Compartir a través de

Actualización de controladores de dominio de Windows 2000 a Windows Server 2003

  • Artículo

En este artículo se describe cómo actualizar controladores de dominio de Microsoft Windows 2000 a Windows Server 2003 y cómo agregar nuevos controladores de dominio de Windows Server 2003 a dominios de Windows 2000.

Número de KB original: 325379

Resumen

En este artículo se describe cómo actualizar controladores de dominio de Microsoft Windows 2000 a Windows Server 2003 y cómo agregar nuevos controladores de dominio de Windows Server 2003 a dominios de Windows 2000. Para obtener más información sobre cómo actualizar controladores de dominio a Windows Server 2008 o Windows Server 2008 R2, visite el siguiente sitio web de Microsoft:

Actualizar controladores de dominio: Soporte técnico de Microsoft inicio rápido para agregar controladores de dominio de Windows Server 2008 o Windows Server 2008 R2 a dominios existentes

Inventario de dominios y bosques

Antes de actualizar los controladores de dominio de Windows 2000 a Windows Server 2003 o antes de agregar nuevos controladores de dominio de Windows Server 2003 a un dominio de Windows 2000, siga estos pasos:

  1. Realice un inventario de los clientes que acceden a los recursos del dominio que hospedan controladores de dominio de Windows Server 2003 por motivos de compatibilidad con la firma de SMB:

    Cada controlador de dominio de Windows Server 2003 habilita el inicio de sesión SMB en su directiva de seguridad local. Asegúrese de que todos los clientes de red que usan el protocolo SMB/CIFS para acceder a archivos e impresoras compartidos en dominios que hospedan controladores de dominio de Windows Server 2003 se pueden configurar o actualizar para admitir la firma de SMB. Si no lo pueden, deshabilite temporalmente la firma de SMB hasta que se puedan instalar las actualizaciones o hasta que los clientes se puedan actualizar a los sistemas operativos más recientes que admiten la firma de SMB. Para obtener información sobre cómo deshabilitar la firma SMB, consulte la sección Para deshabilitar la firma de SMB al final de este paso.

    Planes de acción

    En la lista siguiente se muestran los planes de acción para clientes SMB populares:

    • Microsoft Windows Server 2003, Microsoft Windows XP Professional, Microsoft Windows 2000 Server, Microsoft Windows 2000 Professional y Microsoft Windows 98

      No hace falta realizar ninguna acción.

    • Microsoft Windows NT 4.0 Instale Service Pack 3 o posterior (se recomienda Service Pack 6A) en todos los equipos basados en Windows NT 4.0 que acceden a dominios que contienen equipos basados en Windows Server 2003. En su lugar, deshabilite temporalmente la firma de SMB en controladores de dominio de Windows Server 2003. Para obtener información sobre cómo deshabilitar la firma SMB, consulte la sección Para deshabilitar la firma de SMB al final de este paso.

    • Microsoft Windows 95

      Instale el cliente del servicio de directorio Windows 9 x en los equipos basados en Windows 95 o deshabilite temporalmente la firma SMB en controladores de dominio de Windows Server 2003. El cliente original del servicio de directorio Win9 x está disponible en el CD-ROM de Windows 2000 Server. Sin embargo, ese complemento de cliente se ha reemplazado por un cliente de servicio de directorio Win9 x mejorado. Para obtener información sobre cómo deshabilitar la firma SMB, consulte la sección Para deshabilitar la firma de SMB al final de este paso.

    • Cliente de red de Microsoft para clientes MS-DOS y Microsoft LAN Manager

      El cliente de red de Microsoft para MS-DOS y el cliente de red de Microsoft LAN Manager 2.x se pueden usar para proporcionar acceso a los recursos de red, o pueden combinarse con un disco de disquete de arranque para copiar archivos del sistema operativo y otros archivos de un directorio compartido en un servidor de archivos como parte de una rutina de instalación de software. Estos clientes no admiten la firma SMB. Use un método de instalación alternativo o deshabilite la firma de SMB. Para obtener información sobre cómo deshabilitar la firma SMB, consulte la sección Para deshabilitar la firma de SMB al final de este paso.

    • Clientes macintosh

      Algunos clientes macintosh no son compatibles con la firma de SMB y recibirán el siguiente mensaje de error cuando intenten conectarse a un recurso de red:

      - Error -36 E/S

      Instale el software actualizado si está disponible. De lo contrario, deshabilite la firma de SMB en controladores de dominio de Windows Server 2003. Para obtener información sobre cómo deshabilitar la firma SMB, consulte la sección Para deshabilitar la firma de SMB al final de este paso.

    • Otros clientes SMB de terceros

      Algunos clientes SMB de terceros no admiten la firma de SMB. Consulte al proveedor de SMB para ver si existe una versión actualizada. De lo contrario, deshabilite la firma de SMB en controladores de dominio de Windows Server 2003.

    Para deshabilitar la firma de SMB

    Si no se pueden instalar actualizaciones de software en controladores de dominio afectados que ejecutan Windows 95, Windows NT 4.0 u otros clientes que se instalaron antes de la introducción de Windows Server 2003, deshabilite temporalmente los requisitos de firma del servicio SMB en la directiva de grupo hasta que pueda implementar el software cliente actualizado.

    Puede deshabilitar el inicio de sesión del servicio SMB en el siguiente nodo de la directiva Controladores de dominio predeterminados en la unidad organizativa de controladores de dominio: Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad\Microsoft Network Server:

    Firmar digitalmente las comunicaciones (siempre)

    Si los controladores de dominio no se encuentran en la unidad organizativa del controlador de dominio, debe vincular el objeto de directiva de grupo (GPO) del controlador de dominio predeterminado a todas las unidades organizativas que hospedan controladores de dominio de Windows 2000 o Windows Server 2003. O bien, puede configurar el inicio de sesión del servicio SMB en un GPO que esté vinculado a esas unidades organizativas.

  2. Realice un inventario de los controladores de dominio que están en el dominio y en el bosque:

    1. Asegúrese de que todos los controladores de dominio de Windows 2000 del bosque hayan instalado todas las revisiones y Service Packs adecuadas.

      Microsoft recomienda que todos los controladores de dominio de Windows 2000 ejecuten los sistemas operativos Windows 2000 Service Pack 4 (SP4) o posteriores. Si no puedes implementar completamente Windows 2000 SP4 o posterior, todos los controladores de dominio de Windows 2000 deben tener un archivo de Ntdsa.dll cuya marca de fecha y versión sean posteriores al 4 de junio de 2001 y 5.0.2195.3673.

      De forma predeterminada, las herramientas administrativas de Active Directory en equipos cliente de Windows 2000 SP4, Windows XP y Windows Server 2003 usan la firma del Protocolo ligero de acceso a directorios (LDAP). Si estos equipos usan (o recurren a) la autenticación NTLM cuando administran de forma remota controladores de dominio de Windows 2000, la conexión no funcionará. Para resolver este comportamiento, los controladores de dominio administrados de forma remota deben tener instalado un mínimo de Windows 2000 SP3. De lo contrario, debe desactivar la firma LDAP en los clientes que ejecutan las herramientas de administración.

      En los escenarios siguientes se usa la autenticación NTLM:

      • Administra controladores de dominio de Windows 2000 que se encuentran en un bosque externo conectado por una confianza NTLM (que no es Kerberos).
      • Los complementos de Microsoft Management Console (MMC) se centran en un controlador de dominio específico al que hace referencia su dirección IP. Por ejemplo, haga clic en Inicio, haga clic en Ejecutary, a continuación, escriba el siguiente comando: dsa.msc /server=ipaddress

      Para determinar el sistema operativo y el nivel de revisión del Service Pack de controladores de dominio de Active Directory en un dominio de Active Directory, instale la versión de Windows Server 2003 de Repadmin.exe en un equipo miembro de Windows XP Professional o Windows Server 2003 en el bosque y, a continuación, ejecute el siguiente repadmin comando en un controlador de dominio en cada dominio del bosque:

      >repadmin /showattr <name of the domain controller that is in the target domain> ncobj:domain: /filter:"(&(objectCategory=computer)(primaryGroupID=516))" /subtree /atts:operatingSystem,operatingSystemVersion,operatingSystemServicePack

DN: CN=NA-DC-01,organizational unit=Domain Controllers,DC=company,DC=com
 1> operatingSystem: Windows Server 2003
 1> operatingSystemVersion: 5.2 (3718)
DN: CN=NA-DC-02,organizational unit=Domain Controllers,DC=company,DC=com
 1> operatingSystem: Windows 2000 Server
 1> operatingSystemVersion: 5.0 (2195)
 1> operatingSystemServicePack: Service Pack 1

      Nota:

      Los atributos del controlador de dominio no realizan un seguimiento de la instalación de revisiones individuales.

    2. Compruebe la replicación de Active Directory de un extremo a otro en todo el bosque.

      Compruebe que cada controlador de dominio del bosque actualizado replica todos sus contextos de nomenclatura mantenidos localmente con sus asociados de forma coherente con la programación que definen los vínculos de sitio o los objetos de conexión. Use la versión de Windows Server 2003 de Repadmin.exe en un equipo miembro basado en Windows XP o Windows Server 2003 en el bosque con los argumentos siguientes: Todos los controladores de dominio del bosque deben replicar Active Directory sin error y los valores de la columna "Delta más grande" de la salida repadmin no deben ser significativamente mayores que la frecuencia de replicación en los vínculos de sitio o los objetos de conexión correspondientes que usa un dominio de destino determinado. controlador.

      Resuelva todos los errores de replicación entre los controladores de dominio que no se han podido replicar de entrada en un número de días de duración de Tombstone (TSL) de días (de forma predeterminada, 60 días). Si no se puede realizar la replicación para funcionar, es posible que tenga que degradar forzosamente los controladores de dominio y quitarlos del bosque mediante el comando de limpieza de metadatos Ntdsutil y, a continuación, promoverlos de nuevo en el bosque. Puede usar una degradación forzada para guardar tanto la instalación del sistema operativo como los programas que se encuentran en un controlador de dominio huérfano. Para obtener más información sobre cómo quitar controladores de dominio huérfanos de Windows 2000 de su dominio, haga clic en el número de artículo siguiente para ver el artículo en Microsoft Knowledge Base:

      216498 Cómo quitar datos en Active Directory después de una degradación sin éxito de un controlador de dominio

      Realice esta acción solo como último recurso para recuperar la instalación del sistema operativo y los programas instalados. Perderá objetos y atributos no replicados en controladores de dominio huérfanos, incluidos usuarios, equipos, relaciones de confianza, sus contraseñas, grupos y pertenencias a grupos.

      Tenga cuidado al intentar resolver errores de replicación en controladores de dominio que no han replicado los cambios de entrada de una partición de Active Directory determinada para un número de días mayor que tombstonelifetime número de días. Al hacerlo, puede volver a activar los objetos que se eliminaron en un controlador de dominio, pero para los que los asociados de replicación directa o transitiva nunca recibieron la eliminación en los 60 días anteriores.

      Considere la posibilidad de quitar los objetos persistentes que residen en controladores de dominio que no hayan realizado la replicación entrante en los últimos 60 días. Como alternativa, puede degradar los controladores de dominio de forma forzada que no hayan realizado ninguna replicación entrante en una partición determinada en el número de días de duración de la piedra de exclusión y quitar sus metadatos restantes del bosque de Active Directory mediante Ntdsutil y otras utilidades. Póngase en contacto con su proveedor de soporte técnico o microsoft PSS para obtener ayuda adicional.

    3. Compruebe que el contenido del recurso compartido sysvol sea coherente.

      Compruebe que la parte del sistema de archivos de la directiva de grupo sea coherente. Puede usar Gpotool.exe desde el Kit de recursos para determinar si hay incoherencias en las directivas en un dominio. Use Healthcheck de las herramientas de soporte técnico de Windows Server 2003 para determinar si los conjuntos de réplicas de recursos compartidos de Sysvol funcionan correctamente en cada dominio.

      Si el contenido del recurso compartido sysvol es incoherente, resuelva todas las incoherencias.

    4. Use Dcdiag.exe de las herramientas de soporte técnico para comprobar que todos los controladores de dominio tienen recursos compartidos de Netlogon y Sysvol compartidos. Para ello, escriba el siguiente comando en un símbolo del sistema:

      DCDIAG.EXE /e /test:frssysvol

    5. Inventario de los roles de operaciones.

      Los patrones de operaciones de esquema e infraestructura se usan para introducir cambios en el bosque y en todo el dominio en el bosque y sus dominios realizados por la utilidad adprep de Windows Server 2003. Compruebe que el controlador de dominio que hospeda el rol de esquema y el rol de infraestructura para cada dominio del bosque residen en controladores de dominio activos y que cada propietario de rol ha realizado la replicación entrante en todas las particiones desde que se reiniciaron por última vez.

      El DCDIAG /test:FSMOCHECK comando se puede usar para ver los roles operativos de todo el bosque y de todo el dominio. Los roles maestros de operaciones que residen en controladores de dominio no existentes deben ser capturados en un controlador de dominio correcto mediante NTDSUTIL. Los roles que residen en controladores de dominio incorrectos deben transferirse si es posible. De lo contrario, deben ser apoderados. El NETDOM QUERY FSMO comando no identifica los roles de FSMO que residen en controladores de dominio eliminados.

      Compruebe que ha realizado la replicación entrante de Active Directory desde el último arranque. La replicación entrante se puede comprobar mediante el REPADMIN /SHOWREPS DCNAME comando , donde DCNAME es el nombre del equipo NetBIOS o el nombre de equipo completo de un controlador de dominio. Para obtener más información sobre los patrones de operaciones y su ubicación, haga clic en los números de artículo siguientes para ver los artículos de Microsoft Knowledge Base:

      roles FSMO de 197132 Windows 2000 Active Directory

      223346 ubicación y optimización de FSMO en controladores de dominio de Active Directory

    6. Revisión de EventLog

      Examine los registros de eventos en todos los controladores de dominio para ver eventos problemáticos. Los registros de eventos no deben contener mensajes de eventos graves que indiquen un problema con cualquiera de los siguientes procesos y componentes:

      conectividad física
      conectividad de red
      registro de nombres
      resolución de nombres
      autenticación
      Directiva de grupo
      directiva de seguridad
      subsistema de disco
      schema
      Topología
      motor de replicación

    7. Inventario de espacio en disco

      El volumen que hospeda el archivo de base de datos de Active Directory, Ntds.dit, debe tener espacio libre igual al 15-20 % del tamaño del archivo Ntds.dit. El volumen que hospeda el archivo de registro de Active Directory también debe tener espacio libre igual al 15-20 % del tamaño del archivo Ntds.dit. Para obtener más información sobre cómo liberar espacio en disco adicional, consulte la sección "Controladores de dominio sin suficiente espacio en disco" de este artículo.

    8. Scavenging de DNS (opcional)

      Habilite scavenging de DNS a intervalos de 7 días para todos los servidores DNS del bosque. Para obtener los mejores resultados, realice esta operación 61 o más días antes de actualizar el sistema operativo. Esto proporciona el demonio de scavenging DNS suficiente tiempo para recopilar elementos no utilizados de los objetos DNS antiguos cuando se realiza una desfragmentación sin conexión en el archivo Ntds.dit.

    9. Deshabilitar el servicio de servidor DLT (opcional)

      El servicio servidor DLT está deshabilitado en instalaciones nuevas y actualizadas de controladores de dominio de Windows Server 2003. Si no se usa el seguimiento de vínculos distribuidos, puede deshabilitar el servicio servidor DLT en los controladores de dominio de Windows 2000 y empezar a eliminar objetos DLT de cada dominio del bosque. Para obtener más información, consulte la sección "Recomendaciones de Microsoft para el seguimiento de vínculos distribuidos" del siguiente artículo de Microsoft Knowledge Base: 312403 Distributed Link Tracking en controladores de dominio basados en Windows.

    10. Copia de seguridad de estado del sistema

      Realice una copia de seguridad de estado del sistema de al menos dos controladores de dominio en cada dominio del bosque. Puede usar la copia de seguridad para recuperar todos los dominios del bosque si la actualización no funciona.

Microsoft Exchange 2000 en bosques de Windows 2000

Nota:

El esquema de Exchange 2000 define tres atributos inetOrgPerson con LDAPDisplayNames no compatibles con request for Comment (RFC): houseIdentifier, secretary y labeledURI.

El kit inetOrgPerson de Windows 2000 y el comando de Windows Server 2003 adprep definen versiones de queja RFC de los mismos tres atributos con LDAPDisplayNames idénticos que las versiones no compatibles con RFC.

Cuando el comando de Windows Server 2003 adprep /forestprep se ejecuta sin scripts correctivos en un bosque que contiene cambios de esquema de Windows 2000 y Exchange 2000, los ldapDisplayNames para los atributos houseIdentifier, labeledURI y secretary se vuelven mangled. Un atributo se convierte en "mangled" si "Dup" u otros caracteres únicos se agregan al principio del nombre del atributo en conflicto para que los objetos y atributos del directorio tengan nombres únicos.

Los bosques de Active Directory no son vulnerables a LDAPDisplayNames mangled para estos atributos en los casos siguientes:

  • Si ejecuta el comando de Windows Server 2003 adprep /forestprep en un bosque que contiene el esquema de Windows 2000 antes de agregar el esquema de Exchange 2000.
  • Si instala el esquema de Exchange 2000 en el bosque que se creó donde un controlador de dominio de Windows Server 2003 era el primer controlador de dominio del bosque.
  • Si agregas el kit inetOrgPerson de Windows 2000 a un bosque que contiene el esquema de Windows 2000 y, a continuación, instalas los cambios de esquema de Exchange 2000 y, a continuación, ejecutas el comando Windows Server 2003 adprep /forestprep .
  • Si agrega el esquema de Exchange 2000 a un bosque de Windows 2000 existente, ejecute Exchange 2003 /forestprep antes de ejecutar el comando de Windows Server 2003 adprep /forestprep .

Los atributos mangled se producirán en Windows 2000 en los casos siguientes:

  • Si agregas las versiones de Exchange 2000 del labeledURI, houseIdentifier y los atributos secretary a un bosque de Windows 2000 antes de instalar el kit inetOrgPerson de Windows 2000.
  • Agrega las versiones de Exchange 2000 del URI etiquetado, houseIdentifier y los atributos de secretario a un bosque de Windows 2000 antes de ejecutar el comando de Windows Server 2003 adprep /forestprep sin ejecutar primero los scripts de limpieza. Los planes de acción para cada escenario siguen:

Escenario 1: Se agregan cambios de esquema de Exchange 2000 después de ejecutar el comando adprep /forestprep de Windows Server 2003

Si los cambios de esquema de Exchange 2000 se introducirán en el bosque de Windows 2000 después de ejecutar el comando de Windows Server 2003 adprep /forestprep , no se requiere ninguna limpieza. Vaya a la sección "Información general: Actualización de controladores de dominio de Windows 2000 a Windows Server 2003".

Escenario 2: Los cambios de esquema de Exchange 2000 se instalarán antes del comando adprep /forestprep de Windows Server 2003

Si los cambios de esquema de Exchange 2000 ya se han instalado, pero no ha ejecutado el comando Windows Server 2003 adprep /forestprep , tenga en cuenta el siguiente plan de acción:

  1. Inicie sesión en la consola del patrón de operaciones de esquema mediante una cuenta que sea miembro del grupo de seguridad Administradores de esquemas.

  2. Haga clic en Inicio, haga clic en Ejecutar, escriba notepad.exe en el cuadro Abriry, a continuación, haga clic en Aceptar.

  3. Copie el texto siguiente, incluido el guión final después de "schemaUpdateNow: 1" en el Bloc de notas.

    dn: CN=ms-Exch-Assistant-Name,CN=Schema,CN=Configuration,DC=X
    changetype: Modificar
    replace:LDAPDisplayName
    LDAPDisplayName: msExchAssistantName
    -

    dn: CN=ms-Exch-LabeledURI,CN=Schema,CN=Configuration,DC=X
    changetype: Modificar
    replace: LDAPDisplayName
    LDAPDisplayName: msExchLabeledURI
    -

    dn: CN=ms-Exch-House-Identifier,CN=Schema,CN=Configuration,DC=X
    changetype: Modificar
    replace: LDAPDisplayName
    LDAPDisplayName: msExchHouseIdentifier
    -

    Dn:
    changetype: Modificar
    add: schemaUpdateNow
    schemaUpdateNow: 1
    -

  4. Confirme que no hay espacio al final de cada línea.

  5. En el menú Archivo , haga clic en Guardar. En el cuadro de diálogo Guardar como, siga estos pasos:

    1. En el cuadro Nombre de archivo, escriba lo siguiente: \%userprofile%\InetOrgPersonPrevent.ldf
    2. En el cuadro Guardar como tipo , haga clic en Todos los archivos.
    3. En el cuadro Codificación , haga clic en Unicode.
    4. Haga clic en Save(Guardar).
    5. Salga del Bloc de notas.

  6. Ejecute el script InetOrgPersonPrevent.ldf.

    1. Haga clic en Inicio, haga clic en Ejecutar, escriba cmd en el cuadro Abrir y, a continuación, haga clic en Aceptar.

    2. En un símbolo del sistema, escriba lo siguiente y presione ENTRAR: cd %userprofile%

    3. Escriba el siguiente comando:

    c:\documents and settings\%username%>ldifde -i -f inetorgpersonprevent.ldf -v -c DC=X "domain name path for forest root domain"

    Notas de sintaxis:

    • DC=X es una constante que distingue mayúsculas de minúsculas.
    • La ruta de acceso del nombre de dominio para el dominio raíz debe incluirse entre comillas.

    Por ejemplo, la sintaxis de comandos de un bosque de Active Directory cuyo dominio raíz del bosque sería TAILSPINTOYS.COM :

    c:\documents and settings\administrator>ldifde -i -f inetorgpersonprevent.ldf -v -c DC=X "dc=tailspintoys,dc=com"

    Nota:

    Es posible que tenga que cambiar la subclave del Registro de actualización de esquema permitida si recibe el siguiente mensaje de error: No se permite la actualización del esquema en este controlador de dominio porque la clave del Registro no está establecida o el controlador de dominio no es el propietario del rol FSMO del esquema.

  7. Compruebe que ldapDisplayNames para los atributos CN=ms-Exch-Assistant-Name, CN=ms-Exch-LabeledURI y CN=ms-Exch-House-Identifier en el contexto de nomenclatura de esquema aparecen ahora como msExchAssistantName, msExchLabeledURI y msExchHouseIdentifier antes de ejecutar los comandos de Windows Server 2003 adprep /forestprep .

  8. Vaya a la sección "Información general: Actualización de controladores de dominio de Windows 2000 a Windows Server 2003" para ejecutar los adprep /forestprep comandos y /domainprep .

Escenario 3: El comando forestprep de Windows Server 2003 se ejecutó sin ejecutar primero inetOrgPersonFix

Si ejecuta el comando de Windows Server 2003 adprep /forestprep en un bosque de Windows 2000 que contiene los cambios de esquema de Exchange 2000, los atributos LDAPDisplayName para houseIdentifier, secretario y labeledURI se convertirán en mangled. Para identificar nombres mangled, use Ldp.exe para buscar los atributos afectados:

  1. Instale Ldp.exe desde la carpeta Support\Tools de los medios de Microsoft Windows 2000 o Windows Server 2003.

  2. Inicie Ldp.exe desde un controlador de dominio o un equipo miembro en el bosque.

    1. En el menú Conexión , haga clic en Conectar, deje el cuadro Servidor vacío, escriba 389 en el cuadro Puerto y, a continuación, haga clic en Aceptar.
    2. En el menú Conexión , haga clic en Enlazar, deje todos los cuadros vacíos y, a continuación, haga clic en Aceptar.

  3. Registre la ruta de acceso de nombre distintivo para el atributo SchemaNamingContext. Por ejemplo, para un controlador de dominio en el bosque de CORP.ADATUM.COM, la ruta de acceso de nombre distintivo podría ser CN=Schema,CN=Configuration,DC=corp,DC=company,DC=com.

  4. En el menú Examinar , haga clic en Buscar.

  5. Use los valores siguientes para configurar el cuadro de diálogo Buscar :

    • DN base: ruta de acceso de nombre distintivo para el contexto de nomenclatura de esquema que se identifica en el paso 3.
    • Filtro: (ldapdisplayname=dup*)
    • Ámbito: Subárbol

  6. Los atributos houseIdentifier, secretary y labeledURI de Mangled tienen atributos LDAPDisplayName similares al formato siguiente:

    LDAPDisplayName: DUP-labeledURI-9591bbd3-d2a6-4669-afda-48af7c35507d;
    LDAPDisplayName: DUP-secretary-c5a1240d-70c0-455c-9906-a4070602f85f
    LDAPDisplayName: DUP-houseIdentifier-354b0ca8-9b6c-4722-aae7-e66906cc9eef

  7. Si los LDAPDisplayNames para labeledURI, secretary y houseIdentifier se han agrupado en el paso 6, ejecute el script InetOrgPersonFix.ldf de Windows Server 2003 para recuperar y, a continuación, vaya a la sección "Actualización de controladores de dominio de Windows 2000 con Winnt32.exe".

    1. Cree una carpeta denominada %Systemdrive%\IOP y, a continuación, extraiga el archivo InetOrgPersonFix.ldf en esta carpeta.

    2. En un símbolo del sistema, escriba cd %systemdrive%\iop.

    3. Extraiga el archivo InetOrgPersonFix.ldf del archivo Support.cab que se encuentra en la carpeta Support\Tools del medio de instalación de Windows Server 2003.

    4. Desde la consola del patrón de operaciones de esquema, cargue el archivo InetOrgPersonFix.ldf mediante Ldifde.exe para corregir el atributo LdapDisplayName de los atributos houseIdentifier, secretary y labeledURI. Para ello, escriba el siguiente comando, donde <X> es una constante que distingue mayúsculas de minúsculas y <la ruta de acceso dn del dominio> raíz del bosque es la ruta de acceso del nombre de dominio para el dominio raíz del bosque:

      C:\IOP>ldifde -i -f inetorgpersonfix.ldf -v -c DC=X "domain name path for forest root domain"

      Notas de sintaxis:

      • DC=X es una constante que distingue mayúsculas de minúsculas.
      • La ruta de acceso del nombre de dominio del dominio raíz del bosque debe incluirse entre comillas.

  8. Compruebe que los atributos houseIdentifier, secretary y labeledURI del contexto de nomenclatura de esquema no están "mangled" antes de instalar Exchange 2000.

Información general: Actualización de controladores de dominio de Windows 2000 a Windows Server 2003

El comando de Windows Server 2003 adprep que ejecuta desde la carpeta \I386 del medio de Windows Server 2003 prepara un bosque de Windows 2000 y sus dominios para agregar controladores de dominio de Windows Server 2003. El comando Windows Server 2003 adprep /forestprep agrega las siguientes características:

  • Descriptores de seguridad predeterminados mejorados para las clases de objeto

  • Nuevos atributos de usuario y grupo

  • Nuevos objetos y atributos schema como inetOrgPersonLa utilidad adprep admite dos argumentos de línea de comandos:

    • adprep /forestprep: ejecuta operaciones de actualización del bosque.
    • dprep /domainprep: ejecuta operaciones de actualización de dominio.

El adprep /forestprep comando es una operación única realizada en el patrón de operaciones de esquema (FSMO) del bosque. La operación forestprep debe completarse y replicarse en el maestro de infraestructura de cada dominio para poder ejecutarlo adprep /domainprep en ese dominio.

El adprep /domainprep comando es una operación única que se ejecuta en el controlador de dominio maestro de operaciones de infraestructura de cada dominio del bosque que hospedará controladores de dominio de Windows Server 2003 nuevos o actualizados. El adprep /domainprep comando comprueba que los cambios de forestprep se han replicado en la partición de dominio y, a continuación, realiza sus propios cambios en la partición de dominio y las directivas de grupo en el recurso compartido sysvol.

No puede realizar ninguna de las siguientes acciones a menos que las operaciones /forestprep y /domainprep se hayan completado y replicado en todos los controladores de dominio de ese dominio:

  • Actualice los controladores de dominio de Windows 2000 a los controladores de dominio de Windows Server 2003 mediante Winnt32.exe.

Nota:

Puedes actualizar los equipos y servidores miembros de Windows 2000 a equipos miembros de Windows Server 2003 siempre que quieras. Promover nuevos controladores de dominio de Windows Server 2003 al dominio mediante Dcpromo.exe.El dominio que hospeda el maestro de operaciones de esquema es el único dominio en el que debe ejecutar y adprep /forestprep adprep /domainprep. En todos los demás dominios, solo tiene que ejecutar adprep /domainprep.

Los adprep /forestprep comandos y adprep /domainprep no agregan atributos al conjunto de atributos parciales del catálogo global o provocan una sincronización completa del catálogo global. La versión RTM de adprep /domainprep produce una sincronización completa de la carpeta \Policies en el árbol Sysvol. Incluso si ejecuta forestprep y domainprep varias veces, las operaciones completadas solo se realizan una vez.

Después de que los cambios se adprep /forestprep repliquen por adprep /domainprep completo, puede actualizar los controladores de dominio de Windows 2000 a Windows Server 2003 ejecutando Winnt32.exe desde la carpeta \I386 del medio de Windows Server 2003. Además, puede agregar nuevos controladores de dominio de Windows Server 2003 al dominio mediante Dcpromo.exe.

Actualización del bosque con el comando adprep /forestprep

Para preparar un bosque y dominios de Windows 2000 para aceptar controladores de dominio de Windows Server 2003, siga estos pasos en primer lugar en un entorno de laboratorio y, a continuación, en un entorno de producción:

  1. Asegúrese de que ha completado todas las operaciones de la fase "Inventario de bosques" con especial atención a los siguientes elementos:

    1. Ha creado copias de seguridad de estado del sistema.
    2. Todos los controladores de dominio de Windows 2000 del bosque han instalado todas las revisiones y Service Pack adecuadas.
    3. La replicación de un extremo a otro de Active Directory se está produciendo en todo el bosque
    4. FRS replica la directiva del sistema de archivos correctamente en cada dominio.

  2. Inicie sesión en la consola del patrón de operaciones de esquema con una cuenta que sea miembro del grupo de seguridad Administradores de esquemas.

  3. Para comprobar que el esquema FSMO ha realizado la replicación entrante de la partición de esquema, escriba lo siguiente en un símbolo del sistema de Windows NT: repadmin /showreps

    ( repadmin está instalado por la carpeta Support\Tools de Active Directory).

  4. La documentación temprana de Microsoft recomienda aislar el patrón de operaciones de esquema en una red privada antes de ejecutar adprep /forestprep. La experiencia real sugiere que este paso no es necesario y puede provocar que un maestro de operaciones de esquema rechace los cambios de esquema cuando se reinicie en una red privada.

  5. Ejecute adprep en el patrón de operaciones de esquema. Para ello, haga clic en Inicio, haga clic en Ejecutar, escriba cmdy, a continuación, haga clic en Aceptar. En el patrón de operaciones de esquema, escriba el siguiente comando:

     X:\I386\adprep /forestprep

    donde X:\I386\ es la ruta de acceso del medio de instalación de Windows Server 2003. Este comando ejecuta la actualización del esquema de todo el bosque.

    Nota:

    Los eventos con el identificador de evento 1153 que se registran en el registro de eventos del servicio de directorio, como el ejemplo siguiente, se pueden omitir:

  6. Compruebe que el adprep /forestprep comando se ejecutó correctamente en el patrón de operaciones de esquema. Para ello, desde la consola del patrón de operaciones de esquema, compruebe los siguientes elementos: : el adprep /forestprep comando se completó sin error. - El objeto CN=Windows2003Update se escribe en CN=ForestUpdates,CN=Configuration,DC= forest_root_domain. Registre el valor del atributo Revision. - (Opcional) La versión del esquema se incrementó a la versión 30. Para ello, consulte el atributo ObjectVersion en CN=Schema,CN=Configuration,DC= forest_root_domain. Si adprep /forestprep no se ejecuta, compruebe los siguientes elementos:

    • La ruta de acceso completa para Adprep.exe ubicada en la carpeta \I386 del medio de instalación se especificó cuando adprep se ejecutó. Para ello, escriba el comando siguiente:

      x:\i386\adprep /forestprep

      donde x es la unidad que hospeda el medio de instalación.

    • El usuario que ha iniciado sesión que ejecuta adprep tiene pertenencia al grupo de seguridad Administradores de esquemas. Para comprobarlo, use el whoami /all comando .

    • Si adprep todavía no funciona, vea el archivo Adprep.log en la carpeta %systemroot%\System32\Debug\Adprep\Logs\Latest_log .

  7. Si deshabilitó la replicación saliente en el maestro de operaciones de esquema en el paso 4, habilite la replicación para que los cambios de esquema realizados por adprep /forestprep puedan propagarse. Para ello, siga estos pasos:

    1. Haga clic en Inicioy en Ejecutar, escriba cmdy, a continuación, haga clic en Aceptar.
    2. Escriba lo siguiente y presione ENTRAR: repadmin /options -DISABLE_OUTBOUND_REPL

  8. Compruebe que los adprep /forestprep cambios se han replicado en todos los controladores de dominio del bosque. Resulta útil supervisar los siguientes atributos:

    1. Incremento de la versión del esquema
    2. CN=Windows2003Update, CN=ForestUpdates,CN=Configuration,DC= forest_root_domain o CN=Operations,CN=DomainUpdates,CN=System,DC= forest_root_domain y los GUID de operaciones en él se han replicado.
    3. Busque nuevas clases de esquema, objetos, atributos u otros cambios que adprep /forestprep agregue, como inetOrgPerson. Vea los archivos Sch XX.ldf (donde XX es un número comprendido entre 14 y 30) en la carpeta %systemroot%\System32 para determinar qué objetos y atributos debe haber. Por ejemplo, inetOrgPerson se define en Sch18.ldf.

  9. Busque LDAPDisplayNames mangled. Si encuentra nombres de mangled, vaya al escenario 3 del mismo artículo.

  10. Inicie sesión en la consola del patrón de operaciones de esquema con una cuenta que sea miembro del grupo administradores de esquema del bosque que hospeda el patrón de operaciones de esquema.

Actualización del dominio con el comando adprep /domainprep

Ejecute adprep /domainprep después de que /forestprep cambie completamente al controlador de dominio maestro de infraestructura en cada dominio que hospedará controladores de dominio de Windows Server 2003. Para ello, siga los pasos que se indican a continuación:

  1. Identifique el controlador de dominio maestro de infraestructura en el dominio que va a actualizar y, a continuación, inicie sesión con una cuenta que sea miembro del grupo de seguridad Administradores de dominio en el dominio que va a actualizar.

    Nota:

    Es posible que el administrador de empresa no sea miembro del grupo de seguridad Administradores de dominio en dominios secundarios del bosque.

  2. Ejecute adprep /domainprep en el maestro de infraestructura. Para ello, haga clic en Inicio, haga clic en Ejecutar, escriba cmd y, a continuación, en el patrón de infraestructura escriba el siguiente comando: X:\I386\adprep /domainprep donde X:\I386\ es la ruta de acceso del medio de instalación de Windows Server 2003. Este comando ejecuta cambios en todo el dominio en el dominio de destino.

    Nota:

    El adprep /domainprep comando modifica los permisos de archivos en el recurso compartido sysvol. Estas modificaciones provocan una sincronización completa de archivos en ese árbol de directorios.

  3. Compruebe que domainprep se completó correctamente. Para ello, compruebe los siguientes elementos:

    • El adprep /domainprep comando se completó sin error.
    • El CN=Windows2003Update,CN=DomainUpdates,CN=System,DC= dn path of domain you are upgrade existsIf adprep /domainprep doesn't run, verify the following items:
    • El usuario que ha adprep iniciado sesión tiene pertenencia al grupo de seguridad Administradores de dominio en el dominio que está actualizando. Para ello, use el comando whoami /all.
    • La ruta de acceso completa para Adprep.exe ubicada en el directorio \I386 del medio de instalación se especificó al ejecutar adprep. Para ello, en un símbolo del sistema, escriba el siguiente comando: x :\i386\adprep /forestprep donde x es la unidad que hospeda el medio de instalación.
    • Si adprep todavía no funciona, vea el archivo Adprep.log en la carpeta %systemroot%\System32\Debug\Adprep\Logs\ Latest_log .

  4. Compruebe que los adprep /domainprep cambios se han replicado. Para ello, en el caso de los controladores de dominio restantes del dominio, compruebe los siguientes elementos: - El CN=Windows2003Update,CN=DomainUpdates,CN=System,DC= dn path of domain you are upgrade object exists y el valor del atributo Revision coincide con el valor del mismo atributo en el maestro de infraestructura del dominio. - (Opcional) Buscar objetos, atributos o lista de control de acceso (ACL) cambios agregados adprep /domainprep . Repita los pasos del 1 al 4 en el maestro de infraestructura de los dominios restantes de forma masiva o a medida que agregue o actualice los controladores de dominio de esos dominios a Windows Server 2003. Ahora puede promocionar nuevos equipos con Windows Server 2003 en el bosque mediante DCPROMO. O bien, puedes actualizar los controladores de dominio existentes de Windows 2000 a Windows Server 2003 mediante WINNT32.EXE.

Actualización de controladores de dominio de Windows 2000 mediante Winnt32.exe

Después de que los cambios de /forestprep y /domainprep se repliquen completamente y haya tomado una decisión sobre la interoperabilidad de seguridad con clientes de versión anterior, puede actualizar controladores de dominio de Windows 2000 a Windows Server 2003 y agregar nuevos controladores de dominio de Windows Server 2003 al dominio.

Los equipos siguientes deben estar entre los primeros controladores de dominio que ejecutan Windows Server 2003 en el bosque de cada dominio:

  • Patrón de nomenclatura de dominio en el bosque para que pueda crear particiones de programa DNS predeterminadas.
  • Controlador de dominio principal del dominio raíz del bosque para que las entidades de seguridad de toda la empresa que agrega el bosque de Windows Server 2003 se vuelvan visibles en el editor de ACL.
  • Controlador de dominio principal en cada dominio no raíz para que pueda crear nuevas entidades de seguridad específicas del dominio de Windows 2003. Para ello, use WINNT32 para actualizar los controladores de dominio existentes que hospedan el rol operativo que desee. O bien, transfiera el rol a un controlador de dominio de Windows Server 2003 recién promocionado. Realice los pasos siguientes para cada controlador de dominio de Windows 2000 que actualice a Windows Server 2003 con WINNT32 y para cada equipo miembro o grupo de trabajo de Windows Server 2003 que promueva:

  1. Antes de usar WINNT32 para actualizar equipos miembros y controladores de dominio de Windows 2000, quite las herramientas de administración de Windows 2000. Para ello, use la herramienta Agregar o quitar programas en Panel de control. (Solo actualizaciones de Windows 2000).

  2. Instale los archivos de revisión u otras correcciones que Microsoft o el administrador determinen que es importante.

  3. Compruebe cada controlador de dominio si hay posibles problemas de actualización. Para ello, ejecute el siguiente comando desde la carpeta \I386 del medio de instalación: winnt32.exe /checkupgradeonly resuelva los problemas que identifica la comprobación de compatibilidad.

  4. Ejecute WINNT32.EXE desde la carpeta \I386 del medio de instalación y reinicie el controlador de dominio actualizado 2003.

  5. Reduzca la configuración de seguridad de los clientes de versión anterior según sea necesario.

    Si los clientes de Windows NT 4.0 no tienen clientes NT 4.0 SP6 o Windows 95 no tienen instalado el cliente del servicio de directorio, deshabilite la firma del servicio SMB en la directiva Controladores de dominio predeterminados en la unidad organizativa Controladores de dominio y, a continuación, vincule esta directiva a todas las unidades organizativas que hospedan controladores de dominio. Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad\Servidor de red de Microsoft: firmar digitalmente las comunicaciones (siempre)

  6. Compruebe el estado de la actualización mediante los siguientes puntos de datos:

    • La actualización se completó correctamente.
    • Las revisiones que agregó a la instalación reemplazaron correctamente los archivos binarios originales.
    • La replicación entrante y saliente de Active Directory se está produciendo para todos los contextos de nomenclatura mantenidos por el controlador de dominio.
    • Existen recursos compartidos de Netlogon y Sysvol.
    • El registro de eventos indica que el controlador de dominio y sus servicios están en buen estado.

    Nota:

    Puede recibir el siguiente mensaje de evento después de actualizar: puede omitir este mensaje de evento de forma segura.

  7. Instale las Herramientas de administración de Windows Server 2003 (solo actualizaciones de Windows 2000 y controladores que no son de dominio de Windows Server 2003). Adminpak.msi está en la carpeta \I386 del CD-ROM de Windows Server 2003. Los medios de Windows Server 2003 contienen herramientas de soporte técnico actualizadas en el archivo Support\Tools\Suptools.msi. Asegúrese de volver a instalar este archivo.

  8. Realice nuevas copias de seguridad de al menos los dos primeros controladores de dominio de Windows 2000 que actualizó a Windows Server 2003 en cada dominio del bosque. Busque las copias de seguridad de los equipos con Windows 2000 que actualizó a Windows Server 2003 en almacenamiento bloqueado para que no los use accidentalmente para restaurar un controlador de dominio que ahora ejecuta Windows Server 2003.

  9. (Opcional) Realice una desfragmentación sin conexión de la base de datos de Active Directory en los controladores de dominio que actualizó a Windows Server 2003 después de que se haya completado el almacén de instancia único (solo actualizaciones de Windows 2000).

    El SIS revisa los permisos existentes en los objetos almacenados en Active Directory y, a continuación, aplica un descriptor de seguridad más eficaz en esos objetos. El SIS se inicia automáticamente (identificado por el evento 1953 en el registro de eventos del servicio de directorio) cuando los controladores de dominio actualizados inician primero el sistema operativo Windows Server 2003. Se beneficia del almacén de descriptores de seguridad mejorado solo cuando registra un mensaje de evento de identificador de evento 1966 en el registro de eventos del servicio de directorio: este mensaje de evento indica que la operación de almacén de instancia única se ha completado y actúa como una cola que el administrador debe realizar desfragmentación sin conexión del ntds.dit mediante NTDSUTIL.EXE.

    La desfragmentación sin conexión puede reducir el tamaño de un archivo Ntds.dit de Windows 2000 hasta un 40 %, mejora el rendimiento de Active Directory y actualiza las páginas de la base de datos para un almacenamiento más eficaz de atributos con valores de vínculo. Para obtener más información sobre cómo desfragmentar la base de datos de Active Directory, haga clic en el número de artículo siguiente para ver el artículo en Microsoft Knowledge Base:

    232122 Realizar la desfragmentación sin conexión de la base de datos de Active Directory

  10. Investigue el servicio de servidor DLT. Los controladores de dominio de Windows Server 2003 deshabilitan el servicio servidor DLT en instalaciones nuevas y actualizadas. Si los clientes de Windows 2000 o Windows XP de su organización usan el servicio servidor DLT, use la directiva de grupo para habilitar el servicio servidor DLT en controladores de dominio de Windows Server 2003 nuevos o actualizados. De lo contrario, elimine incrementalmente los objetos de seguimiento de vínculos distribuidos de Active Directory. Para más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

    312403 seguimiento de vínculos distribuidos en controladores de dominio basados en Windows

    Si elimina de forma masiva miles de objetos DLT u otros objetos, puede bloquear la replicación debido a la falta de almacén de versiones. Espere el número de días de tombstonelifetime (de forma predeterminada, 60 días) después de eliminar el último objeto DLT y para que se complete la recolección de elementos no utilizados, use NTDSUTIL.EXE para realizar una desfragmentación sin conexión del archivo Ntds.dit.

  11. Configure la estructura de unidades organizativas de procedimientos recomendados. Microsoft recomienda que los administradores implementen activamente la estructura organizativa del procedimiento recomendado en todos los dominios de Active Directory y, después de actualizar o implementar controladores de dominio de Windows Server 2003 en modo dominio de Windows, redirija los contenedores predeterminados que usan las API de versión anterior para crear usuarios, equipos y grupos en un contenedor de unidades organizativas que el administrador especifica.

    Para obtener más información sobre la estructura de unidades organizativas de procedimientos recomendados, vea la sección "Crear un diseño de unidad organizativa" de las notas del producto "Procedimientos recomendados de diseño de Active Directory para administrar redes windows". Para ver las notas del producto, visite el siguiente sitio web de Microsoft: https://technet.microsoft.com/library/bb727085.aspx Para obtener más información sobre cómo cambiar el contenedor predeterminado en el que se encuentran los usuarios, equipos y grupos que crean las API de versión anterior, haga clic en el número de artículo siguiente para ver el artículo en Microsoft Knowledge Base:

    324949 Redirigir los usuarios y los contenedores de equipos en dominios de Windows Server 2003

  12. Repita los pasos del 1 al 10 según sea necesario para cada controlador de dominio de Windows Server 2003 nuevo o actualizado en el bosque y el paso 11 (estructura organizativa de procedimientos recomendados) para cada dominio de Active Directory.

    En Resumen:

    • Actualice los controladores de dominio de Windows 2000 con WINNT32 (desde el medio de instalación indeslizado si se usa).
    • Compruebe que los archivos de revisiones se han instalado en los equipos actualizados
    • Instale las revisiones necesarias que no contengan los medios de instalación.
    • Compruebe el estado de los servidores nuevos o actualizados (AD, FRS, Policy, etc.)
    • Espere 24 horas después de la actualización del sistema operativo y, después, desfragmente sin conexión (opcional)
    • Inicie el servicio DLT si es necesario; de lo contrario, elimine objetos DLT mediante q312403 /q315229 después de dominio en todo el bosquepreps.
    • Realizar desfragmentación sin conexión de más de 60 días (duración de lápida y recolección de elementos no utilizados n.º de días) después de eliminar objetos DLT

Actualizaciones de ejecución seca en un entorno de laboratorio

Antes de actualizar los controladores de dominio de Windows a un dominio de Windows 2000 de producción, valide y refina el proceso de actualización en el laboratorio. Si la actualización de un entorno de laboratorio que refleja con precisión el bosque de producción funciona sin problemas, puede esperar resultados similares en entornos de producción. Para entornos complejos, el entorno de laboratorio debe reflejar el entorno de producción en las siguientes áreas:

  • Hardware: tipo de equipo, tamaño de memoria, selección de ubicación de archivos de página, tamaño de disco, configuración de rendimiento y raid, niveles de revisión de BIOS y firmware
  • Software: versiones de sistema operativo cliente y servidor, aplicaciones cliente y servidor, versiones de Service Pack, revisiones, cambios de esquema, grupos de seguridad, pertenencias a grupos, permisos, configuración de directivas, tipo de recuento de objetos y ubicación, interoperabilidad de versiones
  • Infraestructura de red: WINS, DHCP, velocidades de vínculo, ancho de banda disponible
  • Carga: los simuladores de carga pueden simular cambios de contraseña, creación de objetos, replicación de Active Directory, autenticación de inicio de sesión y otros eventos. El objetivo no es reproducir la escala del entorno de producción. En su lugar, los objetivos son detectar los costos y la frecuencia de las operaciones comunes y interpolar sus efectos (consultas de nombres, tráfico de replicación, ancho de banda de red y consumo de procesador) en el entorno de producción en función de los requisitos actuales y futuros.
  • Administración: tareas realizadas, herramientas usadas, sistemas operativos usados
  • Operación: capacidad, interoperabilidad
  • Espacio en disco: tenga en cuenta el tamaño inicial, máximo y final del sistema operativo, Ntds.dit y archivos de registro de Active Directory en los controladores de dominio de catálogo global y no globales de cada dominio después de cada una de las siguientes operaciones:
    1. adprep /forestprep
    2. adprep /domainprep
    3. Actualización de controladores de dominio de Windows 2000 a Windows Server 2003
    4. Realizar la desfragmentación sin conexión después de las actualizaciones de la versión

Una comprensión del proceso de actualización y la complejidad del entorno combinado con una observación detallada determina el ritmo y el grado de cuidado que se aplican a la actualización de entornos de producción. Los entornos con un pequeño número de controladores de dominio y objetos de Active Directory conectados a través de vínculos de red de área extensa (WAN) de alta disponibilidad pueden actualizarse en solo unas horas. Es posible que tenga que tener más cuidado con las implementaciones empresariales que tienen cientos de controladores de dominio o cientos de miles de objetos de Active Directory. En tales casos, es posible que desee realizar la actualización durante varias semanas o meses.

Use las actualizaciones "Dry-run" en el laboratorio para realizar las tareas siguientes:

  • Comprenda los trabajos internos del proceso de actualización y los riesgos asociados.
  • Exponga posibles áreas problemáticas para el proceso de implementación en su entorno.
  • Pruebe y desarrolle planes de reserva en caso de que la actualización no se realice correctamente.
  • Defina el nivel de detalle adecuado que se aplicará al proceso de actualización para el dominio de producción.

Controladores de dominio sin suficiente espacio en disco

En los controladores de dominio con espacio en disco insuficiente, siga estos pasos para liberar espacio en disco adicional en el volumen que hospeda los archivos Ntds.dit y Log:

  1. Elimine los archivos sin usar, incluidos *.tmp archivos o archivos almacenados en caché que usan los exploradores de Internet. Para ello, escriba los siguientes comandos (presione ENTRAR después de cada comando):

    cd /d drive\  
del *.tmp /s

  2. Elimine los archivos de volcado de memoria o usuario. Para ello, escriba los siguientes comandos (presione ENTRAR después de cada comando):

    cd /d drive\  
del *.dmp /s

  3. Quite o reubique temporalmente los archivos a los que puede acceder desde otros servidores o vuelva a instalarlos fácilmente. Los archivos que puede quitar y reemplazar fácilmente incluyen ADMINPAK, Herramientas de soporte técnico y todos los archivos de la carpeta %systemroot%\System32\Dllcache.

  4. Eliminar perfiles de usuario antiguos o sin usar. Para ello, haga clic en Inicio, haga clic con el botón derecho en Mi equipo, haga clic en Propiedades, haga clic en la pestaña Perfiles de usuario y, a continuación, elimine todos los perfiles que son para cuentas antiguas y no usar. No elimine ningún perfil que pueda ser para las cuentas de servicio.

  5. Elimine los símbolos en %systemroot%\Symbols. Para ello, escriba el siguiente comando: rd /s %systemroot%\symbols dependiendo de si los servidores tienen un conjunto de símbolos completo o pequeño, esto puede obtener aproximadamente 70 MB a 600 MB.

  6. Realice una desfragmentación sin conexión. Una desfragmentación sin conexión del archivo Ntds.dit puede liberar espacio, pero requiere temporalmente el doble del espacio del archivo DIT actual. Realice la desfragmentación sin conexión mediante otros volúmenes locales si hay uno disponible. O bien, use espacio en un mejor servidor de red conectado para realizar la desfragmentación sin conexión. Si el espacio en disco sigue sin ser suficiente, elimine incrementalmente cuentas de usuario innecesarias, cuentas de equipo, registros DNS y objetos DLT de Active Directory.

Nota:

Active Directory no elimina objetos de la base de datos hasta que se complete el número de días de tombstonelifetime (de forma predeterminada, 60 días) y se complete la recolección de elementos no utilizados. Si reduce tombstonelifetime a un valor inferior a la replicación de un extremo a otro en el bosque, puede provocar incoherencias en Active Directory.