次の方法で共有

Windows 2000 ドメイン コントローラーを Windows Server 2003 にアップグレードする方法

  • [アーティクル]

この記事では、Microsoft Windows 2000 ドメイン コントローラーを Windows Server 2003 にアップグレードする方法と、Windows 2000 ドメインに新しい Windows Server 2003 ドメイン コントローラーを追加する方法について説明します。

元の KB 番号: 325379

まとめ

この記事では、Microsoft Windows 2000 ドメイン コントローラーを Windows Server 2003 にアップグレードする方法と、Windows 2000 ドメインに新しい Windows Server 2003 ドメイン コントローラーを追加する方法について説明します。 ドメイン コントローラーを Windows Server 2008 または Windows Server 2008 R2 にアップグレードする方法の詳細については、次の Microsoft Web サイトを参照してください。

ドメイン コントローラーのアップグレード: Microsoft サポート Windows Server 2008 または Windows Server 2008 R2 ドメイン コントローラーを既存のドメインに追加するためのクイック スタート

ドメインとフォレストのインベントリ

Windows 2000 ドメイン コントローラーを Windows Server 2003 にアップグレードする前、または Windows 2000 ドメインに新しい Windows Server 2003 ドメイン コントローラーを追加する前に、次の手順に従います。

  1. SMB 署名との互換性のために、Windows Server 2003 ドメイン コントローラーをホストするドメイン内のリソースにアクセスするクライアントのインベントリを作成します。

    各 Windows Server 2003 ドメイン コントローラーは、ローカル セキュリティ ポリシーで SMB 署名を有効にします。 SMB/CIFS プロトコルを使用して、Windows Server 2003 ドメイン コントローラーをホストするドメイン内の共有ファイルとプリンターにアクセスするすべてのネットワーク クライアントを、SMB 署名をサポートするように構成またはアップグレードできることを確認します。 できない場合は、更新プログラムをインストールできるまで、またはクライアントを SMB 署名をサポートする新しいオペレーティング システムにアップグレードできるようになるまで、SMB 署名を一時的に無効にします。 SMB 署名を無効にする方法については、この手順の最後にある「 SMB 署名を無効にする 」セクションを参照してください。

    アクション プラン

    次の一覧は、一般的な SMB クライアントのアクション プランを示しています。

    • Microsoft Windows Server 2003、Microsoft Windows XP Professional、Microsoft Windows 2000 Server、Microsoft Windows 2000 Professional、Microsoft Windows 98

      必要なアクションはありません。

    • Windows SERVER 2003 ベースのコンピューターを含むドメインにアクセスするすべての Windows NT 4.0 ベースのコンピューターに、Microsoft Windows NT 4.0 Service Pack 3 以降 (Service Pack 6A をお勧めします) をインストールします。 代わりに、Windows Server 2003 ドメイン コントローラーで SMB 署名を一時的に無効にします。 SMB 署名を無効にする方法については、この手順の最後にある「 SMB 署名を無効にする 」セクションを参照してください。

    • Microsoft Windows 95

      Windows 9 x ディレクトリ サービス クライアントを Windows 95 ベースのコンピューターにインストールするか、Windows Server 2003 ドメイン コントローラーで SMB 署名を一時的に無効にします。 元の Win9 x ディレクトリ サービス クライアントは、Windows 2000 Server CD-ROM で使用できます。 ただし、そのクライアント アドオンは、強化された Win9 x ディレクトリ サービス クライアントに置き換えられました。 SMB 署名を無効にする方法については、この手順の最後にある「 SMB 署名を無効にする 」セクションを参照してください。

    • MS-DOS および Microsoft LAN Manager クライアント用の Microsoft ネットワーク クライアント

      MS-DOS 用 Microsoft Network Client と Microsoft LAN Manager 2.x ネットワーク クライアントを使用してネットワーク リソースへのアクセスを提供したり、起動可能なフロッピー ディスクと組み合わせて、ソフトウェア インストール ルーチンの一部としてオペレーティング システム ファイルやその他のファイルをファイル サーバー上の共有ディレクトリからコピーしたりできます。 これらのクライアントは SMB 署名をサポートしていません。 別のインストール方法を使用するか、SMB 署名を無効にします。 SMB 署名を無効にする方法については、この手順の最後にある「 SMB 署名を無効にする 」セクションを参照してください。

    • Macintosh クライアント

      一部の Macintosh クライアントは SMB 署名に互換性がありません。ネットワーク リソースに接続しようとすると、次のエラー メッセージが表示されます。

      - エラー -36 I/O

      利用可能な場合は、更新されたソフトウェアをインストールします。 それ以外の場合は、Windows Server 2003 ドメイン コントローラーで SMB 署名を無効にします。 SMB 署名を無効にする方法については、この手順の最後にある「 SMB 署名を無効にする 」セクションを参照してください。

    • その他のサード パーティの SMB クライアント

      一部のサード パーティの SMB クライアントでは、SMB 署名がサポートされていません。 SMB プロバイダーに問い合わせて、更新されたバージョンが存在するかどうかを確認してください。 それ以外の場合は、Windows Server 2003 ドメイン コントローラーで SMB 署名を無効にします。

    SMB 署名を無効にするには

    Windows 95、Windows NT 4.0、または Windows Server 2003 の導入前にインストールされたその他のクライアントを実行している影響を受けるドメイン コントローラーにソフトウェア更新プログラムをインストールできない場合は、更新されたクライアント ソフトウェアを展開できるようになるまで、グループ ポリシーの SMB サービス署名要件を一時的に無効にします。

    ドメイン コントローラー組織単位の既定のドメイン コントローラー ポリシーの次のノードで SMB サービスの署名を無効にすることができます。コンピューターの構成\Windows 設定\セキュリティ設定\ローカル ポリシー\セキュリティ オプション\Microsoft Network Server:

    通信にデジタル署名する (常に)

    ドメイン コントローラーがドメイン コントローラーの組織単位にない場合は、既定のドメイン コントローラーのグループ ポリシー オブジェクト (GPO) を、Windows 2000 または Windows Server 2003 ドメイン コントローラーをホストするすべての組織単位にリンクする必要があります。 または、それらの組織単位にリンクされている GPO で SMB サービスの署名を構成することもできます。

  2. ドメイン内およびフォレスト内のドメイン コントローラーのインベントリを作成します。

    1. フォレスト内のすべての Windows 2000 ドメイン コントローラーに、適切な修正プログラムとサービス パックがすべてインストールされていることを確認します。

      Microsoft では、すべての Windows 2000 ドメイン コントローラーで Windows 2000 Service Pack 4 (SP4) 以降のオペレーティング システムを実行することをお勧めします。 Windows 2000 SP4 以降を完全に展開できない場合、すべての Windows 2000 ドメイン コントローラー must には、日付スタンプとバージョンが 2001 年 6 月 4 日および 5.0.2195.3673 より後のNtdsa.dll ファイルがあります。

      既定では、Windows 2000 SP4、Windows XP、および Windows Server 2003 クライアント コンピューターの Active Directory 管理ツールでは、ライトウェイト ディレクトリ アクセス プロトコル (LDAP) 署名が使用されます。 このようなコンピューターが Windows 2000 ドメイン コントローラーをリモートで管理するときに NTLM 認証を使用する (またはフォールバックする) 場合、接続は機能しません。 この動作を解決するには、リモートで管理されるドメイン コントローラーに少なくとも Windows 2000 SP3 がインストールされている必要があります。 それ以外の場合は、管理ツールを実行するクライアントで LDAP 署名をオフにする必要があります。

      次のシナリオでは、NTLM 認証を使用します。

      • NTLM (Kerberos 以外) の信頼によって接続されている外部フォレストにある Windows 2000 ドメイン コントローラーを管理します。
      • Microsoft 管理コンソール (MMC) スナップインは、その IP アドレスによって参照される特定のドメイン コントローラーに対して優先されます。 たとえば、 Start をクリックし、 Run をクリックし、次のコマンドを入力します。 dsa.msc /server=ipaddress

      Active Directory ドメイン内の Active Directory ドメイン コントローラーのオペレーティング システムと Service Pack リビジョン レベルを確認するには、Windows Server 2003 バージョンのRepadmin.exeをフォレスト内の Windows XP Professional または Windows Server 2003 メンバー コンピューターにインストールし、フォレスト内の各ドメインのドメイン コントローラーに対して次の repadmin コマンドを実行します。

      >repadmin /showattr <name of the domain controller that is in the target domain> ncobj:domain: /filter:"(&(objectCategory=computer)(primaryGroupID=516))" /subtree /atts:operatingSystem,operatingSystemVersion,operatingSystemServicePack

DN: CN=NA-DC-01,organizational unit=Domain Controllers,DC=company,DC=com
 1> operatingSystem: Windows Server 2003
 1> operatingSystemVersion: 5.2 (3718)
DN: CN=NA-DC-02,organizational unit=Domain Controllers,DC=company,DC=com
 1> operatingSystem: Windows 2000 Server
 1> operatingSystemVersion: 5.0 (2195)
 1> operatingSystemServicePack: Service Pack 1

      Note

      ドメイン コントローラーの属性は、個々の修正プログラムのインストールを追跡しません。

    2. フォレスト全体のエンド ツー エンドの Active Directory レプリケーションを確認します。

      アップグレードされたフォレスト内の各ドメイン コントローラーが、ローカルに保持されているすべての名前付けコンテキストを、サイト リンクまたは接続オブジェクトが定義するスケジュールと一貫してパートナーとレプリケートすることを確認します。 フォレスト内の Windows XP または Windows Server 2003 ベースのメンバー コンピューターで、Windows Server 2003 バージョンのRepadmin.exeを使用します。フォレスト内のすべてのドメイン コントローラーは、エラーなしで Active Directory をレプリケートする必要があり、repadmin 出力の "最大差分" 列の値は、特定の宛先ドメインで使用される対応するサイト リンクまたは接続オブジェクトのレプリケーション頻度よりも大幅に大きくなりません。コントローラ。

      受信レプリケートに失敗したドメイン コントローラー間のすべてのレプリケーション エラーを、Tombstone Lifetime (TSL) 日数 (既定では 60 日) 未満で解決します。 レプリケーションを機能させることができない場合は、Ntdsutil メタデータ クリーンアップ コマンドを使用してドメイン コントローラーを強制的に降格し、フォレストから削除してから、フォレストに昇格させる必要があります。 強制的な降格を使用して、オペレーティング システムのインストールと孤立したドメイン コントローラー上にあるプログラムの両方を保存できます。 孤立した Windows 2000 ドメイン コントローラーをドメインから削除する方法の詳細については、Microsoft サポート技術情報の記事を表示するには、次の資料番号をクリックしてください。

      216498: ドメイン コントローラーの降格に失敗した後、Active Directory のデータを削除する方法

      このアクションは、オペレーティング システムとインストールされているプログラムのインストールを回復するための最後の手段としてのみ実行します。 ユーザー、コンピューター、信頼関係、パスワード、グループ、グループ メンバーシップなど、孤立したドメイン コントローラー上の未更新のオブジェクトと属性が失われます。

      特定の Active Directory パーティションの受信変更をレプリケートしていないドメイン コントローラーで、 tombstonelifetime 日数を超えるレプリケーション エラーを解決しようとするときは注意してください。 これを行うと、1 つのドメイン コントローラーで削除されたが、直接または推移的なレプリケーション パートナーが過去 60 日間に削除を受け取らなかったオブジェクトを再アニメーション化できます。

      過去 60 日間に受信レプリケーションを実行していないドメイン コントローラー上にある残留オブジェクトを削除することを検討してください。 または、廃棄ストーンの有効期間日数で特定のパーティションで受信レプリケーションを実行していないドメイン コントローラーを強制的に降格し、Ntdsutil やその他のユーティリティを使用して Active Directory フォレストから残りのメタデータを削除することもできます。 その他のヘルプについては、サポート プロバイダーまたは Microsoft PSS にお問い合わせください。

    3. Sysvol 共有の内容に一貫性があることを確認します。

      グループ ポリシーのファイル システム部分に一貫性があることを確認します。 リソース キットのGpotool.exeを使用して、ドメイン全体のポリシーに不整合があるかどうかを判断できます。 Windows Server 2003 サポート ツールの正常性チェックを使用して、Sysvol 共有レプリカ セットが各ドメインで正しく機能するかどうかを判断します。

      Sysvol 共有の内容に一貫性がない場合は、すべての不整合を解決します。

    4. サポート ツールのDcdiag.exeを使用して、すべてのドメイン コントローラーが Netlogon 共有と Sysvol 共有を持っていることを確認します。 そのためには、コマンド プロンプトで次のコマンドを入力します。

      DCDIAG.EXE /e /test:frssysvol

    5. 操作ロールのインベントリを作成します。

      スキーマおよびインフラストラクチャ操作マスターは、フォレストとドメイン全体のスキーマ変更を、Windows Server 2003 adprep ユーティリティによって行われるフォレストとそのドメインに導入するために使用されます。 フォレスト内の各ドメインのスキーマ ロールとインフラストラクチャ ロールをホストするドメイン コントローラーがライブ ドメイン コントローラーに存在し、各ロール所有者が最後に再起動されてからすべてのパーティションに対して受信レプリケーションを実行していることを確認します。

      DCDIAG /test:FSMOCHECK コマンドを使用して、フォレスト全体およびドメイン全体の運用ロールを表示できます。 存在しないドメイン コントローラーに存在する操作マスター の役割は、NTDSUTIL を使用して正常なドメイン コントローラーに押し付ける必要があります。 異常なドメイン コントローラーに存在するロールは、可能であれば転送する必要があります。 それ以外の場合は、押収する必要があります。 NETDOM QUERY FSMO コマンドは、削除されたドメイン コントローラーに存在する FSMO ロールを識別しません。

      最後に起動してから Active Directory の受信レプリケーションが実行されていることを確認します。 受信レプリケーションは、 REPADMIN /SHOWREPS DCNAME コマンドを使用して検証できます。ここで、 DCNAME は NetBIOS コンピューター名またはドメイン コントローラーの完全修飾コンピューター名です。 操作マスターとその配置の詳細については、次の資料番号をクリックして、Microsoft サポート技術情報の記事を表示します。

      Windows 2000 Active Directory FSMO ロールの197132

      Active Directory ドメイン コントローラーでの FSMO の配置と最適化の223346

    6. EventLog レビュー

      問題のあるイベントがないか、すべてのドメイン コントローラーのイベント ログを調べます。 イベント ログには、次のプロセスとコンポーネントの問題を示す重大なイベント メッセージを含めてはなりません。

      物理接続
      ネットワーク接続
      名前の登録
      名前解決
      認証
      グループ ポリシー
      セキュリティ ポリシー
      ディスク サブシステム
      schema
      トポロジ
      レプリケーション エンジン

    7. ディスク領域インベントリ

      Active Directory データベース ファイル Ntds.dit をホストするボリュームには、Ntds.dit ファイル サイズの 15 ~ 20% 以上の空き領域が必要です。 Active Directory ログ ファイルをホストするボリュームには、Ntds.dit ファイル サイズの 15 ~ 20% 以上の空き領域も必要です。 追加のディスク領域を解放する方法の詳細については、この記事の「十分なディスク領域のないドメイン コントローラー」セクションを参照してください。

    8. DNS の清掃 (省略可能)

      フォレスト内のすべての DNS サーバーに対して 7 日間隔で DNS の清掃を有効にします。 最良の結果を得るには、オペレーティング システムをアップグレードする 61 日以上前にこの操作を実行してください。 これにより、Ntds.dit ファイルでオフライン最適化が実行されたときに、期限切れの DNS オブジェクトをガベージ コレクトするのに十分な時間が DNS 清掃デーモンに提供されます。

    9. DLT サーバー サービスを無効にする (省略可能)

      DLT Server サービスは、Windows Server 2003 ドメイン コントローラーの新規およびアップグレードされたインストールで無効になります。 分散リンクの追跡を使用しない場合は、Windows 2000 ドメイン コントローラーで DLT Server サービスを無効にし、フォレスト内の各ドメインから DLT オブジェクトの削除を開始できます。 詳細については、「Microsoft サポート技術情報: Windows ベースのドメイン コントローラーでの分散リンク追跡の 312403 」の「Microsoft Recommendations for distributed link tracking」セクションを参照してください。

    10. システム状態のバックアップ

      フォレスト内のすべてのドメインで、少なくとも 2 つのドメイン コントローラーのシステム状態バックアップを作成します。 アップグレードが機能しない場合は、バックアップを使用してフォレスト内のすべてのドメインを回復できます。

Windows 2000 フォレストの Microsoft Exchange 2000

Note

  • Windows 2000 フォレストに Exchange 2000 Server がインストールされている場合、またはインストールされる場合は、Windows Server 2003 adprep /forestprep コマンドを実行する前に、このセクションをお読みください。
  • Microsoft Exchange Server 2003 スキーマの変更がインストールされる場合は、Windows Server 2003 adprep コマンドを実行する前に、「Overview: Upgrading Windows 2000 domain controllers to Windows Server 2003」セクションを参照してください。

Exchange 2000 スキーマでは、コメント要求 (RFC) に準拠していない LDAPDisplayNames (houseIdentifier、secretary、labeledURI) で 3 つの inetOrgPerson 属性が定義されています。

Windows 2000 inetOrgPerson Kit と Windows Server 2003 adprep コマンドは、RFC 準拠以外のバージョンと同じ LDAPDisplayNames を持つ同じ 3 つの属性の RFC クレーム バージョンを定義します。

Windows 2000 および Exchange 2000 スキーマが変更されたフォレストで修正スクリプトなしで Windows Server 2003 adprep /forestprep コマンドを実行すると、houseIdentifier、labeledURI、および secretary 属性の LDAPDisplayNames が壊れてしまいます。 "Dup" またはその他の一意の文字が競合する属性名の先頭に追加され、ディレクトリ内のオブジェクトと属性が一意の名前になるようにすると、属性は "マングル" になります。

Active Directory フォレストは、次の場合にこれらの属性に対して管理された LDAPDisplayNames に対して脆弱ではありません。

  • Exchange 2000 スキーマを追加する前に、Windows 2000 スキーマを含むフォレストで Windows Server 2003 adprep /forestprep コマンドを実行する場合。
  • Windows Server 2003 ドメイン コントローラーがフォレスト内の最初のドメイン コントローラーであった場所に作成されたフォレストに Exchange 2000 スキーマをインストールする場合。
  • Windows 2000 スキーマを含むフォレストに Windows 2000 inetOrgPerson Kit を追加し、Exchange 2000 スキーマの変更をインストールした後、Windows Server 2003 adprep /forestprep コマンドを実行します。
  • 既存の Windows 2000 フォレストに Exchange 2000 スキーマを追加する場合は、Windows Server 2003 adprep /forestprep コマンドを実行する前に Exchange 2003 /forestprep を実行します。

マングル属性は、次の場合に Windows 2000 で発生します。

  • Windows 2000 inetOrgPerson Kit をインストールする前に、Exchange 2000 バージョンの labeledURI、houseIdentifier、および秘書属性を Windows 2000 フォレストに追加する場合。
  • 最初にクリーンアップ スクリプトを実行せずに Windows Server 2003 adprep /forestprep コマンドを実行する前に、Windows 2000 フォレストに、Exchange 2000 バージョンの labeledURI、houseIdentifier、および秘書属性を追加します。 各シナリオのアクション プランは次のとおりです。

シナリオ 1: Windows Server 2003 adprep /forestprep コマンドを実行した後、Exchange 2000 スキーマの変更が追加される

Windows Server 2003 adprep /forestprep コマンドの実行後に Exchange 2000 スキーマの変更が Windows 2000 フォレストに導入される場合、クリーンアップは必要ありません。 「Overview: Windows 2000 ドメイン コントローラーの Windows Server 2003 へのアップグレード」セクションに移動します。

シナリオ 2: Windows Server 2003 adprep /forestprep コマンドの前に Exchange 2000 スキーマの変更がインストールされる

Exchange 2000 スキーマの変更が既にインストールされているが、Windows Server 2003 adprep /forestprep コマンドを実行していない場合は、次のアクション プランを検討してください。

  1. Schema Admins セキュリティ グループのメンバーであるアカウントを使用して、スキーマ操作マスターのコンソールにログオンします。

  2. [開始] をクリック、[実行] をクリックし、[開く] ボックスに「notepad.exe」と入力し、[OK] をクリック

  3. "schemaUpdateNow: 1" の後の末尾のハイフンを含む次のテキストをメモ帳にコピーします。

    dn: CN=ms-Exch-Assistant-Name,CN=Schema,CN=Configuration,DC=X
    changetype: Modify
    replace:LDAPDisplayName
    LDAPDisplayName: msExchAssistantName
    -

    dn: CN=ms-Exch-LabeledURI,CN=Schema,CN=Configuration,DC=X
    changetype: Modify
    replace: LDAPDisplayName
    LDAPDisplayName: msExchLabeledURI
    -

    dn: CN=ms-Exch-House-Identifier,CN=Schema,CN=Configuration,DC=X
    changetype: Modify
    replace: LDAPDisplayName
    LDAPDisplayName: msExchHouseIdentifier
    -

    dn:
    changetype: Modify
    add: schemaUpdateNow
    schemaUpdateNow: 1
    -

  4. 各行の末尾にスペースがないことを確認します。

  5. [ファイル] メニューの [保存] をクリックします。 [名前を付けて保存] ダイアログ ボックスで、次の手順を実行します。

    1. [ File 名 ボックスに、「 \%userprofile%\InetOrgPersonPrevent.ldf」と入力します。
    2. [種類として保存ボックスで、[すべてのファイル] をクリックします。
    3. [ Encoding ボックスで、 Unicode をクリックします。
    4. [保存] をクリックします。
    5. メモ帳を終了します。

  6. InetOrgPersonPrevent.ldf スクリプトを実行します。

    1. [開始をクリックし、実行をクリックし、[開く] ボックスに「cmd」と入力し、[OK] をクリック

    2. コマンド プロンプトで、次のように入力し、Enter キーを押します。 cd %userprofile%

    3. 次のコマンドを入力します。

    c:\documents and settings\%username%>ldifde -i -f inetorgpersonprevent.ldf -v -c DC=X "domain name path for forest root domain"

    構文に関する注意事項:

    • DC=X は、大文字と小文字を区別する定数です。
    • ルート ドメインのドメイン名パスは引用符で囲む必要があります。

    たとえば、フォレスト ルート ドメインが TAILSPINTOYS.COM Active Directory フォレストのコマンド構文は次のようになります。

    c:\documents and settings\administrator>ldifde -i -f inetorgpersonprevent.ldf -v -c DC=X "dc=tailspintoys,dc=com"

    Note

    次のエラー メッセージが表示された場合は、 Schema Update Allowed レジストリ サブキーの変更が必要になる場合があります。レジストリ キーが設定されていないか、DC がスキーマ FSMO ロール所有者ではないため、この DC でスキーマ更新が許可されていません。

  7. Windows Server 2003 adprep /forestprep コマンドを実行する前に、スキーマの名前付けコンテキストの CN=ms-Exch-Assistant-Name、CN=ms-Exch-LabeledURI、および CN=ms-Exch-House-Identifier 属性の LDAPDisplayName が msExchAssistantName、msExchLabeledURI、および msExchHouseIdentifier として表示されることを確認します。

  8. Overview: Windows 2000 ドメイン コントローラーの Windows Server 2003 へのアップグレード」セクションに移動して、 adprep /forestprep コマンドと /domainprep コマンドを実行します。

シナリオ 3: 最初に inetOrgPersonFix を実行せずに Windows Server 2003 forestprep コマンドを実行した

Exchange 2000 スキーマの変更を含む Windows 2000 フォレストで Windows Server 2003 adprep /forestprep コマンドを実行すると、houseIdentifier、secretary、labeledURI の LDAPDisplayName 属性が壊れてしまいます。 マングルされた名前を識別するには、Ldp.exeを使用して影響を受ける属性を見つけます。

  1. Microsoft Windows 2000 または Windows Server 2003 メディアの Support\Tools フォルダーからLdp.exeをインストールします。

  2. フォレスト内のドメイン コントローラーまたはメンバー コンピューターからLdp.exeを開始します。

    1. [Connection] メニューの [Connect] をクリックし、[Server] ボックスを空のままにして、[Port] ボックスに「389」と入力し、[OK] をクリック
    2. [ Connection メニューの Bind をクリックし、すべてのボックスを空のままにして、[ OK] をクリック

  3. SchemaNamingContext 属性の識別名パスを記録します。 たとえば、CORP.ADATUM.COM フォレスト内のドメイン コントローラーの場合、識別名パスは CN=Schema,CN=Configuration,DC=corp,DC=company,DC=com です。

  4. [ Browse メニューの [ Search] をクリックします。

  5. 次の設定を使用して、[ 検索 ] ダイアログ ボックスを構成します。

    • ベース DN: 手順 3 で識別されるスキーマ名前付けコンテキストの識別名パス。
    • Filter: (ldapdisplayname=dup*)
    • スコープ: サブツリー

  6. Mangled houseIdentifier、secretary、labeledURI 属性には、次の形式に似た LDAPDisplayName 属性があります。

    LDAPDisplayName: DUP-labeledURI-9591bbd3-d2a6-4669-afda-48af7c35507d;
    LDAPDisplayName: DUP-secretary-c5a1240d-70c0-455c-9906-a4070602f85f
    LDAPDisplayName: DUP-houseIdentifier-354b0ca8-9b6c-4722-aae7-e66906cc9eef

  7. 手順 6 で labeledURI、secretary、houseIdentifier の LDAPDisplayNames が壊れた場合は、Windows Server 2003 InetOrgPersonFix.ldf スクリプトを実行して回復し、「Winnt32.exeを使用した Windows 2000 ドメイン コントローラーのアップグレード」セクションに進みます。

    1. %Systemdrive%\IOP という名前のフォルダーを作成し、InetOrgPersonFix.ldf ファイルをこのフォルダーに抽出します。

    2. コマンド プロンプトで、「cd %systemdrive%\iop」と入力します。

    3. Windows Server 2003 インストール メディアの Support\Tools フォルダーにあるSupport.cab ファイルから InetOrgPersonFix.ldf ファイルを抽出します。

    4. スキーマ操作マスターのコンソールから、Ldifde.exeを使用して InetOrgPersonFix.ldf ファイルを読み込み、houseIdentifier、secretary、および labeledURI 属性の LdapDisplayName 属性を修正します。 これを行うには、次のコマンドを入力します。ここで、 <X> は大文字と小文字を区別する定数で、フォレスト ルート ドメインの場合は <dn パス> はフォレストのルート ドメインのドメイン名パスです。

      C:\IOP>ldifde -i -f inetorgpersonfix.ldf -v -c DC=X "domain name path for forest root domain"

      構文に関する注意事項:

      • DC=X は、大文字と小文字を区別する定数です。
      • フォレスト ルート ドメインのドメイン名パスは引用符で囲む必要があります。

  8. Exchange 2000 をインストールする前に、スキーマの名前付けコンテキストの houseIdentifier、secretary、labeledURI 属性が "mangled" でないことを確認します。

概要: Windows 2000 ドメイン コントローラーを Windows Server 2003 にアップグレードする

Windows Server 2003 メディアの \I386 フォルダーから実行する Windows Server 2003 adprep コマンドは、Windows Server 2003 ドメイン コントローラーを追加するために Windows 2000 フォレストとそのドメインを準備します。 Windows Server 2003 adprep /forestprep コマンドは、次の機能を追加します。

  • オブジェクト クラスの既定のセキュリティ記述子が改善されました

  • 新しいユーザー属性とグループ属性

  • inetOrgPerson のような新しい Schema オブジェクトと属性 adprep ユーティリティでは、次の 2 つのコマンド ライン引数がサポートされます。

    • adprep /forestprep: フォレストのアップグレード操作を実行します。
    • dprep /domainprep: ドメインのアップグレード操作を実行します。

adprep /forestprep コマンドは、フォレストのスキーマ操作マスター (FSMO) で実行される 1 回限りの操作です。 フォレストの準備操作は、そのドメインで adprep /domainprep を実行する前に、各ドメインのインフラストラクチャ マスターに完了してレプリケートする必要があります。

adprep /domainprep コマンドは、新規またはアップグレードされた Windows Server 2003 ドメイン コントローラーをホストするフォレスト内の各ドメインのインフラストラクチャ操作マスター ドメイン コントローラーで実行する 1 回限りの操作です。 adprep /domainprep コマンドは、forestprep からの変更がドメイン パーティションにレプリケートされたことを確認し、Sysvol 共有のドメイン パーティションとグループ ポリシーに独自の変更を加えます。

/forestprep 操作と /domainprep 操作が完了し、そのドメイン内のすべてのドメイン コントローラーにレプリケートされていない限り、次のいずれかの操作を実行することはできません。

  • Winnt32.exeを使用して、Windows 2000 ドメイン コントローラーを Windows Server 2003 ドメイン コントローラーにアップグレードします。

Note

必要に応じて、Windows 2000 メンバー サーバーとコンピューターを Windows Server 2003 メンバー コンピューターにアップグレードできます。 Dcpromo.exeを使用して、新しい Windows Server 2003 ドメイン コントローラーをドメインに昇格させます。スキーマ操作マスターをホストするドメインは、 adprep /forestprepadprep /domainprepの両方を実行する必要がある唯一のドメインです。 その他のすべてのドメインでは、 adprep /domainprepを実行するだけで済む。

adprep /forestprepコマンドと adprep /domainprep コマンドでは、グローバル カタログ部分属性セットに属性が追加されたり、グローバル カタログが完全に同期されたりすることはありません。 RTM バージョンの adprep /domainprep では、Sysvol ツリー内の \Policies フォルダーが完全に同期されます。 forestprep と domainprep を複数回実行した場合でも、完了した操作は 1 回だけ実行されます。

adprep /forestprepadprep /domainprepの変更が完全にレプリケートされた後、Windows Server 2003 メディアの \I386 フォルダーからWinnt32.exeを実行することで、Windows 2000 ドメイン コントローラーを Windows Server 2003 にアップグレードできます。 また、Dcpromo.exeを使用して、新しい Windows Server 2003 ドメイン コントローラーをドメインに追加することもできます。

adprep /forestprep コマンドを使用したフォレストのアップグレード

Windows Server 2003 ドメイン コントローラーを受け入れるように Windows 2000 フォレストとドメインを準備するには、まずラボ環境で、次に運用環境で次の手順を実行します。

  1. 次の項目に特に注意して、"フォレスト インベントリ" フェーズのすべての操作が完了していることを確認します。

    1. システム状態バックアップを作成しました。
    2. フォレスト内のすべての Windows 2000 ドメイン コントローラーには、すべての適切な修正プログラムとサービス パックがインストールされています。
    3. フォレスト全体で Active Directory のエンド ツー エンド レプリケーションが行われている
    4. FRS は、各ドメイン全体でファイル システム ポリシーを正しくレプリケートします。

  2. Schema Admins セキュリティ グループのメンバーであるアカウントを使用して、スキーマ操作マスターのコンソールにログオンします。

  3. Windows NT コマンド プロンプトで次のように入力して、スキーマ FSMO がスキーマ パーティションの受信レプリケーションを実行したことを確認します。 repadmin /showreps

    ( repadmin は Active Directory の Support\Tools フォルダーによってインストールされます。

  4. 初期の Microsoft ドキュメントでは、 adprep /forestprepを実行する前に、プライベート ネットワークでスキーマ操作マスターを分離することをお勧めします。 実際のエクスペリエンスでは、この手順は必要ではなく、プライベート ネットワークで再起動されたときにスキーマ操作マスターがスキーマの変更を拒否する可能性があることを示唆しています。

  5. スキーマ操作マスターで adprep を実行します。 これを行うには、 Start をクリックし、 Run をクリックし、「 cmd」と入力して、 OK をクリックします。 スキーマ操作マスターで、次のコマンドを入力します。

     X:\I386\adprep /forestprep

    ここで、 X:\I386\ は Windows Server 2003 インストール メディアのパスです。 このコマンドは、フォレスト全体のスキーマ アップグレードを実行します。

    Note

    次のサンプルのような、ディレクトリ サービス イベント ログに記録されるイベント ID 1153 のイベントは無視できます。

  6. adprep /forestprep コマンドがスキーマ操作マスターで正常に実行されたことを確認します。 これを行うには、スキーマ操作マスターのコンソールから、次の項目を確認します。 - adprep /forestprep コマンドはエラーなしで完了しました。 - CN=Windows2003Update オブジェクトは、CN=ForestUpdates,CN=Configuration,DC= forest_root_domainの下に書き込まれます。 Revision 属性の値を記録します。 - (省略可能) スキーマ のバージョンがバージョン 30 にインクリメントされました。 これを行うには、CN=Schema,CN=Configuration,DC= forest_root_domainの ObjectVersion 属性を参照してください。 adprep /forestprep が実行されない場合は、次の項目を確認します。

    • インストール メディアの \I386 フォルダーにあるAdprep.exeの完全修飾パスは、 adprep 実行時に指定されました。 これを行うには、次のコマンドを入力します。

      x:\i386\adprep /forestprep

      ここで x はインストール メディアをホストするドライブです。

    • adprep を実行するログオン ユーザーには、Schema Admins セキュリティ グループへのメンバーシップがあります。 これを確認するには、 whoami /all コマンドを使用します。

    • それでも adprep 機能しない場合は、%systemroot%\System32\Debug\Adprep\Logs\Latest_log フォルダー内のAdprep.log ファイルを表示します。

  7. 手順 4 でスキーマ操作マスターの送信レプリケーションを無効にした場合は、レプリケーションを有効にして、 adprep /forestprep によって行われたスキーマの変更を反映できるようにします。 これを行うには、次の手順に従います。

    1. [スタート]ボタン、 [ファイル名を指定して実行]の順にクリックし、「 cmd」と入力して、 [OK]をクリックします。
    2. 次のように入力し、Enter キーを押します:repadmin /options -DISABLE_OUTBOUND_REPL

  8. フォレスト内のすべてのドメイン コントローラーで adprep /forestprep の変更がレプリケートされていることを確認します。 次の属性を監視すると便利です。

    1. スキーマ バージョンのインクリメント
    2. CN=Windows2003Update、CN=ForestUpdates、CN=Configuration、DC= forest_root_domain 、CN=Operations、CN=DomainUpdates、CN=System、DC= forest_root_domain 、およびその下の操作 GUID がレプリケートされます。
    3. 新しいスキーマ クラス、オブジェクト、属性、または追加 adprep /forestprep その他の変更 (inetOrgPerson など) を検索します。 %systemroot%\System32 フォルダー内の Sch XX.ldf ファイル ( XX は 14 から 30 までの数値) を表示して、必要なオブジェクトと属性を決定します。 たとえば、inetOrgPerson は Sch18.ldf で定義されます。

  9. mangled LDAPDisplayNames を探します。 マングルされた名前が見つかる場合は、同じ記事のシナリオ 3 に進んでください。

  10. スキーマ操作マスターをホストするフォレストの Schema Admins グループ セキュリティ グループのメンバーであるアカウントを使用して、スキーマ操作マスターのコンソールにログオンします。

adprep /domainprep コマンドを使用したドメインのアップグレード

/forestprep の変更が Windows Server 2003 ドメイン コントローラーをホストする各ドメインのインフラストラクチャ マスター ドメイン コントローラーに完全にレプリケートされた後、 adprep /domainprep を実行します。 そのためには、次の手順に従います。

  1. アップグレードするドメイン内のインフラストラクチャ マスター ドメイン コントローラーを特定し、アップグレードするドメインの Domain Admins セキュリティ グループのメンバーであるアカウントでログオンします。

    Note

    エンタープライズ管理者は、フォレストの子ドメインの Domain Admins セキュリティ グループのメンバーではない可能性があります。

  2. インフラストラクチャ マスターで adprep /domainprep を実行します。 これを行うには、[スタート] をクリックし、[実行] をクリックし、「 cmd」と入力し、次のコマンドを入力します。X:\I386\ が Windows Server 2003 インストール メディアのパス X:\I386\adprep /domainprep します。 このコマンドは、ターゲット ドメインでドメイン全体の変更を実行します。

    Note

    adprep /domainprep コマンドは、Sysvol 共有のファイルのアクセス許可を変更します。 これらの変更により、そのディレクトリ ツリー内のファイルが完全に同期されます。

  3. domainprep が正常に完了したことを確認します。 これを行うには、次の項目を確認します。

    • adprep /domainprep コマンドはエラーなしで完了しました。
    • CN=Windows2003Update,CN=DomainUpdates,CN=System,DC= アップグレードするドメインのdn パス exists adprep /domainprep が実行されない場合は、次の項目を確認します。
    • adprepを実行するログオン ユーザーは、アップグレード中のドメイン内の Domain Admins セキュリティ グループのメンバーシップを持っています。 そのためには、whoami /all コマンドを使用します。
    • インストール メディアの \I386 ディレクトリにあるAdprep.exeの完全修飾パスは、 adprepの実行時に指定されました。 これを行うには、コマンド プロンプトで次のコマンドを入力します。x :\i386\adprep /forestprepxはインストール メディアをホストするドライブです。
    • それでも adprep 機能しない場合は、%systemroot%\System32\Debug\Adprep\Logs\ Latest_log フォルダー内のAdprep.log ファイルを表示します。

  4. adprep /domainprepの変更がレプリケートされたことを確認します。 これを行うには、ドメイン内の残りのドメイン コントローラーについて、次の項目を確認します。 - CN=Windows2003Update,CN=DomainUpdates,CN=System,DC= アップグレードするドメインのdn パス オブジェクトが存在し、Revision 属性の値がドメインのインフラストラクチャ マスターの同じ属性の値と一致します。 - (省略可能) 追加されたオブジェクト、属性、またはアクセス制御リスト (ACL) の変更 adprep /domainprep 探します。 残りのドメインのインフラストラクチャ マスターで手順 1 から 4 を一括で繰り返すか、これらのドメインの DC を Windows Server 2003 に追加またはアップグレードします。 DCPROMO を使用して、新しい Windows Server 2003 コンピューターをフォレストに昇格できるようになりました。 または、WINNT32.EXEを使用して、既存の Windows 2000 ドメイン コントローラーを Windows Server 2003 にアップグレードすることもできます。

Winnt32.exeを使用した Windows 2000 ドメイン コントローラーのアップグレード

/forestprep と /domainprep からの変更が完全にレプリケートされ、以前のバージョンのクライアントとのセキュリティ相互運用性に関する決定が行われたら、Windows 2000 ドメイン コントローラーを Windows Server 2003 にアップグレードし、新しい Windows Server 2003 ドメイン コントローラーをドメインに追加できます。

次のコンピューターは、各ドメインのフォレストで Windows Server 2003 を実行する最初のドメイン コントローラーに含まれている必要があります。

  • 既定の DNS プログラム パーティションを作成できるように、フォレスト内のドメイン名前付けマスター。
  • Windows Server 2003 の forestprep が追加するエンタープライズ全体のセキュリティ プリンシパルが ACL エディターに表示されるように、フォレスト ルート ドメインのプライマリ ドメイン コントローラー。
  • 新しいドメイン固有の Windows 2003 セキュリティ プリンシパルを作成できるように、各非ルート ドメインのプライマリ ドメイン コントローラー。 そのためには、WINNT32を使用して、目的の運用ロールをホストする既存のドメイン コントローラーをアップグレードします。 または、新しく昇格した Windows Server 2003 ドメイン コントローラーにロールを転送します。 WINNT32を使用して Windows Server 2003 にアップグレードする各 Windows 2000 ドメイン コントローラーと、昇格する Windows Server 2003 ワークグループまたはメンバー コンピューターごとに、次の手順を実行します。

  1. WINNT32を使用して Windows 2000 メンバー コンピューターとドメイン コントローラーをアップグレードする前に、Windows 2000 管理ツールを削除します。 これを行うには、コントロール パネルの [プログラムの追加と削除] ツールを使用します。 (Windows 2000 のアップグレードのみ)。

  2. Microsoft または管理者が重要と判断した修正プログラム ファイルまたはその他の修正プログラムをインストールします。

  3. アップグレードの可能性に関する問題については、各ドメイン コントローラーを確認してください。 これを行うには、インストール メディアの \I386 フォルダーから次のコマンドを実行します。 winnt32.exe /checkupgradeonly 互換性チェックで識別される問題を解決します。

  4. インストール メディアの \I386 フォルダーからWINNT32.EXEを実行し、アップグレードされた 2003 ドメイン コントローラーを再起動します。

  5. 必要に応じて、以前のバージョンのクライアントのセキュリティ設定を低くします。

    Windows NT 4.0 クライアントに NT 4.0 SP6 または Windows 95 クライアントがインストールされていない場合は、ドメイン コントローラー組織単位の既定のドメイン コントローラー ポリシーで SMB サービス署名を無効にし、このポリシーをドメイン コントローラーをホストするすべての組織単位にリンクします。 Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\Microsoft Network Server: Digitally sign communications (always)

  6. 次のデータ ポイントを使用して、アップグレードの正常性を確認します。

    • アップグレードが正常に完了しました。
    • インストールに追加した修正プログラムによって、元のバイナリが正常に置き換えられました。
    • Active Directory の受信レプリケーションと送信レプリケーションは、ドメイン コントローラーによって保持されているすべての名前付けコンテキストに対して行われます。
    • Netlogon 共有と Sysvol 共有が存在します。
    • イベント ログは、ドメイン コントローラーとそのサービスが正常であることを示します。

    Note

    アップグレード後に次のイベント メッセージが表示される場合があります。このイベント メッセージは無視しても問題ありません。

  7. Windows Server 2003 管理ツールをインストールします (Windows 2000 アップグレードと Windows Server 2003 非ドメイン コントローラーのみ)。 Adminpak.msiは、Windows Server 2003 CD-ROM の \I386 フォルダーにあります。 Windows Server 2003 メディアには、Support\Tools\Suptools.msi ファイルに更新されたサポート ツールが含まれています。 このファイルを再インストールしてください。

  8. フォレスト内の各ドメインで、Windows Server 2003 にアップグレードした最初の 2 つ以上の Windows 2000 ドメイン コントローラーの新しいバックアップを作成します。 ロックされた記憶域で Windows Server 2003 にアップグレードした Windows 2000 コンピューターのバックアップを見つけて、Windows Server 2003 を実行しているドメイン コントローラーを誤って復元しないようにします。

  9. (省略可能)単一インスタンス ストア (SIS) の完了後に Windows Server 2003 にアップグレードしたドメイン コントローラーで Active Directory データベースのオフライン最適化を実行します (Windows 2000 のアップグレードのみ)。

    SIS は、Active Directory に格納されているオブジェクトに対する既存のアクセス許可を確認し、それらのオブジェクトに対してより効率的なセキュリティ記述子を適用します。 アップグレードされたドメイン コントローラーが最初に Windows Server 2003 オペレーティング システムを起動すると、SIS は自動的に開始されます (ディレクトリ サービス イベント ログのイベント 1953 で識別されます)。 セキュリティ記述子ストアの強化のメリットは、ディレクトリ サービス イベント ログにイベント ID 1966 イベント メッセージを記録する場合のみです。このイベント メッセージは、単一インスタンス ストア操作が完了したことを示し、管理者がNTDSUTIL.EXEを使用して Ntds.dit のオフライン最適化を実行するキューとして機能することを示します。

    オフライン最適化では、Windows 2000 Ntds.dit ファイルのサイズを最大 40% 削減し、Active Directory のパフォーマンスを向上させ、リンク値属性の効率的な保存のためにデータベース内のページを更新できます。 Active Directory データベースを最適化する方法の詳細については、次の資料番号をクリックして、Microsoft サポート技術情報の記事を参照してください。

    232122 Active Directory データベースのオフライン最適化の実行

  10. DLT サーバー サービスを調査します。 Windows Server 2003 ドメイン コントローラーは、新規およびアップグレードのインストール時に DLT Server サービスを無効にします。 組織内の Windows 2000 または Windows XP クライアントが DLT Server サービスを使用している場合は、グループ ポリシーを使用して、新規またはアップグレードされた Windows Server 2003 ドメイン コントローラーで DLT Server サービスを有効にします。 それ以外の場合は、Active Directory から分散リンク追跡オブジェクトを増分削除します。 詳細については、次の記事の番号をクリックして表示される Microsoft サポート技術情報の記事を参照してください。

    Windows ベースのドメイン コントローラーでの分散リンク追跡の312403

    何千もの DLT オブジェクトまたはその他のオブジェクトを一括削除すると、バージョン ストアがないためにレプリケーションがブロックされる可能性があります。 最後の DLT オブジェクト 削除してから 日数 (既定では 60 日) 待機し、ガベージ コレクションが完了するまで待ってから、NTDSUTIL.EXEを使用して Ntds.dit ファイルのオフライン最適化を実行します。

  11. ベスト プラクティス組織単位の構造を構成します。 Microsoft では、管理者がベスト プラクティスの組織単位構造をすべての Active Directory ドメインに積極的に展開し、Windows ドメイン モードで Windows Server 2003 ドメイン コントローラーをアップグレードまたは展開した後、以前のバージョンの API がユーザー、コンピューター、グループの作成に使用する既定のコンテナーを、管理者が指定した組織単位コンテナーにリダイレクトすることをお勧めします。

    ベスト プラクティスの組織単位構造の詳細については、「Windows ネットワークを管理するためのベスト プラクティス Active Directory 設計」ホワイト ペーパーの「組織単位の設計の作成」セクションを参照してください。 ホワイト ペーパーを表示するには、次の Microsoft Web サイトを参照してください。 https://technet.microsoft.com/library/bb727085.aspx 以前のバージョンの API で作成されたユーザー、コンピューター、およびグループが配置されている既定のコンテナーの変更の詳細については、次の記事番号をクリックして、Microsoft サポート技術情報の記事を参照してください。

    324949 Windows Server 2003 ドメインのユーザーとコンピューターのコンテナーをリダイレクトする

  12. フォレスト内の新規またはアップグレードされた Windows Server 2003 ドメイン コントローラーごとに必要に応じて手順 1 から 10 を繰り返し、各 Active Directory ドメインの手順 11 (ベスト プラクティス組織単位構造) を繰り返します。

    [概要] で次の操作を実行します。

    • WINNT32を使用して Windows 2000 ドメイン コントローラーをアップグレードする (使用されている場合は、スリップストリームインストール メディアから)
    • アップグレードされたコンピューターに修正プログラム ファイルがインストールされていることを確認する
    • インストール メディアに含まれていない必要な修正プログラムをインストールする
    • 新しいサーバーまたはアップグレードされたサーバー (AD、FRS、ポリシーなど) の正常性を確認する
    • OS アップグレード後 24 時間待ってからオフライン デフラグ (省略可能)
    • 必要な場合は DLT サービスを開始し、それ以外の場合は、フォレスト全体の domainpreps 後に q312403/ q315229 を使用して DLT オブジェクトを削除します
    • DLT オブジェクトを削除した後、オフラインデフラグを 60 日以上 (廃棄の有効期間とガベージ コレクションの日数) 実行する

ラボ環境でのドライラン アップグレード

Windows ドメイン コントローラーを運用環境の Windows 2000 ドメインにアップグレードする前に、ラボでアップグレード プロセスを検証して調整します。 運用フォレストを正確にミラーリングするラボ環境のアップグレードがスムーズに実行される場合は、運用環境でも同様の結果が期待できます。 複雑な環境の場合、ラボ環境は次の領域の運用環境をミラー化する必要があります。

  • ハードウェア: コンピューターの種類、メモリ サイズ、ページ ファイルの配置、ディスク サイズ、パフォーマンスと RAID の構成、BIOS とファームウェアのリビジョン レベル
  • ソフトウェア: クライアントとサーバーのオペレーティング システムのバージョン、クライアントとサーバー のアプリケーション、Service Pack のバージョン、修正プログラム、スキーマの変更、セキュリティ グループ、グループ メンバーシップ、アクセス許可、ポリシー設定、オブジェクト数の種類、場所、バージョンの相互運用性
  • ネットワーク インフラストラクチャ: WINS、DHCP、リンク速度、使用可能な帯域幅
  • 読み込み: ロード シミュレーターでは、パスワードの変更、オブジェクトの作成、Active Directory レプリケーション、ログオン認証、その他のイベントをシミュレートできます。 目的は、運用環境のスケールを再現することです。 代わりに、目標は、一般的な操作のコストと頻度を検出し、現在および将来の要件に基づいて運用環境に対する影響 (名前クエリ、レプリケーション トラフィック、ネットワーク帯域幅、プロセッサ消費量) を補間することです。
  • 管理: 実行されたタスク、使用されるツール、使用されるオペレーティング システム
  • 操作: 容量、相互運用性
  • ディスク領域: 次の各操作の後、各ドメインのグローバル カタログおよび非グローバル カタログ ドメイン コントローラー上のオペレーティング システム、Ntds.dit、および Active Directory ログ ファイルの開始、ピーク、および終了のサイズに注意してください。
    1. adprep /forestprep
    2. adprep /domainprep
    3. Windows 2000 ドメイン コントローラーを Windows Server 2003 にアップグレードする
    4. バージョンアップグレード後のオフライン最適化の実行

アップグレード プロセスを理解し、環境の複雑さを詳細な観察と組み合わせることで、運用環境のアップグレードに適用するペースと注意度が決まります。 高可用性ワイド エリア ネットワーク (WAN) リンク経由で接続されているドメイン コントローラーと Active Directory オブジェクトの数が少ない環境では、わずか数時間でアップグレードされる場合があります。 数百のドメイン コントローラーまたは数十万の Active Directory オブジェクトを持つエンタープライズ展開には、さらに注意が必要になる場合があります。 このような場合は、数週間または数か月の間にアップグレードを実行できます。

ラボで "Dry-run" アップグレードを使用して、次のタスクを実行します。

  • アップグレード プロセスの内部動作と関連するリスクについて理解します。
  • 環境内のデプロイ プロセスの潜在的な問題領域を公開します。
  • アップグレードが成功しない場合に備え、フォールバック 計画をテストして開発します。
  • 運用ドメインのアップグレード プロセスに適用する適切な詳細レベルを定義します。

十分なディスク領域がないドメイン コントローラー

ディスク領域が不足しているドメイン コントローラーでは、次の手順に従って、Ntds.dit ファイルとログ ファイルをホストするボリューム上の追加のディスク領域を解放します。

  1. *.tmpファイルやインターネットブラウザが使用するキャッシュされたファイルを含む未使用のファイルを削除します。 これを行うには、次のコマンドを入力します (各コマンドの後に Enter キーを押します)。

    cd /d drive\  
del *.tmp /s

  2. ユーザーまたはメモリ ダンプ ファイルを削除します。 これを行うには、次のコマンドを入力します (各コマンドの後に Enter キーを押します)。

    cd /d drive\  
del *.dmp /s

  3. 他のサーバーからアクセスしたり、簡単に再インストールしたりできるファイルを一時的に削除または再配置します。 削除して簡単に置き換えることができるファイルには、ADMINPAK、サポート ツール、%systemroot%\System32\Dllcache フォルダー内のすべてのファイルが含まれます。

  4. 古いユーザー プロファイルまたは未使用のユーザー プロファイルを削除します。 これを行うには、 スタートをクリックし、 My Computerを右クリックし、 Propertiesをクリックし、 ユーザー プロファイル タブをクリックし、古いアカウントと未使用のアカウントのすべてのプロファイルを削除します。 サービス アカウント用のプロファイルは削除しないでください。

  5. %systemroot%\Symbols のシンボルを削除します。 これを行うには、次のコマンドを入力します。 rd /s %systemroot%\symbols サーバーに完全なシンボルが設定されているか小さいかによって、約 70 MB から 600 MB の値が得られる場合があります。

  6. オフラインでの最適化を実行します。 Ntds.dit ファイルをオフラインで最適化すると、領域が解放される可能性がありますが、一時的に現在の DIT ファイルの 2 倍の領域が必要になります。 使用可能な場合は、他のローカル ボリュームを使用してオフライン デフラグを実行します。 または、最適に接続されたネットワーク サーバー上の領域を使用して、オフライン最適化を実行します。 ディスク領域がまだ十分でない場合は、Active Directory から不要なユーザー アカウント、コンピューター アカウント、DNS レコード、および DLT オブジェクトを段階的に削除します。

Note

Active Directory は、 tombstonelifetime 日数 (既定では 60 日) が経過し、ガベージ コレクションが完了するまで、データベースからオブジェクトを削除しません。 tombstonelifetimeをフォレスト内のエンド ツー エンド レプリケーションより小さい値に減らすと、Active Directory で不整合が発生する可能性があります。