Compartilhar via

Como atualizar controladores de domínio do Windows 2000 para o Windows Server 2003

  • Artigo

Este artigo discute como atualizar os controladores de domínio do Microsoft Windows 2000 para o Windows Server 2003 e como adicionar novos controladores de domínio do Windows Server 2003 aos domínios do Windows 2000.

Número original do KB: 325379

Resumo

Este artigo discute como atualizar os controladores de domínio do Microsoft Windows 2000 para o Windows Server 2003 e como adicionar novos controladores de domínio do Windows Server 2003 aos domínios do Windows 2000. Para obter mais informações sobre como atualizar controladores de domínio para o Windows Server 2008 ou Windows Server 2008 R2, visite o seguinte site da Microsoft:

Atualizar controladores de domínio: Início rápido do Suporte da Microsoft para adicionar controladores de domínio do Windows Server 2008 ou Windows Server 2008 R2 a domínios existentes

Inventário de domínios e florestas

Antes de atualizar os controladores de domínio do Windows 2000 para o Windows Server 2003 ou antes de adicionar novos controladores de domínio do Windows Server 2003 a um domínio do Windows 2000, siga estas etapas:

  1. Faça o inventário dos clientes que acessam recursos no domínio que hospedam controladores de domínio do Windows Server 2003 para compatibilidade com a assinatura SMB:

    Cada controlador de domínio do Windows Server 2003 habilita a assinatura SMB em sua diretiva de segurança local. Certifique-se de que todos os clientes de rede que usam o protocolo SMB/CIFS para acessar arquivos e impressoras compartilhados em domínios que hospedam controladores de domínio do Windows Server 2003 possam ser configurados ou atualizados para oferecer suporte à assinatura SMB. Se não puderem, desabilite temporariamente a assinatura SMB até que as atualizações possam ser instaladas ou até que os clientes possam ser atualizados para sistemas operacionais mais recentes que ofereçam suporte à assinatura SMB. Para obter informações sobre como desabilitar a assinatura SMB, consulte a seção Para desabilitar a assinatura SMB no final desta etapa.

    Planos de ação

    A lista a seguir mostra os planos de ação para clientes SMB populares:

    • Microsoft Windows Server 2003, Microsoft Windows XP Professional, Microsoft Windows 2000 Server, Microsoft Windows 2000 Professional e Microsoft Windows 98

      Nenhuma ação é necessária.

    • Microsoft Windows NT 4.0 Instale o Service Pack 3 ou posterior (recomenda-se o Service Pack 6A) em todos os computadores baseados no Windows NT 4.0 que acessam domínios que contêm computadores baseados no Windows Server 2003. Em vez disso, desabilite temporariamente a assinatura SMB em controladores de domínio do Windows Server 2003. Para obter informações sobre como desabilitar a assinatura SMB, consulte a seção Para desabilitar a assinatura SMB no final desta etapa.

    • Microsoft Windows 95

      Instale o cliente do serviço de diretório do Windows 9 x nos computadores baseados no Windows 95 ou desabilite temporariamente a assinatura SMB nos controladores de domínio do Windows Server 2003. O cliente de serviço de diretório Win9 x original está disponível no CD-ROM do Windows 2000 Server. No entanto, esse complemento de cliente foi substituído por um cliente de serviço de diretório Win9 x aprimorado. Para obter informações sobre como desabilitar a assinatura SMB, consulte a seção Para desabilitar a assinatura SMB no final desta etapa.

    • Cliente de rede Microsoft para clientes MS-DOS e Microsoft LAN Manager

      O Microsoft Network Client para MS-DOS e o cliente de rede Microsoft LAN Manager 2.x podem ser usados para fornecer acesso a recursos de rede ou podem ser combinados com um disquete inicializável para copiar arquivos do sistema operacional e outros arquivos de um diretório compartilhado em um servidor de arquivos como parte de uma rotina de instalação de software. Esses clientes não dão suporte à assinatura SMB. Use um método de instalação alternativo ou desabilite a assinatura SMB. Para obter informações sobre como desabilitar a assinatura SMB, consulte a seção Para desabilitar a assinatura SMB no final desta etapa.

    • Clientes Macintosh

      Alguns clientes Macintosh não são compatíveis com a assinatura SMB e receberão a seguinte mensagem de erro quando tentarem se conectar a um recurso de rede:

      - Erro -36 E/S

      Instale o software atualizado, se estiver disponível. Caso contrário, desabilite a assinatura SMB em controladores de domínio do Windows Server 2003. Para obter informações sobre como desabilitar a assinatura SMB, consulte a seção Para desabilitar a assinatura SMB no final desta etapa.

    • Outros clientes SMB de terceiros

      Alguns clientes SMB de terceiros não dão suporte à assinatura SMB. Consulte seu provedor SMB para ver se existe uma versão atualizada. Caso contrário, desabilite a assinatura SMB em controladores de domínio do Windows Server 2003.

    Para desabilitar a assinatura SMB

    Se as atualizações de software não puderem ser instaladas em controladores de domínio afetados que executam o Windows 95, o Windows NT 4.0 ou outros clientes instalados antes da introdução do Windows Server 2003, desabilite temporariamente os requisitos de assinatura de serviço SMB na Diretiva de Grupo até que você possa implantar o software cliente atualizado.

    Você pode desabilitar a assinatura de serviço SMB no seguinte nó da política de Controladores de Domínio Padrão na unidade organizacional dos controladores de domínio: Configuração do Computador\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança\Microsoft Network Server:

    Assine digitalmente as comunicações (sempre)

    Se os controladores de domínio não estiverem localizados na unidade organizacional do controlador de domínio, você deverá vincular o GPO (objeto de Diretiva de Grupo) do controlador de domínio padrão a todas as unidades organizacionais que hospedam controladores de domínio do Windows 2000 ou do Windows Server 2003. Ou você pode configurar a assinatura de serviço SMB em um GPO vinculado a essas unidades organizacionais.

  2. Faça o inventário dos controladores de domínio que estão no domínio e na floresta:

    1. Verifique se todos os controladores de domínio do Windows 2000 na floresta instalaram todos os hotfixes e service packs apropriados.

      A Microsoft recomenda que todos os controladores de domínio do Windows 2000 executem o Windows 2000 Service Pack 4 (SP4) ou sistemas operacionais posteriores. Se você não puder implantar totalmente o Windows 2000 SP4 ou posterior, todos os controladores de domínio do Windows 2000 deverão ter um arquivo Ntdsa.dll cujo carimbo de data e versão sejam posteriores a 4 de junho de 2001 e 5.0.2195.3673.

      Por padrão, as ferramentas administrativas do Active Directory em computadores cliente Windows 2000 SP4, Windows XP e Windows Server 2003 usam a assinatura LDAP (Lightweight Directory Access Protocol). Se esses computadores usarem (ou recorrerem) à autenticação NTLM quando administrarem remotamente controladores de domínio do Windows 2000, a conexão não funcionará. Para resolver esse comportamento, os controladores de domínio administrados remotamente devem ter no mínimo o Windows 2000 SP3 instalado. Caso contrário, você deve desativar a assinatura LDAP nos clientes que executam as ferramentas de administração.

      Os seguintes cenários usam a autenticação NTLM:

      • Você administra controladores de domínio do Windows 2000 localizados em uma floresta externa conectada por uma relação de confiança NTLM (não Kerberos).
      • Você concentra os snap-ins do MMC (Console de Gerenciamento Microsoft) em um controlador de domínio específico referenciado por seu endereço IP. Por exemplo, clique em Iniciar, clique em Executar e digite o seguinte comando:dsa.msc /server=ipaddress

      Para determinar o sistema operacional e o nível de revisão do service pack dos controladores de domínio do Active Directory em um domínio do Active Directory, instale a versão do Windows Server 2003 do Repadmin.exe em um computador membro do Windows XP Professional ou do Windows Server 2003 na floresta e execute o seguinte repadmin comando em um controlador de domínio em cada domínio da floresta:

      >repadmin /showattr <name of the domain controller that is in the target domain> ncobj:domain: /filter:"(&(objectCategory=computer)(primaryGroupID=516))" /subtree /atts:operatingSystem,operatingSystemVersion,operatingSystemServicePack

DN: CN=NA-DC-01,organizational unit=Domain Controllers,DC=company,DC=com
 1> operatingSystem: Windows Server 2003
 1> operatingSystemVersion: 5.2 (3718)
DN: CN=NA-DC-02,organizational unit=Domain Controllers,DC=company,DC=com
 1> operatingSystem: Windows 2000 Server
 1> operatingSystemVersion: 5.0 (2195)
 1> operatingSystemServicePack: Service Pack 1

      Observação

      Os atributos do controlador de domínio não rastreiam a instalação de hotfixes individuais.

    2. Verifique a replicação de ponta a ponta do Active Directory em toda a floresta.

      Verifique se cada controlador de domínio na floresta atualizada replica todos os seus contextos de nomenclatura mantidos localmente com seus parceiros de forma consistente com o agendamento definido por links de site ou objetos de conexão. Use a versão do Windows Server 2003 do Repadmin.exe em um computador membro baseado no Windows XP ou no Windows Server 2003 na floresta com os seguintes argumentos: Todos os controladores de domínio na floresta devem replicar o Active Directory sem erros e os valores na coluna "Maior Delta" da saída repadmin não devem ser significativamente maiores do que a freqüência de replicação nos links de site ou objetos de conexão correspondentes usados por um determinado domínio de destino controlador.

      Resolva todos os erros de replicação entre controladores de domínio que falharam ao replicar de entrada em menos de um número de dias TSL (Tempo de Vida da Marca de Exclusão) (por padrão, 60 dias). Se a replicação não puder funcionar, talvez seja necessário rebaixar à força os controladores de domínio e removê-los da floresta usando o comando de limpeza de metadados Ntdsutil e, em seguida, promovê-los de volta para a floresta. Você pode usar um rebaixamento forçado para salvar a instalação do sistema operacional e os programas que estão em um controlador de domínio órfão. Para obter mais informações sobre como remover controladores de domínio órfãos do Windows 2000 de seu domínio, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:

      216498 Como remover dados no Active Directory após um rebaixamento do controlador de domínio sem êxito

      Tome esta ação apenas como último recurso para recuperar a instalação do sistema operacional e os programas instalados. Você perderá objetos e atributos não replicados em controladores de domínio órfãos, incluindo usuários, computadores, relações de confiança, suas senhas, grupos e associações de grupo.

      Tenha cuidado ao tentar resolver erros de replicação em controladores de domínio que não replicaram alterações de entrada para uma partição específica do Active Directory por mais do que o número de dias de tempo de vida da marca de exclusão. Ao fazer isso, você pode reanimar objetos que foram excluídos em um controlador de domínio, mas para os quais os parceiros de replicação direta ou transitiva nunca receberam a exclusão nos 60 dias anteriores.

      Considere remover todos os objetos remanescentes que residem em controladores de domínio que não executaram a replicação de entrada nos últimos 60 dias. Como alternativa, você pode rebaixar à força os controladores de domínio que não executaram nenhuma replicação de entrada em uma determinada partição no número de dias de tempo de vida da marca de exclusão e remover seus metadados restantes da floresta do Active Directory usando o Ntdsutil e outros utilitários. Entre em contato com seu provedor de suporte ou com o Microsoft PSS para obter ajuda adicional.

    3. Verifique se o conteúdo do compartilhamento Sysvol é consistente.

      Verifique se a parte do sistema de arquivos da política de grupo é consistente. Você pode usar Gpotool.exe do Resource Kit para determinar se há inconsistências nas políticas em um domínio. Use o Healthcheck das ferramentas de suporte do Windows Server 2003 para determinar se os conjuntos de réplicas de compartilhamento do Sysvol funcionam corretamente em cada domínio.

      Se o conteúdo do compartilhamento Sysvol for inconsistente, resolva todas as inconsistências.

    4. Use Dcdiag.exe das ferramentas de suporte para verificar se todos os controladores de domínio compartilharam compartilhamentos Netlogon e Sysvol. Para fazer isso, digite o seguinte comando em um prompt de comando:

      DCDIAG.EXE /e /test:frssysvol

    5. Faça o inventário das funções de operações.

      Os mestres de operações de esquema e infra-estrutura são usados para introduzir alterações de esquema de floresta e de domínio na floresta e em seus domínios feitas pelo utilitário adprep do Windows Server 2003. Verifique se o controlador de domínio que hospeda a função de esquema e a função de infraestrutura para cada domínio na floresta reside em controladores de domínio ativos e se cada proprietário de função executou a replicação de entrada em todas as partições desde a última vez que foram reiniciadas.

      O DCDIAG /test:FSMOCHECK comando pode ser usado para exibir funções operacionais em toda a floresta e em todo o domínio. As funções mestras de operações que residem em controladores de domínio inexistentes devem ser capturadas para um controlador de domínio íntegro usando NTDSUTIL. As funções que residem em controladores de domínio não íntegros devem ser transferidas, se possível. Caso contrário, eles devem ser apreendidos. O NETDOM QUERY FSMO comando não identifica funções FSMO que residem em controladores de domínio excluídos.

      Verifique se o executou a replicação de entrada do Active Directory desde a última inicialização. A replicação de entrada pode ser verificada usando o REPADMIN /SHOWREPS DCNAME comando, em que DCNAME é o nome do computador NetBIOS ou o nome do computador totalmente qualificado de um controlador de domínio. Para obter mais informações sobre mestres de operações e seu posicionamento, clique nos números abaixo para ler os artigos na Base de Dados de Conhecimento Microsoft:

      197132 funções FSMO do Active Directory do Windows 2000

      223346 posicionamento e otimização de FSMO em controladores de domínio do Active Directory

    6. Revisão do EventLog

      Examine os logs de eventos em todos os controladores de domínio em busca de eventos problemáticos. Os logs de eventos não devem conter mensagens de eventos graves que indiquem um problema com qualquer um dos seguintes processos e componentes:

      Conectividade física
      conectividade de rede
      Registro de nome
      resolução de nomes
      autenticação
      Política de Grupo
      política de segurança
      subsistema de disco
      esquema
      Topologia
      mecanismo de replicação

    7. Inventário de espaço em disco

      O volume que hospeda o arquivo de banco de dados do Active Directory, Ntds.dit, deve ter espaço livre igual a pelo menos 15 a 20% do tamanho do arquivo Ntds.dit. O volume que hospeda o arquivo de log do Active Directory também deve ter espaço livre igual a pelo menos 15 a 20% do tamanho do arquivo Ntds.dit. Para obter mais informações sobre como liberar espaço em disco adicional, consulte a seção "Controladores de domínio sem espaço em disco suficiente" deste artigo.

    8. Eliminação de DNS (opcional)

      Habilite a Eliminação de DNS em intervalos de 7 dias para todos os servidores DNS na floresta. Para obter melhores resultados, execute esta operação 61 ou mais dias antes de atualizar o sistema operacional. Isso fornece ao daemon de eliminação de DNS tempo suficiente para coletar o lixo dos objetos DNS antigos quando uma desfragmentação offline é executada no arquivo Ntds.dit.

    9. Desabilitar o serviço de servidor DLT (opcional)

      O serviço Servidor DLT é desabilitado em instalações novas e atualizadas de controladores de domínio do Windows Server 2003. Se o controle de link distribuído não for usado, você poderá desabilitar o serviço DLT Server em seus controladores de domínio do Windows 2000 e começar a excluir objetos DLT de cada domínio na floresta. Para obter mais informações, consulte a seção "Recomendações da Microsoft para rastreamento de link distribuído" do seguinte artigo na Base de Dados de Conhecimento Microsoft: 312403 o rastreamento de link distribuído em controladores de domínio baseados no Windows

    10. Backup de estado do sistema

      Faça um backup do estado do sistema de pelo menos dois controladores de domínio em cada domínio da floresta. Você pode usar o backup para recuperar todos os domínios na floresta se a atualização não funcionar.

Microsoft Exchange 2000 em florestas do Windows 2000

Observação

O esquema do Exchange 2000 define três atributos inetOrgPerson com LDAPDisplayNames não compatíveis com RFC (Request for Comment): houseIdentifier, secretary e labeledURI.

O kit inetOrgPerson do Windows 2000 e o comando do Windows Server 2003 adprep definem versões de reclamação de RFC dos mesmos três atributos com LDAPDisplayNames idênticos às versões não compatíveis com RFC.

Quando o comando do Windows Server 2003 adprep /forestprep é executado sem scripts corretivos em uma floresta que contém alterações de esquema do Windows 2000 e do Exchange 2000, os LDAPDisplayNames para os atributos houseIdentifier, labeledURI e secretary ficam danificados. Um atributo se torna "mutilado" se "Dup" ou outros caracteres exclusivos forem adicionados ao início do nome do atributo conflitante para que os objetos e atributos no diretório tenham nomes exclusivos.

As florestas do Active Directory não são vulneráveis a LDAPDisplayNames mutilados para esses atributos nos seguintes casos:

  • Se você executar o comando do Windows Server 2003 adprep /forestprep em uma floresta que contenha o esquema do Windows 2000 antes de adicionar o esquema do Exchange 2000.
  • Se você instalar o esquema do Exchange 2000 na floresta que foi criada onde um controlador de domínio do Windows Server 2003 foi o primeiro controlador de domínio na floresta.
  • Se você adicionar o Windows 2000 inetOrgPerson Kit a uma floresta que contenha o esquema do Windows 2000 e, em seguida, instalar as alterações de esquema do Exchange 2000 e executar o comando do Windows Server 2003 adprep /forestprep .
  • Se você adicionar o esquema do Exchange 2000 a uma floresta existente do Windows 2000, execute o Exchange 2003 /forestprep antes de executar o comando do Windows Server 2003 adprep /forestprep .

Atributos mutilados ocorrerão no Windows 2000 nos seguintes casos:

  • Se você adicionar as versões do Exchange 2000 dos atributos labeledURI, houseIdentifier e secretary a uma floresta do Windows 2000 antes de instalar o Kit inetOrgPerson do Windows 2000.
  • Você adiciona as versões do Exchange 2000 dos atributos labeledURI, houseIdentifier e secretary a uma floresta do Windows 2000 antes de executar o comando do Windows Server 2003 adprep /forestprep sem primeiro executar os scripts de limpeza. Os planos de ação para cada cenário seguem:

Cenário 1: As alterações de esquema do Exchange 2000 são adicionadas após a execução do comando adprep /forestprep do Windows Server 2003

Se as alterações de esquema do Exchange 2000 forem introduzidas na floresta do Windows 2000 após a execução do comando do Windows Server 2003 adprep /forestprep , nenhuma limpeza será necessária. Vá para a seção "Visão geral: atualizando controladores de domínio do Windows 2000 para o Windows Server 2003".

Cenário 2: as alterações de esquema do Exchange 2000 serão instaladas antes do comando adprep /forestprep do Windows Server 2003

Se as alterações de esquema do Exchange 2000 já tiverem sido instaladas, mas você NÃO tiver executado o comando do Windows Server 2003 adprep /forestprep , considere o seguinte plano de ação:

  1. Faça logon no console do mestre de operações de esquema usando uma conta que seja membro do grupo de segurança Administradores de Esquema.

  2. Clique em Iniciar, clique em Executar, digite notepad.exe na caixa Abrir e clique em OK.

  3. Copie o texto a seguir, incluindo o hífen à direita após "schemaUpdateNow: 1" para o Bloco de Notas.

    dn: CN=ms-Exch-Assistant-Name,CN=Esquema,CN=Configuração,DC=X
    changetype: Modificar
    substituir:LDAPDisplayName
    LDAPDisplayName: msExchAssistantName
    -

    dn: CN=ms-Exch-LabeledURI,CN=Esquema,CN=Configuração,DC=X
    changetype: Modificar
    substituir: LDAPDisplayName
    LDAPDisplayName: msExchLabeledURI
    -

    dn: CN=ms-Exch-House-Identifier,CN=Esquema,CN=Configuração,DC=X
    changetype: Modificar
    substituir: LDAPDisplayName
    LDAPDisplayName: msExchHouseIdentifier
    -

    Dn:
    changetype: Modificar
    adicionar: schemaUpdateNow
    schemaUpdateNow: 1
    -

  4. Confirme se não há espaço no final de cada linha.

  5. No menu Arquivo , clique em Salvar. Na caixa de diálogo Salvar como, siga estas etapas:

    1. Na caixa Nome do arquivo , digite o seguinte: \%userprofile%\InetOrgPersonPrevent.ldf
    2. Na caixa Salvar como tipo , clique em Todos os Arquivos.
    3. Na caixa Codificação, clique em Unicode.
    4. Clique em Save (Salvar).
    5. Saia do Bloco de Notas.

  6. Execute o script InetOrgPersonPrevent.ldf.

    1. Clique em Iniciar, clique em Executar, digite cmd na caixa Abrir e clique em OK.

    2. Em um prompt de comando, digite o seguinte e pressione ENTER: cd %userprofile%

    3. Digite o seguinte comando

    c:\documents and settings\%username%>ldifde -i -f inetorgpersonprevent.ldf -v -c DC=X "domain name path for forest root domain"

    Notas de sintaxe:

    • DC=X é uma constante que diferencia maiúsculas de minúsculas.
    • O caminho do nome de domínio para o domínio raiz deve ser colocado entre aspas.

    Por exemplo, a sintaxe de comando para uma floresta do Active Directory cujo domínio raiz da floresta é TAILSPINTOYS.COM seria:

    c:\documents and settings\administrator>ldifde -i -f inetorgpersonprevent.ldf -v -c DC=X "dc=tailspintoys,dc=com"

    Observação

    Talvez seja necessário alterar a subchave do Registro Schema Update Allowed se você receber a seguinte mensagem de erro: A atualização do esquema não é permitida neste DC porque a chave do Registro não está definida ou o DC não é o Proprietário da Função FSMO do esquema.

  7. Verifique se os LDAPDisplayNames para os atributos CN=ms-Exch-Assistant-Name, CN=ms-Exch-LabeledURI e CN=ms-Exch-House-Identifier no contexto de nomenclatura de esquema agora aparecem como msExchAssistantName, msExchLabeledURI e msExchHouseIdentifier antes de executar os comandos do Windows Server 2003 adprep /forestprep .

  8. Vá para a seção "Visão geral: atualizando controladores de domínio do Windows 2000 para o Windows Server 2003" para executar os adprep /forestprep comandos and /domainprep .

Cenário 3: O comando forestprep do Windows Server 2003 foi executado sem primeiro executar inetOrgPersonFix

Se você executar o comando do Windows Server 2003 adprep /forestprep em uma floresta do Windows 2000 que contenha as alterações de esquema do Exchange 2000, os atributos LDAPDisplayName para houseIdentifier, secretary e labeledURI ficarão danificados. Para identificar nomes mutilados, use Ldp.exe para localizar os atributos afetados:

  1. Instale Ldp.exe da pasta Support\Tools da mídia do Microsoft Windows 2000 ou Windows Server 2003.

  2. Inicie Ldp.exe de um controlador de domínio ou computador membro na floresta.

    1. No menu Conexão, clique em Conectar, deixe a caixa Servidor vazia, digite 389 na caixa Porta e clique em OK.
    2. No menu Conexão , clique em Vincular, deixe todas as caixas vazias e clique em OK.

  3. Registre o caminho do nome distinto para o atributo SchemaNamingContext. Por exemplo, para um controlador de domínio na floresta CORP.ADATUM.COM, o caminho do nome distinto pode ser CN=Schema,CN=Configuration,DC=corp,DC=company,DC=com.

  4. No menu Procurar , clique em Pesquisar.

  5. Use as seguintes configurações para configurar a caixa de diálogo Pesquisar :

    • DN base: o caminho de nome distinto para o contexto de nomenclatura de esquema identificado na etapa 3.
    • Filtro: (ldapdisplayname=dup*)
    • Escopo: Subárvore

  6. Os atributos houseIdentifier, secretary e labeledURI mutilados têm atributos LDAPDisplayName semelhantes ao seguinte formato:

    LDAPDisplayName: DUP-labeledURI-9591bbd3-d2a6-4669-afda-48af7c35507d;
    LDAPDisplayName: DUP-secretário-c5a1240d-70c0-455c-9906-a4070602f85f
    LDAPDisplayName: DUP-houseIdentifier-354b0ca8-9b6c-4722-aae7-e66906cc9eef

  7. Se o LDAPDisplayNames para labeledURI, secretary e houseIdentifier tiver sido mutilado na etapa 6, execute o script InetOrgPersonFix.ldf do Windows Server 2003 para recuperar e vá para a seção "Atualizando controladores de domínio do Windows 2000 com Winnt32.exe".

    1. Crie uma pasta chamada %Systemdrive%\IOP e extraia o arquivo InetOrgPersonFix.ldf para essa pasta.

    2. Em um prompt de comando, digite cd %systemdrive%\iop.

    3. Extraia o arquivo InetOrgPersonFix.ldf do arquivo Support.cab localizado na pasta Support\Tools da mídia de instalação do Windows Server 2003.

    4. No console do mestre de operações de esquema, carregue o arquivo InetOrgPersonFix.ldf usando Ldifde.exe para corrigir o atributo LdapDisplayName dos atributos houseIdentifier, secretary e labeledURI. Para fazer isso, digite o seguinte comando, em que <X> é uma constante que diferencia maiúsculas de minúsculas e <o caminho dn para o domínio> raiz da floresta é o caminho do nome de domínio para o domínio raiz da floresta:

      C:\IOP>ldifde -i -f inetorgpersonfix.ldf -v -c DC=X "domain name path for forest root domain"

      Notas de sintaxe:

      • DC=X é uma constante que diferencia maiúsculas de minúsculas.
      • O caminho do nome de domínio para o domínio raiz da floresta deve ser colocado entre aspas.

  8. Verifique se os atributos houseIdentifier, secretary e labeledURI no contexto de nomenclatura do esquema não estão "mutilados" antes de instalar o Exchange 2000.

Visão geral: Atualizando controladores de domínio do Windows 2000 para o Windows Server 2003

O comando do Windows Server 2003 adprep executado na pasta \I386 da mídia do Windows Server 2003 prepara uma floresta do Windows 2000 e seus domínios para a adição de controladores de domínio do Windows Server 2003. O comando do Windows Server 2003 adprep /forestprep adiciona os seguintes recursos:

  • Descritores de segurança padrão aprimorados para classes de objeto

  • Novos atributos de usuário e grupo

  • Novos objetos e atributos de esquema, como inetOrgPersonO utilitário adprep oferece suporte a dois argumentos de linha de comando:

    • adprep /forestprep: Executa operações de atualização de floresta.
    • dprep /domainprep: Executa operações de atualização de domínio.

O adprep /forestprep comando é uma operação única executada no FSMO (mestre de operações de esquema) da floresta. A operação de preparação de floresta deve ser concluída e replicada para o mestre de infraestrutura de cada domínio antes que você possa ser executada adprep /domainprep nesse domínio.

O adprep /domainprep comando é uma operação única que você executa no controlador de domínio mestre de operações de infra-estrutura de cada domínio na floresta que hospedará controladores de domínio novos ou atualizados do Windows Server 2003. O adprep /domainprep comando verifica se as alterações do forestprep foram replicadas na partição de domínio e, em seguida, faz suas próprias alterações na partição de domínio e nas políticas de grupo no compartilhamento Sysvol.

Você não pode executar nenhuma das seguintes ações, a menos que as operações /forestprep e /domainprep tenham sido concluídas e replicadas para todos os controladores de domínio nesse domínio:

  • Atualize os controladores de domínio do Windows 2000 para controladores de domínio do Windows Server 2003 usando Winnt32.exe.

Observação

Você pode atualizar os servidores e computadores membros do Windows 2000 para computadores membros do Windows Server 2003 sempre que desejar. Promova novos controladores de domínio do Windows Server 2003 para o domínio usando o Dcpromo.exe.O domínio que hospeda o mestre de operações de esquema é o único domínio em que você deve executar o adprep /forestprep .adprep /domainprep Em todos os outros domínios, você só precisa executar adprep /domainprep.

Os adprep /forestprep comandos e os adprep /domainprep não adicionam atributos ao conjunto de atributos parciais do catálogo global nem causam uma sincronização completa do catálogo global. A versão RTM do adprep /domainprep causa uma sincronização completa da pasta \Policies na árvore Sysvol. Mesmo que você execute forestprep e domainprep várias vezes, as operações concluídas serão executadas apenas uma vez.

Após as alterações e adprep /forestprep adprep /domainprep a replicação completa, você pode atualizar os controladores de domínio do Windows 2000 para o Windows Server 2003 executando Winnt32.exe na pasta \I386 da mídia do Windows Server 2003. Além disso, você pode adicionar novos controladores de domínio do Windows Server 2003 ao domínio usando Dcpromo.exe.

Atualizando a floresta com o comando adprep /forestprep

Para preparar uma floresta e domínios do Windows 2000 para aceitar controladores de domínio do Windows Server 2003, siga estas etapas primeiro em um ambiente de laboratório e, em seguida, em um ambiente de produção:

  1. Certifique-se de ter concluído todas as operações na fase "Inventário Florestal" com atenção especial aos seguintes itens:

    1. Você criou backups de estado do sistema.
    2. Todos os controladores de domínio do Windows 2000 na floresta instalaram todos os hotfixes e service packs apropriados.
    3. A replicação de ponta a ponta do Active Directory está ocorrendo em toda a floresta
    4. O FRS replica a política do sistema de arquivos corretamente em cada domínio.

  2. Faça logon no console do mestre de operações de esquema com uma conta que seja membro do grupo de segurança Administradores de Esquema.

  3. Verifique se o esquema FSMO executou a replicação de entrada da partição de esquema digitando o seguinte em um prompt de comando do Windows NT: repadmin /showreps

    ( repadmin é instalado pela pasta Support\Tools do Active Directory.)

  4. A documentação inicial da Microsoft recomenda que você isole o mestre de operações de esquema em uma rede privada antes de executar adprep /forestprepo . A experiência do mundo real sugere que essa etapa não é necessária e pode fazer com que um mestre de operações de esquema rejeite alterações de esquema quando for reiniciado em uma rede privada.

  5. Execute adprep no mestre de operações de esquema. Para fazer isso, clique em Iniciar, clique em Executar, digite cmd e clique em OK. No mestre de operações de esquema, digite o seguinte comando:

     X:\I386\adprep /forestprep

    onde X:\I386\ é o caminho da mídia de instalação do Windows Server 2003. Esse comando executa a atualização do esquema em toda a floresta.

    Observação

    Os eventos com a ID de evento 1153 registrados no log de eventos do Serviço de Diretório, como o exemplo a seguir, podem ser ignorados:

  6. Verifique se o adprep /forestprep comando foi executado com êxito no mestre de operações de esquema. Para fazer isso, no console do mestre de operações do esquema, verifique os seguintes itens: - O adprep /forestprep comando foi concluído sem erro. - O objeto CN=Windows2003Update é gravado em CN=ForestUpdates,CN=Configuration,DC= forest_root_domain. Registre o valor do atributo Revisão. - (Opcional) A versão do esquema incrementada para a versão 30. Para fazer isso, consulte o atributo ObjectVersion em CN=Schema,CN=Configuration,DC= forest_root_domain. Se adprep /forestprep não for executado, verifique os seguintes itens:

    • O caminho totalmente qualificado para Adprep.exe localizado na pasta \I386 da mídia de instalação foi especificado quando adprep executado. Para fazer isso, digite o seguinte comando:

      x:\i386\adprep /forestprep

      onde x é a unidade que hospeda a mídia de instalação.

    • O usuário conectado que executa adprep tem associação ao grupo de segurança Administradores de esquema. Para verificar isso, use o whoami /all comando.

    • Se adprep ainda não funcionar, exiba o arquivo Adprep.log na pasta %systemroot%\System32\Debug\Adprep\Logs\Latest_log .

  7. Se você desabilitou a replicação de saída no mestre de operações de esquema na etapa 4, habilite a replicação para que as alterações de esquema feitas pelo adprep /forestprep possam se propagar. Para fazer isso, siga estas etapas:

    1. Clique em Iniciar, Executar, digite cmde clique em OK.
    2. Digite o seguinte e pressione ENTER: repadmin /options -DISABLE_OUTBOUND_REPL

  8. Verifique se as adprep /forestprep alterações foram replicadas em todos os controladores de domínio na floresta. É útil monitorar os seguintes atributos:

    1. Incrementando a versão do esquema
    2. O CN=Windows2003Update, CN=ForestUpdates,CN=Configuration,DC= forest_root_domain ou CN=Operations,CN=DomainUpdates,CN=System,DC= forest_root_domain e os GUIDs de operações nele foram replicados.
    3. Pesquise novas classes de esquema, objetos, atributos ou outras alterações adicionadas adprep /forestprep , como inetOrgPerson. Exiba os arquivos Sch XX.ldf (em que XX é um número entre 14 e 30) na pasta %systemroot%\System32 para determinar quais objetos e atributos devem existir. Por exemplo, inetOrgPerson é definido em Sch18.ldf.

  9. Procure LDAPDisplayNames mutilados. Se você encontrar nomes mutilados, vá para o Cenário 3 do mesmo artigo.

  10. Faça logon no console do mestre de operações de esquema com uma conta que seja membro do grupo de segurança Administradores de Esquema da floresta que hospeda o mestre de operações de esquema.

Atualizando o domínio com o comando adprep /domainprep

Execute adprep /domainprep depois que as alterações /forestprep forem totalmente replicadas para o controlador de domínio mestre de infra-estrutura em cada domínio que hospedará os controladores de domínio do Windows Server 2003. Para fazer isso, siga estas etapas:

  1. Identifique o controlador de domínio mestre de infraestrutura no domínio que você está atualizando e faça logon com uma conta que seja membro do grupo de segurança Administradores de Domínio no domínio que você está atualizando.

    Observação

    O administrador corporativo pode não ser membro do grupo de segurança Administradores de Domínio em domínios filho da floresta.

  2. Execute adprep /domainprep no mestre de infraestrutura. Para fazer isso, clique em Iniciar, clique em Executar, digite cmd e, em seguida, no mestre de infra-estrutura, digite o seguinte comando: X:\I386\adprep /domainprep em que X:\I386\ é o caminho da mídia de instalação do Windows Server 2003. Esse comando executa alterações em todo o domínio no domínio de destino.

    Observação

    O adprep /domainprep comando modifica as permissões de arquivos no compartilhamento Sysvol. Essas modificações causam uma sincronização completa de arquivos nessa árvore de diretórios.

  3. Verifique se a preparação de domínio foi concluída com êxito. Para fazer isso, verifique os seguintes itens:

    • O adprep /domainprep comando foi concluído sem erro.
    • O CN=Windows2003Update,CN=DomainUpdates,CN=System,DC= dn path do domínio que você está atualizando existsIf adprep /domainprep não for executado, verifique os seguintes itens:
    • O usuário conectado que executa adprep tem associação ao grupo de segurança Administradores de Domínio no domínio que você está atualizando. Para fazer isso, use o comando whoami /all.
    • O caminho totalmente qualificado para Adprep.exe localizado no diretório \I386 da mídia de instalação foi especificado quando você executou adprepo . Para fazer isso, em um prompt de comando, digite o seguinte comando: x :\i386\adprep /forestprep onde x é a unidade que hospeda a mídia de instalação.
    • Se adprep ainda não funcionar, exiba o arquivo Adprep.log na pasta %systemroot%\System32\Debug\Adprep\Logs\ Latest_log .

  4. Verifique se as adprep /domainprep alterações foram replicadas. Para fazer isso, para os controladores de domínio restantes no domínio, verifique os seguintes itens: - O caminho CN=Windows2003Update,CN=DomainUpdates,CN=System,DC= dn do domínio que você está atualizando o objeto existe e o valor do atributo Revision corresponde ao valor do mesmo atributo no mestre de infraestrutura do domínio. - (Opcional) Procure objetos, atributos ou alterações na lista de controle de acesso (ACL) adicionadas adprep /domainprep . Repita as etapas de 1 a 4 no mestre de infra-estrutura dos domínios restantes em massa ou ao adicionar ou atualizar DCs nesses domínios para o Windows Server 2003. Agora você pode promover novos computadores com Windows Server 2003 para a floresta usando DCPROMO. Ou você pode atualizar os controladores de domínio existentes do Windows 2000 para o Windows Server 2003 usando o WINNT32.EXE.

Atualizando controladores de domínio do Windows 2000 usando Winnt32.exe

Depois que as alterações de /forestprep e /domainprep forem completamente replicadas e você tiver tomado uma decisão sobre a interoperabilidade de segurança com clientes de versões anteriores, você poderá atualizar os controladores de domínio do Windows 2000 para o Windows Server 2003 e adicionar novos controladores de domínio do Windows Server 2003 ao domínio.

Os seguintes computadores devem estar entre os primeiros controladores de domínio que executam o Windows Server 2003 na floresta em cada domínio:

  • O mestre de nomenclatura de domínio na floresta para que você possa criar partições de programa DNS padrão.
  • O controlador de domínio primário do domínio raiz da floresta para que as entidades de segurança de toda a empresa adicionadas pela forestprep do Windows Server 2003 fiquem visíveis no editor de ACL.
  • O controlador de domínio primário em cada domínio não raiz para que você possa criar novas entidades de segurança do Windows 2003 específicas do domínio. Para fazer isso, use o WINNT32 para atualizar os controladores de domínio existentes que hospedam a função operacional desejada. Ou transfira a função para um controlador de domínio do Windows Server 2003 recém-promovido. Execute as seguintes etapas para cada controlador de domínio do Windows 2000 que você atualizar para o Windows Server 2003 com WINNT32 e para cada grupo de trabalho ou computador membro do Windows Server 2003 que você promover:

  1. Antes de usar o WINNT32 para atualizar computadores membros e controladores de domínio do Windows 2000, remova as Ferramentas de Administração do Windows 2000. Para fazer isso, use a ferramenta Adicionar/Remover Programas no Painel de Controle. (Somente atualizações do Windows 2000.)

  2. Instale todos os arquivos de hotfix ou outras correções que a Microsoft ou o administrador determinem ser importantes.

  3. Verifique cada controlador de domínio em busca de possíveis problemas de atualização. Para fazer isso, execute o seguinte comando na pasta \I386 da mídia de instalação: winnt32.exe /checkupgradeonly Resolva todos os problemas identificados pela verificação de compatibilidade.

  4. Execute WINNT32.EXE na pasta \I386 da mídia de instalação e reinicie o controlador de domínio 2003 atualizado.

  5. Reduza as configurações de segurança para clientes de versões anteriores, conforme necessário.

    Se os clientes do Windows NT 4.0 não tiverem o NT 4.0 SP6 ou se os clientes do Windows 95 não tiverem o cliente do serviço de diretório instalado, desabilite a assinatura do Serviço SMB na diretiva Controladores de Domínio Padrão na unidade organizacional Controladores de Domínio e vincule essa diretiva a todas as unidades organizacionais que hospedam controladores de domínio. Configuração do Computador\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança\Microsoft Network Server: Assinar digitalmente as comunicações (sempre)

  6. Verifique a integridade da atualização usando os seguintes pontos de dados:

    • A atualização foi concluída com êxito.
    • Os hotfixes que você adicionou à instalação substituíram com êxito os binários originais.
    • A replicação de entrada e saída do Active Directory está ocorrendo para todos os contextos de nomenclatura mantidos pelo controlador de domínio.
    • Os compartilhamentos Netlogon e Sysvol existem.
    • O log de eventos indica que o controlador de domínio e seus serviços estão íntegros.

    Observação

    Você pode receber a seguinte mensagem de evento após a atualização: Você pode ignorar essa mensagem de evento com segurança.

  7. Instale as Ferramentas de Administração do Windows Server 2003 (somente atualizações do Windows 2000 e controladores que não sejam de domínio do Windows Server 2003). Adminpak.msi está na pasta \I386 do CD-ROM do Windows Server 2003. A mídia do Windows Server 2003 contém ferramentas de suporte atualizadas no arquivo Support\Tools\Suptools.msi. Certifique-se de reinstalar este arquivo.

  8. Faça novos backups de pelo menos os dois primeiros controladores de domínio do Windows 2000 que você atualizou para o Windows Server 2003 em cada domínio da floresta. Localize os backups dos computadores com Windows 2000 que você atualizou para o Windows Server 2003 no armazenamento bloqueado para não usá-los acidentalmente para restaurar um controlador de domínio que agora executa o Windows Server 2003.

  9. (Opcional) Execute uma desfragmentação offline do banco de dados do Active Directory nos controladores de domínio que você atualizou para o Windows Server 2003 após a conclusão do SIS (repositório de instância única) (somente atualizações do Windows 2000).

    O SIS examina as permissões existentes em objetos armazenados no Active Directory e aplica um descritor de segurança mais eficiente a esses objetos. O SIS é iniciado automaticamente (identificado pelo evento 1953 no log de eventos do serviço de diretório) quando os controladores de domínio atualizados iniciam o sistema operacional Windows Server 2003 pela primeira vez. Você se beneficia do repositório de descritor de segurança aprimorado somente quando registra uma mensagem de evento de ID de evento 1966 no log de eventos do serviço de diretório: Essa mensagem de evento indica que a operação de repositório de instância única foi concluída e serve como uma fila que o administrador executa de desfragmentação offline do Ntds.dit usando NTDSUTIL.EXE.

    A desfragmentação offline pode reduzir o tamanho de um arquivo Ntds.dit do Windows 2000 em até 40%, melhora o desempenho do Active Directory e atualiza as páginas no banco de dados para um armazenamento mais eficiente de atributos de valor de link. Para obter mais informações sobre como desfragmentar o banco de dados do Active Directory, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft:

    232122 Executando a desfragmentação offline do banco de dados do Active Directory

  10. Investigue o serviço de servidor DLT. Os controladores de domínio do Windows Server 2003 desabilitam o serviço do Servidor DLT em instalações novas e atualizadas. Se os clientes Windows 2000 ou Windows XP em sua organização usarem o serviço Servidor DLT, use a Diretiva de Grupo para habilitar o serviço Servidor DLT em controladores de domínio novos ou atualizados do Windows Server 2003. Caso contrário, exclua incrementalmente os objetos de rastreamento de link distribuído do Active Directory. Para obter mais informações, clique no número de artigo a seguir para visualizar o artigo na Base de Dados de Conhecimento Microsoft:

    312403 Rastreamento de Link Distribuído em controladores de domínio baseados no Windows

    Se você excluir em massa milhares de objetos DLT ou outros objetos, poderá bloquear a replicação devido à falta de armazenamento de versão. Aguarde o número de dias de tempo de vida da marca de exclusão (por padrão, 60 dias) depois de excluir o último objeto DLT e a conclusão da coleta de lixo e, em seguida, use NTDSUTIL.EXE para executar uma desfragmentação offline do arquivo Ntds.dit.

  11. Configure a estrutura da unidade organizacional de práticas recomendadas. A Microsoft recomenda que os administradores implantem ativamente a estrutura de unidade organizacional de práticas recomendadas em todos os domínios do Active Directory e, depois de atualizar ou implantar controladores de domínio do Windows Server 2003 no modo de Domínio do Windows, redirecionem os contêineres padrão que as APIs de versões anteriores usam para criar usuários, computadores e grupos para um contêiner de unidade organizacional especificado pelo administrador.

    Para obter informações adicionais sobre a estrutura de unidade organizacional de práticas recomendadas, consulte a seção "Criando um design de unidade organizacional" do white paper "Design de práticas recomendadas do Active Directory para gerenciar redes Windows". Para exibir o white paper, visite o seguinte site da Microsoft: https://technet.microsoft.com/library/bb727085.aspx Para obter mais informações sobre como alterar o contêiner padrão em que os usuários, computadores e grupos criados por APIs de versões anteriores estão localizados, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft:

    324949 Redirecionando os contêineres de usuários e computadores em domínios do Windows Server 2003

  12. Repita as etapas de 1 a 10 conforme necessário para cada controlador de domínio do Windows Server 2003 novo ou atualizado na floresta e a etapa 11 (estrutura de unidade organizacional de práticas recomendadas) para cada domínio do Active Directory.

    Em resumo:

    • Atualizar controladores de domínio do Windows 2000 com WINNT32 (da mídia de instalação integrada, se usada)
    • Verifique se os arquivos de hotfixes foram instalados nos computadores atualizados
    • Instale todos os hotfixes necessários não contidos na mídia de instalação
    • Verificar a integridade em servidores novos ou atualizados (AD, FRS, Política e assim por diante)
    • Aguarde 24 horas após a atualização do sistema operacional e, em seguida, desfragmentação offline (opcional)
    • Inicie o serviço DLT se necessário, caso contrário, exclua objetos DLT usando q312403 / q315229 post forest-wide domainpreps
    • Execute a desfragmentação offline 60+ dias (tempo de vida da marca de exclusão e coleta de lixo # de dias) após a exclusão de objetos DLT

Atualizações de simulação em um ambiente de laboratório

Antes de atualizar os controladores de domínio do Windows para um domínio de produção do Windows 2000, valide e refine o processo de atualização no laboratório. Se a atualização de um ambiente de laboratório que espelha com precisão a floresta de produção tiver um desempenho sem problemas, você poderá esperar resultados semelhantes em ambientes de produção. Para ambientes complexos, o ambiente de laboratório deve espelhar o ambiente de produção nas seguintes áreas:

  • Hardware: tipo de computador, tamanho da memória, posicionamento do arquivo de paginação, tamanho do disco, desempenho e configuração de raid, níveis de revisão de BIOS e firmware
  • Software: versões do sistema operacional cliente e servidor, aplicativos cliente e servidor, versões de service pack, hotfixes, alterações de esquema, grupos de segurança, associações de grupo, permissões, configurações de política, tipo de contagem de objetos e local, interoperabilidade de versão
  • Infraestrutura de rede: WINS, DHCP, velocidades de link, largura de banda disponível
  • Carregar: os simuladores de carga podem simular alterações de senha, criação de objetos, replicação do Active Directory, autenticação de logon e outros eventos. O objetivo não é reproduzir a escala do ambiente de produção. Em vez disso, os objetivos são descobrir os custos e a frequência de operações comuns e interpolar seus efeitos (consultas de nome, tráfego de replicação, largura de banda de rede e consumo de processador) no ambiente de produção com base em seus requisitos atuais e futuros.
  • Administração: tarefas executadas, ferramentas utilizadas, sistemas operativos utilizados
  • Operação: capacidade, interoperabilidade
  • Espaço em disco: observe o tamanho inicial, de pico e final dos arquivos de log do sistema operacional, Ntds.dit e Active Directory em controladores de domínio de catálogo global e de catálogo não global em cada domínio após cada uma das seguintes operações:
    1. adprep /forestprep
    2. adprep /domainprep
    3. Atualizando controladores de domínio do Windows 2000 para o Windows Server 2003
    4. Executando a desfragmentação offline após atualizações de versão

Uma compreensão do processo de atualização e da complexidade do ambiente, combinada com a observação detalhada, determina o ritmo e o grau de cuidado que você aplica à atualização de ambientes de produção. Ambientes com um pequeno número de controladores de domínio e objetos do Active Directory conectados por links de WAN (rede de longa distância) de alta disponibilidade podem ser atualizados em apenas algumas horas. Talvez seja necessário ter mais cuidado com implantações corporativas que têm centenas de controladores de domínio ou centenas de milhares de objetos do Active Directory. Nesses casos, você pode querer executar a atualização ao longo de várias semanas ou meses.

Use atualizações de "simulação" no laboratório para executar as seguintes tarefas:

  • Entenda o funcionamento interno do processo de atualização e os riscos associados.
  • Exponha possíveis áreas problemáticas para o processo de implantação em seu ambiente.
  • Teste e desenvolva planos alternativos caso a atualização não seja bem-sucedida.
  • Defina o nível de detalhe apropriado a ser aplicado ao processo de atualização para o domínio de produção.

Controladores de domínio sem espaço em disco suficiente

Em controladores de domínio com espaço em disco insuficiente, use as seguintes etapas para liberar espaço em disco adicional no volume que hospeda os arquivos Ntds.dit e Log:

  1. Exclua os arquivos não utilizados, incluindo arquivos *.tmp ou arquivos em cache que os navegadores da Internet usam. Para fazer isso, digite os seguintes comandos (pressione ENTER após cada comando):

    cd /d drive\  
del *.tmp /s

  2. Exclua todos os arquivos de despejo de usuário ou memória. Para fazer isso, digite os seguintes comandos (pressione ENTER após cada comando):

    cd /d drive\  
del *.dmp /s

  3. Remova ou realoque temporariamente arquivos que você pode acessar de outros servidores ou reinstalar facilmente. Os arquivos que você pode remover e substituir facilmente incluem ADMINPAK, Ferramentas de Suporte e todos os arquivos na pasta %systemroot%\System32\Dllcache.

  4. Exclua perfis de usuário antigos ou não utilizados. Para fazer isso, clique em Iniciar, clique com o botão direito do mouse em Meu Computador, clique em Propriedades, clique na guia Perfis de Usuário e exclua todos os perfis de contas antigas e não utilizadas. Não exclua nenhum perfil que possa ser para contas de serviço.

  5. Exclua os símbolos em %systemroot%\Symbols. Para fazer isso, digite o seguinte comando: rd /s %systemroot%\symbols Dependendo se os servidores têm um conjunto de símbolos completo ou pequeno, isso pode ganhar aproximadamente 70 MB a 600 MB.

  6. Execute uma desfragmentação offline. Uma desfragmentação offline do arquivo Ntds.dit pode liberar espaço, mas requer temporariamente o dobro do espaço do arquivo DIT atual. Execute a desfragmentação offline usando outros volumes locais, se houver um disponível. Ou use o espaço em um servidor de rede melhor conectado para executar a desfragmentação offline. Se o espaço em disco ainda não for suficiente, exclua incrementalmente contas de usuário, contas de computador, registros DNS e objetos DLT desnecessários do Active Directory.

Observação

O Active Directory não exclui objetos do banco de dados até que o número de dias de tempo de vida da marca de exclusão (por padrão, 60 dias) tenha passado e a coleta de lixo seja concluída. Se você reduzir o tempo de vida da marca de exclusão para um valor menor do que a replicação de ponta a ponta na floresta, poderá causar inconsistências no Active Directory.