如何将Windows域控制器升级到Windows.docx
- 文档编号:11053133
- 上传时间:2023-02-24
- 格式:DOCX
- 页数:26
- 大小:31.87KB
如何将Windows域控制器升级到Windows.docx
《如何将Windows域控制器升级到Windows.docx》由会员分享,可在线阅读,更多相关《如何将Windows域控制器升级到Windows.docx(26页珍藏版)》请在冰豆网上搜索。
如何将Windows域控制器升级到Windows
如何将Windows2000域控制器升级到Windows2003
在将WindowsServer2003架构更改或WindowsServer2003域控制器添加到生产Windows2000林之前,请按照以下步骤操作:
清点访问您要升级的域中的资源的客户机:
Windows95、WindowsNT4.0和Macintosh客户机:
Macintosh客户机在尝试连接到网络资源的过程中可能会收到以下错误信息
-Error-36I/O
在WindowsServer2003域控制器中定义的本地安全设置要求客户机使用SMBService签名。
未安装ActiveDirectory目录服务客户程序的Windows95以及WindowsNT4.0ServicePack2(SP2)或更早的客户机与默认WindowsServer2003安全设置中启用的SMBService签名要求不兼容。
这些客户机无法向WindowsServer2003域控制器进行身份验证,也无法访问WindowsServer2003域控制器上的资源。
未安装目录服务客户程序的Windows95客户机在尝试向启用了SMBService签名的Windows2003域控制器进行身份验证时,可能会收到以下错误信息:
Thedomainpasswordyousuppliedisnotcorrect,oraccesstoyourlogonserverhasbeendenied.
通过在域控制器的“组策略”中禁用SMBService签名要求,或者通过在Windows95计算机上安装Windows9x目录服务客户程序,Windows95客户机可以进行身份验证和访问资源。
Windows2000ServerCD-ROM上提供了原始的Win9x目录服务客户程序。
但是,该附加客户程序已经由经过改进的Win9x目录服务客户程序所取代。
有关其他信息,请单击下面的文章编号,以查看Microsoft知识库中相应的文章:
323466Windows95和Windows98的目录服务客户端更新的可用性
运行NT4.0SP2及更早版本的WindowsNT4.0客户机与未安装目录服务客户程序的Windows95计算机具有相同的身份验证和资源访问问题。
安装SP2或更早版本的WindowsNT4.0客户机在尝试向启用了SMBService签名的Windows2003域控制器进行身份验证时,可能会收到以下错误信息:
Thesystemcouldnotlogyouon.MakesureyourUsernameanddomainarecorrect,thentypeyourpasswordagain.Lettersinpasswordsmustbetypedusingthecorrectcase.MakesurethatCapsLockisnotaccidentallyon.
Microsoft建议管理员在所有向包含WindowsServer2003计算机的域进行身份验证的NT4.0计算机上都安装NT4.0SP6A。
如果在引入WindowsServer2003域控制器之前无法将软件更新安装到受影响的Windows95和WindowsNT4.0客户机上,请在“组策略”中先暂时禁用SMBService签名要求,直到能够在Windows95和NT4.0客户机上部署更新的客户软件。
在域控制器组织单元的“默认域控制器”策略的以下节点中可以禁用SMBService签名:
计算机配置\Windows设置\安全设置\本地策略\安全选项\Microsoft网络服务器:
数字签名通信(始终)
如果域控制器不位于域控制器的组织单元中,则必须将默认域控制器的组策略对象(GPO)链接到所有承载Windows2000或WindowsServer2003域控制器的组织单元。
或者,可以在链接到那些组织单元的GPO中配置SMBService签名。
其他客户机:
在运行Windows98、Windows98SecondEdition、WindowsMillenniumEdition、安装了SP3或更高版本的WindowsNT4.0、Windows2000、WindowsXPProfessional或WindowsServer2003的计算机上无需执行其他的操作。
清点域和林中的域控制器:
确保林中的所有Windows2000域控制器都已经安装了所有相应的修复程序和ServicePack。
Microsoft建议所有的Windows2000域控制器运行Windows2000ServicePack3(SP3)或更高版本的操作系统。
如果无法完全部署Windows2000SP3,则所有Windows2000域控制器的Ntdsa.dll文件的日期戳和版本必须是2001年6月4日和5.0.2195.3673之后的。
有关其他信息,请单击下面的文章编号,以查看Microsoft知识库中相应的文章:
331161HotfixestoInstallonWindows2000DomainControllersBeforeRunningAdprep/Forestprep
默认情况下,Windows2000SP4、WindowsXP和WindowsServer2003客户计算机中的ActiveDirectory管理工具使用轻量目录访问协议(LDAP)签名。
如果这些计算机在连接到目标Windows2000域控制器时使用(或依靠)NTLM身份验证,则连接无效。
要解决此问题,目标域控制器上必须至少安装了Windows2000SP3,或者必须在运行管理工具的客户机中关闭LDAP签名。
有关LDAP的其他信息,请单击下面的文章编号,以查看Microsoft知识库中相应的文章:
325465Windows2000DomainControllersRequireServicePack3orLaterWhenUsingWindowsServer2003AdministrationTools
以下方案使用NTLM身份验证:
您管理的Windows2000域控制器位于通过NTLM(更早的版本)信任关系连接的外部林中。
您将管理单元集中在某个通过IP地址引用的特定域控制器上。
例如,您单击“开始”,单击“运行”,然后键入以下命令:
dsa.msc/server=ipaddress
要确定ActiveDirectory域中ActiveDirectory域控制器的操作系统和ServicePack版本级别,请在林中的WindowsXPProfessional或WindowsServer2003成员计算机上安装Repadmin.exe的WindowsServer2003版,然后针对林中每个域的域控制器运行以下repadmin命令:
>repadmin/showattr目标域中的域控制器的名称ncobj:
domain:
"/filter:
(&(objectCategory=computer)(primaryGroupID=516))"/subtree/atts:
operatingSystem,operatingSystemVersion,operatingSystemServicePack
DN:
CN=NA-DC-01,organizationalunit=DomainControllers,DC=company,DC=com
1>operatingSystem:
WindowsServer2003
1>operatingSystemVersion:
5.2(3718)DN:
CN=NA-DC-02,organizationalunit=DomainControllers,DC=company,DC=com
1>operatingSystem:
Windows2000Server
1>operatingSystemVersion:
5.0(2195)
1>operatingSystemServicePack:
ServicePack1
注意:
域控制器的属性不分别跟踪每个修复程序的安装。
验证整个林中的端到端ActiveDirectory复制。
验证已升级的林中的每个域控制器是否始终按照站点链接或连接对象所定义的日程表,复制它在本地控制的所有名称上下文及其伙伴。
具体说来就是,每个域控制器必须至少有一个入站和出站连接对象用于以下部分:
架构和配置:
由林中的所有域控制器共享
域:
由同一个域中的所有域控制器共享
在林中基于WindowsXP或WindowsServer2003的成员计算机上,带下列参数使用Repadmin.exe的WindowsServer2003版:
REPADMIN/REPLSUM/BYSRC/BYDEST/SORT:
DELTA<-outputformattedtofitonpage
DestDClargestdeltafails/total%%error
NA-DC-0113d.21h:
10m:
10s97/14367(8240)Thereisnosuchobject...
NA-DC-0213d.04h:
11m:
07s180/76323(8524)TheDSAoperation...
NA-DC-0312d.03h:
54m:
41s5/5100(8524)TheDSAoperation...
林中所有域控制器的复制必须没有错误,而且“最大Delta”列中的值一定不能大于匹配的站点链接或连接对象所定义的复制频率。
研究REPLSUM输出中任何报告了复制错误的域控制器,尤其是那些在Tombstone存留时间(TSL)天数(默认为60天)之内未复制入站或出站更改的复制错误。
为此,请在导入.csv文件的电子表格程序中查看repadmin/showrepl*/CSV>c:
\repldrilldown.csv中的输出,然后按照“上次成功时间”进行排序。
尝试解决在tombstonelifetime天数之内未复制名称上下文的入站或出站更改的域控制器的复制错误时一定要小心。
如果那样做,可能会使那些在一个域控制器中被删除、而在其他域控制器中仍然活动的对象复活,如果删除操作在前60天里没有在整个林中完全传播的话。
考虑强制性降级这样的域控制器,并使用Ntdsutil和其他实用程序将它们的剩余元素从ActiveDirectory林中删除。
请与您的支持提供商或MicrosoftPSS联系以获取其他帮助。
必须在tombstonelifetime天之内将当前脱机的所有域控制器联机,然后验证入站和出站复制。
如果域控制器无法复制ActiveDirectory,则可能必须强制性将域控制器降级,并使用Ntdsutilmetadatacleanup命令将它们从林中删除,然后将它们提升回林中。
可以使用强制性降级的方法来保存操作系统安装和孤立域控制器上的程序。
有关如何从Windows2000域控制器的域中删除孤立的Windows2000域控制器的其他信息,请单击下面的文章编号,以查看Microsoft知识库中相应的文章:
216498HOWTO:
域控制器降级失败时删除ActiveDirectory中的数据
只有在没有其他办法时,才应采取此操作来恢复操作系统的安装和已安装的程序。
您将失去孤立域控制器的未复制的对象和属性,包括用户、计算机、信任关系、它们的密码、组和组成员关系。
验证Sysvol共享的内容是否一致。
域控制器必须一致且成功地应用在Sysvol中复制的默认域策略和默认域控制器策略,以保持ActiveDirectory的正常运行。
在位于同一个域中的Windows2000域控制器的域系统卷(Sysvol共享)中,验证策略的文件系统部分是否一致。
可以使用资源工具包中的Gpotool.exe确定整个域的策略是否存在不一致。
使用WindowsServer2003支持工具中的Healthcheck确定Sysvol共享副本集在每个域中是否正常运行。
如果Sysvol共享的内容不一致,请解决所有的不一致。
使用支持工具中的Dcdiag.exe验证所有的域控制器是否具有共享的netlogon和sysvol共享。
为此,请在命令提示符处键入下面的命令:
DCDIAG.EXE/e/test:
frssysvol
清点操作角色。
架构和结构操作主机在林及其域中引入了林范围和域范围的架构更改。
将结构操作主机角色(也称为“灵活单主机操作”或FSMO)分配给每个域的联机域控制器。
如果林中包含多个域,承载结构操作主机的域控制器一定不能是全局目录服务器。
架构操作主机一般位于林根域的主要域控制器上,但它也可以驻留在林中的任何域控制器上。
最后,验证主要域控制器、相对ID(RID)和域命名主机操作主机是否分配给运行正常的域控制器。
有关操作主机及其位置的其他信息,请单击下面的文章编号,以查看Microsoft知识库中相应的文章:
197132Windows2000ActiveDirectoryFSMO角色
223346在Windows2000域控制器上放置和优化FSMO
netdomqueryfsmo命令可用于查看林范围和域范围的操作角色。
事件日志查看
检查所有域控制器的事件日志,查找有问题的事件。
事件日志中绝对不能有指示以下任何一个过程和组件有问题的严重事件消息:
物理连接
网络连接
名称注册
名称解析
身份验证
组策略
安全策略
磁盘子系统
架构
拓扑结构
复制引擎
磁盘空间清点
承载ActiveDirectory数据库文件Ntds.dit的卷上的可用空间必须至少等于Ntds.dit文件大小的15-20%。
承载ActiveDirectory日志文件的卷上的可用空间也必须至少等于Ntds.dit文件大小的15-20%。
有关如何释放更多磁盘空间的其他信息,请参见本文的“磁盘空间不足的域控制器”一节。
DNS清理(可选)
每隔7天为林中的所有DNS服务器启用一次DNS清理。
为取得最佳效果,请在进行操作系统升级前的61天或更早执行此操作。
这样,在对Ntds.dit文件执行脱机碎片整理时,就可以为DNS清理后台驻留程序提供足够的时间对旧的DNS对象进行垃圾回收。
禁用DLTServer服务(可选)
除非Windows2000或WindowsXP客户机使用“分布式链接跟踪服务器(DLT)”服务,否则将所有Windows2000域控制器上的此服务的初始值设置为“disabled”。
有关其他信息,请参见以下Microsoft知识库文章中的“MicrosoftRecommendationsfordistributedlinktracking”一节:
312403DistributedLinkTrackingonWindows-BasedDomainControllers
系统状态备份
为林中每个域的至少两个域控制器创建一个系统状态备份。
如果升级无效,可以使用此备份来恢复林中的所有域。
Windows2000林中的Exchange2000
注意:
如果在Windows2000林中已安装或者将要安装Exchange2000Server,请阅读本节内容。
Exchange2000架构定义了三个符合非请求注释(RFC)的属性:
houseIdentifier、secretary和labeledURI。
Windows2000InetOrPersonKit和WindowsServer2003中的adprep命令重新定义了这些属性。
当ActiveDirectory发现重复的名称时,它会修改其中一个对象的名称,在名称的开头加上“Dup”和一些独特的字符。
因此,在您运行Windows2000InetorgPersonKit或WindowsServer2003架构更改之前,如果Exchange2000在Windows2000林中创建了这三个属性,则这些属性的LDAPDisplayName可能会在复制新的符合RFC的定义之后发生冲突或错位。
这种现象称为错位。
如果您使用Windows2000中的InetOrgPersonKit或WindowsServer2003中的adprep命令创建Secretary和labeledURI属性的初始定义,则ActiveDirectory林不容易受到这种错位显示问题的影响。
具体说来,错位的LdapDisplayName属性不会在以下方案中出现:
在运行WindowsServer2003adprep命令之前,将Windows2000InetOrgPersonKit添加到Windows2000林中。
在安装Exchange2000之前,在Windows2000林中运行WindowsServer2003adprep命令。
将Exchange2000添加到现有的WindowsServer2003林中。
在运行adprep之前将Exchange2000SP3安装到Exchange2000服务器上。
如果Exchange2000在Windows2000域中创建Secretary和labeledURI属性的初始定义,Windows2000和WindowsServer2003林中可能会出现错位属性。
在下面的方案中可能会发生这种现象:
在从InetOrgPersonKit添加InetOrgPerson类之前,将InetOrgPerson类的Exchange2000SP2及更早的版本添加到Windows2000林中。
在运行WindowsServer2003adprep/forestprep命令之前,将InetOrgPerson类的Exchange2000SP2及更早的版本添加到Windows2000林中。
在从Windows2000InetOrgPersonKit运行InetOrgPerson-fix.ldf之后,包含InetOrgPerson的Exchange2000SP2及更早的定义的Windows2000域控制器没有接收ActiveDirectory更新。
因此,如果您在Windows2000林中已经安装或者将要安装Exchange2000Server,请按照以下步骤操作。
方案1:
在运行adprep/forestprep命令之后添加Exchange2000架构更改
如果在运行WindowsServer2003adprep/forestprep命令之后将在Windows2000林中引入Exchange2000架构更改,则继续本文的“概述:
将Windows2000域控制器升级到WindowsServer2003”一节。
方案2:
在运行WindowsServeradprep/forestprep命令之前安装Exchange2000架构更改
如果已经安装了Exchange2000架构更改,但尚未运行WindowsServer2003adprep/forestprep命令,请考虑以下操作计划:
使用属于架构管理员组和企业管理员组的帐户登录到架构操作主机的控制台。
启用架构主机上的架构更新。
有关如何允许对ActiveDirectory架构进行更新的其他信息,请单击下面的文章编号,以查看Microsoft知识库中相应的文章:
285172SchemaUpdatesRequireWriteAccesstoSchemainActiveDirectory
单击“开始”,单击“运行”,在“打开”框中键入notepad.exe,然后单击“确定”。
将以下文本中的[startcopyhere]和[endcopyhere]节标记之间的文本(包括最后的“-”字符)复制到“记事本”中。
[startcopyhere]
dn:
CN=ms-Exch-Assistant-Name,CN=Schema,CN=Configuration,DC=X
changetype:
Modify
replace:
lDAPDisplayName
lDAPDisplayName:
msExchAssistantName
-
dn:
CN=ms-Exch-LabeledURI,CN=Schema,CN=Configuration,DC=X
changetype:
Modify
replace:
lDAPDisplayName
lDAPDisplayName:
msExchLabeledURI
-
dn:
CN=ms-Exch-House-Identifier,CN=Schema,CN=Configuration,DC=X
changetype:
Modify
replace:
lDAPDisplayName
lDAPDisplayName:
msExchHouseIdentifier
-
dn:
changetype:
Modify
add:
schemaUpdateNow
schemaUpdateNow:
1
-
[endcopyhere]
在“记事本”中,单击“文件”菜单上的“保存”。
创建一个%systemdrive%\IOP文件夹(其中%systemdrive%是承载Windows2000操作系统的逻辑驱动器)。
将文档以文件名InetOrgPersonPrevent.ldf保存到该文件夹中。
退出“记事本”。
运行InetOrgPersonPrevent.ldf脚本。
单击“开始”,单击“运行”,在“打开”框中键入cmd,然后单击“确定”。
在命令提示符处键入以下命令,然后按ENTER键:
cd%systemdrive%\IOP
键入以下命令,然后按ENTER键,其中
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 如何 Windows 控制器 升级