Udostępnij za pośrednictwem

Jak podnieść poziom funkcjonalności domeny i lasu usługi Active Directory

  • Artykuł

W tym artykule opisano sposób podnoszenia poziomów funkcjonalności domeny i lasu usługi Active Directory.

Dotyczy: Windows Server 2003
Oryginalny numer KB: 322692

Podsumowanie

Aby uzyskać informacje o systemie Windows Server 2016 i nowych funkcjach w usługach domena usługi Active Directory (AD DS), zobacz Co nowego w usługach domena usługi Active Directory dla systemu Windows Server 2016.

W tym artykule omówiono podnoszenie poziomów funkcjonalności domeny i lasu obsługiwanych przez system Microsoft Windows Server 2003 lub nowszych kontrolerów domeny. Istnieją cztery wersje usługi Active Directory i tylko poziomy, które zostały zmienione z systemu Windows NT Server 4.0, wymagają specjalnej uwagi. W związku z tym inne zmiany na poziomie są wymienione przy użyciu nowszych, bieżących lub starszych wersji systemu operacyjnego kontrolera domeny, domeny lub poziomu funkcjonalności lasu.

Poziomy funkcjonalności to rozszerzenie trybu mieszanego i koncepcje trybu natywnego wprowadzone w systemie Microsoft Windows 2000 Server w celu aktywowania nowych funkcji usługi Active Directory. Niektóre dodatkowe funkcje usługi Active Directory są dostępne, gdy wszystkie kontrolery domeny są uruchomione najnowszą wersję systemu Windows Server w domenie lub w lesie, a gdy administrator aktywuje odpowiedni poziom funkcjonalności w domenie lub w lesie.

Aby aktywować najnowsze funkcje domeny, wszystkie kontrolery domeny muszą mieć uruchomioną najnowszą wersję systemu operacyjnego Windows Server w domenie. Jeśli to wymaganie zostanie spełnione, administrator może podnieść poziom funkcjonalności domeny.

Aby aktywować najnowsze funkcje całego lasu, wszystkie kontrolery domeny w lesie muszą mieć uruchomioną wersję systemu operacyjnego Windows Server odpowiadającą żądanemu poziomowi funkcjonalności lasu. Ponadto bieżący poziom funkcjonalności domeny musi już być na najnowszym poziomie. Jeśli te wymagania zostaną spełnione, administrator może podnieść poziom funkcjonalności lasu.

Ogólnie rzecz biorąc, zmiany poziomów funkcjonalności domeny i lasu są nieodwracalne. Jeśli można cofnąć zmianę, należy użyć odzyskiwania lasu. W systemie operacyjnym Windows Server 2008 R2 zmiany poziomów funkcjonalności domeny i poziomów funkcjonalności lasu można wycofać. Wycofanie można jednak wykonać tylko w określonych scenariuszach opisanych w artykule Technet dotyczącym poziomów funkcjonalności usługi Active Directory.

Uwaga 16.

Najnowsze poziomy funkcjonalności domeny i najnowsze poziomy funkcjonalności lasu mają wpływ tylko na sposób, w jaki kontrolery domeny działają razem jako grupa. Nie ma to wpływu na klientów korzystających z domeny lub z lasem. Ponadto aplikacje nie mają wpływu na zmiany poziomów funkcjonalności domeny lub poziomów funkcjonalności lasu. Jednak aplikacje mogą korzystać z najnowszych funkcji domeny i najnowszych funkcji lasu.

Aby uzyskać więcej informacji, zobacz artykuł TechNet dotyczący funkcji skojarzonych z różnymi poziomami funkcjonalności.

Podnoszenie poziomu funkcjonalności

Uwaga

Nie należy podnosić poziomu funkcjonalności, jeśli domena ma lub będzie mieć kontroler domeny, który jest starszej wersji niż wersja cytowana dla tego poziomu. Na przykład poziom funkcjonalności systemu Windows Server 2008 wymaga, aby wszystkie kontrolery domeny miały system Operacyjny Windows Server 2008 lub nowszy zainstalowany w domenie lub w lesie. Po podniesieniu poziomu funkcjonalności domeny na wyższy poziom można go zmienić tylko na starszy poziom przy użyciu odzyskiwania lasu. To ograniczenie istnieje, ponieważ funkcje często zmieniają komunikację między kontrolerami domeny lub funkcje zmieniają magazyn danych usługi Active Directory w bazie danych.

Najczęstszą metodą włączania poziomów funkcjonalności domeny i lasu jest użycie graficznych narzędzi administracyjnych interfejsu użytkownika (GUI), które zostały opisane w artykule TechNet dotyczącym poziomów funkcjonalności usługi Active Directory systemu Windows Server 2003. W tym artykule omówiono system Windows Server 2003. Jednak kroki są takie same w nowszych wersjach systemu operacyjnego. Ponadto poziom funkcjonalności można skonfigurować ręcznie lub skonfigurować za pomocą skryptów programu Windows PowerShell. Aby uzyskać więcej informacji na temat ręcznego konfigurowania poziomu funkcjonalności, zobacz sekcję "Wyświetlanie i ustawianie poziomu funkcjonalności".

Aby uzyskać więcej informacji o sposobie używania skryptu programu Windows PowerShell do konfigurowania poziomu funkcjonalności, zobacz Podnieś poziom funkcjonalności lasu.

Ręczne wyświetlanie i ustawianie poziomu funkcjonalności

Narzędzia protokołu LDAP (Lightweight Directory Access Protocol), takie jak Ldp.exe i Adsiedit.msc, mogą służyć do wyświetlania i modyfikowania bieżących ustawień poziomu funkcjonalności domeny i lasu. W przypadku ręcznej zmiany atrybutów poziomu funkcjonalności najlepszym rozwiązaniem jest wprowadzenie zmian atrybutów na kontrolerze domeny Elastyczne operacje jednowzorcowe (FSMO), który jest zwykle przeznaczony dla narzędzi administracyjnych firmy Microsoft.

Ustawienia poziomu funkcjonalności domeny

Atrybut msDS-Behavior-Version znajduje się na nagłówku kontekstu nazewnictwa (NC) dla domeny, czyli DC=corp, DC=contoso, DC=com.

Dla tego atrybutu można ustawić następujące wartości:

  • Wartość 0 lub nie ustawiona = domena na poziomie mieszanym
  • Wartość 1=poziom domeny systemu Windows Server 2003
  • Wartość 2= poziom domeny systemu Windows Server 2003
  • Wartość 3=poziom domeny systemu Windows Server 2008
  • Wartość 4=poziom domeny systemu Windows Server 2008 R2

Tryb mieszany i ustawienia trybu natywnego

Atrybut ntMixedDomain znajduje się na czele kontekstu nazewnictwa (NC) dla domeny, czyli DC=corp, DC=contoso, DC=com.

Dla tego atrybutu można ustawić następujące wartości:

  • Wartość 0= domena na poziomie natywnym
  • Wartość 1=domena na poziomie mieszanym

Ustawienie poziomu lasu

Atrybut msDS-Behavior-Version znajduje się na obiekcie CN=Partitions w kontekście nazewnictwa konfiguracji (NC), czyli CN=Partitions, CN=Configuration, DC= ForestRootDomain.

Dla tego atrybutu można ustawić następujące wartości:

  • Wartość 0 lub nie ustawiona = las na poziomie mieszanym

  • Wartość 1=Poziom lasu tymczasowego systemu Windows Server 2003

  • Wartość 2= poziom lasu systemu Windows Server 2003

    Uwaga 16.

    Po zwiększeniu atrybutu msDS-Behavior-Version z wartości 0 do wartości 1 przy użyciu poleceniaAdsiedit.msc zostanie wyświetlony następujący komunikat o błędzie:
    Niedozwolona operacja modyfikowania. Niektóre aspekty modyfikacji nie są dozwolone.

  • Wartość 3=poziom domeny systemu Windows Server 2008

  • Wartość 4=poziom domeny systemu Windows Server 2008 R2

Po użyciu narzędzi Lightweight Directory Access Protocol (LDAP) do edycji poziomu funkcjonalności kliknij przycisk OK, aby kontynuować. Atrybuty w kontenerze partycji i na głowie domeny są poprawnie zwiększane. Jeśli komunikat o błędzie jest zgłaszany przez plik Ldp.exe, możesz bezpiecznie zignorować komunikat o błędzie. Aby sprawdzić, czy wzrost poziomu zakończył się pomyślnie, odśwież listę atrybutów, a następnie sprawdź bieżące ustawienie. Ten komunikat o błędzie może również wystąpić po wykonaniu zwiększenia poziomu autorytatywnego FSMO, jeśli zmiana nie została jeszcze zreplikowana do lokalnego kontrolera domeny.

Szybkie wyświetlanie bieżących ustawień przy użyciu pliku Ldp.exe

  1. Uruchom plik Ldp.exe.
  2. W menu Connection kliknij polecenie Connect.
  3. Określ kontroler domeny, który chcesz wykonać zapytanie, lub pozostaw puste miejsce, aby nawiązać połączenie z dowolnym kontrolerem domeny.

Po nawiązaniu połączenia z kontrolerem domeny zostanie wyświetlona informacja RootDSE dla kontrolera domeny. Te informacje obejmują informacje dotyczące lasu, domeny i kontrolerów domeny. Poniżej przedstawiono przykład kontrolera domeny opartego na systemie Windows Server 2003. W poniższym przykładzie przyjęto założenie, że tryb domeny to Windows Server 2003 i że tryb lasu to Windows 2000 Server.

Uwaga 16.

Funkcja kontrolera domeny reprezentuje najwyższy możliwy poziom funkcjonalności dla tego kontrolera domeny.

  • 1> domainFunctionality: 2=(DS_BEHAVIOR_WIN2003)
  • 1> lasFunctionality: 0=(DS_BEHAVIOR_WIN2000)
  • 1> domainControllerFunctionality: 2=(DS_BEHAVIOR_WIN2003)

Wymagania dotyczące ręcznego zmieniania poziomu funkcjonalności

  • Należy zmienić tryb domeny na tryb macierzysty przed podniesieniem poziomu domeny, jeśli spełniony jest jeden z następujących warunków:

    • Poziom funkcjonalności domeny jest programowo podniesiony do drugiego poziomu funkcjonalności, bezpośrednio modyfikując wartość atrybutu msdsBehaviorVersion w obiekcie domainDNS.
    • Poziom funkcjonalności domeny jest podniesiony do drugiego poziomu funkcjonalności przy użyciu narzędzia Ldp.exe lub narzędzia Adsiedit.msc.

    Jeśli nie zmienisz trybu domeny na tryb macierzysty przed podniesieniem poziomu domeny, operacja nie zostanie ukończona pomyślnie i zostanie wyświetlony następujący komunikat o błędzie:

    SV_PROBLEM_WILL_NOT_PERFORM

    ERROR_DS_ILLEGAL_MOD_OPERATION

    Ponadto w dzienniku usług katalogowych jest rejestrowany następujący komunikat:

    Active Directory could not update the functional level of the following domain because the domain is in mixed mode.

    W tym scenariuszu można zmienić tryb domeny na tryb macierzysty za pomocą przystawki Użytkownicy i komputery usługi Active Directory, używając przystawki mmC interfejsu użytkownika domena usługi Active Directory s & Trusts lub programowo zmieniając wartość atrybutu ntMixedDomain na wartość 0 w obiekcie domainDNS. Gdy ten proces jest używany do podniesienia poziomu funkcjonalności domeny do 2 (Windows Server 2003), tryb domeny zostanie automatycznie zmieniony na tryb macierzysty.

  • Przejście z trybu mieszanego na tryb macierzysty zmienia zakres grupy zabezpieczeń Administratorzy schematu i grupy zabezpieczeń Administratorzy przedsiębiorstwa na grupy uniwersalne. Po zmianie tych grup na grupy uniwersalne w dzienniku systemu jest rejestrowany następujący komunikat:

    Event Type: Information  
Event Source: SAM  
Event ID: 16408  
Computer:Server Name  
Description: "Domain operation mode has been changed to Native Mode. The change cannot be reversed."

  • Gdy narzędzia administracyjne systemu Windows Server 2003 są używane do wywoływania poziomu funkcjonalności domeny, atrybut ntmixedmode i atrybut msdsBehaviorVersion są modyfikowane w odpowiedniej kolejności. Jednak nie zawsze występuje to. W poniższym scenariuszu tryb macierzysty jest niejawnie ustawiany na wartość 0 bez zmiany zakresu grupy zabezpieczeń Administratorzy schematu i grupy zabezpieczeń Administratorzy przedsiębiorstwa na uniwersalną:

    • Atrybut msdsBehaviorVersion, który kontroluje tryb funkcjonalny domeny, jest ręcznie lub programowo ustawiony na wartość 2.
    • Poziom funkcjonalności lasu jest ustawiony na 2 przy użyciu dowolnej metody. W tym scenariuszu kontrolery domeny blokują przejście na poziom funkcjonalności lasu, dopóki wszystkie domeny, które znajdują się w sieci lokalnej, zostaną skonfigurowane do trybu natywnego, a wymagana zmiana atrybutu zostanie wprowadzona w zakresach grupy zabezpieczeń.

Poziomy funkcjonalności związane z systemem Windows 2000 Server

System Windows 2000 Server obsługuje tylko tryb mieszany i tryb macierzysty. Ponadto stosuje tylko te tryby do funkcji domeny. W poniższych sekcjach wymieniono tryby domeny systemu Windows Server 2003, ponieważ te tryby wpływają na sposób uaktualniania domen systemu Windows NT 4.0 i Windows 2000 Server.

Podczas podnoszenia poziomu systemu operacyjnego kontrolera domeny należy wziąć pod uwagę wiele zagadnień. Te zagadnienia są spowodowane ograniczeniami magazynu i replikacji połączonych atrybutów w trybach systemu Windows 2000 Server.

Windows 2000 Server mieszane (ustawienie domyślne)

  • Obsługiwane kontrolery domeny: Microsoft Windows NT 4.0, Windows 2000 Server, Windows Server 2003
  • Aktywowane funkcje: lokalne i globalne grupy, obsługa wykazu globalnego

Windows 2000 Server native

  • Obsługiwane kontrolery domeny: Windows 2000 Server, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2
  • Aktywowane funkcje: zagnieżdżanie grup, grupy uniwersalne, historia sid, konwertowanie grup między grupami zabezpieczeń i grupami dystrybucyjnymi, można podnieść poziomy domeny przez zwiększenie ustawień poziomu lasu

Windows Server 2003 — wersja tymczasowa

  • Obsługiwane kontrolery domeny: Windows NT 4.0, Windows Server 2003
  • Obsługiwane funkcje: na tym poziomie nie są aktywowane żadne funkcje w całej domenie. Wszystkie domeny w lesie są automatycznie podniesione do tego poziomu, gdy poziom lasu wzrasta do tymczasowego. Ten tryb jest używany tylko podczas uaktualniania kontrolerów domeny w domenach systemu Windows NT 4.0 do kontrolerów domeny systemu Windows Server 2003.

Windows Server 2003

  • Obsługiwane kontrolery domeny: Windows Server 2003, Windows Server 2008, Windows Server 2008 R2
  • Obsługiwane funkcje: zmiana nazwy kontrolera domeny, zaktualizowano i zreplikowany atrybut znacznika czasu logowania. Obsługa haseł użytkownika w obiekcie InetOrgPersonClass. Ograniczone delegowanie, można przekierować kontenery Użytkownicy i komputery.

Domeny uaktualnione z systemu Windows NT 4.0 lub utworzone przez podwyższenie poziomu komputera z systemem Windows Server 2003 działają na mieszanym poziomie funkcjonalności systemu Windows 2000. Domeny systemu Windows 2000 Server zachowują bieżący poziom funkcjonalności domeny, gdy kontrolery domeny systemu Windows 2000 Server są uaktualniane do systemu operacyjnego Windows Server 2003. Poziom funkcjonalności domeny można podnieść do systemu Windows 2000 Server native lub Windows Server 2003.

Poziom tymczasowy — uaktualnianie z domeny systemu Windows NT 4.0

Usługa Active Directory systemu Windows Server 2003 zezwala na specjalny poziom funkcjonalności lasu i domeny o nazwie Windows Server 2003 w międzyczasie. Ten poziom funkcjonalności jest zapewniany w przypadku uaktualnień istniejących domen systemu Windows NT 4.0, w których co najmniej jeden kontroler domeny kopii zapasowej systemu Windows NT 4.0 (BDCs) musi działać po uaktualnieniu. Kontrolery domeny systemu Windows 2000 Server nie są obsługiwane w tym trybie. System Windows Server 2003 w wersji tymczasowej ma zastosowanie do następujących scenariuszy:

  • Uaktualnienia domeny z systemu Windows NT 4.0 do systemu Windows Server 2003.
  • Kontrolery BDC systemu Windows NT 4.0 nie są natychmiast uaktualniane.
  • Domeny systemu Windows NT 4.0 zawierające grupy z ponad 5000 członkami (z wyjątkiem grupy użytkowników domeny).
  • W dowolnym momencie nie ma planów wdrożenia kontrolerów domeny systemu Windows Server2000 w lesie.

System Windows Server 2003 w wersji tymczasowej zapewnia dwa ważne ulepszenia, jednocześnie zezwalając na replikację do kontrolerów BDC systemu Windows NT 4.0:

  1. Wydajna replikacja grup zabezpieczeń i obsługa ponad 5000 członków na grupę.
  2. Ulepszone algorytmy generatora topologii międzylokacyjnej KCC.

Ze względu na wydajność replikacji grup, która jest aktywowana na poziomie tymczasowym, poziom tymczasowy jest zalecanym poziomem dla wszystkich uaktualnień systemu Windows NT 4.0. Aby uzyskać więcej informacji, zobacz sekcję "Najlepsze rozwiązania" tego artykułu.

Ustawianie tymczasowego poziomu funkcjonalności lasu systemu Windows Server 2003

System Windows Server 2003 w wersji tymczasowej można aktywować na trzy różne sposoby. Pierwsze dwie metody są zdecydowanie zalecane. Dzieje się tak, ponieważ grupy zabezpieczeń używają replikacji wartości połączonej (LVR) po uaktualnieniu podstawowego kontrolera domeny (PDC) domeny systemu Windows NT 4.0 do kontrolera domeny systemu Windows Server 2003. Trzecia opcja jest mniej zalecana, ponieważ członkostwo w grupach zabezpieczeń używa pojedynczego atrybutu wielowartego, co może powodować problemy z replikacją. Sposoby aktywowania tymczasowego systemu Windows Server 2003 to:

  1. Podczas uaktualniania.

    Opcja jest wyświetlana w kreatorze instalacji Dcpromo podczas uaktualniania kontrolera PDC domeny systemu Windows NT 4.0, która służy jako pierwszy kontroler domeny w domenie głównej nowego lasu.

  2. Przed uaktualnieniem kontrolera PDC systemu Windows NT 4.0 systemu Windows NT 4.0 jako pierwszego kontrolera domeny nowej domeny w istniejącym lesie ręcznie konfigurując poziom funkcjonalności lasu przy użyciu narzędzi LDAP (Lightweight Directory Access Protocol).

    Domeny podrzędne dziedziczą ustawienia funkcji całego lasu z lasu, do którego są promowane. Uaktualnianie kontrolera PDC domeny systemu Windows NT 4.0 jako domeny podrzędnej w istniejącym lesie systemu Windows Server 2003, w którym poziom funkcjonalności lasu tymczasowego został skonfigurowany przy użyciu pliku Ldp.exe lub pliku Adsiedit.msc zezwala grupom zabezpieczeń na używanie replikacji wartości połączonej po uaktualnieniu wersji systemu operacyjnego.

  3. Po uaktualnieniu przy użyciu narzędzi LDAP.

    Użyj dwóch ostatnich opcji podczas dołączania istniejącego lasu systemu Windows Server 2003 podczas uaktualniania. Jest to typowy scenariusz, w przypadku gdy "pusta domena główna" jest w stanie. Uaktualniona domena jest przyłączona jako element podrzędny pustego katalogu głównego i dziedziczy ustawienie domeny z lasu.

Najlepsze rozwiązania

W poniższej sekcji omówiono najlepsze rozwiązania dotyczące zwiększania poziomów funkcjonalności. Sekcja jest podzielona na dwie części. "Zadania przygotowania" omawia pracę, którą należy wykonać przed zwiększeniem i "Zwiększenie optymalnych ścieżek" omawia motywacje i metody dla różnych scenariuszy zwiększania poziomu.

Aby odnaleźć kontrolery domeny systemu Windows NT 4.0, wykonaj następujące kroki:

  1. Z dowolnego kontrolera domeny opartego na systemie Windows Server 2003 otwórz Użytkownicy i komputery usługi Active Directory.

  2. Jeśli kontroler domeny nie jest jeszcze połączony z odpowiednią domeną, wykonaj następujące kroki, aby nawiązać połączenie z odpowiednią domeną:

    1. Kliknij prawym przyciskiem myszy bieżący obiekt domeny, a następnie kliknij polecenie Połącz z domeną.
    2. W domenie okno dialogowe, wpisz nazwę DNS domeny, z którą chcesz nawiązać połączenie, a następnie kliknij przycisk OK. Lub kliknij przycisk Przeglądaj , aby wybrać domenę z drzewa domeny, a następnie kliknij przycisk OK.

  3. Kliknij prawym przyciskiem myszy obiekt domeny, a następnie kliknij przycisk Znajdź.

  4. W oknie dialogowym Znajdowanie kliknij pozycję Wyszukiwanie niestandardowe.

  5. Kliknij domenę, dla której chcesz zmienić poziom funkcjonalności.

  6. Kliknij kartę Zaawansowane.

  7. W polu Zapytania Enter LDAP wpisz następujące i nie pozostaw spacji między dowolnymi znakami: (&(objectCategory=computer)(operatingSystem Version=4*)(userAccountControl:1.2.840.113556.1.4.803:=8192))

    Uwaga 16.

    To zapytanie nie uwzględnia wielkości liter.

  8. Kliknij pozycję Znajdź teraz.

    Zostanie wyświetlona lista komputerów w domenie z systemem Windows NT 4.0 i działających jako kontrolery domeny.

Kontroler domeny może pojawić się na liście z dowolnego z następujących powodów:

  • Kontroler domeny działa z systemem Windows NT 4.0 i musi zostać uaktualniony.
  • Kontroler domeny został uaktualniony do systemu Windows Server 2003, ale zmiana nie jest replikowana do docelowego kontrolera domeny.
  • Kontroler domeny nie jest już w usłudze, ale obiekt komputera kontrolera domeny nie jest usuwany z domeny.

Przed zmianą poziomu funkcjonalności domeny na Windows Server 2003 należy fizycznie zlokalizować dowolny kontroler domeny na liście, określić bieżący stan kontrolera domeny, a następnie uaktualnić lub usunąć kontroler domeny odpowiednio.

Uwaga 16.

W przeciwieństwie do kontrolerów domeny systemu Windows Server 2000 kontrolery domeny systemu Windows NT 4.0 nie blokują zwiększenia poziomu. Po zmianie poziomu funkcjonalności domeny replikacja do kontrolerów domeny systemu Windows NT 4.0 zostanie zatrzymana. Jednak podczas próby zwiększenia do poziomu lasu systemu Windows Server 2003 z domenami w systemie Windows Server 2000 poziom mieszany jest blokowany. Brak kontrolerów BDC systemu Windows NT 4.0 jest dorozumiany przez spełnienie wymagań dotyczących poziomu lasu wszystkich domen na poziomie natywnym systemu Windows Server 2000 lub nowszym.

Przykład: Przygotowywanie zadań przed zwiększeniem poziomu

W tym przykładzie środowisko jest wywoływane z trybu mieszanego systemu Windows Server 2000 do trybu lasu systemu Windows Server 2003.

Spis lasu dla wcześniejszych wersji kontrolerów domeny.

Jeśli dokładna lista serwerów jest niedostępna, wykonaj następujące kroki:

  1. Aby odnaleźć domeny na poziomie mieszanym, kontrolery domeny systemu Windows Server 2000 lub kontrolery domeny z uszkodzonymi lub brakującymi obiektami, użyj domen usługi Active Directory i przystawki MMC Zaufania.
  2. W przystawce kliknij pozycję Podnieś funkcjonalność lasu, a następnie kliknij pozycję Zapisz jako , aby wygenerować szczegółowy raport.
  3. Jeśli nie znaleziono żadnych problemów, opcja zwiększenia do poziomu lasu systemu Windows Server 2003 jest dostępna z listy rozwijanej "Dostępne poziomy funkcjonalności lasu". Podczas próby podniesienia poziomu lasu obiekty kontrolera domeny w kontenerach konfiguracji są wyszukiwane dla wszystkich kontrolerów domeny, które nie mają wersji msds-behavior-version ustawionej na żądany poziom docelowy. Przyjmuje się, że są to kontrolery domeny systemu Windows Server 2000 lub nowsze obiekty kontrolera domeny systemu Windows Server, które są uszkodzone.
  4. Jeśli znaleziono starsze kontrolery domeny lub kontrolery domeny, które mają uszkodzone lub brakujące obiekty komputera, są one uwzględnione w raporcie. Stan tych kontrolerów domeny należy zbadać, a reprezentacja kontrolera domeny w usłudze Active Directory musi zostać naprawiona lub usunięta przy użyciu pliku Ntdsutil.

Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
216498 Jak usunąć dane w usłudze Active Directory po nieudanej degradacji kontrolera domeny

Sprawdź, czy replikacja end to End działa w lesie

Aby sprawdzić, czy replikacja end to End działa w lesie, użyj systemu Windows Server 2003 lub nowszej wersji narzędzia Repadmin względem systemu Windows Server 2000 lub kontrolerów domeny systemu Windows Server 2003:

  • Repadmin/Replsum * /Sort:Delta[/Errorsonly] dla początkowego spisu.

  • Repadmin/Showrepl * /CSV>showrepl.csv. Zaimportuj do programu Excel, a następnie użyj filtru Data-Autofiltr>, aby zidentyfikować funkcje replikacji.

    Użyj narzędzi replikacji, takich jak Repadmin, aby sprawdzić, czy replikacja w całym lesie działa prawidłowo.

Sprawdź zgodność wszystkich programów lub usług z nowszymi kontrolerami domeny systemu Windows Server oraz z wyższym trybem domeny i lasu systemu Windows Server. Użyj środowiska laboratoryjnego, aby dokładnie przetestować programy produkcyjne i usługi pod kątem problemów ze zgodnością. Skontaktuj się z dostawcami w celu potwierdzenia możliwości.

Przygotuj plan wycofywania obejmujący jedną z następujących akcji:

  • Odłącz co najmniej dwa kontrolery domeny od każdej domeny w lesie.
  • Utwórz kopię zapasową stanu systemu co najmniej dwóch kontrolerów domeny z każdej domeny w lesie.

Zanim będzie można użyć planu wycofywania, wszystkie kontrolery domeny w lesie muszą zostać zlikwidowane przed procesem odzyskiwania.

Uwaga 16.

Nie można autorytatywnie przywrócić poziomów. Oznacza to, że wszystkie kontrolery domeny, które replikowały wzrost poziomu, muszą zostać zlikwidowane.

Po zlikwidowaniu wszystkich poprzednich kontrolerów domeny utwórz odłączone kontrolery domeny lub przywróć kontrolery domeny z kopii zapasowej. Usuń metadane ze wszystkich pozostałych kontrolerów domeny, a następnie przeproś je ponownie. Jest to trudny proces i należy go unikać.

Przykład: Jak uzyskać z poziomu mieszanego systemu Windows Server 2000 do poziomu lasu systemu Windows Server 2003

Zwiększ wszystkie domeny do poziomu natywnego systemu Windows Server 2000. Po zakończeniu tej czynności zwiększ poziom funkcjonalności domeny głównej lasu do poziomu lasu systemu Windows Server 2003. Gdy poziom lasu jest replikowany do kontrolerów PDC dla każdej domeny w lesie, poziom domeny jest automatycznie zwiększany do poziomu domeny systemu Windows Server 2003. Ta metoda ma następujące zalety:

  • Wzrost poziomu całego lasu jest wykonywany tylko raz. Nie trzeba ręcznie zwiększać każdej domeny w lesie do poziomu funkcjonalności domeny systemu Windows Server 2003.
  • Sprawdzanie kontrolerów domeny systemu Windows Server 2000 jest wykonywane przed zwiększeniem poziomu (zobacz kroki przygotowania). Zwiększenie jest blokowane do momentu usunięcia lub uaktualnienia kontrolerów domeny. Szczegółowy raport można wygenerować, wyświetlając listę blokujących kontrolerów domeny i dostarczając dane z możliwością działania.
  • Przeprowadza się sprawdzanie domen w systemie Windows Server 2000 mieszanym lub Windows Server 2003 na poziomie tymczasowym. Wzrost jest blokowany do momentu zwiększenia poziomu domeny do co najmniej systemu Windows Server 2000 natywnego. Domeny na poziomie tymczasowym należy zwiększyć do poziomu domeny systemu Windows Server 2003. Szczegółowy raport można wygenerować, wyświetlając listę domen blokujących.

Uaktualnienia systemu Windows NT 4.0

Uaktualnienia systemu Windows NT 4.0 zawsze używają poziomu tymczasowego podczas uaktualniania kontrolera PDC, chyba że kontrolery domeny systemu Windows Server 2000 zostały wprowadzone do lasu kontrolera PDC jest uaktualniany do. Gdy tryb tymczasowy jest używany podczas uaktualniania kontrolera PDC, istniejące duże grupy używają replikacji LVR natychmiast, unikając potencjalnych problemów z replikacją, które zostały omówione wcześniej w tym artykule. Użyj jednej z następujących metod, aby przejść do poziomu tymczasowego podczas uaktualniania:

  • Wybierz poziom tymczasowy podczas dcpromo. Ta opcja jest wyświetlana tylko wtedy, gdy kontroler PDC zostanie uaktualniony do nowego lasu.
  • Ustaw poziom lasu istniejącego lasu na tymczasowy, a następnie dołącz do lasu podczas uaktualniania kontrolera PDC. Uaktualniona domena dziedziczy ustawienie lasu.
  • Po uaktualnieniu lub usunięciu wszystkich kontrolerów BDC systemu Windows NT 4.0 każda domena musi zostać przeniesiona na poziom lasu i może zostać przeniesiona do trybu lasu systemu Windows Server 2003.

Powodem uniknięcia korzystania z trybu tymczasowego jest to, że istnieją plany wdrożenia kontrolerów domeny systemu Windows Server 2000 po uaktualnieniu lub w dowolnym momencie w przyszłości.

Szczególna uwaga dotycząca dużych grup w systemie Windows NT 4.0

W dojrzałych domenach systemu Windows NT 4.0 mogą istnieć grupy zabezpieczeń zawierające znacznie więcej niż 5000 członków. W systemie Windows NT 4.0, gdy członek grupy zabezpieczeń zmieni się, tylko pojedyncza zmiana członkostwa jest replikowana do kontrolerów domeny kopii zapasowej. W systemie Windows Server 2000 członkostwa w grupach są atrybutami połączonymi przechowywanymi w jednym wielowartościowym atrybucie obiektu grupy. Po wprowadzeniu jednej zmiany członkostwa w grupie cała grupa jest replikowana jako pojedyncza jednostka. Ponieważ członkostwo w grupie jest replikowane jako pojedyncza jednostka, istnieje możliwość, że aktualizacje członkostwa w grupie zostaną "utracone", gdy różne elementy członkowskie zostaną dodane lub usunięte w tym samym czasie na różnych kontrolerach domeny. Ponadto rozmiar tego pojedynczego obiektu może być większy niż bufor używany do zatwierdzania wpisu w bazie danych. Aby uzyskać więcej informacji, zobacz sekcję "Problemy z magazynem wersji dla dużych grup" w tym artykule. Z tych powodów zalecany limit dla członków grupy wynosi 5000.

Wyjątkiem od reguły 5000 członków jest grupa podstawowa (domyślnie jest to grupa "Użytkownicy domeny"). Grupa podstawowa używa mechanizmu "obliczonego" na podstawie "primarygroupID" użytkownika w celu określenia członkostwa. Grupa podstawowa nie przechowuje elementów członkowskich jako atrybutów połączonych wielowartościowych. Jeśli grupa podstawowa użytkownika zostanie zmieniona na grupę niestandardową, ich członkostwo w grupie Użytkownicy domeny jest zapisywane w połączonym atrybucie dla grupy i nie jest już obliczane. Nowa grupa podstawowa Rid jest zapisywana w "primarygroupID", a użytkownik jest usuwany z atrybutu członkowskiego grupy.

Jeśli administrator nie wybierze poziomu tymczasowego dla domeny uaktualnienia, przed uaktualnieniem należy wykonać następujące kroki:

  1. Utwórz spis wszystkich dużych grup i zidentyfikuj wszystkie grupy powyżej 5000 z wyjątkiem grupy użytkowników domeny.
  2. Wszystkie grupy, które mają więcej niż 5000 członków, muszą być podzielone na mniejsze grupy mniejsze niż 5000 członków.
  3. Znajdź wszystkie listy kontroli dostępu, w których wprowadzono duże grupy i dodaj małe grupy utworzone w kroku 2.Windows Server 2003 poziom lasu tymczasowego zwalnia administratorów z konieczności odnajdywania i reallokowania globalnych grup zabezpieczeń z ponad 5000 członków.

Problemy z magazynem wersji w dużych grupach

Podczas długotrwałych operacji, takich jak głębokie wyszukiwania lub zatwierdzenia pojedynczego, dużego atrybutu, usługa Active Directory musi upewnić się, że stan bazy danych jest statyczny do momentu zakończenia operacji. Przykładem głębokich wyszukiwań lub zatwierdzeń do dużych atrybutów jest duża grupa używająca starszego magazynu.

Ponieważ aktualizacje bazy danych są stale wykonywane lokalnie i od partnerów replikacji, usługa Active Directory zapewnia stan statyczny przez kolejkowanie wszystkich zmian przychodzących do momentu zakończenia długotrwałej operacji. Po zakończeniu operacji zmiany w kolejce zostaną zastosowane do bazy danych.

Lokalizacja przechowywania tych zmian w kolejce jest określana jako "magazyn wersji" i wynosi około 100 megabajtów. Rozmiar magazynu wersji jest różny i zależy od pamięci fizycznej. Jeśli długotrwała operacja nie zostanie zakończona przed wyczerpaniem magazynu wersji, kontroler domeny przestanie akceptować aktualizacje do czasu zatwierdzenia długotrwałych operacji i zatwierdzonych zmian w kolejce. Grupy, które osiągną dużą liczbę (ponad 5000 członków), narażają kontroler domeny na ryzyko wyczerpania magazynu wersji, o ile duża grupa zostanie zatwierdzona.

System Windows Server 2003 wprowadza nowy mechanizm replikacji dla połączonych atrybutów wielowartośćowych nazywanych replikacją wartości łącza (LVR). Zamiast replikować całą grupę w ramach pojedynczej operacji replikacji, LVR rozwiązuje ten problem, replikując każdy element członkowski grupy jako oddzielną operację replikacji. LVR staje się dostępny, gdy poziom funkcjonalności lasu zostanie podniesiony do poziomu lasu tymczasowego systemu Windows Server 2003 lub do poziomu lasu systemu Windows Server 2003. Na tym poziomie funkcjonalności LVR służy do replikowania grup między kontrolerami domeny systemu Windows Server 2003.