Windows 2000 ドメイン コントローラーを Windows Server 2003 にアップグレードする方法

この記事では、Microsoft Windows 2000 ドメイン コントローラーを Windows Server 2003 にアップグレードする方法と、Windows 2000 ドメインに新しい Windows Server 2003 ドメイン コントローラーを追加する方法について説明します。

適用対象: Windows Server 2012 R2
元の KB 番号: 325379

概要

この記事では、Microsoft Windows 2000 ドメイン コントローラーを Windows Server 2003 にアップグレードする方法と、Windows 2000 ドメインに新しい Windows Server 2003 ドメイン コントローラーを追加する方法について説明します。 ドメイン コントローラーを Windows Server 2008 または Windows Server 2008 R2 にアップグレードする方法の詳細については、次の Microsoft Web サイトを参照してください。

ドメイン コントローラーのアップグレード: Windows Server 2008 または Windows Server 2008 R2 ドメイン コントローラーを既存のドメインに追加するためのMicrosoft サポートクイック スタート

ドメインとフォレストのインベントリ

Windows 2000 ドメイン コントローラーを Windows Server 2003 にアップグレードする前、または Windows 2000 ドメインに新しい Windows Server 2003 ドメイン コントローラーを追加する前に、次の手順に従います。

1. SMB 署名との互換性を確保するために、Windows Server 2003 ドメイン コントローラーをホストするドメイン内のリソースにアクセスするクライアントをインベントリします。

   各 Windows Server 2003 ドメイン コントローラーは、ローカル セキュリティ ポリシーで SMB 署名を有効にします。 SMB/CIFS プロトコルを使用して、Windows Server 2003 ドメイン コントローラーをホストするドメイン内の共有ファイルとプリンターにアクセスするすべてのネットワーク クライアントが、SMB 署名をサポートするように構成またはアップグレードできることを確認します。 できない場合は、更新プログラムをインストールできるまで、またはクライアントを SMB 署名をサポートする新しいオペレーティング システムにアップグレードできるまで、SMB 署名を一時的に無効にします。 SMB 署名を無効にする方法については、この手順の最後にある 「SMB 署名を無効にするには 」セクションを参照してください。

   アクション プラン

   次の一覧は、一般的な SMB クライアントのアクション プランを示しています。

   • Microsoft Windows Server 2003、Microsoft Windows XP Professional、Microsoft Windows 2000 Server、Microsoft Windows 2000 Professional、Microsoft Windows 98

     何もする必要はありません。

   • Microsoft Windows NT 4.0 Service Pack 3 以降 (Service Pack 6A をお勧めします) は、Windows Server 2003 ベースのコンピューターを含むドメインにアクセスするすべてのWindows NT 4.0 ベースのコンピューターにインストールします。 代わりに、Windows Server 2003 ドメイン コントローラーで SMB 署名を一時的に無効にします。 SMB 署名を無効にする方法については、この手順の最後にある 「SMB 署名を無効にするには 」セクションを参照してください。

   • Microsoft Windows 95

     Windows 95 ベースのコンピューターに Windows 9 x ディレクトリ サービス クライアントをインストールするか、Windows Server 2003 ドメイン コントローラーで SMB 署名を一時的に無効にします。 元の Win9 x ディレクトリ サービス クライアントは、Windows 2000 Server CD-ROM で使用できます。 ただし、そのクライアント アドオンは、改善された Win9 x ディレクトリ サービス クライアントに置き換えられました。 SMB 署名を無効にする方法については、この手順の最後にある 「SMB 署名を無効にするには 」セクションを参照してください。

   • MS-DOS および Microsoft LAN Manager クライアント用の Microsoft ネットワーク クライアント

     MS-DOS 用の Microsoft Network Client と Microsoft LAN Manager 2.x ネットワーク クライアントは、ネットワーク リソースへのアクセスを提供するために使用される場合もあれば、起動可能なフロッピー ディスクと組み合わせて、ソフトウェア インストール ルーチンの一部としてファイル サーバー上の共有ディレクトリからオペレーティング システム ファイルやその他のファイルをコピーすることもできます。 これらのクライアントは SMB 署名をサポートしていません。 別のインストール方法を使用するか、SMB 署名を無効にします。 SMB 署名を無効にする方法については、この手順の最後にある 「SMB 署名を無効にするには 」セクションを参照してください。

   • Macintosh クライアント

     一部の Macintosh クライアントは SMB 署名に互換性がなく、ネットワーク リソースに接続しようとすると、次のエラー メッセージが表示されます。

     - エラー -36 I/O

     利用可能な場合は、更新されたソフトウェアをインストールします。 それ以外の場合は、Windows Server 2003 ドメイン コントローラーで SMB 署名を無効にします。 SMB 署名を無効にする方法については、この手順の最後にある 「SMB 署名を無効にするには 」セクションを参照してください。

   • その他のサード パーティの SMB クライアント

     一部のサード パーティの SMB クライアントでは、SMB 署名がサポートされていません。 更新されたバージョンが存在するかどうかを確認するには、SMB プロバイダーに問い合わせてください。 それ以外の場合は、Windows Server 2003 ドメイン コントローラーで SMB 署名を無効にします。

   SMB 署名を無効にするには

   Windows 95、Windows NT 4.0、または Windows Server 2003 の導入前にインストールされたその他のクライアントを実行している影響を受けるドメイン コントローラーにソフトウェア更新プログラムをインストールできない場合は、更新されたクライアント ソフトウェアを展開できるようになるまで、グループ ポリシーの SMB サービス署名要件を一時的に無効にします。

   SMB サービスの署名は、ドメイン コントローラー組織単位の既定のドメイン コントローラー ポリシーの次のノードで無効にすることができます。コンピューター構成\Windows 設定\セキュリティ設定\ローカル ポリシー\セキュリティ オプション\Microsoft Network Server:

   通信にデジタル署名する (常に)

   ドメイン コントローラーがドメイン コントローラーの組織単位にない場合は、既定のドメイン コントローラーの グループ ポリシー オブジェクト (GPO) を、Windows 2000 または Windows Server 2003 ドメイン コントローラーをホストするすべての組織単位にリンクする必要があります。 または、これらの組織単位にリンクされている GPO で SMB サービスの署名を構成することもできます。

2. ドメインとフォレスト内にあるドメイン コントローラーをインベントリします。

   1. フォレスト内のすべての Windows 2000 ドメイン コントローラーに、すべての適切な修正プログラムとサービス パックがインストールされていることを確認します。

      Microsoft では、すべての Windows 2000 ドメイン コントローラーで Windows 2000 Service Pack 4 (SP4) 以降のオペレーティング システムを実行することをお勧めします。 Windows 2000 SP4 以降を完全に展開できない場合は、すべての Windows 2000 ドメイン コントローラーに、日付スタンプとバージョンが 2001 年 6 月 4 日と 5.0.2195.3673 より後のNtdsa.dll ファイルが 必要 です。

      既定では、Windows 2000 SP4、Windows XP、Windows Server 2003 クライアント コンピューターの Active Directory 管理ツールでは、ライトウェイト ディレクトリ アクセス プロトコル (LDAP) 署名が使用されます。 このようなコンピューターが Windows 2000 ドメイン コントローラーをリモートで管理するときに NTLM 認証を使用する (またはフォールバックする) 場合、接続は機能しません。 この動作を解決するには、リモートで管理されるドメイン コントローラーに Windows 2000 SP3 がインストールされている必要があります。 それ以外の場合は、管理ツールを実行するクライアントで LDAP 署名を無効にする必要があります。

      次のシナリオでは、NTLM 認証を使用します。

      • NTLM (非 Kerberos) 信頼によって接続された外部フォレスト内にある Windows 2000 ドメイン コントローラーを管理します。
      • Microsoft Management Console (MMC) スナップインは、その IP アドレスによって参照される特定のドメイン コントローラーに対して集中します。 たとえば、[ 開始] をクリックし、[ 実行] をクリックして、次のコマンドを入力します。 dsa.msc /server=ipaddress

      Active Directory ドメイン内の Active Directory ドメイン コントローラーのオペレーティング システムとサービス パックのリビジョン レベルを確認するには、フォレスト内の Windows XP Professional または Windows Server 2003 メンバー コンピューターに Windows Server 2003 バージョンのRepadmin.exeをインストールし、フォレスト内の各ドメインのドメイン コントローラーに対して次 repadmin のコマンドを実行します。

      >repadmin /showattr <name of the domain controller that is in the target domain> ncobj:domain: /filter:"(&(objectCategory=computer)(primaryGroupID=516))" /subtree /atts:operatingSystem,operatingSystemVersion,operatingSystemServicePack
      
      DN: CN=NA-DC-01,organizational unit=Domain Controllers,DC=company,DC=com
       1> operatingSystem: Windows Server 2003
       1> operatingSystemVersion: 5.2 (3718)
      DN: CN=NA-DC-02,organizational unit=Domain Controllers,DC=company,DC=com
       1> operatingSystem: Windows 2000 Server
       1> operatingSystemVersion: 5.0 (2195)
       1> operatingSystemServicePack: Service Pack 1
      

      注:

      ドメイン コントローラーの属性は、個々の修正プログラムのインストールを追跡しません。

   2. フォレスト全体でエンドツーエンドの Active Directory レプリケーションを確認します。

      アップグレードされたフォレスト内の各ドメイン コントローラーが、サイト リンクまたは接続オブジェクトが定義するスケジュールと共に、ローカルに保持されているすべての名前付けコンテキストをパートナーと一貫してレプリケートすることを確認します。 フォレスト内の Windows XP または Windows Server 2003 ベースのメンバー コンピューターで Windows Server 2003 バージョンのRepadmin.exeを使用します。フォレスト内のすべてのドメイン コントローラーはエラーなしで Active Directory をレプリケートする必要があります。repadmin 出力の "最大デルタ" 列の値は、特定の宛先ドメイン によって使用される対応するサイト リンクまたは接続オブジェクトのレプリケーション頻度を大幅に超える必要はありません。コント ローラー。

      Tombstone Lifetime (TSL) 未満の日数 (既定では 60 日間) で、受信レプリケートに失敗したドメイン コントローラー間のすべてのレプリケーション エラーを解決します。 レプリケーションを機能させることができない場合は、Ntdsutil メタデータ クリーンアップ コマンドを使用してドメイン コントローラーを強制的に降格し、フォレストから削除してからフォレストに昇格させる必要があります。 強制的な降格を使用して、オペレーティング システムのインストールと、孤立したドメイン コントローラー上にあるプログラムの両方を保存できます。 孤立した Windows 2000 ドメイン コントローラーをドメインから削除する方法の詳細については、次の記事番号をクリックして、Microsoft サポート技術情報の記事を表示してください。

      216498 ドメイン コントローラーの降格に失敗した後に Active Directory のデータを削除する方法

      この操作は、オペレーティング システムとインストール済みプログラムのインストールを回復するための最後の手段としてのみ実行してください。 ユーザー、コンピューター、信頼関係、パスワード、グループ、グループ メンバーシップなど、孤立したドメイン コントローラー上の複雑でないオブジェクトと属性が失われます。

      特定の Active Directory パーティションの受信変更をレプリケートしていないドメイン コントローラーで 、tombstonelifetime の日数を超えるレプリケーション エラーを解決しようとすると、注意してください。 これを行うと、1 つのドメイン コントローラーで削除されたが、直接または推移的なレプリケーション パートナーが過去 60 日間に削除を受け取ったことがないオブジェクトを再開できます。

      過去 60 日間に受信レプリケーションを実行していないドメイン コントローラーに存在する残りのオブジェクトを削除することを検討してください。 または、廃棄の有効期間日数で特定のパーティションで受信レプリケーションを実行していないドメイン コントローラーを強制的に降格し、Ntdsutil やその他のユーティリティを使用して Active Directory フォレストから残りのメタデータを削除することもできます。 その他のヘルプについては、サポート プロバイダーまたは Microsoft PSS にお問い合わせください。

   3. Sysvol 共有の内容が一貫性があることを確認します。

      グループ ポリシーのファイル システム部分が一貫性があることを確認します。 Resource Kit のGpotool.exeを使用して、ドメイン間のポリシーに不整合があるかどうかを判断できます。 Windows Server 2003 サポート ツールの Healthcheck を使用して、Sysvol 共有レプリカ セットが各ドメインで正しく機能するかどうかを判断します。

      Sysvol 共有の内容に不整合がある場合は、すべての不整合を解決します。

   4. サポート ツールのDcdiag.exeを使用して、すべてのドメイン コントローラーが Netlogon 共有と Sysvol 共有を共有していることを確認します。 これを行うには、コマンド プロンプトで次のコマンドを入力します。

      DCDIAG.EXE /e /test:frssysvol
      

   5. 操作ロールをインベントリします。

      スキーマとインフラストラクチャ操作マスターは、Windows Server 2003 adprep ユーティリティによって行われるフォレストとそのドメインにフォレストとドメイン全体のスキーマ変更を導入するために使用されます。 フォレスト内の各ドメインのスキーマ ロールとインフラストラクチャ ロールをホストするドメイン コントローラーがライブ ドメイン コントローラーに存在し、各ロール所有者が最後に再起動されてからすべてのパーティションに対して受信レプリケーションを実行していることを確認します。

      この DCDIAG /test:FSMOCHECK コマンドを使用すると、フォレスト全体およびドメイン全体の運用ロールを表示できます。 存在しないドメイン コントローラーに存在する操作マスターロールは、NTDSUTIL を使用して正常なドメイン コントローラーに取り込む必要があります。 異常なドメイン コントローラーに存在するロールは、可能であれば転送する必要があります。 それ以外の場合は、押収する必要があります。 このコマンドは NETDOM QUERY FSMO 、削除されたドメイン コントローラーに存在する FSMO ロールを識別しません。

      最後に起動されてから Active Directory の受信レプリケーションが実行されていることを確認します。 受信レプリケーションは、コマンドを REPADMIN /SHOWREPS DCNAME 使用して確認できます。 DCNAME は NetBIOS コンピューター名か、ドメイン コントローラーの完全修飾コンピューター名です。 操作マスターとその配置の詳細については、次の記事番号をクリックして、Microsoft サポート技術情報の記事を表示してください。

      Windows 2000 Active Directory FSMO ロールを197132する

      Active Directory ドメイン コントローラーでの FSMO の配置と最適化を223346する

   6. EventLog Review

      問題のあるイベントがないか、すべてのドメイン コントローラーのイベント ログを調べます。 イベント ログには、次のいずれかのプロセスとコンポーネントに問題があることを示す重大なイベント メッセージを含めることはできません。

      物理接続
      ネットワーク接続
      名前の登録
      名前解決
      認証
      グループ ポリシー
      セキュリティ ポリシー
      ディスク サブシステム
      スキーマ
      トポロジ
      レプリケーション エンジン

   7. ディスク領域インベントリ

      Active Directory データベース ファイル Ntds.dit をホストするボリュームには、Ntds.dit ファイル サイズの 15 ~ 20% 以上の空き領域が必要です。 Active Directory ログ ファイルをホストするボリュームには、Ntds.dit ファイル サイズの 15 ~ 20% 以上の空き領域も必要です。 追加のディスク領域を解放する方法の詳細については、この記事の「十分なディスク領域のないドメイン コントローラー」セクションを参照してください。

   8. DNS スキャベンジ (省略可能)

      フォレスト内のすべての DNS サーバーに対して 7 日間の間隔で DNS スキャベンディングを有効にします。 最適な結果を得るには、オペレーティング システムをアップグレードする 61 日以上前にこの操作を実行します。 これにより、NTds.dit ファイルでオフラインの最適化が実行されたときに、古い DNS オブジェクトをガベージ コレクトするのに十分な時間が DNS 消去デーモンに提供されます。

   9. DLT サーバー サービスを無効にする (省略可能)

      DLT Server サービスは、Windows Server 2003 ドメイン コントローラーの新規インストールとアップグレードされたインストールでは無効になります。 分散リンク追跡が使用されていない場合は、Windows 2000 ドメイン コントローラーで DLT Server サービスを無効にし、フォレスト内の各ドメインから DLT オブジェクトの削除を開始できます。 詳細については、Microsoft サポート技術情報の次の記事「Windows ベースのドメイン コントローラーでの分散リンク追跡の 312403 」の「Microsoft 推奨事項の追跡」セクションを参照してください。

   10. システム状態のバックアップ

       フォレスト内のすべてのドメインで、少なくとも 2 つのドメイン コントローラーのシステム状態バックアップを作成します。 アップグレードが機能しない場合は、バックアップを使用してフォレスト内のすべてのドメインを回復できます。

Windows 2000 フォレストの Microsoft Exchange 2000

注:

• Exchange 2000 Server が Windows 2000 フォレストにインストールされている場合、またはインストールされる場合は、Windows Server 2003 adprep /forestprep コマンドを実行する前に、このセクションをお読みください。
• Microsoft Exchange Server 2003 スキーマ変更がインストールされる場合は、Windows Server 2003 コマンドを実行する前に、「概要: Windows Server 2000 ドメイン コントローラーを Windows Server 2003adprep にアップグレードする」セクションに移動します。

Exchange 2000 スキーマでは、非 Request for Comment (RFC) 準拠の LDAPDisplayNames (houseIdentifier、secretary、labeledURI) の 3 つの inetOrgPerson 属性を定義します。

Windows 2000 inetOrgPerson Kit と Windows Server 2003 adprep コマンドは、RFC 準拠ではないバージョンと同じ LDAPDisplayNames を持つ同じ 3 つの属性の RFC クレーム バージョンを定義します。

Windows 2000 および Exchange 2000 スキーマの変更を含むフォレスト内で修正スクリプトなしで Windows Server 2003 adprep /forestprep コマンドを実行すると、houseIdentifier、labeledURI、および secretary 属性の LDAPDisplayNames が壊れます。 "Dup" またはその他の一意の文字が競合する属性名の先頭に追加されると、属性は "mangled" になり、ディレクトリ内のオブジェクトと属性に一意の名前が付けられます。

Active Directory フォレストは、次の場合に、これらの属性に対して脆弱な LDAPDisplayNames に対して脆弱ではありません。

• Exchange 2000 スキーマを追加する前に、Windows 2000 スキーマを含むフォレストで Windows Server 2003 adprep /forestprep コマンドを実行する場合。
• Windows Server 2003 ドメイン コントローラーがフォレスト内の最初のドメイン コントローラーであったフォレストに Exchange 2000 スキーマをインストールする場合。
• Windows 2000 スキーマを含むフォレストに Windows 2000 inetOrgPerson Kit を追加した後、Exchange 2000 スキーマの変更をインストールした後、Windows Server 2003 adprep /forestprep コマンドを実行します。
• 既存の Windows 2000 フォレストに Exchange 2000 スキーマを追加する場合は、Windows Server 2003 コマンドを実行する前に Exchange 2003 adprep /forestprep /forestprep を実行します。

Mangled 属性は、次の場合に Windows 2000 で発生します。

• Windows 2000 inetOrgPerson Kit をインストールする前に、Exchange 2000 バージョンの labeledURI、houseIdentifier、および幹事属性を Windows 2000 フォレストに追加した場合。
• 最初にクリーンアップ スクリプトを実行せずに Windows Server 2003 adprep /forestprep コマンドを実行する前に、Windows 2000 フォレストに Exchange 2000 バージョンの labeledURI、houseIdentifier、および幹事属性を追加します。 各シナリオのアクション プランは次のとおりです。

シナリオ 1: Windows Server 2003 adprep /forestprep コマンドを実行した後に Exchange 2000 スキーマの変更が追加される

Windows Server 2000 adprep /forestprep コマンドの実行後に Exchange 2000 スキーマの変更が Windows 2000 フォレストに導入される場合、クリーンアップは必要ありません。 「概要: Windows 2000 ドメイン コントローラーを Windows Server 2003 にアップグレードする」セクションに移動します。

シナリオ 2: Windows Server 2003 adprep /forestprep コマンドの前に Exchange 2000 スキーマの変更がインストールされる

Exchange 2000 スキーマの変更が既にインストールされていても、Windows Server 2003 adprep /forestprep コマンドを実行していない場合は、次のアクション プランを検討してください。

1. Schema Admins セキュリティ グループのメンバーであるアカウントを使用して、スキーマ操作マスターのコンソールにログオンします。

2. [スタート] ボタンをクリックし、[実行] をクリックし、[開く] ボックスに「notepad.exe」と入力して、[OK] をクリックします。

3. "schemaUpdateNow: 1" の後に末尾のハイフンを含む次のテキストをメモ帳にコピーします。

   dn: CN=ms-Exch-Assistant-Name,CN=Schema,CN=Configuration,DC=X
   changetype: 変更
   replace:LDAPDisplayName
   LDAPDisplayName: msExchAssistantName
   -

   dn: CN=ms-Exch-LabeledURI,CN=Schema,CN=Configuration,DC=X
   changetype: 変更
   replace: LDAPDisplayName
   LDAPDisplayName: msExchLabeledURI
   -

   dn: CN=ms-Exch-House-IDENTIFIER,CN=Schema,CN=Configuration,DC=X
   changetype: 変更
   replace: LDAPDisplayName
   LDAPDisplayName: msExchHouseIdentifier
   -

   Dn：
   changetype: 変更
   add: schemaUpdateNow
   schemaUpdateNow: 1
   -

4. 各行の末尾にスペースがないことを確認します。

5. [ファイル] メニューで [保存] をクリックします。 [名前を付けて保存] ダイアログ ボックスで、次の手順を実行します。

   1. [ファイル名] ボックスに、「\%userprofile%\InetOrgPersonPrevent.ldf」と入力します。
   2. [ 名前を付けて保存] ボックス で、[ すべてのファイル] をクリックします。
   3. [ エンコード] ボックスで、[ Unicode] をクリックします。
   4. [保存] をクリックします。
   5. メモ帳を終了します。

6. InetOrgPersonPrevent.ldf スクリプトを実行します。

   1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックし、[開く] ボックスに「cmd」と入力して、[OK] をクリックします。

   2. コマンド プロンプトで、次のように入力し、Enter キーを押します。 cd %userprofile%

   3. 次のコマンドを入力します

   c:\documents and settings\%username%>ldifde -i -f inetorgpersonprevent.ldf -v -c DC=X "domain name path for forest root domain"
   

   構文に関する注意事項:

   • DC=X は大文字と小文字を区別する定数です。
   • ルート ドメインのドメイン名パスは、引用符で囲む必要があります。

   たとえば、フォレスト ルート ドメインが次の Active Directory フォレストのコマンド構文です TAILSPINTOYS.COM 。

   c:\documents and settings\administrator>ldifde -i -f inetorgpersonprevent.ldf -v -c DC=X "dc=tailspintoys,dc=com"

   注:

   次のエラー メッセージが表示された場合は、 スキーマ更新許可 レジストリ サブキーを変更する必要がある場合があります。レジストリ キーが設定されていないか、DC がスキーマ FSMO ロール所有者ではないため、この DC でスキーマの更新は許可されません。

7. Windows Server 2003 adprep /forestprep コマンドを実行する前に、スキーマの名前付けコンテキストの CN=ms-Exch-Assistant-Name、CN=ms-Exch-LabeledURI、CN=ms-Exch-House-Identifier 属性の LDAPDisplayNames が msExchAssistantName、msExchLabeledURI、および msExchHouseIdentifier として表示されることを確認します。

8. 「概要: Windows 2000 ドメイン コントローラーを Windows Server 2003 にアップグレードする」セクションに移動して、コマンドと/domainprepコマンドをadprep /forestprep実行します。

シナリオ 3: Windows Server 2003 forestprep コマンドが最初に inetOrgPersonFix を実行せずに実行された

Exchange 2000 スキーマの変更を含む Windows 2000 フォレストで Windows Server 2003 adprep /forestprep コマンドを実行すると、houseIdentifier、secretary、labeledURI の LDAPDisplayName 属性が壊れます。 破損した名前を識別するには、Ldp.exeを使用して、影響を受ける属性を見つけます。

1. Microsoft Windows 2000 または Windows Server 2003 メディアの Support\Tools フォルダーからLdp.exeをインストールします。

2. フォレスト内のドメイン コントローラーまたはメンバー コンピューターからLdp.exeを開始します。

   1. [接続] メニューの [接続] をクリックし、[サーバー] ボックスを空のままにし、[ポート] ボックスに「389」と入力して、[OK] をクリックします。
   2. [ 接続 ] メニューの [ バインド] をクリックし、すべてのボックスを空のままにして、[OK] をクリック します。

3. SchemaNamingContext 属性の識別名パスを記録します。 たとえば、CORP.ADATUM.COM フォレスト内のドメイン コントローラーの場合、識別名のパスは CN=Schema、CN=Configuration、DC=corp、DC=company、DC=com です。

4. [ 参照 ] メニューの [ 検索] をクリックします。

5. 次の設定を使用して、[ 検索 ] ダイアログ ボックスを構成します。

   • ベース DN: 手順 3 で識別されるスキーマの名前付けコンテキストの識別名パス。
   • フィルター: (ldapdisplayname=dup*)
   • スコープ: サブツリー

6. Mangled houseIdentifier、secretary、labeledURI 属性には、次の形式に似た LDAPDisplayName 属性があります。

   LDAPDisplayName: DUP-labeledURI-9591bbd3-d2a6-4669-afda-48af7c35507d;
   LDAPDisplayName: DUP-secretary-c5a1240d-70c0-455c-9906-a4070602f85f
   LDAPDisplayName: DUP-houseIdentifier-354b0ca8-9b6c-4722-aae7-e66906cc9eef

7. 手順 6 で labeledURI、secretary、houseIdentifier の LDAPDisplayNames が壊れた場合は、Windows Server 2003 InetOrgPersonFix.ldf スクリプトを実行して回復し、"Winnt32.exeを使用した Windows 2000 ドメイン コントローラーのアップグレード" セクションに移動します。

   1. %Systemdrive%\IOP という名前のフォルダーを作成し、InetOrgPersonFix.ldf ファイルをこのフォルダーに展開します。

   2. コマンド プロンプトで、「 cd %systemdrive%\iop.

   3. Windows Server 2003 インストール メディアの Support\Tools フォルダーにあるSupport.cab ファイルから InetOrgPersonFix.ldf ファイルを抽出します。

   4. スキーマ操作マスターのコンソールから、Ldifde.exeを使用して InetOrgPersonFix.ldf ファイルを読み込み、houseIdentifier、secretary、labeledURI 属性の LdapDisplayName 属性を修正します。 これを行うには、次のコマンドを入力します。 <X> は大文字と小文字を区別する定数であり、 <フォレスト ルート ドメイン> の dn パスはフォレストのルート ドメインのドメイン名パスです。

      C:\IOP>ldifde -i -f inetorgpersonfix.ldf -v -c DC=X "domain name path for forest root domain"
      

      構文に関する注意事項:

      • DC=X は大文字と小文字を区別する定数です。
      • フォレスト ルート ドメインのドメイン名パスは、引用符で囲む必要があります。

8. Exchange 2000 をインストールする前に、スキーマの名前付けコンテキスト内の houseIdentifier、secretary、labeledURI 属性が "mangled" でないことを確認します。

概要: Windows 2000 ドメイン コントローラーを Windows Server 2003 にアップグレードする

Windows Server 2003 adprep メディアの \I386 フォルダーから実行する Windows Server 2003 コマンドは、Windows Server 2003 ドメイン コントローラーを追加するための Windows 2000 フォレストとそのドメインを準備します。 Windows Server 2003 adprep /forestprep コマンドは、次の機能を追加します。

• オブジェクト クラスの既定のセキュリティ記述子の改善

• 新しいユーザー属性とグループ属性

• inetOrgPersonThe adprep ユーティリティのような新しいスキーマ オブジェクトと属性では、次の 2 つのコマンド ライン引数がサポートされます。

  • adprep /forestprep: フォレストのアップグレード操作を実行します。
  • dprep /domainprep: ドメイン アップグレード操作を実行します。

この adprep /forestprep コマンドは、フォレストのスキーマ操作マスター (FSMO) に対して実行される 1 回限りの操作です。 そのドメインで実行 adprep /domainprep するには、フォレストプレップ操作を完了し、各ドメインのインフラストラクチャ マスターにレプリケートする必要があります。

この adprep /domainprep コマンドは、新しいまたはアップグレードされた Windows Server 2003 ドメイン コントローラーをホストするフォレスト内の各ドメインのインフラストラクチャ操作マスター ドメイン コントローラーで実行する 1 回限りの操作です。 このコマンドは adprep /domainprep 、forestprep からの変更がドメイン パーティションにレプリケートされたことを確認し、Sysvol 共有内のドメイン パーティションとグループ ポリシーに対して独自の変更を行います。

/forestprep 操作と /domainprep 操作が完了し、そのドメイン内のすべてのドメイン コントローラーにレプリケートされていない限り、次のアクションのいずれかを実行することはできません。

• Winnt32.exeを使用して、Windows 2000 ドメイン コントローラーを Windows Server 2003 ドメイン コントローラーにアップグレードします。

注:

Windows 2000 メンバー サーバーとコンピューターは、いつでも Windows Server 2003 メンバー コンピューターにアップグレードできます。 Dcpromo.exeを使用して、新しい Windows Server 2003 ドメイン コントローラーをドメインに昇格させます。スキーマ操作マスターをホストするドメインは、両方を実行 adprep /forestprep する必要がある唯一のドメインです adprep /domainprep。 他のすべてのドメインでは、実行 adprep /domainprepするだけで済む。

およびコマンドはadprep /forestprepadprep /domainprep、グローバル カタログ部分属性セットに属性を追加したり、グローバル カタログを完全に同期させたりすることはありません。 RTM バージョンでは adprep /domainprep 、Sysvol ツリー内の \Policies フォルダーが完全に同期されます。 forestprep と domainprep を複数回実行した場合でも、完了した操作は 1 回だけ実行されます。

変更をレプリケート adprep /forestprep した adprep /domainprep 後、Windows Server 2000 メディアの \I386 フォルダーからWinnt32.exeを実行することで、Windows 2000 ドメイン コントローラーを Windows Server 2003 にアップグレードできます。 また、Dcpromo.exeを使用して、新しい Windows Server 2003 ドメイン コントローラーをドメインに追加することもできます。

adprep /forestprep コマンドを使用したフォレストのアップグレード

Windows Server 2003 ドメイン コントローラーを受け入れるように Windows 2000 フォレストとドメインを準備するには、まずラボ環境、次に運用環境で次の手順に従います。

1. 次の項目に特に注意を払って、"フォレスト インベントリ" フェーズのすべての操作が完了していることを確認します。

   1. システム状態バックアップを作成しました。
   2. フォレスト内のすべての Windows 2000 ドメイン コントローラーに、すべての適切な修正プログラムとサービス パックがインストールされています。
   3. フォレスト全体で Active Directory のエンド ツー エンド レプリケーションが発生している
   4. FRS は、各ドメイン全体でファイル システム ポリシーを正しくレプリケートします。

2. Schema Admins セキュリティ グループのメンバーであるアカウントを使用して、スキーマ操作マスターのコンソールにログオンします。

3. Windows NT コマンド プロンプトで次のように入力して、スキーマ FSMO がスキーマ パーティションの受信レプリケーションを実行したことを確認します。repadmin /showreps

   ( repadmin は Active Directory の Support\Tools フォルダーによってインストールされます。

4. 初期の Microsoft ドキュメントでは、実行 adprep /forestprepする前に、プライベート ネットワークでスキーマ操作マスターを分離することをお勧めします。 実際のエクスペリエンスでは、この手順は必要ではなく、スキーマ操作マスターがプライベート ネットワークで再起動されたときにスキーマの変更を拒否する可能性があることを示唆しています。

5. スキーマ操作マスターで実行 adprep します。 これを行うには、[ スタート] ボタンをクリックし、[ ファイル名を指定して実行] をクリックし、「 cmd」と入力して、[OK] をクリック します。 スキーマ操作マスターで、次のコマンドを入力します。

    X:\I386\adprep /forestprep
   

   ここで 、X:\I386\ は Windows Server 2003 インストール メディアのパスです。 このコマンドは、フォレスト全体のスキーマ アップグレードを実行します。

   注:

   次のサンプルなど、Directory Service イベント ログに記録されるイベント ID 1153 のイベントは無視できます。

6. スキーマ操作マスターで adprep /forestprep コマンドが正常に実行されたことを確認します。 これを行うには、スキーマ操作マスターのコンソールから、次の項目を確認します。 - コマンドは adprep /forestprep エラーなしで完了しました。 - CN=Windows2003Update オブジェクトは、CN=ForestUpdates、CN=Configuration、DC= forest_root_domainの下に書き込 まれます。 Revision 属性の値を記録します。 - (省略可能) スキーマ バージョンがバージョン 30 にインクリメントされます。 これを行うには、CN=Schema、CN=Configuration、DC= forest_root_domainの ObjectVersion 属性を参照してください。実行しない場合 adprep /forestprep は、次の項目を確認します。

   • インストール メディアの \I386 フォルダーにあるAdprep.exeの完全修飾パスは、実行時に adprep 指定されました。 これを行うには、次のコマンドを入力します。

     x:\i386\adprep /forestprep
     

     ここで 、x はインストール メディアをホストするドライブです。

   • adprep を実行するログオン ユーザーは、Schema Admins セキュリティ グループのメンバーシップを持ちます。 これを確認するには、コマンドを whoami /all 使用します。

   • それでも問題が解決しない場合 adprep は、%systemroot%\System32\Debug\Adprep\Logs\Latest_log フォルダーに Adprep.log ファイルを 表示します。

7. 手順 4 でスキーマ操作マスターで送信レプリケーションを無効にした場合は、レプリケーションを有効にして、行われた adprep /forestprep スキーマの変更を反映できるようにします。 これを行うには、次の手順に従います。

   1. [ スタート] ボタンをクリックし、[ ファイル名を指定して実行] をクリックし、「 cmd」と入力して、[OK] をクリック します。
   2. 次のように入力し、Enter キーを押します。repadmin /options -DISABLE_OUTBOUND_REPL

8. 変更が adprep /forestprep フォレスト内のすべてのドメイン コントローラーにレプリケートされていることを確認します。 次の属性を監視すると便利です。

   1. スキーマ のバージョンをインクリメントする
   2. CN=Windows2003Update、CN=ForestUpdates、CN=Configuration、DC= forest_root_domain または CN=Operations、CN=DomainUpdates、CN=System、DC= forest_root_domain 、およびその下の操作 GUID がレプリケートされています。
   3. 新しいスキーマ クラス、オブジェクト、属性、または追加する adprep /forestprep その他の変更 (inetOrgPerson など) を検索します。 %systemroot%\System32 フォルダー内の Sch XX.ldf ファイル ( XX は 14 から 30 までの数値) を表示して、必要なオブジェクトと属性を特定します。 たとえば、inetOrgPerson は Sch18.ldf で定義されます。

9. mangled LDAPDisplayNames を探します。 壊れた名前が見つかる場合は、同じ記事のシナリオ 3 に進んでください。

10. スキーマ操作マスターをホストするフォレストの Schema Admins グループ セキュリティ グループのメンバーであるアカウントを使用して、スキーマ操作マスターのコンソールにログオンします。

adprep /domainprep コマンドを使用したドメインのアップグレード

/forestprep の変更が、Windows Server 2003 ドメイン コントローラーをホストする各ドメインのインフラストラクチャ マスター ドメイン コントローラーに完全にレプリケートされた後に実行 adprep /domainprep します。 そのために、以下の手順に従ってください。

1. アップグレードするドメイン内のインフラストラクチャ マスター ドメイン コントローラーを特定し、アップグレードするドメインの Domain Admins セキュリティ グループのメンバーであるアカウントでログオンします。

   注:

   エンタープライズ管理者は、フォレストの子ドメインの Domain Admins セキュリティ グループのメンバーではない可能性があります。

2. インフラストラクチャ マスターで実行 adprep /domainprep します。 これを行うには、[スタート] をクリックし、[実行] をクリックして 「cmd」と入力し、インフラストラクチャ マスターで次のコマンド X:\I386\adprep /domainprep を入力します。ここで、X:\I386\ は Windows Server 2003 インストール メディアのパスです。 このコマンドは、ターゲット ドメインでドメイン全体の変更を実行します。

   注:

   このコマンドは adprep /domainprep 、Sysvol 共有内のファイルのアクセス許可を変更します。 これらの変更により、そのディレクトリ ツリー内のファイルが完全に同期されます。

3. domainprep が正常に完了したことを確認します。 これを行うには、次の項目を確認します。

   • コマンドは adprep /domainprep エラーなしで完了しました。
   • アップグレードするドメインの CN=Windows2003Update、CN=DomainUpdates、CN=System、DC= dn パスが 存在するIf adprep /domainprep が実行されない場合は、次の項目を確認します。
   • 実行 adprep しているログオン ユーザーは、アップグレードするドメイン内の Domain Admins セキュリティ グループにメンバーシップを持っています。 これを行うには、コマンドを whoami /all 使用します。
   • インストール メディアの \I386 ディレクトリにあるAdprep.exeの完全修飾パスは、実行時 adprepに指定されました。 これを行うには、コマンド プロンプトで次のコマンド x :\i386\adprep /forestprep を入力します。 ここで、x はインストール メディアをホストするドライブです。
   • それでも動作しない場合 adprep は、%systemroot%\System32\Debug\Adprep\Logs\ Latest_log フォルダーに Adprep.log ファイル を 表示します。

4. 変更が adprep /domainprep レプリケートされたことを確認します。 これを行うには、ドメイン内の残りのドメイン コントローラーについて、次の項目を確認します。 - CN=Windows2003Update、CN=DomainUpdates、CN=System、DC= dn パスの アップグレード先オブジェクトが存在し、Revision 属性の値がドメインのインフラストラクチャ マスター上の同じ属性の値と一致します。 - (省略可能) 追加されたオブジェクト、属性、またはアクセス制御リスト (ACL) の変更を adprep /domainprep 検索します。 残りのドメインのインフラストラクチャ マスターで手順 1 ~ 4 を一括で繰り返すか、それらのドメイン内の DC を Windows Server 2003 に追加またはアップグレードします。 DCPROMO を使用して、新しい Windows Server 2003 コンピューターをフォレストに昇格できるようになりました。 または、WINNT32.EXEを使用して、既存の Windows 2000 ドメイン コントローラーを Windows Server 2003 にアップグレードすることもできます。

Winnt32.exeを使用した Windows 2000 ドメイン コントローラーのアップグレード

/forestprep と /domainprep からの変更が完全にレプリケートされ、以前のバージョンのクライアントとのセキュリティの相互運用性について決定した後、Windows 2000 ドメイン コントローラーを Windows Server 2003 にアップグレードし、新しい Windows Server 2003 ドメイン コントローラーをドメインに追加できます。

次のコンピューターは、各ドメインのフォレストで Windows Server 2003 を実行する最初のドメイン コントローラーの中に存在する必要があります。

• 既定の DNS プログラム パーティションを作成できるように、フォレスト内のドメインの名前付けマスター。
• Windows Server 2003 の forestprep が追加したエンタープライズ全体のセキュリティ プリンシパルが ACL エディターに表示されるように、フォレスト ルート ドメインのプライマリ ドメイン コントローラー。
• 新しいドメイン固有の Windows 2003 セキュリティ プリンシパルを作成できるように、各非ルート ドメインのプライマリ ドメイン コントローラー。 これを行うには、WINNT32 を使用して、必要な運用ロールをホストする既存のドメイン コントローラーをアップグレードします。 または、新しく昇格された Windows Server 2003 ドメイン コントローラーにロールを転送します。 WINNT32 を使用して Windows Server 2003 にアップグレードする Windows 2000 ドメイン コントローラーごとに、および昇格する Windows Server 2003 ワークグループまたはメンバー コンピューターごとに、次の手順を実行します。

1. WINNT32 を使用して Windows 2000 メンバー コンピューターとドメイン コントローラーをアップグレードする前に、Windows 2000 管理ツールを削除します。 これを行うには、コントロール パネルの [プログラムの追加と削除] ツールを使用します。 (Windows 2000 のアップグレードのみ)。

2. Microsoft または管理者が重要と判断した修正プログラム ファイルまたはその他の修正プログラムをインストールします。

3. アップグレードの問題が発生する可能性がないか、各ドメイン コントローラーを確認します。 これを行うには、インストール メディアの \I386 フォルダーから次のコマンドを実行します。 winnt32.exe /checkupgradeonly 互換性チェックで識別されるすべての問題を解決します。

4. インストール メディアの \I386 フォルダーからWINNT32.EXEを実行し、アップグレードした 2003 ドメイン コントローラーを再起動します。

5. 必要に応じて、以前のバージョンのクライアントのセキュリティ設定を下げます。

   4.0 クライアントWindows NT NT 4.0 SP6 または Windows 95 クライアントにディレクトリ サービス クライアントがインストールされていない場合は、ドメイン コントローラーの組織単位の既定のドメイン コントローラー ポリシーで SMB サービス署名を無効にし、このポリシーをドメイン コントローラーをホストするすべての組織単位にリンクします。 コンピューター構成\Windows 設定\セキュリティ設定\ローカル ポリシー\セキュリティ オプション\Microsoft Network Server: 通信にデジタル署名する (常に)

6. 次のデータ ポイントを使用して、アップグレードの正常性を確認します。

   • アップグレードは正常に完了しました。
   • インストールに追加した修正プログラムによって、元のバイナリが正常に置き換えられました。
   • ドメイン コントローラーが保持するすべての名前付けコンテキストに対して、Active Directory の受信レプリケーションと送信レプリケーションが発生しています。
   • Netlogon と Sysvol 共有が存在します。
   • イベント ログは、ドメイン コントローラーとそのサービスが正常であることを示します。

   注:

   アップグレード後に次のイベント メッセージが表示される場合があります。このイベント メッセージは無視しても問題ありません。

7. Windows Server 2003 管理ツール (Windows 2000 のアップグレードと Windows Server 2003 非ドメイン コントローラーのみ) をインストールします。 Adminpak.msiは、Windows Server 2003 CD-ROM の \I386 フォルダーにあります。 Windows Server 2003 メディアには、Support\Tools\Suptools.msi ファイル内の更新されたサポート ツールが含まれています。 このファイルを再インストールしてください。

8. フォレスト内の各ドメインで Windows Server 2003 にアップグレードした、少なくとも最初の 2 つの Windows 2000 ドメイン コントローラーの新しいバックアップを作成します。 ロックされたストレージで Windows Server 2003 にアップグレードした Windows 2000 コンピューターのバックアップを見つけて、誤って使用して Windows Server 2003 を実行しているドメイン コントローラーを復元しないようにします。

9. (省略可能)単一インスタンス ストア (SIS) の完了後に Windows Server 2003 にアップグレードしたドメイン コントローラーで Active Directory データベースのオフライン最適化を実行します (Windows 2000 アップグレードのみ)。

   SIS は、Active Directory に格納されているオブジェクトに対する既存のアクセス許可を確認し、それらのオブジェクトに対してより効率的なセキュリティ記述子を適用します。 アップグレードされたドメイン コントローラーが最初に Windows Server 2003 オペレーティング システムを起動すると、SIS は自動的に開始されます (ディレクトリ サービス イベント ログのイベント 1953 によって識別されます)。 セキュリティ記述子ストアの改善のメリットは、イベント ID 1966 イベント メッセージをディレクトリ サービス イベント ログに記録した場合のみです。このイベント メッセージは、単一インスタンス ストア操作が完了し、管理者がNTDSUTIL.EXEを使用して Ntds.dit のオフライン最適化を実行するキューとして機能することを示します。

   オフライン最適化では、Windows 2000 Ntds.dit ファイルのサイズを最大 40% 削減し、Active Directory のパフォーマンスを向上させ、データベース内のページを更新して、Link Valued 属性をより効率的に格納できます。 Active Directory データベースを最適化する方法の詳細については、次の記事番号をクリックして、Microsoft サポート技術情報の記事を参照してください。

   232122 Active Directory データベースのオフライン最適化を実行する

10. DLT サーバー サービスを調査します。 Windows Server 2003 ドメイン コントローラーは、新しいインストールとアップグレードのインストール時に DLT Server サービスを無効にします。 組織内の Windows 2000 または Windows XP クライアントで DLT Server サービスを使用している場合は、グループ ポリシーを使用して、新しい Windows Server 2003 ドメイン コントローラーまたはアップグレードされた Windows Server 2003 ドメイン コントローラーで DLT Server サービスを有効にします。 それ以外の場合は、Active Directory から分散リンク追跡オブジェクトを段階的に削除します。 詳細については、次の記事番号をクリックして、Microsoft サポート技術情報の記事を表示してください。

    Windows ベースの ドメイン コントローラーでの分散リンク追跡の312403

    何千もの DLT オブジェクトまたはその他のオブジェクトを一括削除すると、バージョン ストアがないためレプリケーションがブロックされる可能性があります。 最後の DLT オブジェクトを削除してからガベージ コレクションが完了するまで 、tombstonelifetime の日数 (既定では 60 日間) 待ってから、NTDSUTIL.EXEを使用して Ntds.dit ファイルのオフライン デフラグを実行します。

11. ベスト プラクティスの組織単位構造を構成します。 Microsoft では、すべての Active Directory ドメインにベスト プラクティスの組織単位構造を積極的に展開し、Windows Server 2003 ドメイン コントローラーを Windows ドメイン モードでアップグレードまたは展開した後、以前のバージョンの API がユーザー、コンピューター、グループを作成するために使用する既定のコンテナーを管理者が指定する組織単位コンテナーにリダイレクトすることをお勧めします。

    ベスト プラクティスの組織単位構造の詳細については、「Windows ネットワークを管理するためのベスト プラクティス Active Directory デザイン」ホワイト ペーパーの「組織単位設計の作成」セクションを参照してください。 ホワイト ペーパーを表示するには、次の Microsoft Web サイトを参照してください。 https://technet.microsoft.com/library/bb727085.aspx 以前のバージョンの API で作成されたユーザー、コンピューター、およびグループが配置されている既定のコンテナーの変更の詳細については、次の記事番号をクリックして、Microsoft サポート技術情報の記事を表示してください。

    324949 Windows Server 2003 ドメイン内のユーザーコンテナーとコンピューター コンテナーのリダイレクト

12. フォレスト内の新規またはアップグレードされた Windows Server 2003 ドメイン コントローラーごとに必要に応じて手順 1 ~ 10 を繰り返し、Active Directory ドメインごとに手順 11 (ベスト プラクティス組織単位構造) を繰り返します。

    概要:

    • WINNT32 を使用して Windows 2000 ドメイン コントローラーをアップグレードする (使用する場合は、スリップストリームインストール メディアから)
    • アップグレードされたコンピューターに修正プログラム ファイルがインストールされていることを確認する
    • インストール メディアに含まれていない必要な修正プログラムをインストールする
    • 新しいサーバーまたはアップグレードされたサーバー (AD、FRS、ポリシーなど) の正常性を確認する
    • OS のアップグレード後に 24 時間待ってからオフライン デフラグする (省略可能)
    • 必要な場合は DLT サービスを開始します。それ以外の場合は、フォレスト全体のドメインpreps の後に q312403 / q315229 を使用して DLT オブジェクトを削除します。
    • DLT オブジェクトを削除した後、オフライン デフラグを 60 日以上実行する (廃棄の有効期間とガベージ コレクションの日数)

ラボ環境でのドライラン アップグレード

Windows ドメイン コントローラーを運用環境の Windows 2000 ドメインにアップグレードする前に、ラボでアップグレード プロセスを検証して調整します。 運用環境フォレストを正確にミラーリングするラボ環境のアップグレードがスムーズに実行される場合は、運用環境でも同様の結果が期待できます。 複雑な環境の場合、ラボ環境は、次の領域の運用環境をミラー化する必要があります。

• ハードウェア: コンピューターの種類、メモリ サイズ、ページ ファイルの配置、ディスク サイズ、パフォーマンスと RAID の構成、BIOS とファームウェアのリビジョン レベル
• ソフトウェア: クライアントとサーバーのオペレーティング システムのバージョン、クライアントとサーバー のアプリケーション、Service Pack のバージョン、修正プログラム、スキーマ変更、セキュリティ グループ、グループ メンバーシップ、アクセス許可、ポリシー設定、オブジェクト数の種類、場所、バージョンの相互運用性
• ネットワーク インフラストラクチャ: WINS、DHCP、リンク速度、使用可能な帯域幅
• 読み込み: ロード シミュレーターでは、パスワードの変更、オブジェクトの作成、Active Directory レプリケーション、ログオン認証、その他のイベントをシミュレートできます。 目標は、運用環境のスケールを再現することではありません。 代わりに、一般的な操作のコストと頻度を検出し、現在および将来の要件に基づいて運用環境に対する効果 (名前クエリ、レプリケーション トラフィック、ネットワーク帯域幅、プロセッサ消費量) を補間することが目標です。
• 管理: 実行されたタスク、使用されるツール、使用されるオペレーティング システム
• 操作: 容量、相互運用性
• ディスク領域: 次の各操作の後、各ドメイン内のグローバル カタログとグローバル以外のカタログ ドメイン コントローラー上のオペレーティング システム、Ntds.dit、Active Directory ログ ファイルの開始サイズ、ピーク サイズ、終了サイズに注意してください。
  1. adprep /forestprep
  2. adprep /domainprep
  3. Windows 2000 ドメイン コントローラーを Windows Server 2003 にアップグレードする
  4. バージョンのアップグレード後にオフライン最適化を実行する

アップグレード プロセスと環境の複雑さを詳細な観察と組み合わせて理解することで、運用環境のアップグレードに適用する注意のペースと程度が決まります。 少数のドメイン コントローラーと Active Directory オブジェクトが高可用性ワイド エリア ネットワーク (WAN) リンク経由で接続されている環境では、わずか数時間でアップグレードされる可能性があります。 数百のドメイン コントローラーまたは数十万個の Active Directory オブジェクトを持つエンタープライズ展開では、さらに注意が必要になる場合があります。 このような場合は、数週間または数か月の間にアップグレードを実行できます。

ラボで "Dry-run" アップグレードを使用して、次のタスクを実行します。

• アップグレード プロセスの内部の動作と、関連するリスクについて理解します。
• 環境内のデプロイ プロセスの潜在的な問題領域を公開します。
• アップグレードが成功しなかった場合に備え、フォールバック 計画をテストして開発します。
• 運用ドメインのアップグレード プロセスに適用する適切な詳細レベルを定義します。

十分なディスク領域がないドメイン コントローラー

ディスク領域が不十分なドメイン コントローラーで、次の手順を使用して、Ntds.dit ファイルとログ ファイルをホストするボリューム上の追加のディスク領域を解放します。

1. *.tmp ファイルやインターネット ブラウザーが使用するキャッシュされたファイルを含む未使用のファイルを削除します。 これを行うには、次のコマンドを入力します (各コマンドの後に Enter キーを押します)。

   cd /d drive\  
   del *.tmp /s  
   

2. ユーザーまたはメモリ ダンプ ファイルを削除します。 これを行うには、次のコマンドを入力します (各コマンドの後に Enter キーを押します)。

   cd /d drive\  
   del *.dmp /s  
   

3. 他のサーバーからアクセスできるファイルを一時的に削除または再配置するか、簡単に再インストールします。 削除して簡単に置き換えることができるファイルには、ADMINCACHE、サポート ツール、および %systemroot%\System32\Dllcache フォルダー内のすべてのファイルが含まれます。

4. 古いユーザー プロファイルまたは未使用のユーザー プロファイルを削除します。 これを行うには、[ スタート] をクリックし、[ マイ コンピューター] を右クリックし、[ プロパティ] をクリックし、[ ユーザー プロファイル ] タブをクリックして、古いアカウントと未使用のアカウント用のすべてのプロファイルを削除します。 サービス アカウント用のプロファイルは削除しないでください。

5. %systemroot%\Symbols でシンボルを削除します。 これを行うには、次のコマンドを入力します。 rd /s %systemroot%\symbols サーバーにフル シンボルセットと小シンボル セットのどちらが設定されているかに応じて、約 70 MB から 600 MB が得られる場合があります。

6. オフライン最適化を実行します。 Ntds.dit ファイルをオフラインで最適化すると、領域が解放される可能性がありますが、一時的に現在の DIT ファイルの 2 倍の領域が必要になります。 使用可能な場合は、他のローカル ボリュームを使用してオフライン デフラグを実行します。 または、最適な接続されたネットワーク サーバー上の領域を使用して、オフライン最適化を実行します。 ディスク領域がまだ十分でない場合は、不要なユーザー アカウント、コンピューター アカウント、DNS レコード、DLT オブジェクトを Active Directory から段階的に削除します。

注:

Active Directory は 、tombstonelifetime 日数 (既定では 60 日) が経過し、ガベージ コレクションが完了するまで、データベースからオブジェクトを削除しません。 廃棄時間をフォレスト内のエンド ツー エンド レプリケーションより小さい値に減らすと、Active Directory で不整合が発生する可能性があります。