Freigeben über


Erhöhen der Active Directory-Domänen- und Gesamtstrukturfunktionsebenen

In diesem Artikel wird beschrieben, wie Sie die Active Directory-Domänen- und Gesamtstrukturfunktionsebenen erhöhen.

Gilt für: Windows Server 2003
Ursprüngliche KB-Nummer: 322692

Zusammenfassung

Informationen zu Windows Server 2016 und neuen Features in Active Directory Domain Services (AD DS) finden Sie unter Neuerungen in Active Directory Domain Services für Windows Server 2016.

In diesem Artikel wird das Erhöhen der Domänen- und Gesamtstrukturfunktionsebenen erläutert, die von Microsoft Windows Server 2003-basierten oder neueren Domänencontrollern unterstützt werden. Es gibt vier Versionen von Active Directory, und nur die Ebenen, die sich von Windows NT Server 4.0 geändert haben, müssen besonders berücksichtigt werden. Daher werden die anderen Ebenenänderungen mithilfe der neueren, aktuellen oder älteren Versionen des Domänencontrollerbetriebssystems, der Domäne oder der Gesamtstrukturfunktionsebene erwähnt.

Funktionsebenen sind eine Erweiterung des gemischten Modus und der Konzepte des einheitlichen Modus, die in Microsoft Windows 2000 Server eingeführt wurden, um neue Active Directory-Features zu aktivieren. Einige zusätzliche Active Directory-Features sind verfügbar, wenn auf allen Domänencontrollern die neueste Windows Server-Version in einer Domäne oder Gesamtstruktur ausgeführt wird und wenn der Administrator die entsprechende Funktionsebene in der Domäne oder in der Gesamtstruktur aktiviert.

Um die neuesten Domänenfeatures zu aktivieren, muss auf allen Domänencontrollern die neueste Windows Server-Betriebssystemversion in der Domäne ausgeführt werden. Wenn diese Anforderung erfüllt ist, kann der Administrator die Domänenfunktionsebene erhöhen.

Um die neuesten gesamtstrukturweiten Features zu aktivieren, muss auf allen Domänencontrollern in der Gesamtstruktur die Windows Server-Betriebssystemversion ausgeführt werden, die der gewünschten Gesamtstrukturfunktionsebene entspricht. Darüber hinaus muss sich die aktuelle Domänenfunktionsebene bereits auf der neuesten Ebene befinden. Wenn diese Anforderungen erfüllt sind, kann der Administrator die Funktionsebene der Gesamtstruktur erhöhen.

Im Allgemeinen können die Änderungen an den Domänen- und Gesamtstrukturfunktionsebenen nicht rückgängig gemacht werden. Wenn die Änderung rückgängig werden kann, muss eine Gesamtstrukturwiederherstellung verwendet werden. Mit dem Betriebssystem Windows Server 2008 R2 kann ein Rollback für änderungen an Domänenfunktionsebenen und Gesamtstrukturfunktionsebenen ausgeführt werden. Das Rollback kann jedoch nur in den spezifischen Szenarien ausgeführt werden, die im Technet-Artikel über die Active Directory-Funktionsebenen beschrieben werden.

Hinweis

Die neuesten Domänenfunktionsebenen und die neuesten Gesamtstrukturfunktionsebenen wirken sich nur auf die Art und Weise aus, wie die Domänencontroller als Gruppe zusammenarbeiten. Die Clients, die mit der Domäne oder mit der Gesamtstruktur interagieren, sind davon nicht betroffen. Darüber hinaus sind Anwendungen von Änderungen der Domänenfunktionsebenen oder der Gesamtstrukturfunktionsebenen nicht betroffen. Anwendungen können jedoch die neuesten Domänenfeatures und die neuesten Gesamtstrukturfeatures nutzen.

Weitere Informationen finden Sie im TechNet-Artikel zu den Features, die den verschiedenen Funktionsebenen zugeordnet sind.

Anheben der Funktionsebene

Achtung

Erhöhen Sie die Funktionsebene nicht, wenn die Domäne über einen Domänencontroller verfügt, der eine frühere Version als die version aufweist, die für diese Ebene angegeben wird. Beispielsweise erfordert eine Windows Server 2008-Funktionsebene, dass auf allen Domänencontrollern Windows Server 2008 oder ein höheres Betriebssystem in der Domäne oder in der Gesamtstruktur installiert ist. Nachdem die Domänenfunktionsebene auf eine höhere Ebene erhöht wurde, kann sie nur mithilfe einer Gesamtstrukturwiederherstellung auf eine ältere Ebene zurückgesetzt werden. Diese Einschränkung besteht, weil die Features häufig die Kommunikation zwischen den Domänencontrollern ändern oder weil die Features den Speicher der Active Directory-Daten in der Datenbank ändern.

Die gängigste Methode zum Aktivieren der Domänen- und Gesamtstrukturfunktionsebenen ist die Verwendung der Grafischen Benutzeroberfläche (GUI) Verwaltungstools, die im TechNet-Artikel über Windows Server 2003 Active Directory-Funktionsebenen dokumentiert sind. In diesem Artikel wird Windows Server 2003 erläutert. Die Schritte sind jedoch in den neueren Betriebssystemversionen identisch. Darüber hinaus kann die Funktionsebene manuell oder mithilfe von Windows PowerShell-Skripts konfiguriert werden. Weitere Informationen zum manuellen Konfigurieren der Funktionsebene finden Sie im Abschnitt "Anzeigen und Festlegen der Funktionsebene".

Weitere Informationen zur Verwendung Windows PowerShell Skripts zum Konfigurieren der Funktionsebene finden Sie unter Erhöhen der Gesamtstrukturfunktionsebene.

Manuelles Anzeigen und Festlegen der Funktionsebene

Die LDAP-Tools (Lightweight Directory Access Protocol) wie Ldp.exe und Adsiedit.msc können verwendet werden, um die aktuellen Einstellungen auf Domänen- und Gesamtstrukturfunktionsebene anzuzeigen und zu ändern. Wenn Sie die Attribute auf Funktionsebene manuell ändern, besteht die bewährte Methode darin, Attributänderungen auf dem FSMO-Domänencontroller (Flexible Single Master Operations) vorzunehmen, der normalerweise von den Microsoft-Verwaltungstools bestimmt wird.

Einstellungen auf Domänenfunktionsebene

Das Attribut msDS-Behavior-Version befindet sich im Namenskontextkopf (NC) für die Domäne, d. h. DC=corp, DC=contoso, DC=com.

Sie können die folgenden Werte für dieses Attribut festlegen:

  • Wert von 0 oder nicht festgelegt=Domäne mit gemischter Ebene
  • Wert von 1=Windows Server 2003-Domänenebene
  • Wert von 2=Windows Server 2003-Domänenebene
  • Wert von 3=Windows Server 2008-Domänenebene
  • Wert von 4=Windows Server 2008 R2-Domänenebene

Einstellungen für gemischten und einheitlichen Modus

Das NtMixedDomain-Attribut befindet sich im Nc-Head (Naming Context) für die Domäne, d. h. DC=corp, DC=contoso, DC=com.

Sie können die folgenden Werte für dieses Attribut festlegen:

  • Wert von 0=Domäne auf nativer Ebene
  • Wert von 1=Domäne mit gemischter Ebene

Einstellung auf Gesamtstrukturebene

Das Attribut msDS-Behavior-Version befindet sich im CN=Partitions-Objekt im Configuration naming context (NC), d. h. CN=Partitions, CN=Configuration, DC= ForestRootDomain.

Sie können die folgenden Werte für dieses Attribut festlegen:

  • Wert von 0 oder nicht festgelegt=Gesamtstruktur mit gemischter Ebene

  • Wert von 1=Windows Server 2003-Zwischengesamtstrukturebene

  • Wert von 2=Windows Server 2003-Gesamtstrukturebene

    Hinweis

    Wenn Sie das MsDS-Behavior-Version-Attribut von 0 auf den Wert 1 erhöhen, indem SieAdsiedit.msc verwenden, erhalten Sie die folgende Fehlermeldung:
    Unzulässiger Änderungsvorgang. Einige Aspekte der Änderung sind nicht zulässig.

  • Wert von 3=Windows Server 2008-Domänenebene

  • Wert von 4=Windows Server 2008 R2-Domänenebene

Nachdem Sie die LDAP-Tools (Lightweight Directory Access Protocol) zum Bearbeiten der Funktionsebene verwendet haben, klicken Sie auf OK, um den Vorgang fortzusetzen. Die Attribute für den Partitionscontainer und den Domänenkopf werden ordnungsgemäß erhöht. Wenn eine Fehlermeldung von der Ldp.exe-Datei gemeldet wird, können Sie die Fehlermeldung problemlos ignorieren. Um zu überprüfen, ob die Stufenerhöhung erfolgreich war, aktualisieren Sie die Attributliste, und überprüfen Sie dann die aktuelle Einstellung. Diese Fehlermeldung kann auch auftreten, nachdem Sie die Stufenerhöhung für den autoritativen FSMO durchgeführt haben, wenn die Änderung noch nicht auf dem lokalen Domänencontroller repliziert wurde.

Schnelles Anzeigen der aktuellen Einstellungen mithilfe der Ldp.exe-Datei

  1. Starten Sie die Ldp.exe-Datei.
  2. Klicken Sie im Menü Verbindung auf Verbinden.
  3. Geben Sie den Domänencontroller an, den Sie abfragen möchten, oder lassen Sie den Platz leer, um eine Verbindung mit einem beliebigen Domänencontroller herzustellen.

Nachdem Sie eine Verbindung mit einem Domänencontroller hergestellt haben, werden die RootDSE-Informationen für den Domänencontroller angezeigt. Diese Informationen umfassen Informationen zur Gesamtstruktur, Domäne und Domänencontrollern. Es folgt ein Beispiel für einen Windows Server 2003-basierten Domänencontroller. Gehen Sie im folgenden Beispiel davon aus, dass der Domänenmodus Windows Server 2003 und der Gesamtstrukturmodus Windows 2000 Server ist.

Hinweis

Die Domänencontrollerfunktionalität stellt die höchstmögliche Funktionsebene für diesen Domänencontroller dar.

  • 1> domäneFunktionalität: 2=(DS_BEHAVIOR_WIN2003)
  • 1> forestFunktionalität: 0=(DS_BEHAVIOR_WIN2000)
  • 1> domainControllerFunctionality: 2=(DS_BEHAVIOR_WIN2003)

Anforderungen beim manuellen Ändern der Funktionsebene

  • Sie müssen den Domänenmodus in den einheitlichen Modus ändern, bevor Sie die Domänenebene erhöhen, wenn eine der folgenden Bedingungen zutrifft:

    • Die Domänenfunktionsebene wird programmgesteuert auf die zweite Funktionsebene erhöht, indem der Wert des attributs msdsBehaviorVersion für das domainDNS-Objekt direkt geändert wird.
    • Die Domänenfunktionsebene wird mithilfe des Hilfsprogramms Ldp.exe oder des Hilfsprogramms Adsiedit.msc auf die zweite Funktionsebene erhöht.

    Wenn Sie den Domänenmodus nicht in den einheitlichen Modus ändern, bevor Sie die Domänenebene erhöhen, wird der Vorgang nicht erfolgreich abgeschlossen, und Sie erhalten die folgenden Fehlermeldungen:

    SV_PROBLEM_WILL_NOT_PERFORM

    ERROR_DS_ILLEGAL_MOD_OPERATION

    Darüber hinaus wird die folgende Meldung im Verzeichnisdiensteprotokoll protokolliert:

    Active Directory could not update the functional level of the following domain because the domain is in mixed mode.
    

    In diesem Szenario können Sie den Domänenmodus in den einheitlichen Modus ändern, indem Sie das Snap-In Active Directory-Benutzer & Computer verwenden, das MMC-Snap-In Active Directory-Domänen & Ui vertrauen oder den Wert des Attributs ntMixedDomain für das domainDNS-Objekt programmgesteuert in 0 ändern. Wenn dieser Prozess verwendet wird, um die Domänenfunktionsebene auf 2 (Windows Server 2003) zu erhöhen, wird der Domänenmodus automatisch in den einheitlichen Modus geändert.

  • Der Übergang vom gemischten Modus zum einheitlichen Modus ändert den Bereich der Sicherheitsgruppe Schemaadministratoren und der Sicherheitsgruppe Unternehmensadministratoren in universelle Gruppen. Wenn diese Gruppen in universelle Gruppen geändert wurden, wird die folgende Meldung im Systemprotokoll protokolliert:

    Event Type: Information  
    Event Source: SAM  
    Event ID: 16408  
    Computer:Server Name  
    Description: "Domain operation mode has been changed to Native Mode. The change cannot be reversed."
    
  • Wenn die Windows Server 2003-Verwaltungstools zum Aufrufen der Domänenfunktionsebene verwendet werden, werden sowohl das Attribut ntmixedmode als auch das Attribut msdsBehaviorVersion in der richtigen Reihenfolge geändert. Dies ist jedoch nicht immer der Fall. Im folgenden Szenario wird der einheitliche Modus implizit auf den Wert 0 festgelegt, ohne den Bereich für die Sicherheitsgruppe Schemaadministratoren und die Sicherheitsgruppe Unternehmensadministratoren in universell zu ändern:

    • Das msdsBehaviorVersion-Attribut, das den Domänenfunktionsmodus steuert, wird manuell oder programmgesteuert auf den Wert 2 festgelegt.
    • Die Gesamtstrukturfunktionsebene wird mithilfe einer beliebigen Methode auf 2 festgelegt. In diesem Szenario blockieren die Domänencontroller den Übergang zur Gesamtstrukturfunktionsebene, bis alle Domänen, die sich im lokalen Netzwerk befinden, für den einheitlichen Modus konfiguriert sind und die erforderliche Attributänderung in den Sicherheitsgruppenbereichen vorgenommen wird.

Für Windows 2000 Server relevante Funktionsebenen

Windows 2000 Server unterstützt nur den gemischten und den einheitlichen Modus. Darüber hinaus werden diese Modi nur auf die Domänenfunktionalität angewendet. In den folgenden Abschnitten werden die Windows Server 2003-Domänenmodi aufgeführt, da sich diese Modi darauf auswirken, wie Windows NT 4.0- und Windows 2000 Server-Domänen aktualisiert werden.

Beim Erhöhen der Betriebssystemebene des Domänencontrollers gibt es viele Überlegungen. Diese Überlegungen werden durch die Speicher- und Replikationseinschränkungen der verknüpften Attribute in Windows 2000 Server-Modi verursacht.

Windows 2000 Server gemischt (Standard)

  • Unterstützte Domänencontroller: Microsoft Windows NT 4.0, Windows 2000 Server, Windows Server 2003
  • Aktivierte Features: lokale und globale Gruppen, globale Katalogunterstützung

Windows 2000 Server nativ

  • Unterstützte Domänencontroller: Windows 2000 Server, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2
  • Aktivierte Features: Gruppenschachtelung, universelle Gruppen, Sid-Verlauf, Konvertieren von Gruppen zwischen Sicherheitsgruppen und Verteilergruppen, Sie können Domänenebenen erhöhen, indem Sie die Einstellungen auf Gesamtstrukturebene erhöhen.

Windows Server 2003 Interim

  • Unterstützte Domänencontroller: Windows NT 4.0, Windows Server 2003
  • Unterstützte Features: Auf dieser Ebene sind keine domänenweiten Features aktiviert. Alle Domänen in einer Gesamtstruktur werden automatisch auf diese Ebene erhöht, wenn die Gesamtstrukturebene auf "interim" erhöht wird. Dieser Modus wird nur verwendet, wenn Sie Domänencontroller in Windows NT 4.0-Domänen auf Windows Server 2003-Domänencontroller aktualisieren.

Windows Server 2003

  • Unterstützte Domänencontroller: Windows Server 2003, Windows Server 2008, Windows Server 2008 R2
  • Unterstützte Features: Umbenennung des Domänencontrollers, Aktualisiertes und repliziertes Anmeldezeitstempel-Attribut. Benutzerkennwortunterstützung für die InetOrgPerson-Objektklasse. Mit eingeschränkter Delegierung können Sie die Container Benutzer und Computer umleiten.

Domänen, die von Windows NT 4.0 aktualisiert oder durch die Heraufstufung eines Windows Server 2003-basierten Computers erstellt werden, arbeiten auf der gemischten Funktionsebene von Windows 2000. Windows 2000 Server-Domänen behalten ihre aktuelle Domänenfunktionsebene bei, wenn Windows 2000 Server-Domänencontroller auf das Betriebssystem Windows Server 2003 aktualisiert werden. Sie können die Domänenfunktionsebene entweder auf Windows 2000 Server native oder Windows Server 2003 erhöhen.

Zwischenstufe: Upgrade von einer Windows NT 4.0-Domäne

Windows Server 2003 Active Directory ermöglicht eine spezielle Gesamtstruktur- und Domänenfunktionsebene mit dem Namen Windows Server 2003 interim. Diese Funktionsebene wird für Upgrades vorhandener Windows NT 4.0-Domänen bereitgestellt, bei denen mindestens ein Windows NT 4.0-Sicherungsdomänencontroller (BDCs) nach dem Upgrade funktionieren muss. Windows 2000 Server-Domänencontroller werden in diesem Modus nicht unterstützt. Windows Server 2003 Interim gilt für die folgenden Szenarien:

  • Domänenupgrades von Windows NT 4.0 auf Windows Server 2003.
  • Windows NT 4.0 BDCs werden nicht sofort aktualisiert.
  • Windows NT 4.0-Domänen, die Gruppen mit mehr als 5000 Mitgliedern enthalten (ohne die Gruppe der Domänenbenutzer).
  • Es ist nicht geplant, Windows Server2000-Domänencontroller in der Gesamtstruktur zu einem beliebigen Zeitpunkt zu implementieren.

Windows Server 2003 interim bietet zwei wichtige Verbesserungen, während die Replikation auf Windows NT 4.0 BDCs weiterhin zulässig ist:

  1. Effiziente Replikation von Sicherheitsgruppen und Unterstützung für mehr als 5000 Mitglieder pro Gruppe.
  2. Verbesserte Algorithmen für den KCC-Generator für standortübergreifende Topologien.

Aufgrund der Effizienz bei der Gruppenreplikation, die in der Zwischenebene aktiviert wird, ist die Zwischenebene die empfohlene Stufe für alle Windows NT 4.0-Upgrades. Weitere Informationen finden Sie im Abschnitt "Best Practices" dieses Artikels.

Festlegen der Windows Server 2003-Zwischengesamtstrukturfunktionsebene

Windows Server 2003 Interim kann auf drei verschiedene Arten aktiviert werden. Die ersten beiden Methoden werden dringend empfohlen. Dies liegt daran, dass Sicherheitsgruppen die Replikation mit verknüpften Werten (LvR) verwenden, nachdem der primäre Domänencontroller (PDC) der Windows NT 4.0-Domäne auf einen Windows Server 2003-Domänencontroller aktualisiert wurde. Die dritte Option wird weniger dringend empfohlen, da die Mitgliedschaft in Sicherheitsgruppen ein einzelnes mehrwertiges Attribut verwendet, was zu Replikationsproblemen führen kann. Windows Server 2003-Zwischenlösung kann wie folgt aktiviert werden:

  1. Während des Upgrades.

    Die Option wird im Dcpromo-Installations-Assistenten angezeigt, wenn Sie das PDC einer Windows NT 4.0-Domäne aktualisieren, die als erster Domänencontroller in der Stammdomäne einer neuen Gesamtstruktur dient.

  2. Bevor Sie windows NT 4.0 PDC eines Windows NT 4.0-PDomänencontrollers als ersten Domänencontroller einer neuen Domäne in einer vorhandenen Gesamtstruktur aktualisieren, indem Sie die Gesamtstrukturfunktionsebene mithilfe von LDAP-Tools (Lightweight Directory Access Protocol) manuell konfigurieren.

    Untergeordnete Domänen erben die gesamtstrukturweiten Funktionseinstellungen von der Gesamtstruktur, in die sie höher gestuft werden. Durch das Upgrade des PDC einer Windows NT 4.0-Domäne als untergeordnete Domäne in einer vorhandenen Windows Server 2003-Gesamtstruktur, in der Funktionsebenen der Zwischengesamtstruktur mithilfe der Ldp.exe-Datei oder der Datei Adsiedit.msc konfiguriert wurden, können Sicherheitsgruppen nach dem Upgrade der Betriebssystemversion die Replikation verknüpfter Werte verwenden.

  3. Nach dem Upgrade mithilfe von LDAP-Tools.

    Verwenden Sie die letzten beiden Optionen, wenn Sie während eines Upgrades einer vorhandenen Windows Server 2003-Gesamtstruktur beitreten. Dies ist ein häufiges Szenario, wenn eine "leere Stamm"-Domäne positioniert ist. Die aktualisierte Domäne wird als untergeordnetes Element des leeren Stamms eingebunden und erbt die Domäneneinstellung von der Gesamtstruktur.

Bewährte Methoden

Im folgenden Abschnitt werden die bewährten Methoden zum Erhöhen der Funktionsebenen erläutert. Der Abschnitt ist in zwei Teile unterteilt. "Vorbereitungsaufgaben" beschreibt die Arbeit, die Sie vor der Erhöhung ausführen müssen, und "Optimale Pfade erhöhen" beschreibt die Beweggründe und Methoden für verschiedene Stufenerhöhungsszenarien.

Führen Sie die folgenden Schritte aus, um Windows NT 4.0-Domänencontroller zu ermitteln:

  1. Öffnen Sie auf einem beliebigen Windows Server 2003-basierten Domänencontroller Active Directory-Benutzer und -Computer.

  2. Wenn der Domänencontroller noch nicht mit der entsprechenden Domäne verbunden ist, führen Sie die folgenden Schritte aus, um eine Verbindung mit der entsprechenden Domäne herzustellen:

    1. Klicken Sie mit der rechten Maustaste auf das aktuelle Domänenobjekt, und klicken Sie dann auf Mit Domäne verbinden.
    2. Geben Sie im Dialogfeld Domäne den DNS-Namen der Domäne ein, mit der Sie eine Verbindung herstellen möchten, und klicken Sie dann auf OK. Oder klicken Sie auf Durchsuchen , um die Domäne aus der Domänenstruktur auszuwählen, und klicken Sie dann auf OK.
  3. Klicken Sie mit der rechten Maustaste auf das Domänenobjekt, und klicken Sie dann auf Suchen.

  4. Klicken Sie im Dialogfeld Suchen auf Benutzerdefinierte Suche.

  5. Klicken Sie auf die Domäne, für die Sie die Funktionsebene ändern möchten.

  6. Klicken Sie auf die Registerkarte Erweitert.

  7. Geben Sie im Feld LDAP-Abfrage eingeben Folgendes ein, und lassen Sie keine Leerzeichen zwischen den Zeichen: (&(objectCategory=computer)(operatingSystem Version=4*)(userAccountControl:1.2.840.113556.1.4.803:=8192))

    Hinweis

    Bei dieser Abfrage wird die Groß-/Kleinschreibung nicht beachtet.

  8. Klicken Sie auf Jetzt suchen.

    Eine Liste der Computer in der Domäne, auf denen Windows NT 4.0 ausgeführt wird und als Domänencontroller fungieren, wird angezeigt.

Ein Domänencontroller kann aus einem der folgenden Gründe in der Liste angezeigt werden:

  • Auf dem Domänencontroller wird Windows NT 4.0 ausgeführt und muss aktualisiert werden.
  • Der Domänencontroller wird auf Windows Server 2003 aktualisiert, aber die Änderung wird nicht auf den Zieldomänencontroller repliziert.
  • Der Domänencontroller ist nicht mehr im Dienst, aber das Computerobjekt des Domänencontrollers wird nicht aus der Domäne entfernt.

Bevor Sie die Domänenfunktionsebene in Windows Server 2003 ändern können, müssen Sie einen beliebigen Domänencontroller in der Liste physisch suchen, den aktuellen status des Domänencontrollers ermitteln und dann den Domänencontroller nach Bedarf aktualisieren oder entfernen.

Hinweis

Im Gegensatz zu den Windows Server 2000-Domänencontrollern blockieren die Windows NT 4.0-Domänencontroller keine Pegelerhöhung. Wenn Sie die Domänenfunktionsebene ändern, wird die Replikation auf die Windows NT 4.0-Domänencontroller beendet. Wenn Sie jedoch versuchen, die Gesamtstrukturebene von Windows Server 2003 mit Domänen in Windows Server 2000 zu erhöhen, wird die gemischte Ebene blockiert. Das Fehlen von Windows NT 4.0-BDCs wird dadurch impliziert, dass die Gesamtstrukturebenenanforderung aller Domänen auf der nativen Windows Server 2000-Ebene oder höher erfüllt wird.

Beispiel: Vorbereitungsaufgaben vor dem Stufenanstieg

In diesem Beispiel wird die Umgebung von Windows Server 2000 im gemischten Modus auf den Gesamtstrukturmodus von Windows Server 2003 erhöht.

Inventarisieren Sie die Gesamtstruktur für frühere Versionen von Domänencontrollern.

Wenn keine genaue Serverliste verfügbar ist, führen Sie die folgenden Schritte aus:

  1. Um Domänen mit gemischter Ebene, Windows Server 2000-Domänencontroller oder Domänencontroller mit beschädigten oder fehlenden Objekten zu ermitteln, verwenden Sie Active Directory-Domänen und das MMC-Snap-In Vertrauensstellungen.
  2. Klicken Sie im Snap-In auf Gesamtstrukturfunktionalität erhöhen, und klicken Sie dann auf Speichern unter , um einen detaillierten Bericht zu generieren.
  3. Wenn keine Probleme gefunden wurden, ist die Option zum Erhöhen auf die Gesamtstrukturebene von Windows Server 2003 in der Dropdownliste "Verfügbare Gesamtstrukturfunktionsebenen" verfügbar. Wenn Sie versuchen, die Gesamtstrukturebene zu erhöhen, werden die Domänencontrollerobjekte in den Konfigurationscontainern nach allen Domänencontrollern durchsucht, für die msds-behavior-version nicht auf die gewünschte Zielebene festgelegt ist. Es wird davon ausgegangen, dass es sich entweder um Windows Server 2000-Domänencontroller oder neuere Windows Server-Domänencontrollerobjekte handelt, die beschädigt sind.
  4. Wenn Domänencontroller einer früheren Version oder Domänencontroller mit beschädigten oder fehlenden Computerobjekten gefunden wurden, werden sie in den Bericht aufgenommen. Die status dieser Domänencontroller muss untersucht werden, und die Domänencontrollerdarstellung in Active Directory muss mithilfe der Ntdsutil-Datei repariert oder entfernt werden.

Weitere Informationen finden Sie, indem Sie auf die folgende Artikelnummer klicken, um den Artikel in der Microsoft Knowledge Base anzuzeigen:
216498 Entfernen von Daten in Active Directory nach einer nicht erfolgreichen Herabstufung des Domänencontrollers

Überprüfen, ob die End-to-End-Replikation in der Gesamtstruktur funktioniert

Um zu überprüfen, ob die End-to-End-Replikation in der Gesamtstruktur funktioniert, verwenden Sie windows Server 2003 oder neuere Version von Repadmin für die Windows Server 2000- oder Windows Server 2003-Domänencontroller:

  • Repadmin/Replsum * /Sort:Delta[/Errorsonly] für die erstinventur.

  • Repadmin/Showrepl * /CSV>showrepl.csv. Importieren Sie nach Excel, und verwenden Sie dann den Daten-Autofilter>, um Replikationsfeatures zu identifizieren.

    Verwenden Sie Replikationstools wie Repadmin, um zu überprüfen, ob die gesamtstrukturweite Replikation ordnungsgemäß funktioniert.

Überprüfen Sie die Kompatibilität aller Programme oder Dienste mit den neueren Windows Server-Domänencontrollern und mit dem höheren Windows Server-Domänen- und Gesamtstrukturmodus. Verwenden Sie eine Labumgebung, um Produktionsprogramme und -dienste gründlich auf Kompatibilitätsprobleme zu testen. Wenden Sie sich an Anbieter, um eine Bestätigung der Funktion zu erhalten.

Bereiten Sie einen Back-Out-Plan vor, der eine der folgenden Aktionen umfasst:

  • Trennen Sie mindestens zwei Domänencontroller von jeder Domäne in der Gesamtstruktur.
  • Erstellen Sie eine Systemstatussicherung von mindestens zwei Domänencontrollern aus jeder Domäne in der Gesamtstruktur.

Bevor der Back-Out-Plan verwendet werden kann, müssen alle Domänencontroller in der Gesamtstruktur vor dem Wiederherstellungsvorgang außer Betrieb genommen werden.

Hinweis

Stufenerhöhungen können nicht autoritativ wiederhergestellt werden. Dies bedeutet, dass alle Domänencontroller, die die Stufenerhöhung repliziert haben, außer Betrieb genommen werden müssen.

Nachdem alle vorherigen Domänencontroller außer Betrieb genommen wurden, rufen Sie die getrennten Domänencontroller auf, oder stellen Sie die Domänencontroller aus der Sicherung wieder her. Entfernen Sie die Metadaten von allen anderen Domänencontrollern, und wiederholen Sie sie dann. Dies ist ein schwieriger Prozess, der vermieden werden muss.

Beispiel: How to get from Windows Server 2000 mixed level to Windows Server 2003 forest level

Erhöhen Sie alle Domänen auf die native Windows Server 2000-Ebene. Nachdem dies abgeschlossen ist, erhöhen Sie die Funktionsebene für die Stammdomäne der Gesamtstruktur auf windows Server 2003-Gesamtstrukturebene. Wenn die Gesamtstrukturebene für jede Domäne in der Gesamtstruktur auf die PDCs repliziert wird, wird die Domänenebene automatisch auf die Windows Server 2003-Domänenebene erhöht. Diese Methode hat die folgenden Vorteile:

  • Die gesamtstrukturweite Vergrößerung erfolgt nur einmal. Sie müssen nicht jede Domäne in der Gesamtstruktur manuell auf die Windows Server 2003-Domänenfunktionsebene erhöhen.
  • Vor dem Stufenanstieg wird eine Überprüfung auf Windows Server 2000-Domänencontroller durchgeführt (siehe Vorbereitungsschritte). Die Erhöhung wird blockiert, bis Problemdomänencontroller entfernt oder aktualisiert werden. Ein detaillierter Bericht kann generiert werden, indem die blockierenden Domänencontroller aufgelistet und umsetzbare Daten bereitgestellt werden.
  • Es wird eine Überprüfung auf Domänen in windows Server 2000 mixed oder Windows Server 2003-Zwischenebene durchgeführt. Die Erhöhung wird blockiert, bis die Domänenebenen auf mindestens Windows Server 2000 native erhöht werden. Zwischenebenendomänen müssen auf windows Server 2003-Domänenebene erhöht werden. Ein detaillierter Bericht kann generiert werden, indem die blockierenden Domänen aufgelistet werden.

Windows NT 4.0-Upgrades

Windows NT 4.0-Upgrades verwenden während des Upgrades des PDC immer die Zwischenebene, es sei denn, Windows Server 2000-Domänencontroller wurden in die Gesamtstruktur eingeführt, in die das PDC aktualisiert wird. Wenn der Zwischenmodus während des Upgrades des PDC verwendet wird, verwenden die vorhandenen großen Gruppen die LVR-Replikation sofort, um die potenziellen Replikationsprobleme zu vermeiden, die weiter oben in diesem Artikel erläutert werden. Verwenden Sie eine der folgenden Methoden, um während des Upgrades auf die Zwischenebene zu gelangen:

  • Wählen Sie während Dcpromo die Zwischenebene aus. Diese Option wird nur angezeigt, wenn das PDC in eine neue Gesamtstruktur aktualisiert wird.
  • Legen Sie die Gesamtstrukturebene einer vorhandenen Gesamtstruktur auf interim fest, und fügen Sie die Gesamtstruktur dann während des Upgrades des PDC hinzu. Die aktualisierte Domäne erbt die Gesamtstruktureinstellung.
  • Nachdem alle Windows NT 4.0-BDCs aktualisiert oder entfernt wurden, muss jede Domäne auf Gesamtstrukturebene umgestellt werden und kann in den Windows Server 2003-Gesamtstrukturmodus umgestellt werden.

Ein Grund, den Zwischenmodus zu vermeiden, ist, wenn geplant ist, Windows Server 2000-Domänencontroller nach dem Upgrade oder zu einem beliebigen Zeitpunkt in der Zukunft zu implementieren.

Besondere Berücksichtigung großer Gruppen in Windows NT 4.0

In ausgereiften Windows NT 4.0-Domänen können Sicherheitsgruppen vorhanden sein, die weit mehr als 5000 Mitglieder enthalten. Wenn sich in Windows NT 4.0 ein Mitglied einer Sicherheitsgruppe ändert, wird nur die Mitgliedschaftsänderung auf den Sicherungsdomänencontrollern repliziert. In Windows Server 2000 sind Gruppenmitgliedschaften verknüpfte Attribute, die in einem einzelnen mehrwertigen Attribut des Gruppenobjekts gespeichert sind. Wenn eine einzelne Änderung an der Mitgliedschaft einer Gruppe vorgenommen wird, wird die gesamte Gruppe als einzelne Einheit repliziert. Da die Gruppenmitgliedschaft als einzelne Einheit repliziert wird, besteht die Möglichkeit, dass Aktualisierungen der Gruppenmitgliedschaft verloren gehen, wenn verschiedene Mitglieder gleichzeitig auf verschiedenen Domänencontrollern hinzugefügt oder entfernt werden. Darüber hinaus kann die Größe dieses einzelnen Objekts größer sein als der Puffer, der zum Committen eines Eintrags in die Datenbank verwendet wird. Weitere Informationen finden Sie im Abschnitt "Versionsspeicherprobleme mit großen Gruppen" dieses Artikels. Aus diesen Gründen ist der empfohlene Grenzwert für Gruppenmitglieder 5000.

Die Ausnahme von der Regel "5000 Mitglieder" ist die primäre Gruppe (standardmäßig ist dies die Gruppe "Domänenbenutzer"). Die primäre Gruppe verwendet einen "berechneten" Mechanismus, der auf der "primarygroupID" des Benutzers basiert, um die Mitgliedschaft zu bestimmen. Die primäre Gruppe speichert Mitglieder nicht als mehrwertige verknüpfte Attribute. Wenn die primäre Gruppe des Benutzers in eine benutzerdefinierte Gruppe geändert wird, wird ihre Mitgliedschaft in der Gruppe Domänenbenutzer in das verknüpfte Attribut für die Gruppe geschrieben und nicht mehr berechnet. Die neue primäre Gruppe Rid wird in "primarygroupID" geschrieben, und der Benutzer wird aus dem Member-Attribut der Gruppe entfernt.

Wenn der Administrator die Zwischenebene für die Upgradedomäne nicht auswählt, müssen Sie vor dem Upgrade die folgenden Schritte ausführen:

  1. Inventarisieren Sie alle großen Gruppen, und identifizieren Sie alle Gruppen über 5000 mit Ausnahme der Domänenbenutzergruppe.
  2. Alle Gruppen mit mehr als 5000 Mitgliedern müssen in kleinere Gruppen mit weniger als 5000 Mitgliedern aufgeteilt werden.
  3. Suchen Sie alle Access Control Listen, in die die großen Gruppen eingegeben wurden, und fügen Sie die kleinen Gruppen hinzu, die Sie in Schritt 2 erstellt haben. Die Windows Server 2003-Zwischengesamtstrukturebene erleichtert Administratoren, globale Sicherheitsgruppen mit mehr als 5.000 Mitgliedern zu ermitteln und neu zuzuordnen.

Probleme mit dem Versionsspeicher bei großen Gruppen

Bei zeitintensiven Vorgängen wie tiefen Suchvorgängen oder Commits für ein einzelnes, großes Attribut muss Active Directory sicherstellen, dass der Zustand der Datenbank statisch ist, bis der Vorgang abgeschlossen ist. Ein Beispiel für tiefe Suchvorgänge oder Commits für große Attribute ist eine große Gruppe, die Legacyspeicher verwendet.

Da Aktualisierungen der Datenbank ständig lokal und von Replikationspartnern durchgeführt werden, stellt Active Directory einen statischen Zustand bereit, indem alle eingehenden Änderungen in eine Warteschlange gestellt werden, bis der zeitintensive Vorgang abgeschlossen ist. Sobald der Vorgang abgeschlossen ist, werden die in der Warteschlange befindlichen Änderungen auf die Datenbank angewendet.

Der Speicherort für diese Änderungen in der Warteschlange wird als "Versionsspeicher" bezeichnet und beträgt ungefähr 100 Megabyte. Die Größe des Versionsspeichers variiert und basiert auf dem physischen Speicher. Wenn ein Zeitintensiver Vorgang nicht abgeschlossen wird, bevor der Versionsspeicher erschöpft ist, akzeptiert der Domänencontroller keine Updates mehr, bis der zeitintensive Vorgang und die Änderungen in der Warteschlange committet wurden. Gruppen, die eine große Anzahl erreichen (mehr als 5000 Mitglieder), riskieren den Domänencontroller, den Versionsspeicher zu überlasten, solange die große Gruppe committet wird.

Windows Server 2003 führt einen neuen Replikationsmechanismus für verknüpfte mehrwertige Attribute ein, der als Linkwertreplikation (LVR) bezeichnet wird. Anstatt die gesamte Gruppe in einem einzelnen Replikationsvorgang zu replizieren, löst LVR dieses Problem, indem jedes Gruppenmitglied als separater Replikationsvorgang repliziert wird. LVR wird verfügbar, wenn die Gesamtstrukturfunktionsebene auf windows Server 2003-Zwischengesamtstrukturebene oder Windows Server 2003-Gesamtstrukturebene erhöht wird. In dieser Funktionsebene wird LVR verwendet, um Gruppen zwischen Windows Server 2003-Domänencontrollern zu replizieren.