Режимы работы домена windows

Изменение режима работы домена.

Режимы работы домена

Домен, реализованный в Active Directory Windows Server 2003 может работать в четырех режимах: Windows 2000 Mixed (смешанный режим), Windows 2000 Native (основной режим), Windows Server 2003 Interim (промежуточный Windows Server 2003) и Windows Server 2003. После установки Active Directory всегда работает в смешанном режиме. Переключение в основной режим может потребоваться при необходимости использовать все новые возможности, заложенные в Active Directory.

Смешанный режим Windows 2000

Смешанный режим работы Active Directory позволяет использовать в домене контроллеры не только под управлением Windows Server 2003 / Windows 2000, но и под управлением Windows NT 3.51 или 4.0. В этом режиме контроллер под управлением Windows Server 2003 / Windows 2000 эмулирует главный контроллер домена, а контроллеры под управлением Windows NT являются резервными контроллерами домена. Домен, работающий в смешанном режиме, необходим любому клиенту, использующему службу каталога Windows NT и NTLM для аутентификации. Кроме того, для разрешения имен для таких клиентов на сервере должна быть установлена служба WINS. Выполнение этих функций создает дополнительную нагрузку на сервер Windows Server 2003.

Основной режим Windows 2000

Основной режим работы Active Directory позволяет использовать в домене контроллеры только под управлением Windows Server 2003 и Windows 2000. В этом режиме все контроллеры домена являются равноправными и изменения могут вноситься на любом из них. Для нормального функционирования домена не требуется служба WINS. Домен Windows Server 2003 / Windows 2000 в основном режиме нормально поддерживает работу любых Windows-клиентов (Windows 9x, NT, 2000, XP). Если вы используете в качестве контроллеров домена только серверы Windows Server 2003 и/или Windows 2000, рекомендуется перевести домен в основной режим — это значительно снизит нагрузку на контроллеры домена и добавит много новых возможностей по управлению доменом.

Промежуточный режим Windows Server 2003

Промежуточный режим работы Active Directory позволяет использовать в домене контроллеры под управлением Windows Server 2003 и Windows NT 4.0. В этом режиме, как и в смешанном, контроллер под управлением Windows Server 2003 эмулирует главный контроллер домена, а контроллеры под управлением Windows NT являются резервными контроллерами домена.

Режим Windows Server 2003

Режим работы Windows Server 2003 позволяет использовать в домене только контроллеры только под управлением семейства Windows Server 2003. При повышении режима работы домена до Windows Server 2003, становятся доступны дополнительные возможности Active Directory.

Для переключения режима работы домена щелкните правой кнопкой мышки по имени домена в консоли Active Directory — домены и доверие и в контекстном меню выберите Изменение режима работы домена. В открывшемся окне отображается текущий режим работы домена. В поле со списком Выберите режим работы домена выберите необходимый режим и нажмите кнопку Изменить.

Для окончания операции переключения режима работы домена может потребоваться до 15 минут — все необходимые изменения должны быть реплицированы на все контроллеры домена.

Вы не обязаны переводить все домены в дереве в основной режим: часть доменов может работать в смешанном режиме. Однако наиболее полно возможности Active Directory будут реализованы, только если все домены дерева и леса будут работать в основном режиме.

Операция переключения режима работы домена является необратимой. Нельзя переключить домен в режим более низкого уровня (например, из основного режима в смешанный).

После повышения режима работы домена добавление контроллеров домена, работающих под управлением более ранних операционных систем, невозможно. Например, если повысить режим работы домена до Windows Server 2003, в этот домен нельзя будет добавить контроллеры домена, работающие под управлением Windows 2000 Server.

В следующей таблице описаны функциональные возможности доменов.

Режимы работы домена windows

Как узнать режим работы леса и режим работы домена Active Directory-01

Всем привет сегодня хочу рассказать как узнать режим работы леса и режим работы домена Active Directory. Режимы работы определяют доступные возможности домена или леса доменных служб Active Directory. Они также определяют версии операционных систем Windows Server, которые можно использовать на контроллерах домена в домене или в лесу. Но режимы работы не влияют на то, какие операционные системы могут использоваться на рабочих станциях и рядовых серверах, присоединенных к домену или лесу. При развертывании доменных служб Active Directory установите высшие режимы работы домена и леса, которые поддерживаются в используемой среде. Это позволит пользоваться максимальным количеством возможностей доменных служб службы Active Directory. Какие именно возможности это дает мы рассмотрим в следующих статьях.

Для того чтобы нам посмотреть нужную нам информацию есть два способа графический и через powershell, мы рассмотрим оба.

Как узнать режим работы домена Active Directory через оснастку ADUC

Открываем оснастку пользователи и компьютеры, делается это через Пуск-Администрирование или ввод в меню Выполнить команды dsa.mac

Как узнать режим работы леса и режим работы домена Active Directory-02

Щелкаем правым кликом по вашему домену и выбираем Повысить режим работы домена

Как узнать режим работы леса и режим работы домена Active Directory-03

И видим что текущий режим Windows Server 2008 R2.

Как узнать режим работы леса и режим работы домена Active Directory-04

Как узнать режим работы леса и режим работы домена Active Directory через оснастку домены и доверие

Открываем оснастку домены и доверие через меню пуск-Администрирование, либо в меню выполнить введите domain.msc.

Как узнать режим работы леса и режим работы домена Active Directory-05

Щелкаем правым кликом по Active Directory — домены и доверие и из контекстного меню выбираем Изменить режим работы леса

Как узнать режим работы леса и режим работы домена Active Directory-06

и видим что лес работает в режиме Windows Server 2008 R2.

Как узнать режим работы леса и режим работы домена Active Directory-07

Если щелкнуть правым кликом там же но по домену и выбрать изменение режима работы домена, то вы так же увидите в каком режиме работает ваш домен.

Как узнать режим работы леса и режим работы домена Active Directory-08

Как узнать режим работы леса и режим работы домена Active Directory через powershell

Для этого дела у Microsoft естественно есть свои командлеты. Для начала давайте откроем powershell от имени администратор через правый кликом и посмотрим список доступных модулей powershell с помощью команды

Если среди них нет модуля Active Directory то он устанавливается командой

И загружаем модуль Active Directory с помощью команды

Как узнать режим работы леса и режим работы домена Active Directory-09

Для вывода информации по домену мы вводим команду, и в поле DomainMode видим что это уровень Windows Server 2008 R2.

Как узнать режим работы леса и режим работы домена Active Directory-10

Для вывода информации по лесу мы вводим команду. и в поле ForestMode видим что это уровень Windows Server 2008 R2.

Как узнать режим работы леса и режим работы домена Active Directory-11

Вот так вот просто узнать режим работы леса и режим работы домена Active Directory через оснастки и командную строку.

Повышение уровней функциональных функций домена Active Directory и леса

В этой статье описывается, как повысить уровень функциональных функций домена Active Directory и леса.

Оригинальная версия продукта: Windows Server 2003
Исходный номер КБ: 322692

Аннотация

Сведения о Windows Server 2016 и новых функций в службе доменных служб Active Directory (AD DS) см. в новой версии служб домена Active Directory для Windows Server 2016.

В этой статье обсуждается повышение уровней функциональных функций домена и леса, поддерживаемых контроллерами домена Microsoft Windows Server 2003 или более новыми. Существует четыре выпуска Active Directory, и только уровни, которые изменились с Windows NT Server 4.0, требуют особого внимания. Поэтому другие изменения уровня упоминаются с помощью более новых, текущих или более старых версий операционной системы контроллера домена, домена или уровня функциональных лесов.

Функциональные уровни — это расширение смешанного режима и концепций родного режима, которые были введены в Microsoft Windows 2000 Server для активации новых функций Active Directory. Некоторые дополнительные функции Active Directory доступны, когда все контроллеры домена запускают новую версию Windows Server в домене или лесу, а также когда администратор активирует соответствующий функциональный уровень в домене или в лесу.

Чтобы активировать новые функции домена, все контроллеры домена должны запускать новую версию операционной системы Windows Server в домене. Если это требование будет выполнены, администратор может повысить функциональный уровень домена.

Чтобы активировать самые новые функции в лесу, все контроллеры домена в лесу должны запускать версию операционной системы Windows Server, соответствующую нужному уровню функциональных лесов. Кроме того, текущий функциональный уровень домена уже должен быть на самом новом уровне. Если эти требования будут выполнены, администратор может повысить функциональный уровень леса.

Как правило, изменения функциональных уровней домена и леса необратимы. Если изменение можно отменить, необходимо использовать восстановление леса. С помощью Windows Server 2008 R2 операционной системы изменения функциональных уровней домена и уровней функциональных лесов можно откатить назад. Однако откат может выполняться только в определенных сценариях, описанных в статье Technet о функциональных уровнях Active Directory.

Новые функциональные уровни домена и новые уровни функциональных лесов влияют только на то, как контроллеры домена работают вместе как группа. Клиенты, взаимодействующие с доменом или лесом, не имеют отношения к ним. Кроме того, на приложения не влияет изменение функциональных уровней домена или уровней функциональных лесов. Однако приложения могут использовать самые новые функции домена и новые функции леса.

Дополнительные сведения можно получить в статье TechNet о функциях, связанных с различными функциональными уровнями.

Повышение функционального уровня

Не повышать функциональный уровень, если в домене есть или будет контроллер домена более ранней версии, чем в этой версии. Например, для функционального уровня Windows Server 2008 требуется, чтобы все контроллеры домена установили Windows Server 2008 или более поздней операционной системы в домене или в лесу. После того как функциональный уровень домена будет поднят на более высокий уровень, его можно изменить только на более старый уровень с помощью восстановления леса. Это ограничение существует из-за того, что функции часто изменяют связь между контроллерами домена или из-за того, что функции изменяют хранение данных Active Directory в базе данных.

Наиболее распространенным методом для обеспечения функциональных уровней домена и леса является использование средств администрирования графического пользовательского интерфейса (GUI), которые описаны в статье TechNet о функциональных уровнях Windows Server 2003 Active Directory. В этой статье обсуждается Windows Server 2003. Однако в более новых версиях операционной системы действия одинаковы. Кроме того, функциональный уровень можно настроить вручную или настроить с помощью Windows PowerShell скриптов. Дополнительные сведения о настройке функционального уровня вручную см. в разделе «Просмотр и настройка функционального уровня».

Дополнительные сведения о том, как использовать Windows PowerShell для настройки функционального уровня, просмотр raise the Forest Functional Level.

Просмотр и настройка функционального уровня вручную

Средства протокола доступа к легкому каталогу (LDAP), такие как Ldp.exe и Adsiedit.msc, можно использовать для просмотра и изменения текущих параметров функционального уровня домена и леса. При изменении атрибутов функционального уровня вручную лучше всего вносить изменения в атрибуты контроллера единой единой системы управления (FSMO), который обычно ориентирован на административные средства Майкрософт.

Параметры функционального уровня домена

Атрибут msDS-Behavior-Version находится в главе контекста имен (NC) для домена, то есть DC=corp, DC=contoso, DC=com.

Для этого атрибута можно установить следующие значения:

• Значение домена 0 или не set=mixed level
• Значение уровня домена 1=Windows Server 2003
• Значение уровня домена 2=Windows Server 2003
• Значение уровня домена 3=Windows Server 2008
• Значение уровня 4=Windows Server 2008 R2 домена

Параметры смешанного режима и родного режима

Атрибут ntMixedDomain находится в главе контекста имен (NC) для домена, то есть DC=corp, DC=contoso, DC=com.

Для этого атрибута можно установить следующие значения:

• Значение домена уровня 0=Native
• Значение домена 1=Смешанный уровень

Параметр уровня леса

Атрибут msDS-Behavior-Version находится на объекте CN=Partitions в контексте имен конфигурации (NC), то есть CN=Partitions, CN=Configuration, DC= ForestRootDomain.

Для этого атрибута можно установить следующие значения:

Значение 0 или не set=mixed level forest

Значение промежуточного лесного уровня 1=Windows Server 2003

Значение уровня леса 2=Windows Server 2003

При увеличении атрибута msDS-Behavior-Version со значения 0 до значения 1 с помощьюAdsiedit.msc вы получите следующее сообщение об ошибке:
Незаконная операция изменения. Некоторые аспекты изменения не разрешены.

Значение уровня домена 3=Windows Server 2008

Значение уровня 4=Windows Server 2008 R2 домена

После использования средств протокола доступа к облегченным каталогам (LDAP) для изменения функционального уровня нажмите кнопку ОК, чтобы продолжить. Атрибуты на контейнере разделов и на голове домена правильно увеличены. Если сообщение об ошибке сообщается Ldp.exe файлом, вы можете смело игнорировать сообщение об ошибке. Чтобы убедиться, что повышение уровня было успешным, обновите список атрибутов и проверьте текущий параметр. Это сообщение об ошибке может также возникать после выполнения повышения уровня для авторитетного FSMO, если изменение еще не реплицируется в локальный контроллер домена.

Быстро просмотреть текущие параметры с помощью Ldp.exe файла

1. Запустите Ldp.exe файл.
2. В меню Подключения нажмите кнопку Подключение.
3. Укажите контроллер домена, который необходимо запрашивать, или оставьте пробел для подключения к любому контроллеру домена.

После подключения к контроллеру домена появляется информация RootDSE для контроллера домена. Эти сведения включают сведения о лесных, доменных и доменных контроллерах. Ниже приводится пример контроллера домена На основе Windows Server 2003. В следующем примере предположим, что режим домена — Windows Server 2003, а режим леса — Windows 2000 Server.

Функциональность контроллера домена представляет максимально возможный функциональный уровень для этого контроллера домена.

• 1> DomainFunctionality: 2=(DS_BEHAVIOR_WIN2003)
• 1> Functionality: 0=(DS_BEHAVIOR_WIN2000)
• 1> DomainControllerFunctionality: 2=(DS_BEHAVIOR_WIN2003)

Требования при вручную изменении функционального уровня

Перед повышением уровня домена необходимо изменить режим домена на родной, если одно из следующих условий верно:

• Функциональный уровень домена программным образом повышается до второго функционального уровня путем непосредственного изменения значения атрибута msdsBehaviorVersion на объекте domainDNS.
• Функциональный уровень домена повышается до второго функционального уровня с помощью Ldp.exe или утилиты Adsiedit.msc.

Если вы не измените режим домена на родной, прежде чем поднять уровень домена, операция не будет выполнена успешно, и вы получите следующие сообщения об ошибках:

Кроме того, следующее сообщение входит в журнал служб каталогов:

В этом сценарии можно изменить режим домена на родной с помощью привязки пользователей Active Directory & Computers с помощью оснастки доменов Active Directory & Trusts UI MMC или программным путем изменения значения атрибута ntMixedDomain на 0 на объекте domainDNS. Когда этот процесс используется для повышения функционального уровня домена до 2 (Windows Server 2003), режим домена автоматически меняется на родной режим.

Переход от смешанного режима к родному меняет область действия группы безопасности администраторов схемы и группы безопасности корпоративных администраторов на универсальные группы. Когда эти группы были изменены на универсальные группы, в журнале System регистрируется следующее сообщение:

Когда административные средства Windows Server 2003 используются для вызова функционального уровня домена, в правильном порядке изменены атрибут ntmixedmode и атрибут msdsBehaviorVersion. Однако это происходит не всегда. В следующем сценарии для родного режима неявно устанавливается значение 0 без изменения области для группы безопасности администраторов схемы и группы безопасности корпоративных администраторов на универсальную:

• Атрибут msdsBehaviorVersion, который управляет функциональным режимом домена, вручную или программным образом задан для значения 2.
• Функциональный уровень леса установлен в 2 с помощью любого метода. В этом сценарии контроллеры домена блокируют переход на функциональный уровень леса до тех пор, пока все домены, которые находятся в локальной сети области, не будут настроены в локальном режиме и не будут сделаны необходимые изменения атрибутов в областях группы безопасности.

Функциональные уровни, соответствующие Windows 2000 Server

Windows 2000 Server поддерживает только смешанный режим и родной режим. Кроме того, он применяет эти режимы только к функциям домена. В следующих разделах перечисляются режимы домена Windows Server 2003, так как эти режимы влияют на обновление доменов 4.0 и Windows 2000 Server Windows NT 4.0 и Windows 2000 Server.

При повышении уровня операционной системы контроллера домена существует множество соображений. Эти факторы обусловлены ограничениями хранения и репликации связанных атрибутов в режимах Windows 2000 Server.

Смешанный windows 2000 Server (по умолчанию)

• Поддерживаемые контроллеры домена: Microsoft Windows NT 4.0, Windows 2000 Server, Windows Server 2003
• Активированные функции: локальные и глобальные группы, поддержка глобального каталога

Родной Windows 2000 Server

• Поддерживаемые контроллеры домена: Windows 2000 Server, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2
• Активированные функции: групповое вложение, универсальные группы, история Sid, преобразование групп между группами безопасности и группами рассылки, можно повысить уровень домена, увеличив параметры уровня леса.

Промежуточный windows Server 2003

• Поддерживаемые контроллеры домена: Windows NT 4.0, Windows Server 2003
• Поддерживаемые функции. На этом уровне не активируются функции для всего домена. Все домены в лесу автоматически поднимаются до этого уровня, когда уровень леса увеличивается до промежуточного. Этот режим используется только при обновлении контроллеров домена в Windows NT 4.0 до контроллеров домена Windows Server 2003.

Windows Server 2003

• Поддерживаемые контроллеры домена: Windows Server 2003, Windows Server 2008, Windows Server 2008 R2
• Поддерживаемые функции: доменный контроллер переименовывать, атрибут timestamp логотипа обновляется и реплицируется. Поддержка паролей пользователей в объекте InetOrgPerson. Ограниченное делегирования можно перенаправить контейнеры «Пользователи и компьютеры».

Домены, обновленные с Windows NT 4.0 или созданные в результате продвижения компьютера на базе Windows Server 2003, работают на смешанном функциональном уровне Windows 2000. Домены Windows 2000 Server поддерживают текущий функциональный уровень домена при обновлении контроллеров домена Windows 2000 Server до операционной системы Windows Server 2003. Можно повысить функциональный уровень домена до родного Windows 2000 Server или Windows Server 2003.

Промежуточный уровень — обновление Windows NT домена 4.0

Windows Server 2003 Active Directory разрешает специальный уровень функциональных функций леса и домена, который называется Промежуточный Windows Server 2003. Этот функциональный уровень предоставляется для обновления существующих доменов Windows NT 4.0, в которых один или несколько контроллеров домена 4.0 4. Windows NT 0 должны функционировать после обновления. Контроллеры домена Windows 2000 Server не поддерживаются в этом режиме. Промежуточный вариант Windows Server 2003 применяется к следующим сценариям:

• Обновление домена с Windows NT 4.0 до Windows Server 2003.
• Windows NT 4.0 BDCs не обновляются немедленно.
• Windows NT 4.0 доменов, содержащих группы с более чем 5000 членами (за исключением группы пользователей домена).
• В лесу в любое время не планируется внедрять контроллеры домена Windows Server2000.

Промежуточный windows Server 2003 обеспечивает два важных улучшения, разрешая репликацию Windows NT 4.0 BDCs:

1. Эффективная репликация групп безопасности и поддержка более 5000 участников в группе.
2. Улучшенные алгоритмы генератора топологии между сайтами KCC.

Из-за эффективности репликации групп, активированной на промежуточном уровне, промежуточный уровень является рекомендуемой для всех обновлений Windows NT 4.0. Дополнительные сведения см. в разделе «Лучшие практики» этой статьи.

Настройка промежуточного уровня функциональных лесов Windows Server 2003

Промежуточный сервер Windows Server 2003 может быть активирован тремя различными способами. Рекомендуется использовать первые два метода. Это связано с тем, что группы безопасности используют репликацию связанных значений (LVR) после обновления основного контроллера домена Windows NT 4.0 домена (PDC) до контроллера домена Windows Server 2003. Третий вариант менее рекомендуется, так как членство в группах безопасности использует один атрибут с несколькими значениями, что может привести к проблемам репликации. Способы активации промежуточных операций Windows Server 2003:

Во время обновления.

Этот параметр представлен в мастере установки Dcpromo при обновлении PDC домена Windows NT 4.0, который служит первым контроллером домена в корневом домене нового леса.

Перед обновлением Windows NT 4.0 PDC Windows NT 4.0 в качестве первого контроллера домена нового домена в существующем лесу, вручную настроив функциональный уровень леса с помощью средств облегченного протокола доступа к каталогам (LDAP).

Детские домены наследуют параметры функциональных возможностей для всей области леса из леса, в который они продвигаются. Обновление PDC домена Windows NT 4.0 в качестве детского домена в существующем лесу Windows Server 2003, где временные функциональные уровни леса были настроены с помощью файла Ldp.exe или файла Adsiedit.msc, позволяет группам безопасности использовать связанную репликацию значений после обновления версии операционной системы.

После обновления с помощью средств LDAP.

Используйте два последних варианта при подступах к существующему лесу Windows Server 2003 во время обновления. Это распространенный сценарий, когда домен «пустой корневой» находится в положении. Обновленный домен присоединяется как ребенок пустого корневого и наследует параметр домена из леса.

Рекомендации

В следующем разделе обсуждаются наилучшие методы повышения функциональных уровней. Раздел разбивается на две части. В «Задачах подготовки» обсуждаются работы, которые необходимо выполнять перед увеличением, а «Оптимальное увеличение путей» обсуждаются мотивы и методы для различных сценариев повышения уровня.

Чтобы узнать Windows NT контроллеры домена 4.0, выполните следующие действия:

С любого контроллера домена Windows Server 2003 откройте active Directory Users and Computers.

Если контроллер домена еще не подключен к соответствующему домену, выполните следующие действия, чтобы подключиться к соответствующему домену:

1. Щелкните правой кнопкой мыши текущий объект домена и нажмите кнопку Подключиться к домену.
2. В диалоговом окне Домен введите имя DNS домена, к который необходимо подключиться, и нажмите кнопку ОК. Или нажмите кнопку Просмотр, чтобы выбрать домен из дерева домена, а затем нажмите кнопку ОК.

Щелкните правой кнопкой мыши объект домена и нажмите кнопку Найти.

В диалоговом окне Найти щелкните Настраиваемый поиск.

Щелкните домен, для которого необходимо изменить функциональный уровень.

Откройте вкладку Дополнительно.

В поле запроса Ввод LDAP введите следующие и не оставляйте пробелы между символами: (&(objectCategory=computer)(operatingSystem * Version=4)(userAccountControl:1.2.840.113556.1.4.803:=8192))

Этот запрос не является конфиденциальным.

Нажмите кнопку Найти.

Список компьютеров в домене, которые работают Windows NT 4.0 и функционируют в качестве контроллеров домена.

Контроллер домена может отображаться в списке по следующим причинам:

• Контроллер домена работает Windows NT 4.0 и должен быть обновлен.
• Контроллер домена обновляется до Windows Server 2003, но изменение не реплицируется в целевой контроллер домена.
• Контроллер домена больше не находится в службе, но объект компьютера контроллера домена не удаляется из домена.

Прежде чем изменить функциональный уровень домена на Windows Server 2003, необходимо физически найти любой контроллер домена в списке, определить текущее состояние контроллера домена, а затем обновить или удалить контроллер домена по мере необходимости.

В отличие от контроллеров домена Windows Server 2000 Windows NT контроллеры домена 4.0 не блокируют повышение уровня. При изменении функционального уровня домена репликация на контроллеры Windows NT домена 4.0 прекратится. Однако при попытке повысить уровень леса Windows Server 2003 с доменами в Windows Server 2000 смешанный уровень блокируется. Отсутствие Windows NT 4.0 BDCs подразумевается в связи с требованием лесного уровня для всех доменов на уровне Windows Server 2000 или более поздней версии.

Пример: задачи подготовки перед повышением уровня

В этом примере среда повышается из смешанного режима Windows Server 2000 в лесной режим Windows Server 2003.

Инвентаризация леса для более ранних версий контроллеров домена.

Если точный список сервера недодоступн, выполните следующие действия:

1. Чтобы обнаружить домены смешанного уровня, контроллеры доменов Windows Server 2000 или контроллеры доменов с поврежденными или отсутствуют объектами, используйте домены Active Directory и оснастку MMC Trusts.
2. В оснастке щелкните Raise Forest Functionality и нажмите кнопку Сохранить Как создать подробный отчет.
3. Если проблем не обнаружено, параметр для повышения уровня леса Windows Server 2003 доступен из выпадаемого списка «Доступные функциональные уровни леса». При попытке повысить лесной уровень объекты контроллера домена в контейнерах конфигурации ищут контроллеры домена, которые не имеют набора msds-behaviour-version до нужного целевого уровня. Предполагается, что это либо контроллеры домена Windows Server 2000, либо более новые поврежденные объекты контроллера домена Windows Server.
4. Если были найдены контроллеры домена более ранних версий или контроллеры домена, которые повредили или пропустили компьютерные объекты, они включаются в отчет. Состояние этих контроллеров домена должно быть исследовано, а представление контроллера домена в Active Directory должно быть восстановлено или удалено с помощью файла Ntdsutil.

Дополнительные сведения можно получить по следующему номеру статьи, чтобы просмотреть статью в базе знаний Майкрософт:
216498 Удаление данных в активном каталоге после неудачного понижения контроллера домена

Убедитесь, что репликация «Конец и конец» работает в лесу

Чтобы убедиться, что репликация End to End работает в лесу, используйте Windows Server 2003 или более новую версию Repadmin для контроллеров домена Windows Server 2000 или Windows Server 2003:

Repadmin/Replsum * /Sort:Delta[/Errorsonly] для начального инвентаризации.

Repadmin/Showrepl * /CSV>showrepl.csv . Импортировать в Excel, а затем использовать автофильм data->для определения функций репликации.

Используйте средства репликации, такие как Repadmin, чтобы убедиться, что репликация в лесу работает правильно.

Проверка совместимости всех программ или служб с новыми контроллерами домена Windows Server и с более высоким доменом Windows Server и режимом леса. Используйте лабораторную среду для тщательного тестирования производственных программ и служб на проблемы с совместимостью. Свяжитесь с поставщиками для подтверждения возможности.

Подготовка плана back-out, который включает одно из следующих действий:

• Отключите по крайней мере два контроллера домена от каждого домена в лесу.
• Создайте резервное копирование состояния системы по крайней мере из двух контроллеров домена из каждого домена в лесу.

Перед тем, как использовать план обратного вывода, все контроллеры домена в лесу должны быть списы до процесса восстановления.

Невозможно достоверно восстановить повышение уровня. Это означает, что все контроллеры домена, которые реплицировали повышение уровня, должны быть списаны.

После вывода из эксплуатации всех предыдущих контроллеров домена восстановите отключенные контроллеры домена или восстановите контроллеры домена из резервного копирования. Удалите метаданные из всех других контроллеров домена и перезахотроите их. Это сложный процесс, и его следует избегать.

Пример. Как получить от смешанного уровня Windows Server 2000 до лесного уровня Windows Server 2003

Увеличение всех доменов до уровня Windows Server 2000. После завершения этой работы необходимо повысить функциональный уровень корневого домена леса до уровня леса Windows Server 2003. Когда лесной уровень реплицируется в PDCs для каждого домена в лесу, уровень домена автоматически увеличивается до уровня домена Windows Server 2003. Этот метод имеет следующие преимущества:

• Повышение уровня в лесу выполняется только один раз. Не нужно вручную увеличивать каждый домен в лесу до функционального уровня домена Windows Server 2003.
• Перед повышением уровня выполняется проверка контроллеров домена Windows Server 2000 (см. этапы подготовки). Увеличение блокируется до удаления или обновления контроллеров проблемных доменов. Подробный отчет может быть создан путем перечисления блокирующих контроллеров домена и предоставления действий данных.
• Выполняется проверка доменов в смешанном или промежуточном уровне Windows Server 2003. Увеличение блокируется до тех пор, пока уровни домена не будут увеличены по крайней мере до родного Windows Server 2000. Промежуточные домены уровня должны быть увеличены до уровня домена Windows Server 2003. Подробный отчет может быть создан путем перечисления заблокированных доменов.

Windows NT обновления 4.0

Windows NT обновления 4.0 всегда используют промежуточный уровень при обновлении PDC, если контроллеры домена Windows Server 2000 не будут введены в лес, в который обновляется PDC. При использовании промежуточного режима при обновлении PDC существующие крупные группы используют репликацию LVR немедленно, избегая потенциальных проблем репликации, которые обсуждаются ранее в этой статье. Используйте один из следующих методов, чтобы перейти на промежуточный уровень во время обновления:

• Выберите промежуточный уровень во время dcpromo. Этот параметр представлен только при обновлении PDC в новый лес.
• Установите промежуточный уровень леса в существующем лесу, а затем присоединитесь к лесу во время обновления PDC. Обновленный домен наследует параметр леса.
• После того как Windows NT 4.0 BDCs будут обновлены или удалены, каждый домен необходимо перейти на лесной уровень и можно перейти в лесной режим Windows Server 2003.

Не следует использовать промежуточный режим, если планируется реализовать контроллеры домена Windows Server 2000 после обновления или в любое время в будущем.

Особое внимание для больших групп Windows NT 4.0

В зрелых Windows NT 4.0 могут существовать группы безопасности, которые содержат более 5000 членов. В Windows NT 4.0 при изменении члена группы безопасности только одно изменение членства реплицируется в контроллеры домена резервного копирования. В Windows Server 2000 членство в группах — это связанные атрибуты, хранимые в одном многомерном атрибуте объекта группы. При одном изменении членства группы вся группа реплицируется как единое целое. Так как членство в группе реплицируется как единое целое, существует вероятность «потери» обновлений для членства в группе при одновременном добавлении или удалении разных членов в разных контроллерах домена. Кроме того, размер этого объекта может быть больше буфера, используемого для фиксации входа в базу данных. Дополнительные сведения см. в разделе «Проблемы магазина версий с большими группами» этой статьи. По этим причинам рекомендуемое ограничение для участников группы — 5000.

Исключением из правила 5000 членов является основная группа (по умолчанию это группа «Пользователи домена»). Основная группа использует «вычислительный» механизм на основе «primarygroupID» пользователя для определения членства. Основная группа не хранит членов в качестве многомерных связанных атрибутов. Если основная группа пользователя изменена на настраиваемую группу, их членство в группе пользователей домена записывается в связанный атрибут для группы и больше не вычисляется. Новая основная группа Rid написана на «primarygroupID», и пользователь удаляется из атрибута участника группы.

Если администратор не выбирает промежуточный уровень для домена обновления, необходимо выполнять следующие действия перед обновлением:

1. Инвентаризация всех больших групп и определение любых групп более 5000, за исключением группы пользователей домена.
2. Все группы с более чем 5000 участниками должны быть разбиты на группы меньше, чем 5000.
3. Найдите все списки управления доступом, в которых были введены большие группы, и добавьте небольшие группы, созданные на этапе 2.Windows Server 2003 промежуточного уровня леса, что освобождает администраторов от необходимости обнаружения и перераспределения глобальных групп безопасности с более чем 5000 участниками.

Проблемы с хранилищем версий с большими группами

Во время длительных операций, таких как глубокий поиск или фиксация одного большого атрибута, Active Directory должен убедиться, что состояние базы данных статично до завершения операции. Пример глубокого поиска или фиксации больших атрибутов — это большая группа, использующая устаревшее хранилище.

Так как обновления базы данных постоянно происходят локально и от партнеров репликации, Active Directory обеспечивает статичное состояние, в очереди за всеми входящие изменения до завершения длительной операции. Как только операция будет завершена, в базу данных будут применены очередные изменения.

Расположение хранилища для этих изменений в очереди называется «хранилищем версий» и составляет примерно 100 мегабайт. Размер магазина версий зависит от физической памяти. Если продолжителенная операция не завершится до завершения магазина версий, контроллер домена прекратит прием обновлений до тех пор, пока не будут завершены длительные операции и в очереди будут внесены изменения. Группы, достигающие большого числа (более 5000 участников), ставят контроллер домена под угрозу исчерпания магазина версий до тех пор, пока будет совершена большая группа.

Windows Server 2003 представляет новый механизм репликации связанных многомерных атрибутов, который называется репликацией значения ссылок (LVR). Вместо репликации всей группы в одной операции репликации LVR решает эту проблему путем репликации каждого члена группы в качестве отдельной операции репликации. LVR становится доступным, когда функциональный уровень леса повышается до промежуточного лесного уровня Windows Server 2003 или лесного уровня Windows Server 2003. На этом функциональном уровне LVR используется для репликации групп среди контроллеров домена Windows Server 2003.