Active Directory-domein- en forestfunctionaliteitsniveaus verhogen

In dit artikel wordt beschreven hoe u functionaliteitsniveaus voor Active Directory-domein en forest kunt verhogen.

Van toepassing op: Windows Server 2003
Oorspronkelijk KB-nummer: 322692

Samenvatting

Zie Wat is er nieuw in Active Directory-domein Services voor Windows Server 2016 voor informatie over Windows Server 2016 en nieuwe functies in Active Directory-domein Services (AD DS).

In dit artikel wordt beschreven hoe u de functionele niveaus van het domein en forest verhoogt die worden ondersteund door op Microsoft Windows Server 2003 gebaseerde of nieuwere domeincontrollers. Er zijn vier versies van Active Directory en alleen de niveaus die zijn gewijzigd van Windows NT Server 4.0 vereisen speciale overwegingen. Daarom worden de andere niveauwijzigingen vermeld met behulp van de nieuwere, huidige of oudere versies van het besturingssysteem van de domeincontroller, van het domein of van het functionele forestniveau.

Functionele niveaus zijn een uitbreiding van de gemengde modus en de systeemeigen modusconcepten die zijn geïntroduceerd in Microsoft Windows 2000 Server om nieuwe Active Directory-functies te activeren. Sommige extra Active Directory-functies zijn beschikbaar wanneer alle domeincontrollers de nieuwste Versie van Windows Server in een domein of in een forest uitvoeren, en wanneer de beheerder het bijbehorende functionele niveau activeert in het domein of in het forest.

Als u de nieuwste domeinfuncties wilt activeren, moeten alle domeincontrollers de nieuwste versie van het Windows Server-besturingssysteem in het domein uitvoeren. Als aan deze vereiste wordt voldaan, kan de beheerder het functionele domeinniveau verhogen.

Als u de nieuwste forestbrede functies wilt activeren, moeten alle domeincontrollers in het forest de versie van het Windows Server-besturingssysteem uitvoeren die overeenkomt met het gewenste functionaliteitsniveau van het forest. Daarnaast moet het huidige functionele domeinniveau al op het nieuwste niveau zijn. Als aan deze vereisten wordt voldaan, kan de beheerder het functionaliteitsniveau van het forest verhogen.

Over het algemeen kunnen de wijzigingen in het domein- en forestfunctionaliteitsniveau niet ongedaan worden. Als de wijziging ongedaan kan worden gemaakt, moet een forestherstel worden gebruikt. Met het besturingssysteem Windows Server 2008 R2 kunnen de wijzigingen in functionele domeinniveaus en functionele forestniveaus worden teruggedraaid. Het terugdraaien kan echter alleen worden uitgevoerd in de specifieke scenario's die worden beschreven in het Technet-artikel over de functionele niveaus van Active Directory.

Notitie

De nieuwste functionele domeinniveaus en de nieuwste forestfunctionaliteitsniveaus zijn alleen van invloed op de manier waarop de domeincontrollers samenwerken als groep. De clients die interactie hebben met het domein of met het forest, worden niet beïnvloed. Bovendien worden toepassingen niet beïnvloed door wijzigingen in de functionaliteitsniveaus van het domein of de functionele forestniveaus. Toepassingen kunnen echter profiteren van de nieuwste domeinfuncties en van de nieuwste forestfuncties.

Zie het TechNet-artikel over de functies die zijn gekoppeld aan de verschillende functionele niveaus voor meer informatie.

Het functionele niveau verhogen

Let op

Verhoog het functionele niveau niet als het domein een domeincontroller heeft die een eerdere versie heeft dan de versie die voor dat niveau wordt genoemd. Een functioneel niveau van Windows Server 2008 vereist bijvoorbeeld dat op alle domeincontrollers Windows Server 2008 of een hoger besturingssysteem is geïnstalleerd in het domein of in het forest. Nadat het functionele domeinniveau is verhoogd naar een hoger niveau, kan het alleen worden gewijzigd in een ouder niveau met behulp van een forestherstel. Deze beperking bestaat omdat de functies vaak de communicatie tussen de domeincontrollers wijzigen of omdat de functies de opslag van de Active Directory-gegevens in de database wijzigen.

De meest voorkomende methode voor het inschakelen van de functionele niveaus van het domein en forest is het gebruik van de grafische gebruikersinterfacebeheerprogramma's die worden beschreven in het TechNet-artikel over functionele niveaus van Windows Server 2003 Active Directory. In dit artikel wordt Windows Server 2003 besproken. De stappen zijn echter hetzelfde in de nieuwere versies van het besturingssysteem. Daarnaast kan het functionele niveau handmatig worden geconfigureerd of geconfigureerd met behulp van Windows PowerShell-scripts. Zie de sectie 'Het functionele niveau weergeven en instellen' voor meer informatie over het handmatig configureren van het functionele niveau.

Zie Het functionele forestniveau verhogen voor meer informatie over het gebruik van een Windows PowerShell-script om het functionele niveau te configureren.

Het functionele niveau handmatig weergeven en instellen

De LDAP-hulpprogramma's (Lightweight Directory Access Protocol), zoals Ldp.exe en Adsiedit.msc, kunnen worden gebruikt om de huidige instellingen op domein- en forestfunctionaliteitsniveau te bekijken en te wijzigen. Wanneer u de kenmerken op functioneel niveau handmatig wijzigt, kunt u het beste kenmerkwijzigingen aanbrengen op de FSMO-domeincontroller (Flexible Single Master Operations) die normaal gesproken wordt toegepast door de Microsoft-beheerhulpprogramma's.

Instellingen op domeinfunctionaliteitsniveau

Het kenmerk msDS-Behavior-Version bevindt zich in de naamgevingscontext (NC) voor het domein, d.m.v. DC=corp, DC=contoso, DC=com.

U kunt de volgende waarden instellen voor dit kenmerk:

• Waarde van 0 of niet ingesteld=domein op gemengd niveau
• Waarde van 1=Windows Server 2003-domeinniveau
• Waarde van 2=Windows Server 2003-domeinniveau
• Waarde van 3=Windows Server 2008-domeinniveau
• Waarde van 4=Windows Server 2008 R2-domeinniveau

Instellingen voor gemengde modus en systeemeigen modus

Het kenmerk ntMixedDomain bevindt zich op de naamgevingscontext (NC) voor het domein, dat wil gezegd: DC=corp, DC=contoso, DC=com.

U kunt de volgende waarden instellen voor dit kenmerk:

• Waarde van 0=Domein op systeemeigen niveau
• Waarde van 1=Domein op gemengd niveau

Instelling op forestniveau

Het kenmerk msDS-Behavior-Version bevindt zich op het object CN=Partitions in de naamgevingscontext (NC), dat wil weten CN=Partitions, CN=Configuration, DC= ForestRootDomain.

U kunt de volgende waarden instellen voor dit kenmerk:

• Waarde van 0 of niet ingesteld=forest op gemengd niveau

• Waarde van 1=Windows Server 2003 tussentijdse forestniveau

• Waarde van 2=Windows Server 2003-forestniveau

  Notitie

  Wanneer u het kenmerk msDS-Behavior-Version verhoogt van de 0-waarde naar de 1-waarde met behulp vanAdsiedit.msc, ontvangt u het volgende foutbericht:
  Ongeldige wijzigingsbewerking. Een bepaald aspect van de wijziging is niet toegestaan.

• Waarde van 3=Windows Server 2008-domeinniveau

• Waarde van 4=Windows Server 2008 R2-domeinniveau

Nadat u de LDAP-hulpprogramma's (Lightweight Directory Access Protocol) hebt gebruikt om het functionele niveau te bewerken, klikt u op OK om door te gaan. De kenmerken van de partitiecontainer en op het domeinhoofd worden correct verhoogd. Als een foutbericht wordt gerapporteerd door het Ldp.exe bestand, kunt u het foutbericht veilig negeren. Als u wilt controleren of het niveau is verhoogd, vernieuwt u de lijst met kenmerken en controleert u vervolgens de huidige instelling. Dit foutbericht kan ook optreden nadat u het niveauverhoging op de gezaghebbende FSMO hebt uitgevoerd als de wijziging nog niet is gerepliceerd naar de lokale domeincontroller.

Snel de huidige instellingen weergeven met behulp van het Ldp.exe-bestand

1. Start het Ldp.exe-bestand.
2. Klik in het menu Verbinding op Verbinding maken.
3. Geef de domeincontroller op die u wilt opvragen of laat de ruimte leeg om verbinding te maken met een domeincontroller.

Nadat u verbinding hebt gemaakt met een domeincontroller, wordt de RootDSE-informatie voor de domeincontroller weergegeven. Deze informatie bevat informatie over het forest, domein en domeincontrollers. Hier volgt een voorbeeld van een op Windows Server 2003 gebaseerde domeincontroller. In het volgende voorbeeld wordt ervan uitgegaan dat de domeinmodus Windows Server 2003 is en dat de forestmodus Windows 2000 Server is.

Notitie

De functionaliteit van de domeincontroller vertegenwoordigt het hoogst mogelijke functionele niveau voor deze domeincontroller.

• 1> domeinfunctionaliteit: 2=(DS_BEHAVIOR_WIN2003)
• 1> forestfunctionaliteit: 0=(DS_BEHAVIOR_WIN2000)
• 1> domainControllerFunctionality: 2=(DS_BEHAVIOR_WIN2003)

Vereisten wanneer u het functionele niveau handmatig wijzigt

• U moet de domeinmodus wijzigen in de systeemeigen modus voordat u het domeinniveau verhoogt als aan een van de volgende voorwaarden wordt voldaan:

  • Het functionele domeinniveau wordt programmatisch verhoogd naar het tweede functionele niveau door de waarde van het kenmerk msdsBehaviorVersion op het domeinDNS-object rechtstreeks te wijzigen.
  • Het functionele domeinniveau wordt verhoogd naar het tweede functionele niveau met behulp van het hulpprogramma Ldp.exe of het hulpprogramma Adsiedit.msc.

  Als u de domeinmodus niet wijzigt in de systeemeigen modus voordat u het domeinniveau verhoogt, wordt de bewerking niet voltooid en ontvangt u de volgende foutberichten:

  SV_PROBLEM_WILL_NOT_PERFORM

  ERROR_DS_ILLEGAL_MOD_OPERATION

  Daarnaast wordt het volgende bericht vastgelegd in het logboek van Directory Services:

  Active Directory could not update the functional level of the following domain because the domain is in mixed mode.
  

  In dit scenario kunt u de domeinmodus wijzigen in de systeemeigen modus met behulp van de module Active Directory: gebruikers en computers, met behulp van de MMC-module Active Directory-domein s & Trusts UI, of door programmatisch de waarde van het kenmerk ntMixedDomain te wijzigen in 0 op het domeinDNS-object. Wanneer dit proces wordt gebruikt om het functionele domeinniveau te verhogen naar 2 (Windows Server 2003), wordt de domeinmodus automatisch gewijzigd in de systeemeigen modus.

• De overgang van de gemengde modus naar de systeemeigen modus wijzigt het bereik van de beveiligingsgroep Schemabeheerders en de beveiligingsgroep Ondernemingsadministrators in universele groepen. Wanneer deze groepen zijn gewijzigd in universele groepen, wordt het volgende bericht vastgelegd in het systeemlogboek:

  Event Type: Information  
  Event Source: SAM  
  Event ID: 16408  
  Computer:Server Name  
  Description: "Domain operation mode has been changed to Native Mode. The change cannot be reversed."
  

• Wanneer de Windows Server 2003-beheerhulpprogramma's worden gebruikt om het functionele domeinniveau aan te roepen, worden zowel het kenmerk ntmixedmode als het kenmerk msdsBehaviorVersion gewijzigd in de juiste volgorde. Dit gebeurt echter niet altijd. In het volgende scenario wordt de systeemeigen modus impliciet ingesteld op een waarde van 0 zonder het bereik voor de beveiligingsgroep Schemabeheerders en de beveiligingsgroep Ondernemingsadministrators te wijzigen in universeel:

  • Het kenmerk msdsBehaviorVersion waarmee de functionele modus van het domein wordt beheerd, wordt handmatig of programmatisch ingesteld op de waarde 2.
  • Het functionele forestniveau wordt ingesteld op 2 met behulp van een methode. In dit scenario blokkeren de domeincontrollers de overgang naar het functionele forestniveau totdat alle domeinen in het local area-netwerk zijn geconfigureerd voor de systeemeigen modus en de vereiste kenmerkwijziging wordt aangebracht in de bereiken van de beveiligingsgroep.

Functionele niveaus die relevant zijn voor Windows 2000 Server

Windows 2000 Server ondersteunt alleen gemengde modus en systeemeigen modus. Daarnaast worden deze modi alleen toegepast op de domeinfunctionaliteit. De volgende secties bevatten de domeinmodi Windows Server 2003, omdat deze modi van invloed zijn op de manier waarop Windows NT 4.0- en Windows 2000 Server-domeinen worden bijgewerkt.

Er zijn veel overwegingen bij het verhogen van het besturingssysteemniveau van de domeincontroller. Deze overwegingen worden veroorzaakt door de opslag- en replicatiebeperkingen van de gekoppelde kenmerken in de modi Windows 2000 Server.

Windows 2000 Server gemengd (standaard)

• Ondersteunde domeincontrollers: Microsoft Windows NT 4.0, Windows 2000 Server, Windows Server 2003
• Geactiveerde functies: lokale en globale groepen, ondersteuning voor globale catalogus

Windows 2000 Server native

• Ondersteunde domeincontrollers: Windows 2000 Server, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2
• Geactiveerde functies: groep nesten, universele groepen, Sid-geschiedenis, het converteren van groepen tussen beveiligingsgroepen en distributiegroepen, u kunt domeinniveaus verhogen door de instellingen op forestniveau te verhogen

Windows Server 2003 interim

• Ondersteunde domeincontrollers: Windows NT 4.0, Windows Server 2003
• Ondersteunde functies: er zijn geen functies voor het hele domein geactiveerd op dit niveau. Alle domeinen in een forest worden automatisch verhoogd naar dit niveau wanneer het forestniveau toeneemt tot tussentijds. Deze modus wordt alleen gebruikt wanneer u domeincontrollers in Windows NT 4.0-domeinen bijwerken naar Windows Server 2003-domeincontrollers.

Windows Server 2003

• Ondersteunde domeincontrollers: Windows Server 2003, Windows Server 2008, Windows Server 2008 R2
• Ondersteunde functies: naam van domeincontroller, kenmerk voor aanmeldingstijdstempel bijgewerkt en gerepliceerd. Gebruikerswachtwoordondersteuning voor de ObjectClass InetOrgPerson. Beperkte delegering kunt u de containers gebruikers en computers omleiden.

Domeinen die worden bijgewerkt van Windows NT 4.0 of die zijn gemaakt door de promotie van een Windows Server 2003-computer werken op het niveau van gemengde functionaliteit van Windows 2000. Windows 2000 Server-domeinen behouden hun huidige functionele domeinniveau wanneer Windows 2000 Server-domeincontrollers worden bijgewerkt naar het Windows Server 2003-besturingssysteem. U kunt het functionele domeinniveau verhogen naar systeemeigen Windows 2000 Server of Windows Server 2003.

Tussentijdse niveau: upgrade uitvoeren van een Windows NT 4.0-domein

Windows Server 2003 Active Directory staat een speciaal forest- en domeinfunctionaliteitsniveau toe met de naam Windows Server 2003 interim. Dit functionele niveau wordt geboden voor upgrades van bestaande Windows NT 4.0-domeinen waarbij een of meer Windows NT 4.0-back-updomeincontrollers (BDCs's) na de upgrade moeten functioneren. Windows 2000 Server-domeincontrollers worden niet ondersteund in deze modus. Windows Server 2003 interim is van toepassing op de volgende scenario's:

• Domeinupgrades van Windows NT 4.0 naar Windows Server 2003.
• Windows NT 4.0-PC's worden niet onmiddellijk bijgewerkt.
• Windows NT 4.0-domeinen met groepen met meer dan 5000 leden (met uitzondering van de groep domeingebruikers).
• Er zijn op elk moment geen plannen om Windows Server2000-domeincontrollers in het forest te implementeren.

Windows Server 2003 interim biedt twee belangrijke verbeteringen, terwijl replicatie naar Windows NT 4.0 BDCs nog steeds is toegestaan:

1. Efficiënte replicatie van beveiligingsgroepen en ondersteuning voor meer dan 5000 leden per groep.
2. Verbeterde KCC-topologiegeneratoralgoritmen tussen sites.

Vanwege de efficiëntie in groepsreplicatie die in het tussentijdse niveau wordt geactiveerd, is het tussentijdse niveau het aanbevolen niveau voor alle Windows NT 4.0-upgrades. Zie de sectie Aanbevolen procedures van dit artikel voor meer informatie.

Windows Server 2003 interim forest functionele niveau instellen

Windows Server 2003 interim kan op drie verschillende manieren worden geactiveerd. De eerste twee methoden worden ten zeerste aanbevolen. Dit komt doordat beveiligingsgroepen gebruikmaken van gekoppelde waardereplicatie (LVR) nadat de primaire domeincontroller van het Windows NT 4.0-domein (PDC) is bijgewerkt naar een Windows Server 2003-domeincontroller. De derde optie wordt minder sterk aanbevolen omdat lidmaatschap van beveiligingsgroepen gebruikmaakt van één kenmerk met meerdere waarden, wat kan leiden tot replicatieproblemen. De manieren waarop Windows Server 2003 interim kan worden geactiveerd, zijn:

1. Tijdens de upgrade.

   De optie wordt weergegeven in de dcpromo-installatiewizard wanneer u de PDC bijwerkt van een Windows NT 4.0-domein dat fungeert als de eerste domeincontroller in het hoofddomein van een nieuw forest.

2. Voordat u de Windows NT 4.0 PDC van een Windows NT 4.0 bijwerkt als de eerste domeincontroller van een nieuw domein in een bestaand forest door het functionele niveau van het forest handmatig te configureren met ldap-hulpprogramma's (Lightweight Directory Access Protocol).

   Onderliggende domeinen nemen de functionaliteitsinstellingen voor het hele forest over van het forest waar ze in worden gepromoveerd. Upgrade van de PDC van een Windows NT 4.0-domein als een onderliggend domein in een bestaand Windows Server 2003-forest waarin tussentijdse forestfunctionaliteitsniveaus zijn geconfigureerd met behulp van het Ldp.exe-bestand of het bestand Adsiedit.msc staat beveiligingsgroepen toe gekoppelde waardereplicatie te gebruiken na de upgrade van de besturingssysteemversie.

3. Na de upgrade met behulp van LDAP-hulpprogramma's.

   Gebruik de laatste twee opties wanneer u deelneemt aan een bestaand Windows Server 2003-forest tijdens een upgrade. Dit is een veelvoorkomend scenario wanneer een 'leeg hoofddomein' in positie is. Het bijgewerkte domein wordt toegevoegd als een onderliggend element van de lege hoofdmap en neemt de domeininstelling over van het forest.

Aanbevolen procedures

In de volgende sectie worden de aanbevolen procedures voor het verhogen van functionele niveaus besproken. De sectie is onderverdeeld in twee delen. 'Voorbereidingstaken' bespreekt het werk dat u moet doen voordat de toename en 'Optimale paden verhogen' de motivaties en methoden voor verschillende scenario's voor verhoging op niveau bespreken.

Volg deze stappen om Windows NT 4.0-domeincontrollers te detecteren:

1. Open Active Directory vanaf een windows Server 2003-domeincontroller.

2. Als de domeincontroller nog niet is verbonden met het juiste domein, volgt u deze stappen om verbinding te maken met het juiste domein:

   1. Klik met de rechtermuisknop op het huidige domeinobject en klik vervolgens op Verbinding maken met domein.
   2. Typ in het dialoogvenster Domein de DNS-naam van het domein waarmee u verbinding wilt maken en klik op OK. Of klik op Bladeren om het domein in de domeinstructuur te selecteren en klik vervolgens op OK.

3. Klik met de rechtermuisknop op het domeinobject en klik vervolgens op Zoeken.

4. Klik in het dialoogvenster Zoeken op Aangepast zoeken.

5. Klik op het domein waarvoor u het functionele niveau wilt wijzigen.

6. Klik op het tabblad Geavanceerd.

7. Typ het volgende in het vak LDAP-query invoeren en laat geen spaties tussen tekens staan: (&(objectCategory=computer)(operatingSystem Version=4*)(userAccountControl:1.2.840.113556.1.4.803:=8192))

   Notitie

   Deze query is niet hoofdlettergevoelig.

8. Klik op Nu zoeken.

   Een lijst met de computers in het domein met Windows NT 4.0 en werkt als domeincontrollers.

Een domeincontroller kan om een van de volgende redenen in de lijst worden weergegeven:

• Op de domeincontroller wordt Windows NT 4.0 uitgevoerd en moet een upgrade worden uitgevoerd.
• De domeincontroller wordt bijgewerkt naar Windows Server 2003, maar de wijziging wordt niet gerepliceerd naar de doeldomeincontroller.
• De domeincontroller is niet langer in de service, maar het computerobject van de domeincontroller wordt niet verwijderd uit het domein.

Voordat u het functionele domeinniveau kunt wijzigen in Windows Server 2003, moet u een domeincontroller in de lijst fysiek zoeken, de huidige status van de domeincontroller bepalen en vervolgens de domeincontroller bijwerken of verwijderen, indien van toepassing.

Notitie

In tegenstelling tot de Windows Server 2000-domeincontrollers, blokkeren de Windows NT 4.0-domeincontrollers een niveauverhoging niet. Wanneer u het functionele domeinniveau wijzigt, wordt de replicatie naar de Windows NT 4.0-domeincontrollers gestopt. Wanneer u echter probeert het forestniveau van Windows Server 2003 te verhogen met domeinen in Windows Server 2000, wordt het gemengde niveau geblokkeerd. Het ontbreken van Windows NT 4.0-pc's wordt geïmpliceerd door te voldoen aan de vereisten op forestniveau van alle domeinen op systeemeigen niveau of hoger van Windows Server 2000.

Voorbeeld: Voorbereidingstaken voordat het niveau wordt verhoogd

In dit voorbeeld wordt de omgeving gegenereerd van de gemengde modus Windows Server 2000 naar de forestmodus Windows Server 2003.

Inventariseer het forest voor eerdere versies van domeincontrollers.

Als er geen nauwkeurige serverlijst beschikbaar is, voert u de volgende stappen uit:

1. Als u domeinen op gemengd niveau, Windows Server 2000-domeincontrollers of domeincontrollers met beschadigde of ontbrekende objecten wilt detecteren, gebruikt u Active Directory-domeinen en de MMC-module Vertrouwensrelaties.
2. Klik in de module op Forestfunctionaliteit verhogen en klik vervolgens op Opslaan als om een gedetailleerd rapport te genereren.
3. Als er geen problemen zijn gevonden, is de optie om het forestniveau van Windows Server 2003 te verhogen beschikbaar in de vervolgkeuzelijst Beschikbare functionele forestniveaus . Wanneer u probeert het forestniveau te verhogen, worden de domeincontrollerobjecten in de configuratiecontainers gezocht naar domeincontrollers waarvoor msds-behavior-version niet is ingesteld op het gewenste doelniveau. Dit wordt ervan uitgegaan dat dit Windows Server 2000-domeincontrollers of nieuwere Windows Server-domeincontrollerobjecten zijn die beschadigd zijn.
4. Als domeincontrollers of domeincontrollers met eerdere versies die beschadigde of ontbrekende computerobjecten hebben gevonden, worden ze opgenomen in het rapport. De status van deze domeincontrollers moet worden onderzocht en de weergave van de domeincontroller in Active Directory moet worden hersteld of verwijderd met behulp van het Ntdsutil-bestand.

Klik op het volgende artikelnummer in de Microsoft Knowledge Base voor meer informatie:
216498 Gegevens verwijderen in Active Directory na een mislukte degradatie van een domeincontroller

Controleer of end-to-end-replicatie in het forest werkt

Als u wilt controleren of end-to-end-replicatie in het forest werkt, gebruikt u de Windows Server 2003- of nieuwere versie van Repadmin voor Windows Server 2000 of de Windows Server 2003-domeincontrollers:

• Repadmin/Replsum * /Sort:Delta[/Errorsonly] voor de eerste inventaris.

• Repadmin/Showrepl * /CSV>showrepl.csv. Importeer in Excel en gebruik vervolgens het gegevensfilter> om replicatiefuncties te identificeren.

  Gebruik replicatiehulpprogramma's zoals Repadmin om te controleren of replicatie in het hele forest correct werkt.

Controleer de compatibiliteit van alle programma's of services met de nieuwere Windows Server-domeincontrollers en met de hogere Windows Server-domein- en forestmodus. Gebruik een testomgeving om productieprogramma's en services grondig te testen op compatibiliteitsproblemen. Neem contact op met leveranciers voor bevestiging van de mogelijkheid.

Bereid een back-outplan voor dat een van de volgende acties omvat:

• Koppel ten minste twee domeincontrollers los van elk domein in het forest.
• Maak een systeemstatusback-up van ten minste twee domeincontrollers van elk domein in het forest.

Voordat het back-outplan kan worden gebruikt, moeten alle domeincontrollers in het forest buiten gebruik worden gesteld voordat het herstelproces wordt uitgevoerd.

Notitie

Verhogingen van het niveau kunnen niet gezaghebbend worden hersteld. Dit betekent dat alle domeincontrollers die de niveauverhoging hebben gerepliceerd, buiten gebruik moeten worden gesteld.

Nadat alle vorige domeincontrollers buiten gebruik zijn gesteld, haalt u de niet-verbonden domeincontrollers op of herstelt u de domeincontrollers vanuit de back-up. Verwijder de metagegevens van alle andere domeincontrollers en verwijder ze vervolgens opnieuw. Dit is een moeilijk proces en moet worden vermeden.

Voorbeeld: Ophalen van Windows Server 2000 gemengd niveau naar Windows Server 2003 forestniveau

Verhoog alle domeinen naar het systeemeigen niveau van Windows Server 2000. Nadat dit is voltooid, verhoogt u het functionele niveau voor het foresthoofddomein naar het forestniveau van Windows Server 2003. Wanneer het forestniveau wordt gerepliceerd naar de PDC's voor elk domein in het forest, wordt het domeinniveau automatisch verhoogd naar het domeinniveau van Windows Server 2003. Deze methode heeft de volgende voordelen:

• De toename van het forestbrede niveau wordt slechts één keer uitgevoerd. U hoeft niet elk domein in het forest handmatig te verhogen naar het functionele niveau van het Windows Server 2003-domein.
• Een controle op Windows Server 2000-domeincontrollers wordt uitgevoerd voordat het niveau toeneemt (zie voorbereidingsstappen). De toename wordt geblokkeerd totdat probleemdomeincontrollers worden verwijderd of bijgewerkt. Een gedetailleerd rapport kan worden gegenereerd door de blokkerende domeincontrollers weer te geven en bruikbare gegevens op te geven.
• Er wordt een controle uitgevoerd op domeinen in Windows Server 2000 gemengd of Windows Server 2003 interimniveau. De toename wordt geblokkeerd totdat de domeinniveaus worden verhoogd tot ten minste Windows Server 2000 native. Tussentijdse domeinen moeten worden verhoogd naar het domeinniveau van Windows Server 2003. Een gedetailleerd rapport kan worden gegenereerd door de blokkeringsdomeinen weer tegeeft.

Windows NT 4.0-upgrades

Windows NT 4.0-upgrades gebruiken altijd tussentijds niveau tijdens de upgrade van de PDC, tenzij Windows Server 2000-domeincontrollers zijn geïntroduceerd in het forest waar de PDC naar wordt geüpgraded. Wanneer de tussentijdse modus wordt gebruikt tijdens de upgrade van de PDC, gebruiken de bestaande grote groepen LVR-replicatie onmiddellijk, om mogelijke replicatieproblemen te voorkomen die eerder in dit artikel worden besproken. Gebruik een van de volgende methoden om het tussentijdse niveau tijdens de upgrade te bereiken:

• Selecteer het tussentijdse niveau tijdens Dcpromo. Deze optie wordt alleen weergegeven wanneer de PDC wordt bijgewerkt naar een nieuw forest.
• Stel het forestniveau van een bestaand forest in op tussentijds en voeg vervolgens het forest toe tijdens de upgrade van de PDC. Het bijgewerkte domein neemt de forestinstelling over.
• Nadat alle Windows NT 4.0-BDCs zijn bijgewerkt of verwijderd, moet elk domein worden overgezet naar forestniveau en kan worden overgezet naar de forestmodus van Windows Server 2003.

Een reden om te voorkomen dat u de tussentijdse modus gebruikt, is als er plannen zijn om Windows Server 2000-domeincontrollers te implementeren na de upgrade of op elk gewenst moment in de toekomst.

Speciale overweging voor grote groepen in Windows NT 4.0

In volwassen Windows NT 4.0-domeinen kunnen beveiligingsgroepen met veel meer dan 5000 leden bestaan. Als in Windows NT 4.0 een lid van een beveiligingsgroep wordt gewijzigd, wordt alleen de lidmaatschapswijziging gerepliceerd naar de back-updomeincontrollers. In Windows Server 2000 zijn groepslidmaatschappen gekoppelde kenmerken die zijn opgeslagen in één kenmerk met meerdere waarden van het groepsobject. Wanneer één wijziging wordt aangebracht in het lidmaatschap van een groep, wordt de hele groep gerepliceerd als één eenheid. Omdat het groepslidmaatschap wordt gerepliceerd als één eenheid, is het mogelijk dat updates voor groepslidmaatschap verloren gaan wanneer verschillende leden tegelijkertijd op verschillende domeincontrollers worden toegevoegd of verwijderd. Daarnaast kan de grootte van dit enkele object meer zijn dan de buffer die wordt gebruikt voor het doorvoeren van een vermelding in de database. Zie de sectie Problemen met het versiearchief met grote groepen in dit artikel voor meer informatie. Om deze redenen is de aanbevolen limiet voor groepsleden 5000.

De uitzondering op de 5000-lidregel is de primaire groep (standaard is dit de groep Domeingebruikers). De primaire groep maakt gebruik van een 'berekend' mechanisme op basis van de 'primarygroupID' van de gebruiker om het lidmaatschap te bepalen. De primaire groep slaat geen leden op als gekoppelde kenmerken met meerdere waarden. Als de primaire groep van de gebruiker wordt gewijzigd in een aangepaste groep, wordt het lidmaatschap van de groep Domeingebruikers naar het gekoppelde kenmerk voor de groep geschreven en wordt deze niet meer berekend. De nieuwe primaire groep Rid wordt geschreven naar 'primarygroupID' en de gebruiker wordt verwijderd uit het lidkenmerk van de groep.

Als de beheerder het tussentijdse niveau voor het upgradedomein niet selecteert, moet u deze stappen vóór de upgrade uitvoeren:

1. Inventariseer alle grote groepen en identificeer alle groepen meer dan 5000, met uitzondering van de domeingebruikersgroep.
2. Alle groepen met meer dan 5000 leden moeten worden onderverdeeld in kleinere groepen van minder dan 5000 leden.
3. Zoek alle toegangsbeheerlijsten waar de grote groepen zijn ingevoerd en voeg de kleine groepen toe die u in stap 2.Windows Server 2003 tussentijdse forestniveau hebt gemaakt, zodat beheerders geen globale beveiligingsgroepen met meer dan 5000 leden moeten detecteren en opnieuw moeten toewijzen.

Problemen met versiearchief met grote groepen

Tijdens langlopende bewerkingen, zoals uitgebreide zoekopdrachten of doorvoeringen naar één groot kenmerk, moet Active Directory ervoor zorgen dat de status van de database statisch is totdat de bewerking is voltooid. Een voorbeeld van uitgebreide zoekopdrachten of doorvoeringen naar grote kenmerken is een grote groep die gebruikmaakt van verouderde opslag.

Omdat updates voor de database voortdurend lokaal en van replicatiepartners plaatsvinden, biedt Active Directory een statische status door alle binnenkomende wijzigingen in de wachtrij te plaatsen totdat de langdurige bewerking is voltooid. Zodra de bewerking is voltooid, worden de wijzigingen in de wachtrij toegepast op de database.

De opslaglocatie voor deze wijzigingen in de wachtrij wordt aangeduid als het 'versiearchief' en is ongeveer 100 megabytes. De grootte van het versiearchief varieert en is gebaseerd op het fysieke geheugen. Als een langlopende bewerking niet is voltooid voordat het versiearchief is uitgeput, accepteert de domeincontroller geen updates meer totdat de langdurige bewerking wordt uitgevoerd en de wijzigingen in de wachtrij worden doorgevoerd. Met groepen die grote aantallen (meer dan 5000 leden) bereiken, loopt de domeincontroller het risico dat de versieopslag wordt uitgeput zolang de grote groep wordt vastgelegd.

Windows Server 2003 introduceert een nieuw replicatiemechanisme voor gekoppelde kenmerken met meerdere waarden die replicatie van koppelingswaarden (LVR) worden genoemd. In plaats van de hele groep in één replicatiebewerking te repliceren, lost LVR dit probleem op door elk groepslid te repliceren als een afzonderlijke replicatiebewerking. LVR wordt beschikbaar wanneer het functionele forestniveau wordt verhoogd naar het tussentijdse forestniveau van Windows Server 2003 of naar het forestniveau van Windows Server 2003. In dit functionele niveau wordt LVR gebruikt voor het repliceren van groepen tussen Windows Server 2003-domeincontrollers.