Dela via

Uppgradera Windows 2000-domänkontrollanter till Windows Server 2003

I den här artikeln beskrivs hur du uppgraderar Microsoft Windows 2000-domänkontrollanter till Windows Server 2003 och hur du lägger till nya Windows Server 2003-domänkontrollanter i Windows 2000-domäner.

Ursprungligt KB-nummer: 325379

Sammanfattning

I den här artikeln beskrivs hur du uppgraderar Microsoft Windows 2000-domänkontrollanter till Windows Server 2003 och hur du lägger till nya Windows Server 2003-domänkontrollanter i Windows 2000-domäner. Mer information om hur du uppgraderar domänkontrollanter till Windows Server 2008 eller Windows Server 2008 R2 finns på följande Microsoft-webbplats:

Uppgradera domänkontrollanter: Microsofts support snabbstart för att lägga till Windows Server 2008- eller Windows Server 2008 R2-domänkontrollanter till befintliga domäner

Domän- och skogsinventering

Följ dessa steg innan du uppgraderar Windows 2000-domänkontrollanter till Windows Server 2003 eller innan du lägger till nya Windows Server 2003-domänkontrollanter i en Windows 2000-domän:

  1. Inventera klienter som har åtkomst till resurser i domänen som är värd för Windows Server 2003-domänkontrollanter för kompatibilitet med SMB-signering:

    Varje Windows Server 2003-domänkontrollant aktiverar SMB-inloggning i sin lokala säkerhetsprincip. Kontrollera att alla nätverksklienter som använder SMB/CIFS-protokollet för att få åtkomst till delade filer och skrivare i domäner som är värdar för Windows Server 2003-domänkontrollanter kan konfigureras eller uppgraderas för att stödja SMB-signering. Om de inte kan det inaktiverar du tillfälligt SMB-signering tills uppdateringar kan installeras eller tills klienterna kan uppgraderas till nyare operativsystem som stöder SMB-signering. Information om hur du inaktiverar SMB-signering finns i avsnittet Inaktivera SMB-signering i slutet av det här steget.

    Handlingsplaner

    I följande lista visas åtgärdsplanerna för populära SMB-klienter:

    • Microsoft Windows Server 2003, Microsoft Windows XP Professional, Microsoft Windows 2000 Server, Microsoft Windows 2000 Professional och Microsoft Windows 98

      Ingen åtgärd krävs.

    • Microsoft Windows NT 4.0 Installera Service Pack 3 eller senare (Service Pack 6A rekommenderas) på alla Windows NT 4.0-baserade datorer som har åtkomst till domäner som innehåller Windows Server 2003-baserade datorer. Inaktivera I stället tillfälligt SMB-signering på Windows Server 2003-domänkontrollanter. Information om hur du inaktiverar SMB-signering finns i avsnittet Inaktivera SMB-signering i slutet av det här steget.

    • Microsoft Windows 95

      Installera Windows 9 x-katalogtjänstklienten på windows 95-baserade datorer eller inaktivera tillfälligt SMB-signering på Windows Server 2003-domänkontrollanter. Den ursprungliga Win9 x-katalogtjänstklienten är tillgänglig på Windows 2000 Server CD-ROM. Det klienttillägget har dock ersatts av en förbättrad Win9 x-katalogtjänstklient . Information om hur du inaktiverar SMB-signering finns i avsnittet Inaktivera SMB-signering i slutet av det här steget.

    • Microsoft Network Client för MS-DOS- och Microsoft LAN Manager-klienter

      Microsoft-nätverksklienten för MS-DOS och Microsoft LAN Manager 2.x-nätverksklienten kan användas för att ge åtkomst till nätverksresurser, eller så kan de kombineras med en startbar diskett för att kopiera operativsystemfiler och andra filer från en delad katalog på en filserver som en del av en programinstallationsrutin. Dessa klienter stöder inte SMB-signering. Använd en alternativ installationsmetod eller inaktivera SMB-signering. Information om hur du inaktiverar SMB-signering finns i avsnittet Inaktivera SMB-signering i slutet av det här steget.

    • Macintosh-klienter

      Vissa Macintosh-klienter är inte SMB-signeringskompatibla och får följande felmeddelande när de försöker ansluta till en nätverksresurs:

      - Fel -36 I/O

      Installera uppdaterad programvara om den är tillgänglig. Annars inaktiverar du SMB-signering på Windows Server 2003-domänkontrollanter. Information om hur du inaktiverar SMB-signering finns i avsnittet Inaktivera SMB-signering i slutet av det här steget.

    • Andra SMB-klienter från tredje part

      Vissa SMB-klienter från tredje part stöder inte SMB-signering. Kontakta SMB-providern för att se om det finns en uppdaterad version. Annars inaktiverar du SMB-signering på Windows Server 2003-domänkontrollanter.

    Inaktivera SMB-signering

    Om programuppdateringar inte kan installeras på berörda domänkontrollanter som kör Windows 95, Windows NT 4.0 eller andra klienter som installerades före introduktionen av Windows Server 2003 inaktiverar du tillfälligt signeringskraven för SMB-tjänsten i grupprincip tills du kan distribuera uppdaterad klientprogramvara.

    Du kan inaktivera SMB-tjänstsignering i följande nod i standardprincipen för domänkontrollanter på organisationsenheten domänkontrollanter: Datorkonfiguration\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Säkerhetsalternativ\Microsoft Network Server:

    Signera kommunikation digitalt (alltid)

    Om domänkontrollanter inte finns i domänkontrollantens organisationsenhet måste du länka standarddomänkontrollantens grupprincip objekt (GPO) till alla organisationsenheter som är värdar för Windows 2000- eller Windows Server 2003-domänkontrollanter. Eller så kan du konfigurera SMB-tjänstsignering i ett grupprincipobjekt som är länkat till dessa organisationsenheter.

  2. Inventera de domänkontrollanter som finns i domänen och i skogen:

    1. Kontrollera att alla Windows 2000-domänkontrollanter i skogen har installerat alla lämpliga snabbkorrigeringar och servicepaket.

      Microsoft rekommenderar att alla Windows 2000-domänkontrollanter kör Windows 2000 Service Pack 4 (SP4) eller senare operativsystem. Om du inte kan distribuera Windows 2000 SP4 helt eller senare måste alla Windows 2000-domänkontrollanter ha en Ntdsa.dll fil vars datumstämpel och version är senare än den 4 juni 2001 och 5.0.2195.3673.

      Som standard använder active directory-administrationsverktygen för Windows 2000 SP4-, Windows XP- och Windows Server 2003-klientdatorer LDAP-signering (Lightweight Directory Access Protocol). Om sådana datorer använder (eller återgår till) NTLM-autentisering när de fjärrhanterar Windows 2000-domänkontrollanter fungerar inte anslutningen. För att lösa detta bör fjärradministrerade domänkontrollanter ha minst Windows 2000 SP3 installerat. Annars bör du inaktivera LDAP-signering på klienterna som kör administrationsverktygen.

      Följande scenarier använder NTLM-autentisering:

      • Du administrerar Windows 2000-domänkontrollanter som finns i en extern skog som är ansluten till ett NTLM-förtroende (icke-Kerberos).
      • Du fokuserar snapin-modulerna i Microsoft Management Console (MMC) mot en specifik domänkontrollant som refereras till av dess IP-adress. Du kan till exempel klicka på Start, klicka på Kör och sedan skriva följande kommando: dsa.msc /server=ipaddress

      För att fastställa operativsystemet och service pack-revisionsnivån för Active Directory-domänkontrollanter i en Active Directory-domän installerar du Windows Server 2003-versionen av Repadmin.exe på en Windows XP Professional- eller Windows Server 2003-medlemsdator i skogen och kör sedan följande repadmin kommando mot en domänkontrollant i varje domän i skogen:

      >repadmin /showattr <name of the domain controller that is in the target domain> ncobj:domain: /filter:"(&(objectCategory=computer)(primaryGroupID=516))" /subtree /atts:operatingSystem,operatingSystemVersion,operatingSystemServicePack

DN: CN=NA-DC-01,organizational unit=Domain Controllers,DC=company,DC=com
 1> operatingSystem: Windows Server 2003
 1> operatingSystemVersion: 5.2 (3718)
DN: CN=NA-DC-02,organizational unit=Domain Controllers,DC=company,DC=com
 1> operatingSystem: Windows 2000 Server
 1> operatingSystemVersion: 5.0 (2195)
 1> operatingSystemServicePack: Service Pack 1

      Kommentar

      Domänkontrollantens attribut spårar inte installationen av enskilda snabbkorrigeringar.

    2. Verifiera Active Directory-replikeringen från slutpunkt till slutpunkt i hela skogen.

      Kontrollera att varje domänkontrollant i den uppgraderade skogen replikerar alla sina lokalt hållna namngivningskontexter med sina partner konsekvent med det schema som platslänkar eller anslutningsobjekt definierar. Använd Windows Server 2003-versionen av Repadmin.exe på en Windows XP- eller Windows Server 2003-baserad medlemsdator i skogen med följande argument: Alla domänkontrollanter i skogen måste replikera Active Directory utan fel, och värdena i kolumnen "Största delta" i repadmin-utdata bör inte vara betydligt större än replikeringsfrekvensen på motsvarande platslänkar eller anslutningsobjekt som används av en viss måldomän kontrollant.

      Lös alla replikeringsfel mellan domänkontrollanter som inte har kunnat inkommande replikering på mindre än Tombstone Lifetime (TSL) antal dagar (som standard 60 dagar). Om replikeringen inte kan utföras för att fungera kan du behöva med tvådubblat degradera domänkontrollanterna och ta bort dem från skogen med hjälp av Rensningskommandot för Ntdsutil-metadata och sedan flytta dem tillbaka till skogen. Du kan använda en kraftig degradering för att spara både installationen av operativsystemet och de program som finns på en överbliven domänkontrollant. Om du vill ha mer information om hur du tar bort överblivna Windows 2000-domänkontrollanter från domänen klickar du på följande artikelnummer för att visa artikeln i Microsoft Knowledge Base:

      216498 Så här tar du bort data i Active Directory efter en misslyckad degradering av domänkontrollanter

      Utför endast den här åtgärden som en sista utväg för att återställa installationen av operativsystemet och de installerade programmen. Du förlorar otilldelade objekt och attribut på överblivna domänkontrollanter, inklusive användare, datorer, förtroenderelationer, deras lösenord, grupper och gruppmedlemskap.

      Var försiktig när du försöker lösa replikeringsfel på domänkontrollanter som inte har replikerat inkommande ändringar för en viss Active Directory-partition under ett större antal dagar än tombstonelifetime . När du gör det kan du återuppliva objekt som har tagits bort på en domänkontrollant, men för vilka direkta eller transitiva replikeringspartner aldrig fick borttagningen under de senaste 60 dagarna.

      Överväg att ta bort kvardröjande objekt som finns på domänkontrollanter som inte har utfört inkommande replikering under de senaste 60 dagarna. Du kan också med kraft degradera domänkontrollanter som inte har utfört någon inkommande replikering på en viss partition i tombstones livslängd på flera dagar och ta bort deras återstående metadata från Active Directory-skogen med hjälp av Ntdsutil och andra verktyg. Kontakta din supportleverantör eller Microsoft PSS för ytterligare hjälp.

    3. Kontrollera att innehållet i Sysvol-resursen är konsekvent.

      Kontrollera att filsystemets del av grupprincipen är konsekvent. Du kan använda Gpotool.exe från Resource Kit för att avgöra om det finns inkonsekvenser i principer i en domän. Använd Hälsokontroll från Windows Server 2003-supportverktygen för att avgöra om Sysvol-resursreplikuppsättningarna fungerar korrekt i varje domän.

      Om innehållet i Sysvol-resursen är inkonsekvent löser du alla inkonsekvenser.

    4. Använd Dcdiag.exe från supportverktygen för att kontrollera att alla domänkontrollanter har delat Netlogon- och Sysvol-resurser. Det gör du genom att skriva följande kommando i en kommandotolk:

      DCDIAG.EXE /e /test:frssysvol

    5. Inventera driftrollerna.

      Schema- och infrastrukturåtgärdernas huvudservrar används för att introducera schemaändringar för hela skogen och dess domäner som görs av adprep-verktyget Windows Server 2003. Kontrollera att domänkontrollanten som är värd för schemarollen och infrastrukturrollen för varje domän i skogen finns på live-domänkontrollanter och att varje rollägare har utfört inkommande replikering över alla partitioner sedan de senast startades om.

      Kommandot DCDIAG /test:FSMOCHECK kan användas för att visa driftsroller för hela skogen och hela domänen. Operations Master-roller som finns på obefintliga domänkontrollanter ska tas till en felfri domänkontrollant med hjälp av NTDSUTIL. Roller som finns på domänkontrollanter som inte är felfria bör överföras om möjligt. Annars bör de beslagtas. Kommandot NETDOM QUERY FSMO identifierar inte FSMO-roller som finns på borttagna domänkontrollanter.

      Kontrollera att har utfört inkommande replikering av Active Directory sedan den senast startades. Inkommande replikering kan verifieras med hjälp REPADMIN /SHOWREPS DCNAME av kommandot, där DCNAME är NetBIOS-datornamnet eller det fullständigt kvalificerade datornamnet för en domänkontrollant. Om du vill ha mer information om åtgärdshanterare och deras placering klickar du på följande artikelnummer för att visa artiklarna i Microsoft Knowledge Base:

      197132 Windows 2000 Active Directory FSMO-roller

      223346 FSMO-placering och optimering på Active Directory-domänkontrollanter

    6. Granskning av eventlog

      Granska händelseloggarna på alla domänkontrollanter för problematiska händelser. Händelseloggarna får inte innehålla allvarliga händelsemeddelanden som indikerar ett problem med någon av följande processer och komponenter:

      fysisk anslutning
      Nätverksanslutning
      namnregistrering
      namnmatchning
      autentisering
      Grupprincip
      säkerhetsprincip
      diskundersystem
      schema
      topologi
      replikeringsmotor

    7. Diskutrymmeslager

      Volymen som är värd för Active Directory-databasfilen Ntds.dit måste ha ledigt utrymme som är lika med minst 15–20 % av filstorleken Ntds.dit. Volymen som är värd för Active Directory-loggfilen måste också ha ledigt utrymme som är lika med minst 15–20 % av filstorleken Ntds.dit. Mer information om hur du frigör ytterligare diskutrymme finns i avsnittet "Domänkontrollanter utan tillräckligt diskutrymme" i den här artikeln.

    8. DNS-rensning (valfritt)

      Aktivera DNS-rensning med 7 dagars intervall för alla DNS-servrar i skogen. Utför den här åtgärden 61 eller fler dagar innan du uppgraderar operativsystemet för bästa resultat. Detta ger DNS-rensningsdaemon tillräckligt med tid för att skräpinsamling av föråldrade DNS-objekt när en offlinedefragmentering utförs på filen Ntds.dit.

    9. Inaktivera DLT-servertjänsten (valfritt)

      DLT Server-tjänsten är inaktiverad för nya och uppgraderade installationer av Windows Server 2003-domänkontrollanter. Om spårning av distribuerade länkar inte används kan du inaktivera DLT Server-tjänsten på dina Windows 2000-domänkontrollanter och börja ta bort DLT-objekt från varje domän i skogen. Mer information finns i avsnittet "Microsoft-rekommendationer för spårning av distribuerade länkar" i följande artikel i Microsoft Knowledge Base: 312403 Distributed Link Tracking på Windows-baserade domänkontrollanter

    10. Säkerhetskopiering av systemtillstånd

      Gör en systemtillståndssäkerhetskopia av minst två domänkontrollanter i varje domän i skogen. Du kan använda säkerhetskopieringen för att återställa alla domäner i skogen om uppgraderingen inte fungerar.

Microsoft Exchange 2000 i Windows 2000-skogar

Kommentar

  • Om Exchange 2000 Server är installerat eller installeras i en Windows 2000-skog läser du det här avsnittet innan du kör kommandot Windows Server 2003 adprep /forestprep .
  • Om schemaändringar i Microsoft Exchange Server 2003 installeras går du till avsnittet Översikt: Uppgradera Windows 2000-domänkontrollanter till Windows Server 2003 innan du kör Windows Server 2003-kommandona adprep .

Exchange 2000-schemat definierar tre inetOrgPerson-attribut med icke-RFC-kompatibel LDAPDisplayNames: houseIdentifier, secretary och labeledURI.

Windows 2000 inetOrgPerson Kit och Windows Server 2003-kommandot adprep definierar RFC-klagomålsversioner av samma tre attribut med identiska LDAPDisplayNames som icke-RFC-kompatibla versioner.

När Windows Server 2003-kommandot adprep /forestprep körs utan korrigerande skript i en skog som innehåller Windows 2000- och Exchange 2000-schemaändringar, blir LDAPDisplayNames för houseIdentifier-, labeledURI- och secretary-attributen manglade. Ett attribut blir "manglat" om "Dup" eller andra unika tecken läggs till i början av det konfliktfyllda attributnamnet så att objekt och attribut i katalogen har unika namn.

Active Directory-skogar är inte sårbara för manglade LDAPDisplayNames för dessa attribut i följande fall:

  • Om du kör Kommandot Windows Server 2003 adprep /forestprep i en skog som innehåller Windows 2000-schemat innan du lägger till Exchange 2000-schemat.
  • Om du installerar Exchange 2000-schemat i skogen som skapades där en Windows Server 2003-domänkontrollant var den första domänkontrollanten i skogen.
  • Om du lägger till Windows 2000 inetOrgPerson Kit i en skog som innehåller Windows 2000-schemat och sedan installerar Exchange 2000-schemaändringar och sedan kör du Kommandot Windows Server 2003 adprep /forestprep .
  • Om du lägger till Exchange 2000-schemat i en befintlig Windows 2000-skog kör du Exchange 2003 /forestprep innan du kör kommandot Windows Server 2003 adprep /forestprep .

Manglade attribut inträffar i Windows 2000 i följande fall:

  • Om du lägger till Exchange 2000-versionerna av labeledURI, houseIdentifier och secretary-attributen till en Windows 2000-skog innan du installerar Windows 2000 inetOrgPerson Kit.
  • Du lägger till Exchange 2000-versionerna av labeledURI, houseIdentifier och secretary-attributen i en Windows 2000-skog innan du kör Windows Server 2003-kommandot adprep /forestprep utan att först köra rensningsskripten. Åtgärdsplaner för varje scenario följer:

Scenario 1: Exchange 2000-schemaändringar läggs till när du har kört kommandot Windows Server 2003 adprep /forestprep

Om Exchange 2000-schemaändringar introduceras i din Windows 2000-skog efter att kommandot Windows Server 2003 adprep /forestprep har körts krävs ingen rensning. Gå till avsnittet "Översikt: Uppgradera Windows 2000-domänkontrollanter till Windows Server 2003".

Scenario 2: Exchange 2000-schemaändringar installeras innan kommandot Windows Server 2003 adprep /forestprep

Om exchange 2000-schemaändringar redan har installerats men du inte har kört kommandot Windows Server 2003 adprep /forestprep bör du överväga följande åtgärdsplan:

  1. Logga in på konsolen för schemaåtgärdshanteraren med hjälp av ett konto som är medlem i säkerhetsgruppen Schemaadministratörer.

  2. Klicka på Start, klicka på Kör, skriv notepad.exe i rutan Öppna och klicka sedan på OK.

  3. Kopiera följande text, inklusive det avslutande bindestrecket efter "schemaUpdateNow: 1" till Anteckningar.

    dn: CN=ms-Exch-Assistant-Name,CN=Schema,CN=Configuration,DC=X
    changetype: Ändra
    replace:LDAPDisplayName
    LDAPDisplayName: msExchAssistantName
    -

    dn: CN=ms-Exch-LabeledURI,CN=Schema,CN=Configuration,DC=X
    changetype: Ändra
    replace: LDAPDisplayName
    LDAPDisplayName: msExchLabeledURI
    -

    dn: CN=ms-Exch-House-Identifier,CN=Schema,CN=Configuration,DC=X
    changetype: Ändra
    replace: LDAPDisplayName
    LDAPDisplayName: msExchHouseIdentifier
    -

    Dn:
    changetype: Ändra
    lägg till: schemaUpdateNow
    schemaUpdateNow: 1
    -

  4. Bekräfta att det inte finns något utrymme i slutet av varje rad.

  5. På menyn File (Arkiv) klickar du på Save (Spara). Gör följande i dialogrutan Spara som:

    1. I rutan Filnamn skriver du följande: \%userprofile%\InetOrgPersonPrevent.ldf
    2. I rutan Spara som-typ klickar du på Alla filer.
    3. I rutan Kodning klickar du på Unicode.
    4. Klicka på Spara.
    5. Avsluta Anteckningar.

  6. Kör Skriptet InetOrgPersonPrevent.ldf.

    1. Klicka på Start, klicka på Kör, skriv cmd i rutan Öppna och klicka sedan på OK.

    2. I en kommandotolk skriver du följande och trycker sedan på RETUR: cd %userprofile%

    3. Skriv följande kommando

    c:\documents and settings\%username%>ldifde -i -f inetorgpersonprevent.ldf -v -c DC=X "domain name path for forest root domain"

    Syntaxanteckningar:

    • DC=X är en skiftlägeskänslig konstant.
    • Sökvägen till domännamnet för rotdomänen måste omges av citattecken.

    Kommandosyntaxen för en Active Directory-skog vars skogsrotsdomän är TAILSPINTOYS.COM skulle till exempel vara:

    c:\documents and settings\administrator>ldifde -i -f inetorgpersonprevent.ldf -v -c DC=X "dc=tailspintoys,dc=com"

    Kommentar

    Du kan behöva ändra registerundernyckeln Tillåten schemauppdatering om du får följande felmeddelande: Schemauppdatering tillåts inte på den här domänkontrollanten eftersom registernyckeln inte har angetts eller att domänkontrollanten inte är schema-FSMO-rollägare.

  7. Kontrollera att attributen LDAPDisplayNames för attributen CN=ms-Exch-Assistant-Name, CN=ms-Exch-LabeledURI och CN=ms-Exch-House-Identifier i schemanamnskontexten nu visas som msExchAssistantName, msExchLabeledURI och msExchHouseIdentifier innan du kör Windows Server 2003-kommandona adprep /forestprep .

  8. Gå till avsnittet "Översikt: Uppgradera Windows 2000-domänkontrollanter till Windows Server 2003" för att köra adprep /forestprep kommandona och /domainprep .

Scenario 3: Kommandot Windows Server 2003 forestprep kördes utan att först köra inetOrgPersonFix

Om du kör Windows Server 2003-kommandot adprep /forestprep i en Windows 2000-skog som innehåller exchange 2000-schemaändringarna blir attributen LDAPDisplayName för houseIdentifier, secretary och labeledURI manglade. Om du vill identifiera manglade namn använder du Ldp.exe för att hitta de berörda attributen:

  1. Installera Ldp.exe från mappen Support\Tools i Microsoft Windows 2000- eller Windows Server 2003-mediet.

  2. Starta Ldp.exe från en domänkontrollant eller medlemsdator i skogen.

    1. På menyn Anslutning klickar du på Anslut, lämnar rutan Server tom, skriver 389 i rutan Port och klickar sedan på OK.
    2. På menyn Anslutning klickar du på Bindning, lämnar alla rutor tomma och klickar sedan på OK.

  3. Registrera den unika namnsökvägen för attributet SchemaNamingContext. För en domänkontrollant i skogen CORP.ADATUM.COM kan den unika namnsökvägen till exempel vara CN=Schema,CN=Configuration,DC=corp,DC=company,DC=com.

  4. På menyn Bläddra klickar du på Sök.

  5. Använd följande inställningar för att konfigurera dialogrutan Sök :

    • Bas-DN: Den unika namnsökvägen för schemanamnskontexten som identifieras i steg 3.
    • Filter: (ldapdisplayname=dup*)
    • Omfång: Underträd

  6. Mangled houseIdentifier-, secretary- och labeledURI-attribut har attributen LDAPDisplayName som liknar följande format:

    LDAPDisplayName: DUP-märktURI-9591bbd3-d2a6-4669-afda-48af7c35507d;
    LDAPDisplayName: DUP-secretary-c5a1240d-70c0-455c-9906-a4070602f85f
    LDAPDisplayName: DUP-houseIdentifier-354b0ca8-9b6c-4722-aae7-e66906cc9eef

  7. Om LDAPDisplayNames för labeledURI, secretary och houseIdentifier manglades i steg 6 kör du Skriptet Windows Server 2003 InetOrgPersonFix.ldf för att återställa och går sedan till avsnittet Uppgradera Windows 2000-domänkontrollanter med Winnt32.exe.

    1. Skapa en mapp med namnet %Systemdrive%\IOP och extrahera sedan filen InetOrgPersonFix.ldf till den här mappen.

    2. I en kommandotolk skriver du cd %systemdrive%\iop.

    3. Extrahera filen InetOrgPersonFix.ldf från den Support.cab fil som finns i mappen Support\Tools i Windows Server 2003-installationsmediet.

    4. Från konsolen för schemaåtgärdshanteraren läser du in filen InetOrgPersonFix.ldf med hjälp av Ldifde.exe för att korrigera attributet LdapDisplayName för attributet houseIdentifier, secretary och labeledURI. Om du vill göra det skriver du följande kommando, där <X> är en skiftlägeskänslig konstant och <dn-sökvägen för skogsrotdomänen> är domännamnssökvägen för rotdomänen i skogen:

      C:\IOP>ldifde -i -f inetorgpersonfix.ldf -v -c DC=X "domain name path for forest root domain"

      Syntaxanteckningar:

      • DC=X är en skiftlägeskänslig konstant.
      • Domännamnssökvägen för skogsrotdomänen måste omges av citattecken.

  8. Kontrollera att attributen houseIdentifier, secretary och labeledURI i schemanamngivningskontexten inte är "manglade" innan du installerar Exchange 2000.

Översikt: Uppgradera Windows 2000-domänkontrollanter till Windows Server 2003

Windows Server 2003-kommandot adprep som du kör från mappen \I386 i Windows Server 2003-mediet förbereder en Windows 2000-skog och dess domäner för tillägg av Windows Server 2003-domänkontrollanter. Kommandot Windows Server 2003 adprep /forestprep lägger till följande funktioner:

  • Förbättrade standardsäkerhetsbeskrivningar för objektklasser

  • Nya användar- och gruppattribut

  • Nya schemaobjekt och attribut som inetOrgPersonThe adprep-verktyget stöder två kommandoradsargument:

    • adprep /forestprep: Kör skogsuppgraderingsåtgärder.
    • dprep /domainprep: Kör domänuppgraderingsåtgärder.

Kommandot adprep /forestprep är en engångsåtgärd som utförs på schemaåtgärdshanteraren (FSMO) i skogen. Forestprep-åtgärden måste slutföras och replikeras till infrastrukturhanteraren för varje domän innan du kan köra adprep /domainprep den domänen.

Kommandot adprep /domainprep är en engångsåtgärd som du kör på infrastrukturåtgärdernas huvuddomänkontrollant för varje domän i skogen som ska vara värd för nya eller uppgraderade Windows Server 2003-domänkontrollanter. Kommandot adprep /domainprep verifierar att ändringarna från forestprep har replikerats i domänpartitionen och sedan gör egna ändringar i domänpartitionen och grupprinciperna i Sysvol-resursen.

Du kan inte utföra någon av följande åtgärder om inte åtgärderna /forestprep och /domainprep har slutförts och replikerats till alla domänkontrollanter i domänen:

  • Uppgradera Windows 2000-domänkontrollanterna till Windows Server 2003-domänkontrollanter med hjälp av Winnt32.exe.

Kommentar

Du kan uppgradera Windows 2000-medlemsservrar och -datorer till Windows Server 2003-medlemsdatorer när du vill. Flytta upp nya Windows Server 2003-domänkontrollanter till domänen med hjälp av Dcpromo.exe.Domänen som är värd för schemahanteringshanteraren är den enda domän där du måste köra både adprep /forestprep och adprep /domainprep. I alla andra domäner behöver du bara köra adprep /domainprep.

Kommandona adprep /forestprep och adprep /domainprep lägger inte till attribut i den globala katalogens partiella attributuppsättning eller orsakar en fullständig synkronisering av den globala katalogen. RTM-versionen av adprep /domainprep orsakar en fullständig synkronisering av mappen \Policies i Sysvol-trädet. Även om du kör forestprep och domainprep flera gånger utförs slutförda åtgärder bara en gång.

När ändringarna har ändrats från adprep /forestprep och adprep /domainprep replikerats helt kan du uppgradera Windows 2000-domänkontrollanterna till Windows Server 2003 genom att köra Winnt32.exe från mappen \I386 i Windows Server 2003-mediet. Du kan också lägga till nya Windows Server 2003-domänkontrollanter i domänen med hjälp av Dcpromo.exe.

Uppgradera skogen med kommandot adprep /forestprep

Förbered en Windows 2000-skog och domäner för att acceptera Windows Server 2003-domänkontrollanter genom att följa dessa steg först i en labbmiljö och sedan i en produktionsmiljö:

  1. Kontrollera att du har slutfört alla åtgärder i fasen "Skogsinventering" med särskild uppmärksamhet på följande objekt:

    1. Du har skapat säkerhetskopior av systemtillstånd.
    2. Alla Windows 2000-domänkontrollanter i skogen har installerat alla lämpliga snabbkorrigeringar och servicepaket.
    3. Slutpunkt till slutpunkt-replikering av Active Directory sker i hela skogen
    4. FRS replikerar filsystemprincipen korrekt i varje domän.

  2. Logga in på konsolen för schemaåtgärdshanteraren med ett konto som är medlem i säkerhetsgruppen Schemaadministratörer.

  3. Kontrollera att schema-FSMO har utfört inkommande replikering av schemapartitionen genom att skriva följande i en Windows NT-kommandotolk: repadmin /showreps

    ( repadmin installeras av mappen Support\Tools i Active Directory.)

  4. Tidig Microsoft-dokumentation rekommenderar att du isolerar schemahanteringshanteraren i ett privat nätverk innan du kör adprep /forestprep. Verkliga erfarenheter tyder på att det här steget inte är nödvändigt och kan leda till att en schemaåtgärdshanterare avvisar schemaändringar när det startas om i ett privat nätverk.

  5. Kör adprep på schemaåtgärdshanteraren. Om du vill göra det klickar du på Start, klickar på Kör, skriver cmd och klickar sedan på OK. I schemaåtgärdshanteraren skriver du följande kommando:

     X:\I386\adprep /forestprep

    där X:\I386\ är sökvägen till installationsmediet för Windows Server 2003. Det här kommandot kör schemauppgradering för hela skogen.

    Kommentar

    Händelser med händelse-ID 1153 som loggas i katalogtjänstens händelselogg, till exempel exemplet som följer, kan ignoreras:

  6. Kontrollera att adprep /forestprep kommandot har körts på schemaåtgärdshanteraren. Om du vill göra det kontrollerar du följande objekt från konsolen i schemaåtgärdshanteraren: – Kommandot adprep /forestprep slutfördes utan fel. - CN=Windows2003Update-objektet skrivs under CN=ForestUpdates,CN=Configuration,DC= forest_root_domain. Registrera värdet för attributet Revision. - (Valfritt) Schemaversionen steg till version 30. Det gör du genom att läsa attributet ObjectVersion under CN=Schema,CN=Configuration,DC= forest_root_domain. Om adprep /forestprep inte körs kontrollerar du följande:

    • Den fullständigt kvalificerade sökvägen för Adprep.exe som finns i mappen \I386 för installationsmediet angavs när adprep den kördes. För att göra det, skriver du in följande kommando:

      x:\i386\adprep /forestprep

      där x är den enhet som är värd för installationsmediet.

    • Den inloggade användaren som kör adprep har medlemskap i säkerhetsgruppen Schemaadministratörer. Kontrollera detta genom att whoami /all använda kommandot .

    • Om adprep det fortfarande inte fungerar kan du visa filen Adprep.log i mappen %systemroot%\System32\Debug\Adprep\Logs\Latest_log .

  7. Om du inaktiverade utgående replikering i schemaåtgärdshanteraren i steg 4 aktiverar du replikering så att schemaändringarna som har gjorts av adprep /forestprep kan spridas. Gör detta genom att följa dessa steg:

    1. Klicka på Start, klicka på Kör, skriv cmd och klicka sedan på OK.
    2. Skriv följande och tryck sedan på RETUR: repadmin /options -DISABLE_OUTBOUND_REPL

  8. Kontrollera att adprep /forestprep ändringarna har replikerats på alla domänkontrollanter i skogen. Det är användbart att övervaka följande attribut:

    1. Öka schemaversionen
    2. CN=Windows2003Update, CN=ForestUpdates,CN=Configuration,DC= forest_root_domain eller CN=Operations,CN=DomainUpdates,CN=System,DC= forest_root_domain och de åtgärds-GUID:er under den har replikerats i.
    3. Sök efter nya schemaklasser, objekt, attribut eller andra ändringar som adprep /forestprep läggs till, till exempel inetOrgPerson. Visa Sch XX.ldf-filerna (där XX är ett tal mellan 14 och 30) i mappen %systemroot%\System32 för att avgöra vilka objekt och attribut som ska finnas. Till exempel definieras inetOrgPerson i Sch18.ldf.

  9. Leta efter manglade LDAPDisplayNames. Om du hittar manglade namn går du till Scenario 3 i samma artikel.

  10. Logga in på konsolen för schemaåtgärdshanteraren med ett konto som är medlem i gruppen Schemaadministratörer i skogen som är värd för schemaåtgärdshanteraren.

Uppgradera domänen med kommandot adprep /domainprep

Kör adprep /domainprep efter att /forestprep-ändringarna helt replikerats till infrastrukturhuvuddomänkontrollanten i varje domän som ska vara värd för Windows Server 2003-domänkontrollanter. Följ stegen nedan:

  1. Identifiera infrastrukturhuvuddomänkontrollanten i den domän som du uppgraderar och logga sedan in med ett konto som är medlem i säkerhetsgruppen Domänadministratörer i den domän som du uppgraderar.

    Kommentar

    Företagsadministratören kanske inte är medlem i säkerhetsgruppen Domänadministratörer i underordnade domäner i skogen.

  2. Kör adprep /domainprep på infrastrukturhanteraren. Om du vill göra det klickar du på Start, klickar på Kör, skriver cmd och skriver sedan följande kommando i infrastrukturhanteraren: X:\I386\adprep /domainprep där X:\I386\ är sökvägen till Windows Server 2003-installationsmediet. Det här kommandot kör domänomfattande ändringar i måldomänen.

    Kommentar

    Kommandot adprep /domainprep ändrar filbehörigheter i Sysvol-resursen. Dessa ändringar orsakar en fullständig synkronisering av filer i katalogträdet.

  3. Kontrollera att domainprep har slutförts. Det gör du genom att kontrollera följande:

    • Kommandot adprep /domainprep slutfördes utan fel.
    • CN=Windows2003Update,CN=DomainUpdates,CN=System,DC= dn path of domain you are upgrading existsIf adprep /domainprep doesn't run, verify the following items:
    • Den inloggade användaren som kör adprep har medlemskap i säkerhetsgruppen Domänadministratörer i domänen som du uppgraderar. Det gör du med kommandot whoami /all.
    • Den fullständigt kvalificerade sökvägen för Adprep.exe som finns i katalogen \I386 för installationsmediet angavs när du körde adprep. För att göra det skriver du följande kommando i en kommandotolk: x :\i386\adprep /forestprep där x är den enhet som är värd för installationsmediet.
    • Om adprep det fortfarande inte fungerar kan du visa filen Adprep.log i mappen %systemroot%\System32\Debug\Adprep\Logs\ Latest_log .

  4. Kontrollera att adprep /domainprep ändringarna har replikerats. För de återstående domänkontrollanterna i domänen kontrollerar du följande objekt: – CN=Windows2003Update,CN=DomainUpdates,CN=System,DC= dn sökvägen till domänen som du uppgraderar objektet finns och värdet för revisionsattributet matchar värdet för samma attribut i domänens infrastrukturhanterare. - (Valfritt) Leta efter objekt, attribut eller ACL-ändringar (åtkomstkontrollistor) som adprep /domainprep har lagts till. Upprepa steg 1–4 i infrastrukturhanteraren för de återstående domänerna i grupp eller när du lägger till eller uppgraderar domänkontrollanter i dessa domäner till Windows Server 2003. Nu kan du flytta upp nya Windows Server 2003-datorer i skogen med hjälp av DCPROMO. Du kan också uppgradera befintliga Windows 2000-domänkontrollanter till Windows Server 2003 med hjälp av WINNT32.EXE.

Uppgradera Windows 2000-domänkontrollanter med hjälp av Winnt32.exe

När ändringarna från /forestprep och /domainprep har replikerats helt och du har fattat ett beslut om säkerhetskompatibilitet med tidigare versioner av klienter, kan du uppgradera Windows 2000-domänkontrollanter till Windows Server 2003 och lägga till nya Windows Server 2003-domänkontrollanter i domänen.

Följande datorer måste vara bland de första domänkontrollanterna som kör Windows Server 2003 i skogen i varje domän:

  • Domännamngivningshanteraren i skogen så att du kan skapa standardpartitioner för DNS-program.
  • Den primära domänkontrollanten för skogsrotdomänen så att de företagsomfattande säkerhetsobjekten som Windows Server 2003:s forestprep lägger till blir synliga i ACL-redigeraren.
  • Den primära domänkontrollanten i varje icke-rotdomän så att du kan skapa nya domänspecifika Säkerhetsobjekt för Windows 2003. Det gör du genom att använda WINNT32 för att uppgradera befintliga domänkontrollanter som är värdar för den driftsroll du vill använda. Du kan också överföra rollen till en nyligen upphöjd Windows Server 2003-domänkontrollant. Utför följande steg för varje Windows 2000-domänkontrollant som du uppgraderar till Windows Server 2003 med WINNT32 och för varje Windows Server 2003-arbetsgrupp eller medlemsdator som du befordrar:

  1. Innan du använder WINNT32 för att uppgradera Windows 2000-medlemsdatorer och domänkontrollanter tar du bort Administrationsverktyg för Windows 2000. Om du vill göra det använder du verktyget Lägg till/ta bort program i Kontrollpanelen. (Endast Windows 2000-uppgraderingar.)

  2. Det är viktigt att installera snabbkorrigeringar eller andra korrigeringar som microsoft eller administratören fastställer.

  3. Kontrollera om det finns möjliga uppgraderingsproblem för varje domänkontrollant. Det gör du genom att köra följande kommando från mappen \I386 för installationsmediet: winnt32.exe /checkupgradeonly Lös eventuella problem som kompatibilitetskontrollen identifierar.

  4. Kör WINNT32.EXE från mappen \I386 för installationsmediet och starta om den uppgraderade domänkontrollanten från 2003.

  5. Sänk säkerhetsinställningarna för tidigare versioner av klienter efter behov.

    Om Windows NT 4.0-klienter inte har NT 4.0 SP6- eller Windows 95-klienter som inte har katalogtjänstklienten installerad inaktiverar du SMB-tjänstsignering på standardprincipen för domänkontrollanter i organisationsenheten Domänkontrollanter och länkar sedan den här principen till alla organisationsenheter som är värdar för domänkontrollanter. Datorkonfiguration\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Säkerhetsalternativ\Microsoft Network Server: Signera kommunikation digitalt (alltid)

  6. Kontrollera hälsotillståndet för uppgraderingen med hjälp av följande datapunkter:

    • Uppgraderingen har slutförts.
    • Snabbkorrigeringarna som du lade till i installationen ersatte de ursprungliga binärfilerna.
    • Inkommande och utgående replikering av Active Directory sker för alla namngivningskontexter som innehas av domänkontrollanten.
    • Netlogon- och Sysvol-resurserna finns.
    • Händelseloggen anger att domänkontrollanten och dess tjänster är felfria.

    Kommentar

    Du kan få följande händelsemeddelande när du har uppgraderat: Du kan ignorera det här händelsemeddelandet på ett säkert sätt.

  7. Installera administrationsverktygen för Windows Server 2003 (Windows 2000-uppgraderingar och endast Windows Server 2003-icke-domänkontrollanter). Adminpak.msi finns i mappen \I386 i Windows Server 2003 CD-ROM. Windows Server 2003-media innehåller uppdaterade supportverktyg i filen Support\Tools\Suptools.msi. Se till att du installerar om den här filen.

  8. Gör nya säkerhetskopior av minst de två första Windows 2000-domänkontrollanterna som du uppgraderade till Windows Server 2003 i varje domän i skogen. Leta upp säkerhetskopiorna av de Windows 2000-datorer som du uppgraderade till Windows Server 2003 i låst lagring så att du inte av misstag använder dem för att återställa en domänkontrollant som nu kör Windows Server 2003.

  9. (Valfritt) Utför en offlinedefragmentering av Active Directory-databasen på de domänkontrollanter som du uppgraderade till Windows Server 2003 när det enskilda instansarkivet (SIS) har slutförts (endast Windows 2000-uppgraderingar).

    SIS granskar befintliga behörigheter för objekt som lagras i Active Directory och tillämpar sedan en effektivare säkerhetsbeskrivning på dessa objekt. SIS startar automatiskt (identifieras av händelse 1953 i händelseloggen för katalogtjänsten) när uppgraderade domänkontrollanter först startar operativsystemet Windows Server 2003. Du kan bara dra nytta av det förbättrade säkerhetsbeskrivningsarkivet när du loggar ett händelse-ID 1966-händelsemeddelande i händelseloggen för katalogtjänsten: Det här händelsemeddelandet anger att den enskilda instanslagringsåtgärden har slutförts och fungerar som en kö som administratören ska utföra offlinedefragmentering av Ntds.dit med hjälp av NTDSUTIL.EXE.

    Offlinedefragmenteringen kan minska storleken på en Windows 2000 Ntds.dit-fil med upp till 40 %, förbättra Active Directory-prestanda och uppdatera sidorna i databasen för effektivare lagring av link valued-attribut. Om du vill ha mer information om hur du defragmenterar Active Directory-databasen klickar du på följande artikelnummer för att visa artikeln i Microsoft Knowledge Base:

    232122 Utför offlinedefragmentering av Active Directory-databasen

  10. Undersök DLT-servertjänsten. Windows Server 2003-domänkontrollanter inaktiverar DLT Server-tjänsten vid nya installationer och uppgraderingsinstallationer. Om Windows 2000- eller Windows XP-klienter i din organisation använder DLT Server-tjänsten använder du grupprincip för att aktivera DLT Server-tjänsten på nya eller uppgraderade Windows Server 2003-domänkontrollanter. Annars tar du stegvis bort distribuerade länkspårningsobjekt från Active Directory. Om du vill veta mer klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:

    312403 Distributed Link Tracking på Windows-baserade domänkontrollanter

    Om du massar bort tusentals DLT-objekt eller andra objekt kan du blockera replikering på grund av brist på versionslager. Vänta tombstonelifetime antal dagar (som standard 60 dagar) efter att du har tagit bort det senaste DLT-objektet och för att skräpinsamlingen ska slutföras och använd sedan NTDSUTIL.EXE för att utföra en offlinedefragmentering av filen Ntds.dit.

  11. Konfigurera organisationsenhetsstrukturen för bästa praxis. Microsoft rekommenderar att administratörer aktivt distribuerar organisationens enhetsstruktur för bästa praxis i alla Active Directory-domäner, och när de har uppgraderat eller distribuerat Windows Server 2003-domänkontrollanter i Windows-domänläge omdirigerar du de standardcontainrar som TIDIGARE API:er använder för att skapa användare, datorer och grupper till en container för organisationsenhet som administratören anger.

    Mer information om organisationsenhetsstrukturen för bästa praxis finns i avsnittet "Skapa en organisationsenhetsdesign" i vitboken "Best Practice Active Directory Design for Managing Windows Networks". Om du vill visa vitboken går du till följande Microsoft-webbplats: https://technet.microsoft.com/library/bb727085.aspx Om du vill ha mer information om hur du ändrar standardcontainern där användare, datorer och grupper som tidigare versioner av API:er skapar finns klickar du på följande artikelnummer för att visa artikeln i Microsoft Knowledge Base:

    324949 Omdirigera användare och datorer i Windows Server 2003-domäner

  12. Upprepa steg 1 till och med 10 efter behov för varje ny eller uppgraderad Windows Server 2003-domänkontrollant i skogen och steg 11 (organisationsenhetsstruktur för bästa praxis) för varje Active Directory-domän.

    Sammanfattningsvis:

    • Uppgradera Windows 2000-domänkontrollanter med WINNT32 (från det slipstreamade installationsmediet om det används)
    • Kontrollera att snabbkorrigeringsfilerna har installerats på de uppgraderade datorerna
    • Installera eventuella nödvändiga snabbkorrigeringar som inte finns på installationsmediet
    • Kontrollera hälsotillståndet på nya eller uppgraderade servrar (AD, FRS, Princip och så vidare)
    • Vänta 24 timmar efter os-uppgraderingen och sedan offlinedefragiera (valfritt)
    • Starta DLT-tjänsten om du måste, annars ta bort DLT-objekt med q312403 /q315229 post forest-wide domainpreps
    • Utför offlinedefragiering i över 60 dagar (tombstone-livslängd och skräpinsamlingsnummer på dagar) efter borttagning av DLT-objekt

Torrkörningsuppgraderingar i en labbmiljö

Innan du uppgraderar Windows-domänkontrollanter till en Windows 2000-produktionsdomän verifierar och förfinar du uppgraderingsprocessen i labbet. Om uppgraderingen av en labbmiljö som korrekt speglar produktionsskogen fungerar smidigt kan du förvänta dig liknande resultat i produktionsmiljöer. För komplexa miljöer måste labbmiljön spegla produktionsmiljön inom följande områden:

  • Maskinvara: datortyp, minnesstorlek, sidfilplacering, diskstorlek, prestanda och raidkonfiguration, BIOS- och firmware-revisionsnivåer
  • Programvara: klient- och serveroperativsystemversioner, klient- och serverprogram, servicepaketversioner, snabbkorrigeringar, schemaändringar, säkerhetsgrupper, gruppmedlemskap, behörigheter, principinställningar, objektantalstyp och plats, versionskompatibilitet
  • Nätverksinfrastruktur: WINS, DHCP, länkhastigheter, tillgänglig bandbredd
  • Läs in: Belastningssimulatorer kan simulera lösenordsändringar, skapa objekt, Active Directory-replikering, inloggningsautentisering och andra händelser. Målet är inte att återskapa produktionsmiljöns skala. I stället är målet att identifiera kostnaderna och frekvensen för vanliga åtgärder och att interpolera deras effekter (namnfrågor, replikeringstrafik, nätverksbandbredd och processorförbrukning) på produktionsmiljön baserat på dina nuvarande och framtida krav.
  • Administration: uppgifter som utförs, verktyg som används, operativsystem som används
  • Åtgärd: kapacitet, samverkan
  • Diskutrymme: Observera start-, topp- och slutstorleken för operativsystemet, Ntds.dit och Active Directory-loggfiler i den globala katalogen och icke-globala katalogdomänkontrollanter i varje domän efter var och en av följande åtgärder:
    1. adprep /forestprep
    2. adprep /domainprep
    3. Uppgradera Windows 2000-domänkontrollanter till Windows Server 2003
    4. Utföra offlinedefragmentering efter versionsuppgraderingar

En förståelse för uppgraderingsprocessen och komplexiteten i miljön i kombination med detaljerad observation bestämmer den takt och grad av omsorg som du tillämpar för att uppgradera produktionsmiljöer. Miljöer med ett litet antal domänkontrollanter och Active Directory-objekt som är anslutna via WAN-länkar (Wide Area Network) med hög tillgänglighet kan uppgraderas på bara några timmar. Du kan behöva vara mer försiktig med företagsdistributioner som har hundratals domänkontrollanter eller hundratusentals Active Directory-objekt. I sådana fall kanske du vill utföra uppgraderingen under flera veckor eller månader.

Använd "Dry-run"-uppgraderingar i labbet för att utföra följande uppgifter:

  • Förstå det inre arbetet i uppgraderingsprocessen och de associerade riskerna.
  • Exponera potentiella problemområden för distributionsprocessen i din miljö.
  • Testa och utveckla reservplaner om uppgraderingen inte lyckas.
  • Definiera lämplig detaljnivå som ska tillämpas på uppgraderingsprocessen för produktionsdomänen.

Domänkontrollanter utan tillräckligt med diskutrymme

På domänkontrollanter med otillräckligt diskutrymme använder du följande steg för att frigöra ytterligare diskutrymme på volymen som är värd för Ntds.dit- och Log-filerna:

  1. Ta bort oanvända filer, inklusive *.tmp filer eller cachelagrade filer som webbläsare använder. Det gör du genom att skriva följande kommandon (tryck på RETUR efter varje kommando):

    cd /d drive\  
del *.tmp /s

  2. Ta bort alla användare eller minnesdumpfiler. Det gör du genom att skriva följande kommandon (tryck på RETUR efter varje kommando):

    cd /d drive\  
del *.dmp /s

  3. Ta tillfälligt bort eller flytta filer som du kan komma åt från andra servrar eller enkelt installera om. Filer som du kan ta bort och enkelt ersätta är ADMINPAK, supportverktyg och alla filer i mappen %systemroot%\System32\Dllcache.

  4. Ta bort gamla eller oanvända användarprofiler. Det gör du genom att klicka på Start, högerklicka på Min dator, klicka på Egenskaper, klicka på fliken Användarprofiler och sedan ta bort alla profiler som är för gamla och oanvända konton. Ta inte bort några profiler som kan vara för tjänstkonton.

  5. Ta bort symbolerna i %systemroot%\Symbols. För att göra det skriver du följande kommando: rd /s %systemroot%\symbols Beroende på om servrarna har en fullständig eller liten symboluppsättning kan detta få cirka 70 MB till 600 MB.

  6. Utför en offlinedefragmentering. En offlinedefragmentering av filen Ntds.dit kan frigöra utrymme, men kräver tillfälligt dubbelt så mycket utrymme som den aktuella DIT-filen. Utför offlinedefragiret med hjälp av andra lokala volymer om en är tillgänglig. Du kan också använda utrymme på en bäst ansluten nätverksserver för att utföra offlinedefragmenteringen. Om diskutrymmet fortfarande inte räcker tar du stegvis bort onödiga användarkonton, datorkonton, DNS-poster och DLT-objekt från Active Directory.

Kommentar

Active Directory tar inte bort objekt från databasen förrän antalet dagar i tombstonelifetime (som standard 60 dagar) har passerat och skräpinsamlingen har slutförts. Om du minskar tombstonelifetime till ett värde som är lägre än replikering från slutpunkt till slutpunkt i skogen kan du orsaka inkonsekvenser i Active Directory.