Dela via

Så här höjer du Active Directory-domänen och skogens funktionsnivåer

  • Artikel

Den här artikeln beskriver hur du höjer active directory-domän- och skogsfunktionsnivåer.

Gäller för: Windows Server 2003
Ursprungligt KB-nummer: 322692

Sammanfattning

Information om Windows Server 2016 och nya funktioner i Active Directory-domän Services (AD DS) finns i Nyheter i Active Directory-domän Services för Windows Server 2016.

I den här artikeln beskrivs hur du höjer de domän- och skogsfunktionsnivåer som stöds av Microsoft Windows Server 2003-baserade eller nyare domänkontrollanter. Det finns fyra versioner av Active Directory, och endast de nivåer som har ändrats från Windows NT Server 4.0 kräver särskild hänsyn. Därför nämns de andra nivåändringarna med hjälp av nyare, aktuella eller äldre versioner av domänkontrollantoperativsystemet, domänen eller skogens funktionsnivå.

Funktionsnivåer är ett tillägg till det blandade läget och de inbyggda lägesbegrepp som introducerades i Microsoft Windows 2000 Server för att aktivera nya Active Directory-funktioner. Vissa ytterligare Active Directory-funktioner är tillgängliga när alla domänkontrollanter kör den senaste Windows Server-versionen i en domän eller i en skog, och när administratören aktiverar motsvarande funktionsnivå i domänen eller i skogen.

För att aktivera de senaste domänfunktionerna måste alla domänkontrollanter köra den senaste Versionen av Windows Server-operativsystemet i domänen. Om det här kravet uppfylls kan administratören höja domänfunktionsnivån.

För att aktivera de senaste funktionerna i hela skogen måste alla domänkontrollanter i skogen köra Windows Server-operativsystemets version som motsvarar den önskade skogens funktionsnivå. Dessutom måste den aktuella domänfunktionsnivån redan vara på den senaste nivån. Om dessa krav uppfylls kan administratören höja skogens funktionsnivå.

I allmänhet går det inte att ångra ändringarna av domän- och skogsfunktionsnivåer. Om ändringen kan ångras måste en skogsåterställning användas. Med operativsystemet Windows Server 2008 R2 kan ändringar av domänfunktionsnivåer och skogsfunktionsnivåer återställas. Återställningen kan dock endast utföras i de specifika scenarier som beskrivs i Technet-artikeln om Active Directory-funktionsnivåer.

Kommentar

De nyaste domänfunktionsnivåerna och de nyaste skogsfunktionsnivåerna påverkar bara hur domänkontrollanterna fungerar tillsammans som en grupp. Klienterna som interagerar med domänen eller med skogen påverkas inte. Dessutom påverkas inte programmen av ändringar i domänens funktionsnivåer eller skogens funktionsnivåer. Program kan dock dra nytta av de senaste domänfunktionerna och de senaste skogsfunktionerna.

Mer information finns i TechNet-artikeln om de funktioner som är associerade med de olika funktionsnivåerna.

Höja funktionsnivån

Varning

Höj inte funktionsnivån om domänen har eller kommer att ha en domänkontrollant som är av en tidigare version än den version som anges för den nivån. En funktionsnivå för Windows Server 2008 kräver till exempel att alla domänkontrollanter har Windows Server 2008 eller ett senare operativsystem installerat i domänen eller i skogen. När domänfunktionsnivån har höjts till en högre nivå kan den bara ändras tillbaka till en äldre nivå med hjälp av en skogsåterställning. Den här begränsningen finns eftersom funktionerna ofta ändrar kommunikationen mellan domänkontrollanterna, eller på grund av att funktionerna ändrar lagringen av Active Directory-data i databasen.

Den vanligaste metoden för att aktivera domän- och skogsfunktionsnivåer är att använda administrationsverktygen för grafiskt användargränssnitt (GUI) som beskrivs i TechNet-artikeln om funktionsnivåer för Windows Server 2003 Active Directory. I den här artikeln beskrivs Windows Server 2003. Stegen är dock desamma i de nyare operativsystemversionerna. Dessutom kan funktionsnivån konfigureras manuellt eller konfigureras med hjälp av Windows PowerShell-skript. Mer information om hur du konfigurerar funktionsnivån manuellt finns i avsnittet "Visa och ange funktionsnivå".

Mer information om hur du använder Windows PowerShell-skript för att konfigurera funktionsnivån finns i Höja skogens funktionsnivå.

Visa och ange funktionsnivån manuellt

LDAP-verktyg (Lightweight Directory Access Protocol) som Ldp.exe och Adsiedit.msc kan användas för att visa och ändra de aktuella inställningarna för domän- och skogsfunktionsnivå. När du ändrar attributen på funktionsnivå manuellt är bästa praxis att göra attributändringar på domänkontrollanten FSMO (Flexible Single Master Operations) som normalt är mål för Microsofts administrativa verktyg.

Inställningar för domänfunktionsnivå

Attributet msDS-Behavior-Version finns i namnkontexten (NC) för domänen, dvs. DC=corp, DC=contoso, DC=com.

Du kan ange följande värden för det här attributet:

  • Värdet 0 eller inte set=domän på mixad nivå
  • Värdet 1=Windows Server 2003-domännivå
  • Värdet 2=Windows Server 2003-domännivå
  • Värdet 3=Windows Server 2008-domännivå
  • Värdet 4=Windows Server 2008 R2-domännivå

Inställningar för blandat läge och inbyggt läge

Attributet ntMixedDomain finns i namnkontexten (NC) för domänen, dvs. DC=corp, DC=contoso, DC=com.

Du kan ange följande värden för det här attributet:

  • Värdet 0=Domän på intern nivå
  • Värdet 1=Domän på blandad nivå

Inställning för skogsnivå

Attributet msDS-Behavior-Version finns på CN=Partitions-objektet i konfigurationsnamngivningskontexten (NC), dvs. CN=Partitioner, CN=Configuration, DC= ForestRootDomain.

Du kan ange följande värden för det här attributet:

  • Värdet 0 eller inte inställt=skog på blandad nivå

  • Värdet 1=Windows Server 2003 interim skogsnivå

  • Värdet 2=Windows Server 2003-skogsnivå

    Kommentar

    När du ökar attributet msDS-Behavior-Version från värdet 0 till värdet 1 med hjälp avAdsiedit.msc får du följande felmeddelande:
    Ogiltig ändringsåtgärd. En del av ändringen är inte tillåten.

  • Värdet 3=Windows Server 2008-domännivå

  • Värdet 4=Windows Server 2008 R2-domännivå

När du har använt LDAP-verktygen (Lightweight Directory Access Protocol) för att redigera funktionsnivån klickar du på OK för att fortsätta. Attributen på partitionscontainern och på domänhuvudet ökas korrekt. Om ett felmeddelande rapporteras av Ldp.exe-filen kan du ignorera felmeddelandet på ett säkert sätt. Kontrollera att nivåökningen lyckades genom att uppdatera attributlistan och sedan kontrollera den aktuella inställningen. Det här felmeddelandet kan också inträffa när du har utfört nivåökningen på den auktoritativa FSMO:n om ändringen ännu inte har replikerats till den lokala domänkontrollanten.

Visa snabbt de aktuella inställningarna med hjälp av filen Ldp.exe

  1. Starta filen Ldp.exe.
  2. På menyn Anslutning klickar du på Anslut.
  3. Ange den domänkontrollant som du vill köra frågor mot eller lämna utrymmet tomt för att ansluta till valfri domänkontrollant.

När du har anslutit till en domänkontrollant visas RootDSE-informationen för domänkontrollanten. Den här informationen innehåller information om skogen, domänen och domänkontrollanterna. Följande är ett exempel på en Windows Server 2003-baserad domänkontrollant. Anta i följande exempel att domänläget är Windows Server 2003 och att skogsläget är Windows 2000 Server.

Kommentar

Domänkontrollantens funktioner representerar högsta möjliga funktionsnivå för den här domänkontrollanten.

  • 1> domainFunctionality: 2=(DS_BEHAVIOR_WIN2003)
  • 1> forestFunctionality: 0=(DS_BEHAVIOR_WIN2000)
  • 1> domainControllerFunctionality: 2=(DS_BEHAVIOR_WIN2003)

Krav när du ändrar funktionsnivån manuellt

  • Du måste ändra domänläget till inbyggt läge innan du höjer domännivån om något av följande villkor är sant:

    • Domänfunktionsnivån höjs programmatiskt till den andra funktionsnivån genom att direkt ändra värdet för attributet msdsBehaviorVersion på domainDNS-objektet.
    • Domänfunktionsnivån höjs till den andra funktionsnivån med hjälp av verktyget Ldp.exe eller verktyget Adsiedit.msc.

    Om du inte ändrar domänläget till inbyggt läge innan du höjer domännivån slutförs inte åtgärden och du får följande felmeddelanden:

    SV_PROBLEM_WILL_NOT_PERFORM

    ERROR_DS_ILLEGAL_MOD_OPERATION

    Dessutom loggas följande meddelande i Directory Services-loggen:

    Active Directory could not update the functional level of the following domain because the domain is in mixed mode.

    I det här scenariot kan du ändra domänläget till inbyggt läge med hjälp av snapin-modulen Active Directory-användare och datorer med hjälp av mmc-snapin-modulen Active Directory-domän s & Trusts UI, eller genom att programmatiskt ändra värdet för attributet ntMixedDomain till 0 på domainDNS-objektet. När den här processen används för att höja domänens funktionsnivå till 2 (Windows Server 2003) ändras domänläget automatiskt till inbyggt läge.

  • Övergången från blandat läge till inbyggt läge ändrar omfånget för säkerhetsgruppen Schemaadministratörer och säkerhetsgruppen Företagsadministratörer till universella grupper. När dessa grupper har ändrats till universella grupper loggas följande meddelande i systemloggen:

    Event Type: Information  
Event Source: SAM  
Event ID: 16408  
Computer:Server Name  
Description: "Domain operation mode has been changed to Native Mode. The change cannot be reversed."

  • När de administrativa verktygen för Windows Server 2003 används för att anropa domänfunktionsnivån ändras både attributet ntmixedmode och attributet msdsBehaviorVersion i rätt ordning. Detta sker dock inte alltid. I följande scenario är det interna läget implicit inställt på värdet 0 utan att ändra omfånget för säkerhetsgruppen Schemaadministratörer och säkerhetsgruppen Företagsadministratörer till universell:

    • Attributet msdsBehaviorVersion som styr domänens funktionsläge anges manuellt eller programmatiskt till värdet 2.
    • Skogens funktionsnivå är inställd på 2 med valfri metod. I det här scenariot blockerar domänkontrollanterna övergången till skogens funktionsnivå tills alla domäner som finns i det lokala nätverket har konfigurerats till inbyggt läge och den nödvändiga attributändringen görs i säkerhetsgruppens omfång.

Funktionsnivåer som är relevanta för Windows 2000 Server

Windows 2000 Server stöder endast blandat läge och inbyggt läge. Dessutom tillämpas de här lägena endast på domänfunktionerna. I följande avsnitt visas windows server 2003-domänlägena eftersom dessa lägen påverkar hur Windows NT 4.0- och Windows 2000 Server-domäner uppgraderas.

Det finns många saker att tänka på när du höjer operativsystemnivån för domänkontrollanten. Dessa överväganden orsakas av lagrings- och replikeringsbegränsningarna för de länkade attributen i Windows 2000 Server-lägen.

Windows 2000 Server blandat (standard)

  • Domänkontrollanter som stöds: Microsoft Windows NT 4.0, Windows 2000 Server, Windows Server 2003
  • Aktiverade funktioner: lokala och globala grupper, stöd för global katalog

Windows 2000 Server native

  • Domänkontrollanter som stöds: Windows 2000 Server, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2
  • Aktiverade funktioner: gruppkapsling, universella grupper, Sidhistorik, konvertering av grupper mellan säkerhetsgrupper och distributionsgrupper. Du kan höja domännivåerna genom att öka inställningarna på skogsnivå

Windows Server 2003 interim

  • Domänkontrollanter som stöds: Windows NT 4.0, Windows Server 2003
  • Funktioner som stöds: Det finns inga domänomfattande funktioner som aktiveras på den här nivån. Alla domäner i en skog höjs automatiskt till den här nivån när skogsnivån ökar till interim. Det här läget används endast när du uppgraderar domänkontrollanter i Windows NT 4.0-domäner till Windows Server 2003-domänkontrollanter.

Windows Server 2003

  • Domänkontrollanter som stöds: Windows Server 2003, Windows Server 2008, Windows Server 2008 R2
  • Funktioner som stöds: namnbyte för domänkontrollant, tidsstämpelattribut för inloggning har uppdaterats och replikerats. Stöd för användarlösenord i InetOrgPerson objectClass. Begränsad delegering kan du omdirigera containrarna Användare och datorer.

Domäner som uppgraderas från Windows NT 4.0 eller skapas genom befordran av en Windows Server 2003-baserad dator fungerar på den blandade funktionsnivån för Windows 2000. Windows 2000 Server-domäner behåller sin aktuella domänfunktionsnivå när Windows 2000 Server-domänkontrollanter uppgraderas till operativsystemet Windows Server 2003. Du kan höja domänfunktionsnivån till antingen Windows 2000 Server native eller Windows Server 2003.

Interimsnivå – uppgradera från en Windows NT 4.0-domän

Windows Server 2003 Active Directory tillåter en särskild skogs- och domänfunktionsnivå med namnet Windows Server 2003 interim. Den här funktionsnivån tillhandahålls för uppgraderingar av befintliga Windows NT 4.0-domäner där en eller flera Windows NT 4.0-domänkontrollanter (BDCs) måste fungera efter uppgraderingen. Windows 2000 Server-domänkontrollanter stöds inte i det här läget. Windows Server 2003 interim gäller för följande scenarier:

  • Domänuppgraderingar från Windows NT 4.0 till Windows Server 2003.
  • Windows NT 4.0 BDCs uppgraderas inte omedelbart.
  • Windows NT 4.0-domäner som innehåller grupper med fler än 5 000 medlemmar (exklusive gruppen domänanvändare).
  • Det finns inga planer på att implementera Windows Server2000-domänkontrollanter i skogen när som helst.

Windows Server 2003 interim ger två viktiga förbättringar samtidigt som replikering tillåts till Windows NT 4.0 BDCs:

  1. Effektiv replikering av säkerhetsgrupper och stöd för fler än 5 000 medlemmar per grupp.
  2. Förbättrade algoritmer för topologigeneratorer mellan platser i KCC.

På grund av effektiviteten i gruppreplikeringen som aktiveras på interimsnivån är interimsnivån den rekommenderade nivån för alla Windows NT 4.0-uppgraderingar. Mer information finns i avsnittet "Metodtips" i den här artikeln.

Ställa in funktionsnivån för Windows Server 2003 interimskog

Windows Server 2003 interim kan aktiveras på tre olika sätt. De två första metoderna rekommenderas starkt. Det beror på att säkerhetsgrupper använder länkad värdereplikering (LVR) efter att Windows NT 4.0-domänens primära domänkontrollant (PDC) har uppgraderats till en Windows Server 2003-domänkontrollant. Det tredje alternativet rekommenderas mindre eftersom medlemskap i säkerhetsgrupper använder ett enda flervärdesattribut, vilket kan leda till replikeringsproblem. De sätt på vilka Windows Server 2003 interim kan aktiveras är:

  1. Under uppgraderingen.

    Alternativet visas i installationsguiden för Dcpromo när du uppgraderar PDC för en Windows NT 4.0-domän som fungerar som den första domänkontrollanten i rotdomänen för en ny skog.

  2. Innan du uppgraderar Windows NT 4.0 PDC för en Windows NT 4.0 som den första domänkontrollanten för en ny domän i en befintlig skog genom att manuellt konfigurera skogens funktionsnivå med hjälp av LDAP-verktyg (Lightweight Directory Access Protocol).

    Underordnade domäner ärver de skogsomfattande funktionsinställningarna från den skog som de befordras till. Om du uppgraderar PDC för en Windows NT 4.0-domän som en underordnad domän i en befintlig Windows Server 2003-skog där interimskogens funktionella nivåer har konfigurerats med hjälp av filen Ldp.exe eller filen Adsiedit.msc kan säkerhetsgrupper använda länkad värdereplikering efter uppgraderingen av operativsystemversionen.

  3. Efter uppgraderingen med hjälp av LDAP-verktyg.

    Använd de två sista alternativen när du ansluter till en befintlig Windows Server 2003-skog under en uppgradering. Det här är ett vanligt scenario när en "tom rotdomän" är på plats. Den uppgraderade domänen är ansluten som underordnad den tomma roten och ärver domäninställningen från skogen.

Bästa praxis

I följande avsnitt beskrivs metodtipsen för att öka funktionsnivåerna. Avsnittet är indelat i två delar. "Förberedelseuppgifter" beskriver det arbete som du måste göra innan ökningen och "Optimala sökvägar ökar" diskuterar motivationen och metoderna för olika nivåökningsscenarier.

Följ dessa steg för att identifiera Windows NT 4.0-domänkontrollanter:

  1. Öppna Active Directory - användare och datorer från valfri Windows Server 2003-baserad domänkontrollant.

  2. Om domänkontrollanten inte redan är ansluten till rätt domän följer du dessa steg för att ansluta till rätt domän:

    1. Högerklicka på det aktuella domänobjektet och klicka sedan på Anslut till domän.
    2. I dialogrutan Domän skriver du DNS-namnet på den domän som du vill ansluta till och klickar sedan på OK. Eller klicka på Bläddra för att välja domänen från domänträdet och klicka sedan på OK.

  3. Högerklicka på domänobjektet och klicka sedan på Sök.

  4. I dialogrutan Sök klickar du på Anpassad sökning.

  5. Klicka på den domän som du vill ändra funktionsnivån för.

  6. Klicka på fliken Avancerat.

  7. I rutan Ange LDAP-fråga skriver du följande och lämnar inga blanksteg mellan tecken: (&(objectCategory=computer)(operatingSystem Version=4*)(userAccountControl:1.2.840.113556.1.4.803:=8192))

    Kommentar

    Den här frågan är inte skiftlägeskänslig.

  8. Klicka på Sök nu.

    En lista över datorerna i domänen som kör Windows NT 4.0 och fungerar som domänkontrollanter visas.

En domänkontrollant kan visas i listan av någon av följande orsaker:

  • Domänkontrollanten kör Windows NT 4.0 och måste uppgraderas.
  • Domänkontrollanten uppgraderas till Windows Server 2003 men ändringen replikeras inte till måldomänkontrollanten.
  • Domänkontrollanten är inte längre i tjänst, men domänkontrollantens datorobjekt tas inte bort från domänen.

Innan du kan ändra domänfunktionsnivån till Windows Server 2003 måste du fysiskt hitta alla domänkontrollanter i listan, fastställa domänkontrollantens aktuella status och sedan antingen uppgradera eller ta bort domänkontrollanten efter behov.

Kommentar

Till skillnad från Windows Server 2000-domänkontrollanterna blockerar inte Windows NT 4.0-domänkontrollanterna en nivåökning. När du ändrar domänfunktionsnivån stoppas replikeringen till Windows NT 4.0-domänkontrollanterna. Men när du försöker öka till Windows Server 2003-skogsnivå med domäner i Windows Server 2000 blockeras den blandade nivån. Bristen på Windows NT 4.0 BDCs är underförstådd genom att uppfylla skogsnivåkravet för alla domäner på den interna Windows Server 2000-nivån eller senare.

Exempel: Förberedelseaktiviteter före nivåökningen

I det här exemplet höjs miljön från blandat läge för Windows Server 2000 till Windows Server 2003-skogsläge.

Inventera skogen för tidigare versioner av domänkontrollanter.

Om en korrekt serverlista inte är tillgänglig följer du dessa steg:

  1. Om du vill identifiera domäner på blandad nivå, Windows Server 2000-domänkontrollanter eller domänkontrollanter med skadade eller saknade objekt använder du Active Directory-domäner och MMC-snapin-modulen Trusts.
  2. I snapin-modulen klickar du på Höj skogsfunktioner och klickar sedan på Spara som för att generera en detaljerad rapport.
  3. Om inga problem hittades är alternativet att öka till Windows Server 2003-skogsnivå tillgängligt från listrutan "Tillgängliga skogsfunktionsnivåer ". När du försöker höja skogsnivån genomsöks domänkontrollantobjekten i konfigurationscontainrarna efter domänkontrollanter som inte har msds-behavior-version inställda på önskad målnivå. Dessa antas vara antingen Windows Server 2000-domänkontrollanter eller nyare Windows Server-domänkontrollantobjekt som är skadade.
  4. Om tidigare version av domänkontrollanter eller domänkontrollanter som har skadat eller saknade datorobjekt hittades inkluderas de i rapporten. Statusen för dessa domänkontrollanter måste undersökas och domänkontrollantrepresentationen i Active Directory måste repareras eller tas bort med hjälp av filen Ntdsutil.

Om du vill veta mer klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
216498 Så här tar du bort data i Active Directory efter en misslyckad degradering av domänkontrollanter

Kontrollera att replikering från slutpunkt till slutpunkt fungerar i skogen

Om du vill kontrollera att slutpunkt till slutpunkt-replikering fungerar i skogen använder du Windows Server 2003 eller senare version av Repadmin mot Windows Server 2000 eller Windows Server 2003-domänkontrollanterna:

  • Repadmin/Replsum * /Sort:Delta[/Errorsonly] för den inledande inventeringen.

  • Repadmin/Showrepl * /CSV>showrepl.csv. Importera till Excel och använd sedan Data-Autofilter> för att identifiera replikeringsfunktioner.

    Använd replikeringsverktyg som Repadmin för att kontrollera att den skogsomfattande replikeringen fungerar korrekt.

Kontrollera kompatibiliteten för alla program eller tjänster med de nyare Windows Server-domänkontrollanterna och med den högre Windows Server-domänen och skogsläget. Använd en labbmiljö för att noggrant testa produktionsprogram och tjänster för kompatibilitetsproblem. Kontakta leverantörerna för att bekräfta funktionen.

Förbered en back-out-plan som innehåller någon av följande åtgärder:

  • Koppla från minst två domänkontrollanter från varje domän i skogen.
  • Skapa en systemtillståndssäkerhetskopia av minst två domänkontrollanter från varje domän i skogen.

Innan säkerhetskopieringsplanen kan användas måste alla domänkontrollanter i skogen inaktiveras innan återställningsprocessen.

Kommentar

Nivåökningar kan inte auktoritativt återställas. Det innebär att alla domänkontrollanter som har replikerat nivåökningen måste inaktiveras.

När alla tidigare domänkontrollanter har inaktiverats tar du upp de frånkopplade domänkontrollanterna eller återställer domänkontrollanterna från säkerhetskopian. Ta bort metadata från alla andra domänkontrollanter och ta sedan bort dem igen. Detta är en svår process och måste undvikas.

Exempel: Hämta från Windows Server 2000 mixed level till Windows Server 2003 skogsnivå

Öka alla domäner till den interna Nivån Windows Server 2000. När detta har slutförts ökar du funktionsnivån för skogsrotdomänen till Windows Server 2003-skogsnivå. När skogsnivån replikeras till PDC:erna för varje domän i skogen ökas domännivån automatiskt till Windows Server 2003-domännivå. Den här metoden har följande fördelar:

  • Ökningen på skogsomfattande nivå utförs bara en gång. Du behöver inte öka varje domän i skogen manuellt till windows Server 2003-domänens funktionsnivå.
  • En kontroll av Windows Server 2000-domänkontrollanter utförs innan nivåökningen (se förberedelsesteg). Ökningen blockeras tills problemdomänkontrollanter tas bort eller uppgraderas. En detaljerad rapport kan genereras genom att lista de blockerande domänkontrollanterna och tillhandahålla åtgärdsbara data.
  • En kontroll av domäner i Windows Server 2000 mixed eller Windows Server 2003 mellannivå utförs. Ökningen blockeras tills domännivåerna har ökats till minst Windows Server 2000 native. Domäner på interimsnivå måste ökas till Domännivå för Windows Server 2003. En detaljerad rapport kan genereras genom att lista de blockerande domänerna.

Windows NT 4.0-uppgraderingar

Windows NT 4.0-uppgraderingar använder alltid interimnivå under uppgraderingen av PDC om inte Windows Server 2000-domänkontrollanter har introducerats i skogen som PDC uppgraderas till. När mellanliggande läge används under uppgraderingen av PDC använder de befintliga stora grupperna LVR-replikering omedelbart, vilket undviker potentiella replikeringsproblem som beskrivs tidigare i den här artikeln. Använd någon av följande metoder för att komma till interimsnivå under uppgraderingen:

  • Välj interimsnivå under Dcpromo. Det här alternativet visas bara när PDC uppgraderas till en ny skog.
  • Ange skogsnivån för en befintlig skog till interimistisk och anslut sedan skogen under uppgraderingen av PDC. Den uppgraderade domänen ärver skogsinställningen.
  • När alla Windows NT 4.0 BDCs har uppgraderats eller tagits bort måste varje domän övergå till skogsnivå och kan övergå till Windows Server 2003-skogsläge.

En anledning att undvika att använda interimsläge är om det finns planer på att implementera Windows Server 2000-domänkontrollanter efter uppgraderingen eller när som helst i framtiden.

Särskilt övervägande för stora grupper i Windows NT 4.0

I mogna Windows NT 4.0-domäner kan säkerhetsgrupper som innehåller långt fler än 5 000 medlemmar finnas. När en medlem i en säkerhetsgrupp ändras i Windows NT 4.0 replikeras endast medlemskapsändringen till domänkontrollanterna för säkerhetskopiering. I Windows Server 2000 är gruppmedlemskap länkade attribut som lagras i ett enda flervärdesattribut för gruppobjektet. När en enskild ändring görs i medlemskapet i en grupp replikeras hela gruppen som en enda enhet. Eftersom gruppmedlemskapet replikeras som en enda enhet finns det en potential att uppdateringar av gruppmedlemskap "går förlorade" när olika medlemmar läggs till eller tas bort samtidigt på olika domänkontrollanter. Dessutom kan storleken på det här enskilda objektet vara mer än bufferten som används för att checka in en post i databasen. Mer information finns i avsnittet "Problem med versionsarkiv med stora grupper" i den här artikeln. Därför är den rekommenderade gränsen för gruppmedlemmar 5 000.

Undantaget till 5000-medlemsregeln är den primära gruppen (som standard är detta gruppen "Domänanvändare"). Den primära gruppen använder en "beräknad" mekanism baserat på användarens "primarygroupID" för att fastställa medlemskap. Den primära gruppen lagrar inte medlemmar som länkade attribut med flera värden. Om användarens primära grupp ändras till en anpassad grupp skrivs deras medlemskap i gruppen Domänanvändare till det länkade attributet för gruppen och beräknas inte längre. Den nya primära gruppen Rid skrivs till "primarygroupID" och användaren tas bort från medlemsattributet i gruppen.

Om administratören inte väljer interimsnivån för uppgraderingsdomänen måste du följa dessa steg före uppgraderingen:

  1. Inventera alla stora grupper och identifiera grupper över 5 000, förutom domänanvändargruppen.
  2. Alla grupper som har fler än 5 000 medlemmar måste delas upp i mindre grupper med mindre än 5 000 medlemmar.
  3. Leta upp alla åtkomstkontrollistor där de stora grupperna angavs och lägg till de små grupper som du skapade i steg 2.Windows Server 2003 interim skogsnivå gör att administratörer inte behöver identifiera och omallokera globala säkerhetsgrupper med fler än 5 000 medlemmar.

Problem med versionsarkiv med stora grupper

Under långvariga åtgärder, till exempel djupsökningar eller incheckningar till ett enda, stort attribut, måste Active Directory se till att databasens tillstånd är statiskt tills åtgärden är klar. Ett exempel på djupsökningar eller incheckningar till stora attribut är en stor grupp som använder äldre lagring.

När uppdateringar av databasen kontinuerligt sker lokalt och från replikeringspartners ger Active Directory ett statiskt tillstånd genom att köa alla inkommande ändringar tills den långvariga åtgärden är klar. Så snart åtgärden är klar tillämpas de köade ändringarna på databasen.

Lagringsplatsen för dessa köade ändringar kallas "versionsarkivet" och är cirka 100 mb. Storleken på versionsarkivet varierar och baseras på det fysiska minnet. Om en tidskrävande åtgärd inte slutförs innan versionsarkivet är slut slutar domänkontrollanten att acceptera uppdateringar tills den långvariga åtgärden och de köade ändringarna har checkats in. Grupper som når stora antal (fler än 5 000 medlemmar) riskerar att uttömma versionsarkivet så länge den stora gruppen har checkats in.

Windows Server 2003 introducerar en ny replikeringsmekanism för länkade flervärdesattribut som kallas länkvärdesreplikering (LVR). I stället för att replikera hela gruppen i en enda replikeringsåtgärd löser LVR problemet genom att replikera varje gruppmedlem som en separat replikeringsåtgärd. LVR blir tillgängligt när skogens funktionsnivå höjs till windows server 2003 interim skogsnivå eller till Windows Server 2003 skogsnivå. På den här funktionsnivån används LVR för att replikera grupper mellan Windows Server 2003-domänkontrollanter.