh sau đây:
    X:\I386\adprep /domainprep
    nơi X:\I386\ là đường dẫn chứa trình cài đặt Windows Server 2003. Lệnh này chạy toàn miền thay đổi trong phạm vi mục tiêu.

    Chú ý: The adprep /domainprep lệnh sửa đổi tập tin quyền trong những chia sẻ Sysvol. Các thay đổi gây ra một đồng bộ hoá đầy đủ của tập tin trong cây thư mục đó.
  3. Xác minh rằng domainprep hoàn tất thành công. Để làm như vậy, kiểm chứng các mục sau đây:
    • Các adprep /domainprep lệnh hoàn thành mà không có lỗi.
    • CN = Windows2003Update, CN = DomainUpdates, CN = hệ thống, DC =DN đường của tên miền bạn đang nâng cấp tồn tại
    Nếu adprep /domainprep không chạy, xác minh các mục sau đây:
    • Người dùng đăng nhập vào người điều hành adprep có thành viên của nhóm bảo mật quản trị viên tên miền trong tên miền là bạn đang nâng cấp. Để làm như vậy, hãy sử dụng các whoami/tất cả bộ chỉ huy.
    • Đường dẫn đầy đủ điều kiện cho Adprep.exe nằm trong thư mục \I386 vật chứa cài đặt đã được chỉ ra khi bạn chạy adprep. Để làm như vậy, một dấu nhắc lệnh gõ lệnh sau đây:
      x: \i386\adprep /forestprep
      nơi x là ổ đĩa lưu trữ các vật chứa cài đặt.
    • Nếu adprep vẫn không làm việc, xem tệp Adprep.log trong %systemroot%\System32\Debug\Adprep\Logs\Latest_log thư mục.
  4. Xác minh rằng các adprep /domainprep những thay đổi có nhân rộng. Làm như vậy, cho bộ điều khiển vùng còn lại thuộc về phạm vi, xác minh các mục sau đây:
    • CN = Windows2003Update, CN = DomainUpdates, CN = hệ thống, DC =DN đường của tên miền bạn đang nâng cấp tồn tại đối tượng và giá trị cho các thuộc tính bản sửa đổi phù hợp với giá trị của các thuộc tính cùng trên cơ sở hạ tầng bậc thầy của tên miền.
    • (Tùy chọn) Tìm các đối tượng, thuộc tính hoặc danh sách điều khiển truy nhập (ACL) thay đổi mà adprep /domainprep thêm vào.
    Lặp lại các bước 1-4 trên tổng thể cơ sở hạ tầng của các lĩnh vực còn lại với số lượng lớn hoặc khi bạn thêm hoặc nâng cấp DC trong những tên miền lên Windows Server 2003. Bây giờ bạn có thể thúc đẩy máy tính mới Windows Server 2003 vào rừng bằng cách sử dụng DCPROMO. Hoặc, bạn có thể nâng cấp hiện có bộ kiểm soát miền Windows 2000 lên Windows Server 2003 bằng cách sử dụng WINNT32.EXE.

Nâng cấp bộ kiểm soát miền Windows 2000 bằng cách sử dụng Winnt32.exe

Sau những thay đổi từ /forestprep/domainprep hoàn toàn replicate và bạn đã thực hiện một quyết định về an ninh khả năng tương tác với khách hàng Phiên bản trước đó, bạn có thể nâng cấp bộ kiểm soát miền Windows 2000 lên Windows Server 2003 và thêm mới bộ kiểm soát miền Windows Server 2003 tên miền.

Các máy tính sau đây phải trong số các bộ điều khiển vùng đầu tiên chạy Windows Server 2003 trong rừng trong mỗi tên miền:
  • Tên miền đặt tên bậc thầy trong rừng, do đó bạn có thể tạo mặc định DNS chương trình phân vùng.
  • Bộ điều khiển vùng chính của tên miền gốc rừng để các hiệu trưởng an ninh toàn doanh nghiệp mà Windows Server 2003 forestprep thêm trở thành có thể nhìn thấy trong trình soạn thảo ACL.
  • Bộ điều khiển tên miền chính trong mỗi tên miền không phải gốc do đó bạn có thể tạo mới đặc trưng cho tên miền Windows 2003 bảo mật hiệu trưởng.
Để làm như vậy, hãy sử dụng WINNT32 để nâng cấp bộ kiểm soát miền hiện có mà máy chủ lưu trữ vai trò hoạt động bạn muốn. Hoặc, chuyển giao vai trò để điều khiển mới được thăng lên vùng Windows Server 2003. Thực hiện theo các bước sau cho mỗi bộ kiểm soát miền Windows 2000 mà bạn nâng cấp lên Windows Server 2003 với WINNT32 và cho mỗi nhóm làm việc Windows Server 2003 hoặc máy tính tài khoản của bạn thúc đẩy:
  1. Trước khi bạn sử dụng WINNT32 để nâng cấp máy tính Windows 2000 thành viên và bộ điều khiển vùng, loại bỏ công cụ quản trị của Windows 2000. Để làm như vậy, sử dụng công cụ thêm/bớt chương trình trong Control Panel. (Windows 2000 upgrades chỉ.)
  2. Cài đặt bất kỳ tệp hotfix nào hoặc các bản sửa lỗi mà Microsoft hoặc các quản trị viên xác định là quan trọng.
  3. Kiểm tra mỗi điều khiển vùng cho có thể nâng cấp các vấn đề. Để làm như thế, hãy chạy lệnh sau từ thư mục \I386 vật chứa cài đặt:
    winnt32.exe /checkupgradeonly
    Giải quyết bất kỳ vấn đề kiểm tra khả năng tương thích để nhận dạng.
  4. Chạy WINNT32.EXE từ \I386 cặp chứa trình cài đặt, và bộ điều khiển vùng khởi động lại được nâng cấp năm 2003.
  5. Hạ thấp thiết đặt bảo mật cho các phiên bản trước đó khách hàng theo yêu cầu.

    Nếu Windows NT 4.0 khách hàng không có NT 4.0 SP6 hoặc Windows 95 khách hàng không có khách hàng dịch vụ thư mục cài đặt, vô hiệu hoá dịch vụ SMB ký kết về chính sách mặc định bộ điều khiển vùng trên đơn vị tổ chức bộ kiểm soát miền và sau đó liên kết chính sách này để tất cả các đơn vị tổ chức mà bộ kiểm soát miền máy chủ lưu trữ.
    Máy tính Configuration\Windows Settings\Security Policies Local Options\Microsoft mạng máy chủ: Truyền thông (luôn luôn) ký điện tử
  6. Kiểm tra sức khỏe của nâng cấp bằng cách sử dụng các điểm dữ liệu sau đây:
    • Nâng cấp hoàn tất thành công.
    • Hotfixes mà bạn thêm vào cài đặt thành công thay thế mã nhị phân ban đầu.
    • Trong nước và ngoài nước rộng Active Directory đang xảy ra cho tất cả các ngôn ngữ đặt tên này được tổ chức bởi bộ điều khiển vùng.
    • Chia sẻ Netlogon và Sysvol tồn tại.
    • Sổ ghi sự kiện chỉ ra rằng bộ điều khiển tên miền và dịch vụ của mình là khỏe mạnh.

      Chú ý: Bạn có thể nhận được thông báo sau sự kiện sau khi bạn nâng cấp:

      Loại sự kiện: lỗi
      Sự kiện nguồn: NTDS Backup
      Sự kiện thể loại: sao lưu
      ID sự kiện: 1913
      Ngày: Ngày
      Thời gian: HH:MM:SSAM|AM
      Người dùng: N/A
      Máy tính: computername
      Mô tả: Lỗi bên trong: The Active Directory sao lưu và khôi phục thao tác đã bắt gặp lỗi bất ngờ. Sao lưu hoặc khôi phục sẽ không thành công cho đến khi điều này sửa chữa.

      Bạn một cách an toàn có thể bỏ qua thông báo sự kiện này.
  7. Cài đặt các Windows Server 2003 Administration Tools (nâng cấp Windows 2000 và Windows Server 2003 bộ kiểm soát miền không chỉ). AdminPak.MSI là trong \I386 thư mục phương tiện Windows Server 2003 CD-ROM. Windows Server 2003 chứa các công cụ hỗ trợ Cập Nhật trong tập tin Support\Tools\Suptools.msi. Hãy chắc chắn rằng bạn cài đặt lại tệp này.
  8. Tạo bản sao lưu mới của ít nhất là hai bộ điều khiển Windows 2000 tên miền mà bạn nâng cấp lên Windows Server 2003 trong mỗi tên miền trong rừng. Xác định vị trí các bản sao lưu các máy tính Windows 2000 mà bạn nâng cấp lên Windows Server 2003 trong khóa Lưu trữ để bạn không vô tình dùng chúng để khôi phục lại bộ kiểm soát miền bây giờ chạy Windows Server 2003.
  9. (Tùy chọn) Thực hiện một phân mảnh gián tuyến cơ sở dữ liệu thư mục hoạt động trên bộ điều khiển tên miền mà bạn nâng cấp lên Windows Server 2003 sau khi cửa hàng ví dụ đơn (SIS) đã hoàn thành (Windows 2000 nâng cấp chỉ).

    SIS xem lại cấp phép hiện có trên các đối tượng được lưu trữ trong thư mục hoạt động, và sau đó áp dụng một mô tả bảo mật hiệu quả hơn trên các đối tượng. SIS bắt đầu tự động (được xác định bởi sự kiện năm 1953 trong sổ ghi sự kiện dịch vụ thư mục) khi điều khiển nâng cấp vùng lần đầu khởi động hệ điều hành Windows Server 2003. Bạn hưởng lợi từ các cửa hàng mô tả bảo mật được cải thiện chỉ khi bạn đăng một thông báo sự kiện tổ chức sự kiện ID 1966 trong sổ ghi sự kiện dịch vụ thư mục:

    Sự kiện loại: thông tin
    Sự kiện nguồn: NTDS SDPROP
    Sự kiện thể loại: Nội bộ xử lý
    ID sự kiện: 1966
    Ngày: MM/DD/YYYY
    Thời gian: HH:MM:SS AM|AM
    User: NT AUTHORITY\ANONYMOUS đăng nhập
    Máy tính:<computername></computername>
    Mô tả: Bảo mật mô tả propagator đã hoàn thành một pass đầy đủ tuyên truyền.
    Cấp phát vũ trụ (MB):
    XX Free space (MB): XX

    Điều này có thể đã tăng không gian tự do trong cơ sở dữ liệu Active Directory.
    Người sử dụng hành động: Xem xét defragmenting cơ sở dữ liệu gián tuyến đòi miễn phí không gian có thể có sẵn trong cơ sở dữ liệu Active Directory. Để biết thêm chi tiết, xem trợ giúp và trung tâm hỗ trợ tại http://support.microsoft.com.

    Thông báo sự kiện này chỉ ra rằng thao tác kho ví dụ đơn đã hoàn thành và phục vụ như một hàng đợi các quản trị viên để thực hiện của gián tuyến defragmentation của Ntds.dit bằng cách sử dụng NTDSUTIL.EXE.

    Dồn liền đĩa gián tuyến có thể làm giảm kích thước của một tập tin Windows 2000 Ntds.dit lên đến 40%, cải thiện hiệu suất hoạt động thư mục, và cập nhật các trang trong cơ sở dữ liệu cho việc lưu trữ hiệu quả hơn các liên kết có giá trị thuộc tính. Cho biết thêm thông tin về làm thế nào để chống phân mảnh các thư mục hoạt động cơ sở dữ liệu, bấm số bài viết sau đây để xem bài viết trong cơ sở kiến thức Microsoft:
    232122Thực hiện các gián tuyến defragmentation của cơ sở dữ liệu Active Directory
  10. Điều tra dịch vụ Server DLT. Bộ kiểm soát miền Windows Server 2003 vô hiệu hoá dịch vụ DLT Server ngày tươi và nâng cấp cài đặt. Nếu Windows 2000 hoặc Windows XP khách hàng trong tổ chức của bạn sử dụng dịch vụ DLT Server, sử dụng chính sách nhóm để cho phép các dịch vụ DLT Server trên mới hoặc nâng cấp bộ kiểm soát miền Windows Server 2003. Nếu không, từng bước xóa phân phối liên kết theo dõi các đối tượng từ Active Directory. Để biết thêm chi tiết, nhấp vào số bài viết sau để xem các bài viết trong cơ sở kiến thức Microsoft:
    312403Phân phối liên kết theo dõi trên bộ điều khiển Windows trên vùng
    315229 Phiên bản văn bản của Dltpurge.vbs cho bài viết cơ sở kiến thức Microsoft Q312403
    Nếu bạn bulk xoá hàng ngàn DLT đối tượng hoặc các đối tượng khác, bạn có thể chặn nhân rộng vì của thiếu các phiên bản lưu trữ. Đợi tombstonelifetime số ngày (theo mặc định, 60 ngày) sau khi bạn xóa các đối tượng DLT trước và cho bộ sưu tập rác để hoàn thành, sau đó sử dụng NTDSUTIL.EXE để thực hiện một phân mảnh gián tuyến của tệp Ntds.dit.
  11. Cấu hình các cấu trúc đơn vị tổ chức thực hành tốt nhất. Microsoft khuyến cáo rằng quản trị viên chủ động triển khai cơ cấu tổ chức đơn vị thực hành tốt nhất trong tất cả các tên miền Active Directory, và sau khi họ nâng cấp hoặc triển khai các bộ kiểm soát miền Windows Server 2003 trong chế độ Windows Domain, chuyển hướng các thùng chứa mặc định phiên bản trước đó API sử dụng để tạo người dùng, máy vi tính và các nhóm để một container đơn vị tổ chức mà các quản trị viên chỉ định.

    Để thêm thông tin về cơ cấu tổ chức đơn vị thực hành tốt nhất, xem phần "Tạo an Organizational Unit Design" giấy trắng "Tốt nhất thực hành hoạt động thư mục thiết kế cho việc quản lý Windows mạng". Để xem giấy trắng, ghé thăm Web site sau của Microsoft: Để biết thêm chi tiết về việc thay đổi mặc định container nơi người sử dụng, máy vi tính và các nhóm bản trước API tạo được đặt, nhấp vào số bài viết sau đây để xem bài viết trong cơ sở kiến thức Microsoft:
    324949Chuyển hướng người sử dụng và máy vi tính thùng chứa trong Windows Server 2003 tên miền
  12. Lặp lại các bước 1 đến 10 theo yêu cầu cho mỗi mới hoặc nâng cấp Windows Server 2003 domain controller trong rừng và bước 11 (thực hành tốt nhất đơn vị tổ chức cơ cấu) cho mỗi tên miền Active Directory.

    Tóm lại:
    • Nâng cấp bộ kiểm soát miền Windows 2000 với WINNT32 (từ phương tiện cài đặt slipstreamed nếu được sử dụng)
    • Kiểm tra các tập tin hotfixed đã được cài đặt trên các máy tính nâng cấp
    • Cài đặt bất kỳ hotfix yêu cầu không có trên vật chứa cài đặt
    • Kiểm tra sức khỏe mới hoặc nâng cấp máy chủ (AD, FRS, chính sách vv)
    • Hãy chờ 24 giờ sau khi nâng cấp hệ điều hành sau đó gián tuyến defrag (tùy chọn)
    • Chạy dịch vụ DLT nếu bạn phải, nếu không xoá DLT đối tượng bằng cách sử dụng q312403 / q315229 post rừng rộng domainpreps
    • Thực hiện chế độ gián tuyến phân mảnh ngày 60 + (tombstone đời và rác thải bộ sưu tập # ngày) sau khi xóa các đối tượng DLT

Dry-run nâng cấp trong một môi trường phòng thí nghiệm

Trước khi bạn nâng cấp bộ kiểm soát miền Windows vào một vùng sản xuất Windows 2000, xác nhận và tinh chỉnh của bạn quá trình nâng cấp trong các phòng thí nghiệm. Nếu nâng cấp một môi trường phòng thí nghiệm chính xác các gương rừng sản xuất thực hiện trơn tru, bạn có thể mong đợi kết quả tương tự trong các môi trường sản xuất. Cho các môi trường phức tạp, môi trường phòng thí nghiệm phải gương môi trường sản xuất trong các lĩnh vực sau:
  • Phần cứng: máy tính kiểu, kích thước bộ nhớ, trang tập tin theo vị trí, kích thước đĩa, cấu hình hiệu năng và đột kích, BIOS và mức độ bản sửa đổi phần vững
  • Phần mềm: khách hàng và máy chủ vận hành các phiên bản hệ thống, các ứng dụng máy khách và máy chủ, các phiên bản gói dịch vụ, hotfixes, thay đổi lược đồ, các nhóm bảo mật, nhóm thành viên, cấp phép, thiết đặt chính sách, đối tượng bá tước loại và địa điểm, khả năng tương tác phiên bản
  • Hạ tầng mạng: Tốc độ thắng, DHCP, liên kết, băng thông có sẵn
  • Tải: Tải simulators có thể mô phỏng thay đổi mật khẩu, sáng tạo đối tượng, nhân rộng Active Directory, đăng nhập xác thực và các sự kiện khác. Mục tiêu là không để tái sản xuất quy mô của môi trường sản xuất. Thay vào đó, các mục tiêu là để khám phá chi phí và tần số của các hoạt động phổ biến và suy các hiệu ứng (tên truy vấn, làm bản sao lưu lượng truy cập, mạng băng thông và bộ vi xử lý tiêu thụ) vào môi trường sản xuất dựa trên yêu cầu hiện tại và tương lai của bạn.
  • Quản trị: nhiệm vụ thực hiện, sử dụng các công cụ, hệ điều hành được sử dụng
  • Hoạt động: năng lực, khả năng tương tác
  • Dung lượng đĩa: Lưu ý việc bắt đầu, cao điểm và kết thúc kích thước của hệ điều hành, Ntds.dit và Active Directory đăng nhập tập tin trên toàn cầu vào cửa hàng và cửa hàng không toàn cầu bộ kiểm soát miền trong mỗi tên miền sau mỗi caùc thao taùc sau:
    1. adprep /forestprep
    2. adprep /domainprep
    3. Nâng cấp bộ kiểm soát miền Windows 2000 lên Windows Server 2003
    4. Thực hiện ngoại tuyến phân mảnh sau khi nâng cấp phiên bản
Sự hiểu biết về quá trình nâng cấp và phức tạp của môi trường kết hợp với chi tiết quan sát sẽ xác định mức độ chăm sóc bạn áp dụng cho việc nâng cấp môi trường sản xuất và tốc độ. Môi trường với một số lượng nhỏ của bộ điều khiển vùng và các đối tượng Active Directory kết nối hơn sẵn sàng cao rộng khu liên kết mạng (WAN) có thể nâng cấp trong chỉ vài giờ. Bạn có thể phải cẩn thận hơn với triển khai mạng doanh nghiệp có hàng trăm bộ điều khiển vùng hoặc hàng trăm ngàn, các đối tượng Active Directory. Trong trường hợp này, bạn có thể thực hiện việc nâng cấp trong quá trình cả một vài tuần hoặc tháng.

Sử dụng nâng cấp "Dry-run" trong các phòng thí nghiệm để thực hiện các tác vụ sau:
  • Hiểu được hoạt động bên trong của quá trình nâng cấp và những rủi ro liên quan.
  • Lộ ra các khu vực vấn đề tiềm năng cho quá trình triển khai trong môi trường của bạn.
  • Kiểm tra và xây dựng kế hoạch mùa thu, trở lại trong trường hợp việc nâng cấp không thành công.
  • Xác định mức độ phù hợp của chi tiết để áp dụng cho quá trình nâng cấp cho vùng sản xuất.

Bộ điều khiển vùng mà không có đủ không gian đĩa

Trên bộ điều khiển vùng với không gian đĩa không đủ, sử dụng các bước sau để giải phóng thêm không gian đĩa trên ổ đĩa mà máy chủ Ntds.dit và đăng nhập các tập tin:
  1. Xóa các tập tin không sử dụng bao gồm các tập tin *.tmp hoặc lưu trữ các tập tin trình duyệt internet sử dụng. Để làm điều này, gõ lệnh sau đây (nhấn ENTER sau mỗi lệnh):
    CD /d ổ đĩa\
    del *.tmp/s
  2. Xóa bỏ bất kỳ người sử dụng hoặc tệp kết xuất bộ nhớ. Để làm điều này, gõ lệnh sau đây (nhấn ENTER sau mỗi lệnh):
    CD /d ổ đĩa\
    del *.dmp/s
  3. Tạm thời loại bỏ hoặc di dời tập tin mà bạn có thể truy cập từ các máy chủ khác hoặc một cách dễ dàng cài đặt lại. Tập tin mà bạn có thể loại bỏ và dễ dàng thay thế bao gồm ADMINPAK, công cụ hỗ trợ, và tất cả các file trong thư mục %systemroot%\System32\Dllcache.
  4. Xóa bỏ hồ sơ người dùng tuổi hoặc không sử dụng. Để làm điều này, bấm Bắt đầu, bấm chuột phải vào Máy tính của tôi, bấm Thuộc tính, bấm vào các Hồ sơ người dùng tab, và sau đó xóa tất cả các cấu hình được cho các tài khoản cũ và không sử dụng. Không xóa bất kỳ hồ sơ mà có thể cho các tài khoản dịch vụ.
  5. Xóa bỏ các biểu tượng lúc % systemroot%\Symbols. Để làm điều này, gõ lệnh sau đây:
    Rd/s %systemroot%\symbols
    Tùy thuộc vào việc các máy chủ có một biểu tượng đầy đủ hoặc nhỏ đặt, điều này có thể đạt được khoảng 70 MB đến 600 MB.
  6. Thực hiện một phân mảnh gián tuyến. Một phân mảnh gián tuyến của tệp Ntds.dit có thể giải phóng không gian nhưng tạm thời yêu cầu tăng gấp đôi trong không gian của DIT tệp hiện thời. Thực hiện phân mảnh các gián tuyến bằng cách sử dụng khác khối tin địa phương, nếu một người sẵn sàng. Hoặc, sử dụng vũ trụ trên một máy chủ kết nối mạng tốt nhất để thực hiện phân mảnh gián tuyến. Nếu không gian đĩa là vẫn chưa đủ, từng bước xóa tài khoản người dùng không cần thiết, trương mục máy tính, bản ghi DNS và DLT đối tượng từ Active Directory.

    Chú ý: Hoạt động thư mục sẽ không xoá các đối tượng từ cơ sở dữ liệu cho đến khi tombstonelifetime số ngày (theo mặc định, 60 ngày) đã trôi qua và bộ sưu tập rác xong. Nếu bạn làm giảm tombstonelifetime một giá trị thấp hơn sao nhân bản kết thúc để kết thúc trong rừng, bạn có thể gây ra mâu thuẫn trong Active Directory.
THAM KHẢO
Để biết thêm thông tin, hãy bấm vào số bài viết sau để xem bài viết trong Cơ sở Kiến thức Microsoft:
821076Windows Server 2003 giúp tập tin chứa thông tin không chính xác về làm thế nào để cập nhật một tên miền Windows 2000

Cảnh báo: Bài viết này đã được dịch tự động

Thuộc tính

ID Bài viết: 325379 - Xem lại Lần cuối: 08/27/2011 14:40:00 - Bản sửa đổi: 2.0

Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Exchange 2000 Server Standard Edition, Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86), Microsoft Windows Server 2003 R2 Datacenter x64 Edition, Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86), Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86), Microsoft Windows Server 2003 R2 Standard x64 Edition

  • kbinfo kbmt KB325379 KbMtvi
Phản hồi