Udostępnij za pośrednictwem

Jak uaktualnić kontrolery domeny systemu Windows 2000 do systemu Windows Server 2003

W tym artykule omówiono sposób uaktualniania kontrolerów domeny systemu Microsoft Windows 2000 do systemu Windows Server 2003 oraz sposobu dodawania nowych kontrolerów domeny systemu Windows Server 2003 do domen systemu Windows 2000.

Oryginalny numer KB: 325379

Podsumowanie

W tym artykule omówiono sposób uaktualniania kontrolerów domeny systemu Microsoft Windows 2000 do systemu Windows Server 2003 oraz sposobu dodawania nowych kontrolerów domeny systemu Windows Server 2003 do domen systemu Windows 2000. Aby uzyskać więcej informacji na temat uaktualniania kontrolerów domeny do systemu Windows Server 2008 lub Windows Server 2008 R2, odwiedź następującą witrynę sieci Web firmy Microsoft:

Uaktualnianie kontrolerów domeny: pomoc techniczna firmy Microsoft Szybki start dotyczący dodawania kontrolerów domeny systemu Windows Server 2008 lub Windows Server 2008 R2 do istniejących domen

Spis domen i lasów

Przed uaktualnieniem kontrolerów domeny systemu Windows 2000 do systemu Windows Server 2003 lub przed dodaniem nowych kontrolerów domeny systemu Windows Server 2003 do domeny systemu Windows 2000 wykonaj następujące kroki:

  1. Spis klientów, którzy uzyskują dostęp do zasobów w domenie, która hostuje kontrolery domeny systemu Windows Server 2003 w celu zachowania zgodności z podpisywaniem SMB:

    Każdy kontroler domeny systemu Windows Server 2003 umożliwia logowanie za pomocą protokołu SMB w lokalnych zasadach zabezpieczeń. Upewnij się, że wszyscy klienci sieci, którzy używają protokołu SMB/CIFS do uzyskiwania dostępu do udostępnionych plików i drukarek w domenach hostujących kontrolery domeny systemu Windows Server 2003, można skonfigurować lub uaktualnić do obsługi podpisywania SMB. Jeśli nie, tymczasowo wyłącz podpisywanie SMB do momentu zainstalowania aktualizacji lub do czasu uaktualnienia klientów do nowszych systemów operacyjnych obsługujących podpisywanie SMB. Aby uzyskać informacje na temat wyłączania podpisywania SMB, zobacz sekcję Aby wyłączyć podpisywanie SMB na końcu tego kroku.

    Plany działania

    Na poniższej liście przedstawiono plany akcji dla popularnych klientów SMB:

    • Microsoft Windows Server 2003, Microsoft Windows XP Professional, Microsoft Windows 2000 Server, Microsoft Windows 2000 Professional i Microsoft Windows 98

      Nie trzeba podejmować żadnych działań.

    • Microsoft Windows NT 4.0 Zainstaluj dodatek Service Pack 3 lub nowszy (zalecany jest dodatek Service Pack 6A) na wszystkich komputerach z systemem Windows NT 4.0, które uzyskują dostęp do domen zawierających komputery z systemem Windows Server 2003. Zamiast tego tymczasowo wyłącz podpisywanie SMB na kontrolerach domeny systemu Windows Server 2003. Aby uzyskać informacje na temat wyłączania podpisywania SMB, zobacz sekcję Aby wyłączyć podpisywanie SMB na końcu tego kroku.

    • Microsoft Windows 95

      Zainstaluj klienta usługi katalogowej systemu Windows 9 x na komputerach z systemem Windows 95 lub tymczasowo wyłącz podpisywanie SMB na kontrolerach domeny systemu Windows Server 2003. Oryginalny klient usługi katalogowej Win9 x jest dostępny na dysku CD-ROM systemu Windows 2000 Server. Jednak ten dodatek klienta został zastąpiony ulepszonym klientem usługi katalogowej Win9 x . Aby uzyskać informacje na temat wyłączania podpisywania SMB, zobacz sekcję Aby wyłączyć podpisywanie SMB na końcu tego kroku.

    • Klient sieci Microsoft dla klientów MS-DOS i Microsoft LAN Manager

      Klient sieci Microsoft dla ms-DOS i klienta sieciowego programu Microsoft LAN Manager 2.x może służyć do zapewnienia dostępu do zasobów sieciowych lub może być połączony z dyskietką rozruchową do kopiowania plików systemu operacyjnego i innych plików z katalogu udostępnionego na serwerze plików w ramach procedury instalacji oprogramowania. Ci klienci nie obsługują podpisywania protokołu SMB. Użyj alternatywnej metody instalacji lub wyłącz podpisywanie protokołu SMB. Aby uzyskać informacje na temat wyłączania podpisywania SMB, zobacz sekcję Aby wyłączyć podpisywanie SMB na końcu tego kroku.

    • Klienci komputerów Macintosh

      Niektórzy klienci Macintosh nie są zgodni z podpisywaniem SMB i podczas próby nawiązania połączenia z zasobem sieciowym zostanie wyświetlony następujący komunikat o błędzie:

      - Błąd -36 We/Wy

      Zainstaluj zaktualizowane oprogramowanie, jeśli jest dostępne. W przeciwnym razie wyłącz podpisywanie SMB na kontrolerach domeny systemu Windows Server 2003. Aby uzyskać informacje na temat wyłączania podpisywania SMB, zobacz sekcję Aby wyłączyć podpisywanie SMB na końcu tego kroku.

    • Inni klienci SMB innych firm

      Niektórzy klienci SMB innych firm nie obsługują podpisywania protokołu SMB. Skontaktuj się z dostawcą SMB, aby sprawdzić, czy istnieje zaktualizowana wersja. W przeciwnym razie wyłącz podpisywanie SMB na kontrolerach domeny systemu Windows Server 2003.

    Aby wyłączyć podpisywanie protokołu SMB

    Jeśli nie można zainstalować aktualizacji oprogramowania na kontrolerach domeny, których dotyczy problem, z systemem Windows 95, Windows NT 4.0 lub innych klientów zainstalowanych przed wprowadzeniem systemu Windows Server 2003, tymczasowo wyłącz wymagania dotyczące podpisywania usługi SMB w zasadach grupy do momentu wdrożenia zaktualizowanego oprogramowania klienckiego.

    Możesz wyłączyć logowanie usługi SMB w następującym węźle domyślnych zasad kontrolerów domeny w jednostce organizacyjnej kontrolerów domeny: Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń\Microsoft Network Server:

    Podpisuj cyfrowo komunikację (zawsze)

    Jeśli kontrolery domeny nie znajdują się w jednostce organizacyjnej kontrolera domeny, należy połączyć domyślny obiekt zasad grupy kontrolera domeny (GPO) ze wszystkimi jednostkami organizacyjnymi hostujących kontrolery domeny systemu Windows 2000 lub Windows Server 2003. Możesz też skonfigurować logowanie usługi SMB w obiekcie zasad grupy połączonym z tymi jednostkami organizacyjnymi.

  2. Utwórz spis kontrolerów domeny, które znajdują się w domenie i w lesie:

    1. Upewnij się, że wszystkie kontrolery domeny systemu Windows 2000 w lesie zainstalowały wszystkie odpowiednie poprawki i dodatki Service Pack.

      Firma Microsoft zaleca, aby wszystkie kontrolery domeny systemu Windows 2000 uruchamiały system Operacyjny Windows 2000 z dodatkiem Service Pack 4 (SP4) lub nowszym. Jeśli nie można w pełni wdrożyć systemu Windows 2000 z dodatkiem SP4 lub nowszym, wszystkie kontrolery domeny systemu Windows 2000 muszą mieć plik Ntdsa.dll, którego sygnatura daty i wersja są nowsze niż 4 czerwca 2001 r. i 5.0.2195.3673.

      Domyślnie narzędzia administracyjne usługi Active Directory na komputerach klienckich z systemem Windows 2000 z dodatkiem SP4, Windows XP i Windows Server 2003 używają podpisywania protokołu LDAP (Lightweight Directory Access Protocol). Jeśli takie komputery używają (lub wracają do) uwierzytelniania NTLM podczas zdalnego administrowania kontrolerami domeny systemu Windows 2000, połączenie nie będzie działać. Aby rozwiązać ten problem, zdalnie administrowane kontrolery domeny powinny mieć zainstalowany co najmniej system Windows 2000 z dodatkiem SP3. W przeciwnym razie należy wyłączyć podpisywanie LDAP na klientach z uruchomionymi narzędziami administracyjnymi.

      W następujących scenariuszach używane jest uwierzytelnianie NTLM:

      • Administrowanie kontrolerami domeny systemu Windows 2000 znajdującymi się w lesie zewnętrznym połączonym przez zaufanie NTLM (inne niż Kerberos).
      • Skupisz się na przystawce programu Microsoft Management Console (MMC) względem określonego kontrolera domeny, do którego odwołuje się jego adres IP. Na przykład kliknij przycisk Start, kliknij przycisk Uruchom, a następnie wpisz następujące polecenie:dsa.msc /server=ipaddress

      Aby określić system operacyjny i poziom poprawki dodatku Service Pack kontrolerów domeny usługi Active Directory w domenie usługi Active Directory, zainstaluj wersję systemu Windows Server 2003 Repadmin.exe na komputerze członkowskim systemu Windows XP Professional lub Windows Server 2003 w lesie, a następnie uruchom następujące repadmin polecenie względem kontrolera domeny w każdej domenie w lesie:

      >repadmin /showattr <name of the domain controller that is in the target domain> ncobj:domain: /filter:"(&(objectCategory=computer)(primaryGroupID=516))" /subtree /atts:operatingSystem,operatingSystemVersion,operatingSystemServicePack

DN: CN=NA-DC-01,organizational unit=Domain Controllers,DC=company,DC=com
 1> operatingSystem: Windows Server 2003
 1> operatingSystemVersion: 5.2 (3718)
DN: CN=NA-DC-02,organizational unit=Domain Controllers,DC=company,DC=com
 1> operatingSystem: Windows 2000 Server
 1> operatingSystemVersion: 5.0 (2195)
 1> operatingSystemServicePack: Service Pack 1

      Uwaga 16.

      Atrybuty kontrolera domeny nie śledzą instalacji poszczególnych poprawek.

    2. Sprawdź kompleksową replikację usługi Active Directory w całym lesie.

      Sprawdź, czy każdy kontroler domeny w uaktualnionym lesie replikuje wszystkie lokalne konteksty nazewnictwa ze swoimi partnerami zgodnie z harmonogramem zdefiniowanym przez łącza lokacji lub obiekty połączenia. Użyj systemu Windows Server 2003 w wersji Repadmin.exe na komputerze członkowskim z systemem Windows XP lub Windows Server 2003 w lesie z następującymi argumentami: Wszystkie kontrolery domeny w lesie muszą replikować usługę Active Directory bez błędu, a wartości w kolumnie "Największa delta" danych wyjściowych repadmin nie powinny być znacznie większe niż częstotliwość replikacji w odpowiednich linkach lokacji lub obiektach połączenia, które są używane przez daną domenę docelową kontroler.

      Rozwiąż wszystkie błędy replikacji między kontrolerami domeny, które nie powiodły się replikacji przychodzącej w czasie krótszym niż okres istnienia reliktu tombstone (TSL) liczba dni (domyślnie 60 dni). Jeśli nie można przeprowadzić replikacji do funkcji, może być konieczne wymuszone obniżenie poziomu kontrolerów domeny i usunięcie ich z lasu przy użyciu polecenia oczyszczania metadanych Ntdsutil, a następnie podwyższenie poziomu ich z powrotem do lasu. Można użyć wymuszonej degradacji, aby zapisać zarówno instalację systemu operacyjnego, jak i programy, które znajdują się na oddzielonym kontrolerze domeny. Aby uzyskać więcej informacji na temat usuwania oddzielonych kontrolerów domeny systemu Windows 2000 z ich domeny, kliknij następujący numer artykułu, aby wyświetlić artykuł w bazie wiedzy Microsoft Knowledge Base:

      216498 Jak usunąć dane w usłudze Active Directory po nieudanej degradacji kontrolera domeny

      Wykonaj tę akcję tylko w ostateczności, aby odzyskać instalację systemu operacyjnego i zainstalowanych programów. Utracisz niereplikowane obiekty i atrybuty na oddzielonych kontrolerach domeny, w tym użytkowników, komputerów, relacji zaufania, haseł, grup i członkostwa w grupach.

      Należy zachować ostrożność podczas próby usunięcia błędów replikacji na kontrolerach domeny, które nie zreplikowały zmian przychodzących dla określonej partycji usługi Active Directory przez większą niż liczba dni. W takim przypadku można ponownie reanimować obiekty, które zostały usunięte na jednym kontrolerze domeny, ale dla których partnerzy replikacji bezpośredniej lub przechodniej nigdy nie otrzymali usunięcia w ciągu ostatnich 60 dni.

      Rozważ usunięcie wszelkich utrzymujących się obiektów znajdujących się na kontrolerach domeny, które nie przeprowadziły replikacji przychodzącej w ciągu ostatnich 60 dni. Alternatywnie można wymusić obniżenie poziomu kontrolerów domeny, które nie przeprowadziły żadnej replikacji przychodzącej na danej partycji w okresie istnienia grobowca liczby dni i usunąć pozostałe metadane z lasu usługi Active Directory przy użyciu narzędzia Ntdsutil i innych narzędzi. Aby uzyskać dodatkową pomoc, skontaktuj się z dostawcą pomocy technicznej lub usługą Microsoft PSS.

    3. Sprawdź, czy zawartość udziału Sysvol jest spójna.

      Sprawdź, czy część zasad grupy systemu plików jest spójna. Można użyć Gpotool.exe z zestawu Resource Kit, aby określić, czy istnieją niespójności w zasadach w domenie. Użyj funkcji Healthcheck z narzędzi obsługi systemu Windows Server 2003, aby określić, czy zestawy replik udziałów Sysvol działają poprawnie w każdej domenie.

      Jeśli zawartość udziału Sysvol jest niespójna, rozwiąż wszystkie niespójności.

    4. Użyj Dcdiag.exe z narzędzi pomocy technicznej, aby sprawdzić, czy wszystkie kontrolery domeny mają udostępnione udziały Netlogon i Sysvol. W tym celu wpisz następujące polecenie w wierszu polecenia:

      DCDIAG.EXE /e /test:frssysvol

    5. Spis ról operacji.

      Wzorce operacji schematu i infrastruktury służą do wprowadzania zmian schematu lasu i całego domeny w lesie i jego domenach, które są wprowadzane przez narzędzie adprep systemu Windows Server 2003. Sprawdź, czy kontroler domeny hostujący rolę schematu i rolę infrastruktury dla każdej domeny w lesie znajdują się na kontrolerach domeny na żywo i czy każdy właściciel roli wykonał replikację przychodzącą na wszystkich partycjach od czasu ostatniego ponownego uruchomienia.

      Polecenie DCDIAG /test:FSMOCHECK może służyć do wyświetlania ról operacyjnych obejmujących cały las i domenę. Role wzorca operacji, które znajdują się na nieistniejących kontrolerach domeny, należy przejąć do kontrolera domeny w dobrej kondycji przy użyciu narzędzia NTDSUTIL. Role, które znajdują się na kontrolerach domeny w złej kondycji, powinny być przenoszone, jeśli to możliwe. W przeciwnym razie należy je przejąć. Polecenie NETDOM QUERY FSMO nie identyfikuje ról FSMO, które znajdują się na usuniętych kontrolerach domeny.

      Sprawdź, czy od ostatniego rozruchu przeprowadzono replikację przychodzącą usługi Active Directory. Replikację przychodzącą można zweryfikować za pomocą REPADMIN /SHOWREPS DCNAME polecenia , gdzie DCNAME jest nazwą komputera NetBIOS lub w pełni kwalifikowaną nazwą komputera kontrolera domeny. Aby uzyskać więcej informacji na temat wzorców operacji i ich umieszczania, kliknij następujące numery artykułów, aby wyświetlić artykuły w bazie wiedzy Microsoft Knowledge Base:

      197132 ról fsMO usługi Active Directory w systemie Windows 2000

      223346 umieszczanie i optymalizacja FSMO na kontrolerach domeny usługi Active Directory

    6. Przegląd dziennika zdarzeń

      Sprawdź dzienniki zdarzeń na wszystkich kontrolerach domeny pod kątem problematycznych zdarzeń. Dzienniki zdarzeń nie mogą zawierać poważnych komunikatów o zdarzeniach, które wskazują problem z żadnym z następujących procesów i składników:

      łączność fizyczna
      łączność sieciowa
      rejestracja nazw
      rozpoznawanie nazw
      uwierzytelnianie
      Zasady grupy
      zasady zabezpieczeń
      podsystem dysku
      schema
      topology
      aparat replikacji

    7. Spis miejsca na dysku

      Wolumin hostujący plik bazy danych usługi Active Directory Ntds.dit musi mieć wolne miejsce równe co najmniej 15–20% rozmiaru pliku Ntds.dit. Wolumin hostujący plik dziennika usługi Active Directory musi również mieć wolne miejsce równe co najmniej 15–20% rozmiaru pliku Ntds.dit. Aby uzyskać więcej informacji na temat zwalniania dodatkowego miejsca na dysku, zobacz sekcję "Kontrolery domeny bez wystarczającej ilości miejsca na dysku" w tym artykule.

    8. Scavenging DNS (opcjonalnie)

      Włącz scavenging DNS w 7-dniowych interwałach dla wszystkich serwerów DNS w lesie. Aby uzyskać najlepsze wyniki, wykonaj tę operację przez 61 lub więcej dni przed uaktualnieniem systemu operacyjnego. Zapewnia to demona oczyszczania DNS wystarczająco dużo czasu, aby odśmiecać przestarzałe obiekty DNS, gdy defragmentacja offline jest wykonywana w pliku Ntds.dit.

    9. Wyłączanie usługi serwera DLT (opcjonalnie)

      Usługa SERWERA DLT jest wyłączona w nowych i uaktualnionych instalacjach kontrolerów domeny systemu Windows Server 2003. Jeśli śledzenie linków rozproszonych nie jest używane, możesz wyłączyć usługę serwera DLT na kontrolerach domeny systemu Windows 2000 i rozpocząć usuwanie obiektów DLT z każdej domeny w lesie. Aby uzyskać więcej informacji, zobacz sekcję "Zalecenia firmy Microsoft dotyczące śledzenia linków rozproszonych" w następującym artykule w bazie wiedzy Microsoft Knowledge Base: 312403 rozproszone śledzenie linków na kontrolerach domeny opartych na systemie Windows

    10. Kopia zapasowa stanu systemu

      Utwórz kopię zapasową stanu systemu co najmniej dwóch kontrolerów domeny w każdej domenie w lesie. Możesz użyć kopii zapasowej, aby odzyskać wszystkie domeny w lesie, jeśli uaktualnienie nie zadziała.

Microsoft Exchange 2000 w lasach systemu Windows 2000

Uwaga 16.

  • Jeśli program Exchange 2000 Server jest zainstalowany lub zostanie zainstalowany, w lesie systemu Windows 2000 przeczytaj tę sekcję przed uruchomieniem polecenia systemu Windows Server 2003 adprep /forestprep .
  • Jeśli zostaną zainstalowane zmiany schematu programu Microsoft Exchange Server 2003, przejdź do sekcji "Przegląd: uaktualnianie kontrolerów domeny systemu Windows 2000 do systemu Windows Server 2003" przed uruchomieniem poleceń systemu Windows Server 2003 adprep .

Schemat programu Exchange 2000 definiuje trzy atrybuty inetOrgPerson z niezgodnymi atrybutami LDAPDisplayName (RFC): houseIdentifier, sekretarz i labeledURI.

Zestaw inetOrgPerson systemu Windows 2000 i polecenie systemu Windows Server 2003 adprep definiują wersje RFC-skarżące te same trzy atrybuty z identycznymi atrybutami LDAPDisplayNames co wersje niezgodne z RFC.

Gdy polecenie systemu Windows Server 2003 adprep /forestprep jest uruchamiane bez skryptów naprawczych w lesie zawierającym systemy Windows 2000 i Exchange 2000 zmiany schematu, atrybuty LDAPDisplayName dla houseIdentifier, oznaczone etykietą i atrybuty sekretarz stają się mangled. Atrybut staje się "mangled", jeśli "Dup" lub inne unikatowe znaki są dodawane na początku nazwy atrybutu powodującego konflikt, aby obiekty i atrybuty w katalogu miały unikatowe nazwy.

Lasy usługi Active Directory nie są narażone na mangled LDAPDisplayNames dla tych atrybutów w następujących przypadkach:

  • Jeśli uruchomisz polecenie systemu Windows Server 2003 adprep /forestprep w lesie zawierającym schemat systemu Windows 2000 przed dodaniem schematu programu Exchange 2000.
  • Jeśli zainstalujesz schemat programu Exchange 2000 w lesie, który został utworzony, w którym kontroler domeny systemu Windows Server 2003 był pierwszym kontrolerem domeny w lesie.
  • Jeśli dodasz zestaw inetOrgPerson systemu Windows 2000 do lasu zawierającego schemat systemu Windows 2000, a następnie zainstalujesz zmiany schematu programu Exchange 2000, a następnie uruchomisz polecenie systemu Windows Server 2003 adprep /forestprep .
  • Jeśli dodasz schemat programu Exchange 2000 do istniejącego lasu systemu Windows 2000, uruchom program Exchange 2003 /forestprep przed uruchomieniem polecenia systemu Windows Server 2003 adprep /forestprep .

Atrybuty mangled będą występować w systemie Windows 2000 w następujących przypadkach:

  • Jeśli dodasz wersje programu Exchange 2000 oznaczonego identyfikatoremURI, houseIdentifier i sekretarz atrybutów do lasu systemu Windows 2000 przed zainstalowaniem zestawu inetOrgPerson systemu Windows 2000.
  • Przed uruchomieniem polecenia systemu Windows Server 2003 należy dodać wersje z etykietą houseIdentifier, houseIdentifier i sekretarz atrybuty do lasu systemu Windows 2000 przed uruchomieniem polecenia systemu Windows Server 2003 adprep /forestprep bez wcześniejszego uruchomienia skryptów oczyszczania. Plany działania dla każdego scenariusza są następujące:

Scenariusz 1. Zmiany schematu programu Exchange 2000 są dodawane po uruchomieniu polecenia adprep /forestprep systemu Windows Server 2003

Jeśli zmiany schematu programu Exchange 2000 zostaną wprowadzone do lasu systemu Windows 2000 po uruchomieniu polecenia systemu Windows Server 2003 adprep /forestprep , nie jest wymagane czyszczenie. Przejdź do sekcji "Przegląd: uaktualnianie kontrolerów domeny systemu Windows 2000 do systemu Windows Server 2003".

Scenariusz 2. Zmiany schematu programu Exchange 2000 zostaną zainstalowane przed poleceniem adprep /forestprep systemu Windows Server 2003

Jeśli zmiany schematu programu Exchange 2000 zostały już zainstalowane, ale nie uruchomiono polecenia systemu Windows Server 2003 adprep /forestprep , rozważ następujący plan działania:

  1. Zaloguj się do konsoli wzorca operacji schematu przy użyciu konta, które jest członkiem grupy zabezpieczeń Administratorzy schematu.

  2. Kliknij przycisk Start, kliknij przycisk Uruchom, wpisz notepad.exe w polu Otwórz, a następnie kliknij przycisk OK.

  3. Skopiuj następujący tekst, w tym łącznik końcowy po "schemaUpdateNow: 1" do Notatnika.

    dn: CN=ms-Exch-Assistant-Name,CN=Schema,CN=Configuration,DC=X
    changetype: Modify
    replace:LDAPDisplayName
    LDAPDisplayName: msExchAssistantName
    -

    dn: CN=ms-Exch-LabeledURI,CN=Schema,CN=Configuration,DC=X
    changetype: Modify
    replace: LDAPDisplayName
    LDAPDisplayName: msExchLabeledURI
    -

    dn: CN=ms-Exch-House-Identifier,CN=Schema,CN=Configuration,DC=X
    changetype: Modify
    replace: LDAPDisplayName
    LDAPDisplayName: msExchHouseIdentifier
    -

    Dn:
    changetype: Modify
    add: schemaUpdateNow
    schemaUpdateNow: 1
    -

  4. Upewnij się, że na końcu każdego wiersza nie ma spacji.

  5. W menu Plik kliknij polecenie Zapisz. W oknie dialogowym Zapisz jako wykonaj następujące kroki:

    1. W polu Nazwa pliku wpisz następujące polecenie: \%userprofile%\InetOrgPersonPrevent.ldf
    2. W polu Zapisz jako typ kliknij pozycję Wszystkie pliki.
    3. W polu Kodowanie kliknij pozycję Unicode.
    4. Kliknij przycisk Zapisz.
    5. Zamknij Notatnik.

  6. Uruchom skrypt InetOrgPersonPrevent.ldf.

    1. Kliknij przycisk Start, kliknij przycisk Uruchom, wpisz polecenie cmd w polu Otwórz, a następnie kliknij przycisk OK.

    2. W wierszu polecenia wpisz następujące polecenie, a następnie naciśnij ENTER: cd %userprofile%

    3. Wpisz następujące polecenie

    c:\documents and settings\%username%>ldifde -i -f inetorgpersonprevent.ldf -v -c DC=X "domain name path for forest root domain"

    Uwagi dotyczące składni:

    • DC=X jest stałą uwzględniającą wielkość liter.
    • Ścieżka nazwy domeny dla domeny głównej musi być ujęta w cudzysłów.

    Na przykład składnia polecenia lasu usługi Active Directory, którego domena główna lasu to TAILSPINTOYS.COM :

    c:\documents and settings\administrator>ldifde -i -f inetorgpersonprevent.ldf -v -c DC=X "dc=tailspintoys,dc=com"

    Uwaga 16.

    Jeśli zostanie wyświetlony następujący komunikat o błędzie: Aktualizacja schematu nie jest dozwolona na tym kontrolerze domeny, ponieważ klucz rejestru nie jest ustawiony lub kontroler domeny nie jest właścicielem roli FSMO schematu.

  7. Przed uruchomieniem poleceń systemu Windows Server 2003 adprep /forestprep sprawdź, czy atrybuty LDAPDisplayName dla cn=ms-Exch-Assistant-Name, CN=ms-Exch-House-Identifier w kontekście nazewnictwa schematu są teraz wyświetlane jako msExchAssistantName, msExchLabeledURI i msExchHouseIdentifier.

  8. Przejdź do sekcji "Przegląd: uaktualnianie kontrolerów domeny systemu Windows 2000 do systemu Windows Server 2003", aby uruchomić adprep /forestprep polecenia i /domainprep .

Scenariusz 3. Polecenie forestprep systemu Windows Server 2003 zostało uruchomione bez wcześniejszego uruchomienia polecenia inetOrgPersonFix

Jeśli uruchomisz polecenie systemu Windows Server 2003 adprep /forestprep w lesie systemu Windows 2000 zawierającym zmiany schematu programu Exchange 2000, atrybuty LDAPDisplayName dla houseIdentifier, secretary i labeledURI staną się mangled. Aby zidentyfikować nazwy mangled, użyj Ldp.exe, aby zlokalizować atrybuty, których dotyczy problem:

  1. Zainstaluj Ldp.exe z folderu Support\Tools nośnika systemu Microsoft Windows 2000 lub Windows Server 2003.

  2. Uruchom Ldp.exe z kontrolera domeny lub komputera członkowskiego w lesie.

    1. W menu Połączenie kliknij przycisk Połącz, pozostaw puste pole Serwer, wpisz 389 w polu Port, a następnie kliknij przycisk OK.
    2. W menu Połączenie kliknij pozycję Wiązanie, pozostaw wszystkie pola puste, a następnie kliknij przycisk OK.

  3. Zapisz ścieżkę nazwy wyróżniającej atrybutu SchemaNamingContext. Na przykład w przypadku kontrolera domeny w lesie CORP.ADATUM.COM ścieżka nazwy wyróżniającej może być CN=Schema,CN=Configuration,DC=corp,DC=company,DC=com.

  4. W menu Przeglądaj kliknij pozycję Wyszukaj.

  5. Użyj następujących ustawień, aby skonfigurować okno dialogowe Wyszukiwanie :

    • Podstawowa nazwa wyróżniająca: ścieżka nazwy wyróżniającej kontekstu nazewnictwa schematu, który jest identyfikowany w kroku 3.
    • Filtr: (ldapdisplayname=dup*)
    • Zakres: Poddrzewo

  6. Atrybuty houseIdentifier, sekretarz i labeledURI mają atrybuty LDAPDisplayName podobne do następującego formatu:

    LDAPDisplayName: DUP-labeledURI-9591bbd3-d2a6-4669-afda-48af7c35507d;
    LDAPDisplayName: DUP-secretary-c5a1240d-70c0-455c-9906-a4070602f85f
    LDAPDisplayName: DUP-houseIdentifier-354b0ca8-9b6c-4722-aae7-e66906cc9eef

  7. Jeśli atrybut LDAPDisplayNames dla atrybutów labeledURI, sekretarz i houseIdentifier zostały mangled w kroku 6, uruchom skrypt InetOrgPersonFix.ldf systemu Windows Server 2003, aby odzyskać, a następnie przejdź do sekcji "Uaktualnianie kontrolerów domeny systemu Windows 2000 za pomocą Winnt32.exe".

    1. Utwórz folder o nazwie %Systemdrive%\IOP, a następnie wyodrębnij plik InetOrgPersonFix.ldf do tego folderu.

    2. W wierszu polecenia wpisz cd %systemdrive%\iop.

    3. Wyodrębnij plik InetOrgPersonFix.ldf z pliku Support.cab znajdującego się w folderze Support\Tools nośnika instalacyjnego systemu Windows Server 2003.

    4. W konsoli wzorca operacji schematu załaduj plik InetOrgPersonFix.ldf przy użyciu Ldifde.exe, aby poprawić atrybut LdapDisplayName atrybutu houseIdentifier, secretary i labeledURI. W tym celu wpisz następujące polecenie, gdzie <X> jest stałą wrażliwą na wielkość liter i <ścieżką dn dla domeny głównej lasu jest ścieżka nazwy domeny dla domeny> głównej lasu:

      C:\IOP>ldifde -i -f inetorgpersonfix.ldf -v -c DC=X "domain name path for forest root domain"

      Uwagi dotyczące składni:

      • DC=X jest stałą uwzględniającą wielkość liter.
      • Ścieżka nazwy domeny dla domeny głównej lasu musi być ujęta w cudzysłów.

  8. Przed zainstalowaniem programu Exchange 2000 sprawdź, czy atrybuty houseIdentifier, secretary i labeledURI w kontekście nazewnictwa schematu nie są "mangled".

Omówienie: uaktualnianie kontrolerów domeny systemu Windows 2000 do systemu Windows Server 2003

Polecenie systemu Windows Server 2003 adprep uruchamiane z folderu \I386 nośnika systemu Windows Server 2003 przygotowuje las systemu Windows 2000 i jego domeny do dodawania kontrolerów domeny systemu Windows Server 2003. Polecenie systemu Windows Server 2003 adprep /forestprep dodaje następujące funkcje:

  • Ulepszone domyślne deskryptory zabezpieczeń dla klas obiektów

  • Nowe atrybuty użytkownika i grupy

  • Nowe obiekty schematu i atrybuty, takie jak inetOrgPersonZadanie adprep obsługuje dwa argumenty wiersza polecenia:

    • adprep /forestprep: Uruchamia operacje uaktualniania lasu.
    • dprep /domainprep: uruchamia operacje uaktualniania domeny.

Polecenie adprep /forestprep jest jednorazową operacją wykonywaną na serwerze głównym operacji schematu (FSMO) lasu. Operacja forestprep musi zostać ukończona i zreplikowana do wzorca infrastruktury każdej domeny przed uruchomieniem adprep /domainprep w tej domenie.

Polecenie adprep /domainprep jest jednorazową operacją uruchamianą na głównym kontrolerze domeny operacji infrastruktury dla każdej domeny w lesie, która będzie hostować nowe lub uaktualnione kontrolery domeny systemu Windows Server 2003. Polecenie adprep /domainprep sprawdza, czy zmiany z forestprep zostały zreplikowane w partycji domeny, a następnie wprowadza własne zmiany w partycji domeny i zasad grupy w udziale Sysvol.

Nie można wykonać żadnej z następujących akcji, chyba że operacje /forestprep i /domainprep zostały ukończone i zreplikowane do wszystkich kontrolerów domeny w tej domenie:

  • Uaktualnij kontrolery domeny systemu Windows 2000 do kontrolerów domeny systemu Windows Server 2003 przy użyciu Winnt32.exe.

Uwaga 16.

Można uaktualnić serwery członkowskie systemu Windows 2000 i komputery do komputerów członkowskich z systemem Windows Server 2003 zawsze, gdy chcesz. Podwyższ poziom nowych kontrolerów domeny systemu Windows Server 2003 do domeny przy użyciu Dcpromo.exe.Domena, która hostuje wzorzec operacji schematu, jest jedyną domeną, w której należy uruchomić zarówno adprep /forestprep , jak i adprep /domainprep. We wszystkich innych domenach należy uruchomić tylko polecenie adprep /domainprep.

Polecenia adprep /forestprep i adprep /domainprep nie dodają atrybutów do zestawu atrybutów częściowych wykazu globalnego ani nie powodują pełnej synchronizacji wykazu globalnego. Wersja RTM programu adprep /domainprep powoduje pełną synchronizację folderu \Policies w drzewie Sysvol. Nawet jeśli uruchamiasz program forestprep i domainprep kilka razy, ukończone operacje są wykonywane tylko raz.

Po wprowadzeniu zmian z adprep /forestprep i adprep /domainprep całkowitej replikacji można uaktualnić kontrolery domeny systemu Windows 2000 do systemu Windows Server 2003, uruchamiając Winnt32.exe z folderu \I386 nośnika systemu Windows Server 2003. Ponadto można dodać nowe kontrolery domeny systemu Windows Server 2003 do domeny przy użyciu Dcpromo.exe.

Uaktualnianie lasu za pomocą polecenia adprep /forestprep

Aby przygotować las i domeny systemu Windows 2000 do akceptowania kontrolerów domeny systemu Windows Server 2003, wykonaj następujące kroki najpierw w środowisku laboratoryjnym, a następnie w środowisku produkcyjnym:

  1. Upewnij się, że wszystkie operacje zostały ukończone w fazie "Spis lasu" ze szczególną uwagą na następujące elementy:

    1. Utworzono kopie zapasowe stanu systemu.
    2. Wszystkie kontrolery domeny systemu Windows 2000 w lesie zainstalowały wszystkie odpowiednie poprawki i dodatki Service Pack.
    3. Kompleksowa replikacja usługi Active Directory odbywa się w całym lesie
    4. Usługa FRS prawidłowo replikuje zasady systemu plików w każdej domenie.

  2. Zaloguj się do konsoli wzorca operacji schematu przy użyciu konta, które jest członkiem grupy zabezpieczeń Administratorzy schematu.

  3. Sprawdź, czy schemat FSMO wykonał replikację przychodzącą partycji schematu, wpisując następujące polecenie w wierszu polecenia systemu Windows NT: repadmin /showreps

    (repadmin jest instalowany przez folder Support\Tools usługi Active Directory).

  4. Wczesna dokumentacja firmy Microsoft zaleca izolowanie wzorca operacji schematu w sieci prywatnej przed uruchomieniem polecenia adprep /forestprep. Środowisko rzeczywiste sugeruje, że ten krok nie jest konieczny i może spowodować, że wzorzec operacji schematu odrzuci zmiany schematu po ponownym uruchomieniu w sieci prywatnej.

  5. Uruchom polecenie adprep na wzorcu operacji schematu. W tym celu kliknij przycisk Start, kliknij przycisk Uruchom, wpisz cmd, a następnie kliknij przycisk OK. Na wzorcu operacji schematu wpisz następujące polecenie:

     X:\I386\adprep /forestprep

    gdzie X:\I386\ to ścieżka nośnika instalacyjnego systemu Windows Server 2003. To polecenie uruchamia uaktualnienie schematu całego lasu.

    Uwaga 16.

    Zdarzenia o identyfikatorze zdarzenia 1153, które są rejestrowane w dzienniku zdarzeń usługi katalogowej, takie jak przykład poniżej, można zignorować:

  6. Sprawdź, adprep /forestprep czy polecenie pomyślnie uruchomiono na wzorcu operacji schematu. W tym celu z poziomu konsoli wzorca operacji schematu sprawdź następujące elementy: — adprep /forestprep Polecenie zostało ukończone bez błędu. - Obiekt CN=Windows2003Update jest zapisywany w obszarze CN=ForestUpdates,CN=Configuration,DC= forest_root_domain. Zapisz wartość atrybutu Revision. - (Opcjonalnie) Wersja schematu zwiększana do wersji 30. Aby to zrobić, zobacz atrybut ObjectVersion w obszarze CN=Schema,CN=Configuration,DC= forest_root_domain. Jeśli adprep /forestprep nie zostanie uruchomiony, sprawdź następujące elementy:

    • W pełni kwalifikowana ścieżka Adprep.exe znajdująca się w folderze \I386 nośnika instalacyjnego została określona podczas adprep uruchamiania. Aby to zrobić, wpisz następujące polecenie:

      x:\i386\adprep /forestprep

      gdzie x to dysk hostujący nośnik instalacyjny.

    • Zalogowany użytkownik, który uruchamia program adprep, ma członkostwo w grupie zabezpieczeń Administratorzy schematu. Aby to sprawdzić, użyj whoami /all polecenia .

    • Jeśli adprep nadal nie działa, wyświetl plik Adprep.log w folderze %systemroot%\System32\Debug\Adprep\Logs\Latest_log .

  7. Jeśli w kroku 4 wyłączono replikację wychodzącą na serwerze operacji schematu, włącz replikację, aby zmiany schematu wprowadzone przez adprep /forestprep program mogły być propagowane. W tym celu wykonaj następujące czynności:

    1. Kliknij przycisk Start, kliknij przycisk Uruchom, wpisz cmd, a następnie kliknij przycisk OK.
    2. Wpisz następujące polecenie, a następnie naciśnij ENTER: repadmin /options -DISABLE_OUTBOUND_REPL

  8. Sprawdź, adprep /forestprep czy zmiany zostały zreplikowane na wszystkich kontrolerach domeny w lesie. Warto monitorować następujące atrybuty:

    1. Zwiększanie wersji schematu
    2. CN=Windows2003Update, CN=ForestUpdates,CN=Configuration,DC= forest_root_domain lub CN=Operations,CN=DomainUpdates,CN=System,DC= forest_root_domain i identyfikatory GUID operacji, w których zostały zreplikowane.
    3. Wyszukaj nowe klasy schematu, obiekty, atrybuty lub inne zmiany, które adprep /forestprep dodaje, takie jak inetOrgPerson. Wyświetl pliki Sch XX.ldf (gdzie XX jest liczbą z zakresu od 14 do 30) w folderze %systemroot%\System32, aby określić, jakie obiekty i atrybuty powinny istnieć. Na przykład parametr inetOrgPerson jest zdefiniowany w pliku Sch18.ldf.

  9. Wyszukaj mangled LDAPDisplayNames. Jeśli znajdziesz nazwy mangled, przejdź do scenariusza 3 tego samego artykułu.

  10. Zaloguj się do konsoli wzorca operacji schematu przy użyciu konta, które jest członkiem grupy zabezpieczeń grupy Administratorzy schematu lasu, który hostuje wzorzec operacji schematu.

Uaktualnianie domeny za pomocą polecenia adprep /domainprep

Uruchom polecenie adprep /domainprep po zmianie /forestprep w pełni replikować do głównego kontrolera domeny infrastruktury w każdej domenie, która będzie hostować kontrolery domeny systemu Windows Server 2003. W tym celu wykonaj następujące kroki:

  1. Zidentyfikuj główny kontroler domeny infrastruktury w domenie, którą uaktualniasz, a następnie zaloguj się przy użyciu konta, które jest członkiem grupy zabezpieczeń Administratorzy domeny w domenie, którą uaktualniasz.

    Uwaga 16.

    Administrator przedsiębiorstwa może nie być członkiem grupy zabezpieczeń Administratorzy domeny w domenach podrzędnych lasu.

  2. Uruchom polecenie adprep /domainprep na serwerze głównym infrastruktury. W tym celu kliknij przycisk Start, kliknij przycisk Uruchom, wpisz cmd, a następnie na głównym serwerze infrastruktury wpisz następujące polecenie: X:\I386\adprep /domainprep gdzie X:\I386\ jest ścieżką nośnika instalacyjnego systemu Windows Server 2003. To polecenie uruchamia zmiany w domenie docelowej w całej domenie.

    Uwaga 16.

    Polecenie adprep /domainprep modyfikuje uprawnienia plików w udziale Sysvol. Te modyfikacje powodują pełną synchronizację plików w tym drzewie katalogów.

  3. Sprawdź, czy narzędzie domainprep zostało ukończone pomyślnie. W tym celu sprawdź następujące elementy:

    • Polecenie adprep /domainprep zostało ukończone bez błędu.
    • CN=Windows2003Update,CN=DomainUpdates,CN=System,DC= dn ścieżki domeny, którą uaktualniaszadprep /domainprep, nie jest uruchomiona, sprawdź następujące elementy:
    • Zalogowany użytkownik, który uruchamia adprep członkostwo w grupie zabezpieczeń Administratorzy domeny w domenie, którą uaktualniasz. Aby to zrobić, użyj polecenia whoami /all.
    • W pełni kwalifikowana ścieżka Adprep.exe znajdująca się w katalogu \I386 nośnika instalacyjnego została określona podczas uruchamiania adpreppolecenia . W tym celu w wierszu polecenia wpisz następujące polecenie: x :\i386\adprep /forestprep gdzie x to dysk, który hostuje nośnik instalacyjny.
    • Jeśli adprep nadal nie działa, wyświetl plik Adprep.log w folderze %systemroot%\System32\Debug\Adprep\Logs\ Latest_log .

  4. Sprawdź, adprep /domainprep czy zmiany zostały zreplikowane. W tym celu w przypadku pozostałych kontrolerów domeny w domenie sprawdź następujące elementy: - CN=Windows2003Update,CN=DomainUpdates,CN=System,DC= dn ścieżki domeny, którą uaktualniasz , istnieje, a wartość atrybutu Revision odpowiada wartości tego samego atrybutu na wzorzec infrastruktury domeny. - (Opcjonalnie) Wyszukaj dodane zmiany adprep /domainprep dotyczące obiektów, atrybutów lub listy kontroli dostępu (ACL). Powtórz kroki 1–4 dla wzorca infrastruktury pozostałych domen zbiorczo lub podczas dodawania lub uaktualniania kontrolerów domeny w tych domenach do systemu Windows Server 2003. Teraz możesz podwyższyć poziom nowych komputerów z systemem Windows Server 2003 do lasu przy użyciu narzędzia DCPROMO. Możesz też uaktualnić istniejące kontrolery domeny systemu Windows 2000 do systemu Windows Server 2003 przy użyciu WINNT32.EXE.

Uaktualnianie kontrolerów domeny systemu Windows 2000 przy użyciu Winnt32.exe

Po całkowitej replikacji zmian z /forestprep i /domainprep i podjęto decyzję o współdziałaniu zabezpieczeń z klientami wcześniejszych wersji, można uaktualnić kontrolery domeny systemu Windows 2000 do systemu Windows Server 2003 i dodać nowe kontrolery domeny systemu Windows Server 2003 do domeny.

Następujące komputery muszą należeć do pierwszych kontrolerów domeny z systemem Windows Server 2003 w lesie w każdej domenie:

  • Wzorzec nazewnictwa domeny w lesie, aby można było utworzyć domyślne partycje programu DNS.
  • Podstawowy kontroler domeny głównej lasu, tak aby podmioty zabezpieczeń dla całego przedsiębiorstwa, które lasprep systemu Windows Server 2003 są widoczne w edytorze listy ACL.
  • Podstawowy kontroler domeny w każdej domenie innej niż główna, dzięki czemu można utworzyć nowe podmioty zabezpieczeń systemu Windows 2003 specyficzne dla domeny. W tym celu należy użyć WINNT32, aby uaktualnić istniejące kontrolery domeny hostujące odpowiednią rolę operacyjną. Możesz też przenieść rolę do nowo promowanego kontrolera domeny systemu Windows Server 2003. Wykonaj następujące kroki dla każdego kontrolera domeny systemu Windows 2000, który uaktualniasz do systemu Windows Server 2003 za pomocą WINNT32 i dla każdego komputera roboczego systemu Windows Server 2003 lub komputera członkowskiego, który promujesz:

  1. Przed użyciem WINNT32 do uaktualnienia komputerów członkowskich i kontrolerów domeny systemu Windows 2000 usuń narzędzia administracyjne systemu Windows 2000. W tym celu użyj narzędzia Dodaj/Usuń programy w Panel sterowania. (Tylko uaktualnienia systemu Windows 2000).

  2. Zainstaluj wszystkie pliki poprawek lub inne poprawki, które firma Microsoft lub administrator określi, jest ważna.

  3. Sprawdź każdy kontroler domeny pod kątem możliwych problemów z uaktualnieniem. W tym celu uruchom następujące polecenie z folderu \I386 nośnika instalacyjnego: winnt32.exe /checkupgradeonly Rozwiąż wszelkie problemy, które identyfikuje sprawdzanie zgodności.

  4. Uruchom WINNT32.EXE z folderu \I386 nośnika instalacyjnego i uruchom ponownie uaktualniony kontroler domeny 2003.

  5. Obniż ustawienia zabezpieczeń dla klientów starszych wersji zgodnie z wymaganiami.

    Jeśli klienci systemu Windows NT 4.0 nie mają klientów NT 4.0 SP6 lub Windows 95 nie mają zainstalowanego klienta usługi katalogowej, wyłącz podpisywanie usługi SMB na domyślnych kontrolerach domeny zasad w jednostce organizacyjnej Kontrolery domeny, a następnie połącz te zasady ze wszystkimi jednostkami organizacyjnymi hostujących kontrolery domeny. Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń\Microsoft Network Server: podpisuj cyfrowo komunikację (zawsze)

  6. Sprawdź kondycję uaktualnienia przy użyciu następujących punktów danych:

    • Uaktualnienie zostało ukończone pomyślnie.
    • Poprawki dodane do instalacji zostały pomyślnie zastąpione oryginalnymi plikami binarnymi.
    • Replikacja ruchu przychodzącego i wychodzącego usługi Active Directory odbywa się dla wszystkich kontekstów nazewnictwa przechowywanych przez kontroler domeny.
    • Istnieją udziały Netlogon i Sysvol.
    • Dziennik zdarzeń wskazuje, że kontroler domeny i jego usługi są w dobrej kondycji.

    Uwaga 16.

    Po uaktualnieniu może zostać wyświetlony następujący komunikat o zdarzeniu: Możesz bezpiecznie zignorować ten komunikat o zdarzeniu.

  7. Zainstaluj narzędzia administracyjne systemu Windows Server 2003 (uaktualnienia systemu Windows 2000 i tylko kontrolery innych niż domeny systemu Windows Server 2003). Adminpak.msi znajduje się w folderze \I386 dysku CD-ROM systemu Windows Server 2003. Nośnik systemu Windows Server 2003 zawiera zaktualizowane narzędzia pomocy technicznej w pliku Support\Tools\Suptools.msi. Upewnij się, że ponownie zainstalujesz ten plik.

  8. Utwórz nowe kopie zapasowe co najmniej dwóch pierwszych dwóch kontrolerów domeny systemu Windows 2000 uaktualnionych do systemu Windows Server 2003 w każdej domenie w lesie. Zlokalizuj kopie zapasowe komputerów z systemem Windows 2000 uaktualnionych do systemu Windows Server 2003 w zablokowanym magazynie, aby nie można było ich przypadkowo użyć do przywrócenia kontrolera domeny z systemem Windows Server 2003.

  9. (Opcjonalnie) Przeprowadź defragmentację bazy danych usługi Active Directory w trybie offline na kontrolerach domeny uaktualnionych do systemu Windows Server 2003 po zakończeniu uaktualniania pojedynczego magazynu wystąpień (SIS) (tylko uaktualnienia systemu Windows 2000).

    Sis przegląda istniejące uprawnienia do obiektów przechowywanych w usłudze Active Directory, a następnie stosuje bardziej wydajny deskryptor zabezpieczeń dla tych obiektów. System SIS jest uruchamiany automatycznie (zidentyfikowany przez zdarzenie 1953 w dzienniku zdarzeń usługi katalogowej) po pierwszym uruchomieniu systemu operacyjnego Windows Server 2003 na uaktualnionych kontrolerach domeny. Można korzystać z ulepszonego magazynu deskryptora zabezpieczeń tylko wtedy, gdy rejestrujesz komunikat o zdarzeniu o identyfikatorze 1966 w dzienniku zdarzeń usługi katalogowej: ten komunikat o zdarzeniu wskazuje, że operacja magazynu pojedynczego wystąpienia została ukończona i służy jako kolejka administrator do wykonania defragmentacji offline ntds.dit przy użyciu NTDSUTIL.EXE.

    Defragmentacja w trybie offline może zmniejszyć rozmiar pliku Ntds.dit systemu Windows 2000 o maksymalnie 40%, poprawić wydajność usługi Active Directory i zaktualizować strony w bazie danych w celu bardziej wydajnego przechowywania atrybutów Link Valued. Aby uzyskać więcej informacji na temat defragmentacji bazy danych usługi Active Directory, kliknij następujący numer artykułu, aby wyświetlić artykuł w bazie wiedzy Microsoft Knowledge Base:

    232122 wykonywanie defragmentacji w trybie offline bazy danych usługi Active Directory

  10. Zbadaj usługę serwera DLT. Kontrolery domeny systemu Windows Server 2003 wyłączają usługę SERWERA DLT podczas instalacji nowych i uaktualnień. Jeśli klienci systemu Windows 2000 lub Windows XP w organizacji korzystają z usługi DLT Server, użyj zasad grupy, aby włączyć usługę DLT Server na nowych lub uaktualnionych kontrolerach domeny systemu Windows Server 2003. W przeciwnym razie przyrostowe usuwanie obiektów śledzenia linków rozproszonych z usługi Active Directory. Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:

    312403 rozproszone śledzenie linków na kontrolerach domeny opartych na systemie Windows

    Jeśli zbiorczo usuniesz tysiące obiektów DLT lub innych obiektów, możesz zablokować replikację z powodu braku magazynu wersji. Zaczekaj na ukończenie funkcji tombstonelifetime liczbę dni (domyślnie 60 dni) po usunięciu ostatniego obiektu DLT i zakończeniu odzyskiwania pamięci, a następnie użyj NTDSUTIL.EXE, aby wykonać defragmentację offline pliku Ntds.dit.

  11. Skonfiguruj strukturę jednostki organizacyjnej najlepszych rozwiązań. Firma Microsoft zaleca, aby administratorzy aktywnie wdrażali strukturę jednostki organizacyjnej najlepszych rozwiązań we wszystkich domenach usługi Active Directory, a po uaktualnieniu lub wdrożeniu kontrolerów domeny systemu Windows Server 2003 w trybie domeny systemu Windows przekieruj domyślne kontenery używane przez interfejsy API starszej wersji do tworzenia użytkowników, komputerów i grup do kontenera jednostki organizacyjnej, który określa administrator.

    Aby uzyskać dodatkowe informacje na temat struktury jednostki organizacyjnej najlepszych rozwiązań, zapoznaj się z sekcją "Tworzenie projektu jednostki organizacyjnej" w dokumencie "Best Practice Active Directory Design for Managing Windows Networks" (Najlepsze rozwiązanie dotyczące projektowania usługi Active Directory do zarządzania sieciami systemu Windows). Aby wyświetlić oficjalny dokument, odwiedź następującą witrynę sieci Web firmy Microsoft: https://technet.microsoft.com/library/bb727085.aspx Aby uzyskać więcej informacji na temat zmiany domyślnego kontenera, w którym znajdują się użytkownicy, komputery i grupy utworzone we wcześniejszej wersji interfejsów API, kliknij następujący numer artykułu, aby wyświetlić artykuł w bazie wiedzy Microsoft Knowledge Base:

    324949 przekierowywanie kontenerów użytkowników i komputerów w domenach systemu Windows Server 2003

  12. Powtórz kroki od 1 do 10 zgodnie z wymaganiami dla każdego nowego lub uaktualnionego kontrolera domeny systemu Windows Server 2003 w lesie i krok 11 (struktura jednostki organizacyjnej Best Practice) dla każdej domeny usługi Active Directory.

    W podsumowaniu:

    • Uaktualnij kontrolery domeny systemu Windows 2000 przy użyciu WINNT32 (z nośnika instalacyjnego poślizgowego, jeśli jest używany)
    • Sprawdź, czy pliki poprawek zostały zainstalowane na uaktualnionych komputerach
    • Zainstaluj wszelkie wymagane poprawki, które nie znajdują się na nośniku instalacyjnym
    • Sprawdź kondycję nowych lub uaktualnionych serwerów (AD, FRS, Policy itd.)
    • Poczekaj 24 godziny po uaktualnieniu systemu operacyjnego, a następnie defragmentacja w trybie offline (opcjonalnie)
    • Uruchom usługę DLT, jeśli musisz, w przeciwnym razie usuń obiekty DLT przy użyciu q312403 / q315229 po domenie obejmującej las
    • Wykonaj defragmentowanie w trybie offline 60+ dni (okres istnienia grobowca i odzyskiwanie pamięci # dni) po usunięciu obiektów DLT

Uaktualnienia przebiegu próbnego w środowisku laboratoryjnym

Przed uaktualnieniem kontrolerów domeny systemu Windows do produkcyjnej domeny systemu Windows 2000 zweryfikuj i uściślij proces uaktualniania w laboratorium. Jeśli uaktualnienie środowiska laboratoryjnego, które dokładnie dubluje las produkcyjny, działa bezproblemowo, możesz oczekiwać podobnych wyników w środowiskach produkcyjnych. W przypadku złożonych środowisk środowisko laboratoryjne musi odzwierciedlać środowisko produkcyjne w następujących obszarach:

  • Sprzęt: typ komputera, rozmiar pamięci, umieszczanie plików strony, rozmiar dysku, wydajność i konfiguracja raidu, poziomy poprawek systemu BIOS i oprogramowania układowego
  • Oprogramowanie: wersje systemu operacyjnego klienta i serwera, aplikacje klienckie i serwerowe, wersje dodatku Service Pack, poprawki, zmiany schematu, grupy zabezpieczeń, członkostwa w grupach, uprawnienia, ustawienia zasad, typ liczby obiektów i lokalizacja, współdziałanie wersji
  • Infrastruktura sieci: WINS, DHCP, szybkość połączenia, dostępna przepustowość
  • Ładowanie: symulatory ładowania mogą symulować zmiany haseł, tworzenie obiektów, replikację usługi Active Directory, uwierzytelnianie logowania i inne zdarzenia. Celem nie jest odtworzenie skali środowiska produkcyjnego. Zamiast tego celem jest odnalezienie kosztów i częstotliwości typowych operacji oraz interpolowanie ich skutków (zapytania nazw, ruch replikacji, przepustowość sieci i użycie procesora) w środowisku produkcyjnym na podstawie bieżących i przyszłych wymagań.
  • Administracja: zadania wykonywane, używane narzędzia, używane systemy operacyjne
  • Operacja: pojemność, współdziałanie
  • Miejsce na dysku: Zanotuj rozmiar początkowy, szczytowy i końcowy systemu operacyjnego Ntds.dit oraz pliki dziennika usługi Active Directory w wykazie globalnym i kontrolerach domeny wykazu innego niż globalny w każdej domenie po każdej z następujących operacji:
    1. adprep /forestprep
    2. adprep /domainprep
    3. Uaktualnianie kontrolerów domeny systemu Windows 2000 do systemu Windows Server 2003
    4. Przeprowadzanie defragmentacji offline po uaktualnieniu wersji

Zrozumienie procesu uaktualniania i złożoności środowiska w połączeniu ze szczegółową obserwacją określa tempo i stopień opieki stosowanej do uaktualniania środowisk produkcyjnych. Środowiska z niewielką liczbą kontrolerów domeny i obiektów usługi Active Directory połączonych za pośrednictwem łączy sieci rozległej o wysokiej dostępności (WAN) mogą zostać uaktualnione w ciągu zaledwie kilku godzin. Może być konieczne bardziej dbanie o wdrożenia przedsiębiorstwa, które mają setki kontrolerów domeny lub setki tysięcy obiektów usługi Active Directory. W takich przypadkach można przeprowadzić uaktualnienie w ciągu kilku tygodni lub miesięcy.

Użyj uaktualnień "Dry-run" w laboratorium, aby wykonać następujące zadania:

  • Zapoznaj się z wewnętrznymi funkcjami procesu uaktualniania i powiązanymi zagrożeniami.
  • Uwidaczniaj potencjalne obszary problemów dla procesu wdrażania w danym środowisku.
  • Testowanie i opracowywanie planów rezerwowych w przypadku, gdy uaktualnienie nie powiedzie się.
  • Zdefiniuj odpowiedni poziom szczegółowości, który ma dotyczyć procesu uaktualniania domeny produkcyjnej.

Kontrolery domeny bez wystarczającej ilości miejsca na dysku

Na kontrolerach domeny z niewystarczającą ilością miejsca na dysku wykonaj następujące kroki, aby zwolnić dodatkowe miejsce na woluminie, który hostuje pliki Ntds.dit i Log:

  1. Usuń nieużywane pliki, w tym pliki *.tmp lub pliki buforowane używane przez przeglądarki internetowe. W tym celu wpisz następujące polecenia (naciśnij ENTER po każdym poleceniu):

    cd /d drive\  
del *.tmp /s

  2. Usuń wszystkie pliki zrzutu użytkownika lub pamięci. W tym celu wpisz następujące polecenia (naciśnij ENTER po każdym poleceniu):

    cd /d drive\  
del *.dmp /s

  3. Tymczasowo usuń lub przenieś pliki, do których można uzyskać dostęp z innych serwerów lub można je łatwo zainstalować. Pliki, które można usunąć i łatwo zastąpić, obejmują ADMINPAK, Narzędzia pomocy technicznej i wszystkie pliki w folderze %systemroot%\System32\Dllcache.

  4. Usuń stare lub nieużywane profile użytkowników. W tym celu kliknij przycisk Start, kliknij prawym przyciskiem myszy pozycję Mój komputer, kliknij polecenie Właściwości, kliknij kartę Profile użytkowników, a następnie usuń wszystkie profile, które są przeznaczone dla starych i nieużywanych kont. Nie usuwaj żadnych profilów, które mogą być przeznaczone dla kont usług.

  5. Usuń symbole w folderze %systemroot%\Symbols. W tym celu wpisz następujące polecenie: rd /s %systemroot%\symbols w zależności od tego, czy serwery mają pełny lub mały zestaw symboli, może to spowodować uzyskanie około 70 MB do 600 MB.

  6. Przeprowadź defragmentację offline. Defragmentacja pliku Ntds.dit w trybie offline może zwolnić miejsce, ale tymczasowo wymaga dwukrotnego miejsca w bieżącym pliku DIT. Wykonaj defragmentuj w trybie offline przy użyciu innych woluminów lokalnych, jeśli jest dostępny. Możesz też użyć miejsca na najlepszym połączonym serwerze sieciowym, aby przeprowadzić defragmentację offline. Jeśli miejsce na dysku nadal nie jest wystarczające, przyrostowe usuwanie niepotrzebnych kont użytkowników, kont komputerów, rekordów DNS i obiektów DLT z usługi Active Directory.

Uwaga 16.

Usługa Active Directory nie usuwa obiektów z bazy danych, dopóki liczba dni (domyślnie 60 dni) nie zostanie ukończona, a odzyskiwanie pamięci zakończy się. Jeśli zmniejszysz wartość tombstonelifetime do wartości niższej niż kompleksowa replikacja w lesie, może to spowodować niespójności w usłudze Active Directory.