|
Страница 3 из 4 Обзор: обновление операционной системы контроллеров домена с Windows 2000 до Windows Server 2003Программа adprep для Windows Server 2003, расположенная в папке \I386 компакт-диска Windows Server 2003, подготавливает лес Windows 2000 и его домены к добавлению контроллеров домена под управлением Windows Server 2003. Команда adprep /forestprep для Windows Server 2003 добавляет следующие возможности: | • | улучшенные дескрипторы безопасности, использующихся по умолчанию для классов объектов; | | • | новые атрибуты пользователей и групп; | | • | новые объекты и атрибуты схемы (такие как InetOrgPerson). |
Программа adprep поддерживает два параметра командной строки: adprep /forestprep: проводит обновление леса;
adprep /domainprep: проводит обновление домена. Команда adprep /forestprep является единовременной операцией, выполняемой над хозяином схемы (FSMO) леса. Команда adprep /domainprep в этом домене должна запускаться только после окончания операции forestprep и репликации на компьютеры-хозяева схем всех доменов.
Команда adprep /domainprep является единовременной операцией, выполняемой над хозяевами инфраструктуры всех доменов леса, в которых будут установлены контроллеры домена под управлением Windows Server 2003. Команда adprep /domainprep проверяет, произошла ли репликация изменений, внесенных командой forestprep, а затем вносит собственные изменения в раздел домена и групповые политики на общем ресурсе Sysvol.
Пока команды /forestprep и /domainprep не выполнены, и результаты не реплицированы на все контроллеры в данном домене, будет невозможно выполнять следующие действия.
| • | На контроллерах домена под управлением Windows 2000 обновлять операционную систему до Windows Server 2003, используя программу Winnt32.exe.
Примечание. На компьютерах под управлением Windows 2000, не являющихся контроллерами домена, операционная система может быть обновлена до Windows Server 2003 в любой момент времени. | | • | Вводить в домен новые контроллеры домена под управлением Windows Server 2003, используя программу Dcpromo.exe. |
В домене, в котором находится хозяин схемы, необходимо выполнить обе команды — adprep /forestprep и adprep /domainprep. В остальных доменах необходимо выполнять только команду adprep /domainprep.
Команды adprep /forestprep и adprep /domainprep не добавляют атрибуты к подмножеству атрибутов глобального каталога и не вызывает полную синхронизацию глобального каталога. RTM-версия команды adprep /domainprep вызывает полную синхронизацию папки \Policies в дереве Sysvol. Даже при многократном запуске команд forestprep и domainprep полностью операции выполняются только один раз.
После завершения репликации изменений, внесенных командами adprep /forestprep и adprep /domainprep, можно проводить обновление операционной системы контроллеров домена с Windows 2000 до Windows Server 2003, используя программу Winnt32.exe, находящуюся в папке \I386 компакт-диска Windows Server 2003. Для добавления в домен контроллеров домена под управлением Windows Server 2003 также можно использовать программу Dcpromo.exe.
Обновление леса с помощью команды adprep /forestprepДля подготовки леса и доменов Windows 2000 к добавлению контроллеров домена под управлением Windows Server 2003 выполните следующие действия (сначала выполняйте их в лабораторных условиях).
| 1. | Убедитесь, что выполнены все операции этапа «Проверка леса». При этом убедитесь в следующем. | a. | Было проведено архивирование состояния системы. | | b. | На всех контроллерах доменов под управлением Windows 2000 установлены соответствующие исправления и пакеты обновления. | | c. | В лесу прошла репликация Active Directory. | | d. | Во всех доменах без ошибок прошла репликация политики файловой системы. |
| | 2. | Войдите в систему на компьютере, являющемся хозяином схемы, используя учетную запись, входящую в группу «Администраторы схемы». | | 3. | Убедитесь, что хозяин схемы выполнил входящую репликацию раздела схемы. Для этого в командной строке введите следующую команду: repadmin /showreps (средство repadmin устанавливается из папки Support\Tools Active Directory). | | 4. | Ранее корпорация Майкрософт рекомендовала перед выполнением команды adprep /forestprep изолировать хозяина схемы в отдельной сети. Однако практический опыт свидетельствует, что данный шаг не является необходимым и может привести к тому, что после перезагрузки в изолированной сети хозяин схемы отклонит изменения схемы. Если необходимо изолировать добавления схемы, внесенные командой adprep, корпорация Майкрософт рекомендует временно отключить исходящую репликацию Active Directory с помощью средства repadmin. Для этого выполните следующие действия. | a. | Выберите в меню Пуск пункт Выполнить, введите команду cmd и нажмите кнопку ОК. | | b. | Введите нижеследующую команду и нажмите клавишу ВВОД. repadmin /options +DISABLE_OUTBOUND_REPL |
| | 5. | Выполните на хозяине схемы команду adprep. Для этого нажмите кнопку Пуск, выберите команду Выполнить, введите команду cmd и нажмите кнопку ОК. На компьютере, являющемся хозяином схемы, введите следующую команду X:\I386\adprep /forestprep где X:\I386\ — путь к установочным файлам Windows Server 2003. Эта команда выполняет обновление схемы на уровне леса.
Примечание. События с кодом (ID) 1153, подобные приведенным ниже и появляющиеся в журнале событий службы каталогов, могут не учитываться.Тип: Ошибка
Источник: NTDS General
Категория: Internal Processing
Код (ID): 1153
Дата: ДД/ММ/ГГГГ
Время: ЧЧ:ММ:СС
Пользователь: Everyone Computer : <контроллеры домена>
Описание: Идентификатор класса 655562 (имя класса msWMI-MergeablePolicyTemplateимеет неправильный суперкласс 655560. Наследование игнорируется. | | 6. | Проверьте, успешно ли выполнилась команда adprep /forestprep на хозяине схемы. Для этого убедитесь в следующем. | • | Команда adprep /forestprep завершила работу без ошибок. | | • | Объект CN=Windows2003Update записан по адресу CN=ForestUpdates,CN=Configuration,DC=корневой_домен_леса.. Запишите значение атрибута Revision. | | • | (Необязательно) Версия схемы увеличена до 30. Это значение хранится в атрибуте ObjectVersion по адресу CN=Schema,CN=Configuration,DC=корневой_домен_леса.. |
Если команда adprep /forestprep не запускается, проверьте следующее. | • | Был ли при запуске программы adprep указан полный путь к файлу Adprep.exe, находящемуся в папке \I386 установочного диска. Для этого служит следующая команда: x:\i386\adprep /forestprep где x — имя диска с установочными файлами. | | • | Является ли пользователь, запускающий программу adprep, членом группы «Администраторы схемы». Для этого используйте команду whoami /all. | | • | Если программа adprep по-прежнему не запускается, просмотрите файл Adprep.log в папке %systemroot%\System32\Debug\Adprep\Logs\последний_журнал |
| | 7. | Если на шаге 4 на компьютере, являющемся хозяином схемы, была отключена исходящая репликация, включите репликацию, чтобы распространить изменения, внесенные командой adprep /forestprep. Для этого выполните следующие действия. | a. | Выберите в меню Пуск пункт Выполнить, введите команду cmd и нажмите кнопку ОК. | | b. | Введите нижеследующую команду и нажмите клавишу ВВОД. repadmin /options -DISABLE_OUTBOUND_REPL |
| | 8. | Убедитесь, что изменения, внесенные командой adprep /forestprep, реплицированы на все контроллеры доменов в лесу. Для проверки можно отслеживать следующее. | a. | Увеличение номера версии схемы. | | b. | Репликацию соответствующих операций в CN=Windows2003Update, CN=ForestUpdates,CN=Configuration,DC=корневой_домен_леса. или CN=Operations,CN=DomainUpdates,CN=System,DC=корневой_домен_леса. | | c. | Новые классы схемы, объекты, атрибуты и другие изменения, добавленные командой adprep /forestprep (такие как inetOrgPerson). Просмотрите файлы SchХХ.ldf (где ХХ — число между 14 и 30) в папке %systemroot%\System32, чтобы обнаружить подобные объекты и атрибуты. Например, класс inetOrgPerson определяется в файле Sch18.ldf. |
| | 9. | Проверьте, не повреждены ли атрибуты LDAPDisplayName.
Если до выполнения команды adprep /forestprep для Windows Server 2003 был установлен сервер Exchange 2000, обратитесь к разделу «How to Identify Mangled Name Attributes» следующей статьи базы знаний Майкрософт: 314649 Выполнение команды adprep /forestprep на сервере Windows Server 2003 повреждает атрибуты в лесу Windows 2000, содержащем серверы Exchange 2000 При обнаружении поврежденных имен перейдите к случаю 3 раздела «Exchange 2000 in Windows 2000 Forests» указанной статьи. | | 10. | Войдите в систему на компьютере, являющемся хозяином схемы, используя учетную запись, входящую в группу «Администраторы схемы» леса, включающего данный компьютер. |
Обновление домена с помощью команды adprep /domainprepПосле того как изменения, внесенные командой /forestprep, будут полностью реплицированы на хозяев инфраструктуры всех доменов, в которые будут добавлены контроллеры под управлением Windows Server 2003, выполните команду adprep /domainprep. Для этого выполните следующие действия. | 1. | В обновляемом домене найдите хозяина инфраструктуры и войдите в систему с учетной записью пользователя, входящего в группу администраторов данного домена.
Примечание. Администратор предприятия может не являться членом группы администраторов домена в дочернем домене леса. | | 2. | На компьютере, являющемся хозяине инфраструктуры, выполните команду adprep /domainprep. Для этого нажмите кнопку «Пуск», выберите пункт «Выполнить», выполните команду cmd, а затем — следующую команду: X:\I386\adprep /domainprep где X:\I386\ — путь к установочным файлам Windows Server 2003. Эта команда выполняет изменения на уровне текущего домена.
Примечание. Команда adprep /domainprep изменяет разрешения на доступ к файлам в общей папке Sysvol. Это вызывает полную синхронизацию файлов в дереве. | | 3. | Убедитесь, что команда domainprep успешно завершилась. Для этого убедитесь в следующем. | • | Команда adprep /domainprep завершила работу без ошибок. | | • | Объект CN=Windows2003Update,CN=DomainUpdates,CN=System,DC=доменное_имя_обновляемого_домена существует. |
Если команда adprep /domainprep не запускается, проверьте следующее. | • | Является ли пользователь, запускающий команду adprep, членом группы администраторов домена в обновляемом домене. Для этого используйте команду whoami /all. | | • | Был ли при запуске команды adprep указан полный путь к файлу Adprep.exe, находящемуся в папке \I386 установочного диска. Для этого выполните следующую команду: x:\i386\adprep /forestprep где x — имя диска с установочными файлами. | | • | Если программа adprep по-прежнему не запускается, просмотрите файл Adprep.log в папке %systemroot%\System32\Debug\Adprep\Logs\последний_журнал |
| | 4. | Убедитесь, что изменения, внесенные командой adprep /domainprep, реплицированы. Для этого проверьте, выполняется ли для оставшихся контроллеров в домене следующее условие. | • | Объект CN=Windows2003Update,CN=DomainUpdates,CN=System,DC=доменное_имя_обновляемого_домена существует, и значение атрибута Revision совпадает со значением аналогичного атрибута на компьютере-хозяине инфраструктуры домена. | | • | (Необязательно) Найдите изменения, внесенные командой adprep /domainprep в объекты, атрибуты и таблицы управления доступом (Access Control List, ACL). |
Выполните шаги 1-4 на хозяевах инфраструктуры оставшихся доменов сразу или по мере добавления в них контроллеров домена под управлением Windows Server 2003. После этого компьютеры под управлением Windows Server 2003 могут быть добавлены к лесу при помощи программы DCPROMO. На существующих контроллерах домена под управлением Windows 2000 операционная система может быть обновлена до Windows Server 2003 с помощью программы WINNT32.EXE. |
|
