Cómo generar niveles funcionales de bosque y dominio de Active Directory

En este artículo se describe cómo generar niveles funcionales de bosque y dominio de Active Directory.

Se aplica a:   Windows Server 2003
Número KB original:   322692

Resumen

Para obtener información Windows Server 2016 y las nuevas características en Servicios de dominio de Active Directory (AD DS), vea Novedades de Los servicios de dominio de Active Directory para Windows Server 2016.

En este artículo se describe cómo elevar los niveles funcionales de dominio y bosque que admiten los controladores de dominio basados en Microsoft Windows Server 2003 o más recientes. Hay cuatro versiones de Active Directory y solo los niveles que han cambiado de Windows NT Server 4.0 requieren una consideración especial. Por lo tanto, los demás cambios de nivel se mencionan mediante las versiones más recientes, actuales o anteriores del sistema operativo del controlador de dominio, del dominio o del nivel funcional del bosque.

Los niveles funcionales son una extensión del modo mixto y los conceptos de modo nativo que se introdujeron en Microsoft Windows 2000 Server para activar nuevas características de Active Directory. Algunas características adicionales de Active Directory están disponibles cuando todos los controladores de dominio ejecutan la versión más reciente de Windows Server en un dominio o en un bosque, y cuando el administrador activa el nivel funcional correspondiente en el dominio o en el bosque.

Para activar las características de dominio más nuevas, todos los controladores de dominio deben ejecutar la versión más reciente del Windows del sistema operativo del servidor en el dominio. Si se cumple este requisito, el administrador puede aumentar el nivel funcional del dominio.

Para activar las características más nuevas de todo el bosque, todos los controladores de dominio del bosque deben ejecutar la versión del sistema operativo Windows Server que corresponda al nivel funcional del bosque deseado. Además, el nivel funcional del dominio actual debe estar ya en el nivel más reciente. Si se cumplen estos requisitos, el administrador puede elevar el nivel funcional del bosque.

Por lo general, los cambios en los niveles funcionales de dominio y bosque son irreversibles. Si el cambio se puede deshacer, se debe usar una recuperación de bosque. Con el sistema operativo Windows Server 2008 R2, los cambios en los niveles funcionales de dominio y en los niveles funcionales del bosque se pueden revertir. Sin embargo, la reversión solo se puede realizar en los escenarios específicos que se describen en el artículo de Technet sobre los niveles funcionales de Active Directory.

Nota

Los niveles funcionales de dominio más nuevos y los niveles funcionales del bosque más nuevos solo afectan a la forma en que los controladores de dominio funcionan juntos como un grupo. Los clientes que interactúan con el dominio o con el bosque no se ven afectados. Además, las aplicaciones no se ven afectadas por los cambios en los niveles funcionales del dominio o en los niveles funcionales del bosque. Sin embargo, las aplicaciones pueden aprovechar las características de dominio más nuevas y las características de bosque más nuevas.

Para obtener más información, vea el artículo de TechNet sobre las características asociadas con los distintos niveles funcionales.

Elevar el nivel funcional

Precaución

No eleve el nivel funcional si el dominio tiene o tendrá un controlador de dominio que sea de una versión anterior a la que se cita para ese nivel. Por ejemplo, un nivel funcional de Windows Server 2008 requiere que todos los controladores de dominio tengan Windows Server 2008 o un sistema operativo posterior instalado en el dominio o en el bosque. Después de elevar el nivel funcional del dominio a un nivel superior, solo se puede cambiar a un nivel anterior mediante una recuperación de bosque. Esta restricción existe porque las características a menudo cambian la comunicación entre los controladores de dominio o porque las características cambian el almacenamiento de los datos de Active Directory en la base de datos.

El método más común para habilitar los niveles funcionales de dominio y bosque es usar las herramientas de administración de la interfaz gráfica de usuario (GUI) que se documentan en el artículo de TechNet sobre los niveles funcionales de Windows Server 2003 Active Directory. En este artículo se describe Windows Server 2003. Sin embargo, los pasos son los mismos en las versiones más recientes del sistema operativo. Además, el nivel funcional se puede configurar manualmente o se puede configurar mediante Windows PowerShell scripts. Para obtener más información acerca de cómo configurar manualmente el nivel funcional, vea la sección "Ver y establecer el nivel funcional".

Para obtener más información acerca de cómo usar Windows PowerShell script para configurar el nivel funcional,vea Raise the Forest Functional Level .

Ver y establecer el nivel funcional manualmente

Las herramientas del Protocolo ligero de acceso a directorios (LDAP), como Ldp.exe y Adsiedit.msc, se pueden usar para ver y modificar la configuración actual de nivel funcional de dominio y bosque. Al cambiar manualmente los atributos de nivel funcional, el procedimiento recomendado es realizar cambios de atributos en el controlador de dominio Flexible Single Master Operations (FSMO) que normalmente está dirigido por las herramientas administrativas de Microsoft.

Configuración del nivel funcional del dominio

El atributo msDS-Behavior-Version está en el jefe del contexto de nomenclatura (NC) del dominio, es decir, DC=corp, DC=contoso, DC=com.

Puede establecer los siguientes valores para este atributo:

  • Valor de 0 o no set=dominio de nivel mixto
  • Valor de 1=Windows nivel de dominio de Server 2003
  • Valor de 2=Windows nivel de dominio de Server 2003
  • Valor de 3=Windows nivel de dominio de Server 2008
  • Valor de 4=Windows nivel de dominio de Server 2008 R2

Configuración de modo mixto y modo nativo

El atributo ntMixedDomain está en el jefe de contexto de nomenclatura (NC) del dominio, es decir, DC=corp, DC=contoso, DC=com.

Puede establecer los siguientes valores para este atributo:

  • Valor de 0=Dominio de nivel nativo
  • Valor de 1=dominio de nivel mixto

Configuración de nivel de bosque

El atributo msDS-Behavior-Version está en el objeto CN=Partitions en el contexto de nomenclatura de configuración (NC), es decir, CN=Partitions, CN=Configuration, DC= ForestRootDomain.

Puede establecer los siguientes valores para este atributo:

  • Valor de 0 o no set=bosque de nivel mixto

  • Valor de 1=Windows nivel de bosque provisional de Server 2003

  • Valor de 2=Windows nivel de bosque de Server 2003

    Nota

    Al aumentar el atributo msDS-Behavior-Version del valor 0 al valor 1 medianteAdsiedit.msc, recibirá el siguiente mensaje de error:
    Operación de modificación no ilegal. No se permite algún aspecto de la modificación.

  • Valor de 3=Windows nivel de dominio de Server 2008

  • Valor de 4=Windows nivel de dominio de Server 2008 R2

Después de usar las herramientas del Protocolo ligero de acceso a directorios (LDAP) para editar el nivel funcional, haga clic en Aceptar para continuar. Los atributos del contenedor de particiones y del jefe de dominio se incrementan correctamente. Si el archivo Ldp.exe informe de un mensaje de error, puede omitir el mensaje de error de forma segura. Para comprobar que el aumento de nivel se ha realizado correctamente, actualice la lista de atributos y, a continuación, compruebe la configuración actual. Este mensaje de error también puede producirse después de haber realizado el aumento de nivel en el FSMO autoritativo si el cambio aún no se ha replicado en el controlador de dominio local.

Ver rápidamente la configuración actual mediante el Ldp.exe archivo

  1. Inicie el Ldp.exe archivo.
  2. En el menú Conexión, haga clic Conectar.
  3. Especifique el controlador de dominio que desea consultar o deje el espacio en blanco para conectarse a cualquier controlador de dominio.

Después de conectarse a un controlador de dominio, aparece la información rootDSE para el controlador de dominio. Esta información incluye información sobre los controladores de bosque, dominio y dominio. A continuación se muestra un ejemplo de un Windows de dominio basado en Server 2003. En el siguiente ejemplo, supongamos que el modo de dominio Windows Server 2003 y que el modo de bosque Windows 2000 Server.

Nota

La funcionalidad del controlador de dominio representa el nivel funcional más alto posible para este controlador de dominio.

  • 1> domainFunctionality: 2=(DS_BEHAVIOR_WIN2003)
  • 1> forestFunctionality: 0=(DS_BEHAVIOR_WIN2000)
  • 1> domainControllerFunctionality: 2=(DS_BEHAVIOR_WIN2003)

Requisitos al cambiar manualmente el nivel funcional

  • Debe cambiar el modo de dominio al modo nativo antes de elevar el nivel de dominio si se cumple una de las condiciones siguientes:

    • El nivel funcional de dominio se eleva mediante programación al segundo nivel funcional modificando directamente el valor del atributo msdsBehaviorVersion en el objeto domainDNS.
    • El nivel funcional del dominio se eleva al segundo nivel funcional mediante la utilidad Ldp.exe o la utilidad Adsiedit.msc.

    Si no cambia el modo de dominio al modo nativo antes de elevar el nivel de dominio, la operación no se completa correctamente y recibe los siguientes mensajes de error:

    SV_PROBLEM_WILL_NOT_PERFORM

    ERROR_DS_ILLEGAL_MOD_OPERATION

    Además, el siguiente mensaje se registra en el registro de Servicios de directorio:

    Active Directory could not update the functional level of the following domain because the domain is in mixed mode.
    

    En este escenario, puede cambiar el modo de dominio al modo nativo mediante el complemento Usuarios de Active Directory & Equipos, mediante el complemento MMC de la interfaz de usuario de Dominios de Active Directory & Confía en la interfaz de usuario o cambiando mediante programación el valor del atributo ntMixedDomain a 0 en el objeto domainDNS. Cuando se usa este proceso para elevar el nivel funcional del dominio a 2 (Windows Server 2003), el modo de dominio cambia automáticamente al modo nativo.

  • La transición del modo mixto al modo nativo cambia el ámbito del grupo de seguridad Administradores de esquema y el grupo de seguridad Enterprise administradores a grupos universales. Cuando estos grupos se han cambiado a grupos universales, se registra el siguiente mensaje en el registro del sistema:

    Event Type: Information  
    Event Source: SAM  
    Event ID: 16408  
    Computer:Server Name  
    Description: "Domain operation mode has been changed to Native Mode. The change cannot be reversed."
    
  • Cuando se usan las herramientas administrativas de Windows Server 2003 para invocar el nivel funcional del dominio, tanto el atributo ntmixedmode como el atributo msdsBehaviorVersion se modifican en el orden correcto. Sin embargo, esto no siempre ocurre. En el siguiente escenario, el modo nativo se establece implícitamente en un valor de 0 sin cambiar el ámbito del grupo de seguridad Administradores de esquema y el grupo de seguridad de administradores de Enterprise a universal:

    • El atributo msdsBehaviorVersion que controla el modo funcional de dominio se establece manualmente o mediante programación en el valor de 2.
    • El nivel funcional del bosque se establece en 2 mediante cualquier método. En este escenario, los controladores de dominio bloquean la transición al nivel funcional del bosque hasta que todos los dominios que están en la red de área local estén configurados en modo nativo y se haga el cambio de atributo necesario en los ámbitos de grupo de seguridad.

Niveles funcionales relevantes para Windows 2000 Server

Windows 2000 Server solo admite el modo mixto y el modo nativo. Además, solo aplica estos modos a la funcionalidad de dominio. En las secciones siguientes se enumeran los modos de dominio de Windows Server 2003 porque estos modos afectan a la forma en que se actualizan los dominios de Windows NT 4.0 y Windows 2000 Server.

Hay muchas consideraciones al elevar el nivel del sistema operativo del controlador de dominio. Estas consideraciones se deben a las limitaciones de almacenamiento y replicación de los atributos vinculados en Windows 2000 Server.

Windows 2000 Server mixto (predeterminado)

  • Controladores de dominio compatibles: Microsoft Windows NT 4.0, Windows 2000 Server, Windows Server 2003
  • Características activadas: grupos locales y globales, compatibilidad con catálogo global

Windows 2000 Server nativo

  • Controladores de dominio compatibles: Windows 2000 Server, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2
  • Características activadas: anidamiento de grupos, grupos universales, Historial de sid, conversión de grupos entre grupos de seguridad y grupos de distribución, puede aumentar los niveles de dominio al aumentar la configuración de nivel de bosque

Windows Server 2003 provisional

  • Controladores de dominio compatibles: Windows NT 4.0, Windows Server 2003
  • Características admitidas: no hay ninguna característica de todo el dominio activada en este nivel. Todos los dominios de un bosque se elevan automáticamente a este nivel cuando el nivel del bosque aumenta a provisional. Este modo solo se usa al actualizar controladores de dominio en Windows dominios nt 4.0 a Windows controladores de dominio de Server 2003.

Windows Server 2003

  • Controladores de dominio compatibles: Windows Server 2003, Windows Server 2008, Windows Server 2008 R2
  • Características admitidas: cambio de nombre del controlador de dominio, atributo de marca de tiempo de inicio de sesión actualizado y replicado. Compatibilidad con contraseñas de usuario en el objeto InetOrgPersonClass. Delegación restringida, puede redirigir los contenedores usuarios y equipos.

Los dominios que se actualizan desde Windows NT 4.0 o que se crean mediante la promoción de un equipo basado en Windows Server 2003 funcionan en el nivel funcional mixto de Windows 2000. Windows dominios de 2000 Server mantienen su nivel funcional de dominio actual cuando Windows los controladores de dominio de 2000 Server se actualizan al sistema operativo Windows Server 2003. Puede elevar el nivel funcional de dominio a Windows 2000 Server nativo o Windows Server 2003.

Nivel provisional: actualización desde un dominio Windows NT 4.0

Windows Server 2003 Active Directory permite un bosque especial y un nivel funcional de dominio denominado Windows Server 2003 provisional. Este nivel funcional se proporciona para las actualizaciones de dominios existentes de Windows NT 4.0 donde uno o varios controladores de dominio de copia de seguridad (BDCs) de NT 4.0 de Windows deben funcionar después de la actualización. Windows controladores de dominio de 2000 Server no se admiten en este modo. Windows El servidor 2003 provisional se aplica a los siguientes escenarios:

  • Actualizaciones de dominio de Windows NT 4.0 a Windows Server 2003.
  • Windows Los BDCs NT 4.0 no se actualiza inmediatamente.
  • Windows Dominios NT 4.0 que contienen grupos con más de 5000 miembros (excluyendo el grupo de usuarios de dominio).
  • No hay planes para implementar Windows de dominio server2000 en el bosque en cualquier momento.

Windows Server 2003 provisional proporciona dos mejoras importantes a la vez que permite la replicación a Windows BDCs nt 4.0:

  1. Replicación eficaz de grupos de seguridad y compatibilidad con más de 5000 miembros por grupo.
  2. Algoritmos de generador de topología entre sitios KCC mejorados.

Debido a la eficacia de la replicación de grupo que se activa en el nivel provisional, el nivel provisional es el nivel recomendado para todas las actualizaciones Windows NT 4.0. Vea la sección "Procedimientos recomendados" de este artículo para obtener más información.

Configuración Windows nivel funcional del bosque provisional de Server 2003

Windows Server 2003 interim se puede activar de tres maneras diferentes. Los dos primeros métodos son muy recomendados. Esto se debe a que los grupos de seguridad usan la replicación de valores vinculados (LVR) después de que el controlador de dominio principal (PDC) del dominio de Windows NT 4.0 se haya actualizado a un controlador de dominio de Windows Server 2003. La tercera opción es menos recomendable porque la pertenencia a grupos de seguridad usa un único atributo de varios valores, lo que puede provocar problemas de replicación. Las formas en que Windows server 2003 provisional se pueden activar son:

  1. Durante la actualización.

    La opción se presenta en el Asistente para la instalación de Dcpromo al actualizar el PDC de un dominio de Windows NT 4.0 que actúa como el primer controlador de dominio en el dominio raíz de un nuevo bosque.

  2. Antes de actualizar el PDC de Windows NT 4.0 de un Windows NT 4.0 como el primer controlador de dominio de un nuevo dominio en un bosque existente mediante la configuración manual del nivel funcional del bosque mediante herramientas del Protocolo ligero de acceso a directorios (LDAP).

    Los dominios secundarios heredan la configuración de funcionalidad de todo el bosque del bosque al que se promueven. La actualización del PDC de un dominio de Windows NT 4.0 como dominio secundario en un bosque existente de Windows Server 2003 donde se habían configurado niveles funcionales de bosque provisional mediante el archivo Ldp.exe o el archivo Adsiedit.msc permite a los grupos de seguridad usar la replicación de valores vinculados después de la actualización de la versión del sistema operativo.

  3. Después de la actualización mediante herramientas LDAP.

    Use las dos últimas opciones al unirse a un bosque Windows Server 2003 durante una actualización. Este es un escenario común cuando un dominio "raíz vacía" está en posición. El dominio actualizado se une como un elemento secundario de la raíz vacía y hereda la configuración de dominio del bosque.

Procedimientos recomendados

En la siguiente sección se deba a los procedimientos recomendados para aumentar los niveles funcionales. La sección se divide en dos partes. "Tareas de preparación" analiza el trabajo que debe realizar antes del aumento y "Aumento de rutas óptimas" analiza las motivaciones y los métodos para diferentes escenarios de aumento de nivel.

Para descubrir Windows controladores de dominio de NT 4.0, siga estos pasos:

  1. Desde cualquier controlador Windows dominio basado en Server 2003, abra Usuarios y equipos de Active Directory.

  2. Si el controlador de dominio aún no está conectado al dominio adecuado, siga estos pasos para conectarse al dominio adecuado:

    1. Haga clic con el botón secundario en el objeto de dominio actual y, a continuación, haga clic Conectar en dominio.
    2. En el cuadro de diálogo Dominio, escriba el nombre DNS del dominio al que desea conectarse y, a continuación, haga clic en Aceptar. O bien, haga clic en Examinar para seleccionar el dominio del árbol de dominio y, a continuación, haga clic en Aceptar.
  3. Haga clic con el botón secundario en el objeto de dominio y, a continuación, haga clic en Buscar.

  4. En el cuadro de diálogo Buscar, haga clic en Búsqueda personalizada.

  5. Haga clic en el dominio para el que desea cambiar el nivel funcional.

  6. Haga clic en la ficha Opciones avanzadas.

  7. En el cuadro Entrar consulta LDAP, escriba lo siguiente y no deje espacios entre ningún carácter: (&(objectCategory=computer)(operatingSystem Version=4 * )(userAccountControl:1.2.840.113556.1.4.803:=8192))

    Nota

    Esta consulta no distingue mayúsculas de minúsculas.

  8. Haga clic en Buscar ahora.

    Aparece una lista de los equipos del dominio que se Windows NT 4.0 y que funcionan como controladores de dominio.

Un controlador de dominio puede aparecer en la lista por cualquiera de los siguientes motivos:

  • El controlador de dominio se Windows NT 4.0 y debe actualizarse.
  • El controlador de dominio se actualiza a Windows Server 2003, pero el cambio no se replica en el controlador de dominio de destino.
  • El controlador de dominio ya no está en servicio, pero el objeto de equipo del controlador de dominio no se quita del dominio.

Para poder cambiar el nivel funcional del dominio a Windows Server 2003, debe buscar físicamente cualquier controlador de dominio en la lista, determinar el estado actual del controlador de dominio y, a continuación, actualizar o quitar el controlador de dominio según corresponda.

Nota

A diferencia Windows controladores de dominio de server 2000, Windows controladores de dominio de NT 4.0 no bloquean un aumento de nivel. Al cambiar el nivel funcional del dominio, se detendrá la replicación Windows los controladores de dominio de NT 4.0. Sin embargo, cuando intenta aumentar Windows nivel de bosque de Server 2003 con dominios en Windows Server 2000, se bloquea el nivel mixto. La falta de Windows BDCs nt 4.0 se implica al cumplir el requisito de nivel de bosque de todos los dominios en el nivel nativo de Windows Server 2000 o posterior.

Ejemplo: Tareas de preparación antes de que aumente el nivel

En este ejemplo, el entorno se genera Windows modo mixto de Server 2000 Windows modo de bosque de Server 2003.

Haga un inventario del bosque para versiones anteriores de controladores de dominio.

Si no hay disponible una lista de servidores precisa, siga estos pasos:

  1. Para detectar dominios de nivel mixto, Windows Controladores de dominio de Server 2000 o controladores de dominio con objetos dañados o ausentes, use dominios de Active Directory y el complemento MMC Confianzas.
  2. En el complemento, haga clic en Generar funcionalidad de bosque y, a continuación, haga clic en Guardar como para generar un informe detallado.
  3. Si no se encontró ningún problema, la opción de aumentar a Windows nivel de bosque de Server 2003 está disponible en la lista desplegable "Niveles funcionales de bosque disponibles". Al intentar elevar el nivel de bosque, se busca en los objetos del controlador de dominio de los contenedores de configuración cualquier controlador de dominio que no tenga msds-behavior-version establecido en el nivel de destino deseado. Se supone que son controladores de dominio Windows Server 2000 o más recientes Windows de controlador de dominio de servidor dañados.
  4. Si se encontraron controladores de dominio de versión anterior o controladores de dominio que han dañado o faltado objetos de equipo, se incluyen en el informe. El estado de estos controladores de dominio debe investigarse y la representación del controlador de dominio en Active Directory debe repararse o quitarse mediante el archivo Ntdsutil.

Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
216498 cómo quitar datos en Active Directory después de una degradación del controlador de dominio sin éxito

Comprobar que la replicación de extremo a extremo funciona en el bosque

Para comprobar que la replicación de extremo a extremo funciona en el bosque, use la versión de Windows Server 2003 o la versión más reciente de Repadmin con los controladores de dominio de Windows Server 2000 o Windows Server 2003:

  • Repadmin/Replsum * /Sort:Delta[/Errorsonly] para el inventario inicial.

  • Repadmin/Showrepl * /CSV>showrepl.csv. Importe a Excel y, a continuación, use el autofiltro >datos para identificar las características de replicación.

    Use herramientas de replicación como Repadmin para comprobar que la replicación en todo el bosque funciona correctamente.

Compruebe la compatibilidad de todos los programas o servicios con los controladores de dominio Windows server más recientes y con el Windows de dominio y bosque del servidor. Use un entorno de laboratorio para probar exhaustivamente los programas de producción y los servicios en busca de problemas de compatibilidad. Póngase en contacto con los proveedores para confirmar la funcionalidad.

Prepare un plan de back-out que incluya una de las siguientes acciones:

  • Desconecte al menos dos controladores de dominio de cada dominio del bosque.
  • Cree una copia de seguridad de estado del sistema de al menos dos controladores de dominio de cada dominio del bosque.

Antes de poder usar el plan de desmantelamiento, todos los controladores de dominio del bosque deben retirarse antes del proceso de recuperación.

Nota

Los aumentos de nivel no se pueden restaurar autoritativamente. Esto significa que todos los controladores de dominio que han replicado el aumento de nivel deben retirarse.

Después de retirar todos los controladores de dominio anteriores, resalte los controladores de dominio desconectados o restaure los controladores de dominio de la copia de seguridad. Quite los metadatos de todos los demás controladores de dominio y, a continuación, repromotelos. Este es un proceso difícil y debe evitarse.

Ejemplo: Cómo obtener de un nivel mixto Windows Server 2000 a Windows de bosque de Server 2003

Aumente todos los dominios Windows nivel nativo de Server 2000. Una vez completado esto, aumente el nivel funcional del dominio raíz del bosque a Windows de bosque de Server 2003. Cuando el nivel de bosque se replica en los PDC de cada dominio del bosque, el nivel de dominio se aumenta automáticamente a Windows nivel de dominio de Server 2003. Este método tiene las siguientes ventajas:

  • El aumento del nivel de todo el bosque solo se realiza una vez. No es necesario aumentar manualmente cada dominio del bosque al nivel funcional de Windows Server 2003.
  • Se realiza una comprobación Windows controladores de dominio de Server 2000 antes del aumento de nivel (consulte pasos de preparación). El aumento se bloquea hasta que se quitan o actualizan los controladores de dominio con problemas. Se puede generar un informe detallado enumerando los controladores de dominio de bloqueo y proporcionando datos que pueden actuar.
  • Se realiza una comprobación de dominios en Windows server 2000 mixto o Windows nivel provisional de Server 2003. El aumento se bloquea hasta que los niveles de dominio se aumenten a al menos Windows Server 2000 nativo. Los dominios de nivel provisional deben aumentarse Windows nivel de dominio de Server 2003. Puede generar un informe detallado enumerando los dominios de bloqueo.

Windows Actualizaciones de NT 4.0

Windows Las actualizaciones nt 4.0 siempre usan el nivel provisional durante la actualización de la PDC a menos que Windows Los controladores de dominio de Server 2000 se hayan introducido en el bosque en el que se actualice la PDC. Cuando se usa el modo provisional durante la actualización de la PDC, los grupos grandes existentes usan la replicación LVR inmediatamente, evitando los posibles problemas de replicación que se debate anteriormente en este artículo. Use uno de los siguientes métodos para llegar al nivel provisional durante la actualización:

  • Seleccione el nivel provisional durante Dcpromo. Esta opción solo se presenta cuando la PDC se actualiza en un nuevo bosque.
  • Establezca el nivel de bosque de un bosque existente en provisional y, a continuación, únase al bosque durante la actualización del PDC. El dominio actualizado hereda la configuración del bosque.
  • Después de actualizar o quitar todos los BDCs de WINDOWS NT 4.0, cada dominio debe realizar la transición al nivel de bosque y puede realizar la transición al modo de bosque de Windows Server 2003.

Un motivo para evitar el uso del modo provisional es si hay planes para implementar Windows Controladores de dominio de Server 2000 después de la actualización o en cualquier momento en el futuro.

Consideración especial para grupos grandes en Windows NT 4.0

En dominios Windows NT 4.0, pueden existir grupos de seguridad que contienen mucho más de 5000 miembros. En Windows NT 4.0, cuando un miembro de un grupo de seguridad cambia, solo el cambio único de pertenencia se replica en los controladores de dominio de copia de seguridad. En Windows Server 2000, las pertenencias a grupos son atributos vinculados almacenados en un único atributo multivalor del objeto de grupo. Cuando se realiza un único cambio en la pertenencia a un grupo, todo el grupo se replica como una sola unidad. Dado que la pertenencia al grupo se replica como una sola unidad, existe la posibilidad de que las actualizaciones de pertenencia a grupos se "pierdan" cuando se agregan o quitan miembros diferentes al mismo tiempo en distintos controladores de dominio. Además, el tamaño de este único objeto puede ser mayor que el búfer usado para confirmar una entrada en la base de datos. Para obtener más información, consulta la sección "Problemas del almacén de versiones con grupos grandes" de este artículo. Por estos motivos, el límite recomendado para los miembros del grupo es 5000.

La excepción a la regla de miembro 5000 es el grupo principal (de forma predeterminada es el grupo "Usuarios de dominio"). El grupo principal usa un mecanismo "calculado" basado en el "primarygroupID" del usuario para determinar la pertenencia. El grupo principal no almacena los miembros como atributos vinculados de varios valores. Si el grupo principal del usuario se cambia a un grupo personalizado, su pertenencia al grupo Usuarios de dominio se escribe en el atributo vinculado del grupo y ya no se calcula. El nuevo grupo principal Rid se escribe en "primarygroupID" y el usuario se quita del atributo member del grupo.

Si el administrador no selecciona el nivel provisional del dominio de actualización, debe seguir estos pasos antes de la actualización:

  1. Haga un inventario de todos los grupos grandes e identifique los grupos que supere los 5000, excepto el grupo de usuarios de dominio.
  2. Todos los grupos con más de 5000 miembros deben dividirse en grupos más pequeños de menos de 5000 miembros.
  3. Busque todas las listas de control de acceso donde se especificaron los grupos grandes y agregue los grupos pequeños que creó en el paso 2. Windows Server 2003 interim forest level relieves administrators from having to discover and reallocate global security groups with more than 5000 members.

Problemas del almacén de versiones con grupos grandes

Durante operaciones de larga ejecución, como búsquedas profundas o confirmaciones en un único atributo grande, Active Directory debe asegurarse de que el estado de la base de datos sea estático hasta que finalice la operación. Un ejemplo de búsquedas profundas o confirmaciones en atributos grandes es un grupo grande que usa almacenamiento heredado.

A medida que las actualizaciones de la base de datos se producen continuamente localmente y desde los asociados de replicación, Active Directory proporciona un estado estático mediante la cola de todos los cambios entrantes hasta que finaliza la operación de larga ejecución. Una vez finalizada la operación, los cambios en cola se aplican a la base de datos.

La ubicación de almacenamiento de estos cambios en cola se conoce como "almacén de versiones" y tiene aproximadamente 100 megabytes. El tamaño del almacén de versiones varía y se basa en la memoria física. Si una operación de larga ejecución no finaliza antes de que se agote el almacén de versiones, el controlador de dominio dejará de aceptar actualizaciones hasta que se confirma la operación de larga ejecución y los cambios en cola. Los grupos que alcanzan grandes cantidades (más de 5000 miembros) ponen al controlador de dominio en riesgo de agotar el almacén de versiones mientras se confirma el grupo grande.

Windows Server 2003 presenta un nuevo mecanismo de replicación para atributos multivalor vinculados que se denomina replicación de valores de vínculo (LVR). En lugar de replicar todo el grupo en una sola operación de replicación, LVR soluciona este problema replicando cada miembro del grupo como una operación de replicación independiente. LVR está disponible cuando el nivel funcional del bosque se eleva Windows nivel de bosque provisional de Server 2003 o Windows de bosque de Server 2003. En este nivel funcional, LVR se usa para replicar grupos entre Windows controladores de dominio de Server 2003.