Compartir a través de

Cómo aumentar los niveles funcionales de dominio y de bosque de Active Directory

  • Artículo

En este artículo se describe cómo aumentar los niveles funcionales de dominio y de bosque de Active Directory.

Se aplica a: Windows Server 2003
Número de KB original: 322692

Resumen

Para obtener información sobre Windows Server 2016 y las nuevas características de Servicios de dominio de Active Directory (AD DS), consulta Novedades de Servicios de dominio de Active Directory para Windows Server 2016.

En este artículo se describen la elevación de los niveles funcionales de dominio y bosque compatibles con controladores de dominio basados en Microsoft Windows Server 2003 o versiones más recientes. Hay cuatro versiones de Active Directory y solo los niveles que han cambiado de Windows NT Server 4.0 requieren una consideración especial. Por lo tanto, los demás cambios de nivel se mencionan mediante las versiones más recientes, actuales o anteriores del sistema operativo del controlador de dominio, del dominio o del nivel funcional del bosque.

Los niveles funcionales son una extensión del modo mixto y los conceptos de modo nativo que se introdujeron en Microsoft Windows 2000 Server para activar nuevas características de Active Directory. Algunas características adicionales de Active Directory están disponibles cuando todos los controladores de dominio ejecutan la versión más reciente de Windows Server en un dominio o en un bosque, y cuando el administrador activa el nivel funcional correspondiente en el dominio o en el bosque.

Para activar las características de dominio más recientes, todos los controladores de dominio deben ejecutar la versión más reciente del sistema operativo Windows Server en el dominio. Si se cumple este requisito, el administrador puede elevar el nivel funcional del dominio.

Para activar las características más recientes de todo el bosque, todos los controladores de dominio del bosque deben ejecutar la versión del sistema operativo Windows Server que corresponda al nivel funcional del bosque deseado. Además, el nivel funcional del dominio actual ya debe estar en el nivel más reciente. Si se cumplen estos requisitos, el administrador puede elevar el nivel funcional del bosque.

Por lo general, los cambios en los niveles funcionales de dominio y bosque son irreversibles. Si se puede deshacer el cambio, se debe usar una recuperación del bosque. Con el sistema operativo Windows Server 2008 R2, los cambios en los niveles funcionales de dominio y en los niveles funcionales del bosque se pueden revertir. Sin embargo, la reversión solo se puede realizar en los escenarios específicos que se describen en el artículo de Technet sobre los niveles funcionales de Active Directory.

Nota:

Los niveles funcionales de dominio más recientes y los niveles funcionales del bosque más recientes afectan solo a la forma en que los controladores de dominio funcionan juntos como un grupo. Los clientes que interactúan con el dominio o con el bosque no se ven afectados. Además, las aplicaciones no se ven afectadas por los cambios en los niveles funcionales del dominio o en los niveles funcionales del bosque. Sin embargo, las aplicaciones pueden aprovechar las características de dominio más recientes y de las características de bosque más recientes.

Para obtener más información, consulte el artículo de TechNet sobre las características asociadas a los distintos niveles funcionales.

Elevación del nivel funcional

Precaución

No aumente el nivel funcional si el dominio tiene o tendrá un controlador de dominio que sea de una versión anterior a la versión citada para ese nivel. Por ejemplo, un nivel funcional de Windows Server 2008 requiere que todos los controladores de dominio tengan Windows Server 2008 o un sistema operativo posterior instalado en el dominio o en el bosque. Una vez que el nivel funcional del dominio se eleva a un nivel superior, solo se puede volver a cambiar a un nivel anterior mediante una recuperación del bosque. Esta restricción existe porque las características suelen cambiar la comunicación entre los controladores de dominio o porque las características cambian el almacenamiento de los datos de Active Directory en la base de datos.

El método más común para habilitar los niveles funcionales de dominio y bosque es usar las herramientas gráficas de administración de la interfaz de usuario (GUI) que se documentan en el artículo de TechNet sobre los niveles funcionales de Active Directory de Windows Server 2003. En este artículo se describe Windows Server 2003. Sin embargo, los pasos son los mismos en las versiones más recientes del sistema operativo. Además, el nivel funcional se puede configurar manualmente o se puede configurar mediante scripts de Windows PowerShell. Para obtener más información sobre cómo configurar manualmente el nivel funcional, consulte la sección "Ver y establecer el nivel funcional".

Para obtener más información sobre cómo usar el script de Windows PowerShell para configurar el nivel funcional, vea Elevar el nivel funcional del bosque.

Visualización y establecimiento manual del nivel funcional

Las herramientas ligeras del Protocolo de acceso a directorios (LDAP), como Ldp.exe y Adsiedit.msc, se pueden usar para ver y modificar la configuración actual del dominio y del nivel funcional del bosque. Al cambiar manualmente los atributos de nivel funcional, el procedimiento recomendado es realizar cambios de atributo en el controlador de dominio de operaciones de maestro único flexible (FSMO) que normalmente está dirigido por las herramientas administrativas de Microsoft.

Configuración del nivel funcional del dominio

El atributo msDS-Behavior-Version está en el encabezado del contexto de nomenclatura (NC) del dominio, es decir, DC=corp, DC=contoso, DC=com.

Puede establecer los siguientes valores para este atributo:

  • Valor de 0 o no set=dominio de nivel mixto
  • Valor de 1=Nivel de dominio de Windows Server 2003
  • Valor de 2=Nivel de dominio de Windows Server 2003
  • Valor de 3=Nivel de dominio de Windows Server 2008
  • Valor del nivel de dominio 4=Windows Server 2008 R2

Configuración de modo mixto y modo nativo

El atributo ntMixedDomain está en el encabezado del contexto de nomenclatura (NC) del dominio, es decir, DC=corp, DC=contoso, DC=com.

Puede establecer los siguientes valores para este atributo:

  • Valor de 0=Dominio de nivel nativo
  • Valor de 1=Dominio de nivel mixto

Configuración de nivel de bosque

El atributo msDS-Behavior-Version se encuentra en el objeto CN=Partitions en el contexto de nomenclatura de configuración (NC), es decir, CN=Partitions, CN=Configuration, DC= ForestRootDomain.

Puede establecer los siguientes valores para este atributo:

  • Valor de 0 o no set=bosque de nivel mixto

  • Valor del nivel de bosque provisional 1=Windows Server 2003

  • Valor de 2=Nivel de bosque de Windows Server 2003

    Nota:

    Al aumentar el atributo msDS-Behavior-Version del valor 0 al valor 1 medianteAdsiedit.msc, recibirá el siguiente mensaje de error:
    Operación de modificación no válida. No se permite algún aspecto de la modificación.

  • Valor de 3=Nivel de dominio de Windows Server 2008

  • Valor del nivel de dominio 4=Windows Server 2008 R2

Después de usar las herramientas del Protocolo ligero de acceso a directorios (LDAP) para editar el nivel funcional, haga clic en Aceptar para continuar. Los atributos del contenedor de particiones y en el encabezado del dominio se incrementan correctamente. Si el archivo Ldp.exe notifica un mensaje de error, puede omitir el mensaje de error de forma segura. Para comprobar que el aumento de nivel se realizó correctamente, actualice la lista de atributos y, a continuación, compruebe la configuración actual. Este mensaje de error también puede producirse después de haber realizado el aumento de nivel en el FSMO autoritativo si el cambio aún no se ha replicado en el controlador de dominio local.

Ver rápidamente la configuración actual mediante el archivo Ldp.exe

  1. Inicie el archivo Ldp.exe.
  2. En el menú Connection, haga clic en Connect.
  3. Especifique el controlador de dominio que desea consultar o deje el espacio en blanco para conectarse a cualquier controlador de dominio.

Después de conectarse a un controlador de dominio, aparece la información de RootDSE del controlador de dominio. Esta información incluye información sobre el bosque, el dominio y los controladores de dominio. A continuación se muestra un ejemplo de un controlador de dominio basado en Windows Server 2003. En el ejemplo siguiente, supongamos que el modo de dominio es Windows Server 2003 y que el modo de bosque es Windows 2000 Server.

Nota:

La funcionalidad del controlador de dominio representa el nivel funcional más alto posible para este controlador de dominio.

  • 1> domainFunctionality: 2=(DS_BEHAVIOR_WIN2003)
  • 1> forestFunctionality: 0=(DS_BEHAVIOR_WIN2000)
  • 1> domainControllerFunctionality: 2=(DS_BEHAVIOR_WIN2003)

Requisitos al cambiar manualmente el nivel funcional

  • Debe cambiar el modo de dominio al modo nativo antes de elevar el nivel de dominio si se cumple una de las condiciones siguientes:

    • El nivel funcional del dominio se eleva mediante programación al segundo nivel funcional modificando directamente el valor del atributo msdsBehaviorVersion en el objeto domainDNS.
    • El nivel funcional del dominio se eleva al segundo nivel funcional mediante la utilidad Ldp.exe o la utilidad Adsiedit.msc.

    Si no cambia el modo de dominio al modo nativo antes de elevar el nivel de dominio, la operación no se completa correctamente y recibe los siguientes mensajes de error:

    SV_PROBLEM_WILL_NOT_PERFORM

    ERROR_DS_ILLEGAL_MOD_OPERATION

    Además, el siguiente mensaje se registra en el registro de Servicios de directorio:

    Active Directory could not update the functional level of the following domain because the domain is in mixed mode.

    En este escenario, puede cambiar el modo de dominio al modo nativo mediante el complemento Usuarios y equipos de Active Directory, mediante el complemento MMC de interfaz de usuario de Dominio de Active Directory s & Trusts, o cambiando mediante programación el valor del atributo ntMixedDomain a 0 en el objeto domainDNS. Cuando este proceso se usa para elevar el nivel funcional de dominio a 2 (Windows Server 2003), el modo de dominio se cambia automáticamente al modo nativo.

  • La transición del modo mixto al modo nativo cambia el ámbito del grupo de seguridad Administradores de esquema y del grupo de seguridad Administradores de empresa a grupos universales. Cuando estos grupos se han cambiado a grupos universales, se registra el siguiente mensaje en el registro del sistema:

    Event Type: Information  
Event Source: SAM  
Event ID: 16408  
Computer:Server Name  
Description: "Domain operation mode has been changed to Native Mode. The change cannot be reversed."

  • Cuando se usan las herramientas administrativas de Windows Server 2003 para invocar el nivel funcional del dominio, tanto el atributo ntmixedmode como el atributo msdsBehaviorVersion se modifican en el orden correcto. Sin embargo, esto no siempre se produce. En el escenario siguiente, el modo nativo se establece implícitamente en un valor de 0 sin cambiar el ámbito del grupo de seguridad Administradores de esquema y el grupo de seguridad Administradores de empresa a universal:

    • El atributo msdsBehaviorVersion que controla el modo funcional del dominio se establece manualmente o mediante programación en el valor de 2.
    • El nivel funcional del bosque se establece en 2 mediante cualquier método. En este escenario, los controladores de dominio bloquean la transición al nivel funcional del bosque hasta que todos los dominios que están en la red de área local están configurados en modo nativo y el cambio de atributo necesario se realiza en los ámbitos del grupo de seguridad.

Niveles funcionales relevantes para Windows 2000 Server

Windows 2000 Server solo admite el modo mixto y el modo nativo. Además, solo aplica estos modos a la funcionalidad de dominio. En las secciones siguientes se enumeran los modos de dominio de Windows Server 2003, ya que estos modos afectan a cómo se actualizan los dominios de Windows NT 4.0 y Windows 2000 Server.

Hay muchas consideraciones al elevar el nivel de sistema operativo del controlador de dominio. Estas consideraciones se deben a las limitaciones de almacenamiento y replicación de los atributos vinculados en los modos de servidor de Windows 2000.

Windows 2000 Server mixto (valor predeterminado)

  • Controladores de dominio compatibles: Microsoft Windows NT 4.0, Windows 2000 Server, Windows Server 2003
  • Características activadas: grupos locales y globales, compatibilidad con catálogos globales

Windows 2000 Server nativo

  • Controladores de dominio compatibles: Windows 2000 Server, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2
  • Características activadas: anidamiento de grupos, grupos universales, Historial de sid, conversión de grupos entre grupos de seguridad y grupos de distribución, puede aumentar los niveles de dominio aumentando la configuración del nivel de bosque.

Windows Server 2003 provisional

  • Controladores de dominio compatibles: Windows NT 4.0, Windows Server 2003
  • Características admitidas: no hay ninguna característica de todo el dominio activada en este nivel. Todos los dominios de un bosque se elevan automáticamente a este nivel cuando el nivel de bosque aumenta a provisional. Este modo solo se usa al actualizar controladores de dominio en dominios de Windows NT 4.0 a controladores de dominio de Windows Server 2003.

Windows Server 2003

  • Controladores de dominio compatibles: Windows Server 2003, Windows Server 2008, Windows Server 2008 R2
  • Características admitidas: cambio de nombre del controlador de dominio, atributo de marca de tiempo de inicio de sesión actualizado y replicado. Compatibilidad con contraseñas de usuario en el objeto InetOrgPersonClass. Delegación restringida, puede redirigir los contenedores Usuarios y equipos.

Los dominios actualizados desde Windows NT 4.0 o creados por la promoción de un equipo basado en Windows Server 2003 funcionan en el nivel funcional mixto de Windows 2000. Los dominios de Windows 2000 Server mantienen su nivel funcional de dominio actual cuando los controladores de dominio de Windows 2000 Server se actualizan al sistema operativo Windows Server 2003. Puede elevar el nivel funcional de dominio a Windows 2000 Server nativo o Windows Server 2003.

Nivel provisional: actualización desde un dominio de Windows NT 4.0

Windows Server 2003 Active Directory permite un nivel funcional especial de bosque y dominio denominado Windows Server 2003 provisional. Este nivel funcional se proporciona para las actualizaciones de dominios existentes de Windows NT 4.0 en los que uno o varios controladores de dominio de copia de seguridad (BDC) de Windows NT 4.0 deben funcionar después de la actualización. Los controladores de dominio de Windows 2000 Server no se admiten en este modo. Windows Server 2003 provisional se aplica a los siguientes escenarios:

  • Actualizaciones de dominio de Windows NT 4.0 a Windows Server 2003.
  • Los BDC de Windows NT 4.0 no se actualizan inmediatamente.
  • Dominios de Windows NT 4.0 que contienen grupos con más de 5000 miembros (excepto el grupo de usuarios del dominio).
  • No hay planes para implementar controladores de dominio de Windows Server2000 en el bosque en cualquier momento.

Windows Server 2003 provisional proporciona dos mejoras importantes al tiempo que se permite la replicación en BDC de Windows NT 4.0:

  1. Replicación eficaz de grupos de seguridad y compatibilidad con más de 5000 miembros por grupo.
  2. Algoritmos mejorados del generador de topologías entre sitios KCC.

Debido a las eficiencias de la replicación de grupos que se activan en el nivel provisional, el nivel provisional es el nivel recomendado para todas las actualizaciones de Windows NT 4.0. Consulte la sección "Procedimientos recomendados" de este artículo para obtener más información.

Establecer el nivel funcional del bosque provisional de Windows Server 2003

Windows Server 2003 provisional se puede activar de tres maneras diferentes. Los dos primeros métodos son muy recomendables. Esto se debe a que los grupos de seguridad usan la replicación de valores vinculados (LVR) después de actualizar el controlador de dominio principal (PDC) del dominio de Windows NT 4.0 a un controlador de dominio de Windows Server 2003. La tercera opción es menos recomendable porque la pertenencia a grupos de seguridad usa un único atributo con varios valores, lo que puede dar lugar a problemas de replicación. Las formas en que se puede activar Windows Server 2003 provisionalmente son:

  1. Durante la actualización.

    La opción se presenta en el Asistente para instalación de Dcpromo al actualizar el PDC de un dominio de Windows NT 4.0 que actúa como primer controlador de dominio en el dominio raíz de un nuevo bosque.

  2. Antes de actualizar el PDC de Windows NT 4.0 de Windows NT 4.0 como primer controlador de dominio de un nuevo dominio en un bosque existente configurando manualmente el nivel funcional del bosque mediante herramientas del Protocolo ligero de acceso a directorios (LDAP).

    Los dominios secundarios heredan la configuración de funcionalidad de todo el bosque del bosque al que se promueven. Actualizar el PDC de un dominio de Windows NT 4.0 como dominio secundario en un bosque de Windows Server 2003 existente donde se habían configurado niveles funcionales provisionales de bosque mediante el archivo Ldp.exe o el archivo Adsiedit.msc permite que los grupos de seguridad usen la replicación de valores vinculados después de la actualización de la versión del sistema operativo.

  3. Después de la actualización mediante herramientas LDAP.

    Use las dos últimas opciones al unir un bosque de Windows Server 2003 existente durante una actualización. Este es un escenario común cuando un dominio "raíz vacía" está en posición. El dominio actualizado se une como elemento secundario de la raíz vacía y hereda la configuración de dominio del bosque.

procedimientos recomendados

En la siguiente sección se describen los procedimientos recomendados para aumentar los niveles funcionales. La sección se divide en dos partes. "Tareas de preparación" describe el trabajo que debe realizar antes del aumento y "Aumento óptimo de rutas de acceso" describe las motivaciones y los métodos para diferentes escenarios de aumento de nivel.

Para detectar controladores de dominio de Windows NT 4.0, siga estos pasos:

  1. Desde cualquier controlador de dominio basado en Windows Server 2003, abra Usuarios y equipos de Active Directory.

  2. Si el controlador de dominio aún no está conectado al dominio adecuado, siga estos pasos para conectarse al dominio adecuado:

    1. Haga clic con el botón derecho en el objeto de dominio actual y, a continuación, haga clic en Conectar al dominio.
    2. En el cuadro de diálogo Dominio , escriba el nombre DNS del dominio al que desea conectarse y, a continuación, haga clic en Aceptar. O bien, haga clic en Examinar para seleccionar el dominio en el árbol de dominios y, a continuación, haga clic en Aceptar.

  3. Haga clic con el botón derecho en el objeto de dominio y, a continuación, haga clic en Buscar.

  4. En el cuadro de diálogo Buscar , haga clic en Búsqueda personalizada.

  5. Haga clic en el dominio para el que desea cambiar el nivel funcional.

  6. Haga clic en la pestaña Opciones avanzadas.

  7. En el cuadro Escribir consulta LDAP , escriba lo siguiente y no deje espacios entre ningún carácter: (&(objectCategory=computer)(operatingSystem Version=4*)(userAccountControl:1.2.840.113556.1.4.803:=8192))

    Nota:

    Esta consulta no distingue mayúsculas de minúsculas.

  8. Haga clic en Buscar ahora.

    Aparece una lista de los equipos del dominio que ejecutan Windows NT 4.0 y que funcionan como controladores de dominio.

Un controlador de dominio puede aparecer en la lista por cualquiera de los siguientes motivos:

  • El controlador de dominio ejecuta Windows NT 4.0 y debe actualizarse.
  • El controlador de dominio se actualiza a Windows Server 2003, pero el cambio no se replica en el controlador de dominio de destino.
  • El controlador de dominio ya no está en servicio, pero el objeto de equipo del controlador de dominio no se quita del dominio.

Para poder cambiar el nivel funcional de dominio a Windows Server 2003, debe localizar físicamente cualquier controlador de dominio en la lista, determinar el estado actual del controlador de dominio y, a continuación, actualizar o quitar el controlador de dominio según corresponda.

Nota:

A diferencia de los controladores de dominio de Windows Server 2000, los controladores de dominio de Windows NT 4.0 no bloquean un aumento de nivel. Al cambiar el nivel funcional del dominio, la replicación a los controladores de dominio de Windows NT 4.0 se detendrá. Sin embargo, al intentar aumentar al nivel de bosque de Windows Server 2003 con dominios de Windows Server 2000, se bloquea el nivel mixto. La falta de BDC de Windows NT 4.0 está implícita al cumplir el requisito de nivel de bosque de todos los dominios en el nivel nativo de Windows Server 2000 o posterior.

Ejemplo: Tareas de preparación antes del aumento del nivel

En este ejemplo, el entorno se genera desde el modo mixto de Windows Server 2000 al modo de bosque de Windows Server 2003.

Inventario del bosque para versiones anteriores de controladores de dominio.

Si no hay disponible una lista de servidores precisa, siga estos pasos:

  1. Para detectar dominios de nivel mixto, controladores de dominio de Windows Server 2000 o controladores de dominio con objetos dañados o que faltan, use dominios de Active Directory y el complemento MMC de confianza.
  2. En el complemento, haga clic en Generar funcionalidad del bosque y, a continuación, haga clic en Guardar como para generar un informe detallado.
  3. Si no se encontraron problemas, la opción para aumentar al nivel de bosque de Windows Server 2003 está disponible en la lista desplegable "Niveles funcionales del bosque disponibles". Al intentar elevar el nivel de bosque, los objetos de controlador de dominio de los contenedores de configuración buscan los controladores de dominio que no tengan msds-behavior-version establecido en el nivel de destino deseado. Se supone que son controladores de dominio de Windows Server 2000 o objetos de controlador de dominio de Windows Server más recientes que están dañados.
  4. Si se encontraron controladores de dominio de versión anteriores o controladores de dominio que han dañado o faltan objetos de equipo, se incluyen en el informe. El estado de estos controladores de dominio debe investigarse y la representación del controlador de dominio en Active Directory debe repararse o quitarse mediante el archivo Ntdsutil.

Para más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
216498 Eliminación de datos en Active Directory después de una degradación incorrecta del controlador de dominio

Compruebe que la replicación de un extremo a otro funciona en el bosque

Para comprobar que la replicación de un extremo a otro funciona en el bosque, use windows Server 2003 o la versión más reciente de Repadmin en windows Server 2000 o los controladores de dominio de Windows Server 2003:

  • Repadmin/Replsum * /Sort:Delta[/Errorsonly] para el inventario inicial.

  • Repadmin/Showrepl * /CSV>showrepl.csv. Importe a Excel y, a continuación, use el filtro Data-Autofilter> para identificar las características de replicación.

    Use herramientas de replicación como Repadmin para comprobar que la replicación en todo el bosque funciona correctamente.

Compruebe la compatibilidad de todos los programas o servicios con los controladores de dominio de Windows Server más recientes y con el modo de dominio y bosque de Windows Server superior. Use un entorno de laboratorio para probar exhaustivamente los programas de producción y los servicios para problemas de compatibilidad. Póngase en contacto con los proveedores para confirmar la funcionalidad.

Prepare un plan de retroceso que incluya una de las siguientes acciones:

  • Desconecte al menos dos controladores de dominio de cada dominio del bosque.
  • Cree una copia de seguridad de estado del sistema de al menos dos controladores de dominio de cada dominio del bosque.

Para poder usar el plan de retroceso, todos los controladores de dominio del bosque deben retirarse antes del proceso de recuperación.

Nota:

Los aumentos de nivel no se pueden restaurar de forma autoritativa. Esto significa que todos los controladores de dominio que han replicado el aumento de nivel deben retirarse.

Después de retirar todos los controladores de dominio anteriores, abra los controladores de dominio desconectados o restaure los controladores de dominio de la copia de seguridad. Quite los metadatos de todos los demás controladores de dominio y vuelva a reproducirlos. Se trata de un proceso difícil y debe evitarse.

Ejemplo: Cómo obtener del nivel mixto de Windows Server 2000 al nivel de bosque de Windows Server 2003

Aumente todos los dominios al nivel nativo de Windows Server 2000. Una vez completado esto, aumente el nivel funcional del dominio raíz del bosque a nivel de bosque de Windows Server 2003. Cuando el nivel de bosque se replica en los PDC de cada dominio del bosque, el nivel de dominio aumenta automáticamente al nivel de dominio de Windows Server 2003. Este método tiene las siguientes ventajas:

  • El aumento del nivel de todo el bosque solo se realiza una vez. No es necesario aumentar manualmente cada dominio del bosque al nivel funcional del dominio de Windows Server 2003.
  • Se realiza una comprobación de los controladores de dominio de Windows Server 2000 antes del aumento del nivel (consulte los pasos de preparación). El aumento se bloquea hasta que se quitan o actualizan los controladores de dominio del problema. Se puede generar un informe detallado enumerando los controladores de dominio de bloqueo y proporcionando datos accionables.
  • Se realiza una comprobación de dominios en el nivel intermedio de Windows Server 2000 o Windows Server 2003. El aumento se bloquea hasta que los niveles de dominio aumentan a al menos Windows Server 2000 nativo. Los dominios de nivel provisional deben aumentarse al nivel de dominio de Windows Server 2003. Un informe detallado se puede generar enumerando los dominios de bloqueo.

Actualizaciones de Windows NT 4.0

Las actualizaciones de Windows NT 4.0 siempre usan el nivel provisional durante la actualización del PDC a menos que se hayan introducido controladores de dominio de Windows Server 2000 en el bosque en el que se actualiza el PDC. Cuando se usa el modo provisional durante la actualización del PDC, los grupos grandes existentes usan la replicación LVR inmediatamente, evitando los posibles problemas de replicación que se describen anteriormente en este artículo. Use uno de los métodos siguientes para obtener el nivel provisional durante la actualización:

  • Seleccione el nivel provisional durante Dcpromo. Esta opción solo se presenta cuando el PDC se actualiza a un nuevo bosque.
  • Establezca el nivel de bosque de un bosque existente en provisional y, a continuación, únase al bosque durante la actualización del PDC. El dominio actualizado hereda la configuración del bosque.
  • Después de actualizar o quitar todos los BDC de Windows NT 4.0, cada dominio debe pasarse al nivel de bosque y se puede pasar al modo de bosque de Windows Server 2003.

Una razón para evitar el uso del modo provisional es si hay planes para implementar controladores de dominio de Windows Server 2000 después de la actualización, o en cualquier momento en el futuro.

Consideración especial para grupos grandes en Windows NT 4.0

En dominios de Windows NT 4.0 maduros, pueden existir grupos de seguridad que contienen mucho más de 5000 miembros. En Windows NT 4.0, cuando cambia un miembro de un grupo de seguridad, solo se replica el cambio único de pertenencia a los controladores de dominio de copia de seguridad. En Windows Server 2000, las pertenencias a grupos son atributos vinculados almacenados en un único atributo multivalor del objeto de grupo. Cuando se realiza un único cambio en la pertenencia de un grupo, todo el grupo se replica como una sola unidad. Dado que la pertenencia a grupos se replica como una sola unidad, existe la posibilidad de que las actualizaciones de la pertenencia a grupos se "pierdan" cuando se agregan o quitan diferentes miembros al mismo tiempo en distintos controladores de dominio. Además, el tamaño de este único objeto puede ser mayor que el búfer usado para confirmar una entrada en la base de datos. Para obtener más información, consulte la sección "Problemas del almacén de versiones con grupos grandes" de este artículo. Por estos motivos, el límite recomendado para los miembros del grupo es 5000.

La excepción a la regla de miembro 5000 es el grupo principal (de forma predeterminada se trata del grupo "Usuarios del dominio"). El grupo principal usa un mecanismo "calculado" basado en el "primarygroupID" del usuario para determinar la pertenencia. El grupo principal no almacena miembros como atributos vinculados con varios valores. Si el grupo principal del usuario se cambia a un grupo personalizado, su pertenencia al grupo Usuarios del dominio se escribe en el atributo vinculado del grupo y ya no se calcula. El nuevo grupo principal Rid se escribe en "primarygroupID" y el usuario se quita del atributo miembro del grupo.

Si el administrador no selecciona el nivel provisional para el dominio de actualización, debe seguir estos pasos antes de la actualización:

  1. Realice un inventario de todos los grupos grandes e identifique los grupos de más de 5000, excepto el grupo de usuarios del dominio.
  2. Todos los grupos que tienen más de 5000 miembros deben dividirse en grupos más pequeños de menos de 5000 miembros.
  3. Busque todas las listas de control de acceso en las que se especificaron los grupos grandes y agregue los grupos pequeños que creó en el paso 2.Windows Server 2003 provisional, evita que los administradores tengan que detectar y reasignar grupos de seguridad globales con más de 5000 miembros.

Problemas del almacén de versiones con grupos grandes

Durante las operaciones de larga duración, como búsquedas profundas o confirmaciones en un único atributo grande, Active Directory debe asegurarse de que el estado de la base de datos sea estático hasta que finalice la operación. Un ejemplo de búsquedas profundas o confirmaciones en atributos grandes es un grupo grande que usa almacenamiento heredado.

A medida que las actualizaciones de la base de datos se producen continuamente localmente y desde asociados de replicación, Active Directory proporciona un estado estático mediante la puesta en cola de todos los cambios entrantes hasta que finalice la operación de ejecución prolongada. En cuanto finalice la operación, los cambios en cola se aplicarán a la base de datos.

La ubicación de almacenamiento de estos cambios en cola se conoce como "almacén de versiones" y es de aproximadamente 100 megabytes. El tamaño del almacén de versiones varía y se basa en la memoria física. Si una operación de larga duración no finaliza antes de que se agote el almacén de versiones, el controlador de dominio dejará de aceptar actualizaciones hasta que se confirme la operación de ejecución prolongada y se confirmen los cambios en cola. Los grupos que alcanzan grandes números (más de 5000 miembros) ponen el controlador de dominio en riesgo de agotar el almacén de versiones siempre que se confirme el grupo grande.

Windows Server 2003 presenta un nuevo mecanismo de replicación para atributos vinculados con varios valores que se denomina replicación de valores de vínculo (LVR). En lugar de replicar todo el grupo en una sola operación de replicación, LVR soluciona este problema mediante la replicación de cada miembro del grupo como una operación de replicación independiente. LVR está disponible cuando el nivel funcional del bosque se eleva al nivel de bosque provisional de Windows Server 2003 o al nivel de bosque de Windows Server 2003. En este nivel funcional, LVR se usa para replicar grupos entre controladores de dominio de Windows Server 2003.