Поделиться через

Как повысить функциональные уровни домена и леса Active Directory

  • Статья

В этой статье описывается, как повысить функциональные уровни домена и леса Active Directory.

Область применения: Windows Server 2003
Исходный номер базы знаний: 322692

Итоги

Дополнительные сведения о Windows Server 2016 и новых функциях в службах домен Active Directory (AD DS) см. в статье "Новые возможности служб домен Active Directory для Windows Server 2016".

В этой статье рассматривается повышение функциональных уровней домена и леса, поддерживаемых контроллерами домена на основе Microsoft Windows Server 2003 или более новыми контроллерами домена. Существует четыре выпуска Active Directory, и только уровни, которые изменились с Windows NT Server 4.0, требуют особого внимания. Поэтому другие изменения уровня упоминаются с помощью более новых, текущих или старых версий операционной системы контроллера домена, домена или функционального уровня леса.

Функциональные уровни — это расширение смешанного режима и концепций собственного режима, которые были представлены в Microsoft Windows 2000 Server для активации новых функций Active Directory. Некоторые дополнительные функции Active Directory доступны, когда все контроллеры домена выполняют последнюю версию Windows Server в домене или лесу, а также когда администратор активирует соответствующий функциональный уровень в домене или лесу.

Чтобы активировать новейшие функции домена, все контроллеры домена должны работать с самой новой версией операционной системы Windows Server в домене. Если это требование выполнено, администратор может повысить функциональный уровень домена.

Чтобы активировать новейшие функции на уровне леса, все контроллеры домена в лесу должны запускать версию операционной системы Windows Server, соответствующую требуемому уровню функциональности леса. Кроме того, текущий функциональный уровень домена уже должен находиться на самом новом уровне. Если эти требования выполнены, администратор может повысить функциональный уровень леса.

Как правило, изменения в функциональных уровнях домена и леса необратимы. Если изменение может быть отменено, необходимо использовать восстановление леса. С помощью операционной системы Windows Server 2008 R2 можно откатить изменения в функциональных уровнях домена и на уровни работы леса. Однако откат можно выполнить только в определенных сценариях, описанных в статье Technet о функциональных уровнях Active Directory.

Примечание.

Новейшие функциональные уровни домена и новейшие функциональные уровни леса влияют только на то, как контроллеры домена работают вместе в качестве группы. Клиенты, взаимодействующие с доменом или лесом, не влияют. Кроме того, приложения не влияют на изменения функциональных уровней домена или на уровни работы леса. Однако приложения могут воспользоваться новейшими функциями домена и новейшими функциями леса.

Дополнительные сведения см . в статье TechNet о функциях, связанных с различными функциональными уровнями.

Повышение функционального уровня

Внимание

Не повышайте функциональный уровень, если у домена есть или у него есть контроллер домена, имеющий более раннюю версию, чем указанная для этого уровня версия. Например, для функционального уровня Windows Server 2008 требуется, чтобы все контроллеры домена имели windows Server 2008 или более позднюю операционную систему, установленную в домене или лесу. После повышения функционального уровня домена его можно изменить только на более старый уровень с помощью восстановления леса. Это ограничение существует, так как функции часто изменяют обмен данными между контроллерами домена или из-за того, что функции изменяют хранилище данных Active Directory в базе данных.

Наиболее распространенным способом включения функциональных уровней домена и леса является использование средств администрирования графического пользовательского интерфейса (GUI), которые описаны в статье TechNet о функциональных уровнях Windows Server 2003 Active Directory. В этой статье рассматривается Windows Server 2003. Однако шаги одинаковы в более новых версиях операционной системы. Кроме того, функциональный уровень можно настроить вручную или настроить с помощью сценариев Windows PowerShell. Дополнительные сведения о настройке функционального уровня вручную см. в разделе "Просмотр и настройка функционального уровня".

Дополнительные сведения об использовании скрипта Windows PowerShell для настройки функционального уровня см. в представлении "Повышение функционального уровня леса".

Просмотр и настройка функционального уровня вручную

Средства протокола LDAP, такие как Ldp.exe и Adsiedit.msc, можно использовать для просмотра и изменения текущих параметров уровня домена и леса. При изменении атрибутов функционального уровня вручную рекомендуется вносить изменения атрибутов в контроллер домена гибких основных операций (FSMO), который обычно предназначен для средств администрирования Майкрософт.

Параметры функционального уровня домена

Атрибут msDS-Behavior-Version находится в контексте именования (NC) для домена, то есть DC=corp, DC=contoso, DC=com.

Для этого атрибута можно задать следующие значения:

  • Значение 0 или не задано=домен смешанного уровня
  • Значение уровня домена 1=Windows Server 2003
  • Значение уровня домена 2=Windows Server 2003
  • Значение уровня домена 3=Windows Server 2008
  • Значение уровня домена 4=Windows Server 2008 R2

Параметры смешанного режима и собственного режима

Атрибут ntMixedDomain находится в области контекста именования (NC) для домена, то есть DC=corp, DC=contoso, DC=com.

Для этого атрибута можно задать следующие значения:

  • Значение 0=Домен собственного уровня
  • Значение 1=домен смешанного уровня

Параметр уровня леса

Атрибут msDS-Behavior-Version находится в объекте CN=Partitions в контексте именования конфигурации (NC), то есть CN=Partitions, CN=Configuration, DC= ForestRootDomain.

Для этого атрибута можно задать следующие значения:

  • Значение 0 или не задано=смешанный лес уровня

  • Значение 1=промежуточного леса Windows Server 2003

  • Значение 2=уровень леса Windows Server 2003

    Примечание.

    При увеличении атрибута msDS-Behavior-Version от 0 до 1 значения с помощьюAdsiedit.msc вы получите следующее сообщение об ошибке:
    Недопустимая операция изменения. Некоторые аспекты изменения не разрешены.

  • Значение уровня домена 3=Windows Server 2008

  • Значение уровня домена 4=Windows Server 2008 R2

После использования средств протокола LDAP для изменения функционального уровня нажмите кнопку "ОК", чтобы продолжить. Атрибуты контейнера секций и головки домена правильно увеличиваются. Если сообщение об ошибке сообщается файлом Ldp.exe, можно безопасно игнорировать сообщение об ошибке. Чтобы убедиться, что увеличение уровня выполнено успешно, обновите список атрибутов и проверьте текущий параметр. Это сообщение об ошибке также может возникнуть после того, как вы выполнили увеличение уровня для авторитетного FSMO, если изменение еще не реплицировалось на локальный контроллер домена.

Быстрое просмотр текущих параметров с помощью файла Ldp.exe

  1. Запустите файл Ldp.exe.
  2. В меню Подключение выберите команду Подключить.
  3. Укажите контроллер домена, который требуется запросить, или оставьте пространство пустым для подключения к любому контроллеру домена.

После подключения к контроллеру домена появится информация RootDSE для контроллера домена. Эта информация содержит сведения о лесу, домене и контроллерах домена. Ниже приведен пример контроллера домена на основе Windows Server 2003. В следующем примере предположим, что режим домена — Windows Server 2003, а режим леса — Windows 2000 Server.

Примечание.

Функциональные возможности контроллера домена представляют самый высокий функциональный уровень для этого контроллера домена.

  • 1> domainFunctionality: 2=(DS_BEHAVIOR_WIN2003)
  • 1> forestFunctionality: 0=(DS_BEHAVIOR_WIN2000)
  • 1> domainControllerFunctionality: 2=(DS_BEHAVIOR_WIN2003)

Требования при изменении функционального уровня вручную

  • Перед повышением уровня домена необходимо изменить режим домена на собственный, если одно из следующих условий имеет значение true:

    • Функциональный уровень домена программно поднимается на второй функциональный уровень путем непосредственного изменения значения атрибута msdsBehaviorVersion в объекте domainDNS.
    • Функциональный уровень домена поднимается на второй функциональный уровень с помощью служебной программы Ldp.exe или служебной программы Adsiedit.msc.

    Если вы не изменяете режим домена на собственный режим перед повышением уровня домена, операция не завершена успешно, и вы получите следующие сообщения об ошибках:

    SV_PROBLEM_WILL_NOT_PERFORM

    ERROR_DS_ILLEGAL_MOD_OPERATION

    Кроме того, следующее сообщение регистрируется в журнале служб каталогов:

    Active Directory could not update the functional level of the following domain because the domain is in mixed mode.

    В этом сценарии можно изменить режим домена на собственный режим с помощью оснастки "Пользователи и компьютеры Active Directory", используя оснастку MMC домен Active Directory и доверяя пользовательскому интерфейсу MMC или программно изменив значение атрибута ntMixedDomain на 0 в объекте domainDNS. Если этот процесс используется для повышения функционального уровня домена до 2 (Windows Server 2003), режим домена автоматически изменяется на собственный режим.

  • Переход от смешанного режима к собственному режиму изменяет область действия группы безопасности "Администраторы схем" и группы безопасности "Администраторы предприятия" на универсальные группы. Когда эти группы были изменены на универсальные группы, следующее сообщение регистрируется в системном журнале:

    Event Type: Information  
Event Source: SAM  
Event ID: 16408  
Computer:Server Name  
Description: "Domain operation mode has been changed to Native Mode. The change cannot be reversed."

  • Если средства администрирования Windows Server 2003 используются для вызова функционального уровня домена, атрибут ntmixedmode и атрибут msdsBehaviorVersion изменяются в правильном порядке. Однако это не всегда происходит. В следующем сценарии собственный режим неявно задает значение 0, не изменяя область для группы безопасности "Администраторы схемы" и группы безопасности "Администраторы предприятия" на универсальную:

    • Атрибут msdsBehaviorVersion, который управляет функциональным режимом домена, вручную или программным способом устанавливается значение 2.
    • Для режима работы леса задано значение 2 с помощью любого метода. В этом сценарии контроллеры домена блокируют переход к функциональному уровню леса, пока все домены, которые находятся в локальной сети, настроены в собственном режиме, и необходимые изменения атрибутов вносятся в области группы безопасности.

Функциональные уровни, относящиеся к Windows 2000 Server

Windows 2000 Server поддерживает только смешанный режим и собственный режим. Кроме того, он применяет эти режимы только к функциональным возможностям домена. В следующих разделах перечислены режимы домена Windows Server 2003, так как эти режимы влияют на обновление доменов Windows NT 4.0 и Windows 2000 Server.

При повышении уровня операционной системы контроллера домена существует множество рекомендаций. Эти рекомендации вызваны ограничениями хранилища и репликации связанных атрибутов в режимах сервера Windows 2000.

Смешанный сервер Windows 2000 (по умолчанию)

  • Поддерживаемые контроллеры домена: Microsoft Windows NT 4.0, Windows 2000 Server, Windows Server 2003
  • Активированные функции: локальные и глобальные группы, поддержка глобального каталога

Собственный сервер Windows 2000

  • Поддерживаемые контроллеры домена: Windows 2000 Server, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2
  • Активированные функции: вложенные группы, универсальные группы, журнал sid, преобразование групп между группами безопасности и группами рассылки, вы можете повысить уровень домена, увеличив параметры уровня леса.

Промежуточный период Windows Server 2003

  • Поддерживаемые контроллеры домена: Windows NT 4.0, Windows Server 2003
  • Поддерживаемые функции: на этом уровне не активируются функции на уровне домена. Все домены в лесу автоматически поднимаются на этот уровень, когда уровень леса увеличивается до промежуточного. Этот режим используется только при обновлении контроллеров домена в доменах Windows NT 4.0 до контроллеров домена Windows Server 2003.

Windows Server 2003

  • Поддерживаемые контроллеры домена: Windows Server 2003, Windows Server 2008, Windows Server 2008 R2
  • Поддерживаемые функции: переименование контроллера домена, обновление и репликация атрибута метки времени входа. Поддержка паролей пользователя в объекте InetOrgPerson. Ограниченное делегирование можно перенаправить контейнеры "Пользователи и компьютеры".

Домены, обновляемые с Windows NT 4.0 или созданные с помощью повышения уровня работы компьютера под управлением Windows Server 2003, работают на смешанном функциональном уровне Windows 2000. Домены Windows 2000 Server поддерживают текущий уровень работы домена при обновлении контроллеров домена Windows 2000 Server до операционной системы Windows Server 2003. Вы можете повысить функциональный уровень домена до Windows 2000 Server в собственном коде или Windows Server 2003.

Промежуточный уровень — обновление с домена Windows NT 4.0

Windows Server 2003 Active Directory разрешает специальный уровень работы леса и домена с именем Windows Server 2003. Этот функциональный уровень предоставляется для обновления существующих доменов Windows NT 4.0, где один или несколько контроллеров домена резервного копирования Windows NT 4.0 (BDCs) должны функционировать после обновления. Контроллеры домена Windows 2000 Server не поддерживаются в этом режиме. Промежуточный период Windows Server 2003 применяется к следующим сценариям:

  • Обновление домена с Windows NT 4.0 до Windows Server 2003.
  • BDCs Windows NT 4.0 не обновляются немедленно.
  • Домены Windows NT 4.0, содержащие группы с более чем 5000 членами (за исключением группы пользователей домена).
  • В лесу не планируется реализовать контроллеры домена Windows Server2000 в любое время.

Промежуточный период Windows Server 2003 обеспечивает два важных улучшения, позволяя репликации на контроллеры домена Windows NT 4.0:

  1. Эффективная репликация групп безопасности и поддержка более 5000 участников на каждую группу.
  2. Улучшены алгоритмы генератора топологии между сайтами KCC.

Из-за эффективности репликации групп, активируемой на промежуточном уровне, промежуточный уровень — это рекомендуемый уровень для всех обновлений Windows NT 4.0. Дополнительные сведения см. в разделе "Рекомендации" этой статьи.

Настройка промежуточного уровня работы леса Windows Server 2003

Промежуточные версии Windows Server 2003 можно активировать тремя способами. Первые два метода настоятельно рекомендуется. Это связано с тем, что группы безопасности используют репликацию связанных значений (LVR) после обновления основного контроллера домена Windows NT 4.0 до контроллера домена Windows Server 2003. Третий вариант является менее рекомендуемым, так как членство в группах безопасности использует один многозначный атрибут, что может привести к проблемам репликации. Способы активации промежуточной версии Windows Server 2003:

  1. Во время обновления.

    Этот параметр представлен в мастере установки Dcpromo при обновлении PDC домена Windows NT 4.0, который служит первым контроллером домена в корневом домене нового леса.

  2. Перед обновлением PDC Windows NT 4.0 windows NT 4.0 в качестве первого контроллера домена в существующем лесу вручную настроив уровень функциональности леса с помощью средств LDAP.

    Дочерние домены наследуют параметры функциональности на уровне леса от леса, в который они следуют. Обновление PDC домена Windows NT 4.0 в качестве дочернего домена в существующем лесу Windows Server 2003, где промежуточные функциональные уровни леса были настроены с помощью файла Ldp.exe или файла Adsiedit.msc позволяет группам безопасности использовать репликацию связанных значений после обновления версии операционной системы.

  3. После обновления с помощью средств LDAP.

    Используйте последние два варианта при присоединении существующего леса Windows Server 2003 во время обновления. Это распространенный сценарий, когда находится пустой корневой домен. Обновленный домен присоединяется как дочерний элемент пустого корневого элемента и наследует параметр домена из леса.

Рекомендации

В следующем разделе рассматриваются рекомендации по повышению функциональных уровней. Раздел разбит на две части. "Задачи подготовки" обсуждает работу, которую необходимо выполнить перед увеличением и "Увеличение оптимальных путей" описывает мотивации и методы для различных сценариев увеличения уровня.

Чтобы обнаружить контроллеры домена Windows NT 4.0, выполните следующие действия.

  1. На любом контроллере домена на основе Windows Server 2003 откройте Пользователи и компьютеры Active Directory.

  2. Если контроллер домена еще не подключен к соответствующему домену, выполните следующие действия, чтобы подключиться к соответствующему домену:

    1. Щелкните правой кнопкой мыши текущий объект домена и нажмите кнопку "Подключиться к домену".
    2. В диалоговом окне "Домен" введите DNS-имя домена, к которому требуется подключиться, и нажмите кнопку "ОК". Или нажмите кнопку "Обзор" , чтобы выбрать домен из дерева домена, а затем нажмите кнопку "ОК".

  3. Щелкните правой кнопкой мыши объект домена и нажмите кнопку "Найти".

  4. В диалоговом окне "Поиск" нажмите кнопку "Пользовательский поиск".

  5. Щелкните домен, для которого нужно изменить функциональный уровень.

  6. Перейдите на вкладку Дополнительно.

  7. В поле запроса LDAP введите следующее и оставьте пробелы между символами: (&(objectCategory=computer)(operatingSystem Version=4*)(userAccountControl:1.2.840.113556.1.4.803:=8192))

    Примечание.

    Этот запрос не учитывает регистр.

  8. Нажмите кнопку " Найти сейчас".

    Появится список компьютеров в домене под управлением Windows NT 4.0 и работающих в качестве контроллеров домена.

Контроллер домена может отображаться в списке по любым из следующих причин:

  • Контроллер домена работает под управлением Windows NT 4.0 и должен быть обновлен.
  • Контроллер домена обновляется до Windows Server 2003, но изменение не реплицируется на целевой контроллер домена.
  • Контроллер домена больше не находится в службе, но объект компьютера контроллера домена не удаляется из домена.

Прежде чем изменить функциональный уровень домена на Windows Server 2003, необходимо физически найти любой контроллер домена в списке, определить текущее состояние контроллера домена, а затем обновить или удалить контроллер домена соответствующим образом.

Примечание.

В отличие от контроллеров домена Windows Server 2000 контроллеры домена Windows NT 4.0 не блокируют увеличение уровня. При изменении функционального уровня домена репликация на контроллеры домена Windows NT 4.0 остановится. Однако при попытке увеличить до уровня леса Windows Server 2003 с доменами в Windows Server 2000 смешанный уровень блокируется. Отсутствие контроллеров домена Windows NT 4.0 подразумевается путем удовлетворения требований к уровню леса для всех доменов на собственном уровне Windows Server 2000 или более поздней версии.

Пример. Задачи подготовки перед увеличением уровня

В этом примере среда создается из смешанного режима Windows Server 2000 в режим леса Windows Server 2003.

Инвентаризация леса для более ранних версий контроллеров домена.

Если точный список серверов недоступен, выполните следующие действия.

  1. Чтобы обнаружить домены смешанного уровня, контроллеры домена Windows Server 2000 или контроллеры домена с поврежденными или отсутствующими объектами, используйте домены Active Directory и оснастки MMC Trusts.
  2. В оснастке щелкните "Создать функцию леса" и нажмите кнопку "Сохранить как ", чтобы создать подробный отчет.
  3. Если проблемы не найдены, возможность увеличить уровень леса Windows Server 2003 доступна в раскрывающемся списке "Доступные уровни функциональных возможностей леса". При попытке повысить уровень леса объекты контроллера домена в контейнерах конфигурации выполняют поиск любых контроллеров домена, не имеющих версию msds-behavior-version для требуемого целевого уровня. Предполагается, что они являются контроллерами домена Windows Server 2000 или более новыми объектами контроллера домена Windows Server, которые повреждены.
  4. Если были найдены более ранние контроллеры домена или контроллеры домена, поврежденные или отсутствующие объекты компьютера, они включены в отчет. Состояние этих контроллеров домена необходимо исследовать, а представление контроллера домена в Active Directory должно быть восстановлено или удалено с помощью файла Ntdsutil.

Для получения дополнительной информации щелкните приведенный ниже номер статьи базы знаний Майкрософт:
216498 Удаление данных в Active Directory после неудачного понижения контроллера домена

Убедитесь, что сквозная репликация работает в лесу

Чтобы убедиться, что сквозная репликация работает в лесу, используйте windows Server 2003 или более новую версию Repadmin для контроллеров домена Windows Server 2000 или Windows Server 2003:

  • Repadmin/Replsum * /Sort:Delta[/Errorsonly] для первоначальной инвентаризации.

  • Repadmin/Showrepl * /CSV>showrepl.csv. Импортируйте в Excel, а затем используйте средство автофильтра данных> для идентификации функций репликации.

    Используйте такие средства репликации, как Repadmin, чтобы убедиться, что репликация на уровне леса работает правильно.

Проверьте совместимость всех программ или служб с более новыми контроллерами домена Windows Server и более высоким режимом домена и леса Windows Server. Используйте лабораторию для тщательного тестирования рабочих программ и служб для проблем совместимости. Обратитесь к поставщикам за подтверждением возможности.

Подготовьте резервный план, включающий одно из следующих действий:

  • Отключите по крайней мере два контроллера домена от каждого домена в лесу.
  • Создайте резервную копию состояния системы по крайней мере двух контроллеров домена из каждого домена в лесу.

Перед использованием резервного плана все контроллеры домена в лесу должны быть выведены из эксплуатации перед процессом восстановления.

Примечание.

Увеличение уровня невозможно достоверно восстановить. Это означает, что все контроллеры домена, реплицированные увеличение уровня, должны быть выведены из эксплуатации.

После вывода всех предыдущих контроллеров домена откройте отключенные контроллеры домена или восстановите контроллеры домена из резервной копии. Удалите метаданные из всех остальных контроллеров домена, а затем повторите их. Это сложный процесс, и его необходимо избежать.

Пример. Получение от уровня смешанного уровня Windows Server 2000 до уровня леса Windows Server 2003

Увеличьте все домены до собственного уровня Windows Server 2000. После завершения этого увеличьте функциональный уровень корневого домена леса до уровня леса Windows Server 2003. Когда уровень леса реплицируется в PDC для каждого домена в лесу, уровень домена автоматически увеличивается до уровня домена Windows Server 2003. Этот метод имеет следующие преимущества:

  • Увеличение уровня леса выполняется только один раз. Вам не нужно вручную увеличивать каждый домен в лесу до функционального уровня домена Windows Server 2003.
  • Проверка контроллеров домена Windows Server 2000 выполняется до увеличения уровня (см. шаги подготовки). Увеличение блокируется до тех пор, пока не будут удалены или обновлены контроллеры домена. Подробный отчет можно создать путем перечисления блокирующих контроллеров домена и предоставления практических данных.
  • Выполняется проверка доменов на промежуточном уровне Windows Server 2000 или Windows Server 2003. Увеличение блокируется до тех пор, пока уровни домена не будут увеличены до по крайней мере в собственном коде Windows Server 2000. Домены промежуточного уровня необходимо увеличить до уровня домена Windows Server 2003. Подробный отчет можно создать, перечислив блокирующие домены.

Обновления Windows NT 4.0

Обновления Windows NT 4.0 всегда используют промежуточный уровень во время обновления PDC, если только контроллеры домена Windows Server 2000 не были введены в лес, на который PDC обновляется. Если во время обновления PDC используется промежуточный режим, существующие крупные группы немедленно используют репликацию LVR, избегая потенциальных проблем репликации, которые рассматриваются ранее в этой статье. Используйте один из следующих методов, чтобы перейти к промежуточному уровню во время обновления:

  • Выберите промежуточный уровень во время Dcpromo. Этот параметр отображается только в том случае, если PDC обновляется в новый лес.
  • Задайте уровень леса существующего леса промежуточным, а затем присоедините лес во время обновления PDC. Обновленный домен наследует параметр леса.
  • После обновления или удаления всех контроллеров домена Windows NT 4.0 каждый домен необходимо перейти на уровень леса и перейти в режим леса Windows Server 2003.

Причина, по которой следует избегать использования промежуточного режима, заключается в том, если планируется реализовать контроллеры домена Windows Server 2000 после обновления или в любое время в будущем.

Особое внимание для больших групп в Windows NT 4.0

В зрелых доменах Windows NT 4.0 группы безопасности, содержащие гораздо более 5000 членов, могут существовать. В Windows NT 4.0 при изменении члена группы безопасности только одно изменение членства реплицируется на контроллеры домена резервного копирования. В Windows Server 2000 членство в группах — это связанные атрибуты, хранящиеся в одном многозначном атрибуте объекта группы. Когда одно изменение включено в членство в группе, вся группа реплицируется в виде одной единицы. Так как членство в группе реплицируется в виде одной единицы, в разных контроллерах домена может быть "потеряно" обновление членства в группах. Кроме того, размер одного объекта может быть больше, чем буфер, используемый для фиксации записи в базе данных. Дополнительные сведения см. в разделе "Проблемы с хранилищем версий с большими группами" этой статьи. По этим причинам рекомендуемое ограничение для участников группы составляет 5000.

Исключением из правила члена 5000 является основная группа (по умолчанию это группа "Пользователи домена"). Основная группа использует механизм "вычисляемый" на основе "primarygroupID" пользователя для определения членства. Основная группа не сохраняет члены как многозначные связанные атрибуты. Если основная группа пользователя изменяется на пользовательскую группу, их членство в группе "Пользователи домена" записывается в связанный атрибут группы и больше не вычисляется. Новая первичная группа Rid записывается в "primarygroupID" и пользователь удаляется из атрибута члена группы.

Если администратор не выбирает промежуточный уровень для домена обновления, перед обновлением необходимо выполнить следующие действия:

  1. Инвентаризация всех больших групп и определение всех групп более 5000, за исключением группы пользователей домена.
  2. Все группы, имеющие более 5000 членов, должны быть разбиты на небольшие группы менее 5000 членов.
  3. Найдите все списки контроль доступа, в которых были введены большие группы, и добавьте небольшие группы, созданные на шаге 2.Windows Server 2003 промежуточный уровень леса, позволяет администраторам обнаруживать и перенастраивать глобальные группы безопасности с более чем 5000 членами.

Проблемы с хранилищем версий с большими группами

Во время длительных операций, таких как глубокий поиск или фиксация в одном, большом атрибуте, Active Directory должен убедиться, что состояние базы данных статично, пока операция не завершится. Пример глубокого поиска или фиксации больших атрибутов — это большая группа, использующая устаревшее хранилище.

Так как обновления базы данных постоянно происходят локально и от партнеров репликации, Active Directory предоставляет статическое состояние путем очереди всех входящих изменений до завершения длительной операции. После завершения операции изменения очереди применяются к базе данных.

Расположение хранилища для этих изменений в очереди называется "хранилищем версий" и составляет около 100 мегабайт. Размер хранилища версий зависит от физической памяти. Если длительная операция не завершается до исчерпания хранилища версий, контроллер домена перестанет принимать обновления до тех пор, пока не будут зафиксированы длительные операции и внесенные в очередь изменения. Группы, которые достигают большого числа (более 5000 членов), ставят контроллер домена под угрозу исчерпания хранилища версий до тех пор, пока большая группа зафиксирована.

Windows Server 2003 представляет новый механизм репликации связанных многозначных атрибутов, которые называют репликацией значений ссылки (LVR). Вместо репликации всей группы в одной операции репликации LVR устраняет эту проблему путем репликации каждого члена группы в виде отдельной операции репликации. LVR становится доступным при повышении функционального уровня леса до промежуточного уровня леса Windows Server 2003 или до уровня леса Windows Server 2003. На этом функциональном уровне LVR используется для репликации групп между контроллерами домена Windows Server 2003.