将 Windows 域控制器升级到 Windows ServerWord文档下载推荐.docx
《将 Windows 域控制器升级到 Windows ServerWord文档下载推荐.docx》由会员分享,可在线阅读,更多相关《将 Windows 域控制器升级到 Windows ServerWord文档下载推荐.docx(28页珍藏版)》请在冰点文库上搜索。
但是,该客户端加载项已经由经过改进的Win9x目录服务客户端所取代。
MicrosoftNetworkClientforMS-DOS和MicrosoftLANManager客户端
MicrosoftNetworkClientforMS-DOS和MicrosoftLANManager2.x网络客户端可用来提供对网络资源的访问,它们也可以与可启动软盘结合起来使用,作为软件安装例程的一部分复制文件服务器上的共享目录中的操作系统文件和其他文件。
这些客户端不支持SMB签名。
请使用其他安装方法或者禁用SMB签名。
Macintosh客户端
某些Macintosh客户端与SMB签名不兼容,它们在尝试连接到网络资源时将收到以下错误消息:
-Error-36I/O
请安装更新后的软件(如果已提供)。
否则,请在WindowsServer2003域控制器上禁用SMB签名。
其他第三方SMB客户端
某些第三方SMB客户端不支持SMB签名。
请向您的SMB提供商咨询以了解是否存在更新的版本。
禁用SMB签名
如果软件更新无法安装在运行Windows95、WindowsNT4.0的受影响的域控制器上,或者无法安装在引入WindowsServer2003之前安装的其他客户端上,请暂时禁用“组策略”中的SMB服务签名要求,直至可以部署更新的客户端软件为止。
在域控制器组织单元的“默认域控制器”策略的以下节点中可以禁用SMB服务签名:
ComputerConfiguration\WindowsSettings\SecuritySettings\LocalPolicies\SecurityOptions\MicrosoftNetworkServer:
数字签名的通信(总是)
如果域控制器不位于域控制器的组织单元中,则必须将默认域控制器的组策略对象(GPO)链接到所有承载Windows2000或WindowsServer2003域控制器的组织单元。
或者,可以在链接到那些组织单元的GPO中配置SMB服务签名。
清点域和林中的域控制器:
确保林中的所有Windows2000域控制器都已安装了所有相应的修补程序和ServicePack。
Microsoft建议所有的Windows2000域控制器都运行Windows2000ServicePack4(SP4)或更高版本的操作系统。
如果无法完全部署Windows2000SP4或更高版本,所有的Windows2000域控制器都必须具有日期戳和版本分别晚于2001年6月4日和5.0.2195.3673的Ntdsa.dll文件。
有关更多信息,请单击下面的文章编号,以查看Microsoft知识库中相应的文章:
331161
()运行adprep/Forestprep之前要在Windows2000域控制器上安装修补程序,以便为添加基于WindowsServer2003的域控制器准备林和域
默认情况下,Windows2000SP4、WindowsXP和WindowsServer2003客户端计算机中的ActiveDirectory管理工具使用轻量目录访问协议(LDAP)签名。
如果这类计算机在远程管理Windows2000域控制器时使用(或依靠)NTLM身份验证,则连接无效。
要避免出现此现象,远程管理的域控制器应该至少安装Windows2000SP3。
否则,应该在运行管理工具的客户端上关闭LDAP签名。
有关LDAP的更多信息,请单击下面的文章编号,以查看Microsoft知识库中相应的文章:
325465
()使用WindowsServer2003管理工具时Windows2000域控制器需要SP3或更高版本
以下情形使用NTLM身份验证:
您管理的Windows2000域控制器位于通过NTLM(非Kerberos)信任关系连接的外部林中。
您将Microsoft管理控制台(MMC)管理单元集中在某个通过IP地址引用的特定域控制器上。
例如,您单击“开始”,单击“运行”,然后键入以下命令:
dsa.msc/server=ipaddress
要确定ActiveDirectory域中ActiveDirectory域控制器的操作系统和ServicePack修订级别,请在林中的WindowsXPProfessional或WindowsServer2003成员计算机上安装WindowsServer2003版本的Repadmin.exe,然后对林内每个域中的域控制器运行以下repadmin命令:
>
repadmin/showattr<
位于目标域中的域控制器的名称>
ncobj:
domain:
/filter:
"
(&
(objectCategory=computer)(primaryGroupID=516))"
/subtree/atts:
operatingSystem,operatingSystemVersion,operatingSystemServicePack
DN:
CN=NA-DC-01,organizationalunit=DomainControllers,DC=company,DC=com
1>
operatingSystem:
WindowsServer2003
operatingSystemVersion:
5.2(3718)
CN=NA-DC-02,organizationalunit=DomainControllers,DC=company,DC=com
Windows2000Server
5.0(2195)
operatingSystemServicePack:
ServicePack1
注意:
域控制器的属性不分别跟踪每个修补程序的安装。
验证整个林中的端到端ActiveDirectory复制。
验证已升级的林中的每个域控制器是否始终按照站点链接或连接对象所定义的日程表复制它在本地控制的所有命名上下文及其伙伴。
在林中的基于WindowsXP或WindowsServer2003的成员计算机上带以下参数使用WindowsServer2003版本的Repadmin.exe:
REPADMIN/REPLSUM/BYSRC/BYDEST/SORT:
DELTA<
-outputformattedtofitonpage
DestDClargestdeltafails/total%%error
NA-DC-0113d.21h:
10m:
10s97/14367(8240)Thereisnosuchobject...
NA-DC-0213d.04h:
11m:
07s180/76323(8524)TheDSAoperation...
NA-DC-0312d.03h:
54m:
41s5/5100(8524)TheDSAoperation...
林中的所有域控制器必须安全地复制ActiveDirectory,并且repadmin输出中“LargestDelta”一列中的值不应明显大于给定目标域控制器所使用的对应站点链接或连接对象上的复制频率。
解决未能在少于Tombstone生存时间(TSL)的天数(默认为60天)进行入站复制的域控制器之间的所有复制错误。
如果无法使复制起作用,您可能需要强制性地使域控制器降级并使用Ntdsutil元数据清除命令从林中将它们删除,然后将它们重新提升到林中。
可以使用强制性降级的方法来保存操作系统安装和孤立的域控制器上的程序。
有关如何从域中删除孤立的Windows2000域控制器的更多信息,请单击下面的文章编号,以查看Microsoft知识库中相应的文章:
216498
()域控制器降级失败后如何删除ActiveDirectory中的数据
只有在没有其他办法时,才应采取此操作来恢复操作系统的安装和已安装的程序。
您将失去孤立的域控制器上未复制的对象和属性,包括用户、计算机、信任关系、它们的密码、组和组成员关系。
在尝试解决域控制器(未在大于tombstonelifetime的天数内复制某个特定ActiveDirectory分区的入站更改)上的复制错误时,一定要小心。
进行该操作时,您可能会恢复在一个域控制器上已经删除的对象,但对于这些对象,直接的或可传递的复制伙伴从未在前60天内收到该删除。
考虑删除驻留在尚未在前60天内执行入站复制的域控制器上的所有延迟对象。
或者,可以强制性地使在tombstone生存时间天数内未执行给定分区上的任何入站复制的域控制器降级,并使用Ntdsutil和其他实用工具从ActiveDirectory林中删除它们其余的元数据。
请与您的支持提供商或MicrosoftPSS联系以获取其他帮助。
验证Sysvol共享的内容是否一致。
验证组策略的文件系统部分是否一致。
可以使用资源工具包中的Gpotool.exe确定整个域的策略是否存在不一致。
使用WindowsServer2003支持工具中的Healthcheck确定Sysvol共享副本集在每个域中是否正常运行。
如果Sysvol共享的内容不一致,请解决所有的不一致。
使用支持工具中的Dcdiag.exe验证所有域控制器是否具有共享的Netlogon和Sysvol共享。
为此,请在命令提示符处键入以下命令:
DCDIAG.EXE/e/test:
frssysvol
清点操作角色。
架构和结构操作主机用于将林范围和域范围的架构更改引入到林及其由WindowsServer2003adprep实用工具创建的域中。
验证承载林中每个域的架构角色和结构角色的域控制器是否驻留在活动域控制器上,并验证每个角色所有者是否已经在所有分区上一次重新启动后执行了这些分区上的入站复制。
DCDIAG/test:
FSMOCHECK命令可用于查看林范围和域范围的操作角色。
应通过使用NTDSUTIL将驻留在不存在的域控制器上的操作主机角色获取至正常的域控制器上。
如果可能,应当转移驻留在不正常域控制器上的角色。
否则,应获取它们。
NETDOMQUERYFSMO命令不标识驻留在已删除的域控制器上的FSMO角色。
验证架构主机和每个结构主机是否已在上一次启动后执行了ActiveDirectory的入站复制。
可以使用REPADMIN/SHOWREPSDCNAME命令来验证入站复制,其中DCNAME是NetBIOS计算机名称或域控制器的完全限定计算机名称。
有关操作主机及其位置的更多信息,请单击下面的文章编号,以查看Microsoft知识库中相应的文章:
197132
()Windows2000ActiveDirectoryFSMO角色
223346
()在ActiveDirectory域控制器上放置和优化FSMO
事件日志查看
检查所有域控制器的事件日志,查找有问题的事件。
事件日志中绝对不能包含指示以下任何一个过程和组件有问题的严重事件消息:
物理连接
网络连接
名称注册
名称解析
身份验证
组策略
安全策略
磁盘子系统
架构
拓扑
复制引擎
清点磁盘空间
承载ActiveDirectory数据库文件Ntds.dit的卷上的可用空间必须至少等于Ntds.dit文件大小的15-20%。
承载ActiveDirectory日志文件的卷上的可用空间也必须至少等于Ntds.dit文件大小的15-20%。
有关如何释放更多磁盘空间的其他信息,请参阅本文的“磁盘空间不足的域控制器”部分。
DNS清理(可选)
以7天为间隔为林中的所有DNS服务器启用DNS清理。
为了取得最佳效果,请在进行操作系统升级前的61天或更早执行此操作。
这样,在对Ntds.dit文件执行脱机碎片整理时,就可以为DNS清理后台驻留程序提供足够的时间对过期的DNS对象进行垃圾回收。
禁用DLTServer服务(可选)
DLTServer服务在WindowsServer2003域控制器的新安装和升级安装上禁用。
如果未使用分布式链接跟踪,则可在Windows2000域控制器上禁用DLTServer服务并开始从林中的每个域中删除DLT对象。
有关其他信息,请参阅以下Microsoft知识库文章中的“Microsoft对分布式链接跟踪的建议”部分:
312403
()基于Windows的域控制器上的分布式链接跟踪
系统状态备份
为林中每个域中的至少两个域控制器创建一个系统状态备份。
如果升级无效,则可使用该备份来恢复林中的所有域。
Windows2000林中的MicrosoftExchange2000
如果Exchange2000Server已安装或者将要安装到Windows2000林中,请先阅读本部分内容,然后再运行WindowsServer2003adprep/forestprep命令。
如果将要安装MicrosoftExchangeServer2003架构更改,请先阅读“概述:
将Windows2000域控制器升级到WindowsServer2003”这一部分,然后再运行WindowsServer2003adprep命令。
Exchange2000架构定义了三个具有不符合请求注释(RFC)的LDAPDisplayName的inetOrgPerson属性:
houseIdentifier、secretary和labeledURI。
Windows2000inetOrgPersonKit和WindowsServer2003adprep命令定义了三个符合RFC版本且具有相同LDAPDisplayName的属性,它们与不符合RFC版本的属性相同。
当WindowsServer2003adprep/forestprep命令在没有纠正脚本的情况下在包含Windows2000和Exchange2000架构更改的林中运行时,houseIdentifier、labeledURI和secretary属性的LDAPDisplayName会变得错位。
如果“Dup”或其他唯一的字符添加到冲突属性名的开头以使目录中的对象和属性具有唯一名称,则属性会变得“错位”。
在下列情况下,ActiveDirectory林中不容易出现这些属性的错位LDAPDisplayName:
如果在添加Exchange2000架构之前在包含Windows2000架构的林中运行WindowsServer2003adprep/forestprep命令。
如果在创建的林中将Exchange2000架构安装到WindowsServer2003域控制器是该林中的首个域控制器的位置。
如果将Windows2000inetOrgPersonKit添加到包含Windows2000架构的林中,接着安装Exchange2000架构更改,然后运行WindowsServer2003adprep/forestprep命令。
如果将Exchange2000架构添加到现有的Windows2000林中,然后在运行WindowsServer2003adprep/forestprep命令之前运行Exchange2003/forestprep。
在下列情况下,错位的属性将出现在Windows2000中:
如果在安装Windows2000inetOrgPersonKit之前将Exchange2000版本的labeledURI、houseIdentifier和secretary属性添加到Windows2000林中。
您在运行WindowsServer2003adprep/forestprep命令而未首先运行清理脚本之前,将Exchange2000版本的labeledURI、houseIdentifier和secretary属性添加到Windows2000林中。
以下每种情形的操作计划:
情形1:
在您运行WindowsServer2003adprep/forestprep命令之后添加了Exchange2000架构更改
如果Exchange2000架构更改将要在运行WindowsServer2003adprep/forestprep命令以后引入到Windows2000林中,则不需要进行清理。
请转到“概述:
将Windows2000域控制器升级到WindowsServer2003”部分。
情形2:
将在运行WindowsServer2003adprep/forestprep命令之前安装Exchange2000架构更改
如果已经安装了Exchange2000架构更改,但尚未运行WindowsServer2003adprep/forestprep命令,请考虑以下操作计划:
使用作为SchemaAdmins安全组成员的帐户登录架构操作主机的控制台。
依次单击“开始”和“运行”,在“打开”框中键入notepad.exe,然后单击“确定”。
将以下文本(包括“schemaUpdateNow:
1”后的尾部连字符)复制到记事本中。
dn:
CN=ms-Exch-Assistant-Name,CN=Schema,CN=Configuration,DC=X
changetype:
Modify
replace:
LDAPDisplayName
LDAPDisplayName:
msExchAssistantName
-
CN=ms-Exch-LabeledURI,CN=Schema,CN=Configuration,DC=X
msExchLabeledURI
CN=ms-Exch-House-Identifier,CN=Schema,CN=Configuration,DC=X
msExchHouseIdentifier
add:
schemaUpdateNow
schemaUpdateNow:
1
确认每行的末尾没有空格。
在“文件”菜单上,单击“保存”。
在“另存为”对话框中,