DetailPage-MSS-KB

Microsoft Knowledge Base

Identificativo articolo: 322692 - Ultima modifica: venerdì 14 maggio 2010 - Revisione: 16.0

In questa pagina

Sommario

In questo articolo viene illustrato l'aumento dei livelli di funzionalità del dominio e dell'insieme di strutture supportati da controller di dominio basati su Microsoft Windows Server 2003 o versioni successive. Esistono quattro versioni di Active Directory e solo i livelli che sono stati modificati da Windows NT Server 4.0 necessitano di particolare attenzione. Pertanto, le altre modifiche di livello vengono menzionate utilizzando le versioni più recenti, attuali o passate del sistema operativo dei controller di dominio del livello di funzionalità del dominio o dell'insieme di strutture.

I livelli di funzionalità sono un'estensione dei concetti di modalità mista e modalità originale introdotti in Microsoft Windows 2000 Server per attivare nuove funzionalità di Active Directory. Alcune funzionalità aggiuntive di Active Directory sono disponibili quando tutti i controller di dominio presenti nel dominio o nell'insieme di strutture eseguono la versione di Windows Server più recente o quando l'amministratore attiva il livello di funzionalità corrispondente nel dominio o nell'insieme di strutture.

Per attivare le funzionalità di dominio più recenti, tutti i controller di dominio devono eseguire nel dominio la versione più recente del sistema operativo Windows Server 2003. Se tale requisito viene soddisfatto, l'amministratore potrà aumentare il livello di funzionalità dell'insieme di strutture.
Per attivare le nuove funzionalità dell'insieme di strutture, in tutti i controller di dominio presenti nell'insieme di strutture deve essere installata la versione del sistema operativo Windows Server che corrisponde al livello di funzionalità dell'insieme di strutture desiderato. Inoltre, il livello di funzionalità del dominio deve trovarsi già al livello più recente. Se tali requisiti vengono soddisfatti, l'amministratore potrà aumentare il livello di funzionalità dell'insieme di strutture.

In genere, le modifiche del livello di funzionalità del dominio e dell'insieme di strutture sono irreversibili. In caso sia possibile annullare la modifica, sarà necessario effettuare il ripristino dell'insieme di strutture. Nel sistema operativo Windows Server 2008 R2 è possibile annullare le modifiche nei livelli di funzionalità del dominio e dell'insieme di strutture. Tuttavia, l'annullamento può essere eseguito soltanto all'interno degli scenari descritti alla paginanell'articolo di Technet sui livelli di funzionalità di Active Directory (http://technet.microsoft.com/it-it/library/cc787290(WS.10).aspx) .

Nota I livelli di funzionalità più recenti del dominio e dell'insieme di strutture influenzano esclusivamente le modalità di interazione dei controller di dominio. Non vengono interessati i client che interagiscono con il dominio o con l'insieme di strutture. Inoltre, le applicazioni non sono interessate dalle modifiche nei livelli di funzionalità del dominio o dell'insieme di strutture. Tuttavia, le applicazioni possono trarre vantaggio dalle più recenti funzionalità del dominio o dell'insieme di strutture.

Per ulteriori informazioni, consultare l'articolo TechNet sulle funzionalità associate ai vari livelli di funzionalità (http://technet.microsoft.com/it-it/library/cc771294.aspx) .

Aumento del livello di funzionalità

Attenzione Non aumentare il livello di funzionalità se nel dominio sono presenti, o lo saranno, controller di dominio di una versione precedente a quella citata per tale livello. Ad esempio, un livello di funzionalità di Windows Server 2008 richiede che tutti i controller di dominio presenti nel dominio o nell'insieme di strutture abbiano installato Windows Server 2008 o un sistema operativo successivo. Una volta che il livello di funzionalità del dominio è stato aumentato, sarà possibile ripristinare un livello precedente esclusivamente attraverso il ripristino dell'insieme di strutture. Tale limitazione viene imposta poiché le funzionalità spesso modificano la comunicazione tra i controller di dominio oppure perché le funzionalità modificano la capacità di archiviazione dei dati di Active Directory nel database.

Il metodo più comune per attivare i livelli di funzionalità del dominio e dell'insieme di strutture consiste nell'utilizzare gli strumenti di amministrazione dell'interfaccia utente grafica (GUI) descritti nell'articolo TechNet sui livelli di funzionalità di Active Directory di Windows Server 2003 (http://technet.microsoft.com/it-it/library/cc759280(WS.10).aspx) . In questo articolo viene discussa la procedura relativa a Windows Server 2003, valida anche per le versioni più recenti del sistema operativo. È inoltre possibile configurare il livello di funzionalità manualmente, utilizzando gli script di Windows PowerShell. Per ulteriori informazioni su come configurare manualmente il livello di funzionalità, consultare la sezione "Visualizzazione e impostazione del livello di funzionalità".

Per ulteriori informazioni su come utilizzare lo script di PowerShell per configurare il livello di funzionalità, consultare l'articolo TechNet in cui viene descritta tale procedura (http://technet.microsoft.com/it-it/library/cc730985.aspx) .

Visualizzazione e impostazione manuale dei livelli di funzionalità

È possibile utilizzare strumenti LDAP, quali Ldp.exe e Adsiedit.msc, per visualizzare e modificare le impostazioni correnti dei livelli di funzionalità del dominio e dell'insieme di strutture. Quando si modificano manualmente gli attributi del livello di funzionalità, la procedura consigliata consiste nell'effettuare le modifiche dell'attributo nel controller di dominio che svolge il ruolo FSMO (Flexible Single Master Operations), cui normalmente fanno riferimento gli strumenti di amministrazione di Microsoft.

Impostazioni dei livelli di funzionalità del dominio

L'attributo msDS-Behavior-Version si trova nelle intestazioni del contesto dei nomi (NC) in ognuno dei seguenti domini:
  • DC=Mydomain
  • DC=ForestRootDom
  • DC=tld
Di seguito, i valori che è possibile impostare per questo attributo:
  • Valore 0 o non impostato=livello misto di dominio
  • Valore 1=livello Windows Server 2003 di dominio
  • Valore 2=livello Windows Server 2003 di dominio
  • Valore 3=livello Windows Server 2008 di dominio
  • Valore 4=livello Windows Server 2008 R2 di dominio

Impostazioni della modalità mista e della modalità originale

L'attributo ntMixedDomain si trova nelle intestazioni del contesto dei nomi (NC) in ognuno dei seguenti domini:
  • DC=Mydomain
  • DC=ForestRootDom
  • DC=tld
Di seguito, i valori che è possibile impostare per questo attributo:
  • Valore 0=dominio di livello originale
  • Valore 1=dominio di livello misto

Impostazioni dei livelli di funzionalità dell'insieme di strutture

L'attributo msDS-Behavior-Version si trova nelle intestazioni del contesto dei nomi (NC) in ognuno dei seguenti domini:
  • CN=Partitions
  • CN=Configuration
  • DC=ForestRootDom
  • DC=tld
Di seguito, i valori che è possibile impostare per questo attributo:
  • Valore 0 o non impostato=livello misto di insieme di strutture
  • Valore 1=livello Windows Server 2003 interim di insieme di strutture
  • Valore 2=livello Windows Server 2003 di insieme di strutture

    Nota Quando si aumenta l'attributo msDS-Behavior-Version dal valore 0 al valore 1 utilizzando Adsiedit.msc, viene visualizzato il seguente messaggio di errore:
    Operazione di modifica non valida. Alcuni aspetti della modifica non sono consentiti.
  • Valore 3=livello Windows Server 2008 di dominio
  • Valore 4=livello Windows Server 2008 R2 di dominio
Se si utilizzano gli strumenti LDAP per modificare il livello di funzionalità, scegliere OK per continuare. Gli attributi nel contenitore delle partizioni e nelle intestazioni di dominio vengono aumentati correttamente. Se il file Ldp.exe genera un messaggio di errore, è possibile ignorarlo. Per verificare che l'aumento di livello sia stato eseguito correttamente, aggiornare l'elenco degli attributi, quindi verificare l'impostazione corrente. Se ancora non è stata eseguita la replica della modifica sul controller di dominio locale, questo messaggio di errore può essere visualizzato anche dopo aver eseguito l'aumento di livello sull'FSMO autorevole.

Visualizzare rapidamente le impostazioni correnti mediante il file Ldp.exe

  1. Avviare il file Ldp.exe.
  2. Scegliere Connect dal menu Connection.
  3. Specificare il controller di dominio al quale eseguire la query oppure lasciare uno spazio vuoto per connettersi a qualsiasi controller di dominio.
Dopo la connessione a un controller di dominio, verranno visualizzate le informazioni RootDSE per il controller di dominio. Queste informazioni sono relative all'insieme di strutture, al dominio e ai controller di dominio. Quello che segue è un esempio di controller di dominio basato su Windows Server 2003. Nel seguente esempio, si suppone che la modalità di dominio sia Windows Server 2003 e che la modalità dell'insieme di strutture sia Windows 2000 Server.

Nota La funzionalità di controller di dominio rappresenta il livello di funzionalità più elevato possibile per questo controller di dominio.
  • 1> domainFunctionality: 2=(DS_BEHAVIOR_WIN2003)
  • 1> forestFunctionality: 0=(DS_BEHAVIOR_WIN2000)
  • 1> domainControllerFunctionality: 2=(DS_BEHAVIOR_WIN2003)

Requisiti per la modifica manuale dei livelli di funzionalità

  • In presenza di una delle seguenti condizioni, è necessario modificare la modalità di dominio in modalità originale prima di aumentare il livello del dominio:
    • Il livello di funzionalità del dominio viene aumentato a livello di programmazione al secondo livello di funzionalità modificando direttamente il valore dell'attributo msdsBehaviorVersion nell'oggettodomainDNS.
    • Il livello di funzionalità del dominio viene aumentato al secondo livello di funzionalità mediante l'utilità Ldp.exe o Adsiedit.msc.
    Se non si modifica la modalità di dominio in modalità originale prima di aumentare il livello del dominio in Windows Server 2003 SP1, l'operazione non viene completata correttamente e vengono visualizzati i seguenti messaggi di errore:
    SV_PROBLEM_WILL_NOT_PERFORM
    ERROR_DS_ILLEGAL_MOD_OPERATION
    Inoltre, nel registro dei servizi directory viene registrato il messaggio seguente:
    Active Directory non è stato in grado di aggiornare il livello funzionalità del seguente dominio perché tale dominio è in modalità mista.

    In questo scenario, è possibile modificare in modalità originale la modalità di dominio utilizzando lo snap-in Computer e utenti & di Active Directory, utilizzando lo snap-in MMC Domini e & trust di Active Directory o modificando a livello di programmazione il valore dell'attributo ntMixedDomain dell'oggetto domainDNS in 0. Quando per aumentare a 2 (Windows Server 2003) il livello funzionalità di dominio viene utilizzato questo processo, la modalità di dominio viene automaticamente modificata in modalità originale.
  • La transizione dalla modalità mista alla modalità originale modifica l'ambito dei gruppi di protezione Amministratori di schema e Amministratori dell'organizzazione in quello di gruppi universali. Quando tali gruppi vengono trasformati in gruppi universali, nel registro di sistema viene registrato un messaggio analogo al seguente:

    Tipo evento: Informazione
    Origine evento: SAM
    ID evento: 16408
    Computer: Nome server
    Descrizione: "La modalità di funzionamento del dominio è stata modificata in modalità originale. Non è possibile annullare la modifica."

  • Quando si utilizzano gli strumenti di amministrazione di Windows Server 2003 per richiamare il livello di funzionalità del dominio, sia l'attributo ntmixedmode che l'attributo msdsBehaviorVersion vengono modificati nell'ordine corretto. Tuttavia, questo non sempre si verifica. Nel seguente scenario, la modalità originale è impostata implicitamente sul valore 0 senza modificare l'ambito dei gruppi di protezione Amministratori di schema e Amministratori dell'organizzazione in quello di gruppi universali:
    • L'attributo msdsBehaviorVersion, che controlla la modalità funzionalità di dominio, è impostato manualmente o a livello di programmazione sul valore 2.
    • Il livello di funzionalità dell'insieme di strutture è impostato su 2 utilizzando qualsiasi metodo.
    In questo caso, i controller di dominio bloccheranno la transizione al livello di funzionalità dell'insieme di strutture finché la modalità originale non verrà configurata in tutti i domini presenti nella rete locale (LAN) e la modifica dell'attributo richiesto non verrà eseguita nell'ambito dei gruppi di protezione:

Livelli di funzionalità relativi a Windows 2000 Server

Windows 2000 Server supporta esclusivamente la modalità mista e la modalità originale. Inoltre, applica queste modalità esclusivamente alla funzionalità di dominio. Nelle sezioni seguenti vengono elencate le modalità di dominio di Windows Server 2003 poiché queste modalità influenzano il modo in cui vengono aggiornati i domini di Windows NT 4.0 e Windows 2000 Server.

Quando si aumenta il livello del sistema operativo dei controller di dominio è necessario considerare molti fattori. Queste considerazioni sono causate dalle limitazioni di memorizzazione e di replica degli attributi collegati nelle modalità di Windows 2000 Server.

Windows 2000 Server misto (predefinito)

  • Controller di dominio supportati: Microsoft Windows NT 4.0, Windows 2000 Server , Windows Server 2003, Windows Server 2008, Windows Server 2008 R2
  • Funzionalità attivate: gruppi locali e globali, supporto per cataloghi globali

Windows 2000 Server originale

  • Controller di dominio supportati: Windows 2000 Server, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2
  • Funzionalità attivate: nidificazione dei gruppi, gruppi universali, SidHistory, conversione di gruppi tra gruppi di protezione e gruppi di distribuzione, possibilità di aumentare i livelli di dominio innalzando le impostazioni del livello dell'insieme di strutture

Windows Server 2003 interim

  • Controller di dominio supportati: Windows NT 4.0, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2
  • Funzionalità supportate: in questo livello non vengono attivate funzionalità a livello di dominio. Tutti i domini presenti nell'insieme di strutture vengono automaticamente innalzati a questo livello quando il livello dell'insieme di strutture viene aumentato a interim. Questa modalità è utilizzata solo quando si aggiornano a Windows Server 2003 i controller di dominio presenti in domini Windows NT 4.0.

Windows Server 2003

  • Controller di dominio supportati: Windows Server 2008 R2, Windows Server 2008 e Windows Server 2003
  • Funzionalità supportate: ridenominazione dei controller di dominio, aggiornamento e replica di attributi di data e ora di accesso. Supporto per le password utente nell'attributo objectClass InetOrgPerson. Delega con restrizioni, possibilità di reindirizzare i contenitori utente e computer.
I domini che vengono aggiornati da Windows NT 4.0 o creati mediante aumento di livello di un computer in cui è installato Windows 2003 acquisiscono il livello funzionalità Windows 2000 misto. I domini di Windows 2000 Server mantengono il livello di funzionalità del dominio corrente quando i controller di dominio di Windows 2000 Server vengono aggiornati al sistema operativo Windows Server 2003. È possibile aumentare il livello di funzionalità del dominio sia a Windows 2000 Server originale che a Windows Server 2003.

Livello interim: aggiornamento da un dominio Windows NT 4.0

Active Directory di Windows Server 2003 prevede uno speciale livello di funzionalità del dominio e dell'insieme di strutture denominato Windows Server 2003 interim. Si tratta di un livello di funzionalità fornito per l'aggiornamento di domini Windows NT 4.0 esistenti in cui, a seguito dell'aggiornamento, devono comunque essere in funzione uno o più controller di dominio di backup Windows NT 4.0. I controller di dominio Windows 2000 Server non sono supportati in questa modalità. Windows Server 2003 interim si applica ai seguenti scenari:
  • Aggiornamenti di dominio da Windows NT 4.0 a Windows Server 2003.
  • I controller di dominio di backup Windows NT 4.0 non vengono aggiornati immediatamente.
  • Domini Windows NT 4.0 contenenti gruppi con oltre 5000 membri (ad esclusione del gruppo Domain Users).
  • Non è prevista l'implementazione dei controller di dominio Windows Server2000 nell'insieme di strutture.
Windows Server 2003 interim offre due importanti miglioramenti pur consentendo la replica a controller di dominio di backup Windows NT 4.0:
  1. Replica efficiente dei gruppi di protezione e supporto per oltre 5000 membri per gruppo.
  2. Miglioramento degli algoritmi KCC di generazione della topologia tra siti.
Il miglioramento dell'efficienza di replica dei gruppi, reso possibile dal livello interim, rende questo livello la scelta consigliabile per tutti gli aggiornamenti da Windows NT 4.0. Per ulteriori dettagli, consultare la sezione "Procedure consigliate" di questo articolo.

Impostazione del livello interim di funzionalità dell'insieme di strutture di Windows 2003

Il livello Windows Server 2003 interim può essere attivato in tre modi diversi. È consigliabile utilizzare i primi due metodi, in quanto i gruppi di protezione utilizzano la replica dei valori di collegamento (LVR, Linked Value Replication) a seguito dell'aggiornamento del controller di dominio primario del dominio Windows NT 4.0 a controller di dominio Windows Server 2003. La terza opzione è meno consigliabile, in quanto l'appartenenza ai gruppi di protezione utilizza un attributo multivalore che potrebbe causare problemi di replica. Di seguito sono illustrati i tre metodi per l'attivazione del livello Windows Server 2003 interim:
  1. Nel corso dell'aggiornamento.

    L'opzione viene visualizzata durante l'installazione guidata di Dcpromo, quando si aggiorna il controller di dominio primario di un dominio Windows NT 4.0 che funge da primo controller di dominio nel dominio principale di un nuovo insieme di strutture.
  2. Per prima cosa è necessario aggiornare il controller di dominio primario Windows NT 4.0 di un dominio Windows NT 4.0 che funge da primo controller di dominio di un nuovo dominio all'interno di un insieme di strutture esistente configurando manualmente il livello funzionalità dell'insieme di strutture mediante strumenti LDAP (Lightweight Directory Access Protocol).

    I domini figlio ereditano le impostazioni delle funzionalità di insieme di strutture dall'insieme di strutture al cui interno vengono innalzati di livello. L'aggiornamento di un controller di dominio primario di un dominio Windows NT 4.0 come dominio figlio in un insieme di strutture Windows Server 2003 esistente, i cui livelli interim di funzionalità dell'insieme di strutture sono stati configurati utilizzando il file Ldp.exe o il file Adsiedit.msc, consente ai gruppi di protezione di utilizzare la replica dei valori di collegamento dopo l'aggiornamento della versione del sistema operativo.
  3. A seguito dell'aggiornamento mediante strumenti LDAP.

    Le ultime due opzioni vengono utilizzate quando si accede a un insieme esistente di strutture Windows Server 2003 nel corso di un aggiornamento. Si tratta di uno scenario comune in presenza di un dominio principale vuoto. Il dominio aggiornato viene aggiunto come dominio figlio di un dominio principale vuoto ereditando così le impostazioni del dominio dall'insieme di strutture.

Procedure consigliate

Nella sezione che segue vengono affrontate le procedure consigliate per l'aumento dei livelli di funzionalità. La sezione è suddivisa in due parti: "Operazioni preliminari", in cui vengono illustrate le operazioni da eseguire prima dell'aumento del livello e "Percorsi ottimali di aumento", in cui vengono trattate le motivazioni e i metodi per i vari scenari di aumento del livello di funzionalità.

Per identificare controller di dominio Windows NT 4.0, attenersi alla seguente procedura:
  1. Da qualsiasi controller di dominio basato su Windows Server 2003, aprire Utenti e computer di Active Directory.
  2. Se il controller di dominio non è ancora connesso al dominio appropriato, attenersi alla procedura descritta di seguito per stabilire il collegamento:
    1. Fare clic con il pulsante destro del mouse sull'oggetto dominio corrente, quindi scegliere Connessione al dominio.
    2. Nella finestra di dialogo Dominio, digitare il nome DNS del dominio a cui ci si desidera connettere, quindi scegliere OK. In alternativa, scegliere Sfoglia per selezionare il dominio dalla struttura domini, quindi scegliere OK.
  3. Fare clic con il pulsante destro del mouse sull'oggetto dominio, quindi scegliere Trova.
  4. Nella finestra di dialogo Trova scegliere Ricerca personalizzata.
  5. Fare clic sul dominio di cui si desidera cambiare il livello funzionalità.
  6. Fare clic sulla scheda Avanzate.
  7. Nella casella Immettere query LDAP digitare quanto riportato di seguito verificando di non lasciare spazi tra i caratteri:
    ((&(objectCategory=computer)(operatingSystem Version=4*)(userAccountControl:1.2.840.113556.1.4.803:=8192))
    Nota Questa query non fa distinzione tra maiuscole e minuscole.
  8. Scegliere Trova.

    Verrà visualizzato un elenco di computer del dominio che eseguono Windows NT 4.0 e operano come controller di dominio.
Un controller di dominio può essere visualizzato nell'elenco per ciascuna delle seguenti ragioni:
  • Il controller di dominio esegue Windows NT 4.0 e deve essere aggiornato.
  • Il controller di dominio è stato aggiornato a Windows Server 2003 ma la modifica non è stata replicata nel controller di dominio di destinazione.
  • Il controller di dominio non è più in funzione ma il relativo oggetto computer non è stato rimosso dal dominio.
Prima di poter cambiare il livello funzionalità del dominio a Windows Server 2003 è necessario individuare fisicamente qualsiasi controller di dominio nell'elenco, determinarne lo stato e quindi aggiornarlo o rimuoverlo.

Nota A differenza dei controller di dominio Windows 2000, i controller di dominio Windows NT 4.0 non bloccano un aumento di livello. Quando si modifica il livello di funzionalità del dominio, la replica ai controller di dominio Windows NT 4.0 verrà interrotta. Tuttavia, quando si tenta di aumentare al livello dell'insieme di strutture di Windows Server 2003 con domini di livello Windows 2000, questa operazione viene bloccata. La mancanza di controller di dominio di backup Windows NT 4.0 è implicita nel requisito del livello di insieme di strutture che prevede che tutti i domini operino a livello Windows Server 2000 originale o a un livello successivo.

Esempio: Operazioni preliminari prima di aumentare il livello

In questo esempio, l'ambiente viene innalzato dalla modalità mista Windows Server 2000 alla modalità dell'insieme di strutture Windows Server 2003.

Eseguire l'inventario dell'insieme di strutture per identificare i controller di dominio che eseguono versioni precedenti del sistema operativo.
Se non è disponibile un elenco di server accurato, attenersi alla seguente procedura:
  1. Per identificare i domini con livello misto, i controller di dominio Windows Server 2000 o i controller di dominio contenenti oggetti danneggiati o mancanti, utilizzare lo snap-in MMC Domini e trust di Active Directory.
  2. Nello snap-in, scegliere Aumento livello funzionalità insieme di strutture, quindi Salva con nome per generare un report dettagliato.
  3. Se non viene rilevato alcun problema, l'opzione per aumentare il livello dell'insieme di strutture a Windows Server 2003 sarà disponibile nell'elenco a discesa"Livelli funzionalità di insieme di strutture disponibili". Quando si tenta di aumentare il livello dell'insieme di strutture, viene eseguita una ricerca degli oggetti controller di dominio presenti nei contenitori di configurazione, in modo da poter identificare qualsiasi controller di dominio con l'attributo msds-behavior-version impostato sul livello di destinazione desiderato. Questi controller di dominio sono sia oggetti controller di dominio Windows Server 2000 che oggetti controller di dominio Windows Server più recenti che sono danneggiati.
  4. Se vengono trovati controller di dominio che eseguono versioni precedenti o controller di dominio che presentano oggetti computer danneggiati o mancanti, verranno inclusi nel report. Lo stato di questi controller di dominio deve essere oggetto di investigazioni e la rappresentazione dei controller di dominio in Active Directory deve essere corretta o rimossa utilizzando il file Ntdsutil.
Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
216498  (http://support.microsoft.com/kb/216498/ ) Rimozione di dati in Active Directory dopo un abbassamento di livello non riuscito di un controller di dominio
Verifica del funzionamento della funzionalità di replica end-to-end nell'insieme di strutture
Per verificare che la funzionalità di replica end-to-end sia in funzione nell'insieme di strutture, utilizzare la versione di Repadmin di Windows Server 2003 o una versione più recente per i controller di dominio Windows Server 2000 o Windows Server 2003:
  • Repadmin/Replsum * /Sort:Delta[/Errorsonly] per l'inventario iniziale.
  • Repadmin/Showrepl * /CSV>showrepl.csv. Importare in Excel, quindi utilizzare la funzionalità Filtro automatico, disponibile nel menu Dati, per identificare le funzionalità di replica.

    Utilizzare strumenti di replica quali Repadmin per verificare che la replica funzioni correttamente a livello dell'insieme di strutture.
Verificare la compatibilità di tutti i programmi o servizi con i controller di dominio Windows Server più recenti e con i livelli più alti della modalità di dominio e dell'insieme di strutture Windows Server. Utilizzare un ambiente di test per verificare accuratamente la presenza di eventuali problemi di compatibilità di programmi e servizi. Contattare i rispettivi produttori per ottenere conferme in merito a tale compatibilità.

Predisporre un piano di ripristino che preveda una delle seguenti operazioni:
  • Disconnessione di almeno due controller di dominio da ciascun dominio dell'insieme di strutture.
  • Creazione di un backup dello stato del sistema di almeno due controller di dominio in ciascun dominio dell'insieme di strutture.
Prima di applicare il piano di ripristino, è necessario revocare l'autorizzazione a tutti i controller di dominio dell'insieme di strutture.

Nota Non è possibile eseguire un ripristino autorevole degli aumenti di livello. Per questa ragione tutti i controller di dominio che sono stati replicati durante l'aumento di livello devono essere privati delle rispettive autorizzazioni.

Una volta revocate le autorizzazioni per tutti i controller di dominio precedenti, attivare o ripristinare i controller di dominio dal backup. Rimuovere i metadata da tutti gli altri controller di dominio, quindi aumentarli nuovamente di livello. Si tratta di un processo complesso che, se possibile, deve essere evitato.

Esempio: Come aumentare il livello di funzionalità dell'insieme di strutture da Windows Server 2000 misto a Windows Server 2003

Aumentare tutti i domini al livello Windows Server 2000 originale. Una volta eseguita questa operazione, aumentare il livello funzionalità del dominio principale dell'insieme di strutture al livello di insieme di strutture Windows Server 2003. Una volta replicato il livello di insieme di strutture ai controller di dominio principali di ciascun dominio dell'insieme, il livello del dominio verrà automaticamente aumentato a Windows Server 2003. Questo metodo presenta i seguenti vantaggi:
  • L'aumento di livello di insieme di strutture viene eseguito una sola volta. Non è necessario aumentare manualmente ciascun dominio a livello funzionalità di dominio Windows Server 2003.
  • Prima dell'aumento del livello viene eseguita una verifica dei controller di dominio Windows Server 2000 (vedere fase di preparazione). L'aumento risulterà bloccato finché i controller di dominio problematici non saranno stati rimossi o aggiornati. È possibile generare un report dettagliato che elenchi i controller di dominio che causano il blocco e fornisca dati utili.
  • Viene eseguita una verifica dei domini che operano a livello Windows Server 2000 misto o Windows Server 2003 interim. L'aumento risulterà bloccato finché i livelli di dominio non verranno aumentati almeno a Windows 2000 originale. I domini di livello interim devono essere aumentati a livello di dominio Windows Server 2003. È possibile generare un report dettagliato che elenchi i domini che causano il blocco.

Aggiornamenti da Windows NT 4.0

Per gli aggiornamenti da Windows NT 4.0 si utilizza sempre il livello interim durante l'aggiornamento di un controller di dominio primario, a meno che nell'insieme di strutture nel quale il controller di dominio primario viene aggiornato, non vengano introdotti controller di dominio Windows Server 2000. Quando si utilizza la modalità interim nel corso di un aggiornamento del controller di dominio primario, i gruppi di grandi dimensioni esistenti utilizzano immediatamente la replica LVR evitando i potenziali problemi di replica discussi in precedenza in questo articolo. Utilizzare uno dei metodi descritti di seguito per eseguire l'aumento al livello interim nel corso dell'aggiornamento:
  • Selezionare il livello interim durante l'esecuzione di Dcpromo. Questa opzione viene presentata solo quando il controller di dominio primario viene aggiornato all'interno di un nuovo insieme di strutture.
  • Impostare su interim il livello di un insieme di strutture esistente, quindi aggiungere l'insieme di strutture nel corso dell'aggiornamento del controller di dominio primario. Il dominio aggiornato erediterà l'impostazione dell'insieme di strutture.
  • Una volta aggiornati o rimossi tutti i controller di dominio di backup Windows NT 4.0, ciascun dominio deve essere aumentato al livello di insieme di strutture e può essere aumentato al livello di insieme di strutture Windows Server 2003.
Evitare l'utilizzo della modalità interim se si ha intenzione di implementare i controller di dominio Windows Server 2000 una volta eseguito l'aggiornamento o in futuro.

Considerazioni speciali per i gruppi di grandi dimensioni in Windows NT 4.0

Nei domini Windows NT 4.0 già consolidati possono esistere gruppi di protezione che contengono più di 5000 membri. In Windows NT 4.0 quando viene modificato un membro di un gruppo di protezione, ai controller di dominio di backup viene replicata solo la modifica dell'appartenenza al gruppo. In Windows Server 2000, all'appartenenza al gruppo sono collegati attributi che vengono memorizzati in un singolo attributo multivalore dell'oggetto gruppo. Quando viene apportata una singola modifica all'appartenenza di un gruppo, l'intero gruppo viene replicato come unità singola. Poiché l'appartenenza al gruppo viene replicata come unità singola, è possibile che gli aggiornamenti all'appartenenza al gruppo vadano perduti durante l'aggiunta o la rimozione contemporanea di membri diversi in controller di dominio diversi. Inoltre, la dimensione del singolo oggetto può essere superiore a quella del buffer utilizzato per applicare una voce al database. Per ulteriori informazioni, vedere la sezione "Problematiche relative all'archivio versione con i gruppi grandi" di seguito in questo articolo. Per queste ragioni, il limite consigliato per i membri di gruppi è 5000.

Fa eccezione a questa regola il gruppo primario (per impostazione predefinita è il gruppo "Domain Users"). Per determinare l'appartenenza al gruppo, il gruppo primario utilizza un meccanismo di calcolo basato sulla proprietà "primarygroupID" dell'utente. Il gruppo primario non archivia i membri sotto forma di attributi collegati multivalore. Se il gruppo primario dell'utente viene modificato in gruppo personalizzato, la relativa appartenenza al gruppo Domain Users viene scritta nell'attributo collegato per il gruppo e non più calcolata. Il nuovo gruppo primario Rid viene scritto nel "primarygroupID" e l'utente viene rimosso dall'attributo membro del gruppo.

Se l'amministratore non seleziona il livello interim per aggiornare il dominio, è necessario attenersi alla seguente procedura prima dell'aggiornamento:
  1. Eseguire l'inventario di tutti i gruppi grandi e identificare qualsiasi gruppo con oltre 5000 membri, fatta eccezione per il gruppo Domain Users.
  2. Tutti i gruppi con oltre 5000 membri devono essere suddivisi in gruppi di dimensioni inferiori con meno di 5000 membri.
  3. Individuare tutti gli elenchi di controllo di accesso in cui sono stati inseriti i gruppi di grandi dimensioni e aggiungervi i gruppi piccoli creati nel passaggio 2.
Il livello di insieme di strutture Windows Server 2003 interim evita agli amministratori di dover identificare e riallocare i gruppi di protezione globali con oltre 5000 membri.

Problematiche relative all'archivio versioni con i gruppi di grandi dimensioni

Durante le operazioni con esecuzione prolungata, ad esempio ricerche approfondite o commit su un solo attributo di grandi dimensioni, Active Directory deve verificare che lo stato del database sia statico fino al termine dell'operazione. Un esempio di ricerche approfondite e di commit su attributi di grandi dimensioni è un gruppo di grandi dimensioni che utilizza l'archivio precedente.

Poiché si verificano continuamente aggiornamenti al database localmente e dai partner di replica, Active Directory fornisce uno stato statico accodando tutte le modifiche in ingresso fino al termine dell'operazione con esecuzione prolungata. Al termine dell'operazione, le modifiche accodate vengono applicate al database.

La posizione di archiviazione di queste modifiche accodate è denominata "archivio versioni" ed è di circa 100 MB. La dimensione dell'archivio versioni è variabile e si basa sulla memoria fisica. Se un'operazione con esecuzione prolungata non termina prima dell'esaurimento dell'archivio versioni, il controller di dominio smetterà di accettare gli aggiornamenti fino a quando l'esecuzione prolungata e le modifiche accodate non vengono eseguite. I gruppi con un numero elevato di membri (superiore a 5000), possono causare l'esaurimento dell'archivio versioni da parte del controller di dominio fino a quando tali gruppi vengono eseguiti.

In Windows Server 2003 è disponibile un nuovo meccanismo di replica per gli attributi multivalore collegati denominato replica dei valori di collegamento (LVR, Link Value Replication). Invece di replicare l'intero gruppo in una sola operazione di replica, LVR risolve questo problema replicando ogni membro del gruppo come un'operazione di replica distinta. LVR diventa disponibile quando il livello funzionalità della foresta viene aumentato a Windows Server 2003 Interim o a Windows Server 2003. In questo livello funzionalità viene utilizzato LVR per replicare i gruppi tra controller di dominio Windows Server 2003.

Le informazioni in questo articolo si applicano a:
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
Chiavi: 
kbactivedirectory kbhowtomaster KB322692
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.
Condividi
Altre opzioni per il supporto
Forum del supporto di Microsoft Community
Contattaci direttamente
Ricerca di un partner certificato Microsoft
Microsoft Store