将 Windows 域控制器升级到 Windows Server.docx

1、将 Windows 域控制器升级到 Windows Server如何将 Windows 2000 域控制器升级到 Windows Server 2003本文讨论如何将 Microsoft Windows 2000 域控制器升级到 Microsoft Windows Server 2003 以及如何将新的 Windows Server 2003 域控制器添加到 Windows 2000 域中。 回到顶端清点域和林在将 Windows 2000 域控制器升级到 Windows Server 2003 之前，或者在将新的 Windows Server 2003 域控制器添加到 Windows 200

2、0 域中之前，请按照下列步骤操作： 清点访问承载 Windows Server 2003 域控制器的域中的资源的客户端，以确定它们是否与 SMB 签名兼容：每个 Windows Server 2003 域控制器均在其本地安全策略中启用了 SMB 签名。确保使用 SMB/CIFS 协议访问承载 Windows Server 2003 域控制器的域中的共享文件和打印机的所有网络客户端都可以配置或升级为支持 SMB 签名。如果无法配置或升级它们，请暂时禁用 SMB 签名，直到可以安装更新或者客户端可以升级到支持 SMB 签名的更新操作系统为止。有关如何禁用 SMB 签名的信息，请参阅本步骤结尾的“禁

3、用 SMB 签名”部分。操作计划下面的列表显示了常用 SMB 客户端的操作计划： Microsoft Windows Server 2003、Microsoft Windows XP Professional、Microsoft Windows 2000 Server、Microsoft Windows 2000 Professional 和 Microsoft Windows 98不需要执行任何操作。 Microsoft Windows NT 4.0对于所有基于 Windows NT 4.0 的计算机，如果它们要访问包含有基于 Windows Server 2003 的计算机的域，请安装 S

4、ervice Pack 3 或更高版本（建议安装 Service Pack 6A）。或者，暂时在 Windows Server 2003 域控制器上禁用 SMB 签名。有关如何禁用 SMB 签名的信息，请参阅本步骤结尾的“禁用 SMB 签名”部分。Microsoft Windows 95在基于 Windows 95 的计算机上安装 Windows 9x 目录服务客户端，或者暂时在 Windows Server 2003 域控制器上禁用 SMB 签名。原始的 Win9x 目录服务客户端在 Windows 2000 Server CD-ROM 上提供。但是，该客户端加载项已经由经过改进的 Win9

5、x 目录服务客户端所取代。有关如何禁用 SMB 签名的信息，请参阅本步骤结尾的“禁用 SMB 签名”部分。 Microsoft Network Client for MS-DOS 和 Microsoft LAN Manager 客户端Microsoft Network Client for MS-DOS 和 Microsoft LAN Manager 2.x 网络客户端可用来提供对网络资源的访问，它们也可以与可启动软盘结合起来使用，作为软件安装例程的一部分复制文件服务器上的共享目录中的操作系统文件和其他文件。这些客户端不支持 SMB 签名。请使用其他安装方法或者禁用 SMB 签名。有关如何禁用

6、 SMB 签名的信息，请参阅本步骤结尾的“禁用 SMB 签名”部分。 Macintosh 客户端某些 Macintosh 客户端与 SMB 签名不兼容，它们在尝试连接到网络资源时将收到以下错误消息： - Error -36 I/O请安装更新后的软件（如果已提供）。否则，请在 Windows Server 2003 域控制器上禁用 SMB 签名。有关如何禁用 SMB 签名的信息，请参阅本步骤结尾的“禁用 SMB 签名”部分。 其他第三方 SMB 客户端某些第三方 SMB 客户端不支持 SMB 签名。请向您的 SMB 提供商咨询以了解是否存在更新的版本。否则，请在 Windows Server 2

7、003 域控制器上禁用 SMB 签名。禁用 SMB 签名如果软件更新无法安装在运行 Windows 95、Windows NT 4.0 的受影响的域控制器上，或者无法安装在引入 Windows Server 2003 之前安装的其他客户端上，请暂时禁用“组策略”中的 SMB 服务签名要求，直至可以部署更新的客户端软件为止。在域控制器组织单元的“默认域控制器”策略的以下节点中可以禁用 SMB 服务签名： Computer ConfigurationWindows SettingsSecurity SettingsLocal PoliciesSecurity OptionsMicrosoft Ne

8、twork Server: 数字签名的通信(总是)如果域控制器不位于域控制器的组织单元中，则必须将默认域控制器的组策略对象 (GPO) 链接到所有承载 Windows 2000 或 Windows Server 2003 域控制器的组织单元。或者，可以在链接到那些组织单元的 GPO 中配置 SMB 服务签名。 清点域和林中的域控制器： 确保林中的所有 Windows 2000 域控制器都已安装了所有相应的修补程序和 Service Pack。Microsoft 建议所有的 Windows 2000 域控制器都运行 Windows 2000 Service Pack 4 (SP4) 或更高版本的

9、操作系统。如果无法完全部署 Windows 2000 SP4 或更高版本，所有的 Windows 2000 域控制器都必须具有日期戳和版本分别晚于 2001 年 6 月 4 日和 5.0.2195.3673 的 Ntdsa.dll 文件。 有关更多信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章： 331161 ( ) 运行 adprep /Forestprep 之前要在 Windows 2000 域控制器上安装修补程序，以便为添加基于 Windows Server 2003 的域控制器准备林和域 默认情况下，Windows 2000 SP4、Windows XP 和

10、 Windows Server 2003 客户端计算机中的 Active Directory 管理工具使用轻量目录访问协议 (LDAP) 签名。如果这类计算机在远程管理 Windows 2000 域控制器时使用（或依靠）NTLM 身份验证，则连接无效。要避免出现此现象，远程管理的域控制器应该至少安装 Windows 2000 SP3。否则，应该在运行管理工具的客户端上关闭 LDAP 签名。 有关 LDAP 的更多信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章： 325465 ( ) 使用 Windows Server 2003 管理工具时 Windows 2000

11、域控制器需要 SP3 或更高版本 以下情形使用 NTLM 身份验证： 您管理的 Windows 2000 域控制器位于通过 NTLM（非 Kerberos）信任关系连接的外部林中。 您将 Microsoft 管理控制台 (MMC) 管理单元集中在某个通过 IP 地址引用的特定域控制器上。例如，您单击“开始”，单击“运行”，然后键入以下命令： dsa.msc /server=ipaddress要确定 Active Directory 域中 Active Directory 域控制器的操作系统和 Service Pack 修订级别，请在林中的 Windows XP Professional 或 W

12、indows Server 2003 成员计算机上安装 Windows Server 2003 版本的 Repadmin.exe，然后对林内每个域中的域控制器运行以下 repadmin 命令： repadmin /showattr ncobj:domain:/filter:(&(objectCategory=computer)(primaryGroupID=516) /subtree /atts:operatingSystem,operatingSystemVersion,operatingSystemServicePackDN:CN=NA-DC-01,organizational unit=

13、Domain Controllers,DC=company,DC=com1 operatingSystem:Windows Server 20031 operatingSystemVersion: 5.2 (3718)DN:CN=NA-DC-02,organizational unit=Domain Controllers,DC=company,DC=com1 operatingSystem:Windows 2000 Server1 operatingSystemVersion:5.0 (2195)1 operatingSystemServicePack:Service Pack 1注意：域控

14、制器的属性不分别跟踪每个修补程序的安装。 验证整个林中的端到端 Active Directory 复制。验证已升级的林中的每个域控制器是否始终按照站点链接或连接对象所定义的日程表复制它在本地控制的所有命名上下文及其伙伴。在林中的基于 Windows XP 或 Windows Server 2003 的成员计算机上带以下参数使用 Windows Server 2003 版本的 Repadmin.exe： REPADMIN /REPLSUM /BYSRC /BYDEST /SORT:DELTA -output formatted to fit on pageDestDC largest delta

15、 fails/total % errorNA-DC-01 13d.21h:10m:10s 97 / 143 67 (8240) There is no such object.NA-DC-02 13d.04h:11m:07s 180 / 763 23 (8524) The DSA operation.NA-DC-03 12d.03h:54m:41s 5 / 5 100 (8524) The DSA operation.林中的所有域控制器必须安全地复制 Active Directory，并且 repadmin 输出中“Largest Delta”一列中的值不应明显大于给定目标域控制器所使用的对应

16、站点链接或连接对象上的复制频率。解决未能在少于 Tombstone 生存时间 (TSL) 的天数（默认为 60 天）进行入站复制的域控制器之间的所有复制错误。如果无法使复制起作用，您可能需要强制性地使域控制器降级并使用 Ntdsutil 元数据清除命令从林中将它们删除，然后将它们重新提升到林中。可以使用强制性降级的方法来保存操作系统安装和孤立的域控制器上的程序。 有关如何从域中删除孤立的 Windows 2000 域控制器的更多信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章： 216498 ( ) 域控制器降级失败后如何删除 Active Directory 中的数

17、据 只有在没有其他办法时，才应采取此操作来恢复操作系统的安装和已安装的程序。您将失去孤立的域控制器上未复制的对象和属性，包括用户、计算机、信任关系、它们的密码、组和组成员关系。在尝试解决域控制器（未在大于 tombstonelifetime 的天数内复制某个特定 Active Directory 分区的入站更改）上的复制错误时，一定要小心。进行该操作时，您可能会恢复在一个域控制器上已经删除的对象，但对于这些对象，直接的或可传递的复制伙伴从未在前 60 天内收到该删除。考虑删除驻留在尚未在前 60 天内执行入站复制的域控制器上的所有延迟对象。或者，可以强制性地使在 tombstone 生存时间天

18、数内未执行给定分区上的任何入站复制的域控制器降级，并使用 Ntdsutil 和其他实用工具从 Active Directory 林中删除它们其余的元数据。请与您的支持提供商或 Microsoft PSS 联系以获取其他帮助。 验证 Sysvol 共享的内容是否一致。验证组策略的文件系统部分是否一致。可以使用资源工具包中的 Gpotool.exe 确定整个域的策略是否存在不一致。使用 Windows Server 2003 支持工具中的 Healthcheck 确定 Sysvol 共享副本集在每个域中是否正常运行。如果 Sysvol 共享的内容不一致，请解决所有的不一致。 使用支持工具中的 Dc

19、diag.exe 验证所有域控制器是否具有共享的 Netlogon 和 Sysvol 共享。为此，请在命令提示符处键入以下命令： DCDIAG.EXE /e /test:frssysvol清点操作角色。架构和结构操作主机用于将林范围和域范围的架构更改引入到林及其由 Windows Server 2003 adprep 实用工具创建的域中。验证承载林中每个域的架构角色和结构角色的域控制器是否驻留在活动域控制器上，并验证每个角色所有者是否已经在所有分区上一次重新启动后执行了这些分区上的入站复制。DCDIAG /test:FSMOCHECK 命令可用于查看林范围和域范围的操作角色。应通过使用 NTD

20、SUTIL 将驻留在不存在的域控制器上的操作主机角色获取至正常的域控制器上。如果可能，应当转移驻留在不正常域控制器上的角色。否则，应获取它们。NETDOM QUERY FSMO 命令不标识驻留在已删除的域控制器上的 FSMO 角色。验证架构主机和每个结构主机是否已在上一次启动后执行了 Active Directory 的入站复制。可以使用 REPADMIN /SHOWREPS DCNAME 命令来验证入站复制，其中 DCNAME 是 NetBIOS 计算机名称或域控制器的完全限定计算机名称。 有关操作主机及其位置的更多信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章：

21、 197132 ( ) Windows 2000 Active Directory FSMO 角色 223346 ( ) 在 Active Directory 域控制器上放置和优化 FSMO 事件日志查看检查所有域控制器的事件日志，查找有问题的事件。事件日志中绝对不能包含指示以下任何一个过程和组件有问题的严重事件消息： 物理连接网络连接名称注册名称解析身份验证组策略安全策略磁盘子系统架构拓扑复制引擎清点磁盘空间承载 Active Directory 数据库文件 Ntds.dit 的卷上的可用空间必须至少等于 Ntds.dit 文件大小的 15-20%。承载 Active Directory 日

22、志文件的卷上的可用空间也必须至少等于 Ntds.dit 文件大小的 15-20%。有关如何释放更多磁盘空间的其他信息，请参阅本文的“磁盘空间不足的域控制器”部分。 DNS 清理（可选）以 7 天为间隔为林中的所有 DNS 服务器启用 DNS 清理。为了取得最佳效果，请在进行操作系统升级前的 61 天或更早执行此操作。这样，在对 Ntds.dit 文件执行脱机碎片整理时，就可以为 DNS 清理后台驻留程序提供足够的时间对过期的 DNS 对象进行垃圾回收。 禁用 DLT Server 服务（可选）DLT Server 服务在 Windows Server 2003 域控制器的新安装和升级安装上禁用

23、。如果未使用分布式链接跟踪，则可在 Windows 2000 域控制器上禁用 DLT Server 服务并开始从林中的每个域中删除 DLT 对象。有关其他信息，请参阅以下 Microsoft 知识库文章中的“Microsoft 对分布式链接跟踪的建议”部分： 312403 ( ) 基于 Windows 的域控制器上的分布式链接跟踪 系统状态备份为林中每个域中的至少两个域控制器创建一个系统状态备份。如果升级无效，则可使用该备份来恢复林中的所有域。回到顶端Windows 2000 林中的 Microsoft Exchange 2000注意： 如果 Exchange 2000 Server 已安装或

24、者将要安装到 Windows 2000 林中，请先阅读本部分内容，然后再运行 Windows Server 2003 adprep /forestprep 命令。 如果将要安装 Microsoft Exchange Server 2003 架构更改，请先阅读“概述：将 Windows 2000 域控制器升级到 Windows Server 2003”这一部分，然后再运行 Windows Server 2003 adprep 命令。Exchange 2000 架构定义了三个具有不符合请求注释 (RFC) 的 LDAPDisplayName 的 inetOrgPerson 属性：houseIden

25、tifier、secretary 和 labeledURI。Windows 2000 inetOrgPerson Kit 和 Windows Server 2003 adprep 命令定义了三个符合 RFC 版本且具有相同 LDAPDisplayName 的属性，它们与不符合 RFC 版本的属性相同。当 Windows Server 2003 adprep /forestprep 命令在没有纠正脚本的情况下在包含 Windows 2000 和 Exchange 2000 架构更改的林中运行时，houseIdentifier、labeledURI 和 secretary 属性的 LDAPDisp

26、layName 会变得错位。如果“Dup”或其他唯一的字符添加到冲突属性名的开头以使目录中的对象和属性具有唯一名称，则属性会变得“错位”。在下列情况下，Active Directory 林中不容易出现这些属性的错位 LDAPDisplayName： 如果在添加 Exchange 2000 架构之前在包含 Windows 2000 架构的林中运行 Windows Server 2003 adprep /forestprep 命令。 如果在创建的林中将 Exchange 2000 架构安装到 Windows Server 2003 域控制器是该林中的首个域控制器的位置。 如果将 Windows 2

27、000 inetOrgPerson Kit 添加到包含 Windows 2000 架构的林中，接着安装 Exchange 2000 架构更改，然后运行 Windows Server 2003 adprep /forestprep 命令。 如果将 Exchange 2000 架构添加到现有的 Windows 2000 林中，然后在运行 Windows Server 2003 adprep /forestprep 命令之前运行 Exchange 2003 /forestprep。在下列情况下，错位的属性将出现在 Windows 2000 中： 如果在安装 Windows 2000 inetOrgP

28、erson Kit 之前将 Exchange 2000 版本的 labeledURI、houseIdentifier 和 secretary 属性添加到 Windows 2000 林中。 您在运行 Windows Server 2003 adprep /forestprep 命令而未首先运行清理脚本之前，将 Exchange 2000 版本的 labeledURI、houseIdentifier 和 secretary 属性添加到 Windows 2000 林中。以下每种情形的操作计划： 情形 1：在您运行 Windows Server 2003 adprep /forestprep 命令之后

29、添加了 Exchange 2000 架构更改如果 Exchange 2000 架构更改将要在运行 Windows Server 2003 adprep /forestprep 命令以后引入到 Windows 2000 林中，则不需要进行清理。请转到“概述：将 Windows 2000 域控制器升级到 Windows Server 2003”部分。 情形 2：将在运行 Windows Server 2003 adprep /forestprep 命令之前安装 Exchange 2000 架构更改如果已经安装了 Exchange 2000 架构更改，但尚未运行 Windows Server 200

30、3 adprep /forestprep 命令，请考虑以下操作计划： 使用作为 Schema Admins 安全组成员的帐户登录架构操作主机的控制台。 依次单击“开始”和“运行”，在“打开”框中键入 notepad.exe，然后单击“确定”。 将以下文本（包括“schemaUpdateNow: 1”后的尾部连字符）复制到记事本中。 dn:CN=ms-Exch-Assistant-Name,CN=Schema,CN=Configuration,DC=Xchangetype:Modifyreplace:LDAPDisplayNameLDAPDisplayName:msExchAssistantNa

31、me-dn:CN=ms-Exch-LabeledURI,CN=Schema,CN=Configuration,DC=Xchangetype:Modifyreplace:LDAPDisplayNameLDAPDisplayName:msExchLabeledURI-dn:CN=ms-Exch-House-Identifier,CN=Schema,CN=Configuration,DC=Xchangetype:Modifyreplace:LDAPDisplayNameLDAPDisplayName:msExchHouseIdentifier-dn:changetype:Modifyadd:schemaUpdateNowschemaUpdateNow:1-确认每行的末尾没有空格。 在“文件”菜单上，单击“保存”。在“另存为”对话框中，