Обновление контроллеров домена Windows 2000 до Windows Server 2003

  • Статья

В этой статье описывается обновление контроллеров домена Microsoft Windows 2000 до Windows Server 2003 и добавление новых контроллеров домена Windows Server 2003 в домены Windows 2000.

Применяется к: Windows Server 2012 R2
Исходный номер базы знаний: 325379

Аннотация

В этой статье описывается обновление контроллеров домена Microsoft Windows 2000 до Windows Server 2003 и добавление новых контроллеров домена Windows Server 2003 в домены Windows 2000. Дополнительные сведения об обновлении контроллеров домена до Windows Server 2008 или Windows Server 2008 R2 см. на следующем веб-сайте Майкрософт:

Обновление контроллеров домена: служба поддержки Майкрософт для добавления контроллеров домена Windows Server 2008 или Windows Server 2008 R2 в существующие домены

Инвентаризация доменов и лесов

Перед обновлением контроллеров домена Windows 2000 до Windows Server 2003 или перед добавлением новых контроллеров домена Windows Server 2003 в домен Windows 2000 выполните следующие действия.

  1. Инвентаризация клиентов, которые имеют доступ к ресурсам в домене, где размещены контроллеры домена Windows Server 2003, для обеспечения совместимости со подписыванием SMB:

    Каждый контроллер домена Windows Server 2003 включает вход SMB в локальную политику безопасности. Убедитесь, что все сетевые клиенты, использующие протокол SMB/CIFS для доступа к общим файлам и принтерам в доменах, где размещены контроллеры домена Windows Server 2003, можно настроить или обновить для поддержки подписывания SMB. Если это невозможно, временно отключите подписывание SMB до установки обновлений или до тех пор, пока клиенты не будут обновлены до более новых операционных систем, поддерживающих подписывание SMB. Сведения о том, как отключить подписывание SMB, см. в разделе "Отключение подписи SMB " в конце этого шага.

    Планы действий

    В следующем списке показаны планы действий для популярных клиентов SMB:

    • Microsoft Windows Server 2003, Microsoft Windows XP Professional, Microsoft Windows 2000 Server, Microsoft Windows 2000 Professional и Microsoft Windows 98

      Не требуется выполнять никаких действий.

    • Microsoft Windows NT 4.0 Установите пакет обновления 3 или более поздней версии (рекомендуется пакет обновления 6A) на всех компьютерах с Windows NT 4.0, которые имеют доступ к доменам, содержащим компьютеры под управлением Windows Server 2003. Вместо этого временно отключите подписывание SMB на контроллерах домена Windows Server 2003. Сведения о том, как отключить подписывание SMB, см. в разделе "Отключение подписи SMB " в конце этого шага.

    • Microsoft Windows 95

      Установите клиент службы каталогов Windows 9 x на компьютерах под управлением Windows 95 или временно отключите подписывание SMB на контроллерах домена Windows Server 2003. Исходный клиент службы каталогов Win9 x доступен на компакт-диске Windows 2000 Server. Однако эта клиентская надстройка была заменена улучшенным клиентом службы каталогов Win9 x . Сведения о том, как отключить подписывание SMB, см. в разделе "Отключение подписи SMB " в конце этого шага.

    • Сетевой клиент Майкрософт для клиентов MS-DOS и Microsoft LAN Manager

      Сетевой клиент Майкрософт для MS-DOS и сетевой клиент Microsoft LAN Manager 2.x могут использоваться для предоставления доступа к сетевым ресурсам или объединяться с загрузочным гибким диском для копирования файлов операционной системы и других файлов из общего каталога на файловом сервере в рамках процедуры установки программного обеспечения. Эти клиенты не поддерживают подписывание SMB. Используйте альтернативный метод установки или отключите подписывание SMB. Сведения о том, как отключить подписывание SMB, см. в разделе "Отключение подписи SMB " в конце этого шага.

    • Клиенты Macintosh

      Некоторые клиенты Macintosh не совместимы с подписыванием SMB и получат следующее сообщение об ошибке при попытке подключения к сетевому ресурсу:

      — Ошибка -36 ввода-вывода

      Установите обновленное программное обеспечение, если оно доступно. В противном случае отключите подписывание SMB на контроллерах домена Windows Server 2003. Сведения о том, как отключить подписывание SMB, см. в разделе "Отключение подписи SMB " в конце этого шага.

    • Другие сторонние клиенты SMB

      Некоторые сторонние клиенты SMB не поддерживают подписывание SMB. Обратитесь к поставщику SMB, чтобы узнать, существует ли обновленная версия. В противном случае отключите подписывание SMB на контроллерах домена Windows Server 2003.

    Отключение подписи SMB

    Если обновления программного обеспечения не могут быть установлены на затронутых контроллерах домена под управлением Windows 95, Windows NT 4.0 или других клиентах, установленных до появления Windows Server 2003, временно отключите требования к подписи службы SMB в групповая политика, пока не сможете развернуть обновленное клиентское программное обеспечение.

    Вы можете отключить подписывание службы SMB в следующем узле политики контроллеров домена по умолчанию в подразделении контроллеров домена: Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности\Сетевой сервер Майкрософт:

    Обмен данными с цифровой подписью (всегда)

    Если контроллеры домена не находятся в подразделении контроллера домена, необходимо связать объект групповая политика контроллера домена по умолчанию со всеми подразделениями, в которых размещены контроллеры домена Windows 2000 или Windows Server 2003. Также можно настроить вход службы SMB в объект групповой политики, связанный с этими подразделениями.

  2. Инвентаризация контроллеров домена, которые находятся в домене и лесу:

    1. Убедитесь, что все контроллеры домена Windows 2000 в лесу установили все соответствующие исправления и пакеты обновления.

      Корпорация Майкрософт рекомендует, чтобы все контроллеры домена Windows 2000 запускали операционные системы Windows 2000 с пакетом обновления 4 (SP4) или более поздней версии. Если вы не можете полностью развернуть Windows 2000 с пакетом обновления 4 (SP4) или более поздней версии, все контроллеры домена Windows 2000 должны иметь файл Ntdsa.dll с меткой даты и версией позже 4 июня 2001 г. и 5.0.2195.3673.

      По умолчанию средства администрирования Active Directory на клиентских компьютерах Windows 2000 с пакетом обновления 4 (SP4), Windows XP и Windows Server 2003 используют подписывание протокола LDAP. Если такие компьютеры используют (или используют) проверку подлинности NTLM при удаленном администрировании контроллеров домена Windows 2000, подключение не будет работать. Чтобы устранить эту проблему, на удаленно администрируемых контроллерах домена должно быть установлено как минимум Windows 2000 с пакетом обновления 3 (SP3). В противном случае следует отключить подписывание LDAP на клиентах, на которых выполняются средства администрирования.

      В следующих сценариях используется проверка подлинности NTLM:

      • Вы администрируете контроллеры домена Windows 2000, расположенные во внешнем лесу, подключенном к доверию NTLM (не Kerberos).
      • Оснастки консоли управления Майкрософт (MMC) ориентированы на конкретный контроллер домена, на который ссылаются ip-адреса. Например, нажмите кнопку "Пуск", нажмите кнопку "Выполнить" и введите следующую команду: dsa.msc /server=ipaddress

      Чтобы определить операционную систему и уровень редакции пакета обновления контроллеров домена Active Directory в домене Active Directory, установите версию Windows Server 2003 Repadmin.exe на компьютере-члене Windows XP Professional или Windows Server 2003 в лесу, repadmin а затем выполните следующую команду для контроллера домена в каждом домене леса:

      >repadmin /showattr <name of the domain controller that is in the target domain> ncobj:domain: /filter:"(&(objectCategory=computer)(primaryGroupID=516))" /subtree /atts:operatingSystem,operatingSystemVersion,operatingSystemServicePack

DN: CN=NA-DC-01,organizational unit=Domain Controllers,DC=company,DC=com
 1> operatingSystem: Windows Server 2003
 1> operatingSystemVersion: 5.2 (3718)
DN: CN=NA-DC-02,organizational unit=Domain Controllers,DC=company,DC=com
 1> operatingSystem: Windows 2000 Server
 1> operatingSystemVersion: 5.0 (2195)
 1> operatingSystemServicePack: Service Pack 1

      Примечание.

      Атрибуты контроллера домена не отслеживают установку отдельных исправлений.

    2. Проверьте сквозную репликацию Active Directory в лесу.

      Убедитесь, что каждый контроллер домена в обновленном лесу реплицирует все локально хранимые контексты именования с партнерами согласованно с расписанием, заданным ссылками на сайт или объектами подключения. Используйте версию windows Server 2003 Repadmin.exe на компьютере-члене под управлением Windows XP или Windows Server 2003 в лесу со следующими аргументами: все контроллеры домена в лесу должны реплицировать Active Directory без ошибок, а значения в столбце "Наибольший разностный" выходных данных репадмина не должны быть значительно больше, чем частота репликации на соответствующих ссылках сайта или объектах подключения, используемых заданным доменом назначения. Контроллер.

      Устраните все ошибки репликации между контроллерами домена, которые не удалось реплицировать входящий трафик за меньшее количество дней (TSL) в днях (по умолчанию — 60 дней). Если репликацию невозможно выполнить, может потребоваться принудительно понизить уровень контроллеров домена и удалить их из леса с помощью команды очистки метаданных Ntdsutil, а затем переместить их обратно в лес. Принудительное понижение можно использовать для сохранения как установки операционной системы, так и программ, которые находятся на потерянном контроллере домена. Дополнительные сведения об удалении потерянных контроллеров домена Windows 2000 из своего домена см. в следующей статье, чтобы просмотреть статью в базе знаний Майкрософт:

      216498 как удалить данные в Active Directory после неудачного понижения уровня контроллера домена

      Выполните это действие только в крайнем случае для восстановления установки операционной системы и установленных программ. Вы потеряете нераспознанные объекты и атрибуты на потерянных контроллерах домена, включая пользователей, компьютеры, отношения доверия, пароли, группы и членство в группах.

      Будьте внимательны при попытке устранить ошибки репликации на контроллерах домена, которые не реплицирует входящие изменения для определенного раздела Active Directory в течение более чем полного удаления в днях. В этом случае можно повторно анимировать объекты, удаленные на одном контроллере домена, но для которых партнеры прямой или транзитивной репликации не получили удаление за предыдущие 60 дней.

      Рассмотрите возможность удаления устаревших объектов, которые находятся на контроллерах домена, которые не выполняли входящую репликацию в течение последних 60 дней. Кроме того, можно принудительно понизить уровень контроллеров домена, которые не выполняли входящую репликацию в заданном разделе в течение времени существования полного удаления в днях, и удалить оставшиеся метаданные из леса Active Directory с помощью Ntdsutil и других служебных программ. За дополнительной помощью обратитесь к своему поставщику поддержки или Microsoft PSS.

    3. Убедитесь, что содержимое общей папки Sysvol является согласованным.

      Убедитесь, что часть файловой системы групповой политики согласована. Вы можете использовать Gpotool.exe из набора ресурсов, чтобы определить, есть ли несоответствия в политиках в домене. Используйте Healthcheck из средств поддержки Windows Server 2003, чтобы определить, правильно ли работают наборы реплик общего ресурса Sysvol в каждом домене.

      Если содержимое общей папки Sysvol не согласовано, устраните все несоответствия.

    4. Используйте Dcdiag.exe из средств поддержки, чтобы убедиться, что все контроллеры домена имеют общие общие папки Netlogon и Sysvol. Для этого введите следующую команду в командной строке:

      DCDIAG.EXE /e /test:frssysvol

    5. Инвентаризация ролей операций.

      Образцы операций схемы и инфраструктуры используются для внесения изменений в схему леса и всей доменной среды в лес и его домены, внесенные служебной программой adprep для Windows Server 2003. Убедитесь, что контроллер домена, на котором размещена роль схемы и роль инфраструктуры для каждого домена в лесу, находится на динамических контроллерах домена и что каждый владелец роли выполнил входящую репликацию по всем секциям с момента последнего перезапуска.

      Эту DCDIAG /test:FSMOCHECK команду можно использовать для просмотра рабочих ролей в пределах леса и домена. Роли главных ролей операций, которые находятся на несуществующих контроллерах домена, следует переназначить работоспособному контроллеру домена с помощью NTDSUTIL. Роли, которые находятся на неработоспособных контроллерах домена, по возможности должны быть перенесены. В противном случае они должны быть неохватны. Эта NETDOM QUERY FSMO команда не определяет роли FSMO, которые находятся на удаленных контроллерах домена.

      Убедитесь, что выполнена входящая репликация Active Directory с момента последней загрузки. Входящую репликацию REPADMIN /SHOWREPS DCNAME можно проверить с помощью команды, где DCNAME — это имя компьютера NetBIOS или полное имя компьютера контроллера домена. Дополнительные сведения об образцах операций и их размещении см. в следующих номерах статей, чтобы просмотреть статьи в базе знаний Майкрософт:

      197132 windows 2000 Active Directory FSMO

      223346 размещения и оптимизации FSMO на контроллерах домена Active Directory

    6. Проверка журнала событий

      Проверьте журналы событий на всех контроллерах домена на предмет проблемных событий. Журналы событий не должны содержать серьезных сообщений о событиях, указывающих на проблему с любым из следующих процессов и компонентов:

      физическое подключение
      сетевое подключение
      регистрация имени
      разрешение имен
      authentication
      Групповая политика
      Политика безопасности
      дисковая подсистема
      Схемы
      Топологии
      подсистема репликации

    7. Инвентаризация дискового пространства

      Том, на котором размещен файл базы данных Active Directory Ntds.dit, должен иметь свободное место, равное по крайней мере 15–20 % от размера файла Ntds.dit. Том, на котором размещен файл журнала Active Directory, также должен иметь свободное пространство, равное по крайней мере 15–20 % от размера файла Ntds.dit. Дополнительные сведения о том, как освободить дополнительное место на диске, см. в разделе "Контроллеры домена без достаточного места на диске" этой статьи.

    8. Очистка DNS (необязательно)

      Включите очистку DNS с интервалом в 7 дней для всех DNS-серверов в лесу. Для достижения наилучших результатов выполните эту операцию за 61 или более дней до обновления операционной системы. Это обеспечивает управляющей программе очистки DNS достаточно времени для сборки мусора устаревших объектов DNS при выполнении автономной дефрагментации в файле Ntds.dit.

    9. Отключение службы DLT Server (необязательно)

      Служба DLT Server отключена в новых и обновленных установках контроллеров домена Windows Server 2003. Если отслеживание распределенных ссылок не используется, можно отключить службу DLT Server на контроллерах домена Windows 2000 и начать удаление объектов DLT из каждого домена в лесу. Дополнительные сведения см. в разделе "Рекомендации Майкрософт для отслеживания распределенных ссылок" в следующей статье базы знаний Майкрософт: 312403 Отслеживание распределенных ссылок на контроллерах домена под управлением Windows

    10. Резервное копирование состояния системы

      Создайте резервную копию состояния системы по крайней мере двух контроллеров домена в каждом домене в лесу. Резервное копирование можно использовать для восстановления всех доменов в лесу, если обновление не работает.

Microsoft Exchange 2000 в лесах Windows 2000

Примечание.

  • Если сервер Exchange 2000 установлен или будет установлен в лесу Windows 2000, прочтите этот раздел перед выполнением команды Windows Server 2003 adprep /forestprep .
  • Если Microsoft Exchange Server схемы 2003, перейдите к разделу "Обзор: обновление контроллеров домена Windows 2000 до Windows Server 2003" перед выполнением команд Windows Server 2003adprep.

Схема Exchange 2000 определяет три атрибута inetOrgPerson с LDAPDisplayNames, не совместимым с запросом на комментарий (RFC): houseIdentifier,amey и labeledURI.

Комплект inetOrgPerson для Windows 2000 и команда Windows Server 2003 adprep определяют версии, соответствующие RFC, для тех же трех атрибутов с одинаковыми именами LDAPDisplayNames, что и версии, не соответствующие RFC.

Если команда Windows Server 2003 adprep /forestprep выполняется без коррективных скриптов в лесу, содержащего изменения схемы Windows 2000 и Exchange 2000, то LDAPDisplayNames для атрибутов houseIdentifier, labeledURI и urly становится искаженным. Атрибут становится "искаженным", если "Dup" или другие уникальные символы добавляются в начало конфликтующего имени атрибута, чтобы объекты и атрибуты в каталоге были уникальными именами.

Леса Active Directory не уязвимы к искаженным именам LDAPDisplayNames для этих атрибутов в следующих случаях:

  • При выполнении команды Windows Server 2003 adprep /forestprep в лесу, содержащего схему Windows 2000, перед добавлением схемы Exchange 2000.
  • При установке схемы Exchange 2000 в лесу, который был создан, где контроллер домена Windows Server 2003 был первым контроллером домена в лесу.
  • Если добавить пакет InetOrgPerson для Windows 2000 в лес, содержащий схему Windows 2000, установите изменения схемы Exchange 2000, а затем выполните команду Windows Server 2003 adprep /forestprep .
  • Если вы добавите схему Exchange 2000 в существующий лес Windows 2000, запустите Exchange 2003 /forestprep перед выполнением команды Windows Server 2003 adprep /forestprep .

Атрибуты с искажением будут возникать в Windows 2000 в следующих случаях:

  • При добавлении версий Exchange 2000 с меткой URI, houseIdentifier и атрибутов в лес Windows 2000 перед установкой комплекта InetOrgPerson для Windows 2000.
  • Перед выполнением команды Windows Server 2003 adprep /forestprep без запуска скриптов очистки необходимо добавить в лес Windows 2000 версии labeledURI, houseIdentifier и атрибуты в формате 2000. Ниже следуют планы действий для каждого сценария.

Сценарий 1. Изменения схемы Exchange 2000 добавляются после выполнения команды Windows Server 2003 adprep /forestprep

Если после выполнения команды Windows Server 2003 adprep /forestprep в лесу Windows 2000 будут внесены изменения схемы Exchange 2000, очистка не требуется. Перейдите к разделу "Обзор: обновление контроллеров домена Windows 2000 до Windows Server 2003".

Сценарий 2. Изменения схемы Exchange 2000 будут установлены перед командой Windows Server 2003 adprep /forestprep

Если изменения схемы Exchange 2000 уже установлены, но вы не выполнили команду Windows Server 2003 adprep /forestprep , рассмотрите следующий план действий:

  1. Войдите в консоль мастера операций схемы с помощью учетной записи, которая входит в группу безопасности "Администраторы схемы".

  2. Нажмите кнопку "Пуск ", нажмите кнопку "Выполнитьnotepad.exeв поле "Открыть" и нажмите кнопку " ОК".

  3. Скопируйте следующий текст, включая конечный дефис после schemaUpdateNow: 1, в Блокнот.

    dn: CN=ms-Exch-Assistant-Name,CN=Schema,CN=Configuration,DC=X
    changetype: modify
    replace:LDAPDisplayName
    LDAPDisplayName: msExchAssistantName
    -

    dn: CN=ms-Exch-LabeledURI,CN=Schema,CN=Configuration,DC=X
    changetype: modify
    replace: LDAPDisplayName
    LDAPDisplayName: msExchLabeledURI
    -

    dn: CN=ms-Exch-House-Identifier,CN=Schema,CN=Configuration,DC=X
    changetype: modify
    replace: LDAPDisplayName
    LDAPDisplayName: msExchHouseIdentifier
    -

    Dn:
    changetype: modify
    add: schemaUpdateNow
    schemaUpdateNow: 1
    -

  4. Убедитесь, что в конце каждой строки нет пробела.

  5. В меню Файл выберите пункт Сохранить. В диалоговом окне Сохранить как выполните указанные ниже действия.

    1. В поле имени файла введите следующее: \%userprofile%\InetOrgPersonPrevent.ldf
    2. В поле "Сохранить как тип " щелкните " Все файлы".
    3. В поле кодирования щелкнитеЮникод.
    4. Щелкните Сохранить.
    5. Закройте Блокнот.

  6. Запустите скрипт InetOrgPersonPrevent.ldf.

    1. Нажмите кнопку "Пуск", нажмите кнопку "Выполнить", введите командную строку в поле "Открыть" и нажмите кнопку "ОК".

    2. В командной строке введите следующую команду и нажмите клавишу ВВОД: cd %userprofile%

    3. Введите следующую команду:

    c:\documents and settings\%username%>ldifde -i -f inetorgpersonprevent.ldf -v -c DC=X "domain name path for forest root domain"

    Синтаксические примечания:

    • DC=X — константа с учетом регистра.
    • Путь к домену для корневого домена должен быть заключен в кавычки.

    Например, синтаксис команды для леса Active Directory, корневым TAILSPINTOYS.COM доменом которого является лес:

    c:\documents and settings\administrator>ldifde -i -f inetorgpersonprevent.ldf -v -c DC=X "dc=tailspintoys,dc=com"

    Примечание.

    Может потребоваться изменить подраздел реестра "Разрешено обновление схемы", если вы получили следующее сообщение об ошибке: обновление схемы в этом контроллере домена запрещено, так как раздел реестра не задано или контроллер домена не является владельцем роли FSMO схемы.

  7. Убедитесь, что атрибуты LDAPDisplayNames для CN=ms-Exch-Assistant-Name, CN=ms-Exch-LabeledURI и CN=ms-Exch-House-Identifier в контексте именования схемы теперь отображаются как msExchAssistantName, msExchLabeledURI и msExchHouseIdentifier перед выполнением команд Windows Server 2003 adprep /forestprep .

  8. Перейдите к разделу "Обзор: обновление контроллеров домена Windows 2000 до Windows Server 2003" adprep /forestprep , чтобы выполнить эти команды /domainprep .

Сценарий 3. Команда windows Server 2003 forestprep была выполнена без предварительного запуска inetOrgPersonFix

При выполнении команды Windows Server 2003 adprep /forestprep в лесу Windows 2000, содержащего изменения схемы Exchange 2000, атрибуты LDAPDisplayName для houseIdentifier, simony и labeledURI будут искажены. Чтобы определить искаженные имена, используйте Ldp.exe, чтобы найти затронутые атрибуты:

  1. Установите Ldp.exe из папки Support\Tools носителя Microsoft Windows 2000 или Windows Server 2003.

  2. Начните Ldp.exe с контроллера домена или компьютера-члена в лесу.

    1. В меню "Подключение" нажмите кнопку "Подключиться", оставьте поле "Сервер" пустым, введите 389 в поле "Порт" и нажмите кнопку "ОК".
    2. В меню "Подключение " нажмите кнопку "Привязать", оставьте все поля пустыми и нажмите кнопку " ОК".

  3. Запишите путь различающегося имени для атрибута SchemaNamingContext. Например, для контроллера домена в лесу CORP.ADATUM.COM различающееся имя может быть CN=Schema,CN=Configuration,DC=corp,DC=company,DC=com.

  4. В меню "Обзор " щелкните " Поиск".

  5. Чтобы настроить диалоговое окно поиска, используйте следующие параметры:

    • Базовое DN. Путь различающегося имени для контекста именования схемы, определенный на шаге 3.
    • Фильтр: (ldapdisplayname=dup*)
    • Область: поддерево

  6. Атрибуты Mangled houseIdentifier, таблицы и атрибуты labeledURI имеют атрибуты LDAPDisplayName, аналогичные следующему формату:

    LDAPDisplayName: DUP-labeledURI-9591bbd3-d2a6-4669-afda-48af7c35507d;
    LDAPDisplayName: DUP-вкладка-c5a1240d-70c0-455c-9906-a4070602f85f
    LDAPDisplayName: DUP-houseIdentifier-354b0ca8-9b6c-4722-aae7-e66906cc9eef

  7. Если на шаге 6 были искажены LDAPDisplayNames для labeledURI, simony и houseIdentifier, запустите скрипт Windows Server 2003 InetOrgPersonFix.ldf, а затем перейдите к разделу "Обновление контроллеров домена Windows 2000 с помощью Winnt32.exe".

    1. Создайте папку с именем %Systemdrive%\IOP, а затем извлеките файл InetOrgPersonFix.ldf в эту папку.

    2. В командной строке введите cd %systemdrive%\iop.

    3. Извлеките файл InetOrgPersonFix.ldf из файла Support.cab, который находится в папке Support\Tools установщика Windows Server 2003.

    4. В консоли главного узла операций схемы загрузите файл InetOrgPersonFix.ldf с помощью Ldifde.exe, чтобы исправить атрибут LdapDisplayName атрибутов houseIdentifier,amey и labeledURI. Для этого введите следующую команду, <где X><— константа с учетом регистра, а путь dn> для корневого домена леса — это путь к домену для корневого домена леса:

      C:\IOP>ldifde -i -f inetorgpersonfix.ldf -v -c DC=X "domain name path for forest root domain"

      Синтаксические примечания:

      • DC=X — константа с учетом регистра.
      • Путь к домену для корневого домена леса должен быть заключен в кавычки.

  8. Перед установкой Exchange 2000 убедитесь, что атрибуты houseIdentifier, таблицы и labeledURI в контексте именования схемы не "искажены".

Обзор: обновление контроллеров домена Windows 2000 до Windows Server 2003

Команда Windows Server 2003 adprep , которая выполняется из папки \I386 носителя Windows Server 2003, подготавливает лес Windows 2000 и его домены для добавления контроллеров домена Windows Server 2003. Команда Windows Server 2003 adprep /forestprep добавляет следующие функции:

  • Улучшенные дескрипторы безопасности по умолчанию для классов объектов

  • Новые атрибуты пользователя и группы

  • Новые объекты и атрибуты схемы, такие как inetOrgPersonThe adprep utility поддерживает два аргумента командной строки:

    • adprep /forestprep: выполняет операции обновления леса.
    • dprep /domainprep: выполняет операции обновления домена.

Команда adprep /forestprep представляет собой одновую операцию, выполняемую в главном объекте операций схемы (FSMO) леса. Перед выполнением в этом домене операция forestprep adprep /domainprep должна завершиться и реплицироваться в главный узел инфраструктуры каждого домена.

Эта adprep /domainprep команда выполняется на главном контроллере домена операций инфраструктуры каждого домена в лесу, где будут размещены новые или обновленные контроллеры домена Windows Server 2003. Команда adprep /domainprep проверяет, реплицированы ли изменения из forestprep в разделе домена, а затем вносит собственные изменения в раздел домена и групповые политики в общей папке Sysvol.

Вы не сможете выполнить одно из следующих действий, пока операции /forestprep и /domainprep не будут завершены и реплицированы на все контроллеры домена в этом домене:

  • Обновите контроллеры домена Windows 2000 до контроллеров домена Windows Server 2003 с помощью Winnt32.exe.

Примечание.

Вы можете при необходимости обновить серверы и компьютеры-члены Windows 2000 до компьютеров-членов Windows Server 2003. Поставьте новые контроллеры домена Windows Server 2003 в домен с помощью Dcpromo.exe. Домен, в котором размещается главный сервер операций схемы, является единственным доменом, в котором необходимо выполнить и adprep /forestprep то, и другое adprep /domainprep. Во всех остальных доменах необходимо выполнять только .adprep /domainprep

Команды adprep /forestprep и команды adprep /domainprep не добавляют атрибуты в набор частичных атрибутов глобального каталога или вызывают полную синхронизацию глобального каталога. Версия RTM adprep /domainprep приводит к полной синхронизации папки \Policies в дереве Sysvol. Даже если вы несколько раз запускали forestprep и domainprep, завершенные операции выполняются только один раз.

adprep /forestprepadprep /domainprep После полной репликации изменений можно обновить контроллеры домена Windows 2000 до Windows Server 2003, запустив Winnt32.exe из папки \I386 носителя Windows Server 2003. Кроме того, вы можете добавить в домен новые контроллеры домена Windows Server 2003 с помощью Dcpromo.exe.

Обновление леса с помощью команды adprep /forestprep

Чтобы подготовить лес и домены Windows 2000 к приему контроллеров домена Windows Server 2003, сначала выполните следующие действия в лабораторной среде, а затем в рабочей среде:

  1. Убедитесь, что вы выполнили все операции на этапе "Инвентаризация леса" с особым вниманием к следующим элементам:

    1. Вы создали резервные копии состояния системы.
    2. Все контроллеры домена Windows 2000 в лесу установили все соответствующие исправления и пакеты обновления.
    3. Сквозная репликация Active Directory выполняется по всему лесу.
    4. FRS правильно реплицирует политику файловой системы в каждом домене.

  2. Войдите в консоль мастера операций схемы с учетной записью, которая входит в группу безопасности "Администраторы схемы".

  3. Убедитесь, что FSMO схемы выполнил входящую репликацию раздела схемы, введя следующую команду в командной Windows NT командной строке:repadmin /showreps

    ( repadmin устанавливается папкой Support\Tools Active Directory.)

  4. В ранней документации Майкрософт рекомендуется изолировать главный узел операций схемы в частной сети перед запуском adprep /forestprep. Реальный опыт предполагает, что этот шаг не является необходимым и может привести к тому, что мастер операций схемы отклонит изменения схемы при перезапуске в частной сети.

  5. Выполнение adprep на главном узле операций схемы. Для этого нажмите кнопку "Пуск", нажмите кнопку "Выполнить", введите cmd и нажмите кнопку "ОК". В главном узне операций схемы введите следующую команду:

     X:\I386\adprep /forestprep

    где X:\I386\ — это путь установимого носителя Windows Server 2003. Эта команда выполняет обновление схемы на уровне леса.

    Примечание.

    События с идентификатором 1153, которые регистрируются в журнале событий службы каталогов, например приведенный ниже пример, можно игнорировать:

  6. Убедитесь, что adprep /forestprep команда успешно выполнена в мастере операций схемы. Для этого в консоли мастера операций схемы проверьте следующие элементы: — adprep /forestprep команда выполнена без ошибок. — Объект CN=Windows2003Update записывается в разделе CN=ForestUpdates,CN=Configuration,DC= forest_root_domain. Запишите значение атрибута Revision. — (Необязательно) Версия схемы, которая увеличивается до версии 30. Для этого см. атрибут ObjectVersion в разделе CN=Schema,CN=Configuration,DC= forest_root_domain. Если adprep /forestprep это не так, проверьте следующие элементы:

    • При запуске был указан полный путь Adprep.exe, расположенный в папке \I386 adprep установщика. Для этого введите следующую команду:

      x:\i386\adprep /forestprep

      где x — это диск, на котором размещен установный носитель.

    • Вошед в систему пользователь, запускавший adprep, имеет членство в группе безопасности "Администраторы схемы". Чтобы проверить это, используйте команду whoami /all .

    • Если adprep файл Adprep.log по-прежнему не работает, просмотрите его в папке %systemroot%\System32\Debug\Adprep\Logs\Latest_log .

  7. Если на шаге 4 вы отключите исходящие репликации в мастере операций схемы, adprep /forestprep включите репликацию, чтобы изменения схемы, внесенные в схему, могли распространяться. Для этого выполните следующие действия.

    1. Нажмите кнопку "Пуск", нажмите кнопку "Выполнить", введите командную строку и нажмите кнопку " ОК".
    2. Введите следующую команду и нажмите клавишу ВВОД: repadmin /options -DISABLE_OUTBOUND_REPL

  8. Убедитесь, что adprep /forestprep изменения реплицированы на всех контроллерах домена в лесу. Полезно отслеживать следующие атрибуты:

    1. Увеличение версии схемы
    2. Cn=Windows2003Update, CN=ForestUpdates,CN=Configuration,DC= forest_root_domain или CN=Operations,CN=DomainUpdates,CN=System,DC= forest_root_domain и идентификаторы GUID операций в ней реплицированы.
    3. Найдите новые классы схемы, объекты, adprep /forestprep атрибуты или другие добавляемые изменения, например inetOrgPerson. Просмотрите файлы Sch XX.ldf (где XX — это число от 14 до 30) в папке %systemroot%\System32, чтобы определить, какие объекты и атрибуты должны быть. Например, inetOrgPerson определен в Файле Sch18.ldf.

  9. Найдите искаженные имена LDAPDisplayNames. Если вы нашли искаженные имена, перейдите к сценарию 3 той же статьи.

  10. Войдите в консоль мастера операций схемы с учетной записью, которая является членом группы безопасности группы администраторов схемы леса, в котором размещается главный узел операций схемы.

Обновление домена с помощью команды adprep /domainprep

Выполняется adprep /domainprep после полной репликации изменений /forestprep на главный контроллер домена инфраструктуры в каждом домене, где будут размещены контроллеры домена Windows Server 2003. Для этого выполните указанные ниже действия.

  1. Определите главный контроллер домена инфраструктуры в обновляемом домене, а затем войдите с учетной записью, которая входит в группу безопасности администраторов домена в обновляемом домене.

    Примечание.

    Администратор предприятия не может быть членом группы безопасности "Администраторы домена" в дочерних доменах леса.

  2. Запустите adprep /domainprep на главном сервере инфраструктуры. Для этого нажмите кнопку "Пуск", нажмите кнопку "Выполнить", введите командную строку , а затем на главной странице инфраструктуры введите следующую команду: X:\I386\adprep /domainprep где X:\I386\ — это путь к установимого носителя Windows Server 2003. Эта команда выполняет изменения на уровне домена в целевом домене.

    Примечание.

    Команда adprep /domainprep изменяет разрешения файлов в общей папке Sysvol. Эти изменения приводят к полной синхронизации файлов в дереве каталогов.

  3. Убедитесь, что domainprep успешно завершен. Для этого проверьте следующие элементы:

    • Команда adprep /domainprep выполнена без ошибок.
    • Cn=Windows2003Update,CN=DomainUpdates,CN=System,DC= dn path of domain you are upgrading existsIf adprep /domainprep doesn't run, verify the following items:
    • Пользователь, выполнивший adprep вход, имеет членство в группе безопасности "Администраторы домена" в обновляемом домене. Для этого используйте команду whoami /all .
    • При запуске был указан полный путь для Adprep.exe, расположенный в каталоге \I386 установного носителя adprep. Для этого в командной строке введите следующую команду: x :\i386\adprep /forestprepгде x — это диск, на котором размещен установный носитель.
    • Если adprep файл Adprep.log по-прежнему не работает, просмотрите его в папке %systemroot%\System32\Debug\Adprep\Logs\ Latest_log .

  4. Убедитесь, что adprep /domainprep изменения реплицированы. Для этого для остальных контроллеров домена в домене проверьте следующие элементы: — CN=Windows2003Update,CN=DomainUpdates,CN=System,DC= dn path of domain you are upgrading object exists, and the value for the Revision attribute matches the value of the same attribute on the infrastructure master of the domain. — (Необязательно) Найдите добавленные объекты, атрибуты или добавленные изменения списка управления доступом adprep /domainprep (ACL). Повторите шаги 1–4 на главной инфраструктуре оставшихся доменов в пакетном режиме или при добавлении или обновлении контроллеров доменов в этих доменах до Windows Server 2003. Теперь вы можете повысить уровень новых компьютеров Windows Server 2003 до леса с помощью DCPROMO. Вы также можете обновить существующие контроллеры домена Windows 2000 до Windows Server 2003 с помощью WINNT32.EXE.

Обновление контроллеров домена Windows 2000 с помощью Winnt32.exe

После полной репликации изменений из /forestprep и /domainprep и принятия решения о взаимодействии системы безопасности с клиентами более ранних версий вы можете обновить контроллеры домена Windows 2000 до Windows Server 2003 и добавить в домен новые контроллеры домена Windows Server 2003.

Следующие компьютеры должны быть одними из первых контроллеров домена под управлением Windows Server 2003 в лесу в каждом домене:

  • Главный узел именования домена в лесу, чтобы можно было создавать разделы программы DNS по умолчанию.
  • Основной контроллер домена корневого домена леса, чтобы субъекты безопасности на уровне предприятия, добавленные в лесу Windows Server 2003, стали видимыми в редакторе ACL.
  • Основной контроллер домена в каждом некорняемом домене, чтобы можно было создавать новые субъекты безопасности Windows 2003, относящиеся к конкретному домену. Для этого используйте WINNT32 для обновления существующих контроллеров домена, на которых размещена нужная операционная роль. Или переведите роль на только что повышенный контроллер домена Windows Server 2003. Выполните следующие действия для каждого контроллера домена Windows 2000, который вы обновляете до Windows Server 2003 с помощью WINNT32, и для каждой рабочей группы или компьютера-члена Windows Server 2003, которые вы повышаете:

  1. Прежде чем использовать WINNT32 для обновления компьютеров-членов Windows 2000 и контроллеров домена, удалите средства администрирования Windows 2000. Для этого используйте средство добавления и удаления программ в панель управления. (Только обновления Windows 2000.)

  2. Установите все файлы исправлений или другие исправления, которые майкрософт или администратор определяет как важные.

  3. Проверьте каждый контроллер домена на наличие возможных проблем с обновлением. Для этого выполните следующую команду из папки \I386 установщика: winnt32.exe /checkupgradeonly устраните все проблемы, которые идентифицирует проверка совместимости.

  4. Запустите WINNT32.EXE из папки \I386 установщика и перезапустите обновленный контроллер домена 2003.

  5. По мере необходимости онизите параметры безопасности для клиентов более ранних версий.

    Если Windows NT 4.0 у клиентов NT 4.0 с пакетом обновления 6 (SP6) или Windows 95 не установлен клиент службы каталогов, отключите подписывание службы SMB в политике контроллеров домена по умолчанию в подразделении контроллеров домена, а затем свяжите эту политику со всеми подразделениями, в которых размещены контроллеры домена. Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности\Сетевой сервер Майкрософт: цифровая подпись (всегда)

  6. Проверьте работоспособность обновления с помощью следующих точек данных:

    • Обновление успешно завершено.
    • Исправления, добавленные в установку, успешно заменили исходные двоичные файлы.
    • Входящая и исходящая репликация Active Directory выполняется для всех контекстов именования, удерживаемого контроллером домена.
    • Существуют общие папки Netlogon и Sysvol.
    • Журнал событий указывает, что контроллер домена и его службы работоспособны.

    Примечание.

    После обновления может появиться следующее сообщение о событии: это сообщение можно проигнорировать.

  7. Установите средства администрирования Windows Server 2003 (обновления Windows 2000 и только контроллеры Windows Server 2003, отличные от домена). Adminpak.msi находится в папке \I386 компакт-диска Windows Server 2003. Носитель Windows Server 2003 содержит обновленные средства поддержки в Support\Tools\Suptools.msi файле. Убедитесь, что вы переустановите этот файл.

  8. Создайте резервные копии по крайней мере первых двух контроллеров домена Windows 2000, которые вы обновили до Windows Server 2003 в каждом домене в лесу. Найдите резервные копии компьютеров с Windows 2000, которые вы обновили до Windows Server 2003, в заблокированном хранилище, чтобы случайно не использовать их для восстановления контроллера домена, который теперь работает под управлением Windows Server 2003.

  9. (Необязательно) Выполните автономную дефрагментацию базы данных Active Directory на контроллерах домена, которые были обновлены до Windows Server 2003 после завершения хранения одного экземпляра (только обновления Windows 2000).

    Служба SIS проверяет существующие разрешения на объекты, хранящиеся в Active Directory, а затем применяет более эффективный дескриптор безопасности для этих объектов. SIS запускается автоматически (определяется событием 1953 в журнале событий службы каталогов) при первом запуске операционной системы Windows Server 2003 обновленными контроллерами домена. Улучшенное хранилище дескрипторов безопасности можно использовать только при регистрации сообщения о событии с идентификатором 1966 в журнале событий службы каталогов. Это сообщение о событии указывает, что операция хранилища одного экземпляра завершена и служит в качестве очереди администратора для выполнения автономной дефрагментации Ntds.dit с помощью NTDSUTIL.EXE.

    Автономная дефрагментация может уменьшить размер файла Windows 2000 Ntds.dit до 40 %, повысить производительность Active Directory и обновить страницы в базе данных для более эффективного хранения атрибутов со значением ссылки. Дополнительные сведения о дефрагментация базы данных Active Directory см. в следующей статье, чтобы просмотреть статью в базе знаний Майкрософт:

    232122 выполнение автономной дефрагментации базы данных Active Directory

  10. Изучите службу DLT-сервера. Контроллеры домена Windows Server 2003 отключает службу DLT Server при установке новых и обновленных версий. Если клиенты Windows 2000 или Windows XP в вашей организации используют службу DLT Server, используйте групповая политика, чтобы включить службу DLT Server на новых или обновленных контроллерах домена Windows Server 2003. В противном случае добавочное удаление объектов отслеживания распределенных ссылок из Active Directory. Для получения дополнительных сведений щелкните номер следующей статьи, чтобы просмотреть статью в базе знаний Майкрософт:

    312403 отслеживания распределенных ссылок на контроллерах домена под управлением Windows

    При массовом удалении тысяч объектов DLT или других объектов репликация может быть заблокирована из-за отсутствия хранилища версий. Дождитесь удаления последнего объекта DLT и завершения сборки мусора с помощью NTDSUTIL.EXE дней (по умолчанию — 60 дней), а затем выполните автономную дефрагментацию файла Ntds.dit с помощью NTDSUTIL.EXE.

  11. Настройте структуру подразделения с рекомендациями. Корпорация Майкрософт рекомендует администраторам активно развертывать структуру подразделений, рекомендованную для всех доменов Active Directory, а после обновления или развертывания контроллеров домена Windows Server 2003 в режиме домена Windows перенаправлять контейнеры по умолчанию, которые используются интерфейсами API более ранних версий для создания пользователей, компьютеров и групп, в контейнер подразделения, указанный администратором.

    Дополнительные сведения о структуре подразделений, рекомендуемой для организации, см. в разделе "Создание структуры подразделения" технического документа "Рекомендация по проектированию Active Directory для управления сетями Windows". Чтобы просмотреть технический документ, посетите следующий веб-сайт Майкрософт. https://technet.microsoft.com/library/bb727085.aspx Дополнительные сведения об изменении контейнера по умолчанию, в котором находятся пользователи, компьютеры и группы, созданные API более ранней версии, щелкните следующий номер статьи, чтобы просмотреть статью в базе знаний Майкрософт:

    324949 перенаправление контейнеров пользователей и компьютеров в доменах Windows Server 2003

  12. Повторите шаги с 1 по 10, как требуется для каждого нового или обновленного контроллера домена Windows Server 2003 в лесу, и шаг 11 (структура подразделения Best Practice) для каждого домена Active Directory.

    В сводке:

    • Обновите контроллеры домена Windows 2000 с помощью WINNT32 (если используется неупотоковый установный носитель).
    • Убедитесь, что файлы исправлений установлены на обновленных компьютерах.
    • Установка всех необходимых исправлений, не содержащихся на установщике
    • Проверка работоспособности на новых или обновленных серверах (AD, FRS, Политика и т. д.)
    • Подождите 24 часа после обновления ОС, а затем вне сети (необязательно)
    • Запустите службу DLT, если это необходимо, в противном случае удалите объекты DLT с помощью q312403/ q315229 после подготовки домена на уровне леса.
    • Выполнение автономной дефрагментирования более 60 дней (время существования и сборка мусора в днях) после удаления объектов DLT

Обновления пробного запуска в лабораторной среде

Перед обновлением контроллеров домена Windows до рабочего домена Windows 2000 проверьте и уточните процесс обновления в лаборатории. Если обновление лабораторной среды, которая точно отражает рабочий лес, выполняется без проблем, можно ожидать аналогичных результатов в рабочих средах. Для сложных сред лабораторная среда должна зеркально соответствовать рабочей среде в следующих областях:

  • Оборудование: тип компьютера, размер памяти, размещение файлов страниц, размер диска, производительность и конфигурация raid, уровни редакции BIOS и встроенного ПО
  • Программное обеспечение: версии клиентской и серверной операционной системы, клиентские и серверные приложения, версии пакета обновления, исправления, изменения схемы, группы безопасности, членство в группах, разрешения, параметры политики, тип счетчика объектов и расположение, взаимодействие версий
  • Сетевая инфраструктура: WINS, DHCP, скорость связывания, доступная пропускная способность
  • Загрузка: симуляторы загрузки могут имитировать изменения паролей, создание объектов, репликацию Active Directory, проверку подлинности при входе и другие события. Цель заключается не в воспроизведении масштаба рабочей среды. Вместо этого цель — определить затраты и частоту распространенных операций, а также интерполировать их влияние (запросы имен, трафик репликации, пропускная способность сети и потребление процессора) в рабочей среде в соответствии с текущими и будущими требованиями.
  • Администрирование: выполняемые задачи, используемые средства, используемые операционные системы
  • Операция: емкость, взаимодействие
  • Место на диске: обратите внимание на начальный, пиковый и конечный размер файлов журнала операционной системы, Ntds.dit и Active Directory в глобальном каталоге и контроллерах домена не глобального каталога в каждом домене после каждой из следующих операций:
    1. adprep /forestprep
    2. adprep /domainprep
    3. Обновление контроллеров домена Windows 2000 до Windows Server 2003
    4. Выполнение автономной дефрагментации после обновления версии

Понимание процесса обновления и сложности среды в сочетании с подробным наблюдением определяет скорость и степень осторожность при обновлении рабочих сред. Среды с небольшим количеством контроллеров домена и объектов Active Directory, подключенных по каналам глобальной сети высокой доступности (WAN), могут обновляться всего за несколько часов. Возможно, вам придется более осторожно работать с корпоративными развертываниями с сотнями контроллеров домена или сотнями тысяч объектов Active Directory. В таких случаях может потребоваться выполнить обновление в течение нескольких недель или месяцев.

Используйте обновления "Пробный запуск" в лаборатории для выполнения следующих задач:

  • Изучите внутреннюю работу процесса обновления и связанные с ней риски.
  • Предоставление потенциальных проблемных областей для процесса развертывания в вашей среде.
  • Протестируйте и разработайте резервные планы на случай, если обновление не будет выполнено.
  • Определите соответствующий уровень детализации, применяемый к процессу обновления для рабочего домена.

Контроллеры домена без достаточного места на диске

На контроллерах домена с недостаточным местом на диске выполните следующие действия, чтобы освободить дополнительное место на диске тома, на котором размещены файлы Ntds.dit и Log:

  1. Удалите неиспользуемые файлы, включая файлы *.tmp или кэшированные файлы, используемые браузерами. Для этого введите следующие команды (нажмите клавишу ВВОД после каждой команды):

    cd /d drive\  
del *.tmp /s

  2. Удалите все файлы дампа пользователя или памяти. Для этого введите следующие команды (нажмите клавишу ВВОД после каждой команды):

    cd /d drive\  
del *.dmp /s

  3. Временно удалите или перераспределите файлы, к которые можно получить доступ с других серверов, или легко переустановите их. Файлы, которые можно удалить и легко заменить, включают ADMINPAK, средства поддержки и все файлы в папке %systemroot%\System32\Dllcache.

  4. Удалите старые или неиспользуемые профили пользователей. Для этого нажмите кнопку "Пуск", щелкните правой кнопкой мыши "Мой компьютер", выберите пункт "Свойства ", откройте вкладку "Профили пользователей", а затем удалите все профили для старых и неиспользуемых учетных записей. Не удаляйте профили, которые могут быть для учетных записей служб.

  5. Удалите символы в папке %systemroot%\Symbols. Для этого введите следующую команду: rd /s %systemroot%\symbols в зависимости от того, имеется ли на серверах полный или небольшой набор символов, это может получить от 70 до 600 МБ.

  6. Выполните автономную дефрагментацию. Автономная дефрагментация файла Ntds.dit может освободить место, но временно требует удваить пространство текущего DIT-файла. Выполните автономную дефрагментацию с помощью других локальных томов, если он доступен. Или используйте пространство на лучшем подключенном сетевом сервере для выполнения автономной дефрагментации. Если места на диске по-прежнему недостаточно, постепенно удалите ненужные учетные записи пользователей, учетные записи компьютеров, записи DNS и объекты DLT из Active Directory.

Примечание.

Active Directory не удаляет объекты из базы данных до тех пор, пока не будет пройдено время удаления (по умолчанию 60 дней) и не завершится сборка мусора. Если уменьшить значение tombstonelifetime до значения ниже, чем сквозная репликация в лесу, это может привести к несогласованности в Active Directory.