Статьи » ОС » Windows » Обновление контроллеров домена Windows 2000 до Windows Server 2003
Аннотация
В статье рассматриваются обновления контроллеров домена Windows 2000 до Windows Server 2003 и добавления контроллеров домена под управлением Windows Server 2003 в домен Windows 2000. Проверка домена и леса
Перед добавлением изменений схемы Windows Server 2003 или контроллеров домена Windows Server 2003 в существующий лес Windows 2000 необходимо выполнить следующие действия.
Проверить клиентские компьютеры, работающие с ресурсами обновляемого домена.
Компьютеры под управлением Windows 95, Windows NT 4.0 и компьютеры Macintosh.
При попытке подключения к сетевым ресурсам пользователи компьютеров Macintosh могут получать следующее сообщение об ошибке: - Error -36 I/O
Локальные параметры безопасности, установленные на контроллерах домена Windows Server 2003, требуют, чтобы клиенты подписывали сообщения протокола SMB. Компьютеры под управлением Windows 95, на которых не установлен клиент службы каталогов Active Directory, и Windows NT 4.0 с пакетом обновления 2 (SP2) или более ранней версии не поддерживают данную возможность. Такие компьютеры не могут пройти проверку подлинности или получить доступ к ресурсам на контроллерах домена под управлением Windows Server 2003.
Если проверка подлинности выполняется контроллером домена под управлением Windows 2003, на котором разрешено подписывание SMB, на компьютерах под управлением Windows 95, на которых не установлен клиент службы каталогов Active Directory, появляется следующее сообщение об ошибке: Введен неверный пароль домена или отказ в доступе к серверу регистрации.
Чтобы компьютеры под управлением Windows 95 прошли проверку подлинности, необходимо в групповой политике запретить контроллерам домена подписывать сообщения SMB или установить на соответствующих компьютерах клиент службы каталогов Active Directory для Windows 9x. Клиент службы каталогов Active Directory для Win9x находится на компакт-диске Windows 2000 Server. Однако данный клиент был заменен улучшенной версией клиента службы каталогов для Win9x. За дополнительной информацией обратитесь к следующей статье Microsoft Knowledge Base:
323466 Availability of the Directory Services Client Update for Windows 95 and Windows 98
Аналогичные проблемы возникают при проверке подлинности компьютеров под управлением Windows NT 4.0 с пакетом обновления 2 (SP2) или более ранней версии. Если проверка подлинности выполняется контроллером домена под управлением Windows 2003, на котором разрешено подписывание SMB, на компьютерах под управлением Windows 4,0 с пакетом обновления 2 (SP2) или более ранней версии, на которых не установлен клиент службы каталогов Active Directory, появляется следующее сообщение об ошибке: Вход в систему невозможен. Проверьте, правильно ли введены имя пользователя и домен, а затем повторите ввод пароля. Пароли вводятся с учетом регистра. Проверьте, не была ли случайно нажата клавиша "Caps Lock".
Корпорация Microsoft рекомендует установить пакет обновления 6A (SP6A) для Windows NT 4.0 на всех компьютерах под управлением Windows NT 4.0, проходящих проверку подлинности в доменах, содержащих компьютеры под управлением Windows Server 2003.
Если перед добавлением контроллеров домена под управлением Windows Server 2003 невозможно установить требуемые обновления на соответствующие компьютеры под управлением Windows 95 и Windows NT 4.0, в групповой политике необходимо временно запретить подписывание сообщений SMB, пока на компьютерах под управлением Windows 95 и Windows NT 4.0 не будет развернуто обновленное программное обеспечение.
Для этого в подразделении контроллеров домена необходимо выбрать политику по умолчанию для контроллеров домена и изменить значение параметра Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности\Сервер сети Microsoft: использовать цифровую подпись (всегда)
Необходимо также привязать соответствующий объект групповой политики (GPO) к остальным подразделениям, в которых находятся контролеры доменов под управлением Windows 2000 или Windows Server 2003. Кроме того, можно соответствующим образом настроить подписывание SMB в объектах групповой политики, привязанных к этим подразделениям. Прочие клиенты.
На компьютерах под управлением Windows 98, Windows 98 Second Edition, Windows Millennium Edition, Windows NT 4.0 с пакетом обновления 3 (SP3) или более поздней версии, Windows 2000, Windows XP Professional или Windows Server 2003 нет необходимости в дополнительных изменениях настроек.
Проверить контроллеры домена, находящиеся в обновляемом домене и в лесу.
Следует убедиться, что на всех контроллерах доменов под управлением Windows 2000 установлены соответствующие исправления и пакеты обновления.
Корпорация Microsoft рекомендует, чтобы на всех контроллерах доменов под управлением Windows 2000 был установлен пакет обновления 3 (SP3) для Windows 2000 или более поздней версии. Если развернуть пакет обновления 3 (SP3) для Windows 2000 полностью невозможно, необходимо убедиться, что на всех контроллерах домена под управлением Windows 2000 установлен файл Ntdsa.dll версии 5.0.2195.3673 или более поздней, выпущенный 4 июня 2001 года или позже. За дополнительной информацией обратитесь к следующей статье Microsoft Knowledge Base:
href="#">331161 Hotfixes to Install on Windows 2000 Domain Controllers Before Running Adprep /Forestprep
По умолчанию на клиентских компьютерах под управлением Windows 2000 с пакетом обновления 4 (SP4), Windows XP и Windows Server 2003 средства администрирования Active Directory используют подписывание сообщений протокола LDAP (Lightweight Directory Access Protocol). При использовании на таких компьютерах проверки подлинности NTLM они не смогут подключиться к контроллерам доменов под управлением Windows 2000. Чтобы изменить подобное поведение, необходимо установить на этих контроллерах домена пакет обновления 3 (SP3) или более поздней версии или запретить использование подписи для протокола LDAP на соответствующих клиентских компьютерах. За дополнительной информацией о протоколе LDAP обратитесь к следующим статьям Microsoft Knowledge Base:
href="#">325465 Windows 2000 Domain Controllers Require Service Pack 3 or Later When Using Windows Server 2003 Administration Tools
Проверка подлинности NTLM используется в следующих случаях.
При администрировании контроллеров домена под управлением Windows 2000, находящихся в отдельном лесу, подключенном с помощью доверительных отношений, использующих ранние версии NTLM. При указании оснастке только IP-адреса контроллера домена. Например, если нажать кнопку class=uiterm>Пуск, выбрать пункт class=uiterm>Выполнить и ввести следующую команду:
dsa.msc /server=ip-адрес
Чтобы определить операционную систему и номер пакета обновления контроллеров домена, необходимо на компьютере под управлением Windows Server 2003 или Windows XP Professional, находящемся в этом лесу, установить программу Repadmin.exe для Windows Server 2003 и выполнить следующую команду repadmin для контроллера домена в каждом домене леса.
Примечание. В атрибутах контроллеров доменов не отражается установка отдельных исправлений. Необходимо проверить прохождение репликации Active Directory во всем лесу.
Следует убедиться, что все контроллеры доменов в обновляемом лесу реплицируют все свои локальные контексты именований в соответствии с расписанием, определенным для сайта или для объектов подключений. В частности, у каждого контроллера домена должен быть как минимум один объект входящего и исходящего подключения для следующих разделов:
Схема и конфигурация: общие для всех контроллеров доменов в составе леса Домен: общий для всех контроллеров домена в одном домене
На компьютере под управлением Windows XP или Windows Server 2003, не являющемся контроллером домена, необходимо запустить версию программы Repadmin.exe, предназначенную для Windows Server 2003, со следующими параметрами: REPADMIN /REPLSUM /BYSRC /BYDEST /SORT:DELTA c:\repldrilldown.csv, импортировать созданный файл в программу электронных таблиц и отсортировать данные по полю «last success time».
Необходимо соблюдать осторожность при устранении ошибок репликации на контроллерах домена, которые не проводили репликацию входящих или исходящих изменений для контекста именований в течение более tombstonelifetime дней, поскольку при этом можно восстановить объекты, удаленные на одном контроллере домена, но еще активные на других контроллерах домена (если информация об удалении не была реплицирована за последние 60 дней) .
Желательно понизить роль таких контроллеров домена и удалить оставшиеся элементы из леса Active Directory, используя программу Ntdsutil и другие программы. За помощью обратитесь к организации, осуществляющей поддержку, или в службу технической поддержки Microsoft.
Необходимо включить все контроллеры домена, которые были выключены менее чем tombstonelifetime дней, и проверить правильность выполнения входящей и исходящей репликации.
Если контроллеры домена не могут осуществить репликацию Active Drirectory, необходимо понизить их роль, в программе Ntdsutil использовать команду metadata cleanup, чтобы удалить их из леса, а затем повысить их роль и ввести в лес. Для сохранения операционной системы и приложений, установленных на потерянных контроллерах доменов, можно использовать принудительное понижение роли. За дополнительной информацией об удалении из домена потерянных контроллеров домена под управлением Windows 2000 обратитесь к следующей статье Microsoft Knowledge Base:
href="#">216498 Удаление данных из Active Directory после неудачного понижения роли контроллера домена
Это может использоваться только в качестве крайнего средства, позволяющего сохранить установленную операционную систему и приложения. При этом будут потеряны нереплицированные объекты и атрибуты потерянных контроллеров домена, включая пользователей, компьютеры, доверительные отношения и их пароли, группы и данные о членстве в группах. Необходимо проверить целостность папки общего доступа Sysvol.
Для поддержания работоспособности служб Active Directory контроллеры домена должны применять политику домена по умолчанию и политику контроллеров домена по умолчанию, реплицируемые с помощью ресурса Sysvol. Необходимо проверить непротиворечивость файлов политики, находящихся в общих папках Sysvol контроллеров домена, входящих в один домен. Для обнаружения нарушений в файлах системной политики в домене может быть использована программа Gpotool.exe из набора Resource Kit. Для определения правильности работы реплики ресурса Sysvol в каждом домене может быть использована программа Healthcheck из набора Windows Server 2003 support tools.
При обнаружении нарушений в содержимом ресурса Sysvol их необходимо устранить. Необходимо с помощью программы Dcdiag.exe из набора средств поддержки проверить, имеют ли все контроллеры домена общие папки netlogon и sysvol. Для этого выполните следующую команду:
DCDIAG.EXE /e /test:frssysvol
Необходимо проверить распределение ролей.
Хозяин схемы и хозяин инфраструктуры вносят изменения схемы уровня леса и уровня домена. В каждом домене необходимо присвоить одному из работающих контроллеров домена роль хозяина инфраструктуры (FSMO). В лесу, содержащем более одного домена, контроллер домена, являющийся хозяином инфраструктуры, не должен быть сервером глобального каталога. Как правило, хозяином схемы является основной контроллер корневого домена леса либо любой другой контроллер домена данного леса. После этого необходимо убедиться в работоспособности основного контроллера домена, хозяина RID и хозяина именования домена. Дополнительные сведения о хозяевах операций и их размещении приведены в следующей статье Microsoft Knowledge Base:
href="#">197132 Windows 2000 Active Directory FSMO Roles
href="#">223346 Расположение и оптимизация ролей FSMO на контроллерах домена под управлением Windows 2000
Для просмотра ролей в лесу и в домене можно использовать команду netdom query fsmo.
Необходимо просмотреть журнал событий
Следует убедиться в отсутствии в журналах событий сообщений о проблемах. В журналах событий не должно быть сообщений о серьезных проблемах со следующими процессами и компонентами:
физическое подключение
работа сети
регистрация имен
разрешение имен
проверка подлинности
Групповая политика
политика безопасности
дисковая подсистема
схема
топология
система репликации
Необходимо проверить объем свободного места на жестком диске
Объем свободного места на томе, содержащем файл базы данных Active Directory (Ntds.dit), должен быть менее 15-20% размера файла Ntds.dit. Объем свободного места на томе, содержащем файл журнала Active Directory, должен быть не менее 15-20% размера файла Ntds.dit. Дополнительную информацию о способах освобождения дискового пространства см. далее в разделе «Отсутствие свободного места на контроллерах домена». Очистка DNS (необязательно)
Следует настроить очистку DNS на запуск раз в 7 дней для всех серверов DNS в лесу. Рекомендуется произвести эту операцию за 61 или более дней до обновления операционной системы. Это даст процедуре очистки DNS требуемое время для удаления устаревших объектов DNS при выполнении дефрагментации файла Ntds.dit в автономном режиме. Отключение службы сервера DLT (отслеживания изменившихся связей) (необязательно)
Если данная служба не используется компьютером под управлением Windows 2000 или Windows XP, для типа ее запуска необходимо задать значение «отключено» на всех контроллерах домена под управлением Windows 2000. За дополнительной информацией обратитесь к разделу «Рекомендации Майкрософт в отношении серверной службы DLT для серверов с ОС Windows 2000» следующей статьи Microsoft Knowledge Base:
href="#">312403 Отслеживание изменившихся связей (Distributed Link Tracking) на контроллерах доменов с ОС Windows
Архивация состояния системы
Необходимо выполнить архивацию состояния системы как минимум двух контроллеров домена в каждом домене леса. Эти данные могут быть впоследствии использованы для восстановления доменов после неудачной попытки обновления.
Exchange 2000 в лесу Windows 2000
Примечание. Изучите материал данного рездела, если в лесу Windows 2000 установлен или будет устанавливаться сервер Exchange 2000.
Схема Exchange 2000 определяет 3 атрибута, несовместимые с RFC: houseIdentifier, secretary и labeledURI. Набор Windows 2000 InetOrgPerson Kit и команда adprep в Windows Server 2003 переопределяют эти атрибуты. Если служба Active Directory обнаруживает объекты с одинаковыми именами, она изменяет имя одного из объектов, добавляя в начало имени сочетание Dup и еще несколько уникальных символов. Таким образом, если эти 3 атрибута были созданы программой Exchange 2000 в лесу Windows 2000 перед запуском набора Windows 2000 InetOrgPerson Kit или изменений схемы Windows Server 2003, параметр LDAPDisplayName для этих атрибутов может быть поврежден после репликации новых настроек, совместимых с RFC.
Лес Active Directory не подвержен описанной проблеме, если для создания начального описания атрибутов Secretary и labeledURI был использован набор InetOrgPerson Kit для Windows 2000 или команда adprep в Windows Server 2003. В частности, повреждение атрибутов LdapDisplayName не происходит в следующих случаях:
если перед запуском команды adprep для Windows Server 2003 к лесу Windows 2000 был добавлен набор Windows 2000 InetOrgPerson Kit; если команда adprep Windows Server 2003 была выполнена в лесу Windows 2000 до установки службы Exchange 2000; если служба Exchange 2000 была добавлена к лесу Windows Server 2003; если перед выполнением команды adprep на серверах Exchange 2000 был установлен пакет обновления 3 (SP3).
В лесу Windows 2000 и Windows Server 2003 могут появляться поврежденные атрибуты, если сервер Exchange 2000 создает в домене Windows 2000 определения атрибутов Secretary и labeledURI. Это может происходить в следующих случаях:
если сервер Exchange 2000 с пакетом обновления 2 (SP2) и ранняя версия класса InetOrgPerson были добавлены к лесу Windows 2000 до того как был добавлен класс InetOrgPerson из набора InetOrgPerson Kit; если до выполнения команды adprep /forestprep для Windows Server 2003, к лесу Windows 2000 были добавлены сервер Exchange 2000 с пакетом обновления 2 (SP2) и ранняя версия класса InetOrgPerson; если контроллер домена под управлением Windows 2000, на котором установлены сервер Exchange 2000 с пакетом обновления 2 (SP2) и ранняя версия класса InetOrgPerson, не получает обновлений Active Directory после запуска программы InetOrgPerson-fix.ldf из набора InetOrgPerson Kit для Windows 2000.
Таким образом, если в лесу Windows 2000 установлен или будет устанавливаться сервер Exchange 2000, необходимо выполнить следующие действия. Случай 1: добавление изменений схемы Exchange 2000 после выполнения команды adprep /forestprep
Если мзменения схемы Exchange 2000 будут производиться после выполнения команды adprep /forestprep для Windows Server 2003, обратитесь к разделу «Обзор: обновление операционной системы контроллеров домена с Windows 2000 до Windows Server 2003». Случай 2: изменение схемы Exchange 2000 до выполнения команды adprep /forestprep
Если изменения схемы Exchange 2000 были сделаны до выполнения команды adprep /forestprep для Windows Server 2003, выполните следующие действия.
Войдите в систему на компьютере, являющемся хозяином схемы, используя учетную запись, входящую в группы «Администраторы схемы» и «Администраторы предприятия». Включите обновления схемы на хозяине схемы. За дополнительной информацией о разрешении обновлений схемы Active Directory обратитесь к следующей статье Microsoft Knowledge Base:
href="#">285172 Schema Update Require Write Access to Schema in Active Directory
Нажмите кнопку Пуск, выберите команду Выполнить, в поле Открыть введите notepad.exe и нажмите кнопку class=uiterm>ОК. Из приведенного ниже фрагмента скопируйте в программу «Блокнот» текст между метками [начало фрагмента] и [конец фрагмента] (включая завершающие символы «-»).
[конец фрагмента] В программе «Блокнот» в меню class=uiterm>Файл выберите команду class=uiterm>Сохранить. Создайте папку %systemdrive%\IOP, где %systemdrive% — логический диск, на котором находится операционная система Windows 2000. Сохраните документ в этой папке под именем InetOrgPersonPrevent.ldf. Закройте программу «Блокнот». Выполните сценарий InetOrgPersonPrevent.ldf.
Нажмите кнопку Пуск, выберите команду Выполнить, в поле Открыть введите cmd и нажмите кнопку class=uiterm>ОК. В командной строке введите следующую команду и нажмите клавишу ENTER:
cd %systemdrive%\IOP
Введите следующую команду (включая кавычки) и нажмите клавишу ENTER, где — контекстно-зависимое значение (dc=corp,dc=tailspintoys,dc=com) и — доменное имя корневого домена леса:
Перед выполнением команд adprep /forestprep для Windows Server 2003 убедитесь, что в контексте именования схемы атрибуты LDAPDisplaynames для CN=ms-Exch-Assistant-Name, CN=ms-Exch-LabeledURI и CN=ms-Exch-House-Identifier отображаются как msExchAssistantName, msExchLabeledURI и msExchHouseIdentifier. Выполните команды adprep /forestprep и /domainprep. Для этого перейдите к разделу «Обзор: обновление операционной системы контроллеров домена с Windows 2000 до Windows Server 2003» данной статьи.
Случай 3: команда forestprep для Windows Server 2003 была запущена без предварительного выполнения программы InetOrgPersonFix
Выполнение команды adprep /forestprep для Windows Server 2003 в лесу Windows 2000, содержащем изменения схемы Exchange 2000 повреждает атрибуты LDAPDisplay для houseIdentifier, Secretary и labeledURI. Для нахождения поврежденных имен выполните следующие действия.
Установите программу Ldp.exe из папки Support\Tools компакт-диска Microsoft Windows 2000 или Windows Server 2003. Запустите файл Ldp.exe на любом компьютере домена.
В меню Connection выберите команду Connect, оставьте поле Server незаполненным, введите номер 389 в поле class=uiterm>Port и нажмите кнопку class=uiterm>OK. В меню Connection выберите команду Bind, оставьте все поля пустыми и нажмите кнопку class=uiterm>OK.
Запишите путь и составное имя для атрибута SchemaNamingContext. Например, для контроллера домена в лесу CORP.ADATUM.COM составное имя может иметь вид CN=Schema,CN=Configuration,DC=corp,DC=company,DC=com. В меню Browse выберите команду Search. В окне Search установите следующие значения параметров.
Base DN: Составное имя, записанное на шаге 3. Filter: (ldapdisplayname=dup*) Scope: Поддерево
У поврежденных атрибутов houseIdentifier, Secretary и LabeledURI атрибуты LDAPDisplayName могут выглядеть следующим образом:
Если имена LDAP атрибутов labeledURI, Secretary и HouseIdentifier были повреждены, запустите сценарий InetOrgPersonFix.ldf для Windows Server 2003, чтобы восстановить их, и перейдите к разделу «Обновление контроллеров домена под управлением Windows 2000 с использованием программы Winnt32.exe» данной статьи.
Создайте папку %systemdrive%\IOP и извлеките в нее файл InetOrgPersonFix.ldf. В командной строке введите cd %systemdrive%\iop. Извлеките файл InetOrgPersonFix.ldf из файла Support.cab, находящегося в папке Support\Tools установочного диска Windows Server 2003. Используя программу Ldifde.exe, загрузите сценарий InetOrgPersonFix.ldf на компьютере-хозяине схемы, чтобы исправить атрибут LdapDisplayName атрибутов houseIdentifier, Secretary и labeledURI. Для этого введите следующую команду (включая кавычки), где — контекстно-зависимое значение и — доменное имя корневого домена леса:
Перед установкой сервера Exchange 2000 убедитесь, что атрибуты houseIdentifier, Secretary и labeledURI контекста именования схемы не повреждены
Обзор: обновление операционной системы контроллеров домена с Windows 2000 до Windows Server 2003
Программа Adprep.exe, расположенная в папке \I386 компакт-диска Windows Server 2003, подготавливает лес Windows 2000 и его домены к добавлению контроллеров домена под управлением Windows Server 2003. ADPREP добавляет следующие возможности:
улучшенные дескрипторы безопасности, использующихся по умолчанию для классов объектов; новые атрибуты пользователей и групп; новые объекты и атрибуты схемы (такие как InetOrgPerson).
Использование программы ADPREP для Windows Server 2003 гарантирует, что обновляемые лес и домен Windows 2000 содержат дополнительные объекты, атрибуты и разрешения, необходимые для поддержки Active Directory. Программа ADPREP поддерживает два параметра командной строки:
adprep /forestprep: проводит обновление леса;
adprep /domainprep: проводит обновление домена.
Команда adprep /forestprep является единовременной операцией, выполняемой над хозяином схемы (FSMO) леса. Команда adprep /domainprep в этом домене должна запускаться только после окончания операции forestprep и репликации на компьютеры-хозяева схем всех доменов.
Команда adprep /domainprep является единовременной операцией, выполняемой над хозяином инфраструктуры всех доменов в лесу, в которых будут установлены контроллеры домена под управлением Windows Server 2003. Команда adprep /domainprep проверяет, что произошла репликация изменений, внесенных командой forestprep.
Команда adprep /domainprep не будет выполняться, если предварительно не внесены изменения командой forestprep. Кроме того, пока команды /forestprep и /domainprep не выполнены и результаты не реплицированы на все контроллеры в данном домене, будет невозможно выполнять следующие действия.
На контроллерах домена под управлением Windows 2000 обновлять операционную систему до Windows Server 2003, используя программу Winnt32.exe.
Примечание. На компьютерах под управлением Windows 2000, не являющихся контроллерами домена, операционная система может быть обновлена до Windows Server 2003 в любой момент времени. Вводить в домен новые контроллеры домена под управлением Windows Server 2003, используя программу Dcpromo.exe.
В домене, в котором находится хозяин схемы, необходимо выполнить обе команды — adprep /forestprep и adprep /domainprep. В остальных доменах необходимо выполнять только команду adprep /domainprep. Чтобы изменения, внесенные программой ADPREP, получили все контроллеры домена, необходимо, чтобы прошла репликация для всех контроллеров домена в лесу.
Даже при многократном запуске команд forestprep и domainprep полностью операции выполняются только один раз. Команда adprep не добавляет атрибуты к подмножеству атрибутов глобального каталога и не вызывает полную синхронизацию глобального каталога. RTM-версия команды adprep /domainprep вызывает полную синхронизацию папки \Policies в дереве Sysvol.
После завершения репликации изменений, внесенных командами adprep /forestprep и adprep /domainprep, можно проводить обновление операционной системы контроллеров домена с Windows 2000 до Windows Server 2003, используя программу Winnt32.exe, находящуюся в папке \I386 компакт-диска Windows Server 2003. Для добавления в домен контроллеров домена под управлением Windows Server 2003 также можно использовать программу Dcpromo.exe. Обновление леса с помощью команды adprep /forestprep
Для подготовки леса Windows 2000 к добавлению контроллеров домена под управлением Windows Server 2003 выполните следующие действия (сначала выполняйте их в лабораторных условиях).
Убедитесь, что выполнены все операции этапа «Проверка леса». При этом убедитесь в следующем.
Было проведено архивирование состояния системы. На всех контроллерах доменов под управлением Windows 2000 установлены соответствующие исправления и пакеты обновления. В лесу прошла репликация Active Directory. Во всех доменах без ошибок прошла репликация политики файловой системы.
Войдите в систему на компьютере, являющемся хозяином схемы, используя учетную запись, входящую в группы «Администраторы схемы» и «Администраторы предприятия». Запустите на этом компьютере программу ADPREP. Для этого нажмите кнопку «Пуск», выберите «Выполнить», введите cmd и выполните следующую команду:
X:\I386\adprep /forestprep
где X:\I386\ — путь к установочным файлам Windows Server 2003. Эта команда выполняет обновление схемы на уровне леса.
Примечание. События с кодом (ID) 1153, подобные приведенным ниже и появляющиеся в журнале событий службы каталогов, могут не учитываться:
Тип: Ошибка
Источник: NTDS General
Категория: Internal Processing
Код ID: 1153
Дата: DD/MM/YYYY
Время: ЧЧ:ММ:СС
Пользователь: Everyone Computer :
Описание: Идентификатор класса 655562 (имя класса msWMI-MergeablePolicyTemplateимеет неправильный суперкласс 655560. Наследование игнорируется.
Проверьте, успешно ли выполнилась команда adprep /forestprep на хозяине схемы. Для этого убедитесь в следующем.
Команда adprep /forestprep завершила работу без ошибок. Объект CN=Windows2003Update записан по адресу CN=ForestUpdates,CN=Configuration,DC=корневой_домен_леса. Запишите значение атрибута Revision. (Необязательно) Версия схемы увеличена до 30. Это значение хранится в атрибуте ObjectVersion по адресу CN=Schema,CN=Configuration,DC=корневой_домен_леса.
Если команда adprep /forestprep не запускается, проверьте следующее.
Был ли при запуске программы adprep указан полный путь к файлу Adprep.exe, находящемуся в папке \I386 установочного диска. Для этого служит следующая команда:
x:\i386\adprep /forestprep
где x — имя диска с установочными файлами. Является ли пользователь, запускающий программу ADPREP, членом групп «Администраторы предприятия» и «Администраторы схемы». Для этого используйте команду whoami /all. Если программа ADPREP по-прежнему не запускается, просмотрите файл ADPREP.LOG в папке %systemroot%\System32\Debug\Adprep\Logs\Latest_log .
Убедитесь, что изменения, внесенные командой adprep /forestprep реплицированы на все контроллеры доменов в лесу. Для проверки можно отслеживать следующее.
Увеличение номера версии схемы. Репликацию соответствующих операций в CN=Windows2003Update, CN=ForestUpdates,CN=Configuration,DC=корневой_домен_леса или CN=Operations,CN=DomainUpdates,CN=System,DC=корневой_домен_леса. Новые классы схемы, объекты, атрибуты и другие изменения, добавленные командой adprep /forestprep. Просмотрите файлы SchХХ.LDF (где ХХ — число между 14 и 30) в папке %systemroot%\System32, чтобы обнаружить подобные объекты и атрибуты. Например, класс InetOrgPerson определяется в файле Sch18.ldf.
Проверьте, нет ли испорченных имен LdapDisplay.
Если до выполнения команды adprep /forestprep для Windows Server 2003 был установлен сервер Exchange 2000, обратитесь к разделу «How to Identify Mangled Name Attributes» следующей статьи Microsoft Knowledge Base:
href="#">314649 Windows Server 2003 ADPREP Command Causes Mangled Attributes in Windows 2000 Forests That Contain Exchange 2000 Servers
При обнаружении поврежденных имен перейдите к случаю 3 раздела «Exchange 2000 in Windows 2000 Forests» указанной статьи. Войдите в систему на компьютере, являющемся хозяином схемы, используя учетную запись, входящую в группы «Администраторы схемы» и «Администраторы предприятия».
Обновление домена с помощью команды ADPREP /DOMAINPREP
После того как изменения, внесенные командой /forestprep, будут полностью реплицированы на хозяев инфраструктуры всех доменов, в которые будут добавлены контроллеры под управлением Windows Server 2003, выполните команду adprep /domainprep. Для этого выполните следующие действия.
В обновляемом домене найдите хозяина инфраструктуры и войдите в систему с учетной записью пользователя, входящего в группу администраторов данного домена.
Примечание. Администратор предприятия может не являться членом группы администраторов домена в дочернем домене леса. Запустите программу Adprep.exe на хозяине инфраструктуры. Для этого нажмите кнопку «Пуск», выберите «Выполнить», введите cmd и выполните следующую команду:
X:\I386\adprep /domainprep
где X:\I386\ — путь к установочным файлам Windows Server 2003. Эта команда выполняет изменения на уровне текущего домена.
Примечание. Команда adprep /domainprep изменяет разрешения на доступ к файлам в общей папке Sysvol. Это вызывает полную синхронизацию файлов в дереве. Убедитесь, что команда domainprep успешно завершилась. Для этого убедитесь в следующем.
Команда adprep /domainprep завершила работу без ошибок. Объект CN=Windows2003Update,CN=DomainUpdates,CN=System,DC=доменное имя обновляемого домена существует.
Если команда adprep /domainprep не запускается, проверьте следующее.
Является ли пользователь, запускающий программу ADPREP, членом группы администраторов домена в обновляемом домене. Для этого используйте команду whoami /all. Был ли при запуске программы adprep указан полный путь к файлу Adprep.exe, находящемуся в папке \I386 установочного диска. Для этого выполните следующую команду:
x:\i386\adprep /forestprep
где x — имя диска с установочными файлами. Если программа ADPREP по-прежнему не запускается, просмотрите файл ADPREP.LOG в папке %systemroot%\System32\Debug\Adprep\Logs\Latest_log .
Убедитесь, что изменения, внесенные командой adprep /domainprep реплицированы. Для этого проверьте, выполняется ли для для оставшихся контроллеров в домене следующее условие.
Объект CN=Windows2003Update,CN=DomainUpdates,CN=System,DC=доменное имя обновляемого домена существует и значение атрибута Revision совпадает со значение аналогичного атрибута на компьютере-хозяине инфраструктуры домена. (Необязательно) Найдите изменения, внесенные командой adprep /domainprep в объекты, атрибуты и таблицы управления доступом (Access Control List, ACL).
Выполните шаги 1-4 на хозяевах инфраструктуры оставшихся доменов сразу или по мере добавления в них контроллеров домена под управлением Windows Server 2003. После этого компьютеры под управлением Windows Server 2003 могут быть добавлены к лесу при помощи программы DCPROMO. На существующих контроллерах домена под управлением Windows 2000 операционная система может быть обновлена до Windows Server 2003 с помощью программы WINNT32.EXE.
Создание установочного носителя
Данный раздел содержит список исправлений, установку которых корпорация Microsoft считает необходимой или крайне желательной для контроллеров домена под управлением Windows Server 2003. Рекомендуется добавить эти исправления на установочный диск или установить их на новых контроллерах домена до запуска программы DCPROMO. Рекомендуется также установить эти обновления на компьютерах под управлением Windows Server 2003, не являющихся контроллерами домена, поскольку ошибки могут влиять и на их работу, а также поскольку их роль может в дальнейшем измениться.
Примечание. Планируется выпуск новой версии программы NTFRS.EXE для Windows Server 2003 после выхода готовой версии продукта. Обновление операционной системы контроллеров домена с Windows 2000 до Windows Server 2003 с помощью программы Winnt32.exe
Прежде чем обновлять операционную систему на контроллерах домена с Windows 2000 до Windows 2003 Server или добавлять новые контроллеры домена под управлением Windows 2003 Server, необходимо принять решение о режиме взаимодействия со старыми версиями клиентов и дождаться, пока будут полностью реплицированы изменения, внесенные программами /forestprep и /domainprep.
В первую очередь операционная система Windows Server 2003 должна быть установлена на следующих компьютерах.
Хозяин именования домена в лесу — это позволит создавать разделы DNS, используемые по умолчанию. Основной контроллер домена в корневом домене леса. Это сделает видимыми для редактора таблиц доступа основные имена уровня предприятия, добавленные командой forestprep Windows Server 2003. Основной контроллер домена в остальных доменах леса. Это даст возможность создавать в доменах новые основные имена Windows 2003.
Для этого можно использовать программу WINNT32, чтобы обновить соответствующие существующие контроллеры доменов или передать роли новым контроллерам домена под управлением Windows Server 2003. На каждом контроллере домена под управлением Windows 2000, который будет обновляться до Windows Server 2003 с помощью программы WINNT32, а также на каждом компьютере под управлением Windows Server 2003, роль которого будет повышаться, выполните следующие действия.
Перед запуском программы WINNT32 для обновления операционной системы удалите средства администрирования Windows 2000. Для этого воспользуйтесь средством «Установка и удаление программ» панели управления. (Только при обновлении Windows 2000.) Установите все исправления, перечисленные в разделе «Создание установочного носителя» данной статьи, и остальные существенные исправления. Убедитесь в отсутствии возможных препятствий для обновления. Для этого запустите следующую программу из папки \I386 установочного диска:
winnt32.exe /checkupgradeonly
Устраните обнаруженные проблемы. Запустите программу WINNT32.EXE из папки \I386 установочного диска и перезагрузите обновленный контроллер домена. При необходимости понизьте установки системы безопасности для работы с ранними версиями клиентов.
Если на клиентах под управлением Windows NT 4.0 не установлен пакет обновления 6 (SP6) или на клиентах под управлением Windows 95 не установлен клиент службы каталогов Active Directory, необходимо в подразделении «Контоллеры домена» выбрать политику по умолчанию для контроллеров домена, запретить подписывание сообщений протокола SMB и привязать эту политику ко всем организационным подразделениям, содержащим контроллеры домена.
Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности\Сервер сети Microsoft: использовать цифровую подпись (всегда)
Чтобы проверить, успешно ли прошло обновление, убедитесь в следующем.
Обновление завершилось без ошибок. Соответствующие установочные файлы заменены добавленными исправлениями. Для контекстов именования контроллера домена завершилась входящая и исходящая репликация Active Directory. Существуют общие папки Netlogon и Sysvol. Журнал событий не содержит записей об ошибках контроллера домена и его служб.
Примечание. После обновления может появиться сообщение о следующем событии:
Тип: Ошибка
Источник: NTDS Backup
Категория: Архивация данных
Код ID: 1913
Дата: Дата
Время: ЧЧ:ММ:СС
Пользователь: нет данных
Компьютер:
Описание: Внутренняя ошибка. В результате архивации и восстановления Active Directory возникла непредвиденная ошибка. Пока она не будет исправлена, выполнение архивации и восстановления будет невозможно.
Данное сообщение может не приниматься во внимание.
Установите средства администрирования для Windows Server 2003 (на обновленные компьютеры под управлением Windows 2000 и компьютеры под управлением Windows Server 2003, не являющиеся контроллерами домена). Файл Adminpak.msi находится в папке \I386 компакт-диска Windows Server 2003. Установочный диск Windows Server 2003 содержит обновленные средства поддержки, находящиеся в файле Support\Tools\Suptools.msi. Убедитесь, что данный файл переустановлен. В каждом домене леса выполните архивирование информации по крайней мере первых двух контроллеров домена под управлением Windows 2000, которые были обновлены до Windows Server 2003. Перенесите в отдельное хранилище носители с архивированными данными компьютеров под управлением Windows 2000, которые были обновлены до Windows Server 2003. Это предотвратит их случайное использование для восстановления данных на контроллерах домена под управлением Windows Server 2003. (Необязательно) На контроллерах домена, которые были обновлены до Windows Server 2003, после завершения установки хранилища единственных копий (Single Instanse Store, SIS) выполните дефрагментацию базы данных Active Directory в автономном режиме (только при обновлении с Windows 2000).
Служба SIS анализирует разрешения на доступ к объектам, хранящимся в Active Directory и применяет для этих объектов более эффективные дескрипторы безопасности. Служба SIS запускается автоматически (при этом в журнале событий служба каталогов появляется запись о событии с кодом 1953) при первом запуске операционной системы Windows Server 2003 на обновленном контроллера домена. Преимущества от их использования могут быть получены только после появления в журнале событий службы каталогов записи о событии с кодом 1966:
Тип: Информация
Источник: NTDS SDPROP
Категория: Internal Processing
Код ID: 1966
Дата: ДД/ММ/ГГГГ
Время: ЧЧ:ММ:СС
Пользователь: NT AUTHORITY\ANONYMorganizational unitS LOGON
Компьютер:
Описание: Службой распространения дескрипторов безопасности завершен полный цикл распространения.
Выделено (МБ):
XX Свободно (МБ): ХХ
Использование таких дескрипторов позволяет уменьшить размер базы данных Active Directory. Чтобы сделать освободившееся место доступным, необходимо выполнить дефрагментацию базы данных Active Directory в автономном режиме. Дополнительные сведения см. на веб-узле центра справки и поддержки по адресу http://go.microsoft.com/fwlink/events.asp.
Данное сообщение свидетельствует о том, что служба SIS завершила операцию. После этого администратор должен выполнить дефрагментацию файла Ntds.dit в автономном режиме, используя программу NTDSUTIL.EXE.
Дефрагментация в автономном режиме позволяет уменьшить размер файла Ntds.dit для Windows 2000, улучшить производительность службы Active Directory и обновить страницы в базе данных Active Directory для более эффективного хранения атрибутов. За дополнительной информацией о дефрагментации базы данных Active Directory обратитесь к следующей статье Microsoft Knowledge Base:
href="#">232122 Performing an Offline Defragmentation of the Active Directory Database
Проверьте состояние службы сервера DLT. При установке на контроллер домена операционной системы Windows Server 2003 либо при обновлении до этой операционной системы, служба сервера DLT отключается. Если компьютеры под управлением Windows 2000 или Windows XP используют службу сервера DLT, необходимо в групповой политике подключить эту службу на обновленных контроллерах домена под управлением Windows Server 2003. В противном случае необходимо удалить объекты отслеживания изменившихся связей из базы Active Directory. За дополнительной информацией обратитесь к следующим статьям Microsoft Knowledge Base:
href="#">312403 Отслеживание изменившихся связей (Distributed Link Tracking) на контроллерах доменов с ОС Windows
href="#">315229 Text Version of Dltpurge.vbs for Microsoft Knowledge Base Article Q312403
Удаление нескольких тысяч объектов DLT (или объектов другого типа) может привести к блокировке репликации из-за нехватки места в хранилище версий. В этом случае необходимо подождать tombstonelifetime дней (по умолчанию — 60 дней) после удаления последнего объекта DLT для завершения процесса очистки, и выполнить дефрагментацию файла Ntds.dit в автономном режиме с помощью программы NTDSUTIL.EXE. Создайте рекомендуемую структуру подразделений. Корпорация Microsoft рекомендует администраторам развертывать во всех доменах Active Directory рекомендуемую структуру подразделений, а после обновления контроллеров домена до Windows Server 2003 и установки режима Windows Domain переадресовать контейнеры по умолчанию, используемые ранними версиями API для создания учетных записей пользователей, компьютеров и групп, на контейнеры подразделений, указанные администратором.
За дополнительной информацией о рекомендуемой структуре подразделений обратитесь к главе «Creating an Organizational Unit Design» документа «Best Practice Active Directory Design for Managing Windows Networks». Этот документ можно найти на веб-узле Microsoft:
За дополнительной информацией об изменении контейнера по умолчанию, в котором находятся пользователи, компьютеры и группы, созданные ранними версиями API, обратитесь к следующей статье Microsoft Knowledge Base:
href="#">324949 Redirecting the Users and Computers Containers in Windows Server 2003 Domains
При необходимости повторяйте шаги 1-10 для каждого нового или обновленного контроллера домена в лесу и шаг 11 (рекомендуемая структура подразделений) — для каждого домена Active Directory.
Резюме.
Обновите контроллеры домена под управлением Windows 2000, используя программу WINNT32 (используйте установочный диск с внесенными исправлениями, если таковой имеется). Убедитесь, что на обновляемых компьютерах установлены исправленные файлы. Установите исправления, отсутствующие на установочном диске. Убедитесь в работоспособности новых или обновленных серверов (AD, FRS, политики и т.д.). Через 24 часа после установки операционной системы выполните дефрагментацию в автономном режиме (необязательно). Если необходимо, запустите службу DLT, в противном случае удалите объекты DLT, руководствуясь статьями q312403 / q315229. Через 60 или более дней после удаления этих объектов выполните дефрагментацию в автономном режиме (количество дней определяется, исходя из времени жизни захоронения и времени на сборку мусора).
Выполнение обновления в лабораторных условиях
Перед обновлением контроллеров работающего домена Windows 2000 необходимо провести пробное обновление в лабораторных условиях. Если в лаборатории полностью смоделировано реальное окружение и если в лабораторных условиях обновление прошло нормально, то можно ожидать, что и в реальных условиях оно пройдет без ошибок. При моделировании сложного окружения в лабораторном окружении следует моделировать следующее.
Аппаратное обеспечение: тип компьютера, объем памяти, размещение файла подкачки, размер диска, производительность и параметры настройки raid, версии BIOS и микропрограмм. Программное обеспечение: версии операционных систем клиента и сервера; приложения, установленные на сервере и на клиенте; версия пакета обновления; установленные исправления; изменения схемы; группы безопасности; членство в группах; разрешения; параметры политик; тип и расположение счетчика объектов, а также вопросы взаимодействия различных версий приложений. Инфраструктура сети: параметры настройки WINS и DHCP; скорость канала связи; полоса пропускания. Загрузка: используя соответствующие эмуляторы можно смоделировать изменения паролей, создание объектов, репликацию Active Directory, проверку подлинности и другие события. Целью подобного моделирования не является создание уменьшенной копии реального окружения. Оно должно помочь определить затраты на выполнение основных операций, частоту их выполнения и их возможное влияние на работу реального окружения сейчас и в будущем (за счет трафика репликации и разрешения имен, загрузки полосы пропускания каналов связи, потребления ресурсов процессора и т.п.). Администрирование: выполняемые задания; используемые средства; используемые операционные системы. Работа: емкость и возможность взаимодействия. Дисковое пространство: необходимо после каждой перечисленной ниже операции отследить начальное, конечное и максимальное значение размеров файлов журнала операционной системы, Ntds.dit и Active Directory на контроллерах домена, являющихся серверами глобального каталога либо не являющихся таковыми.
adprep /fo
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо зайти на сайт под своим именем.
Вы читаете: Статьи » ОС » Windows » Обновление контроллеров домена Windows 2000 до Windows Server 2003
