|
Страница 1 из 4 Обновление контроллеров домена Windows 2000 до Windows Server 2003| Код статьи | : | 325379 | | Последний просмотр | : | 12 октября 2004 г. | | Редакция | : | 19.2 |
В статье рассматривается обновление контроллеров домена Microsoft Windows 2000 до Microsoft Windows Server 2003 и добавление контроллеров домена под управлением Windows Server 2003 в домен Windows 2000. Проверка домена и лесаПеред обновлением операционной системы контроллеров домена под управлением Windows Server 2000 до Windows Server 2003 или перед добавлением контроллеров домена под управлением Windows Server 2003 в домен Windows 2000 необходимо выполнить следующие действия.
| 1. | Проверить, поддерживают ли клиентские компьютеры, работающие с ресурсами обновляемого домена, подписывание пакетов SMB.
На всех контроллерах домена, работающих под управлением Windows Server 2003, в локальной политике безопасности включено подписывание SMB. Убедитесь, что все компьютеры в сети, использующие протокол SMB/CIFS для доступа к общим файлам и принтерам, находящимся в домене Windows Server 2003, можно настроить или обновить для включения поддержки подписывания SMB. Если это невозможно, отключите подписывание SMB, пока не будут установлены требуемые обновления, или пока операционные системы клиентских компьютеров не будут заменены более новыми версиями, поддерживающими подписывание SMB. Сведения об отключении подписывания SMB см. в разделе «Отключение подписывания SMB» данной статьи.
План действий
Ниже перечислены действий, которые необходимо выполнить на компьютерах, использующих различные версии клиентов SMB. | • | Microsoft Windows Server 2003, Microsoft Windows XP Professional, Microsoft Windows 2000 Server, Microsoft Windows 2000 Professional и Microsoft Windows 98
Выполнять какие-либо действия не нужно. | | • | Windows NT 4.0
На все компьютеры под управлением Windows NT 4.0, обращающиеся к ресурсам домена Windows Server 2003, установите пакет обновления 3 (SP3) или более поздней версии (рекомендуется пакет обновления 6a (SP6a)). Вместо этого можно временно отключить подписывание SMB на контроллерах домена под управлением Windows Server 2003. Сведения об отключении подписывания SMB см. в разделе «Отключение подписывания SMB» данной статьи.
| | • | Microsoft Windows 95
Установите клиент службы каталогов Active Directory для Windows 9x на компьютеры под управлением Windows 95 или временно отключите подписывание SMB на контроллерах домена под управлением Windows Server 2003. Исходная версия клиента службы каталогов Active Directory для Win9x находится на компакт-диске Windows 2000 Server. Кроме того, существует улучшенная версия клиента службы каталогов для Win9x, которая заменяет исходную версию. Сведения об отключении подписывания SMB см. в разделе «Отключение подписывания SMB» данной статьи.
Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
323466 Пакет расширений клиента Active Directory для Windows 98 | | • | Компьютеры, использующие Microsoft Network Client for MS-DOS и Microsoft LAN Manager
Клиенты Microsoft Network Client for MS-DOS и Microsoft LAN Manager 2.x могут использоваться для организации доступа к сетевым ресурсам или для создания загрузочных дискет, позволяющих при установке операционной системы получать доступ к установочным файлам, находящимся на сервере в сети. Данные клиенты не поддерживают подписывание SMB. Используйте другой способ установки или отключите подписывание SMB. Сведения об отключении подписывания SMB см. в разделе «Отключение подписывания SMB» данной статьи. | | • | Клиенты для компьютеров Macintosh
Некоторые клиенты для компьютеров Macintosh не поддерживают подписывание SMB. При попытке подключения подобного клиента к сетевому ресурсу появляется следующее сообщение об ошибке.
- Error -36 I/O
Если существует обновленная версия данного клиента, поддерживающая подписывание SMB, установите эту версию. В противном случае отключите подписывание SMB на контроллерах домена под управлением Windows Server 2003. Сведения об отключении подписывания SMB см. в разделе «Отключение подписывания SMB» данной статьи. | | • | Прочие клиенты SMB сторонних разработчиков
Некоторые клиенты SMB сторонних разработчиков не поддерживают подписывание SMB. Чтобы узнать, существует ли версия указанного клиента, поддерживающая подписывание SMB, обратитесь к разработчику клиента. В противном случае отключите подписывание SMB на контроллерах домена под управлением Windows Server 2003. |
Отключение подписывания SMB
Если перед добавлением контроллеров домена под управлением Windows Server 2003 невозможно установить требуемые обновления на компьютеры под управлением Windows 95 и Windows NT 4.0, а также на компьютеры, использующие другие клиенты, которые не поддерживают подписывание SMB, временно отключите в групповой политике подписывание SMB, пока на соответствующих компьютерах не будет развернуто обновленное программное обеспечение.
Для этого в подразделении контроллеров домена необходимо выбрать политику по умолчанию для контроллеров домена и изменить значение следующего параметра: Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности\Сервер сети Microsoft: использовать цифровую подпись (всегда) Необходимо также привязать соответствующий объект групповой политики (GPO) к остальным подразделениям, в которых находятся контролеры доменов под управлением Windows 2000 или Windows Server 2003. Кроме того, можно соответствующим образом настроить подписывание SMB в объектах групповой политики, привязанных к этим подразделениям. | | 2. | Проверить контроллеры домена, находящиеся в обновляемом домене и в лесу. | a. | Следует убедиться, что на всех контроллерах доменов под управлением Windows 2000 установлены соответствующие исправления и пакеты обновления.
Корпорация Майкрософт рекомендует, чтобы на всех контроллерах доменов под управлением Windows 2000 был установлен пакет обновления 4 (SP4) для Windows 2000 или более поздней версии. Если полностью развернуть пакет обновления 4 (SP4) для Windows 2000 невозможно, необходимо на всех контроллерах домена под управлением Windows 2000 установлен файл Ntdsa.dll версии 5.0.2195.3673 или более поздней, выпущенный 4 июня 2001 года или позже. Дополнительные сведения см. в следующей статье базы знаний Майкрософт: 331161 Перечень исправлений, которые следует установить на контроллерах домена Windows 2000 перед выполнением команды Adprep /Forestprep По умолчанию на клиентских компьютерах под управлением Windows 2000 с пакетом обновления 4 (SP4), Windows XP и Windows Server 2003 средства администрирования Active Directory используют подписывание сообщений протокола LDAP (Lightweight Directory Access Protocol). Если на таких компьютерах используется проверка подлинности NTLM, то они не смогут подключиться к контроллерам домена под управлением Windows 2000 для выполнения задач администрирования. Чтобы устранить указанную проблему, установите на этих контроллерах домена пакет обновления 3 (SP3) для Windows 2000 или более поздней версии или отключите подписывание LDAP на соответствующих клиентских компьютерах. Дополнительные сведения о протоколе LDAP см. в следующих статьях базы знаний Майкрософт: 325465 Для использования средств администрирования Windows 2003 Server на контроллере домена Windows 2000 требуется пакет обновления 3 (SP3) Проверка подлинности NTLM используется в следующих случаях. | • | При администрировании контроллеров домена под управлением Windows 2000, находящихся в отдельном лесу, подключенном с помощью доверительных отношений, использующих NTLM (не использующих Cerberos). | | • | При указании оснастке (консоли MMC) только IP-адреса контроллера домена. Например, если нажать кнопку Пуск, выбрать пункт Выполнить и ввести следующую команду: dsa.msc /server=ip-адрес |
Чтобы определить операционную систему и номер пакета обновления контроллеров домена, необходимо на компьютере под управлением Windows Server 2003 или Windows XP Professional, находящемся в этом же лесу, установить программу Repadmin.exe для Windows Server 2003 и выполнить следующую команду repadmin для контроллера домена в каждом домене леса: >repadmin /showattr Имя_контроллера_требуемого_домена ncobj:domain: /filter:"(&(objectCategory=computer)(primaryGroupID=516))" /subtree /atts:operatingSystem,operatingSystemVersion,
operatingSystemServicePack
DN: CN=NA-DC-01,organizational unit=Domain Controllers,DC=company,DC=com
1> operatingSystem: Windows Server 2003
1> operatingSystemVersion: 5.2 (3718)
DN: CN=NA-DC-02,organizational unit=Domain Controllers,DC=company,DC=com
1> operatingSystem: Windows 2000 Server
1> operatingSystemVersion: 5.0 (2195)
1> operatingSystemServicePack: Service Pack 1 Примечание. В атрибутах контроллеров доменов не отражается установка отдельных исправлений. | | b. | Необходимо проверить прохождение репликации Active Directory во всем лесу.
Следует убедиться, что все контроллеры доменов в обновляемом лесу реплицируют все свои локальные контексты именований в соответствии с расписанием, определенным для сайта или для объектов подключений. На компьютере под управлением Windows XP или Windows Server 2003, не являющемся контроллером домена, необходимо запустить версию средства Repadmin.exe, предназначенную для Windows Server 2003, со следующими параметрами: REPADMIN /REPLSUM /BYSRC /BYDEST /SORT:DELTA <-output formatted to fit on page
DestDC largest delta fails/total %% error
NA-DC-01 13d.21h:10m:10s 97 / 143 67 (8240) There is no such object...
NA-DC-02 13d.04h:11m:07s 180 / 763 23 (8524) The DSA operation...
NA-DC-03 12d.03h:54m:41s 5 / 5 100 (8524) The DSA operation... На всех контроллерах домена в лесу репликация должна завершиться без ошибок, и при отображении результатов работы средства Repadmin значение в столбце Largest Delta не должно значительно превышать частоту репликации, определенную для ссылок на соответствующий сайт или для объектов подключения, используемых указанным контроллером домена.
Устраните ошибки репликации на контроллерах домена, которые не проводили входящую репликацию в течение менее чем TSL (Tombstone Lifetime) дней (по умолчанию — 60 дней). Если контроллеры домена не могут осуществить репликацию Active Directory, необходимо понизить их роль, удалить эти контроллеры из леса из леса, используя команду metadata cleanup средства Ntdsutil, а затем повысить их роль и ввести в лес. Для сохранения операционной системы и приложений, установленных на потерянных контроллерах доменов, можно использовать принудительное понижение роли. Дополнительные сведения об удалении из домена потерянных контроллеров домена под управлением Windows 2000 см. в следующей статье базы знаний Майкрософт: 216498 Удаление данных из Active Directory после неудачного понижения роли контроллера домена Принудительное понижение роли должно использоваться только в качестве крайнего средства, позволяющего сохранить установленную операционную систему и приложения. При этом будут потеряны нереплицированные объекты и атрибуты потерянных контроллеров домена, включая пользователей, компьютеры, доверительные отношения и их пароли, группы и данные о членстве в группах.
Необходимо соблюдать осторожность при устранении ошибок репликации на контроллерах домена, которые не проводили репликацию входящих или исходящих изменений для конкретного раздела Active Directory в течение более чем tombstonelifetime дней, поскольку при этом можно восстановить объекты, удаленные на одном контроллере домена, но еще существующие на других контроллерах домена (если информация об удалении не была реплицирована за последние 60 дней).
Устаревшие объекты, находящиеся на контроллерах домена, которые не выполняли репликацию в течение последних 60 дней, желательно удалить. Вместо этого можно принудительно понизить роль контроллеров домена, которые не выполняли входящую репликацию заданного раздела в течение более чем TSL дней, и удалить их метаданные из Active Directory с помощью программы Ntdsutil или других средств. За помощью обратитесь к организации, осуществляющей поддержку, или в службу технической поддержки Майкрософт. | | c. | Необходимо проверить целостность папки общего доступа Sysvol.
Убедитесь в целостности файлов групповой политики. Для обнаружения нарушений в файлах системной политики в домене может быть использована программа Gpotool.exe из набора Resource Kit. Для определения правильности работы реплики ресурса Sysvol в каждом домене может быть использована программа Healthcheck из набора Windows Server 2003 support tools.
Нарушения, обнаруженные при проверке ресурса Sysvol, необходимо устранить. | | d. | С помощью программы Dcdiag.exe из набора Support Tools необходимо проверить, все ли контроллеры домена имеют общие папки netlogon и sysvol. Для этого выполните следующую команду: DCDIAG.EXE /e /test:frssysvol | | e. | Необходимо проверить распределение ролей.
Хозяин схемы и хозяин инфраструктуры вносят в схему уровня леса и уровня домена изменения, задаваемые командой adprep для Windows Server 2003. Убедитесь в работоспособности всех контроллеров домена, выполняющих роли хозяина схемы и хозяина инфраструктуры, а также в том, что после перезагрузки все хозяева операций выполнили входящую репликацию всех разделов.
Для просмотра ролей в лесу и в домене можно использовать команду DCDIAG /test:FSMOCHECK. Роли хозяев операций, назначенные неработающим контроллерам домена, необходимо присвоить работающим контроллерам домена с помощью программы NTDSUTIL. Роли, которые назначены контроллерам домена, работающим со сбоями, следует перенести не работающие компьютеры. Если это невозможно, необходимо присвоить эти роли работающим компьютерам. Команда NETDOM QUERY FSMO не определяет роли FSMO, назначенные контроллерам домена, если соответствующий контроллер домена удален.
Убедитесь, что хозяин схемы и все хозяева инфраструктуры после последней перезагрузки выполнили входящую репликацию Active Directory. Для этого воспользуйтесь командой REPADMIN /SHOWREPS имя_контроллера_домена, где имя_контроллера_домена — имя NetBIOS или полностью определенное доменное имя контроллера домена.
Дополнительные сведения о хозяевах операций и их размещении см. в следующей статье базы знаний Майкрософт: 197132 Роли FSMO службы Active Directory в Windows 2000 223346 Расположение и оптимизация ролей FSMO на контроллерах домена под управлением Windows 2000 | | f. | Необходимо просмотреть журнал событий
Следует убедиться, что в журналах событий отсутствуют сообщения о проблемах. В журналах событий не должно быть сообщений о серьезных проблемах со следующими процессами и компонентами: физическое подключение;
работа сети;
регистрация имен;
разрешение имен;
проверка подлинности;
групповая политика;
политика безопасности;
дисковая подсистема;
схема;
топология;
система репликации. | | g. | Необходимо проверить объем свободного места на жестком диске
Объем свободного места на томе, содержащем файл базы данных Active Directory (Ntds.dit), должен быть менее 15-20% размера файла Ntds.dit. Объем свободного места на томе, содержащем файл журнала Active Directory, должен быть не менее 15-20% размера файла Ntds.dit. Дополнительные сведения о способах освобождения дискового пространства см. далее в разделе «Отсутствие свободного места на контроллерах домена». | | h. | Очистка DNS (необязательно)
Для всех серверов DNS в лесу следует настроить очистку DNS на запуск раз в 7 дней. Рекомендуется произвести эту операцию за 61 или более дней до обновления операционной системы. Это даст процедуре очистки DNS требуемое время для удаления устаревших объектов DNS при выполнении дефрагментации файла Ntds.dit в автономном режиме. | | i. | Отключение службы сервера DLT (необязательно)
При установке Windows Server 2003 на контроллере домена или обновлении операционной системы контроллера домена до версии Windows Server 2003 служба сервера DLT отключается. Если отслеживание изменившихся связей не используется, можно отключить службу сервера DLT на контроллерах домена Windows 2000 и удалить объекты DLT из всех доменов леса. Дополнительные сведения см. в разделе «Рекомендации Майкрософт в отношении серверной службы DLT для серверов с ОС Windows 2000» следующей статьи базы знаний Майкрософт: 312403 Отслеживание изменившихся связей (Distributed Link Tracking) на контроллерах доменов с ОС Windows | | j. | Архивация состояния системы
Необходимо выполнить архивацию состояния системы как минимум двух контроллеров домена в каждом домене леса. Эти данные могут быть впоследствии использованы для восстановления доменов после неудачной попытки обновления. |
|
<< [Первая] < [Предыдущая] 1 2 3 4 [Следующая] > [Последняя] >>
|
