Come aumentare i livelli di funzionalità del dominio e della foresta di Active Directory
Questo articolo descrive come aumentare i livelli di funzionalità del dominio e della foresta di Active Directory.
Si applica a: Windows Server 2003
Numero KB originale: 322692
Riepilogo
Per informazioni su Windows Server 2016 e le nuove funzionalità in Active Directory Domain Services (Ad DS), vedere Novità di Active Directory Domain Services per Windows Server 2016.
Questo articolo illustra come aumentare i livelli di funzionalità di dominio e foresta supportati dai controller di dominio basati su Microsoft Windows Server 2003 o più recenti. Esistono quattro versioni di Active Directory e solo i livelli modificati da Windows NT Server 4.0 richiedono una considerazione speciale. Di conseguenza, le modifiche di altro livello vengono indicate usando le versioni più recenti, correnti o precedenti del sistema operativo del controller di dominio, del dominio o del livello di funzionalità della foresta.
I livelli funzionali sono un'estensione della modalità mista e dei concetti relativi alla modalità nativa introdotti in Microsoft Windows 2000 Server per attivare le nuove funzionalità di Active Directory. Alcune funzionalità aggiuntive di Active Directory sono disponibili quando tutti i controller di dominio eseguono la versione più recente di Windows Server in un dominio o in una foresta e quando l'amministratore attiva il livello funzionale corrispondente nel dominio o nella foresta.
Per attivare le funzionalità di dominio più recenti, tutti i controller di dominio devono eseguire la versione più recente del sistema operativo Windows Server nel dominio. Se questo requisito viene soddisfatto, l'amministratore può aumentare il livello di funzionalità del dominio.
Per attivare le funzionalità più recenti a livello di foresta, tutti i controller di dominio nella foresta devono eseguire la versione del sistema operativo Windows Server corrispondente al livello di funzionalità della foresta desiderato. Inoltre, il livello di funzionalità del dominio corrente deve essere già al livello più recente. Se questi requisiti vengono soddisfatti, l'amministratore può aumentare il livello di funzionalità della foresta.
In genere, le modifiche apportate ai livelli di funzionalità del dominio e della foresta sono irreversibili. Se la modifica può essere annullata, è necessario usare un ripristino della foresta. Con il sistema operativo Windows Server 2008 R2 è possibile eseguire il rollback delle modifiche ai livelli di funzionalità del dominio e ai livelli di funzionalità della foresta. Tuttavia, il rollback può essere eseguito solo negli scenari specifici descritti nell'articolo di Technet sui livelli di funzionalità di Active Directory.
Nota
I livelli di funzionalità di dominio più recenti e i livelli di funzionalità della foresta più recenti influiscono solo sul modo in cui i controller di dominio operano insieme come gruppo. I client che interagiscono con il dominio o con la foresta non sono interessati. Inoltre, le applicazioni non sono interessate dalle modifiche apportate ai livelli di funzionalità del dominio o ai livelli di funzionalità della foresta. Tuttavia, le applicazioni possono sfruttare le funzionalità di dominio più recenti e le funzionalità della foresta più recenti.
Per altre informazioni, vedere l'articolo TechNet sulle funzionalità associate ai vari livelli funzionali.
Innalzamento del livello funzionale
Attenzione
Non aumentare il livello funzionale se il dominio ha o avrà un controller di dominio di una versione precedente rispetto alla versione citata per tale livello. Ad esempio, un livello funzionale di Windows Server 2008 richiede che tutti i controller di dominio abbiano Windows Server 2008 o un sistema operativo successivo installato nel dominio o nella foresta. Dopo l'aumento del livello di funzionalità del dominio a un livello superiore, è possibile ripristinarlo solo a un livello precedente usando un ripristino della foresta. Questa restrizione esiste perché le funzionalità spesso modificano la comunicazione tra i controller di dominio o perché le funzionalità modificano l'archiviazione dei dati di Active Directory nel database.
Il metodo più comune per abilitare i livelli di funzionalità del dominio e della foresta consiste nell'usare gli strumenti di amministrazione dell'interfaccia utente grafica documentati nell'articolo TechNet sui livelli di funzionalità di Windows Server 2003 Active Directory. Questo articolo illustra Windows Server 2003. Tuttavia, i passaggi sono gli stessi nelle versioni più recenti del sistema operativo. Inoltre, il livello funzionale può essere configurato manualmente o può essere configurato usando script Windows PowerShell. Per altre informazioni su come configurare manualmente il livello funzionale, vedere la sezione "Visualizzare e impostare il livello funzionale".
Per altre informazioni su come usare Windows PowerShell script per configurare il livello funzionale, vedere Aumentare il livello di funzionalità della foresta.
Visualizzare e impostare manualmente il livello funzionale
Gli strumenti LDAP (Lightweight Directory Access Protocol), ad esempio Ldp.exe e Adsiedit.msc, possono essere usati per visualizzare e modificare le impostazioni correnti del livello di funzionalità del dominio e della foresta. Quando si modificano manualmente gli attributi del livello funzionale, la procedura consigliata consiste nell'apportare modifiche agli attributi nel controller di dominio FSMO (Flexible Single Master Operations) normalmente destinato agli strumenti di amministrazione Microsoft.
Impostazioni del livello di funzionalità del dominio
L'attributo msDS-Behavior-Version si trova nell'head del contesto di denominazione (NC) per il dominio, ovvero DC=corp, DC=contoso, DC=com.
È possibile impostare i valori seguenti per questo attributo:
- Valore 0 o non set=mixed level domain
- Valore 1=Livello di dominio di Windows Server 2003
- Valore 2=Livello di dominio di Windows Server 2003
- Valore 3=Livello di dominio di Windows Server 2008
- Valore 4=Livello di dominio di Windows Server 2008 R2
Impostazioni di modalità mista e modalità nativa
L'attributo ntMixedDomain si trova nell'head del contesto di denominazione (NC) per il dominio, ovvero DC=corp, DC=contoso, DC=com.
È possibile impostare i valori seguenti per questo attributo:
- Valore 0=Dominio di livello nativo
- Valore 1=Dominio di livello misto
Impostazione a livello di foresta
L'attributo msDS-Behavior-Version si trova nell'oggetto CN=Partitions nel contesto di denominazione della configurazione (NC), ovvero CN=Partitions, CN=Configuration, DC= ForestRootDomain.
È possibile impostare i valori seguenti per questo attributo:
Valore 0 o non set=mixed level forest
Valore 1=Livello di foresta provvisorio di Windows Server 2003
Valore 2=Livello foresta di Windows Server 2003
Nota
Quando si aumenta l'attributo msDS-Behavior-Version dal valore 0 al valore 1 usandoAdsiedit.msc, viene visualizzato il messaggio di errore seguente:
Operazione di modifica non valida. Alcuni aspetti della modifica non sono consentiti.Valore 3=Livello di dominio di Windows Server 2008
Valore 4=Livello di dominio di Windows Server 2008 R2
Dopo aver usato gli strumenti LDAP (Lightweight Directory Access Protocol) per modificare il livello funzionale, fare clic su OK per continuare. Gli attributi nel contenitore partizioni e nell'head del dominio vengono aumentati correttamente. Se il file Ldp.exe segnala un messaggio di errore, è possibile ignorare il messaggio di errore. Per verificare che l'aumento di livello sia riuscito, aggiornare l'elenco di attributi e quindi controllare l'impostazione corrente. Questo messaggio di errore può verificarsi anche dopo aver eseguito l'aumento del livello nell'FSMO autorevole se la modifica non è ancora stata replicata nel controller di dominio locale.
Visualizzare rapidamente le impostazioni correnti usando il file Ldp.exe
- Avviare il file Ldp.exe.
- Dal menu Connessione, scegliere Connetti.
- Specificare il controller di dominio su cui eseguire una query o lasciare vuoto lo spazio per connettersi a qualsiasi controller di dominio.
Dopo la connessione a un controller di dominio, vengono visualizzate le informazioni RootDSE per il controller di dominio. Queste informazioni includono informazioni sulla foresta, sul dominio e sui controller di dominio. Di seguito è riportato un esempio di controller di dominio basato su Windows Server 2003. Nell'esempio seguente si supponga che la modalità di dominio sia Windows Server 2003 e che la modalità foresta sia Windows 2000 Server.
Nota
La funzionalità del controller di dominio rappresenta il livello di funzionalità più alto possibile per questo controller di dominio.
- 1> domainFunctionality: 2=(DS_BEHAVIOR_WIN2003)
- 1> forestFunctionality: 0=(DS_BEHAVIOR_WIN2000)
- 1> domainControllerFunctionality: 2=(DS_BEHAVIOR_WIN2003)
Requisiti quando si modifica manualmente il livello funzionale
È necessario modificare la modalità di dominio in modalità nativa prima di aumentare il livello di dominio se si verifica una delle condizioni seguenti:
- Il livello di funzionalità del dominio viene aumentato a livello di codice al secondo livello funzionale modificando direttamente il valore dell'attributo msdsBehaviorVersion nell'oggetto domainDNS.
- Il livello di funzionalità del dominio viene elevato al secondo livello funzionale usando l'utilità Ldp.exe o l'utilità Adsiedit.msc.
Se non si modifica la modalità di dominio in modalità nativa prima di aumentare il livello di dominio, l'operazione non viene completata correttamente e vengono visualizzati i messaggi di errore seguenti:
SV_PROBLEM_WILL_NOT_PERFORM
ERROR_DS_ILLEGAL_MOD_OPERATION
Inoltre, il messaggio seguente viene registrato nel log di Servizi directory:
Active Directory could not update the functional level of the following domain because the domain is in mixed mode.
In questo scenario, è possibile modificare la modalità di dominio in modalità nativa usando lo snap-in Utenti di Active Directory & Computer, usando lo snap-in MMC Active Directory Domains & Trusts UI oppure modificando a livello di codice il valore dell'attributo ntMixedDomain su 0 nell'oggetto domainDNS. Quando questo processo viene usato per aumentare il livello di funzionalità del dominio a 2 (Windows Server 2003), la modalità di dominio viene automaticamente modificata in modalità nativa.
La transizione dalla modalità mista alla modalità nativa modifica l'ambito del gruppo di sicurezza Amministratori dello schema e del gruppo di sicurezza Amministratori organizzazione in gruppi universali. Quando questi gruppi sono stati modificati in gruppi universali, nel log di sistema viene registrato il messaggio seguente:
Event Type: Information Event Source: SAM Event ID: 16408 Computer:Server Name Description: "Domain operation mode has been changed to Native Mode. The change cannot be reversed."
Quando gli strumenti di amministrazione di Windows Server 2003 vengono usati per richiamare il livello di funzionalità del dominio, sia l'attributo ntmixedmode che l'attributo msdsBehaviorVersion vengono modificati nell'ordine corretto. Tuttavia, questo non si verifica sempre. Nello scenario seguente, la modalità nativa viene impostata in modo implicito su un valore pari a 0 senza modificare l'ambito per il gruppo di sicurezza Amministratori dello schema e il gruppo di sicurezza Enterprise Administrators su universale:
- L'attributo msdsBehaviorVersion che controlla la modalità funzionale del dominio viene impostato manualmente o a livello di codice sul valore 2.
- Il livello di funzionalità della foresta è impostato su 2 usando qualsiasi metodo. In questo scenario, i controller di dominio bloccano la transizione al livello funzionale della foresta fino a quando tutti i domini presenti nella rete locale non vengono configurati in modalità nativa e la modifica dell'attributo richiesta viene apportata negli ambiti del gruppo di sicurezza.
Livelli funzionali rilevanti per Windows 2000 Server
Windows 2000 Server supporta solo la modalità mista e la modalità nativa. Inoltre, applica queste modalità solo alla funzionalità di dominio. Le sezioni seguenti elencano le modalità di dominio di Windows Server 2003 perché queste modalità influiscono sul modo in cui vengono aggiornati i domini di Windows NT 4.0 e Windows 2000 Server.
Quando si alza il livello del sistema operativo del controller di dominio, è necessario tenere presenti molte considerazioni. Queste considerazioni sono causate dalle limitazioni di archiviazione e replica degli attributi collegati nelle modalità Windows 2000 Server.
Windows 2000 Server misto (impostazione predefinita)
- Controller di dominio supportati: Microsoft Windows NT 4.0, Windows 2000 Server, Windows Server 2003
- Funzionalità attivate: gruppi locali e globali, supporto del catalogo globale
Windows 2000 Server nativo
- Controller di dominio supportati: Windows 2000 Server, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2
- Funzionalità attivate: annidamento dei gruppi, gruppi universali, Cronologia sid, conversione di gruppi tra gruppi di sicurezza e gruppi di distribuzione, è possibile aumentare i livelli di dominio aumentando le impostazioni a livello di foresta
Windows Server 2003 interim
- Controller di dominio supportati: Windows NT 4.0, Windows Server 2003
- Funzionalità supportate: a questo livello non sono attivate funzionalità a livello di dominio. Tutti i domini in una foresta vengono generati automaticamente a questo livello quando il livello della foresta aumenta fino a passare ad interim. Questa modalità viene usata solo quando si aggiornano i controller di dominio nei domini di Windows NT 4.0 ai controller di dominio di Windows Server 2003.
Windows Server 2003
- Controller di dominio supportati: Windows Server 2003, Windows Server 2008, Windows Server 2008 R2
- Funzionalità supportate: ridenominazione del controller di dominio, aggiornamento e replica dell'attributo timestamp di accesso. Supporto delle password utente nell'oggetto InetOrgPersonClass. Delega vincolata, è possibile reindirizzare i contenitori Utenti e computer.
I domini aggiornati da Windows NT 4.0 o creati dalla promozione di un computer basato su Windows Server 2003 operano a livello funzionale misto windows 2000. I domini di Windows 2000 Server mantengono il livello di funzionalità del dominio corrente quando i controller di dominio di Windows 2000 Server vengono aggiornati al sistema operativo Windows Server 2003. È possibile aumentare il livello di funzionalità del dominio a Windows 2000 Server nativo o a Windows Server 2003.
Livello provvisorio : aggiornamento da un dominio Windows NT 4.0
Windows Server 2003 Active Directory consente un livello di funzionalità speciale della foresta e del dominio denominato Windows Server 2003 interim. Questo livello di funzionalità viene fornito per gli aggiornamenti dei domini Windows NT 4.0 esistenti in cui uno o più controller di dominio di backup (BDC) di Windows NT 4.0 devono funzionare dopo l'aggiornamento. I controller di dominio di Windows 2000 Server non sono supportati in questa modalità. Windows Server 2003 interim si applica agli scenari seguenti:
- Aggiornamenti del dominio da Windows NT 4.0 a Windows Server 2003.
- I BDC Windows NT 4.0 non si aggiornano immediatamente.
- Domini di Windows NT 4.0 che contengono gruppi con più di 5000 membri (escluso il gruppo di utenti di dominio).
- Non è previsto l'implementazione di controller di dominio Windows Server2000 nella foresta in qualsiasi momento.
Windows Server 2003 interim offre due importanti miglioramenti, consentendo comunque la replica ai controller di dominio di Windows NT 4.0:
- Replica efficiente dei gruppi di sicurezza e supporto per più di 5000 membri per gruppo.
- Algoritmi di generatore di topologia tra siti KCC migliorati.
A causa dell'efficienza nella replica di gruppo attivata a livello provvisorio, il livello provvisorio è il livello consigliato per tutti gli aggiornamenti di Windows NT 4.0. Per altri dettagli, vedere la sezione "Procedure consigliate" di questo articolo.
Impostazione del livello di funzionalità della foresta provvisoria di Windows Server 2003
Windows Server 2003 interim può essere attivato in tre modi diversi. I primi due metodi sono altamente consigliati. Questo avviene perché i gruppi di sicurezza usano la replica di valori collegati (LVR) dopo che il controller di dominio primario (PDC) del dominio Windows NT 4.0 è stato aggiornato a un controller di dominio windows server 2003. La terza opzione è meno consigliata perché l'appartenenza ai gruppi di sicurezza usa un singolo attributo multivalore, che può causare problemi di replica. I modi in cui è possibile attivare Windows Server 2003 interim sono:
Durante l'aggiornamento.
L'opzione viene visualizzata nell'installazione guidata di Dcpromo quando si aggiorna il controller di dominio primario di un dominio Windows NT 4.0 che funge da primo controller di dominio nel dominio radice di una nuova foresta.
Prima di aggiornare il controller di dominio primario di Windows NT 4.0 di windows NT 4.0 come primo controller di dominio di un nuovo dominio in una foresta esistente, configurare manualmente il livello di funzionalità della foresta usando gli strumenti LDAP (Lightweight Directory Access Protocol).
I domini figlio ereditano le impostazioni delle funzionalità a livello di foresta dalla foresta in cui vengono alzati di livello. L'aggiornamento del controller di dominio primario di un dominio Windows NT 4.0 come dominio figlio in una foresta windows server 2003 esistente in cui i livelli di funzionalità della foresta provvisoria erano stati configurati usando il file Ldp.exe o il file Adsiedit.msc consente ai gruppi di sicurezza di usare la replica dei valori collegati dopo l'aggiornamento della versione del sistema operativo.
Dopo l'aggiornamento tramite gli strumenti LDAP.
Usare le ultime due opzioni quando si aggiunge una foresta di Windows Server 2003 esistente durante un aggiornamento. Si tratta di uno scenario comune quando si trova un dominio "radice vuota". Il dominio aggiornato viene aggiunto come figlio della radice vuota e eredita l'impostazione di dominio dalla foresta.
Procedure consigliate
La sezione seguente illustra le procedure consigliate per aumentare i livelli funzionali. La sezione è suddivisa in due parti. "Attività di preparazione" illustra il lavoro che è necessario eseguire prima dell'aumento e "Aumento ottimale dei percorsi" illustra le motivazioni e i metodi per diversi scenari di aumento di livello.
Per individuare i controller di dominio Windows NT 4.0, seguire questa procedura:
Da qualsiasi controller di dominio basato su Windows Server 2003 aprire Utenti e computer di Active Directory.
Se il controller di dominio non è già connesso al dominio appropriato, seguire questa procedura per connettersi al dominio appropriato:
- Fare clic con il pulsante destro del mouse sull'oggetto dominio corrente e quindi scegliere Connetti al dominio.
- Nella finestra di dialogo Dominio digitare il nome DNS del dominio a cui si vuole connettersi e quindi fare clic su OK. In alternativa, fare clic su Sfoglia per selezionare il dominio dall'albero di dominio e quindi fare clic su OK.
Fare clic con il pulsante destro del mouse sull'oggetto dominio e quindi scegliere Trova.
Nella finestra di dialogo Trova fare clic su Ricerca personalizzata.
Fare clic sul dominio per il quale si vuole modificare il livello funzionale.
Fare clic sulla scheda Avanzate.
Nella casella Immettere la query LDAP digitare quanto segue e non lasciare spazi tra caratteri: (&(objectCategory=computer)(operatingSystem Version=4*)(userAccountControl:1.2.840.113556.1.4.803:=8192))
Nota
Questa query non fa distinzione tra maiuscole e minuscole.
Fare clic su Trova ora.
Viene visualizzato un elenco dei computer nel dominio che eseguono Windows NT 4.0 e funzionano come controller di dominio.
Un controller di dominio può essere visualizzato nell'elenco per uno dei motivi seguenti:
- Il controller di dominio esegue Windows NT 4.0 e deve essere aggiornato.
- Il controller di dominio viene aggiornato a Windows Server 2003, ma la modifica non viene replicata nel controller di dominio di destinazione.
- Il controller di dominio non è più in servizio, ma l'oggetto computer del controller di dominio non viene rimosso dal dominio.
Prima di poter modificare il livello di funzionalità del dominio in Windows Server 2003, è necessario individuare fisicamente qualsiasi controller di dominio nell'elenco, determinare lo stato corrente del controller di dominio e quindi aggiornare o rimuovere il controller di dominio in base alle esigenze.
Nota
A differenza dei controller di dominio di Windows Server 2000, i controller di dominio Windows NT 4.0 non bloccano un aumento di livello. Quando si modifica il livello di funzionalità del dominio, la replica nei controller di dominio di Windows NT 4.0 verrà arrestata. Tuttavia, quando si tenta di aumentare il livello di foresta di Windows Server 2003 con i domini in Windows Server 2000, il livello misto viene bloccato. La mancanza di BDC Windows NT 4.0 è implicita nel soddisfare il requisito a livello di foresta di tutti i domini a livello nativo di Windows Server 2000 o versioni successive.
Esempio: Attività di preparazione prima dell'aumento del livello
In questo esempio, l'ambiente viene generato dalla modalità mista di Windows Server 2000 alla modalità foresta windows server 2003.
Inventario della foresta per le versioni precedenti dei controller di dominio.
Se non è disponibile un elenco di server accurato, seguire questa procedura:
- Per individuare domini a livello misto, controller di dominio di Windows Server 2000 o controller di dominio con oggetti danneggiati o mancanti, usare i domini di Active Directory e lo snap-in MMC Trusts.
- Nello snap-in fare clic su Genera funzionalità foresta e quindi su Salva con nome per generare un report dettagliato.
- Se non sono stati rilevati problemi, l'opzione per aumentare il livello di foresta di Windows Server 2003 è disponibile nell'elenco a discesa "Livelli di funzionalità foresta disponibili". Quando si tenta di aumentare il livello della foresta, agli oggetti controller di dominio nei contenitori di configurazione viene eseguita la ricerca di eventuali controller di dominio che non hanno msds-behavior-version impostato sul livello di destinazione desiderato. Si presuppone che siano controller di dominio di Windows Server 2000 o oggetti controller di dominio Windows Server più recenti danneggiati.
- Se sono stati trovati controller di dominio di versione precedente o controller di dominio che hanno oggetti computer danneggiati o mancanti, vengono inclusi nel report. È necessario analizzare lo stato di questi controller di dominio e ripristinare o rimuovere la rappresentazione del controller di dominio in Active Directory usando il file Ntdsutil.
Per altre informazioni, fare clic sul numero dell'articolo seguente per visualizzare l'articolo della Microsoft Knowledge Base:
216498 Come rimuovere i dati in Active Directory dopo un abbassamento di livello del controller di dominio non riuscito
Verificare che la replica end-to-end funzioni nella foresta
Per verificare che la replica end-to-end funzioni nella foresta, usare Windows Server 2003 o la versione più recente di Repadmin nei controller di dominio di Windows Server 2000 o Windows Server 2003:
Repadmin/Replsum * /Sort:Delta[/Errorsonly]
per l'inventario iniziale.Repadmin/Showrepl * /CSV>showrepl.csv
. Importare in Excel e quindi usare il filtro automatico dei dati> per identificare le funzionalità di replica.Usare strumenti di replica come Repadmin per verificare che la replica a livello di foresta funzioni correttamente.
Verificare la compatibilità di tutti i programmi o servizi con i controller di dominio Windows Server più recenti e con la modalità di dominio e foresta di Windows Server superiore. Usare un ambiente lab per testare accuratamente programmi e servizi di produzione per problemi di compatibilità. Per la conferma della funzionalità, contattare i fornitori.
Preparare un piano di back-out che include una delle azioni seguenti:
- Disconnettere almeno due controller di dominio da ogni dominio nella foresta.
- Creare un backup dello stato del sistema di almeno due controller di dominio da ogni dominio nella foresta.
Prima di poter usare il piano di back-out, tutti i controller di dominio nella foresta devono essere rimossi prima del processo di ripristino.
Nota
Gli aumenti di livello non possono essere ripristinati in modo autorevole. Ciò significa che tutti i controller di dominio che hanno replicato l'aumento di livello devono essere rimossi.
Dopo che tutti i controller di dominio precedenti sono stati rimossi, visualizzare i controller di dominio disconnessi o ripristinare i controller di dominio dal backup. Rimuovere i metadati da tutti gli altri controller di dominio e quindi riprovarli. Si tratta di un processo difficile e deve essere evitato.
Esempio: Come passare dal livello misto di Windows Server 2000 al livello della foresta di Windows Server 2003
Aumentare tutti i domini a livello nativo di Windows Server 2000. Al termine, aumentare il livello di funzionalità per il dominio radice della foresta a livello di foresta windows server 2003. Quando il livello della foresta viene replicato nei PPC per ogni dominio della foresta, il livello di dominio viene aumentato automaticamente a livello di dominio di Windows Server 2003. Questo metodo presenta i vantaggi seguenti:
- L'aumento del livello a livello di foresta viene eseguito una sola volta. Non è necessario aumentare manualmente ogni dominio nella foresta al livello di funzionalità del dominio di Windows Server 2003.
- Prima dell'aumento del livello viene eseguito un controllo per i controller di dominio di Windows Server 2000 (vedere i passaggi di preparazione). L'aumento viene bloccato fino a quando i controller di dominio problematici non vengono rimossi o aggiornati. È possibile generare un report dettagliato elencando i controller di dominio bloccanti e fornendo dati interattivi.
- Viene eseguito un controllo per i domini in Windows Server 2000 mixed o Windows Server 2003 interim level. L'aumento viene bloccato fino a quando i livelli di dominio non vengono aumentati almeno a Windows Server 2000 nativo. I domini a livello provvisorio devono essere aumentati a livello di dominio di Windows Server 2003. È possibile generare un report dettagliato elencando i domini di blocco.
Aggiornamenti di Windows NT 4.0
Gli aggiornamenti di Windows NT 4.0 usano sempre il livello provvisorio durante l'aggiornamento del controller di dominio primario, a meno che i controller di dominio di Windows Server 2000 non siano stati introdotti nella foresta in cui viene aggiornato il controller di dominio primario. Quando viene usata la modalità provvisoria durante l'aggiornamento del controller di dominio primario, i gruppi di grandi dimensioni esistenti usano immediatamente la replica LVR, evitando i potenziali problemi di replica descritti in precedenza in questo articolo. Usare uno dei metodi seguenti per passare al livello provvisorio durante l'aggiornamento:
- Selezionare livello provvisorio durante Dcpromo. Questa opzione viene visualizzata solo quando il controller di dominio primario viene aggiornato in una nuova foresta.
- Impostare il livello di foresta di una foresta esistente su provvisorio e quindi unire la foresta durante l'aggiornamento del controller di dominio primario. Il dominio aggiornato eredita l'impostazione della foresta.
- Dopo l'aggiornamento o la rimozione di tutti i controller di dominio di Windows NT 4.0, è necessario eseguire la transizione di ogni dominio al livello della foresta e passare alla modalità foresta di Windows Server 2003.
Un motivo per evitare di usare la modalità provvisoria è se sono previsti controller di dominio Windows Server 2000 dopo l'aggiornamento o in qualsiasi momento in futuro.
Particolare considerazione per i gruppi di grandi dimensioni in Windows NT 4.0
Nei domini Windows NT 4.0 maturi possono esistere gruppi di sicurezza che contengono più di 5000 membri. In Windows NT 4.0, quando un membro di un gruppo di sicurezza cambia, solo la singola modifica di appartenenza viene replicata nei controller di dominio di backup. In Windows Server 2000 le appartenenze ai gruppi sono attributi collegati archiviati in un singolo attributo multivalore dell'oggetto gruppo. Quando viene apportata una singola modifica all'appartenenza di un gruppo, l'intero gruppo viene replicato come singola unità. Poiché l'appartenenza al gruppo viene replicata come singola unità, è possibile che gli aggiornamenti all'appartenenza ai gruppi vengano "persi" quando membri diversi vengono aggiunti o rimossi contemporaneamente in controller di dominio diversi. Inoltre, le dimensioni di questo singolo oggetto possono essere superiori al buffer usato per eseguire il commit di una voce nel database. Per altre informazioni, vedere la sezione "Problemi dell'archivio versioni con gruppi di grandi dimensioni" di questo articolo. Per questi motivi, il limite consigliato per i membri del gruppo è 5000.
L'eccezione alla regola dei membri 5000 è il gruppo primario (per impostazione predefinita si tratta del gruppo "Utenti di dominio"). Il gruppo primario usa un meccanismo "calcolato" basato sul "primarygroupID" dell'utente per determinare l'appartenenza. Il gruppo primario non archivia i membri come attributi collegati multivalore. Se il gruppo primario dell'utente viene modificato in un gruppo personalizzato, l'appartenenza al gruppo Domain Users viene scritta nell'attributo collegato per il gruppo e non viene più calcolata. Il nuovo gruppo primario Rid viene scritto in "primarygroupID" e l'utente viene rimosso dall'attributo membro del gruppo.
Se l'amministratore non seleziona il livello provvisorio per il dominio di aggiornamento, è necessario seguire questa procedura prima dell'aggiornamento:
- Inventariare tutti i gruppi di grandi dimensioni e identificare eventuali gruppi di dimensioni superiori a 5000, ad eccezione del gruppo di utenti di dominio.
- Tutti i gruppi con più di 5000 membri devono essere suddivisi in gruppi più piccoli di meno di 5000 membri.
- Individuare tutti i Controllo di accesso Elenchi in cui sono stati immessi i gruppi di grandi dimensioni e aggiungere i piccoli gruppi creati nel passaggio 2.Windows Server 2003 interim forest level evita agli amministratori di dover individuare e ridistribuire i gruppi di sicurezza globali con più di 5000 membri.
Problemi relativi all'archivio versioni con gruppi di grandi dimensioni
Durante operazioni a esecuzione prolungata, ad esempio ricerche approfondite o commit in un singolo attributo di grandi dimensioni, Active Directory deve assicurarsi che lo stato del database sia statico fino al termine dell'operazione. Un esempio di ricerche approfondite o commit in attributi di grandi dimensioni è un gruppo di grandi dimensioni che usa l'archiviazione legacy.
Poiché gli aggiornamenti al database vengono eseguiti continuamente in locale e dai partner di replica, Active Directory fornisce uno stato statico accodando tutte le modifiche in ingresso fino al termine dell'operazione a esecuzione prolungata. Al termine dell'operazione, le modifiche in coda vengono applicate al database.
Il percorso di archiviazione per queste modifiche in coda viene definito "archivio versioni" ed è di circa 100 megabyte. Le dimensioni dell'archivio versioni variano e si basano sulla memoria fisica. Se un'operazione a esecuzione prolungata non viene completata prima dell'esaurimento dell'archivio versioni, il controller di dominio smetterà di accettare gli aggiornamenti fino a quando non viene eseguito il commit dell'operazione a esecuzione prolungata e delle modifiche in coda. I gruppi che raggiungono un numero elevato (più di 5000 membri) mettono il controller di dominio a rischio di esaurire l'archivio versioni purché venga eseguito il commit del gruppo di grandi dimensioni.
Windows Server 2003 introduce un nuovo meccanismo di replica per gli attributi multivalore collegati denominato replica del valore di collegamento (LVR). Anziché replicare l'intero gruppo in una singola operazione di replica, LVR risolve questo problema replicando ogni membro del gruppo come operazione di replica separata. LVR diventa disponibile quando il livello di funzionalità della foresta viene aumentato a livello di foresta provvisoria di Windows Server 2003 o a livello di foresta windows server 2003. In questo livello funzionale, LVR viene usato per replicare i gruppi tra i controller di dominio di Windows Server 2003.