|
Страница 4 из 4 Обновление операционной системы контроллеров домена с Windows 2000 до Windows Server 2003 с помощью программы Winnt32.exeПрежде чем обновлять операционную систему на контроллерах домена с Windows 2000 до Windows 2003 Server или добавлять новые контроллеры домена под управлением Windows 2003 Server, необходимо принять решение о режиме взаимодействия со старыми версиями клиентов и дождаться, пока будут полностью реплицированы изменения, внесенные программами /forestprep и /domainprep.
В первую очередь операционная система Windows Server 2003 должна быть установлена на следующих компьютерах. | • | Хозяин именования домена в лесу — это позволит создавать разделы DNS, используемые по умолчанию. | | • | Основной контроллер домена в корневом домене леса. Это сделает видимыми для редактора таблиц доступа основные имена уровня предприятия, добавленные командой forestprep Windows Server 2003. | | • | Основной контроллер домена в остальных доменах леса. Это даст возможность создавать в доменах новые основные имена Windows 2003. |
Для этого можно использовать программу WINNT32, чтобы обновить соответствующие существующие контроллеры доменов или передать роли новым контроллерам домена под управлением Windows Server 2003. На каждом контроллере домена под управлением Windows 2000, который будет обновляться до Windows Server 2003 с помощью программы WINNT32, а также на каждом компьютере под управлением Windows Server 2003, роль которого будет повышаться, выполните следующие действия. | 1. | Перед запуском программы WINNT32 для обновления операционной системы удалите средства администрирования Windows 2000. Для этого воспользуйтесь средством «Установка и удаление программ» панели управления (только при обновлении Windows 2000). | | 2. | Установите все существенные исправления, рекомендуемые корпорацией Майкрософт или администратором. | | 3. | Убедитесь в отсутствии возможных препятствий для обновления. Для этого запустите следующую программу из папки \I386 установочного диска: winnt32.exe /checkupgradeonly Устраните обнаруженные проблемы. | | 4. | Запустите программу WINNT32.EXE из папки \I386 установочного диска и перезагрузите обновленный контроллер домена. | | 5. | При необходимости понизьте установки системы безопасности для работы с ранними версиями клиентов.
Если на клиентах под управлением Windows NT 4.0 не установлен пакет обновления 6 (SP6) или на клиентах под управлением Windows 95 не установлен клиент службы каталогов Active Directory, необходимо в подразделении «Контроллеры домена» выбрать политику по умолчанию для контроллеров домена, запретить подписывание сообщений протокола SMB и привязать эту политику ко всем организационным подразделениям, содержащим контроллеры домена. Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности\Сервер сети Microsoft: использовать цифровую подпись (всегда) | | 6. | Чтобы проверить, успешно ли прошло обновление, убедитесь в следующем. | • | Обновление завершилось без ошибок. | | • | Соответствующие установочные файлы заменены добавленными исправлениями. | | • | Для контекстов именования контроллера домена завершилась входящая и исходящая репликация Active Directory. | | • | Существуют общие папки Netlogon и Sysvol. | | • | Журнал событий не содержит записей об ошибках контроллера домена и его служб.
Примечание. После обновления может появиться сообщение о следующем событии: Тип: Ошибка
Источник: NTDS Backup
Категория: Архивация данных
Код (ID): 1913
Дата: Дата
Время: ЧЧ:ММ:СС
Пользователь: нет данных
Компьютер: имя_компьютера
Описание: Внутренняя ошибка. В результате архивации и восстановления Active Directory возникла непредвиденная ошибка. Пока она не будет исправлена, выполнение архивации и восстановления будет невозможно. Данное сообщение может не приниматься во внимание. |
| | 7. | Установите средства администрирования для Windows Server 2003 (на обновленные компьютеры под управлением Windows 2000 и компьютеры под управлением Windows Server 2003, не являющиеся контроллерами домена). Файл Adminpak.msi находится в папке \I386 компакт-диска Windows Server 2003. Установочный диск Windows Server 2003 содержит обновленные средства поддержки, находящиеся в файле Support\Tools\Suptools.msi. Убедитесь, что данный файл переустановлен. | | 8. | В каждом домене леса выполните архивирование информации по крайней мере первых двух контроллеров домена под управлением Windows 2000, которые были обновлены до Windows Server 2003. Перенесите в отдельное хранилище носители с архивированными данными компьютеров под управлением Windows 2000, которые были обновлены до Windows Server 2003. Это предотвратит их случайное использование для восстановления данных на контроллерах домена под управлением Windows Server 2003. | | 9. | (Необязательно) На контроллерах домена, которые были обновлены до Windows Server 2003, после завершения установки хранилища единственных копий (SIS) выполните дефрагментацию базы данных Active Directory в автономном режиме (только при обновлении с Windows 2000).
Служба SIS анализирует разрешения на доступ к объектам, хранящимся в Active Directory, и применяет для этих объектов более эффективные дескрипторы безопасности. Служба SIS запускается автоматически (при этом в журнале событий службы каталогов появляется запись о событии с кодом 1953) при первом запуске операционной системы Windows Server 2003 на обновленном контроллере домена. Преимущества от использования новых дескрипторов безопасности могут быть получены только после появления в журнале событий службы каталогов следующей записи о событии с кодом 1966: Тип: Уведомление
Источник: NTDS SDPROP
Категория: Internal Processing
Код (ID): 1966
Дата: ДД/ММ/ГГГГ
Время: ЧЧ:ММ:СС
Пользователь: NT AUTHORITY\ANONYMOUS LOGON
Компьютер: <имя_компьютера>
Описание: Службой распространения дескрипторов безопасности завершен полный цикл распространения.
Выделено (МБ):
XX Свободно (МБ): ХХ
Использование таких дескрипторов позволяет уменьшить размер базы данных Active Directory.
Чтобы сделать освободившееся место доступным, необходимо выполнить дефрагментацию базы данных Active Directory в автономном режиме. Дополнительные сведения см. на веб-узле центра справки и поддержки по адресу http://go.microsoft.com/fwlink/events.asp.Данное сообщение свидетельствует о том, что служба SIS завершила операцию. После этого администратор должен выполнить дефрагментацию файла Ntds.dit в автономном режиме, используя программу NTDSUTIL.EXE.
Дефрагментация в автономном режиме позволяет уменьшить размер файла Ntds.dit для Windows 2000, улучшить производительность службы Active Directory и обновить страницы в базе данных Active Directory для более эффективного хранения атрибутов. Дополнительные сведения о дефрагментации базы данных Active Directory см. в следующей статье базы знаний Майкрософт: 232122 Выполнение автономной дефрагментации базы данных Active Directory | | 10. | Проверьте состояние службы сервера DLT. При установке на контроллер домена операционной системы Windows Server 2003 либо при обновлении до этой операционной системы, служба сервера DLT отключается. Если компьютеры под управлением Windows 2000 или Windows XP используют службу сервера DLT, необходимо с помощью групповой политики включить эту службу на обновленных контроллерах домена под управлением Windows Server 2003. В противном случае необходимо удалить объекты отслеживания изменившихся связей из базы Active Directory. Дополнительные сведения см. в следующих статьях базы знаний Майкрософт. 312403 Отслеживание изменившихся связей (Distributed Link Tracking) на контроллерах доменов с ОС Windows 315229 Текстовая версия сценария Dltpurge.vbs для статьи 312403 базы знаний Майкрософт Удаление нескольких тысяч объектов DLT (или объектов другого типа) может привести к блокировке репликации из-за нехватки места в хранилище версий. В этом случае необходимо подождать tombstonelifetime дней (по умолчанию — 60 дней) после удаления последнего объекта DLT для завершения процесса очистки, и выполнить дефрагментацию файла Ntds.dit в автономном режиме с помощью программы NTDSUTIL.EXE. | | 11. | Создайте рекомендуемую структуру подразделений. Корпорация Майкрософт рекомендует администраторам развертывать во всех доменах Active Directory рекомендуемую структуру подразделений, а после обновления контроллеров домена до Windows Server 2003 и установки режима Windows Domain переадресовать контейнеры по умолчанию, используемые ранними версиями API для создания учетных записей пользователей, компьютеров и групп, на контейнеры подразделений, указанные администратором.
Дополнительные сведения о рекомендуемой структуре подразделений см. в главе «Creating an Organizational Unit Design» документа «Best Practice Active Directory Design for Managing Windows Networks». Чтобы найти этот документ, обратитесь на веб-узел Майкрософт по следующему адресу: http://www.microsoft.com/technet/prodtechnol/windows2000serv/technologies/activedirectory/plan/bpaddsgn.mspx Дополнительные сведения об изменении контейнера по умолчанию, в котором находятся пользователи, компьютеры и группы, созданные ранними версиями API, см. в следующей статье базы знаний Майкрософт: 324949 Перенаправление контейнеров для компьютеров и пользователей в доменах Windows Server 2003 | | 12. | При необходимости повторяйте шаги 1-10 для каждого нового или обновленного контроллера домена в лесу и шаг 11 (рекомендуемая структура подразделений) — для каждого домена Active Directory.
Резюме. | • | Обновите контроллеры домена под управлением Windows 2000, используя программу WINNT32 (используйте установочный диск с внесенными исправлениями, если таковой имеется). | | • | Убедитесь, что на обновляемых компьютерах установлены исправленные файлы. | | • | Установите исправления, отсутствующие на установочном диске. | | • | Убедитесь в работоспособности новых или обновленных серверов (AD, FRS, политики и т.д.). | | • | Через 24 часа после установки операционной системы выполните дефрагментацию в автономном режиме (необязательно). | | • | Если необходимо, запустите службу DLT, в противном случае удалите объекты DLT, руководствуясь статьями 312403 и 315229 базы знаний Майкрософт. | | • | Через 60 или более дней после удаления этих объектов выполните дефрагментацию в автономном режиме (количество дней определяется, исходя из времени жизни захоронения и времени на сборку мусора). |
|
Выполнение обновления в лабораторных условияхПеред обновлением контроллеров работающего домена Windows 2000 необходимо провести пробное обновление в лабораторных условиях. Если в лаборатории полностью смоделировано реальное окружение, и если в лабораторных условиях обновление прошло нормально, то можно ожидать, что и в реальных условиях оно пройдет без ошибок. При моделировании сложного окружения в лабораторных условиях следует моделировать следующее. | • | Аппаратное обеспечение: тип компьютера, объем памяти, размещение файла подкачки, размер диска, производительность и параметры настройки raid, версии BIOS и микропрограмм. | | • | Программное обеспечение: версии операционных систем клиента и сервера; приложения, установленные на сервере и на клиенте; версия пакета обновления; установленные исправления; изменения схемы; группы безопасности; членство в группах; разрешения; параметры политик; тип и расположение счетчика объектов, а также вопросы взаимодействия различных версий приложений. | | • | Инфраструктура сети: параметры настройки WINS и DHCP; скорость канала связи; полоса пропускания. | | • | Загрузка: используя соответствующие эмуляторы можно смоделировать изменения паролей, создание объектов, репликацию Active Directory, проверку подлинности и другие события. Целью подобного моделирования не является создание уменьшенной копии реального окружения. Оно должно помочь определить затраты на выполнение основных операций, частоту их выполнения и их возможное влияние на работу реального окружения сейчас и в будущем (за счет трафика репликации и разрешения имен, загрузки полосы пропускания каналов связи, потребления ресурсов процессора и т.п.). | | • | Администрирование: выполняемые задания; используемые средства; используемые операционные системы. | | • | Выполняемые функции: общий объем и возможность взаимодействия. | | • | Дисковое пространство: необходимо после каждой перечисленной ниже операции отследить начальное, конечное и максимальное значение размеров файлов журнала операционной системы, Ntds.dit и Active Directory на контроллерах домена, являющихся серверами глобального каталога, а также на контроллерах домена, не являющихся серверами глобального каталога. | a. | adprep /forestprep | | b. | adprep /domainprep | | c. | Обновление контроллеров домена Windows 2000 до Windows Server 2003 | | d. | Выполнение дефрагментации в автономном режиме после обновлений версий. |
|
Степень сложности обновляемого окружения, результаты моделирования и знание сути процесса обновления позволяют определить необходимый темп обновления, а также направления, требующие наибольшего внимания при обновлении. Окружение, включающее небольшое число объектов Active Directory и контроллеров домена, соединенных надежными каналами связи, может быть обновлено в течение нескольких часов. Однако процесс обновления на предприятии, включающем несколько сотен контроллеров доменов и сотни тысяч объектов Active Directory, требует намного больше времени и усилий. В подобных случаях обновление может потребовать нескольких недель или месяцев.
Пробное обновление в лабораторных условиях предназначено для следующих целей. | • | Помогает понять суть процесса обновления и оценить возможные риски. | | • | Выявляет потенциальные проблемы, которые могут возникнуть при обновлении реального окружения. | | • | Дает возможность разработать и проверить план действий в случае неудачного обновления. | | • | Определяет соответствующий уровень детализации при обновлении реального домена. |
Отсутствие свободного места на контроллерах доменаЕсли на контроллере домена недостаточно свободного дискового пространства, выполните следующие действия, чтобы освободить пространство на томе, содержащем файлы журналов и Ntds.dit. | a. | Удалите неиспользуемые файлы, включая файлы с расширением TMP, и временные файлы, используемые обозревателем Интернета. Для этого в командной строке введите следующие команды. После каждой команды нажимайте клавишу ВВОД. cd /d диск\
del *.tmp /s | | b. | Удалите файлы дампов памяти и пользовательские файлы дампов. Для этого в командной строке введите следующие команды. После каждой команды нажимайте клавишу ВВОД. cd /d диск\
del *.dmp /s | | c. | Временно удалите или переместите файлы, которые могут быть легко переустановлены либо получены с других серверов. В число таких файлов входят ADMINPAK, набор Support Tools и все файлы в папке %systemroot%\System32\Dllcache. | | d. | Удалите старые и неиспользуемые профили пользователей. Для этого нажмите кнопку Пуск, щелкните правой кнопкой мыши Мой компьютер, выберите Свойства, перейдите на вкладку Профили пользователей и удалите все профили старых или неиспользуемых учетных записей. Не удаляйте профили, которые могут использоваться служебными учетными записями. | | e. | Удалите символы в папке %systemroot%\Symbols. Для этого выполните следующую команду: rd /s %systemroot%\symbols В зависимости от набора символов, который был на сервере, это освободит от 70 до 600 МБ. | | f. | Выполните дефрагментацию в автономном режиме. Дефрагментация файла Ntds.dit в автономном режиме может освободить дополнительное дисковое пространство, однако временно увеличивает в два раза размер текущего файла DIT. Если присутствуют другие локальные диски, используйте их при дефрагментации в автономном режиме. При этом также можно использовать сервер, подключенный по сети (рекомендуется выбирать сервер, имеющий наибольшую скорость подключения). Если объем дискового пространства все еще недостаточен, последовательно удалите неиспользуемые учетные записи пользователей, компьютеров, записи DNS и объекты DLT из базы Active Directory.
Примечание. Служба Active Directory не удаляет объекты из базы данных пока не пройдет tombstonelifetime дней (по умолчанию — 60 дней) и не закончится процесс сборки мусора. Уменьшение значения tombstonelifetime до величины, меньшей, чем половина времени, требуемого на полное прохождение репликации в лесу, может вызвать нарушение целостности данных Active Directory. |
Информация в данной статье применима к:| • | Microsoft Windows Server 2003 Standard Edition | | • | Microsoft Windows Server 2003 Enterprise Edition | | • | Microsoft Windows Server 2003 Datacenter Edition | | • | операционная система Microsoft Windows 2000 Server | | • | Microsoft Windows 2000 Advanced Server | | • | Microsoft Windows 2000 Datacenter Server | | • | Microsoft Exchange 2000 Server Standard Edition |
<< [Первая] < [Предыдущая] 1 2 3 4 [Следующая] > [Последняя] >>
|
