Freigeben über

So aktualisieren Sie Windows 2000-Domänencontroller auf Windows Server 2003

  • Artikel

In diesem Artikel wird erläutert, wie Sie Microsoft Windows 2000-Domänencontroller auf Windows Server 2003 aktualisieren und neue Windows Server 2003-Domänencontroller zu Windows 2000-Domänen hinzufügen.

Ursprüngliche KB-Nummer: 325379

Übersicht

In diesem Artikel wird erläutert, wie Sie Microsoft Windows 2000-Domänencontroller auf Windows Server 2003 aktualisieren und neue Windows Server 2003-Domänencontroller zu Windows 2000-Domänen hinzufügen. Weitere Informationen zum Upgrade von Domänencontrollern auf Windows Server 2008 oder Windows Server 2008 R2 finden Sie auf der folgenden Microsoft-Website:

Aktualisieren von Domänencontrollern: Microsoft-Support Schnellstart zum Hinzufügen von Windows Server 2008- oder Windows Server 2008 R2-Domänencontrollern zu vorhandenen Domänen

Inventar der Domäne und Gesamtstruktur

Führen Sie vor dem Upgrade von Windows 2000-Domänencontrollern auf Windows Server 2003 oder vor dem Hinzufügen neuer Windows Server 2003-Domänencontroller zu einer Windows 2000-Domäne die folgenden Schritte aus:

  1. Inventarisieren Sie die Clients, die auf Ressourcen in der Domäne zugreifen, die Windows Server 2003-Domänencontroller zur Kompatibilität mit der SMB-Signatur hosten:

    Jeder Windows Server 2003-Domänencontroller ermöglicht die SMB-Anmeldung in seiner lokalen Sicherheitsrichtlinie. Stellen Sie sicher, dass alle Netzwerkclients, die das SMB/CIFS-Protokoll verwenden, auf freigegebene Dateien und Drucker in Domänen zugreifen, in denen Windows Server 2003-Domänencontroller gehostet werden, konfiguriert oder aktualisiert werden können, um die SMB-Signatur zu unterstützen. Wenn dies nicht möglich ist, deaktivieren Sie die SMB-Signatur vorübergehend, bis Updates installiert werden können, oder bis die Clients auf neuere Betriebssysteme aktualisiert werden können, die die SMB-Signatur unterstützen. Informationen zum Deaktivieren der SMB-Signatur finden Sie im Abschnitt zum Deaktivieren der SMB-Signatur am Ende dieses Schritts.

    Aktionspläne

    Die folgende Liste zeigt die Aktionspläne für beliebte SMB-Clients:

    • Microsoft Windows Server 2003, Microsoft Windows XP Professional, Microsoft Windows 2000 Server, Microsoft Windows 2000 Professional und Microsoft Windows 98

      Es ist keine Aktion erforderlich.

    • Microsoft Windows NT 4.0 Installieren von Service Pack 3 oder höher (Service Pack 6A wird empfohlen) auf allen Windows NT 4.0-basierten Computern, die auf Domänen zugreifen, die Windows Server 2003-basierte Computer enthalten. Deaktivieren Sie stattdessen vorübergehend die SMB-Signierung auf Windows Server 2003-Domänencontrollern. Informationen zum Deaktivieren der SMB-Signatur finden Sie im Abschnitt zum Deaktivieren der SMB-Signatur am Ende dieses Schritts.

    • Microsoft Windows 95

      Installieren Sie den Windows 9 x-Verzeichnisdienstclient auf den Windows 95-basierten Computern oder deaktivieren Sie vorübergehend die SMB-Signierung auf Windows Server 2003-Domänencontrollern. Der ursprüngliche Win9 x-Verzeichnisdienstclient ist auf der Windows 2000 Server CD-ROM verfügbar. Dieses Client-Add-On wurde jedoch durch einen verbesserten Win9 x-Verzeichnisdienstclient ersetzt. Informationen zum Deaktivieren der SMB-Signatur finden Sie im Abschnitt zum Deaktivieren der SMB-Signatur am Ende dieses Schritts.

    • Microsoft-Netzwerkclient für MS-DOS- und Microsoft LAN Manager-Clients

      Der Microsoft-Netzwerkclient für MS-DOS und der Microsoft LAN Manager 2.x-Netzwerkclient können verwendet werden, um Den Zugriff auf Netzwerkressourcen zu ermöglichen, oder sie können mit einem startbaren Diskettenlaufwerk kombiniert werden, um Betriebssystemdateien und andere Dateien aus einem freigegebenen Verzeichnis auf einem Dateiserver als Teil einer Softwareinstallationsroutine zu kopieren. Diese Clients unterstützen keine SMB-Signatur. Verwenden Sie eine alternative Installationsmethode, oder deaktivieren Sie die SMB-Signatur. Informationen zum Deaktivieren der SMB-Signatur finden Sie im Abschnitt zum Deaktivieren der SMB-Signatur am Ende dieses Schritts.

    • Macintosh-Clients

      Einige Macintosh-Clients sind nicht SMB-Signaturkompatibel und erhalten die folgende Fehlermeldung, wenn sie versuchen, eine Verbindung mit einer Netzwerkressource herzustellen:

      - Fehler -36 E/A

      Installieren Sie aktualisierte Software, wenn sie verfügbar ist. Deaktivieren Sie andernfalls die SMB-Signatur auf Windows Server 2003-Domänencontrollern. Informationen zum Deaktivieren der SMB-Signatur finden Sie im Abschnitt zum Deaktivieren der SMB-Signatur am Ende dieses Schritts.

    • Andere SMB-Clients von Drittanbietern

      Einige SMB-Clients von Drittanbietern unterstützen die SMB-Signatur nicht. Wenden Sie sich an Ihren SMB-Anbieter, um festzustellen, ob eine aktualisierte Version vorhanden ist. Deaktivieren Sie andernfalls die SMB-Signatur auf Windows Server 2003-Domänencontrollern.

    So deaktivieren Sie die SMB-Signatur

    Wenn Softwareupdates nicht auf betroffenen Domänencontrollern installiert werden können, die Windows 95, Windows NT 4.0 oder andere Clients ausführen, die vor der Einführung von Windows Server 2003 installiert wurden, deaktivieren Sie vorübergehend die SMB-Dienstsignaturanforderungen in der Gruppenrichtlinie, bis Sie aktualisierte Clientsoftware bereitstellen können.

    Sie können die Anmeldung des SMB-Diensts im folgenden Knoten der Standarddomänencontrollerrichtlinie auf der Organisationseinheit der Domänencontroller deaktivieren: Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen\Microsoft Network Server:

    Kommunikation digital signieren (immer)

    Wenn sich Domänencontroller nicht in der Organisationseinheit des Domänencontrollers befinden, müssen Sie das Gruppenrichtlinienobjekt (Group Policy Object, GPO) des Standarddomänencontrollers mit allen Organisationseinheiten verknüpfen, die Windows 2000- oder Windows Server 2003-Domänencontroller hosten. Sie können auch die SMB-Dienstsignierung in einem Gruppenrichtlinienobjekt konfigurieren, das mit diesen Organisationseinheiten verknüpft ist.

  2. Inventarisieren Sie die Domänencontroller, die sich in der Domäne und in der Gesamtstruktur befinden:

    1. Stellen Sie sicher, dass alle Windows 2000-Domänencontroller in der Gesamtstruktur alle entsprechenden Hotfixes und Service Packs installiert haben.

      Microsoft empfiehlt, dass alle Windows 2000-Domänencontroller windows 2000 Service Pack 4 (SP4) oder höher ausführen. Wenn Sie Windows 2000 SP4 oder höher nicht vollständig bereitstellen können, müssen alle Windows 2000-Domänencontroller über eine Ntdsa.dll Datei verfügen, deren Datumsstempel und Version später als der 4. Juni 2001 und 5.0.2195.3673 liegen.

      Standardmäßig verwenden Active Directory-Verwaltungstools auf Windows 2000 SP4-, Windows XP- und Windows Server 2003-Clientcomputern die LDAP-Signatur (Lightweight Directory Access Protocol). Wenn solche Computer die NTLM-Authentifizierung verwenden (oder auf die NTLM-Authentifizierung zurückgreifen), wenn sie Windows 2000-Domänencontroller remote verwalten, funktioniert die Verbindung nicht. Um dieses Verhalten zu beheben, sollten remote verwaltete Domänencontroller mindestens Windows 2000 SP3 installiert haben. Andernfalls sollten Sie die LDAP-Anmeldung für die Clients deaktivieren, die die Verwaltungstools ausführen.

      In den folgenden Szenarien wird die NTLM-Authentifizierung verwendet:

      • Sie verwalten Windows 2000-Domänencontroller, die sich in einer externen Gesamtstruktur befinden, die mit einer NTLM-Vertrauensstellung (nicht Kerberos) verbunden ist.
      • Sie konzentrieren microsoft Management Console (MMC)-Snap-Ins auf einen bestimmten Domänencontroller, auf den von der IP-Adresse verwiesen wird. Sie klicken beispielsweise auf "Start", dann auf "Ausführen", und geben Sie dann den folgenden Befehl ein:dsa.msc /server=ipaddress

      Um das Betriebssystem und die Revisionsebene von Active Directory-Domänencontrollern in einer Active Directory-Domäne zu ermitteln, installieren Sie die Windows Server 2003-Version von Repadmin.exe auf einem Windows XP Professional- oder Windows Server 2003-Mitgliedscomputer in der Gesamtstruktur, und führen Sie dann den folgenden repadmin Befehl für einen Domänencontroller in jeder Domäne in der Gesamtstruktur aus:

      >repadmin /showattr <name of the domain controller that is in the target domain> ncobj:domain: /filter:"(&(objectCategory=computer)(primaryGroupID=516))" /subtree /atts:operatingSystem,operatingSystemVersion,operatingSystemServicePack

DN: CN=NA-DC-01,organizational unit=Domain Controllers,DC=company,DC=com
 1> operatingSystem: Windows Server 2003
 1> operatingSystemVersion: 5.2 (3718)
DN: CN=NA-DC-02,organizational unit=Domain Controllers,DC=company,DC=com
 1> operatingSystem: Windows 2000 Server
 1> operatingSystemVersion: 5.0 (2195)
 1> operatingSystemServicePack: Service Pack 1

      Notiz

      Die Attribute des Domänencontrollers verfolgen nicht die Installation einzelner Hotfixes.

    2. Überprüfen Sie die End-to-End-Active Directory-Replikation in der gesamten Gesamtstruktur.

      Stellen Sie sicher, dass jeder Domänencontroller in der aktualisierten Gesamtstruktur alle lokal gehaltenen Namenskontexte mit seinen Partnern konsistent mit dem Zeitplan repliziert, den Standortlinks oder Verbindungsobjekte definieren. Verwenden Sie die Windows Server 2003-Version von Repadmin.exe auf einem Windows XP- oder Windows Server 2003-basierten Mitgliedscomputer in der Gesamtstruktur mit den folgenden Argumenten: Alle Domänencontroller in der Gesamtstruktur müssen Active Directory ohne Fehler replizieren, und die Werte in der Spalte "Größtes Delta" der Repadmin-Ausgabe sollten nicht wesentlich größer sein als die Replikationshäufigkeit auf den entsprechenden Standortverknüpfungs- oder Verbindungsobjekten, die von einer bestimmten Zieldomäne verwendet werden. Controller.

      Beheben Sie alle Replikationsfehler zwischen Domänencontrollern, die bei der eingehenden Replikation in weniger als tombstone Lifetime (TSL) Anzahl von Tagen (standardmäßig 60 Tage) nicht repliziert wurden. Wenn die Replikation nicht funktioniert, müssen Sie die Domänencontroller möglicherweise mit dem Befehl "Bereinigung von Ntdsutil-Metadaten" aus der Gesamtstruktur entfernen und sie dann wieder in die Gesamtstruktur höher stufen. Sie können eine erzwungene Herabstufung verwenden, um sowohl die Betriebssysteminstallation als auch die Programme zu speichern, die sich auf einem verwaisten Domänencontroller befinden. Weitere Informationen zum Entfernen verwaister Windows 2000-Domänencontroller aus ihrer Domäne finden Sie unter der folgenden Artikelnummer, um den Artikel in der Microsoft Knowledge Base anzuzeigen:

      216498 Entfernen von Daten aus Active Directory nach fehlgeschlagener Domänencontroller-Herabstufung

      Ergreifen Sie diese Aktion nur als letztes Mittel, um die Installation des Betriebssystems und der installierten Programme wiederherzustellen. Auf verwaisten Domänencontrollern, einschließlich Benutzern, Computern, Vertrauensstellungen, kennwörtern, Gruppen und Gruppenmitgliedschaften, gehen unaufgelöste Objekte und Attribute auf verwaisten Domänencontrollern verloren.

      Achten Sie darauf, wenn Sie versuchen, Replikationsfehler auf Domänencontrollern zu beheben, die keine eingehenden Änderungen für eine bestimmte Active Directory-Partition für mehr als die Tombstonelifetime-Anzahl von Tagen repliziert haben. Wenn Sie dies tun, können Sie Objekte erneut wiederherstellen, die auf einem Domänencontroller gelöscht wurden, aber für die direkte oder transitive Replikationspartner den Löschvorgang in den vorherigen 60 Tagen nie erhalten haben.

      Erwägen Sie, alle objekte zu entfernen, die sich auf Domänencontrollern befinden, die in den letzten 60 Tagen keine eingehende Replikation durchgeführt haben. Alternativ können Sie Domänencontroller, die keine eingehende Replikation auf einer bestimmten Partition in der Tombstone-Lebensdauer von Tagen durchgeführt haben, erzwungen herabstufen und ihre verbleibenden Metadaten aus der Active Directory-Gesamtstruktur entfernen, indem Sie Ntdsutil und andere Dienstprogramme verwenden. Wenden Sie sich an Ihren Supportanbieter oder Microsoft PSS, um weitere Hilfe zu finden.

    3. Stellen Sie sicher, dass der Inhalt der Sysvol-Freigabe konsistent ist.

      Stellen Sie sicher, dass der Dateisystemteil der Gruppenrichtlinie konsistent ist. Sie können Gpotool.exe aus dem Resource Kit verwenden, um zu bestimmen, ob Inkonsistenzen in Richtlinien in einer Domäne vorhanden sind. Verwenden Sie die Integritätsprüfung der Windows Server 2003-Unterstützungstools, um zu ermitteln, ob die Sysvol-Freigabereplikatsätze in jeder Domäne ordnungsgemäß funktionieren.

      Wenn der Inhalt der Sysvol-Freigabe inkonsistent ist, lösen Sie alle Inkonsistenzen auf.

    4. Verwenden Sie Dcdiag.exe aus den Supporttools, um zu überprüfen, ob alle Domänencontroller Netlogon- und Sysvol-Freigaben freigegeben haben. Geben Sie dazu an einer Eingabeaufforderung den folgenden Befehl ein:

      DCDIAG.EXE /e /test:frssysvol

    5. Inventarisieren Sie die Operationsrollen.

      Die Master für Schema- und Infrastrukturvorgänge werden verwendet, um Gesamtstruktur- und domänenweite Schemaänderungen in der Gesamtstruktur und deren Domänen einzuführen, die vom Windows Server 2003-Adprep-Dienstprogramm vorgenommen werden. Stellen Sie sicher, dass sich der Domänencontroller, der die Schemarolle und die Infrastrukturrolle für jede Domäne in der Gesamtstruktur hostet, auf Live-Domänencontrollern befindet und dass jeder Rollenbesitzer seit dem letzten Neustart die eingehende Replikation über alle Partitionen ausgeführt hat.

      Der DCDIAG /test:FSMOCHECK Befehl kann verwendet werden, um gesamtstrukturweite und domänenweite Betriebsrollen anzuzeigen. Betriebsmasterrollen, die sich auf nicht vorhandenen Domänencontrollern befinden, sollten mithilfe von NTDSUTIL für einen fehlerfreien Domänencontroller genutzt werden. Rollen, die sich auf fehlerhaften Domänencontrollern befinden, sollten nach Möglichkeit übertragen werden. Andernfalls sollten sie ergriffen werden. Der NETDOM QUERY FSMO Befehl identifiziert keine FSMO-Rollen, die sich auf gelöschten Domänencontrollern befinden.

      Überprüfen Sie, ob die eingehende Replikation von Active Directory seit dem letzten Start ausgeführt wurde. Die eingehende Replikation kann mithilfe des REPADMIN /SHOWREPS DCNAME Befehls überprüft werden, wobei DCNAME der Name des NetBIOS-Computers oder der vollqualifizierte Computername eines Domänencontrollers ist. Weitere Informationen zu Operationsmastern und deren Platzierung finden Sie in den folgenden Artikelnummern, um die Artikel in der Microsoft Knowledge Base anzuzeigen:

      197132 Windows 2000 Active Directory FSMO-Rollen

      223346 FSMO-Platzierung und Optimierung auf Active Directory-Domänencontrollern

    6. EventLog Review

      Überprüfen Sie die Ereignisprotokolle auf allen Domänencontrollern auf problematische Ereignisse. Die Ereignisprotokolle dürfen keine schwerwiegenden Ereignismeldungen enthalten, die auf ein Problem mit einem der folgenden Prozesse und Komponenten hinweisen:

      physische Konnektivität
      Netzwerkverbindung
      Namensregistrierung
      Namensauflösung
      authentication
      Gruppenrichtlinien
      sicherheitsrichtlinie
      Datenträgersubsystem
      schema
      Topologie
      Replikationsmodul

    7. Speicherplatzbestand

      Das Volume, das die Active Directory-Datenbankdatei "Ntds.dit" hostt, muss freien Speicherplatz aufweisen, der mindestens 15-20 % der Dateigröße "Ntds.dit" entspricht. Das Volume, auf dem die Active Directory-Protokolldatei gehostet wird, muss auch freien Speicherplatz aufweisen, der mindestens 15-20 % der Ntds.dit-Dateigröße entspricht. Weitere Informationen zum Freigeben von zusätzlichem Speicherplatz finden Sie im Abschnitt "Domänencontroller ohne ausreichenden Speicherplatz" in diesem Artikel.

    8. DNS-Gerüst (optional)

      Aktivieren Sie das DNS-Scavenging in 7-tägigen Abständen für alle DNS-Server in der Gesamtstruktur. Um optimale Ergebnisse zu erzielen, führen Sie diesen Vorgang 61 oder mehr Tage vor dem Upgrade des Betriebssystems aus. Dadurch wird der DNS-Gerüstdaemon ausreichend Zeit bereitgestellt, um die alten DNS-Objekte zu sammeln, wenn eine Offlinedefragmentierung für die Ntds.dit-Datei ausgeführt wird.

    9. Deaktivieren des DLT-Serverdiensts (optional)

      Der DLT-Serverdienst ist für neue und aktualisierte Installationen von Windows Server 2003-Domänencontrollern deaktiviert. Wenn die Nachverfolgung verteilter Links nicht verwendet wird, können Sie den DLT-Serverdienst auf Ihren Windows 2000-Domänencontrollern deaktivieren und mit dem Löschen von DLT-Objekten aus jeder Domäne in der Gesamtstruktur beginnen. Weitere Informationen finden Sie im Abschnitt "Microsoft-Empfehlungen für die Nachverfolgung verteilter Links" des folgenden Artikels in der Microsoft Knowledge Base: 312403 Verteilte Linkverfolgung auf Windows-basierten Domänencontrollern

    10. Systemstatussicherung

      Erstellen Sie eine Systemstatussicherung von mindestens zwei Domänencontrollern in jeder Domäne in der Gesamtstruktur. Sie können die Sicherung verwenden, um alle Domänen in der Gesamtstruktur wiederherzustellen, wenn das Upgrade nicht funktioniert.

Microsoft Exchange 2000 in Windows 2000-Gesamtstrukturen

Notiz

  • Wenn Exchange 2000 Server installiert ist oder in einer Windows 2000-Gesamtstruktur installiert wird, lesen Sie diesen Abschnitt, bevor Sie den Windows Server 2003-Befehl adprep /forestprep ausführen.
  • Wenn Microsoft Exchange Server 2003-Schemaänderungen installiert werden, wechseln Sie zum Abschnitt "Übersicht: Upgraden von Windows 2000-Domänencontrollern auf Windows Server 2003", bevor Sie die Windows Server 2003-Befehle adprep ausführen.

Das Exchange 2000-Schema definiert drei inetOrgPerson-Attribute mit nicht-Request for Comment (RFC)-kompatiblen LDAPDisplayNames: houseIdentifier, secretary und labeledURI.

Das Windows 2000 inetOrgPerson Kit und der Windows Server 2003-Befehl adprep definieren RFC-Beschwerdeversionen derselben drei Attribute mit identischen LDAPDisplayNames wie die nicht RFC-kompatiblen Versionen.

Wenn der Windows Server 2003-Befehl adprep /forestprep ohne Korrekturskripts in einer Gesamtstruktur ausgeführt wird, die Windows 2000- und Exchange 2000-Schemaänderungen enthält, werden die LDAPDisplayNames für den houseIdentifier, die Bezeichnungs-URI und die Sekretär-Attribute gehandert. Ein Attribut wird "mangled", wenn "Dup" oder andere eindeutige Zeichen am Anfang des konfliktierten Attributnamens hinzugefügt werden, sodass Objekte und Attribute im Verzeichnis eindeutige Namen haben.

Active Directory-Gesamtstrukturen sind für diese Attribute in den folgenden Fällen nicht anfällig für gegled LDAPDisplayNames:

  • Wenn Sie den Windows Server 2003-Befehl adprep /forestprep in einer Gesamtstruktur ausführen, die das Windows 2000-Schema enthält, bevor Sie das Exchange 2000-Schema hinzufügen.
  • Wenn Sie das Exchange 2000-Schema in der Gesamtstruktur installieren, die erstellt wurde, wobei ein Windows Server 2003-Domänencontroller der erste Domänencontroller in der Gesamtstruktur war.
  • Wenn Sie Windows 2000 inetOrgPerson Kit zu einer Gesamtstruktur hinzufügen, die das Windows 2000-Schema enthält, und Dann installieren Sie Exchange 2000-Schemaänderungen, und führen Sie dann den Windows Server 2003-Befehl adprep /forestprep aus.
  • Wenn Sie einer vorhandenen Windows 2000-Gesamtstruktur Exchange 2000-Schema hinzufügen, führen Sie Exchange 2003 /forestprep aus, bevor Sie den Windows Server 2003-Befehl adprep /forestprep ausführen.

Mangled-Attribute treten in Windows 2000 in den folgenden Fällen auf:

  • Wenn Sie die Exchange 2000-Versionen des labeledURI, des houseIdentifier und der Sekretärattribute zu einer Windows 2000-Gesamtstruktur hinzufügen, bevor Sie das Windows 2000 inetOrgPerson Kit installieren.
  • Sie fügen die Exchange 2000-Versionen des bezeichneten URI, des houseIdentifiers und der Sekretärattribute zu einer Windows 2000-Gesamtstruktur hinzu, bevor Sie den Windows Server 2003-Befehl adprep /forestprep ausführen, ohne zuerst die Bereinigungsskripts auszuführen. Aktionspläne für jedes Szenario folgen:

Szenario 1: Änderungen am Exchange 2000-Schema werden hinzugefügt, nachdem Sie den Befehl "Windows Server 2003 adprep /forestprep" ausgeführt haben.

Wenn Änderungen des Exchange 2000-Schemas nach ausführung des Windows Server 2003-Befehls adprep /forestprep in Ihre Windows 2000-Gesamtstruktur eingeführt werden, ist keine Bereinigung erforderlich. Wechseln Sie zum Abschnitt "Übersicht: Upgraden von Windows 2000-Domänencontrollern auf Windows Server 2003".

Szenario 2: Änderungen am Exchange 2000-Schema werden vor dem Befehl "Windows Server 2003 adprep /forestprep" installiert.

Wenn Änderungen des Exchange 2000-Schemas bereits installiert wurden, Sie aber nicht den Windows Server 2003-Befehl adprep /forestprep ausführen, sollten Sie den folgenden Aktionsplan in Betracht ziehen:

  1. Melden Sie sich bei der Konsole des Schemaoperationsmasters mit einem Konto an, das Mitglied der Sicherheitsgruppe "Schemaadministratoren" ist.

  2. Klicken Sie auf "Start", klicken Sie auf "Ausführen", geben Sie im Feld "Öffnen" notepad.exe ein, und klicken Sie dann auf "OK".

  3. Kopieren Sie den folgenden Text einschließlich des nachfolgenden Bindestrichs nach "schemaUpdateNow: 1" in Editor.

    dn: CN=ms-Exch-Assistant-Name,CN=Schema,CN=Configuration,DC=X
    changetype: Modify
    replace:LDAPDisplayName
    LDAPDisplayName: msExchAssistantName
    -

    dn: CN=ms-exch-LabeledURI,CN=Schema,CN=Configuration,DC=X
    changetype: Modify
    replace: LDAPDisplayName
    LDAPDisplayName: msExchLabeledURI
    -

    dn: CN=ms-Exch-House-Identifier,CN=Schema,CN=Configuration,DC=X
    changetype: Modify
    replace: LDAPDisplayName
    LDAPDisplayName: msExchHouseIdentifier
    -

    Dn:
    changetype: Modify
    add: schemaUpdateNow
    schemaUpdateNow: 1
    -

  4. Vergewissern Sie sich, dass am Ende jeder Zeile kein Leerzeichen vorhanden ist.

  5. Klicken Sie im Menü Datei auf Speichern. Führen Sie im Dialogfeld Speichern unter folgende Schritte durch:

    1. Geben Sie im Feld "Dateiname " Folgendes ein: \%userprofile%\InetOrgPersonPrevent.ldf
    2. Klicken Sie im Feld "Dateityp " auf " Alle Dateien".
    3. Klicken Sie im Feld "Codierung " auf "Unicode".
    4. Klicken Sie auf Speichern.
    5. Beenden Sie Editor.

  6. Führen Sie das Skript InetOrgPersonPrevent.ldf aus.

    1. Klicken Sie auf "Start", klicken Sie auf "Ausführen", geben Sie "cmd" in das Feld "Öffnen" ein, und klicken Sie dann auf "OK".

    2. Geben Sie an einer Eingabeaufforderung Folgendes ein, und drücken Sie dann die EINGABETASTE: cd %userprofile%

    3. Geben Sie folgenden Befehl ein:

    c:\documents and settings\%username%>ldifde -i -f inetorgpersonprevent.ldf -v -c DC=X "domain name path for forest root domain"

    Syntaxhinweise:

    • DC=X ist eine Konstante mit Groß-/Kleinschreibung.
    • Der Domänennamepfad für die Stammdomäne muss in Anführungszeichen eingeschlossen werden.

    Die Befehlssyntax für eine Active Directory-Gesamtstruktur, deren Stammdomäne der Gesamtstruktur lautet TAILSPINTOYS.COM :

    c:\documents and settings\administrator>ldifde -i -f inetorgpersonprevent.ldf -v -c DC=X "dc=tailspintoys,dc=com"

    Notiz

    Möglicherweise müssen Sie den Registrierungsunterschlüssel "Schemaupdate zulässig " ändern, wenn die folgende Fehlermeldung angezeigt wird: Das Schemaupdate ist für diesen DC nicht zulässig, da der Registrierungsschlüssel nicht festgelegt ist oder der DC nicht der Schema FSMO-Rollenbesitzer ist.

  7. Stellen Sie sicher, dass die LDAPDisplayNames für den CN=ms-Exch-Assistant-Name, CN=ms-Exch-LabeledURI und CN=ms-Exch-House-Identifier-Attribute im Schemabenennungskontext jetzt als msExchAssistantName, msExchLabeledURI und msExchHouseIdentifier angezeigt werden, bevor Sie die Windows Server 2003-Befehle adprep /forestprep ausführen.

  8. Wechseln Sie zum Abschnitt "Übersicht: Upgraden von Windows 2000-Domänencontrollern auf Windows Server 2003", um die adprep /forestprep Befehle /domainprep auszuführen.

Szenario 3: Der Windows Server 2003-Forestprep-Befehl wurde ohne erste Ausführung inetOrgPersonFix ausgeführt.

Wenn Sie den Windows Server 2003-Befehl adprep /forestprep in einer Windows 2000-Gesamtstruktur ausführen, die die Exchange 2000-Schemaänderungen enthält, werden die LDAPDisplayName-Attribute für houseIdentifier, Secretary und labeledURI gehandelt. Um geglte Namen zu identifizieren, verwenden Sie Ldp.exe, um die betroffenen Attribute zu finden:

  1. Installieren Sie Ldp.exe aus dem Ordner "Support\Tools" der Medien von Microsoft Windows 2000 oder Windows Server 2003.

  2. Starten Sie Ldp.exe von einem Domänencontroller oder Mitgliedscomputer in der Gesamtstruktur.

    1. Klicken Sie im Menü "Verbindung " auf "Verbinden", lassen Sie das Feld "Server " leer, geben Sie "389 " in das Feld "Port" ein, und klicken Sie dann auf "OK".
    2. Klicken Sie im Menü "Verbindung " auf "Binden", lassen Sie alle Felder leer, und klicken Sie dann auf "OK".

  3. Notieren Sie den Distinguished Name Path für das SchemaNamingContext-Attribut. For example, for a domain controller in the CORP.ADATUM.COM forest, the distinguished name path might be CN=Schema,CN=Configuration,DC=corp,DC=company,DC=com.

  4. Klicken Sie im Menü "Durchsuchen" auf "Suchen".

  5. Verwenden Sie die folgenden Einstellungen, um das Suchdialogfeld zu konfigurieren:

    • Base DN: Der differenzierte Namenspfad für den Schemabenennungskontext, der in Schritt 3 identifiziert wird.
    • Filter: (ldapdisplayname=dup*)
    • Bereich: Unterstruktur

  6. Die Attribute "Mangled houseIdentifier", "secretary" und "labeledURI" weisen LDAPDisplayName-Attribute auf, die dem folgenden Format ähneln:

    LDAPDisplayName: DUP-labeledURI-9591bbd3-d2a6-4669-afda-48af7c35507d;
    LDAPDisplayName: DUP-secretary-c5a1240d-70c0-455c-9906-a4070602f85f
    LDAPDisplayName: DUP-houseIdentifier-354b0ca8-9b6c-4722-aae7-e66906cc9eef

  7. Wenn die LDAPDisplayNames für "labeledURI", "Secretary" und "houseIdentifier" in Schritt 6 gehandlert wurden, führen Sie das Windows Server 2003 InetOrgPersonFix.ldf-Skript aus, um das Wiederherstellen des Skripts "Upgraden von Windows 2000-Domänencontrollern mit Winnt32.exe" durchzuführen.

    1. Erstellen Sie einen Ordner mit dem Namen %Systemdrive%\IOP, und extrahieren Sie dann die Datei "InetOrgPersonFix.ldf" in diesen Ordner.

    2. Geben Sie in der Eingabeaufforderung cd %systemdrive%\iop ein.

    3. Extrahieren Sie die Datei InetOrgPersonFix.ldf aus der datei Support.cab, die sich im Ordner "Support\Tools" des Windows Server 2003-Installationsmediums befindet.

    4. Laden Sie in der Konsole des Schemaoperationsmasters die Datei "InetOrgPersonFix.ldf" mithilfe von Ldifde.exe, um das LdapDisplayName-Attribut der Attribute "houseIdentifier", "secretary" und "labeledURI" zu korrigieren. Geben Sie dazu den folgenden Befehl ein, wobei <X> eine Konstante mit Groß-/Kleinschreibung und <dn-Pfad für die Stammdomäne> der Gesamtstruktur ist der Domänennamepfad für die Stammdomäne der Gesamtstruktur:

      C:\IOP>ldifde -i -f inetorgpersonfix.ldf -v -c DC=X "domain name path for forest root domain"

      Syntaxhinweise:

      • DC=X ist eine Konstante mit Groß-/Kleinschreibung.
      • Der Domänennamepfad für die Stammdomäne der Gesamtstruktur muss in Anführungszeichen eingeschlossen werden.

  8. Stellen Sie sicher, dass die attribute houseIdentifier, secretary und labeledURI im Schemabenennungskontext nicht "mangled" sind, bevor Sie Exchange 2000 installieren.

Übersicht: Aktualisieren von Windows 2000-Domänencontrollern auf Windows Server 2003

Der Windows Server 2003-Befehl adprep , den Sie im Ordner "\I386" der Windows Server 2003-Medien ausführen, bereitet eine Windows 2000-Gesamtstruktur und deren Domänen für das Hinzufügen von Windows Server 2003-Domänencontrollern vor. Der Windows Server 2003-Befehl adprep /forestprep fügt die folgenden Features hinzu:

  • Verbesserte Standardsicherheitsbeschreibungen für Objektklassen

  • Neue Benutzer- und Gruppenattribute

  • Neue Schemaobjekte und Attribute wie inetOrgPersonDie adprep-Hilfsprogramm unterstützt zwei Befehlszeilenargumente:

    • adprep /forestprep: Führt Gesamtstrukturupgradevorgänge aus.
    • dprep /domainprep: Führt Domänenupgradevorgänge aus.

Der adprep /forestprep Befehl ist ein einmaliger Vorgang, der im Schemaoperationsmaster (FSMO) der Gesamtstruktur ausgeführt wird. Der Gesamtstrukturvorlaufvorgang muss abgeschlossen und in den Infrastrukturmaster jeder Domäne repliziert werden, bevor Sie in dieser Domäne ausführen adprep /domainprep können.

Der adprep /domainprep Befehl ist ein einmaliger Vorgang, den Sie auf dem Hauptdomänencontroller für Infrastrukturvorgänge jeder Domäne in der Gesamtstruktur ausführen, die neue oder aktualisierte Windows Server 2003-Domänencontroller hostet. Der adprep /domainprep Befehl überprüft, ob die Änderungen von "forestprep" in der Domänenpartition repliziert wurden, und nimmt dann eigene Änderungen an der Domänenpartition und den Gruppenrichtlinien in der Sysvol-Freigabe vor.

Sie können keine der folgenden Aktionen ausführen, es sei denn, die Vorgänge "/forestprep" und "/domainprep" wurden abgeschlossen und auf alle Domänencontroller in dieser Domäne repliziert:

  • Aktualisieren Sie die Windows 2000-Domänencontroller mithilfe von Winnt32.exe auf Windows Server 2003-Domänencontroller.

Notiz

Sie können die Windows 2000-Mitgliedsserver und -computer jederzeit auf Windows Server 2003-Mitgliedscomputer aktualisieren. Höherstufen neuer Windows Server 2003-Domänencontroller in die Domäne mithilfe von Dcpromo.exe.Die Domäne, in der der Schemabetriebsmaster gehostet wird, ist die einzige Domäne, in der Sie beide und adprep /domainprepbeide adprep /forestprep ausführen müssen. In allen anderen Domänen müssen Sie nur ausgeführt werden adprep /domainprep.

Die adprep /forestprep Befehle adprep /domainprep fügen dem partiellen Attributsatz des globalen Katalogs keine Attribute hinzu oder führen zu einer vollständigen Synchronisierung des globalen Katalogs. Die RTM-Version bewirkt adprep /domainprep eine vollständige Synchronisierung des Ordners \Policies in der Sysvol-Struktur. Auch wenn Sie forestprep und domainprep mehrmals ausführen, werden abgeschlossene Vorgänge nur einmal ausgeführt.

Nachdem die Änderungen von adprep /forestprep und adprep /domainprep vollständig repliziert wurden, können Sie die Windows 2000-Domänencontroller auf Windows Server 2003 aktualisieren, indem Sie Winnt32.exe aus dem Ordner "\I386" des Windows Server 2003-Mediums ausführen. Darüber hinaus können Sie der Domäne neue Windows Server 2003-Domänencontroller hinzufügen, indem Sie Dcpromo.exe verwenden.

Aktualisieren der Gesamtstruktur mit dem Befehl "adprep /forestprep"

Um eine Windows 2000-Gesamtstruktur und Domänen für die Annahme von Windows Server 2003-Domänencontrollern vorzubereiten, führen Sie die folgenden Schritte zuerst in einer Lab-Umgebung und dann in einer Produktionsumgebung aus:

  1. Stellen Sie sicher, dass Sie alle Vorgänge in der Phase "Gesamtstrukturinventar" abgeschlossen haben, wobei Sie besonders auf die folgenden Elemente achten:

    1. Sie haben Systemstatussicherungen erstellt.
    2. Alle Windows 2000-Domänencontroller in der Gesamtstruktur haben alle entsprechenden Hotfixes und Service Packs installiert.
    3. End-to-End-Replikation von Active Directory erfolgt in der gesamten Gesamtstruktur
    4. FRS repliziert die Dateisystemrichtlinie ordnungsgemäß in jeder Domäne.

  2. Melden Sie sich bei der Konsole des Schemaoperationsmasters mit einem Konto an, das Mitglied der Sicherheitsgruppe "Schemaadministratoren" ist.

  3. Stellen Sie sicher, dass das Schema FSMO die eingehende Replikation der Schemapartition durchgeführt hat, indem Sie Folgendes an einer Windows NT-Eingabeaufforderung eingeben: repadmin /showreps

    ( repadmin wird vom Ordner "Support\Tools" von Active Directory installiert.)

  4. In der frühen Microsoft-Dokumentation wird empfohlen, den Schemaoperationsmaster in einem privaten Netzwerk zu isolieren, bevor Sie ausgeführt werden adprep /forestprep. Echte Erfahrungen deuten darauf hin, dass dieser Schritt nicht erforderlich ist und dazu führen kann, dass ein Schemaoperationsmaster Schemaänderungen ablehnt, wenn er in einem privaten Netzwerk neu gestartet wird.

  5. Führen Sie adprep den Schemaoperationsmaster aus. Klicken Sie dazu auf "Start", klicken Sie auf "Ausführen", geben Sie "cmd" ein, und klicken Sie dann auf "OK". Geben Sie im Schemaoperationsmaster den folgenden Befehl ein:

     X:\I386\adprep /forestprep

    Dabei ist X:\I386\ der Pfad des Windows Server 2003-Installationsmediums. Dieser Befehl führt das gesamtstrukturweite Schemaupgrade aus.

    Notiz

    Ereignisse mit der Ereignis-ID 1153, die im Verzeichnisdienst-Ereignisprotokoll protokolliert werden, z. B. das folgende Beispiel, können ignoriert werden:

  6. Stellen Sie sicher, dass der adprep /forestprep Befehl erfolgreich im Schemaoperationsmaster ausgeführt wurde. Überprüfen Sie dazu in der Konsole des Schemaoperationsmasters die folgenden Elemente: – Der adprep /forestprep Befehl wurde ohne Fehler abgeschlossen. - Das CN=Windows2003Update-Objekt wird unter CN=ForestUpdates,CN=Configuration,DC= forest_root_domain geschrieben. Notieren Sie den Wert des Revision-Attributs. - (Optional) Die Schemaversion wird auf Version 30 erhöht. Lesen Sie dazu das ObjectVersion-Attribut unter CN=Schema,CN=Configuration,DC= forest_root_domain. Wenn adprep /forestprep sie nicht ausgeführt wird, überprüfen Sie die folgenden Elemente:

    • Der vollqualifizierte Pfad für Adprep.exe im Ordner \I386 des Installationsmediums wurde angegeben, wenn adprep sie ausgeführt wurde. Geben Sie dazu den folgenden Befehl ein:

      x:\i386\adprep /forestprep

      wobei x das Laufwerk ist, auf dem die Installationsmedien gehostet werden.

    • Der angemeldete Benutzer, der adprep ausführt, verfügt über eine Mitgliedschaft in der Sicherheitsgruppe "Schemaadministratoren". Verwenden Sie den Befehl, um dies whoami /all zu überprüfen.

    • Wenn adprep dies immer noch nicht funktioniert, zeigen Sie die Adprep.log Datei im Ordner "%systemroot%\System32\Debug\Adprep\Logs\Latest_log " an.

  7. Wenn Sie die ausgehende Replikation im Schemaoperationsmaster in Schritt 4 deaktiviert haben, aktivieren Sie die Replikation, damit die von ihnen vorgenommenen adprep /forestprep Schemaänderungen weitergegeben werden können. Führen Sie dazu die folgenden Schritte aus:

    1. Klicken Sie auf Startund dann auf Ausführen, geben Sie cmdein, und klicken Sie anschließend auf OK.
    2. Geben Sie Folgendes ein, und drücken Sie dann die EINGABETASTE: repadmin /options -DISABLE_OUTBOUND_REPL

  8. Stellen Sie sicher, dass die adprep /forestprep Änderungen auf allen Domänencontrollern in der Gesamtstruktur repliziert wurden. Es ist hilfreich, die folgenden Attribute zu überwachen:

    1. Erhöhen der Schemaversion
    2. CN=Windows2003Update, CN=ForestUpdates,CN=Configuration,DC= forest_root_domain oder CN=Operations,CN=DomainUpdates,CN=System,DC= forest_root_domain und die darin befindlichen Betriebs-GUIDs wurden repliziert.
    3. Suchen Sie nach neuen Schemaklassen, Objekten, Attributen oder anderen Änderungen, die adprep /forestprep hinzugefügt werden, z. B. inetOrgPerson. Zeigen Sie die Sch XX.ldf-Dateien (wobei XX eine Zahl zwischen 14 und 30 ist) im Ordner %systemroot%\System32 an, um zu bestimmen, welche Objekte und Attribute vorhanden sein sollen. InetOrgPerson wird beispielsweise in Sch18.ldf definiert.

  9. Suchen Sie nach mangled LDAPDisplayNames. Wenn Sie geglte Namen finden, wechseln Sie zu Szenario 3 desselben Artikels.

  10. Melden Sie sich bei der Konsole des Schemaoperationsmasters mit einem Konto an, das Mitglied der Gruppensicherheitsgruppe "Schemaadministratoren" der Gesamtstruktur ist, die den Schemaoperationsmaster hostet.

Aktualisieren der Domäne mit dem Befehl "adprep /domainprep"

Führen Sie die Ausführung adprep /domainprep nach der vollständigen Replikation der /forestprep-Änderungen in den Infrastrukturmasterdomänencontrollern in jeder Domäne aus, die Windows Server 2003-Domänencontroller hostet. Führen Sie dazu die folgenden Schritte aus:

  1. Identifizieren Sie den Infrastrukturmasterdomänencontroller in der Domäne, die Sie aktualisieren, und melden Sie sich dann mit einem Konto an, das Mitglied der Sicherheitsgruppe "Domänenadministratoren" in der Domäne ist, die Sie aktualisieren.

    Notiz

    Der Unternehmensadministrator ist möglicherweise kein Mitglied der Sicherheitsgruppe "Domänenadministratoren" in untergeordneten Domänen der Gesamtstruktur.

  2. Führen Sie adprep /domainprep den Infrastrukturmaster aus. Klicken Sie dazu auf "Start", klicken Sie auf "Ausführen", geben Sie "cmd" ein, und geben Sie dann im Mastertyp "Infrastruktur" den folgenden Befehl ein: X:\I386\adprep /domainprep Wobei X:\I386\ der Pfad des Windows Server 2003-Installationsmediums ist. Dieser Befehl führt domänenweite Änderungen in der Zieldomäne aus.

    Notiz

    Der adprep /domainprep Befehl ändert die Dateiberechtigungen in der Sysvol-Freigabe. Diese Änderungen führen zu einer vollständigen Synchronisierung von Dateien in dieser Verzeichnisstruktur.

  3. Vergewissern Sie sich, dass "domainprep" erfolgreich abgeschlossen wurde. Überprüfen Sie dazu die folgenden Elemente:

    • Der adprep /domainprep Befehl wurde ohne Fehler abgeschlossen.
    • Das CN=Windows2003Update,CN=DomainUpdates,CN=System,DC= dn Pfad der Domäne, die Sie aktualisieren , ist vorhanden. Überprüfen adprep /domainprep Sie die folgenden Elemente:
    • Der angemeldete Benutzer, der ausgeführt wird adprep , verfügt über Eine Mitgliedschaft in der Sicherheitsgruppe "Domänenadministratoren" in der Domäne, die Sie aktualisieren. Verwenden Sie hierzu den whoami /all-Befehl.
    • Der vollqualifizierte Pfad für Adprep.exe im Verzeichnis \I386 des Installationsmediums wurde beim Ausführen angegeben adprep. Geben Sie dazu an einer Eingabeaufforderung den folgenden Befehl ein: x :\i386\adprep /forestprep dabei ist x das Laufwerk, auf dem die Installationsmedien gehostet werden.
    • Wenn adprep dies immer noch nicht funktioniert, zeigen Sie die Adprep.log Datei im Ordner "%systemroot%\System32\Debug\Adprep\Logs\ Latest_log " an.

  4. Überprüfen Sie, ob die adprep /domainprep Änderungen repliziert wurden. Überprüfen Sie dazu für die verbleibenden Domänencontroller in der Domäne die folgenden Elemente: - Das CN=Windows2003Update,CN=DomainUpdates,CN=System,DC= dn Pfad der Domäne, die Sie aktualisieren , ist vorhanden, und der Wert für das Revision-Attribut entspricht dem Wert desselben Attributs im Infrastrukturmaster der Domäne. - (Optional) Suchen Sie nach Änderungen an Objekten, Attributen oder Zugriffssteuerungslisten (Access Control List, ACL), die adprep /domainprep hinzugefügt wurden. Wiederholen Sie die Schritte 1 bis 4 für den Infrastrukturmaster der verbleibenden Domänen im Massenvorgang oder beim Hinzufügen oder Aktualisieren von DCs in diesen Domänen auf Windows Server 2003. Jetzt können Sie neue Windows Server 2003-Computer mithilfe von DCPROMO in die Gesamtstruktur höher stufen. Alternativ können Sie vorhandene Windows 2000-Domänencontroller mithilfe von WINNT32.EXE auf Windows Server 2003 aktualisieren.

Aktualisieren von Windows 2000-Domänencontrollern mithilfe von Winnt32.exe

Nachdem die Änderungen von "/forestprep" und "/domainprep" vollständig repliziert wurden und Sie eine Entscheidung über die Sicherheitsinteroperabilität mit früheren Clients getroffen haben, können Sie Windows 2000-Domänencontroller auf Windows Server 2003 aktualisieren und der Domäne neue Windows Server 2003-Domänencontroller hinzufügen.

Die folgenden Computer müssen zu den ersten Domänencontrollern gehören, die Windows Server 2003 in der Gesamtstruktur in jeder Domäne ausführen:

  • Der Domänenbenennungsmaster in der Gesamtstruktur, sodass Sie standardmäßige DNS-Programmpartitionen erstellen können.
  • Der primäre Domänencontroller der Stammdomäne der Gesamtstruktur, sodass die unternehmensweiten Sicherheitsprinzipale, die die Gesamtstrukturvorgabe von Windows Server 2003 hinzufügen, im ACL-Editor sichtbar werden.
  • Der primäre Domänencontroller in jeder Nicht-Stammdomäne, sodass Sie neue domänenspezifische Windows 2003-Sicherheitsprinzipale erstellen können. Verwenden Sie dazu WINNT32, um vorhandene Domänencontroller zu aktualisieren, die die gewünschte betriebsbereite Rolle hosten. Oder übertragen Sie die Rolle auf einen neu höhergestuften Windows Server 2003-Domänencontroller. Führen Sie die folgenden Schritte für jeden Windows 2000-Domänencontroller aus, den Sie mit WINNT32 auf Windows Server 2003 aktualisieren, sowie für jeden Windows Server 2003-Arbeitsgruppen- oder Mitgliedscomputer, den Sie bewerben:

  1. Bevor Sie WINNT32 zum Upgrade von Windows 2000-Mitgliedscomputern und Domänencontrollern verwenden, entfernen Sie die Windows 2000-Verwaltungstools. Verwenden Sie dazu das Tool "Programme hinzufügen/entfernen" in Systemsteuerung. (Nur Windows 2000-Upgrades.)

  2. Installieren Sie alle Hotfixdateien oder andere Fixes, die entweder Microsoft oder der Administrator feststellt, ist wichtig.

  3. Überprüfen Sie jeden Domänencontroller auf mögliche Upgradeprobleme. Führen Sie dazu den folgenden Befehl aus dem Ordner "\I386" des Installationsmediums aus: winnt32.exe /checkupgradeonly Beheben Sie alle Probleme, die die Kompatibilitätsprüfung identifiziert.

  4. Führen Sie WINNT32.EXE aus dem Ordner "\I386" des Installationsmediums aus, und starten Sie den aktualisierten Domänencontroller 2003 neu.

  5. Verringern Sie die Sicherheitseinstellungen für Clients früherer Versionen nach Bedarf.

    Wenn Windows NT 4.0-Clients nicht über NT 4.0 SP6- oder Windows 95-Clients verfügen, die den Verzeichnisdienstclient nicht installiert haben, deaktivieren Sie die SMB-Dienstanmeldung für die Standarddomänencontrollerrichtlinie für die Organisationseinheit Domänencontroller, und verknüpfen Sie diese Richtlinie dann mit allen Organisationseinheiten, die Domänencontroller hosten. Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen\Microsoft Network Server: Kommunikation digital signieren (immer)

  6. Überprüfen Sie den Status des Upgrades mithilfe der folgenden Datenpunkte:

    • Das Upgrade wurde erfolgreich abgeschlossen.
    • Die Hotfixes, die Sie der Installation hinzugefügt haben, wurden erfolgreich durch die ursprünglichen Binärdateien ersetzt.
    • Die eingehende und ausgehende Replikation von Active Directory erfolgt für alle Namenskontexte, die vom Domänencontroller gehalten werden.
    • Die Netlogon- und Sysvol-Freigaben sind vorhanden.
    • Das Ereignisprotokoll gibt an, dass der Domänencontroller und seine Dienste fehlerfrei sind.

    Notiz

    Möglicherweise erhalten Sie nach dem Upgrade die folgende Ereignismeldung: Sie können diese Ereignisnachricht sicher ignorieren.

  7. Installieren Sie die Windows Server 2003-Verwaltungstools (nur Windows 2000-Upgrades und Nicht-Domänencontroller von Windows Server 2003). Adminpak.msi befindet sich im Ordner "\I386" der Windows Server 2003-CD-ROM. Windows Server 2003-Medien enthalten aktualisierte Supporttools in der Datei "Support\Tools\Suptools.msi". Stellen Sie sicher, dass Sie diese Datei erneut installieren.

  8. Erstellen Sie neue Sicherungen von mindestens den ersten beiden Windows 2000-Domänencontrollern, die Sie in jeder Domäne in der Gesamtstruktur auf Windows Server 2003 aktualisiert haben. Suchen Sie die Sicherungen der Windows 2000-Computer, die Sie im gesperrten Speicher auf Windows Server 2003 aktualisiert haben, damit Sie sie nicht versehentlich verwenden, um einen Domänencontroller wiederherzustellen, der jetzt Windows Server 2003 ausführt.

  9. (Optional) Führen Sie eine Offlinedefragmentierung der Active Directory-Datenbank auf den Domänencontrollern durch, die Sie auf Windows Server 2003 aktualisiert haben, nachdem der einzelne Instanzspeicher (SIS) abgeschlossen wurde (nur Windows 2000-Upgrades).

    Das SIS überprüft vorhandene Berechtigungen für objekte, die in Active Directory gespeichert sind, und wendet dann einen effizienteren Sicherheitsdeskriptor für diese Objekte an. Das SIS wird automatisch gestartet (durch Ereignis 1953 im Verzeichnisdienstereignisprotokoll identifiziert), wenn bei aktualisierten Domänencontrollern zuerst das Betriebssystem Windows Server 2003 gestartet wird. Sie profitieren vom verbesserten Sicherheitsdeskriptorspeicher nur, wenn Sie eine Ereignis-ID 1966-Ereignismeldung im Verzeichnisdienstereignisprotokoll protokollieren: Diese Ereignismeldung gibt an, dass der Vorgang für den einzelnen Instanzspeicher abgeschlossen ist und als Warteschlange dient, um die Offlinedefragmentierung der Ntds.dit mithilfe von NTDSUTIL.EXE auszuführen.

    Die Offlinedefragmentierung kann die Größe einer Windows 2000 Ntds.dit-Datei um bis zu 40 % verringern, die Active Directory-Leistung verbessern und die Seiten in der Datenbank für eine effizientere Speicherung von Attributen mit Linkwert aktualisieren. Weitere Informationen zum Defragmentieren der Active Directory-Datenbank finden Sie in der Microsoft Knowledge Base auf die folgende Artikelnummer:

    232122 Durchführen einer Offlinedefragmentierung der Active Directory-Datenbank

  10. Untersuchen Sie den DLT-Serverdienst. Windows Server 2003-Domänencontroller deaktivieren den DLT Server-Dienst bei neu installierten Installationen und Upgrades. Wenn Windows 2000- oder Windows XP-Clients in Ihrer Organisation den DLT Server-Dienst verwenden, verwenden Sie Gruppenrichtlinien, um den DLT Server-Dienst auf neuen oder aktualisierten Windows Server 2003-Domänencontrollern zu aktivieren. Löschen Sie andernfalls inkrementell verteilte Linkverfolgungsobjekte aus Active Directory. Klicken Sie auf die Nummer des folgenden Microsoft Knowledge Base-Artikels, um weitere Informationen zu erhalten:

    312403 Verteilte Linkverfolgung auf Windows-basierten Domänencontrollern

    Wenn Sie Tausende von DLT-Objekten oder anderen Objekten massenweise löschen, können Sie die Replikation aufgrund eines fehlenden Versionsspeichers blockieren. Warten Sie die Anzahl der Tage (standardmäßig 60 Tage) nach dem Löschen des letzten DLT-Objekts und auf den Abschluss der Garbage Collection, und verwenden Sie dann NTDSUTIL.EXE, um eine Offlinedefragmentierung der Ntds.dit-Datei durchzuführen.

  11. Konfigurieren Sie die Organisationseinheitsstruktur mit bewährten Methoden. Microsoft empfiehlt Administratoren, die Organisationseinheitsstruktur in allen Active Directory-Domänen aktiv bereitzustellen, und leiten Sie nach dem Upgrade oder Bereitstellen von Windows Server 2003-Domänencontrollern im Windows-Domänenmodus die Standardcontainer um, die von früheren Versionen-APIs verwendet werden, um Benutzer, Computer und Gruppen zu einem Organisationseinheitscontainer zu erstellen, den der Administrator angibt.

    Weitere Informationen zur Organisationseinheitsstruktur der bewährten Methode finden Sie im Whitepaper "Erstellen eines Organisationseinheitsentwurfs" des Whitepapers "Best Practice Active Directory Design for Managing Windows Networks". Um das Whitepaper anzuzeigen, besuchen Sie die folgende Microsoft-Website: https://technet.microsoft.com/library/bb727085.aspx Weitere Informationen zum Ändern des Standardcontainers, in dem Benutzer, Computer und Gruppen, die von APIs mit früheren Versionen erstellt werden, finden Sie auf der folgenden Artikelnummer, um den Artikel in der Microsoft Knowledge Base anzuzeigen:

    324949 Umleitung der Benutzer- und Computercontainer in Windows Server 2003-Domänen

  12. Wiederholen Sie die Schritte 1 bis 10 nach Bedarf für jeden neuen oder aktualisierten Windows Server 2003-Domänencontroller in der Gesamtstruktur und Schritt 11 (Organisationseinheitsstruktur der bewährten Methode) für jede Active Directory-Domäne.

    Gehen Sie in Zusammenfassung wie folgt vor:

    • Aktualisieren von Windows 2000-Domänencontrollern mit WINNT32 (bei Verwendung über den Slipstreamed-Installationsmedium)
    • Überprüfen, ob die Hotfixes-Dateien auf den aktualisierten Computern installiert wurden
    • Installieren sie alle erforderlichen Hotfixes, die nicht auf Installationsmedien enthalten sind
    • Überprüfen der Integrität auf neuen oder aktualisierten Servern (AD, FRS, Richtlinie usw.)
    • Warten Sie 24 Stunden nach dem Betriebssystemupgrade, und offline defragieren (optional)
    • Starten Sie den DLT-Dienst bei Bedarf, andernfalls löschen Sie DLT-Objekte mithilfe von q312403 / q315229 nach gesamtstrukturweiten Domänenvorgaben.
    • Durchführen von Offlinedefragmentierung um 60 Tage (Tombstone-Lebensdauer und Garbage Collection # of Days) nach dem Löschen von DLT-Objekten

Trockenausführungsupgrades in einer Laborumgebung

Bevor Sie Windows-Domänencontroller auf eine Windows 2000-Produktionsdomäne aktualisieren, überprüfen und verfeinern Sie Den Upgradeprozess in der Übung. Wenn das Upgrade einer Laborumgebung, die die Produktionsstruktur genau widerspiegelt, reibungslos funktioniert, können Sie ähnliche Ergebnisse in Produktionsumgebungen erwarten. Bei komplexen Umgebungen muss die Lab-Umgebung die Produktionsumgebung in den folgenden Bereichen spiegeln:

  • Hardware: Computertyp, Arbeitsspeichergröße, Seitendateiplatzierung, Datenträgergröße, Leistung und Raid-Konfiguration, BIOS- und Firmwarerevisionsebenen
  • Software: Client- und Serverbetriebssystemversionen, Client- und Serveranwendungen, Service Pack-Versionen, Hotfixes, Schemaänderungen, Sicherheitsgruppen, Gruppenmitgliedschaften, Berechtigungen, Richtlinieneinstellungen, Objektanzahltyp und Standort, Versionsinteroperabilität
  • Netzwerkinfrastruktur: WINS, DHCP, Verbindungsgeschwindigkeiten, verfügbare Bandbreite
  • Laden: Ladesimulatoren können Kennwortänderungen, Objekterstellung, Active Directory-Replikation, Anmeldeauthentifizierung und andere Ereignisse simulieren. Ziel ist es nicht, den Maßstab der Produktionsumgebung zu reproduzieren. Stattdessen sollen die Kosten und Häufigkeit gemeinsamer Vorgänge ermittelt und ihre Auswirkungen (Namensabfragen, Replikationsdatenverkehr, Netzwerkbandbreite und Prozessorverbrauch) basierend auf Ihren aktuellen und zukünftigen Anforderungen interpoliert werden.
  • Verwaltung: Ausgeführte Aufgaben, verwendete Tools, verwendete Betriebssysteme
  • Betrieb: Kapazität, Interoperabilität
  • Speicherplatz: Beachten Sie die Start-, Spitzen- und Endgröße des Betriebssystems, Ntds.dit und Active Directory-Protokolldateien im globalen Katalog und nicht globalen Katalogdomänencontrollern in jeder Domäne nach jedem der folgenden Vorgänge:
    1. adprep /forestprep
    2. adprep /domainprep
    3. Aktualisieren von Windows 2000-Domänencontrollern auf Windows Server 2003
    4. Durchführen der Offlinedefragmentierung nach Versionsupgrades

Ein Verständnis des Upgradeprozesses und der Komplexität der Umgebung in Kombination mit detaillierter Beobachtung bestimmt das Tempo und den Grad der Sorgfalt, die Sie für das Upgrade von Produktionsumgebungen anwenden. Umgebungen mit einer kleinen Anzahl von Domänencontrollern und Active Directory-Objekten, die über WAN-Verbindungen (Wide Availability Wide Area Network) verbunden sind, können in nur wenigen Stunden aktualisiert werden. Möglicherweise müssen Sie bei Unternehmensbereitstellungen mit Hunderten von Domänencontrollern oder Hunderten von Tausenden von Active Directory-Objekten mehr Sorgfalt übernehmen. In solchen Fällen können Sie das Upgrade im Laufe von mehreren Wochen oder Monaten durchführen.

Verwenden Sie "Dry-run"-Upgrades im Labor, um die folgenden Aufgaben auszuführen:

  • Verstehen der inneren Funktionsweise des Upgradeprozesses und der damit verbundenen Risiken.
  • Machen Sie potenzielle Problembereiche für den Bereitstellungsprozess in Ihrer Umgebung verfügbar.
  • Testen und Entwickeln von Fallbackplänen, falls das Upgrade nicht erfolgreich ist.
  • Definieren Sie die entsprechende Detailstufe, die auf den Upgradeprozess für die Produktionsdomäne angewendet werden soll.

Domänencontroller ohne ausreichenden Speicherplatz

Verwenden Sie auf Domänencontrollern mit unzureichendem Speicherplatz die folgenden Schritte, um zusätzlichen Speicherplatz auf dem Volume freizugeben, auf dem die Dateien Ntds.dit und Protokolldateien gehostet werden:

  1. Löschen Sie die nicht verwendeten Dateien, einschließlich *.tmp Dateien oder zwischengespeicherte Dateien, die von Internetbrowsern verwendet werden. Geben Sie dazu die folgenden Befehle ein (drücken Sie nach jedem Befehl die EINGABETASTE):

    cd /d drive\  
del *.tmp /s

  2. Löschen Sie alle Benutzer- oder Speicherabbilddateien. Geben Sie dazu die folgenden Befehle ein (drücken Sie nach jedem Befehl die EINGABETASTE):

    cd /d drive\  
del *.dmp /s

  3. Entfernen oder Verschieben von Dateien, auf die Sie von anderen Servern zugreifen können, oder verschieben Sie sie vorübergehend erneut. Dateien, die Sie entfernen und einfach ersetzen können, umfassen ADMINPAK, Supporttools und alle Dateien im Ordner "%systemroot%\System32\Dllcache".

  4. Löschen Sie alte oder nicht verwendete Benutzerprofile. Klicken Sie dazu auf "Start", klicken Sie mit der rechten Maustaste auf "Arbeitsplatz", klicken Sie auf "Eigenschaften", klicken Sie auf die Registerkarte "Benutzerprofile", und löschen Sie dann alle Profile, die für alte und nicht verwendete Konten gelten. Löschen Sie keine Profile, die sich möglicherweise für Dienstkonten befinden.

  5. Löschen Sie die Symbole unter %systemroot%\Symbols. Geben Sie dazu den folgenden Befehl ein: rd /s %systemroot%\symbols Je nachdem, ob die Server über einen vollständigen oder kleinen Symbolsatz verfügen, kann dies ca. 70 MB bis 600 MB betragen.

  6. Führen Sie eine Offlinefragmentierung durch. Eine Offlinefragmentierung der Datei "Ntds.dit" kann Speicherplatz freigeben, erfordert jedoch vorübergehend einen doppelten Speicherplatz der aktuellen DIT-Datei. Führen Sie die Offlinedefragmentierung mithilfe anderer lokaler Volumes aus, wenn eins verfügbar ist. Oder verwenden Sie Speicherplatz auf einem am besten verbundenen Netzwerkserver, um die Offlinedefragmentierung durchzuführen. Wenn der Speicherplatz noch nicht ausreicht, löschen Sie inkrementell unnötige Benutzerkonten, Computerkonten, DNS-Einträge und DLT-Objekte aus Active Directory.

Notiz

Active Directory löscht keine Objekte aus der Datenbank, bis die Tombstonelifetime-Anzahl von Tagen (standardmäßig 60 Tage) vergangen ist und die Garbage Collection abgeschlossen ist. Wenn Sie die Tombstonelifetime auf einen Wert reduzieren, der niedriger als die End-to-End-Replikation in der Gesamtstruktur ist, können Inkonsistenzen in Active Directory auftreten.