DetailPage-MSS-KB

Knowledge Base

Artikel-ID: 325379 - Geändert am: Mittwoch, 23. Februar 2011 - Version: 0.1

 

Auf dieser Seite

Zusammenfassung

Dieser Artikel beschreibt, wie Microsoft Windows 2000-Domänencontrollern auf Windows Server 2003 aktualisieren und neue Windows Server 2003-Domänencontroller auf Windows 2000-Domänen hinzufügen. Weitere Informationen zum Aktualisieren von Domänencontrollern auf Windows Server 2008 oder Windows Server 2008 R2 finden Sie auf der folgenden Microsoft-Website:
http://technet.Microsoft.com/en-us/library/ee522994 (WS.10) .aspx # (http://technet.microsoft.com/en-us/library/ee522994(WS.10).aspx#)

Domänen- und Gesamtstrukturfunktionalität Lager

Bevor Sie ein Windows 2000-Domänencontrollern Upgrade auf Windows Server 2003 oder bevor Sie die neue Windows Server 2003-Domänencontroller zu einer Windows 2000-Domäne hinzufügen, gehen Sie folgendermaßen vor:
  1. Inventur der Clients, die Ressourcen in der Domäne, die Host von Windows Server 2003-Domänencontroller für die Kompatibilität zugreifen mit SMB-Signaturen:

    Jeder Domänencontroller Windows Server 2003 ermöglicht SMB-Signierung in seiner lokalen Sicherheitsrichtlinie. Stellen Sie sicher, dass alle Netzwerkclients, die das SMB/CIFS-Protokoll zu, verwenden um den Zugriff auf freigegebene Dateien und Drucker in Domänen, die Host von Windows Server 2003-Domänencontrollern konfiguriert oder aktualisiert, um SMB-Signaturen unterstützen können. Wenn dies nicht möglich, deaktivieren Sie vorübergehend die SMB-Signierung, bis die Updates installiert werden können oder die Clients auf neuere Betriebssysteme aktualisiert werden können, die SMB-Signierung unterstützen. Informationen zum Deaktivieren von SMB-Signaturen finden Sie in der "So deaktivieren Sie die SMB-Signierung"Abschnitt am Ende dieses Schritt.

    Aktionspläne

    Die folgende Liste zeigt die Aktion Pläne für gängige SMB-Clients:
    • Microsoft Windows Server 2003, Microsoft Windows XP Professional, Microsoft Windows 2000 Server, Microsoft Windows 2000 Professional und Microsoft Windows 98

      Es ist keine Aktion erforderlich.
    • Microsoft Windows NT 4.0

      Installieren Sie Service Pack 3 oder höher (Service Pack 6A wird empfohlen) auf allen Windows NT 4.0-basierten Computern, die auf Domänen zugreifen, die Windows Server 2003-basierten Computern enthalten. Sie können auch vorübergehend deaktivieren Sie, SMB-Signierung auf Domänencontrollern der Windows Server 2003. Informationen zum Deaktivieren von SMB-Signaturen finden Sie in der "So deaktivieren Sie die SMB-Signierung"Abschnitt am Ende dieses Schritt.
    • Microsoft Windows 95

      Installieren Sie die Windows-9xVerzeichnisdienst-Client auf Windows 95-Computern oder vorübergehend deaktivieren Sie SMB-Signierung auf Domänencontrollern der Windows Server 2003. Der ursprüngliche Win9xVerzeichnisdienst-Client ist auf der Windows 2000 Server-CD verfügbar. Jedoch wurde dieses Add-on Client durch einen verbesserten Win9 ersetztxVerzeichnisdienst-Client. Informationen zum Deaktivieren von SMB-Signaturen finden Sie in der "So deaktivieren Sie die SMB-Signierung"Abschnitt am Ende dieses Schritt.
    • Microsoft Network Client für MS-DOS und Microsoft LAN Manager-clients

      Die Microsoft Network Client für MS-DOS und Microsoft LAN Manager 2.x-Netzwerkclient können für den Zugriff auf Netzwerkressourcen verwendet werden, oder Sie können mit einer startfähigen Diskette kopiert Betriebssystemdateien und andere Dateien von einem freigegebenen Verzeichnis auf einem Dateiserver als Teil eines Software-Installationsroutine kombiniert werden. Diese Clients unterstützen keine SMB-Signierung. Verwenden Sie eine alternative Installationsmethode, oder deaktivieren Sie die SMB-Signierung. Informationen zum Deaktivieren von SMB-Signaturen finden Sie in der "So deaktivieren Sie die SMB-Signierung"Abschnitt am Ende dieses Schritt.
    • Macintosh-clients

      Einige Macintosh-Clients sind keine SMB-Signierung kompatibel und erhalten die folgenden Fehlermeldung, wenn Sie versuchen, eine Verbindung zu einer Netzwerkressource herstellen:
      -Fehler-36 e/A
      Installieren Sie aktualisierten Software, falls es verfügbar ist. Andernfalls deaktivieren Sie SMB-Signierung auf Domänencontrollern der Windows Server 2003. Informationen zum Deaktivieren von SMB-Signaturen finden Sie in der "So deaktivieren Sie die SMB-Signierung"Abschnitt am Ende dieses Schritt.
    • Andere SMB-Clients von Drittanbietern

      Einige SMB-Clients von Drittanbietern unterstützen keine SMB-Signierung. Wenden Sie sich an Ihren SMB-Anbieter, ob eine aktualisierte Version vorhanden ist. Andernfalls deaktivieren Sie SMB-Signierung auf Domänencontrollern der Windows Server 2003.
    So deaktivieren Sie die SMB-Signierung

    Wenn Softwareupdates können nicht installiert werden, auf betroffenen Domänencontrollern, die unter Windows 95, Windows NT 4.0, oder andere Clients, die vor der Einführung von Windows Server 2003 installierten deaktivieren Sie vorübergehend die Anforderungen SMB-Dienstsignierung in den Gruppenrichtlinien bereitgestellt werden können, bis aktualisierte Clientsoftware.

    Sie können die SMB-Dienstsignierung in folgenden Knoten der Standarddomänencontroller-Richtlinie auf die Organisationseinheit des Domänencontrollers deaktivieren:
    Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen Richtlinien\Sicherheitsoptionen\Microsoft Network Server: Signieren Sie Kommunikation digital (immer)
    Wenn der Domänencontroller nicht in der Domänencontroller-Organisationseinheit befinden, müssen Sie die Standarddomänencontroller-Gruppenrichtlinienobjekt (GPO) mit allen Organisationseinheiten, Host Windows 2000 oder Windows Server 2003-Domänencontroller verknüpfen. Oder Sie können konfigurieren, dass SMB-Dienstsignierung in einem Gruppenrichtlinienobjekt, das mit diesen Organisationseinheiten verknüpft ist.
  2. Inventur der Domänencontroller, die in der Domäne und der Gesamtstruktur sind:
    1. Stellen Sie sicher, dass alle Windows 2000-Domänencontroller in der Gesamtstruktur alle entsprechenden Hotfixes und Servicepacks installiert haben.

      Microsoft empfiehlt, dass alle Windows 2000-Domänencontrollern der Windows 2000 Service Pack 4 (SP4) oder höher ausgeführt werden. Wenn Sie Windows 2000 SP4 nicht vollständig bereitgestellt werden können oder höher, die Windows 2000-Domänencontrollermüssenhaben Sie ein "Ntsda.dll", deren Datum und die Version ist höher als vierte Juni 2001, und 5.0.2195.3673.Weitere Informationen finden Sie in folgendem Artikel der Microsoft Knowledge Base anzuzeigen:
      331161  (http://support.microsoft.com/kb/331161/ ) Hotfixes installieren, bevor Sie Adprep / auf einem Windows 2000-Domänencontroller zur Vorbereitung der Gesamtstruktur und-Domänen für das Hinzufügen von Windows Server 2003-basierten Domänencontrollern ForestPrep
      Active Directory-Verwaltungsprogramme auf Windows 2000 SP4, Windows XP und Windows Server 2003-Clientcomputern verwenden standardmäßig das Lightweight Directory Access Protocol (LDAP) zu signieren. Wenn solche Computer verwenden (oder unsichere Kommunikation zurückgreifen) NTLM-Authentifizierung, wenn Sie Windows 2000-Domänencontroller remote verwalten, die Verbindung funktioniert nicht. Um dieses Verhalten zu beheben, sollten Remote verwalteten Domänencontrollern mindestens Windows 2000 SP3 installiert sein. Andernfalls sollten Sie deaktivieren LDAP-Signierung auf den Clients, die die Verwaltungsprogramme ausgeführt.Weitere Informationen zu LDAP finden Sie in den folgenden Artikeln der Microsoft Knowledge Base anzuzeigen:
      325465  (http://support.microsoft.com/kb/325465/ ) Windows 2000-Domänencontroller benötigen Servicepack 3 oder höher bei Einsatz der Windows Server 2003-Verwaltungsprogramme
      Die folgenden Szenarien verwenden NTLM-Authentifizierung:
      • Verwalten von Windows 2000-Domänencontrollern, die sich in einer externen Gesamtstruktur über eine NTLM (nicht Kerberos) verbunden sind vertrauenswürdig.
      • Sie konzentrieren sich die Microsoft Management Console (MMC)-Snap-ins auf einen bestimmten Domänencontroller, der IP-Adresse verweist. Klicken Sie beispielsweise aufStart, klicken Sie aufAusführen, und geben Sie den folgenden Befehl ein:
        DSA.msc/Server = IP-Adresse
      Um das Betriebssystem und die Service Pack-Revisionsstufe der Active Directory-Domänencontroller in einer Active Directory-Domäne zu ermitteln, installieren Sie die Windows Server 2003-Version von "Repadmin.exe" auf einem Windows XP Professional oder Windows Server 2003-Mitgliedscomputer in der Gesamtstruktur, und führen Sie die folgendenrepadminBefehl für einen Domänencontroller in jeder Domäne in der Gesamtstruktur:
      > Repadmin/showattrName des Domänencontrollers, der in der Zieldomänencobj: /filter:"(&(objectCategory=computer)(primaryGroupID=516))" / subtree atts: OperatingSystem, OperatingSystemVersion, operatingSystemServicePack

      DN: CN = NA-DC-01, organisatorische Einheit = Domänencontroller, DC = Company, DC = com
      1 > OperatingSystem: WindowsServer 2003
      1 > OperatingSystemVersion: 5.2 (3718)
      DN: CN = NA-DC-02, organisatorische Einheit = Domänencontroller, DC = Company, DC = com

      1 > OperatingSystem: Windows 2000 Server
      1 > OperatingSystemVersion: 5.0 (2195)
      1 > OperatingSystemServicePack: Servicepack 1
      Hinweis: Installation von Updates für einzelne verfolgen Attribute der Domänencontroller nicht.
    2. Überprüfen Sie die End-to-End-Active Directory-Replikation in der Gesamtstruktur.

      Stellen Sie sicher, dass jeder Domänencontroller in der aktualisierten Gesamtstruktur alle seine lokal gespeicherten Namenskontexte mit seinen Partnern konsistent mit dem Zeitplan repliziert, die Standortverknüpfungen oder Verbindungsobjekte zu definieren. Verwenden Sie die Windows Server 2003-Version von "Repadmin.exe" auf einem Windows XP- oder Windows Server 2003-Mitgliedscomputer in der Gesamtstruktur mit folgenden Argumenten: alle Domänencontroller in der Gesamtstruktur müssen Active Directory ohne Fehler replizieren und die Werte in der Spalte "Largest Delta" der Repadmin-Ausgabe sollte nicht erheblich größer sein als die Häufigkeit der Replikation auf den entsprechenden Standortverknüpfungen oder Verbindungsobjekte, die von einem bestimmten Zieldomänencontroller verwendet werden.

      Beheben Sie alle Replikationsfehler zwischen Domänencontrollern, die nicht auf eingehende Replikation in weniger als die Tombstone-Lebensdauer (TSL)-Anzahl der Tage (standardmäßig 60 Tage). Wenn Replikation hergestellt werden kann, funktionieren Sie möglicherweise zwangsweise herabstufen von Domänencontrollern und über den Ntdsutil aus der Gesamtstruktur entfernenMetadatenbereinigungBefehl und anschließend wieder in der Gesamtstruktur heraufstufen. Eine erzwungene Herabstufung können Sie die Installation des Betriebssystems und die Programme auf einem verwaisten Domänencontroller speichern.Weitere Informationen zum Entfernen von verwaisten Windows 2000-Domänencontroller aus Ihrer Domäne finden Sie in folgendem Artikel der Microsoft Knowledge Base anzuzeigen:
      216498  (http://support.microsoft.com/kb/216498/ ) Gewusst wie: Entfernen von Daten in Active Directory nach fehlgeschlagener Domänencontroller-Herabstufung
      Nutzen Sie diese Aktion nur als letztes Mittel, um die Installation des Betriebssystems und der installierten Programme wiederherstellen. Sie verlieren nicht replizierten Objekte und Attribute auf verwaisten Domänencontrollern einschließlich Benutzer, Computer, Vertrauensstellungen, deren Kennwörter, Gruppen und Gruppenmitgliedschaften.

      Seien Sie vorsichtig, wenn Sie versuchen, Replikationsfehler auf Domänencontrollern zu beheben, die nicht für eine bestimmte Active Directory-Partition für größer als eingehende Änderungen repliziert wurdenTombstone-LebensdauerAnzahl der Tage. Wenn Sie dies tun, können Sie Objekte wiederbeleben, die gelöscht wurden, auf einem einzelnen Domänencontroller jedoch für die direkte oder transitive Replikationspartner nie die Löschung in den letzten 60 Tagen erhalten.

      Beachten Sie, entfernen alle verbleibenden Objekte, die auf Domänencontrollern befinden, die eingehenden Replikation in den letzten 60 Tagen nicht durchgeführt haben. Alternativ können Sie Domänencontroller Herabstufung, die keine eingehenden Replikation für eine bestimmte Partition in die Tombstone-Lebensdauer definierten Anzahl von Tagen wurden nicht ausgeführt, und Ihre verbleibende Metadaten mithilfe von Ntdsutil und anderen Programmen aus der Active Directory-Gesamtstruktur zu entfernen. Wenden Sie sich an Ihren Anbieter für technischen Support oder die Microsoft Product Support Services für weitere Hilfe.
    3. Stellen Sie sicher, dass der Inhalt der Sysvol-Freigabe konsistent sind.

      Stellen Sie sicher, dass der Dateisystemabschnitt der Gruppenrichtlinie konsistent ist. ' Gpotool.exe ' aus dem Resource Kit können Sie ermitteln, ob Inkonsistenzen in den Richtlinien in einer Domäne. Verwenden Sie Healthcheck aus den Windows Server 2003-Supporttools, um zu bestimmen, ob das Replikat des Sysvol-Freigabe Funktion in jeder Domäne korrekt festgelegt.

      Wenn der Inhalt der Sysvol-Freigabe inkonsistent sind, beheben Sie alle Inkonsistenzen.
    4. Verwenden Sie "Dcdiag.exe" aus den Supporttools, um sicherzustellen, dass alle Domänencontroller Netlogon freigegeben haben und Sysvol-Freigaben. Geben Sie dazu den folgenden Befehl an einer Eingabeaufforderung ein:
      DCDIAG.EXE/e /test:frssysvol
    5. Inventur der Betriebsfunktionen.

      Die Schema- und Infrastruktur-Betriebsmaster werden verwendet, um die Gesamtstruktur einzuführen und domänenweite Schemaänderungen in der Gesamtstruktur und die Domänen, die von der Windows Server 2003 vorgenommen werdenAdprepDienstprogramm. Stellen Sie sicher, dass der Domänencontroller, der Rolle des Schema- und Infrastruktur-Betriebsmasters für jede Domäne in der Gesamtstruktur hostet auf live-Domänencontroller befinden, und dass jeder Funktionsbesitzer seit dem letzten Neustart eine eingehende Replikation für alle Partitionen durchgeführt hat.

      DieDCDIAG/Test: FSMOCHECKBefehl kann verwendet werden, um gesamtstrukturweite und domänenweite Betriebsrollen anzuzeigen. Betriebsmasterfunktionen, die auf nicht existierenden Domänencontrollern befinden sollten mithilfe von NTDSUTIL durch einen fehlerfreien Domänencontroller übernommen werden. Rollen, die auf nicht fehlerfreien Domänencontrollern befinden sollten möglichst übertragen werden. Andernfalls sollten Sie übernommen werden. DieNETDOM QUERY FSMOBefehl erkennt nicht die FSMO-Funktionen, die auf gelöschten Domänencontrollern befinden.

      Stellen Sie sicher, dass der Schemamaster und jeder Infrastruktur-Master durchgeführt hat die eingehende Replikation von Active Directory seit zuletzt gestartet. Die eingehende Replikation überprüft werden kann, mithilfe derREPADMIN/SHOWREPSDOMÄNENCONTROLLERNAMEBefehl, wobeiDOMÄNENCONTROLLERNAMEist der NetBIOS-Computername oder den vollständig qualifizierten Computername eines Domänencontrollers.Weitere Informationen zu Betriebsmastern und Ihrer Platzierung finden Sie in den folgenden Artikeln in der Microsoft Knowledge Base:
      197132  (http://support.microsoft.com/kb/197132/ ) Windows 2000 Active Directory-FSMO-Rollen
      223346  (http://support.microsoft.com/kb/223346/ ) FSMO-Platzierung und-Optimierung auf Active Directory-Domänencontrollern
    6. Überprüfung der Ereignisprotokolle

      Untersuchen Sie die Ereignisprotokolle auf allen Domänencontrollern auf problematische Ereignisse. Die Ereignisprotokolle dürfen keine schwerwiegenden Ereignismeldungen enthalten, ein Problem mit einem der folgenden Prozesse und Komponenten hinweisen:
      physische Konnektivität
      Netzwerkkonnektivität
      Namensregistrierung
      Namensauflösung
      Authentifizierung
      Gruppenrichtlinien
      Sicherheitsrichtlinie
      Datenträgersubsystem
      Schema
      Topologie
      Replikations-engine
    7. Inventur des Festplattenspeichers

      Der Datenträger, der die Active Directory-Datenbankdatei "NTDS.dit" befindet, benötigen freien Speicherplatz in der Größenordnung von mindestens 15-20 % der Datei Ntds.dit. Der Datenträger, der die Active Directory-Protokolldatei befindet, muss auch freien Speicherplatz in der Größenordnung von mindestens 15-20 % der Datei Ntds.dit haben. Weitere Informationen dazu, wie Sie zusätzlichen Speicherplatz freizugeben finden Sie im Abschnitt "Domain-Domänencontroller ohne ausreichenden Speicherplatz" dieses Artikels.
    8. DNS-Aufräumvorgang (Optional)

      Aktivieren Sie die DNS den Aufräumvorgang in 7-Tages-Intervallen für alle DNS-Server in der Gesamtstruktur. Führen Sie diesen Vorgang 61 oder mehr Tage vor der Aktualisierung des Betriebssystems, um optimale Ergebnisse zu erzielen. Auf diese Weise die DNS des Aufräumvorgangs ausreichend Zeit für Garbage-veralteter DNS Objekte sammeln, wenn eine offline-Defragmentierung der Datei "NTDS.dit" erfolgt.
    9. Deaktivieren Sie den DLT-Serverdienst (Optional)

      DLT-Serverdienst wird auf neuen und aktualisierten Installationen von Windows Server 2003-Domänencontrollern deaktiviert. Wenn verteilte Verknüpfungsüberwachung verwendet wird, können Sie deaktivieren den DLT-Serverdienst auf Ihren Windows 2000-Domänencontrollern und Löschen von DLT-Objekten aus jeder Domäne in der Gesamtstruktur zu beginnen. Weitere Informationen finden Sie im Abschnitt "Microsoft-Empfehlungen für die Überwachung verteilter Verknüpfungen" im folgenden Artikel der Microsoft Knowledge Base:
      312403  (http://support.microsoft.com/kb/312403/ ) Überwachung verteilter Verknüpfungen, auf Windows-basierten Domänencontrollern
    10. Sicherung der Systemstatusdaten

      Sicherungskopie des Systemstatus mindestens zwei Domänencontroller in jeder Domäne in der Gesamtstruktur. Alle Domänen in der Gesamtstruktur wiederherstellen, wenn die Aktualisierung nicht funktioniert, können Sie die Sicherung verwenden.

Microsoft Exchange 2000 in Windows 2000-Gesamtstrukturen

Notizen
  • Wenn Exchange 2000 Server installiert ist oder installiert werden, in einer Windows 2000-Gesamtstruktur lesen Sie diesen Abschnitt, bevor Sie die Windows Server 2003 ausführenAdprep/forestprepBefehl.
  • Wenn Microsoft Exchange Server 2003-Schemaänderungen installiert werden, fahren Sie mit dem "Übersicht: Aktualisieren von Windows 2000-Domänencontrollern auf Windows Server 2003"Abschnitt bevor Sie die Windows Server 2003 ausführenAdprepBefehle.
Das Exchange 2000-Schema definiert dreiinetOrgPersonAttribute mit nicht Request for Comment (RFC)--kompatiblen LDAPDisplayNames:houseIdentifier,Secretary, undlabeledURI.

Das InetOrgPerson-Kit von Windows 2000 und Windows Server 2003AdprepBefehl definieren RFC-kompatible Versionen derselben drei Attribute mit identischen LDAPDisplayNames wie die nicht RFC-kompatiblen Versionen.

Wenn der WindowsServer 2003Adprep/forestprepBefehl wird ausgeführt, ohne Korrekturskripts in einer Gesamtstruktur mit Windows 2000 und Exchange 2000 Schemaänderungen, die LDAPDisplayNames für diehouseIdentifier,labeledURI, undSecretaryAttribute entstellt. Ein Attribut wird "entstellt", wenn "Dup" oder andere eindeutige Zeichen an den Anfang der Konflikt hinzugefügt werden, so dass Objekte und Attribute im Verzeichnis eindeutige Namen haben.


Active Directory-Gesamtstrukturen sind nicht entstellten LDAPDisplayNames für diese Attribute in den folgenden Fällen:
  • Wenn Sie die Windows Server 2003 ausführenAdprep/forestprepBefehl in einer Gesamtstruktur, die die Windows 2000-Schemaänderungen, enthält bevor Sie das Exchange 2000-Schema hinzufügen.
  • Bei der Installation von Exchange 2000-Schema in der Gesamtstruktur, die war bei einem Windows Server 2003-Domänencontroller der erste Domänencontroller in der Gesamtstruktur.
  • Wenn Sie Windows 2000 InetOrgPerson-Kit zu einer Gesamtstruktur hinzufügen, enthält das Windows 2000-Schema und anschließend installieren Sie Exchange 2000-Schemaänderungen und führen Sie dann die Windows Server 2003Adprep/forestprepBefehl.
  • Wenn Sie Exchange 2000-Schema zu einer vorhandenen Windows 2000-Gesamtstruktur hinzufügen, führen Sie Exchange 2003/ForestPrep vor dem Ausführen von Adprep/forestprep Windows Server 2003.
Entstellte Attribute werden in Windows 2000 in den folgenden Fällen auftreten:
  • Wenn Sie die Exchange 2000-Versionen derlabeledURI, diehouseIdentifier, und dieSecretaryAttribute in einer Windows 2000-Gesamtstruktur vor der Installation von Windows 2000-InetOrgPerson-Kit.
  • Sie fügen die Exchange 2000-Versionen derlabeledURI, diehouseIdentifier, und dieSecretaryAttribute auf einem Windows 2000-Gesamtstruktur, bevor Sie die Windows Server 2003 ausführenAdprep/forestprepBefehl ohne erste Korrekturskripts.
Führen Sie die Aktionspläne für jedes Szenario:

Szenario 1: Exchange 2000-Schemaänderungen werden nach dem Ausführen von Windows Server 2003 Adprep/forestprep hinzugefügt

Wenn Exchange 2000-Schemaänderungen nach der Windows Server 2003 auf Windows 2000-Gesamtstruktur eingeführt werdenAdprep/forestprepBefehl ausgeführt wird, keine Bereinigung ist erforderlich. Fahren Sie mit dem "Übersicht: Aktualisieren von Windows 2000-Domänencontrollern auf Windows Server 2003"Abschnitt.

Szenario 2: Exchange 2000-Schemaänderungen werden vor der adprep/forestprep Windows Server 2003 installiert werden

Wenn Exchange 2000-Schemaänderungen bereits installiert wurden, aber nicht die Windows Server 2003 ausgeführt habenAdprep/forestprepBefehl, in Betracht folgende Aktion:
  1. Melden Sie sich mit einem Konto, das Mitglied der Sicherheitsgruppe "Schemaadministratoren" ist an der Konsole des Schema-Betriebsmasters an.
  2. Klicken Sie aufStart, klicken Sie aufAusführen, TypNotepad.exein derÖffnenFeld, und klicken Sie dann aufOK.
  3. Kopieren Sie den folgenden Text einschließlich des abschließenden Bindestrichs nach "SchemaUpdateNow: 1" in Editor.
    DN: CN = ms-Exch-Assistant-Name, CN = Schema, CN = Configuration, DC = X
    ChangeType: ändern
    Ersetzen: LDAPDisplayName
    LDAPDisplayName: MsExchAssistantName
    -

    DN: CN = ms-Exch-LabeledURI, CN = Schema, CN = Configuration, DC = X
    ChangeType: ändern
    Ersetzen: LDAPDisplayName
    LDAPDisplayName: MsExchLabeledURI
    -

    DN: CN = ms-Exch-House-Identifier, CN = Schema, CN = Configuration, DC = X
    ChangeType: ändern
    Ersetzen: LDAPDisplayName
    LDAPDisplayName: MsExchHouseIdentifier
    -

    DN:
    ChangeType: ändern
    hinzufügen: SchemaUpdateNow
    SchemaUpdateNow: 1
    -
  4. Stellen Sie sicher, dass kein Leerzeichen am Ende jeder Zeile vorhanden ist.
  5. Auf derDateiMenü, klicken Sie aufSpeichern. In derSpeichern alsDialogfeld führen Sie folgende Schritte aus:
    1. In derDateinameGeben Sie Folgendes:
      \%USERPROFILE%\InetOrgPersonPrevent.ldf
    2. In derDateitypdas Feld, klicken Sie aufAlle Dateien.
    3. In derCodierungdas Feld, klicken Sie aufUnicode.
    4. Klicken Sie aufSpeichern.
    5. Beenden Sie den Editor.
  6. Führen Sie das Skript "InetOrgPersonPrevent.ldf".
    1. Klicken Sie aufStart, klicken Sie aufAusführen, Typcmdin derÖffnenFeld, und klicken Sie dann aufOK.
    2. Geben Sie an einer Eingabeaufforderung Folgendes ein, und drücken Sie dann die EINGABETASTE:
      CD%USERPROFILE%
    3. Geben Sie folgenden Befehl ein:
      c:\Dokumente und settings\%username%>ldifde -i -f inetorgpersonprevent.ldf-v-c DC = X "Domänennamen-Pfad für die Gesamtstruktur-Stammdomäne"
      Hinweise zur Syntax:
      • DC = X ist eine Konstante Groß-/Kleinschreibung beachtet.
      • Der Domänennamen-Pfad für die Stammdomäne muss in Anführungszeichen eingeschlossen werden.
      Beispielsweise ist die Befehlssyntax für eine Active Directory-Gesamtstruktur, deren Stammdomäne, TAILSPINTOYS.COM wäre:
      c:\Dokumente und Einstellungen\Administrator > Ldifde – i – f inetorgpersonprevent.ldf-v-c DC = X "dc = Tailspintoys, dc = com"
      HinweisMöglicherweise müssen Sie ändern dieSchemaaktualisierung erlaubtRegistrierungs-Unterschlüssel, wenn Sie den folgenden Fehlermeldung erhalten:
      Schemaaktualisierung ist auf diesem Domänencontroller nicht zulässig, da der Registrierungsschlüssel nicht festgelegt oder der Domänencontroller nicht das Schema-FSMO-Funktionsbesitzer ist.
      Weitere Informationen zum Ändern dieses Registrierungsunterschlüssels finden Sie in folgendem Artikel der Microsoft Knowledge Base anzuzeigen:
      285172  (http://support.microsoft.com/kb/285172/ ) Schemaaktualisierungen erfordern Schreibzugriff auf Schema in Active Directory
  7. Überprüfen Sie, ob die LDAPDisplayNames für CN = ms-Exch-Assistant-Name, CN = ms-Exch-LabeledURI, "und" CN = ms-Exch-House-Identifier-Attribute im Schemanamenskontext nun als MsExchAssistantName "," MsExchLabeledURI "und" MsExchHouseIdentifier angezeigt werden, bevor Sie die Windows Server 2003 ausführenAdprep/forestprepBefehle.
  8. Fahren Sie mit dem "Übersicht: Aktualisieren von Windows 2000-Domänencontrollern auf Windows Server 2003"im Abschnitt zum Ausführen derAdprep/forestprepund/ DomainPrepBefehle.

Szenario 3: Der Windows Server 2003-Befehl Forestprep wurde ohne ersten ausgeführten InetOrgPersonFix ausgeführt.

Wenn Sie die Windows Server 2003 ausführenAdprep/forestprepBefehl in einer Windows 2000-Gesamtstruktur, die Exchange 2000-Schemaänderungen, die LDAPDisplayName-Attribute fürhouseIdentifier,Secretary, undlabeledURIentstellt. Entstellte zu identifizieren, verwenden Sie Ldp.exe, um die betroffenen Attribute zu suchen:
  1. Installieren Sie "Ldp.exe" aus dem Ordner "Support\Tools" der Microsoft Windows 2000 oder Windows Server 2003-Medien.
  2. Starten Sie "Ldp.exe" von einem Domänencontroller oder Mitgliedscomputer in der Gesamtstruktur.
    1. Auf derVerbindungMenü, klicken Sie aufHerstellen einer Verbindung, lassen Sie dieServerGeben Sie im Feld leer ist,389in derAnschlussFeld, und klicken Sie dann aufOK.
    2. Auf derVerbindungMenü, klicken Sie aufBinden, lassen Sie alle Felder leer, und klicken Sie dann aufOK.
  3. Notieren Sie den Pfad des definierten Namens für das SchemaNamingContext-Attribut. Zum Beispiel für einen Domänencontroller in der Gesamtstruktur CORP.ADATUM.COM-Gesamtstruktur Pfad des definierten Namens lauten: CN = Schema, CN = Configuration, DC = corp, DC = Company, DC = com.
  4. Auf derDurchsuchenMenü, klicken Sie aufSuche.
  5. Verwenden Sie die folgenden Einstellungen zum Konfigurieren derSucheim Dialogfeld:
    • Basis-DN: Der Pfad des definierten Namens für Schemanamenskontext, die in Schritt 3 gekennzeichnet ist.
    • Filter: (Ldapdisplayname = Dup *)
    • Gültigkeitsbereich: Unterstruktur
  6. EntstellthouseIdentifier,Secretary, undlabeledURIAttribute haben die LDAPDisplayName-Attribute, die im folgenden Format entsprechen:
    LDAPDisplayName: DUP-labeledURI-9591bbd3-d2a6-4669-afda-48af7c35507d;
    LDAPDisplayName: DUP-secretary-c5a1240d-70c0-455c-9906-a4070602f85f
    LDAPDisplayName: DUP-houseIdentifier-354b0ca8-9b6c-4722-aae7-e66906cc9eef
  7. Wenn die LDAPDisplayNames fürlabeledURI,Secretary, undhouseIdentifierentstellt wurden, in Schritt 6, führen Sie das Skript "InetOrgPersonfix.ldf" von Windows Server 2003 wiederherzustellen, und fahren Sie dann mit der "Aktualisieren von Windows 2000-Domänencontrollern mit "Winnt32.exe""Abschnitt.
    1. Erstellen Sie einen Ordner mit dem Namen % Systemdrive%\IOP, und extrahieren Sie die Datei "InetOrgPersonfix.ldf" in diesem Ordner.
    2. Geben Sie an einer EingabeaufforderungCD %Systemlaufwerk%\IOP.
    3. Extrahieren Sie die Datei "InetOrgPersonfix.ldf" aus der Datei "Support.cab", die sich im Ordner Support\Tools der Windows Server 2003-Installationsmedium befindet.
    4. Laden Sie die Datei "InetOrgPersonfix.ldf" aus der Konsole des Schema-Betriebsmasters mithilfe von "Ldifde.exe" zur Behebung derLdapDisplayNameAttribut des derhouseIdentifier,Secretary, undlabeledURIAttribute. Geben Sie hierzu den folgenden Befehl, wobei <x>ist eine Konstante Groß- und <dn path="" for="" forest="" root="" domain="">der Domänennamen-Pfad für die Stammdomäne der Gesamtstruktur:</dn></x>
      C:\IOP>ldifde -i -f inetorgpersonfix.ldf-v-c DC = X "Domänennamen-Pfad für die Gesamtstruktur-Stammdomäne"
      Hinweise zur Syntax:
      • DC = X ist eine Konstante Groß-/Kleinschreibung beachtet.
      • Der Domänennamen-Pfad für die Gesamtstruktur-Stammdomäne muss in Anführungszeichen eingeschlossen werden.
  8. Überprüfen Sie, ob diehouseIdentifier,Secretary, undlabeledURIAttribute im Schemanamenskontext sind nicht "entstellt" vor der Installation von Exchange 2000.
Weitere Informationen zu einem ähnlichen Schemakonflikt mit Services for UNIX (SFU) 2.0 finden Sie in folgendem Artikel der Microsoft Knowledge Base anzuzeigen:
293783  (http://support.microsoft.com/kb/293783/ ) Windows 2000 Server kann nicht auf Windows Server 2003 mit Windows Services for UNIX 2.0 installiert aktualisiert werden.

Übersicht: Aktualisieren von Windows 2000-Domänencontrollern auf Windows Server 2003

WindowsServer 2003AdprepBefehl, den Sie aus dem Ordner "\i386" des Windows Server 2003-Installationsmedium ausführen bereitet eine Windows 2000-Gesamtstruktur und die Domänen für das Hinzufügen von Windows Server 2003-Domänencontrollern vor. WindowsServer 2003Adprep/forestprepBefehl fügt die folgenden Funktionen:
  • Verbesserte Standardsicherheitsbeschreibungen für Objektklassen
  • Neue Benutzer- und Gruppenattribute
  • Neue Schemaobjekte und Attribute wie "InetOrgPerson"
DieAdprepDienstprogramm unterstützt zwei Befehlszeilenargumente:
Adprep/forestprep: Aktualisierungsvorgängen Gesamtstruktur führt.
Adprep/domainprep: Domain Upgrade-Vorgänge ausführt.
DieAdprep/forestprepBefehl ist einmalig für den Schema-Betriebsmaster (FSMO) der Gesamtstruktur ausgeführt. DieForestPrepVorgang muss abgeschlossen sein und auf den Infrastrukturmaster jeder Domäne repliziert werden, bevor Sie ausgeführt werden kannAdprep/domainprepin dieser Domäne.

DieAdprep/domainprepBefehl ist einmalig, die Sie auf dem Infrastructure Operations master Domänencontroller für jede Domäne in der Gesamtstruktur ausführen, die neuen oder aktualisierten Windows Server 2003-Domänencontroller Host wird. DieAdprep/domainprepBefehl überprüft, ob die Änderungen ausForestPrepin der Domänenpartition repliziert wurden, und nimmt dann eine eigene Änderungen an den Domänenrichtlinien Partition und die Gruppe in der Sysvol-Freigabe.

Sie können eine der folgenden Aktionen durchführen, wenn der/ ForestPrepund die/ DomainPrepOperationen abgeschlossen und auf alle Domänencontroller in dieser Domäne repliziert wurden:
  • Aktualisieren Sie die Windows 2000-Domänencontroller auf Windows Server 2003-Domänencontrollern mittels "Winnt32.exe".

    Hinweis: Sie können die Windows 2000-Mitgliedsserver und Computern auf Windows Server 2003-Mitgliedscomputer aktualisieren, jederzeit.
  • Fördern Sie neue Windows Server 2003-Domänencontroller in der Domäne mittels "Dcpromo.exe".
Die Domäne, die den Schema-Betriebsmaster enthält ist die einzige Domäne, wobei beide ausgeführt werden mussAdprep/forestprepundAdprep/domainprep. In allen anderen Domänen müssen Sie nur ausführenAdprep/domainprep.

DieAdprep/forestprepund dieAdprep/domainprepBefehle fügen keine Attribute zum partiellen Attributsatz globalen Katalogs und veranlasst eine vollständige Synchronisierung des globalen Katalogs. Die RTM-Version vonAdprep/domainprepbewirkt eine vollständige Synchronisierung des Ordners "\Policies" in der Sysvol-Struktur. Auch wenn Sie ausführenForestPrepundDomainPrepmehrere Male sind abgeschlossenen Vorgänge nur einmal ausgeführt.

Nachdem die Änderungen ausAdprep/forestprepundAdprep/domainprepvollständig replizieren, können Sie die Windows 2000-Domänencontroller auf Windows Server 2003 aktualisieren durch Ausführen von Winnt32.exe aus dem Ordner "\i386" des Windows Server 2003-Installationsmedium. Darüber hinaus können Sie mittels "Dcpromo.exe" neue Windows Server 2003-Domänencontroller der Domäne hinzufügen.

Aktualisieren der Gesamtstruktur mit Adprep/forestprep

Zum Vorbereiten einer Windows 2000-Gesamtstruktur und Domänen auf Windows Server 2003-Domänencontroller akzeptieren folgendermaßen Sie zunächst in einer Testumgebung und dann in einer Produktionsumgebung:
  1. Stellen Sie sicher, dass Sie alle Operationen, in der Phase "Inventur der Gesamtstruktur", wobei besonderes Augenmerk auf die folgenden Elemente abgeschlossen sind:
    1. Sie haben Sicherungen des Systemstatus erstellt.
    2. Alle Windows 2000-Domänencontroller in der Gesamtstruktur haben alle entsprechenden Hotfixes und Servicepacks installiert.
    3. End-to-End-Replikation von Active Directory wird in der Gesamtstruktur ausgeführt werden.
    4. FRS repliziert die Dateisystemrichtlinie korrekt innerhalb jeder Domäne.
  2. Melden Sie sich an der Konsole des Schema-Betriebsmasters mit einem Konto, das Mitglied der Sicherheitsgruppe "Schemaadministratoren" ist.
  3. Stellen Sie sicher, dass das Schema-FSMO eingehenden Replikation der Schemapartition durchgeführt hat, indem Sie in einer Windows NT-Eingabeaufforderung Folgendes eingeben:
    Repadmin/showreps
    (repadminindem Sie den Ordner "Support\Tools" von Active Directory installiert ist.)
  4. Frühe Dokumentation von Microsoft empfiehlt, vor dem Ausführen des Schema-Betriebsmasters in einem privaten Netzwerk isolierenAdprep/forestprep. Praxis-Erfahrungen deuten darauf hin, dass diese Schritt nicht erforderlich ist und kann dazu führen, dass einen Schema-Betriebsmaster Schemaänderungen zurückweist, wenn es in einem privaten Netzwerk neu gestartet wird.
  5. AusführenAdprepauf dem Schema-Betriebsmaster. Klicken Sie hierzu aufStart, klicken Sie aufAusführen, Typcmd, und klicken Sie dann aufOK. Geben Sie den folgenden Befehl auf dem Schema-Betriebsmaster
    X:\I386\Adprep/forestprep
    WHEREX:\I386\ist der Pfad der Windows Server 2003-Installationsmedium. Dieser Befehl führt das gesamtstrukturweite Schema-Upgrade.

    HinweisEreignisse mit der Ereignis-ID 1153, die im Verzeichnisdienst-Ereignisprotokoll, wie im Beispiel, die folgt protokolliert werden, können ignoriert werden:

    Ereignistyp: Fehler
    Ereignisquelle: NTDS General
    Ereigniskategorie: Interne Verarbeitung
    Ereignis-ID: 1153
    Datum: MM/TT/JJJJ
    Uhrzeit: Hh: mm: am|]PM
    Benutzer: Jeder Computer:<some dc=""></some>
    Beschreibung: Klassenkennung 655562 (Klasse Klassenname MsWMI-MergeablePolicyTemplate) hat eine ungültige Superklasse 655560. Die Vererbung wurde ignoriert.

  6. Überprüfen Sie, ob dieAdprep/forestprepBefehl wurde auf dem Schema-Betriebsmaster erfolgreich ausgeführt. Dazu von der Konsole des Schema-Betriebsmasters überprüfen Sie die folgenden Punkte:
    • DieAdprep/forestprepBefehl ohne Fehler abgeschlossen.
    • CN = Windows2003Update Objekt bezieht sich unter CN = ForestUpdates, CN = Configuration, DC =Stammdomäne der Gesamtstruktur. Zeichnen Sie den Wert des Attributs Revision.
    • (Optional) Die Schemaversion auf Version 30 erhöht. Sehen Sie hierzu das Attribut ObjectVersion unter CN = Schema, CN = Configuration, DC =Stammdomäne der Gesamtstruktur.
    IfAdprep/forestprepnicht ausgeführt werden, überprüfen Sie die folgenden Punkte:
    • Der vollqualifizierte Pfad für "Adprep.exe" im Ordner "\I386" des Installationsmediums angegeben beimAdprepausgeführt wurde. Geben Sie hierzu den folgenden Befehl ein:
      x: \i386\adprep/ForestPrep
      WHERExist das Laufwerk, auf dem Installationsmedium gehostet.
    • Der angemeldete Benutzer, der ausgeführt wirdAdprepist Mitglied der Sicherheitsgruppe Schema-Admins. Um dies zu überprüfen, verwenden Sie dieWhoami/allBefehl.
    • IfAdprepimmer noch nicht funktioniert, zeigen Sie die Datei "Adprep.log" in der %systemroot%\System32\Debug\Adprep\Logs\Letztes Protokoll "anOrdner.
  7. Wenn Sie die ausgehende Replikation auf dem Schema-Betriebsmaster in Schritt 4 deaktiviert haben, aktivieren Sie die Replikation so, dass die Schemaänderungen vorgenommen wurden, durchAdprep/forestprepkönnen weitergegeben werden. Zu diesem Zweck folgende Schritte:
    1. Klicken Sie aufStart, klicken Sie aufAusführen, Typcmd, und klicken Sie dann aufOK.
    2. Geben Sie Folgendes ein, und drücken Sie dann die EINGABETASTE:
      Repadmin/Optionen – DISABLE_OUTBOUND_REPL
  8. Überprüfen Sie, ob dieAdprep/forestprepÄnderungen repliziert auf allen Domänencontrollern in der Gesamtstruktur. Es ist sinnvoll, überwachen Sie die folgenden Attribute:
    1. Erhöhung der Schemaversion
    2. CN = Windows2003Update, CN = ForestUpdates, CN = Configuration, DC =Stammdomäne der Gesamtstrukturoder CN = Operations, CN = DomainUpdates, CN = System, DC =Stammdomäne der Gesamtstrukturund der Operations-GUIDs unter ihm repliziert wurden.
    3. Suche nach neuen Schema-Klassen, Objekte, Attribute oder andere Änderungen, dieAdprep/forestprepFügt hinzu, wie z. B. InetOrgPerson. Anzeigen der SchXXLDF-Dateien (whereXXist eine Zahl zwischen 14 und 30) in der "% SystemRoot%\System32" Ordner, um zu bestimmen, welche Objekte und Attribute vorhanden sein sollten. InetOrgPerson ist z. B. in "Sch18.ldf" definiert.
  9. Suchen Sie nach entstellten LDAPDisplayNames.

    Wenn Exchange 2000 installiert wurde, bevor Sie die Windows Server 2003 ausgeführt habenAdprep/forestprepBefehl, finden Sie im folgenden Artikel der Microsoft Knowledge Base:
    314649  (http://support.microsoft.com/kb/314649/ ) Windows Server 2003 Adprep/forestprep führt zu entstellten Attributen in Windows 2000-Gesamtstrukturen, die Exchange 2000 Server enthalten
    Wenn Sie entstellte Namen finden, gehen Sie zu Szenario 3 desselben Artikels.
  10. Melden Sie sich an der Konsole des Schema-Betriebsmasters mit einem Konto, das Mitglied der Gruppe Schema-Admins-Gruppe Sicherheit der Gesamtstruktur ist, die den Schema-Betriebsmaster enthält.

Aktualisieren der Domäne mit den Adprep/domainprep-Befehl

AusführenAdprep/domainprepNachdem die/ ForestPrepÄnderungen replizieren sich vollständig auf den Infrastruktur-master-Domänencontroller in jeder Domäne, die Windows Server 2003-Domänencontroller Host wird. Gehen Sie hierzu folgendermaßen vor:
  1. Identifizieren Sie den Infrastruktur-master-Domänencontroller in der Domäne, die Sie aktualisieren möchten, die und melden Sie sich mit einem Konto, das Mitglied der Sicherheitsgruppe Domänen-Admins in der Domäne ist, die Sie aktualisieren möchten.

    Hinweis: Der Organisations-Administrator möglicherweise kein Mitglied der Sicherheitsgruppe "Domänen-Admins" in untergeordneten Domänen der Gesamtstruktur.
  2. AusführenAdprep/domainprepauf dem Infrastrukturmaster. Um dies tun, klicken Sie auf Start, klicken Sie auf Ausführen, Typcmd, und geben Sie den folgenden Befehl auf dem Infrastrukturmaster:
    X:\I386\adprep/DomainPrep
    wobei X:\I386\ den Pfad des Windows Server 2003-Installationsmediums ist. Dieser Befehl führt domänenweite Änderungen in der Zieldomäne.

    Hinweis: DieAdprep/domainprepBefehl ändert die Berechtigungen von Dateien in Sysvol-Freigabe. Diese Änderungen führen zu eine vollständige Synchronisierung von Dateien in dieser Verzeichnisstruktur.
  3. Überprüfen Sie, obDomainPreperfolgreich abgeschlossen. Überprüfen Sie hierzu die folgenden Elemente:
    • DieAdprep/domainprepBefehl ohne Fehler abgeschlossen.
    • CN = Windows2003Update, CN = DomainUpdates, CN = System, DC =DN-Pfad der Domäne, die Sie aktualisieren möchtenist vorhanden
    IfAdprep/domainprepnicht ausgeführt werden, überprüfen Sie die folgenden Punkte:
    • Der angemeldete Benutzer, der ausgeführt wirdAdprepist Mitglied der Sicherheitsgruppe Domänen-Admins in der Domäne, die Sie aktualisieren. Verwenden Sie hierzu dieWhoami/allBefehl.
    • Der vollqualifizierte Pfad für "Adprep.exe" befindet sich im Verzeichnis "\i386" des Installationsmediums wurde angegeben, wenn Sie ausgeführt habenAdprep. Geben Sie hierzu an einer Eingabeaufforderung den folgenden Befehl ein:
      x: \i386\adprep/ForestPrep
      WHERExist das Laufwerk, auf dem Installationsmedium gehostet.
    • IfAdprepimmer noch nicht funktioniert, zeigen Sie die Datei "Adprep.log" in der %systemroot%\System32\Debug\Adprep\Logs\Letztes Protokoll "anOrdner.
  4. Überprüfen Sie, ob dieAdprep/domainprepÄnderungen repliziert wurden. Dazu für die verbleibenden Domänencontroller in der Domäne überprüfen Sie die folgenden Punkte:
    • CN = Windows2003Update, CN = DomainUpdates, CN = System, DC =DN-Pfad der Domäne, die Sie aktualisieren möchtenObjekt vorhanden ist, und der Wert für das Revisionsattribut entspricht dem Wert des gleichen Attributs auf dem Infrastrukturmaster der Domäne.
    • (Optional) Suchen Sie nach Objekten, Attributen oder Access Control List (ACL) ändertAdprep/domainprephinzugefügt.
    Wiederholen Sie die Schritte 1 bis 4 auf dem Infrastrukturmaster der verbleibenden Domänen in loser Schüttung oder beim Hinzufügen oder Aktualisieren auf Windows Server 2003. Jetzt können Sie neue Windows Server 2003-Computer in der Gesamtstruktur heraufstufen, unter Verwendung von DCPROMO. Oder Sie können vorhandene Windows 2000-Domänencontroller auf Windows Server 2003 mithilfe von WINNT32 aktualisieren.EXE.

Aktualisieren von Windows 2000-Domänencontrollern mittels "Winnt32.exe"

Nachdem die Änderungen aus/ ForestPrepund/ DomainPrepvollständig replizieren und Sie eine Entscheidung über die Sicherheits-Interoperabilität mit Clients früherer Versionen vorgenommen haben, können Sie Windows 2000-Domänencontrollern auf Windows Server 2003 aktualisieren und neue Windows Server 2003-Domänencontroller der Domäne hinzufügen.

Die folgenden Computer müssen zwischen den ersten Domänencontroller sein, die Windows Server 2003 in der Gesamtstruktur in jeder Domäne ausführen:
  • Der Domänennamenmaster der Gesamtstruktur so, dass Sie Standard DNS Programmpartitionen erstellen können.
  • Der primäre Domänencontroller der Stammdomäne der Gesamtstruktur, die unternehmensweite Sicherheitsprinzipale, Windows Server 2003ForestPrepFügt in der ACL-Editor sichtbar werden.
  • Der primäre Domänencontroller in jeder nicht-Root-Domäne, sodass neue domänenspezifische Windows 2003-Sicherheitsprinzipale erstellt werden können.
Verwenden Sie hierzu WINNT32 zum Aktualisieren vorhandener Domänencontroller, Host die operative Rolle werden soll. Oder übertragen Sie die Funktion auf einen neu heraufgestuften Windows Server 2003-Domänencontroller. Führen Sie die folgenden Schritte für jeden Windows 2000-Domänencontroller, die Aktualisierung auf Windows Server 2003 mittels WINNT32 und für jede Windows Server 2003-Arbeitsgruppe oder Mitgliedscomputer, die Sie heraufstufen:
  1. Bevor Sie WINNT32 zum Aktualisieren von Windows 2000-Mitgliedscomputern und Domänencontrollern verwenden, entfernen Sie Windows 2000-Verwaltungsprogramme. Verwenden Sie hierzu das Tool Software in der Systemsteuerung. (Windows 2000-Aktualisierungen nur.)
  2. Installieren Sie alle Hotfix-Dateien oder andere Updates, die Microsoft oder dem Administrator wichtig eingestuft werden.
  3. Überprüfen Sie jeden Domänencontroller auf mögliche Aktualisierungsprobleme. Führen Sie hierzu den folgenden Befehl aus dem Ordner "\I386" des Installationsmediums:
    Winnt32.exe/checkupgradeonly
    Beheben Sie alle Probleme, die für die Kompatibilitätsüberprüfung identifiziert.
  4. Rufen Sie WINNT32.EXE-Datei im Ordner "\I386" des Installationsmediums und dem Neustart des aktualisierten 2003-Domänencontroller aus.
  5. Senken Sie die Sicherheitseinstellungen für Clients früherer Versionen als erforderlich.

    Wenn Windows NT 4.0-Clients haben keinen NT 4.0 SP6 oder Windows 95-Clients nicht des Verzeichnisdienst-Clients installiert müssen, deaktivieren Sie SMB-Dienstsignierung die Standarddomänencontroller-Richtlinie auf die Organisationseinheit Domain Controllers, und diese Richtlinie dann verknüpfen mit allen Organisationseinheiten, Host-Domänencontroller.
    Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen Richtlinien\Sicherheitsoptionen\Microsoft Network Server: Signieren Sie Kommunikation digital (immer)
  6. Überprüfen Sie den Status der Aktualisierung mithilfe der folgenden Datenpunkte:
    • Die Aktualisierung wurde erfolgreich abgeschlossen.
    • Die Hotfixes, die Sie für die Installation erfolgreich hinzugefügt werden die ursprünglichen Binärdateien ersetzt.
    • Eingehende und ausgehende Replikation von Active Directory erfolgt für alle Namenskontexte, die vom Domänencontroller statt.
    • Netlogon und Sysvol-Freigaben vorhanden sein.
    • Im Ereignisprotokoll angezeigt, dass der Domänencontroller und seine Dienste fehlerfrei sind.

      Hinweis: Nach der Aktualisierung wird Sie möglicherweise die folgende Ereignismeldung angezeigt:

      Ereignistyp: Fehler
      Ereignisquelle: NTDS-Backup
      Ereigniskategorie: Backup
      Ereignis-ID: 1913, dem
      Datum:Datum
      Zeit: HH:MM:SSAM|PM
      Benutzer: n/A
      Computer:Computername
      Beschreibung: Interner Fehler: der Active Directory-Sicherung und Wiederherstellung ist einen unerwarteter Fehler aufgetreten. Sicherungs- oder Wiederherstellungsoperation ist nicht erfolgreich, bis dies korrigiert wird.

      Sie können diese Fehlermeldung bedenkenlos ignorieren.
  7. Installieren Sie die Windows Server 2003-Verwaltungsprogramme (Upgrades von Windows 2000 und Windows Server 2003 nicht-Domänencontroller nur). Datei "Adminpak.msi" ist im Ordner \I386 Ordner von Windows Server 2003-CD -ROM. Windows Server 2003-Medien enthält die aktualisierten Supporttools in der Datei "Support\Tools\Suptools.msi". Stellen Sie sicher, dass die Datei zu installieren.
  8. Neue Sicherungen von mindestens die ersten zwei Windows 2000-Domänencontroller, die Aktualisierung auf Windows Server 2003 in jeder Domäne in der Gesamtstruktur. Legen Sie die Sicherungen von der Windows 2000-Computern, die Sie auf Windows Server 2003 in abgesperrten, aktualisiert damit Sie nicht versehentlich diese verwenden, um einen Domänencontroller wiederherstellen, der nun Windows Server 2003 ausgeführt wird.
  9. (Optional) Führen Sie eine offline-Defragmentierung der Active Directory-Datenbank auf den Domänencontrollern, die auf Windows Server 2003 aktualisiert werden, nachdem die single Instance Store (SIS) (nur Windows 2000-Aktualisierungen) abgeschlossen hat.

    Das SIS überprüft vorhandene Berechtigungen für Objekte in Active Directory gespeichert und wendet dann eine effizientere Sicherheitsbeschreibung auf diese Objekte. SIS wird automatisch gestartet (identifiziert durch Ereignis 1953 im Ereignisprotokoll Verzeichnisdienstes) Wenn aktualisierte Domänencontroller zuerst das Betriebssystem Windows Server 2003 starten. Profitieren Sie von der verbesserten Sicherheit Descriptor-Speicher nur dann, wenn Sie ein Ereignis ID 1966 im Ereignisprotokoll Verzeichnisdienstes Ereignismeldung:

    Ereignistyp: Information
    Ereignisquelle: NTDS SDPROP
    Ereigniskategorie: Interne Verarbeitung
    Ereignis-ID: 1966
    Datum: MM/TT/JJJJ
    Uhrzeit: Hh: mm: am|]PM
    Benutzer: NT-AUTORITÄT\ANONYMOUS-Anmeldung
    Computer:<computername></computername>
    Beschreibung: Der Sicherheitsbeschreibungspropagierer hat einen vollständigen Propagierungsdurchgang abgeschlossen.
    Reservierter Speicherplatz (MB):
    XX freier Speicherplatz (MB): XX

    Dadurch kann Speicherplatz in der Active Directory-Datenbank zugenommen.
    Benutzeraktion: Sollten Sie die Datenbank offline zu defragmentieren, um den Speicherplatz freizugeben, die in der Active Directory-Datenbank verfügbar sind. Weitere Informationen finden Sie in Hilfe- und Supportcenter unter http://support.microsoft.com.

    Diese Ereignismeldung weist darauf hin, dass der Einzelinstanz-Speicher-Vorgang abgeschlossen ist, und den Administrator zum Ausführen von offline-Defragmentierung der Datei "NTDS.dit" mit NTDSUTIL als Warteschlange fungiert.EXE.

    Die offline-Defragmentierung kann die Größe der Datei Ntds.dit für Windows 2000 um bis zu 40 % reduzieren, verbessert die Leistung von Active Directory und aktualisiert die Seiten in der Datenbank für eine effizientere Aufbewahrung von Verknüpfungswertattributen.Für Weitere Informationen zum Defragmentieren der Active Directory-Datenbank, klicken Sie auf die folgende Artikelnummer klicken, um den Artikel der Microsoft Knowledge Base anzuzeigen:
    232122  (http://support.microsoft.com/kb/232122/ ) Offline-Defragmentierung der Active Directory-Datenbank
  10. Untersuchen Sie den DLT-Serverdienst. Windows Server 2003-Domänencontrollern deaktivieren den DLT-Serverdienst bei neu- und Upgrade-Installationen. Wenn Windows 2000 oder Windows XP-Clients in Ihrer Organisation den DLT-Serverdienst verwenden, verwenden Sie Gruppenrichtlinien, um den DLT-Serverdienst auf neuen oder aktualisierten Windows Server 2003-Domänencontrollern zu aktivieren. Löschen Sie andernfalls schrittweise distributed Link tracking-Objekten in Active Directory.Weitere Informationen finden Sie in den folgenden Artikeln in der Microsoft Knowledge Base:
    312403  (http://support.microsoft.com/kb/312403/ ) Überwachung verteilter Verknüpfungen, auf Windows-basierten Domänencontrollern
    315229  (http://support.microsoft.com/kb/315229/ ) Dltpurge.vbs über eine Textversion für Microsoft Knowledge Base-Artikel Q312403
    Wenn Sie gleichzeitig Tausende von DLT-Objekten oder andere Objekte löschen, kann die Replikation infolge von fehlendem Versionsspeicher blockiert werden. WartenTombstone-LebensdauerAnzahl der Tage (standardmäßig 60 Tage) verwenden Sie nach dem Löschen des letzten DLT-Objekts und für die Garbagecollection abgeschlossen ist, dann NTDSUTIL.EXE eine offline-Defragmentierung der Datei "NTDS.dit" durchführen.
  11. Konfigurieren Sie die empfohlene Struktur der Organisationseinheit. Microsoft empfiehlt, dass Administratoren aktiv die empfohlene Struktur der Organisationseinheit in Active Directory-Domänen bereitstellen, und leiten Sie nach der Aktualisierung und Bereitstellung von Windows Server 2003-Domänencontrollern im Windows-Domänenmodus die Standardcontainer, die APIs früherer Versionen zum Erstellen von Benutzern, Computern und Gruppen zu einer vom Administrator definierten Organisationseinheit-Container zu verwenden.

    Weitere Informationen über die empfohlene Struktur der Organisationseinheit finden Sie im Abschnitt "Creating an Organizational Unit Design" im Whitepaper "Best Practice Active Directory Design für Managing Windows Networks". Das Whitepaper mit Informationen anzeigen möchten, besuchen Sie die folgende Website von Microsoft:
    http://technet.Microsoft.com/en-us/library/bb727085.aspx (http://technet.microsoft.com/en-us/library/bb727085.aspx)
    Weitere Informationen zum Ändern von Standardcontainer für Benutzer, Computer und Gruppen, die APIs früherer Versionen zu erstellen, in denen gespeichert sind, finden Sie in folgendem Artikel der Microsoft Knowledge Base anzuzeigen:
    324949  (http://support.microsoft.com/kb/324949/ ) Umleiten von Benutzern und Computern Container in Windows Server 2003-Domänen
  12. Wiederholen Sie die Schritte 1 bis 10 gegebenenfalls für jeden neuen oder aktualisierten Windows Server 2003-Domänencontroller in der Gesamtstruktur und Schritt 11 (empfohlene Struktur der Organisationseinheit) für jede Active Directory-Domäne.

    Zusammenfassend lässt sich sagen:
    • Aktualisieren von Windows 2000-Domänencontroller mittels WINNT32 (vom Slipstream-Installationsmedium Wenn verwendet)
    • Überprüfen Sie die Hotfix-Dateien auf den aktualisierten Computern installiert wurden
    • Installieren Sie alle erforderlichen Updates, die nicht auf dem Installationsmedium enthalten sind
    • Überprüfen Sie den Status auf neuen oder aktualisierten Server (Active Directory, Dateireplikationsdienst, Richtlinie etc.).
    • Warten Sie 24 Stunden nach der Aktualisierung des Betriebssystems dann offline-Defragmentierung (optional)
    • Starten Sie den DLT-Dienst, falls erforderlich, oder löschen Sie andernfalls die DLT-Objekte per Anleitung in q312403 / Q315229 nach Gesamtstruktur breit Domainpreps
    • Führen Sie 60 Tage offline-Defragmentierung (Tombstone-Lebensdauer und Garbage Collection # Tage) nach dem Löschen von DLT-Objekten

Trockenlauf Aktualisierungen in einer Testumgebung

Vor der Aktualisierung von Windows-Domänencontrollern in einer Windows 2000-Produktionsdomäne Überprüfung und Feinabstimmung des Aktualisierungsprozesses im Labor. Wenn die Aktualisierung von einer Testumgebung, die genau der Produktionsgesamtstruktur spiegelt reibungslos durchgeführt hat, können Sie ähnliche Ergebnisse in Produktionsumgebungen erwarten. In komplexen Umgebungen muss die Testumgebung die Produktionsumgebung in folgenden Bereichen spiegeln:
  • Hardware: Computertyp, Speichergröße, Seite Datei Platzierung, Festplattengröße, Leistung und RAID-Konfiguration, BIOS und Firmware-Revisionsstufe
  • Software: Client und Server operating Systemversionen, Client- und Serveranwendungen, Service Pack-Versionen, Hotfixes, Schemaänderungen, Sicherheitsgruppen, Gruppenmitgliedschaften, Berechtigungen, Richtlinieneinstellungen, Objektanzahl,-Typ und Speicherort, Versionsinteroperabilität-Objekt
  • Netzwerkinfrastruktur: WINS, DHCP, Verbindungsrate, verfügbare Bandbreite
  • Laden: Load-Simulatoren können Kennwortänderungen, Objekterstellung, Active Directory-Replikation, Anmeldeauthentifizierung und andere Ereignisse simulieren. Das Ziel ist nicht die Skalierung der Produktionsumgebung zu reproduzieren. Stattdessen sind die Ziele, die Kosten und die Häufigkeit wiederkehrender Operationen zu ermitteln und zu interpolieren deren Auswirkungen (Namensabfragen, Replikationsdatenverkehr, Netzwerkbandbreite und Prozessorauslastung) auf die Produktionsumgebung anhand Ihrer aktuellen und zukünftigen Anforderungen.
  • Administration: Aufgaben ausgeführt, die verwendeten Tools, die verwendeten Betriebssysteme
  • Operation: Kapazität, Interoperabilität
  • Speicherplatz: Beachten Sie die Start-, des Betriebssystems, Ntds.dit und Active Directory End- und Spitzenwert Protokolldateien auf globaler / nicht globaler Katalog-Domänencontrollern in jeder Domäne nach jeder der folgenden Vorgänge:
    1. Adprep/forestprep
    2. Adprep/domainprep
    3. Aktualisieren von Windows 2000-Domänencontrollern auf Windows Server 2003
    4. Offline-Defragmentierung nach Versionsaktualisierungen
Ein Verständnis des Aktualisierungsprozesses und Komplexität der Umgebung sorgfältigen Beobachtungen bestimmt das Tempo und die Sorgfalt, die Sie, anwenden um die Aktualisierung von Produktionsumgebungen. Umgebungen mit einer kleinen Anzahl von Domänencontrollern und Active Directory-Objekte, die über hohe Verfügbarkeit Verbindungen wide Area Network (WAN) in nur wenigen Stunden aktualisieren möglicherweise verbunden sind. Sie müssen möglicherweise weitere Unternehmensumgebungen achten, die Hunderte von Domänencontrollern oder Hunderttausende von Active Directory-Objekte verfügen. In solchen Fällen sollten Sie die Aktualisierung im Verlauf von mehreren Wochen oder Monaten durchzuführen.

Verwenden Sie "Probelauf" Upgrades im Labor, um die folgenden Aufgaben ausführen:
  • Verstehen Sie die Innenleben des Upgrade-Prozess und die damit verbundenen Risiken.
  • Machen Sie potentielle Problembereiche für den Bereitstellung-Prozess in Ihrer Umgebung verfügbar.
  • Testen und Entwickeln von Überbrückungspläne für den Fall, dass die Aktualisierung nicht erfolgreich ausgeführt wurde.
  • Definieren Sie die entsprechende Detailebene der Aktualisierungsvorgang für die Produktionsdomäne zuweisen.

Domänencontroller ohne ausreichenden Speicherplatz

Gehen Sie auf Domänencontrollern mit unzureichender Speicherplatz folgendermaßen vor, um zusätzlichen Speicherplatz auf dem Datenträger, der als Host der Ntds.dit und Log-Dateien freizugeben:
  1. Löschen Sie unbenutzten Dateien einschließlich TMP-Dateien und die zwischengespeicherten Dateien, die Internet-Browser verwenden. Geben Sie hierzu die folgenden Befehle aus (drücken Sie nach jedem Befehl die EINGABETASTE):
    CD/dLaufwerk\
    del *.tmp/s
  2. Löschen Sie Benutzer oder Speicherabbilddateien. Geben Sie hierzu die folgenden Befehle aus (drücken Sie nach jedem Befehl die EINGABETASTE):
    CD/dLaufwerk\
    del *.dmp/s
  3. Entfernen oder verschieben Sie vorübergehend Dateien, die von anderen Servern zugreifen oder sich einfach neu installieren können. Dateien, die Sie entfernen und Ersetzen Sie einfach gehören ADMINPAK-Supporttools und alle Dateien im Ordner "% SystemRoot%\System32\Dllcache".
  4. Löschen Sie alte oder nicht verwendete Benutzerprofile. Klicken Sie hierzu aufStart, mit der rechten MaustasteArbeitsplatz, klicken Sie aufEigenschaften, klicken Sie auf dieBenutzerprofileRegisterkarte, und löschen Sie alle Profile, die für alte und ungenutzte Konten sind. Alle Profile, die für Dienstkonten möglicherweise nicht gelöscht werden.
  5. Löschen Sie die Symbole unter "% systemroot%\Symbols". Geben Sie hierzu den folgenden Befehl ein:
    rd/s %systemroot%\symbols
    Je nachdem, ob der Server einen vollständigen oder kleinen Symbolsatz verfügen kann dies ungefähr 70 MB bis 600 MB verschaffen.
  6. Führen Sie eine Offlinedefragmentierung. Eine offline-Defragmentierung der Datei "NTDS.dit" kann Speicherplatz freimachen, benötigt jedoch vorübergehend doppelten Speicherplatz der aktuellen DIT-Datei. Führen Sie die offline-Defragmentierung mit anderen lokalen Volumes, sofern verfügbar. Oder Speicherplatz auf dem am besten verbundenen Netzwerk-Server verwenden, um die Offlinedefragmentierung auszuführen. Wenn der Speicherplatz immer noch nicht ausreicht, löschen Sie schrittweise nicht benötigte Benutzerkonten, Computerkonten, DNS Datensätze und DLT-Objekte aus Active Directory.

    Hinweis: Active Directory löscht Objekte nicht aus der Datenbank erstTombstone-LebensdauerAnzahl der Tage (standardmäßig 60 Tage) abgelaufen, und die Garbagecollection abgeschlossen ist. Wenn Sie reduzierenTombstone-Lebensdauerauf einen Wert kleiner als End-to-End-Replikation in der Gesamtstruktur möglicherweise zu Inkonsistenzen in Active Directory führen.

Informationsquellen

Weitere Informationen finden Sie in folgendem Artikel der Microsoft Knowledge Base anzuzeigen:
821076  (http://support.microsoft.com/kb/821076/ ) Windows Server 2003-Hilfe-Dateien enthalten falsche Informationen zum Aktualisieren von einer Windows 2000-Domäne

Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Exchange 2000 Server Standard Edition
  • Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Datacenter x64 Edition
  • Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003 R2 Standard x64 Edition
Keywords: 
kbinfo kbmt KB325379 KbMtde
Maschinell übersetzter ArtikelMaschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 325379  (http://support.microsoft.com/kb/325379/en-us/ )
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.
Freigeben
Weitere Supportoptionen
Microsoft Community-Supportforen
Kontaktieren Sie uns direkt
Zertifizierten Partner finden
Microsoft Store
Folgen Sie uns: