Freigeben über

So erhöhen Sie die Funktionsebenen der Active Directory-Domäne und der Gesamtstruktur

  • Artikel

In diesem Artikel wird beschrieben, wie Sie die Funktionsebenen der Active Directory-Domäne und der Gesamtstruktur heraufstufen.

Gilt für: Windows Server 2003
Ursprüngliche KB-Nummer: 322692

Zusammenfassung

Informationen zu Windows Server 2016 und neuen Features in Active Directory-Domäne Services (AD DS) finden Sie unter Neuigkeiten in Active Directory-Domäne Services für Windows Server 2016.

In diesem Artikel werden die Funktionsebenen für Domänen und Gesamtstruktur erläutert, die von Microsoft Windows Server 2003-basierten oder neueren Domänencontrollern unterstützt werden. Es gibt vier Versionen von Active Directory, und nur die Ebenen, die sich von Windows NT Server 4.0 geändert haben, erfordern besondere Beachtung. Daher werden die anderen Ebenenänderungen mithilfe der neueren, aktuellen oder älteren Versionen des Domänencontrollerbetriebssystems, der Domäne oder der Gesamtstrukturfunktionsebene erwähnt.

Funktionale Ebenen sind eine Erweiterung des gemischten Modus und die Konzepte des nativen Modus, die in Microsoft Windows 2000 Server eingeführt wurden, um neue Active Directory-Features zu aktivieren. Einige zusätzliche Active Directory-Features sind verfügbar, wenn alle Domänencontroller die neueste Windows Server-Version in einer Domäne oder in einer Gesamtstruktur ausführen, und wenn der Administrator die entsprechende Funktionsebene in der Domäne oder in der Gesamtstruktur aktiviert.

Um die neuesten Domänenfeatures zu aktivieren, müssen alle Domänencontroller die neueste Windows Server-Betriebssystemversion in der Domäne ausführen. Wenn diese Anforderung erfüllt ist, kann der Administrator die Domänenfunktionsebene erhöhen.

Um die neuesten gesamtstrukturweiten Features zu aktivieren, müssen alle Domänencontroller in der Gesamtstruktur die Windows Server-Betriebssystemversion ausführen, die der gewünschten Gesamtstrukturfunktionsebene entspricht. Darüber hinaus muss sich die aktuelle Domänenfunktionsebene bereits auf der neuesten Ebene befinden. Wenn diese Anforderungen erfüllt sind, kann der Administrator die Gesamtstrukturfunktionsebene erhöhen.

Im Allgemeinen sind die Änderungen an den Domänen- und Gesamtstrukturfunktionsebenen unumkehrbar. Wenn die Änderung rückgängig gemacht werden kann, muss eine Gesamtstrukturwiederherstellung verwendet werden. Mit dem Betriebssystem Windows Server 2008 R2 können die Änderungen an Domänenfunktionsebenen und Gesamtstrukturfunktionsebenen zurückgesetzt werden. Das Rollback kann jedoch nur in den spezifischen Szenarien ausgeführt werden, die im Technet-Artikel zu den Active Directory-Funktionsebenen beschrieben werden.

Notiz

Die neuesten Domänenfunktionsebenen und die neuesten Gesamtstrukturfunktionsebenen wirken sich nur auf die Art und Weise aus, wie die Domänencontroller als Gruppe zusammenarbeiten. Die Clients, die mit der Domäne oder mit der Gesamtstruktur interagieren, sind davon nicht betroffen. Darüber hinaus sind Anwendungen von Änderungen der Domänenfunktionsebenen oder der Gesamtstrukturfunktionsebenen nicht betroffen. Anwendungen können jedoch die neuesten Domänenfeatures und die neuesten Gesamtstrukturfeatures nutzen.

Weitere Informationen finden Sie im TechNet-Artikel zu den Features, die den verschiedenen Funktionsstufen zugeordnet sind.

Erhöhen der Funktionalen Ebene

Achtung

Heben Sie die Funktionale Ebene nicht an, wenn die Domäne über einen Domänencontroller verfügt oder über einen Domänencontroller verfügt, der einer früheren Version als der version entspricht, die für diese Ebene zitiert wird. Eine Windows Server 2008-Funktionsebene erfordert beispielsweise, dass alle Domänencontroller Windows Server 2008 oder ein höheres Betriebssystem in der Domäne oder in der Gesamtstruktur installiert haben. Nachdem die Domänenfunktionsebene auf eine höhere Ebene erhöht wurde, kann sie nur mithilfe einer Gesamtstrukturwiederherstellung auf eine ältere Ebene zurück geändert werden. Diese Einschränkung besteht, da die Features häufig die Kommunikation zwischen den Domänencontrollern ändern oder weil die Features den Speicher der Active Directory-Daten in der Datenbank ändern.

Die am häufigsten verwendete Methode zum Aktivieren der Domänen- und Gesamtstrukturfunktionsebenen besteht darin, die grafischen Verwaltungstools für die Benutzeroberfläche (GUI) zu verwenden , die im TechNet-Artikel zu Windows Server 2003 Active Directory-Funktionsebenen dokumentiert sind. In diesem Artikel wird Windows Server 2003 erläutert. Die Schritte sind jedoch in den neueren Betriebssystemversionen identisch. Darüber hinaus kann die Funktionsebene manuell konfiguriert oder mithilfe von Windows PowerShell-Skripts konfiguriert werden. Weitere Informationen zum manuellen Konfigurieren der Funktionsebene finden Sie im Abschnitt "Anzeigen und Festlegen der Funktionsebene".

Weitere Informationen zur Verwendung des Windows PowerShell-Skripts zum Konfigurieren der Funktionsebene finden Sie unter " Erhöhen der Gesamtstrukturfunktionsebene".

Manuelles Anzeigen und Festlegen der Funktionsebene

Die Ldap-Tools (Lightweight Directory Access Protocol) wie Ldp.exe und Adsiedit.msc können verwendet werden, um die aktuellen Einstellungen für Domänen- und Gesamtstrukturfunktionsebene anzuzeigen und zu ändern. Wenn Sie die Attribute der Funktionsebene manuell ändern, empfiehlt es sich, Attributänderungen am Domänencontroller "Flexible Single Master Operations (FSMO)" vorzunehmen, der normalerweise von den Microsoft-Verwaltungstools adressiert wird.

Einstellungen auf Domänenfunktionsebene

Das Attribut "msDS-Behavior-Version" befindet sich im Namenskontext (NC) head für die Domäne, d. h. DC=corp, DC=contoso, DC=com.

Sie können die folgenden Werte für dieses Attribut festlegen:

  • Wert von 0 oder nicht set=gemischte Domäne
  • Wert von 1=Windows Server 2003-Domänenebene
  • Wert von 2=Windows Server 2003-Domänenebene
  • Wert von 3=Windows Server 2008-Domänenebene
  • Wert von 4=Windows Server 2008 R2-Domänenebene

Einstellungen für gemischten Modus und nativen Modus

Das ntMixedDomain-Attribut befindet sich im Namenskontext (NC) Head für die Domäne, d. h. DC=corp, DC=contoso, DC=com.

Sie können die folgenden Werte für dieses Attribut festlegen:

  • Wert der Domäne 0=Systemeigene Ebene
  • Wert von 1=Gemischte Domäne

Gesamtstrukturebeneneinstellung

Das Attribut "msDS-Behavior-Version" befindet sich im CN=Partitions-Objekt im Konfigurationsbenennungskontext (CONFIGURATION Naming Context, NC), d. h. CN=Partitionen, CN=Configuration, DC= ForestRootDomain.

Sie können die folgenden Werte für dieses Attribut festlegen:

  • Wert von 0 oder nicht set=gemischte Gesamtstruktur

  • Wert von 1=Zwischenstrukturebene von Windows Server 2003

  • Wert von 2=Windows Server 2003-Gesamtstrukturebene

    Notiz

    Wenn Sie das Attribut msDS-Behavior-Version von 0 auf den Wert 1 erhöhen, indem SieAdsiedit.msc verwenden, wird die folgende Fehlermeldung angezeigt:
    Ungültiger Änderungsvorgang. Einige Aspekte der Änderung sind nicht zulässig.

  • Wert von 3=Windows Server 2008-Domänenebene

  • Wert von 4=Windows Server 2008 R2-Domänenebene

Nachdem Sie die LDAP-Tools (Lightweight Directory Access Protocol) zum Bearbeiten der Funktionsebene verwendet haben, klicken Sie auf "OK", um den Vorgang fortzusetzen. Die Attribute des Partitionscontainers und des Domänenkopfs werden korrekt erhöht. Wenn eine Fehlermeldung von der Ldp.exe-Datei gemeldet wird, können Sie die Fehlermeldung sicher ignorieren. Um zu überprüfen, ob die Levelerhöhung erfolgreich war, aktualisieren Sie die Attributliste, und überprüfen Sie dann die aktuelle Einstellung. Diese Fehlermeldung kann auch auftreten, nachdem Sie die Levelerhöhung auf dem autorisierenden FSMO durchgeführt haben, wenn die Änderung noch nicht auf den lokalen Domänencontroller repliziert wurde.

Schnelles Anzeigen der aktuellen Einstellungen mithilfe der Ldp.exe Datei

  1. Starten Sie die Ldp.exe Datei.
  2. Klicken Sie im Menü Verbindung auf Verbinden.
  3. Geben Sie den Domänencontroller an, den Sie abfragen möchten, oder lassen Sie den Leerraum leer, um eine Verbindung mit einem beliebigen Domänencontroller herzustellen.

Nachdem Sie eine Verbindung mit einem Domänencontroller hergestellt haben, werden die RootDSE-Informationen für den Domänencontroller angezeigt. Diese Informationen umfassen Informationen zur Gesamtstruktur, zur Domäne und zu Domänencontrollern. Nachfolgend sehen Sie ein Beispiel für einen Windows Server 2003-basierten Domänencontroller. Gehen Sie im folgenden Beispiel davon aus, dass der Domänenmodus Windows Server 2003 ist und der Gesamtstrukturmodus Windows 2000 Server ist.

Notiz

Die Domänencontrollerfunktionalität stellt die größtmögliche Funktionale Ebene für diesen Domänencontroller dar.

  • 1> domainFunctionality: 2=(DS_BEHAVIOR_WIN2003)
  • 1> forestFunctionality: 0=(DS_BEHAVIOR_WIN2000)
  • 1> domainControllerFunctionality: 2=(DS_BEHAVIOR_WIN2003)

Anforderungen beim manuellen Ändern der Funktionsebene

  • Sie müssen den Domänenmodus in den nativen Modus ändern, bevor Sie die Domänenebene erhöhen, wenn eine der folgenden Bedingungen zutrifft:

    • Die Domänenfunktionsebene wird programmgesteuert auf die zweite Funktionale Ebene ausgelöst, indem der Wert des MsdsBehaviorVersion-Attributs für das domainDNS-Objekt direkt geändert wird.
    • Die Domänenfunktionsebene wird mithilfe des hilfsprogramms Ldp.exe oder des Adsiedit.msc-Hilfsprogramms auf die zweite Funktionale Ebene erhöht.

    Wenn Sie den Domänenmodus nicht in den nativen Modus ändern, bevor Sie die Domänenebene erhöhen, wird der Vorgang nicht erfolgreich abgeschlossen, und Sie erhalten die folgenden Fehlermeldungen:

    SV_PROBLEM_WILL_NOT_PERFORM

    ERROR_DS_ILLEGAL_MOD_OPERATION

    Darüber hinaus wird die folgende Meldung im Verzeichnisdienstprotokoll protokolliert:

    Active Directory could not update the functional level of the following domain because the domain is in mixed mode.

    In diesem Szenario können Sie den Domänenmodus mithilfe des Snap-Ins für Active Directory-Benutzer und -Computer in den nativen Modus ändern, indem Sie das MMC-Snap-In Active Directory-Domäne s & Trusts der Benutzeroberfläche verwenden oder den Wert des ntMixedDomain-Attributs programmgesteuert auf 0 für das domainDNS-Objekt ändern. Wenn dieser Prozess verwendet wird, um die Domänenfunktionsebene auf 2 (Windows Server 2003) zu erhöhen, wird der Domänenmodus automatisch in den nativen Modus geändert.

  • Der Übergang vom gemischten Modus zum nativen Modus ändert den Umfang der Sicherheitsgruppe "Schemaadministratoren" und der Sicherheitsgruppe "Unternehmensadministratoren" in universelle Gruppen. Wenn diese Gruppen in universelle Gruppen geändert wurden, wird die folgende Meldung im Systemprotokoll protokolliert:

    Event Type: Information  
Event Source: SAM  
Event ID: 16408  
Computer:Server Name  
Description: "Domain operation mode has been changed to Native Mode. The change cannot be reversed."

  • Wenn die Windows Server 2003-Verwaltungstools zum Aufrufen der Domänenfunktionsebene verwendet werden, werden sowohl das Ntmixedmode-Attribut als auch das MsdsBehaviorVersion-Attribut in der richtigen Reihenfolge geändert. Dies tritt jedoch nicht immer auf. Im folgenden Szenario wird der systemeigene Modus implizit auf den Wert 0 festgelegt, ohne den Bereich für die Sicherheitsgruppe "Schemaadministratoren" und die Sicherheitsgruppe "Unternehmensadministratoren" auf "universell" zu ändern:

    • Das msdsBehaviorVersion-Attribut, das den Domänenfunktionsmodus steuert, wird manuell oder programmgesteuert auf den Wert 2 festgelegt.
    • Die Gesamtstrukturfunktionsebene wird mithilfe einer beliebigen Methode auf 2 festgelegt. In diesem Szenario blockieren die Domänencontroller den Übergang zur Gesamtstrukturfunktionsebene, bis alle Domänen, die sich im lokalen Netzwerk befinden, im nativen Modus konfiguriert sind und die erforderliche Attributänderung in den Sicherheitsgruppenbereichen vorgenommen wird.

Für Windows 2000 Server relevante Funktionale Ebenen

Windows 2000 Server unterstützt nur gemischten Modus und nativen Modus. Darüber hinaus werden diese Modi nur auf die Domänenfunktionalität angewendet. In den folgenden Abschnitten werden die Windows Server 2003-Domänenmodi aufgeführt, da sich diese Modi darauf auswirken, wie Windows NT 4.0- und Windows 2000 Server-Domänen aktualisiert werden.

Beim Erhöhen der Betriebssystemebene des Domänencontrollers gibt es viele Überlegungen. Diese Überlegungen werden durch die Speicher- und Replikationseinschränkungen der verknüpften Attribute in Windows 2000 Server-Modi verursacht.

Gemischtes Windows 2000 Server (Standard)

  • Unterstützte Domänencontroller: Microsoft Windows NT 4.0, Windows 2000 Server, Windows Server 2003
  • Aktivierte Features: lokale und globale Gruppen, unterstützung des globalen Katalogs

Windows 2000 Server native

  • Unterstützte Domänencontroller: Windows 2000 Server, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2
  • Aktivierte Features: Gruppenschachtelung, universelle Gruppen, Sid-Verlauf, Konvertieren von Gruppen zwischen Sicherheitsgruppen und Verteilergruppen, Sie können Domänenebenen erhöhen, indem Sie die Gesamtstrukturebeneneinstellungen erhöhen.

Windows Server 2003 interim

  • Unterstützte Domänencontroller: Windows NT 4.0, Windows Server 2003
  • Unterstützte Features: Auf dieser Ebene sind keine domänenweiten Features aktiviert. Alle Domänen in einer Gesamtstruktur werden automatisch auf diese Ebene erhöht, wenn sich der Gesamtstrukturgrad auf "Interim" erhöht. Dieser Modus wird nur verwendet, wenn Sie Domänencontroller in Windows NT 4.0-Domänen auf Windows Server 2003-Domänencontroller aktualisieren.

Windows Server 2003

  • Unterstützte Domänencontroller: Windows Server 2003, Windows Server 2008, Windows Server 2008 R2
  • Unterstützte Features: Domänencontroller umbenennen, Anmeldezeitstempel-Attribut aktualisiert und repliziert. Benutzerkennwortunterstützung für die InetOrgPerson objectClass. Eingeschränkte Delegierung können Sie die Benutzer- und Computercontainer umleiten.

Domänen, die von Windows NT 4.0 aktualisiert oder durch die Heraufstufung eines Windows Server 2003-basierten Computers erstellt wurden, funktionieren auf windows 2000-Ebene mit gemischter Funktion. Windows 2000 Server-Domänen verwalten ihre aktuelle Domänenfunktionsebene, wenn Windows 2000 Server-Domänencontroller auf das Windows Server 2003-Betriebssystem aktualisiert werden. Sie können die Domänenfunktionsebene auf Windows 2000 Server native oder Windows Server 2003 erhöhen.

Interimsebene – Upgrade von einer Windows NT 4.0-Domäne

Windows Server 2003 Active Directory ermöglicht eine spezielle Gesamtstruktur- und Domänenfunktionsebene, die windows Server 2003 interim heißt. Diese Funktionale Ebene wird für Upgrades vorhandener Windows NT 4.0-Domänen bereitgestellt, bei denen ein oder mehrere Windows NT 4.0-Sicherungsdomänencontroller (BACKUP Domain Controller, BDCs) nach dem Upgrade funktionieren müssen. Windows 2000 Server-Domänencontroller werden in diesem Modus nicht unterstützt. Windows Server 2003 Interim gilt für die folgenden Szenarien:

  • Domänenupgrades von Windows NT 4.0 auf Windows Server 2003.
  • Windows NT 4.0 BDCs aktualisieren nicht sofort.
  • Windows NT 4.0-Domänen, die Gruppen mit mehr als 5000 Mitgliedern enthalten (mit Ausnahme der Domänenbenutzergruppe).
  • Es gibt keine Pläne, Windows Server2000-Domänencontroller jederzeit in der Gesamtstruktur zu implementieren.

Windows Server 2003 interim bietet zwei wichtige Verbesserungen und erlaubt gleichzeitig die Replikation auf Windows NT 4.0 BDCs:

  1. Effiziente Replikation von Sicherheitsgruppen und Unterstützung für mehr als 5000 Mitglieder pro Gruppe.
  2. Verbesserte KCC-Topologie-Generatoralgorithmen.

Aufgrund der Effizienz bei der Gruppenreplikation, die auf der Zwischenebene aktiviert wird, ist die Zwischenstufe die empfohlene Stufe für alle Windows NT 4.0-Upgrades. Weitere Informationen finden Sie im Abschnitt "Bewährte Methoden" in diesem Artikel.

Festlegen der Funktionsebene der Zwischenstruktur für Windows Server 2003

Windows Server 2003 Interim kann auf drei verschiedene Arten aktiviert werden. Die ersten beiden Methoden werden dringend empfohlen. Dies liegt daran, dass Sicherheitsgruppen die Verknüpfte Wertreplikation (Linked Value Replication, LVR) verwenden, nachdem der primäre Domänencontroller der Windows NT 4.0-Domäne (PDC) auf einen Windows Server 2003-Domänencontroller aktualisiert wurde. Die dritte Option wird weniger empfohlen, da die Mitgliedschaft in Sicherheitsgruppen ein einzelnes mehrwertiges Attribut verwendet, was zu Replikationsproblemen führen kann. Die Möglichkeiten, wie Windows Server 2003 zwischengeschaltet werden kann, sind:

  1. Während des Upgrades.

    Die Option wird im Dcpromo-Installations-Assistenten angezeigt, wenn Sie das PDC einer Windows NT 4.0-Domäne aktualisieren, die als erster Domänencontroller in der Stammdomäne einer neuen Gesamtstruktur dient.

  2. Bevor Sie das Windows NT 4.0-PDC eines Windows NT 4.0 als ersten Domänencontroller einer neuen Domäne in einer vorhandenen Gesamtstruktur aktualisieren, indem Sie die Gesamtstrukturfunktionsebene manuell mithilfe von LDAP-Tools (Lightweight Directory Access Protocol) konfigurieren.

    Untergeordnete Domänen erben die gesamtstrukturweiten Funktionseinstellungen von der Gesamtstruktur, in die sie höhergestuft werden. Durch das Upgrade der PDC einer Windows NT 4.0-Domäne als untergeordnete Domäne in einer vorhandenen Windows Server 2003-Gesamtstruktur, bei der Zwischenstrukturfunktionsebenen mithilfe der datei Ldp.exe oder der Datei Adsiedit.msc konfiguriert wurden, können Sicherheitsgruppen nach dem Upgrade der Betriebssystemversion verknüpfte Werte replikation verwenden.

  3. Nach dem Upgrade mithilfe von LDAP-Tools.

    Verwenden Sie die letzten beiden Optionen, wenn Sie während eines Upgrades einer vorhandenen Windows Server 2003-Gesamtstruktur beitreten. Dies ist ein häufiges Szenario, wenn eine "leere Stammdomäne" positioniert ist. Die aktualisierte Domäne wird als untergeordnetes Element des leeren Stamms verknüpft und erbt die Domäneneinstellung von der Gesamtstruktur.

Bewährte Methoden

Im folgenden Abschnitt werden die bewährten Methoden für die Erhöhung der Funktionsebenen erläutert. Der Abschnitt ist in zwei Teile unterteilt. "Vorbereitungsaufgaben" beschreibt die Arbeit, die Sie vor der Erhöhung ausführen müssen, und "Optimale Pfade erhöhen" erläutert die Motivationen und Methoden für unterschiedliche Stufensteigerungsszenarien.

Führen Sie die folgenden Schritte aus, um Windows NT 4.0-Domänencontroller zu ermitteln:

  1. Öffnen Sie auf einem beliebigen Windows Server 2003-basierten Domänencontroller Active Directory-Benutzer und -Computer.

  2. Wenn der Domänencontroller noch nicht mit der entsprechenden Domäne verbunden ist, führen Sie die folgenden Schritte aus, um eine Verbindung mit der entsprechenden Domäne herzustellen:

    1. Klicken Sie mit der rechten Maustaste auf das aktuelle Domänenobjekt, und klicken Sie dann auf "Mit Domäne verbinden".
    2. Geben Sie im Dialogfeld "Domäne " den DNS-Namen der Domäne ein, mit der Sie eine Verbindung herstellen möchten, und klicken Sie dann auf "OK". Oder klicken Sie auf " Durchsuchen ", um die Domäne aus der Domänenstruktur auszuwählen, und klicken Sie dann auf "OK".

  3. Klicken Sie mit der rechten Maustaste auf das Domänenobjekt, und klicken Sie dann auf "Suchen".

  4. Klicken Sie im Dialogfeld "Suchen " auf " Benutzerdefinierte Suche".

  5. Klicken Sie auf die Domäne, für die Sie die Funktionsebene ändern möchten.

  6. Klicken Sie auf die Registerkarte Erweitert.

  7. Geben Sie im Feld "LDAP-Abfrage eingeben" Folgendes ein, und lassen Sie keine Leerzeichen zwischen zeichen: (&(objectCategory=computer)(operatingSystem Version=4*)(userAccountControl:1.2.840.113556.1.4.803:=8192))

    Notiz

    Bei dieser Abfrage wird die Groß-/Kleinschreibung nicht beachtet.

  8. Klicken Sie auf Jetzt suchen.

    Eine Liste der Computer in der Domäne, die Windows NT 4.0 ausführen und als Domänencontroller funktionieren, wird angezeigt.

Ein Domänencontroller kann aus einem der folgenden Gründe in der Liste angezeigt werden:

  • Der Domänencontroller führt Windows NT 4.0 aus und muss aktualisiert werden.
  • Der Domänencontroller wird auf Windows Server 2003 aktualisiert, die Änderung wird jedoch nicht auf den Zieldomänencontroller repliziert.
  • Der Domänencontroller befindet sich nicht mehr im Dienst, aber das Computerobjekt des Domänencontrollers wird nicht aus der Domäne entfernt.

Bevor Sie die Domänenfunktionsebene in Windows Server 2003 ändern können, müssen Sie physische domänencontroller in der Liste suchen, den aktuellen Status des Domänencontrollers ermitteln und dann den Domänencontroller nach Bedarf aktualisieren oder entfernen.

Notiz

Im Gegensatz zu den Windows Server 2000-Domänencontrollern blockieren die Windows NT 4.0-Domänencontroller keine Erhöhung der Ebene. Wenn Sie die Domänenfunktionsebene ändern, wird die Replikation auf den Windows NT 4.0-Domänencontrollern beendet. Wenn Sie jedoch versuchen, die Gesamtstrukturebene von Windows Server 2003 mit Domänen in Windows Server 2000 zu erhöhen, wird die gemischte Ebene blockiert. Das Fehlen von Windows NT 4.0 BDCs wird impliziert, indem die Gesamtstrukturanforderung aller Domänen auf Windows Server 2000-Systemebene oder höher erfüllt wird.

Beispiel: Vorbereitungsaufgaben vor der Erhöhung der Ebene

In diesem Beispiel wird die Umgebung aus dem gemischten Windows Server 2000-Modus in den Windows Server 2003-Gesamtstrukturmodus ausgelöst.

Inventarisieren Sie die Gesamtstruktur für frühere Versionen von Domänencontrollern.

Wenn eine genaue Serverliste nicht verfügbar ist, führen Sie die folgenden Schritte aus:

  1. Um Domänen mit gemischter Ebene, Windows Server 2000-Domänencontroller oder Domänencontroller mit beschädigten oder fehlenden Objekten zu ermitteln, verwenden Sie Active Directory-Domänen und das MMC-Snap-In "Trusts".
  2. Klicken Sie im Snap-In auf "Gesamtstrukturfunktionalität auslösen", und klicken Sie dann auf " Speichern unter ", um einen detaillierten Bericht zu generieren.
  3. Wenn keine Probleme gefunden wurden, steht die Option zum Erhöhen der Gesamtstrukturebene von Windows Server 2003 in der Dropdownliste "Verfügbare Gesamtstrukturfunktionsebenen" zur Verfügung. Wenn Sie versuchen, die Gesamtstrukturebene zu erhöhen, werden die Domänencontrollerobjekte in den Konfigurationscontainern nach allen Domänencontrollern gesucht, für die keine msds-behavior-version auf die gewünschte Zielebene festgelegt ist. Es wird davon ausgegangen, dass es sich entweder um Windows Server 2000-Domänencontroller oder neuere Windows Server-Domänencontrollerobjekte handelt, die beschädigt sind.
  4. Wenn Domänencontroller oder Domänencontroller mit früherer Version, die beschädigte oder fehlende Computerobjekte aufweisen, gefunden wurden, werden sie im Bericht enthalten. Der Status dieser Domänencontroller muss untersucht werden, und die Domänencontrollerdarstellung in Active Directory muss mithilfe der Ntdsutil-Datei repariert oder entfernt werden.

Klicken Sie auf die Nummer des folgenden Microsoft Knowledge Base-Artikels, um weitere Informationen zu erhalten:
216498 Entfernen von Daten in Active Directory nach einer nicht erfolgreichen Domänencontrollerherstufung

Überprüfen, ob die End-to-End-Replikation in der Gesamtstruktur funktioniert

Um zu überprüfen, ob die End-to-End-Replikation in der Gesamtstruktur funktioniert, verwenden Sie die Windows Server 2003- oder neuere Version von Repadmin für windows Server 2000 oder die Windows Server 2003-Domänencontroller:

  • Repadmin/Replsum * /Sort:Delta[/Errorsonly] für den anfänglichen Bestand.

  • Repadmin/Showrepl * /CSV>showrepl.csv. Importieren Sie in Excel, und verwenden Sie dann den Daten-Autofilter>, um Replikationsfeatures zu identifizieren.

    Verwenden Sie Replikationstools wie Repadmin, um sicherzustellen, dass die gesamtstrukturweite Replikation ordnungsgemäß funktioniert.

Überprüfen Sie die Kompatibilität aller Programme oder Dienste mit den neueren Windows Server-Domänencontrollern und mit dem höheren Windows Server-Domänen- und Gesamtstrukturmodus. Verwenden Sie eine Laborumgebung, um Produktionsprogramme und -dienste sorgfältig auf Kompatibilitätsprobleme zu testen. Wenden Sie sich an Lieferanten, um die Funktion zu bestätigen.

Bereiten Sie einen Back-Out-Plan vor, der eine der folgenden Aktionen umfasst:

  • Trennen Sie mindestens zwei Domänencontroller von jeder Domäne in der Gesamtstruktur.
  • Erstellen Sie eine Systemstatussicherung von mindestens zwei Domänencontrollern aus jeder Domäne in der Gesamtstruktur.

Bevor der Back-Out-Plan verwendet werden kann, müssen alle Domänencontroller in der Gesamtstruktur vor dem Wiederherstellungsvorgang außer Betrieb genommen werden.

Notiz

Ebenenerhöhungen können nicht autoritativ wiederhergestellt werden. Dies bedeutet, dass alle Domänencontroller, die den Levelanstieg repliziert haben, außer Betrieb genommen werden müssen.

Nachdem alle vorherigen Domänencontroller außer Betrieb genommen wurden, rufen Sie die getrennten Domänencontroller auf, oder stellen Sie die Domänencontroller aus der Sicherung wieder her. Entfernen Sie die Metadaten von allen anderen Domänencontrollern, und wiederholen Sie sie dann erneut. Dies ist ein schwieriger Prozess und muss vermieden werden.

Beispiel: Abrufen von gemischten Windows Server 2000-Ebenen auf Windows Server 2003-Gesamtstrukturebene

Erhöhen Sie alle Domänen auf windows Server 2000 native Ebene. Erhöhen Sie nach Abschluss dieses Vorgangs die Funktionsebene für die Gesamtstrukturstammdomäne auf windows Server 2003-Gesamtstrukturebene. Wenn die Gesamtstrukturebene für jede Domäne in der Gesamtstruktur in den PDCs repliziert wird, wird die Domänenebene automatisch auf Die Windows Server 2003-Domänenebene erhöht. Diese Methode hat die folgenden Vorteile:

  • Die gesamtstrukturweite Erhöhung erfolgt nur einmal. Sie müssen jede Domäne in der Gesamtstruktur nicht manuell auf die Windows Server 2003-Domänenfunktionsebene erhöhen.
  • Eine Überprüfung auf Windows Server 2000-Domänencontroller wird vor der Erhöhung der Stufe durchgeführt (siehe Vorbereitungsschritte). Die Erhöhung wird blockiert, bis Problemdomänencontroller entfernt oder aktualisiert werden. Ein detaillierter Bericht kann generiert werden, indem die blockierenden Domänencontroller aufgelistet und umsetzbare Daten bereitgestellt werden.
  • Es wird eine Überprüfung auf Domänen in Windows Server 2000 gemischten oder Windows Server 2003-Zwischenebenen durchgeführt. Die Erhöhung wird blockiert, bis die Domänenebenen auf mindestens Windows Server 2000 native erhöht werden. Zwischenebenendomänen müssen auf Windows Server 2003-Domänenebene erhöht werden. Ein detaillierter Bericht kann durch Auflisten der blockierenden Domänen generiert werden.

Windows NT 4.0-Upgrades

Windows NT 4.0-Upgrades verwenden während des Upgrades der PDC immer Zwischenebene, es sei denn, Windows Server 2000-Domänencontroller wurden in der Gesamtstruktur eingeführt, in der die PDC aktualisiert wird. Wenn der Zwischenmodus während des Upgrades der PDC verwendet wird, verwenden die vorhandenen großen Gruppen die LVR-Replikation sofort und vermeiden die potenziellen Replikationsprobleme, die weiter oben in diesem Artikel erläutert werden. Verwenden Sie eine der folgenden Methoden, um während des Upgrades auf Zwischenebene zu gelangen:

  • Wählen Sie die Zwischenstufe während dcpromo aus. Diese Option wird nur angezeigt, wenn der PDC in eine neue Gesamtstruktur aktualisiert wird.
  • Legen Sie die Gesamtstrukturebene einer vorhandenen Gesamtstruktur auf "Interim" fest, und verbinden Sie die Gesamtstruktur dann während des Upgrades der PDC. Die aktualisierte Domäne erbt die Gesamtstruktureinstellung.
  • Nachdem alle Windows NT 4.0 BDCs aktualisiert oder entfernt wurden, muss jede Domäne auf Gesamtstrukturebene umgestellt werden und kann in den Windows Server 2003-Gesamtstrukturmodus umgestellt werden.

Ein Grund, den Zwischenmodus zu vermeiden, besteht darin, windows Server 2000-Domänencontroller nach dem Upgrade oder jederzeit in Zukunft zu implementieren.

Besondere Berücksichtigung großer Gruppen in Windows NT 4.0

In ausgereiften Windows NT 4.0-Domänen können Sicherheitsgruppen, die weit mehr als 5000 Mitglieder enthalten, vorhanden sein. Wenn sich ein Mitglied einer Sicherheitsgruppe ändert, wird in Windows NT 4.0 nur die einzelne Mitgliedschaftsänderung auf den Sicherungsdomänencontrollern repliziert. In Windows Server 2000 sind Gruppenmitgliedschaften verknüpfte Attribute, die in einem einzelnen mehrwertigen Attribut des Gruppenobjekts gespeichert sind. Wenn eine einzelne Änderung an der Mitgliedschaft einer Gruppe vorgenommen wird, wird die gesamte Gruppe als einzelne Einheit repliziert. Da die Gruppenmitgliedschaft als einzelne Einheit repliziert wird, können Aktualisierungen der Gruppenmitgliedschaft verloren gehen, wenn verschiedene Mitglieder gleichzeitig zu verschiedenen Domänencontrollern hinzugefügt oder entfernt werden. Darüber hinaus kann die Größe dieses einzelnen Objekts größer sein als der Puffer, der zum Commit eines Eintrags in die Datenbank verwendet wird. Weitere Informationen finden Sie im Abschnitt "Versionsspeicherprobleme mit großen Gruppen" in diesem Artikel. Aus diesen Gründen beträgt der empfohlene Grenzwert für Gruppenmitglieder 5000.

Die Ausnahme von der 5000-Mitgliederregel ist die primäre Gruppe (standardmäßig ist dies die Gruppe "Domänenbenutzer"). Die primäre Gruppe verwendet einen "berechneten" Mechanismus basierend auf der "primarygroupID" des Benutzers, um die Mitgliedschaft zu bestimmen. Die primäre Gruppe speichert keine Mitglieder als mehrwertige verknüpfte Attribute. Wenn die primäre Gruppe des Benutzers in eine benutzerdefinierte Gruppe geändert wird, wird die Mitgliedschaft in der Gruppe "Domänenbenutzer" in das verknüpfte Attribut für die Gruppe geschrieben und nicht mehr berechnet. Die neue primäre Gruppe Rid wird in "primarygroupID" geschrieben, und der Benutzer wird aus dem Member-Attribut der Gruppe entfernt.

Wenn der Administrator die Zwischenstufe für die Upgradedomäne nicht auswählt, müssen Sie die folgenden Schritte vor dem Upgrade ausführen:

  1. Inventarisieren Sie alle großen Gruppen, und identifizieren Sie alle Gruppen über 5000, mit Ausnahme der Domänenbenutzergruppe.
  2. Alle Gruppen mit mehr als 5000 Mitgliedern müssen in kleinere Gruppen von weniger als 5000 Mitgliedern unterteilt werden.
  3. Suchen Sie alle Zugriffssteuerungslisten, in denen die großen Gruppen eingegeben wurden, und fügen Sie die kleinen Gruppen hinzu, die Sie in Schritt 2.Windows Server 2003 zwischen gesamtstrukturebene erstellt haben, erleichtert Administratoren, globale Sicherheitsgruppen mit mehr als 5000 Mitgliedern zu ermitteln und neu zu lokalisieren.

Versionsspeicherprobleme mit großen Gruppen

Während lang ausgeführter Vorgänge wie tiefen Suchen oder Commits auf ein einzelnes, großes Attribut muss Active Directory sicherstellen, dass der Status der Datenbank statisch ist, bis der Vorgang abgeschlossen ist. Ein Beispiel für deep search or commits to large attributes is a large group that uses legacy storage.

Da Aktualisierungen der Datenbank ständig lokal und von Replikationspartnern ausgeführt werden, stellt Active Directory einen statischen Zustand bereit, indem alle eingehenden Änderungen in die Warteschlange gestellt werden, bis der lange ausgeführte Vorgang abgeschlossen ist. Sobald der Vorgang abgeschlossen ist, werden die in die Warteschlange eingereihten Änderungen auf die Datenbank angewendet.

Der Speicherort für diese Änderungen in der Warteschlange wird als "Versionsspeicher" bezeichnet und beträgt ca. 100 MB. Die Größe des Versionsspeichers variiert und basiert auf dem physischen Speicher. Wenn ein lang ausgeführter Vorgang nicht beendet wird, bevor der Versionsspeicher erschöpft ist, akzeptiert der Domänencontroller keine Aktualisierungen, bis der lange ausgeführte Vorgang und die in die Warteschlange eingereihten Änderungen übernommen werden. Gruppen, die große Zahlen erreichen (mehr als 5000 Mitglieder), gefährden den Domänencontroller, wenn der Versionsspeicher erschöpft ist, solange die große Gruppe zugesichert ist.

Windows Server 2003 führt einen neuen Replikationsmechanismus für verknüpfte mehrwertige Attribute ein, die als Linkwertreplikation (Link Value Replication, LVR) bezeichnet werden. Anstatt die gesamte Gruppe in einem einzelnen Replikationsvorgang zu replizieren, behebt LVR dieses Problem, indem jedes Gruppenmitglied als separater Replikationsvorgang repliziert wird. LVR wird verfügbar, wenn die Gesamtstrukturfunktionsebene auf windows Server 2003-Zwischenstrukturebene oder auf Windows Server 2003-Gesamtstrukturebene erhöht wird. Auf dieser Funktionsebene wird LVR verwendet, um Gruppen unter Windows Server 2003-Domänencontrollern zu replizieren.