Команда adprep/forestprep не выполняется

Всем доброго времени суток!
Подскажите в чём причина ошибки при выполнении команды adprep\forestprep.Занялся вот переносом ролей с 2003 на 2008 R2 сервер и тут то всё встало.

C:\Documents and Settings\administrator.RTV.008>adprep/forestprep
Adprep was unable to copy file C:\WINDOWS\schema.in_ from installation point to
local machine under directory C:\WINDOWS.
[User Action]
Check the log file Adprep.log in the system root System32\Debug\Adprep\Logs dire
ctory for more information.

Adprep encountered a Win32 error.
Error code: 0x2 Error message: Не удается найти указанный файл..

Adprep was unable to copy setup files from installation point to local machine.
[Status/Consequence]
Adprep has stopped without making changes.
[User Action]
Make sure you run adprep.exe under the directory that contains the following fil
es: schema.ini, sch*.ldf, dcpromo.cs_ and 409.cs_. The recommended way is runnin
g adprep.exe from installation media, such as CD-ROM or network share. Check the
log file Adprep.log in the system root System32\Debug\Adprep\Logs directory for
more information.

Adprep encountered a Win32 error.
Error code: 0x2 Error message: Не удается найти указанный файл..

Ошибка adprep /domainprep
Здраствуйте. Прошу помощи,готовлю лес к расширению и добавлению второго dc на 2008 r2. adprep32.

Добавление третьего домен-контроллера на Windows 2003. Ошибка Adprep
Приветствую вас, уважаемые форумчане. Позвольте попросить у вас помощи начинающему сисадмину. Есть.

Не выполняется команда -ping, -t
Доброй ночи ! не могу выполнить трассировку и пропинговать сеть чтобы выявить потерю пакетов, если.

Не выполняется команда ssh2_exec()
Есть скрипт, с помощью которого я подключаюсь к коммутатору D-link 3028 и хочу произвести команду .

Обновление контроллеров домена Windows 2000 до Windows Server 2003

В этой статье обсуждается обновление контроллеров домена Microsoft Windows 2000 до Windows Server 2003 и добавление новых контроллеров домена Windows Server 2003 в домены Windows 2000.

Исходная версия продукта: Windows Server 2012 R2
Исходный номер КБ: 325379

Аннотация

В этой статье обсуждается обновление контроллеров домена Microsoft Windows 2000 до Windows Server 2003 и добавление новых контроллеров домена Windows Server 2003 в домены Windows 2000. Дополнительные сведения об обновлении контроллеров домена до Windows Server 2008 или Windows Server 2008 R2 можно найти на следующем веб-сайте Майкрософт:

Инвентаризация доменов и лесов

Перед обновлением контроллеров домена Windows 2000 до Windows Server 2003 или перед добавлением новых контроллеров домена Windows Server 2003 в домен Windows 2000 выполните следующие действия.

Инвентаризация клиентов, которые имеют доступ к ресурсам в домене, в котором имеются контроллеры домена Windows Server 2003, для обеспечения совместимости с подписываемой подписью SMB:

Каждый контроллер домена Windows Server 2003 позволяет SMB подписываться в локальной политике безопасности. Убедитесь, что все сетевые клиенты, которые используют протокол SMB/CIFS для доступа к общим файлам и принтерам в доменах с контроллерами домена Windows Server 2003, могут быть настроены или обновлены для поддержки подписи SMB. Если это не так, временно отключать подпись SMB до установки обновлений или до тех пор, пока клиенты не смогут обновиться до более новых операционных систем, которые поддерживают подпись SMB. Сведения о том, как отключить подпись SMB, см. в разделе «Отключение подписи SMB» в конце этого шага.

В следующем списке показаны планы действий для популярных клиентов SMB:

Microsoft Windows Server 2003, Microsoft Windows XP Professional, Microsoft Windows 2000 Server, Microsoft Windows 2000 Professional и Microsoft Windows 98

Не требуется выполнять никаких действий.

Microsoft Windows NT 4.0 Install Пакет обновления 3 or later (рекомендуется Пакет обновления 6A) на всех компьютерах на основе Windows NT 4.0, которые имеют доступ к доменам, которые содержат компьютеры на основе Windows Server 2003. Вместо этого временно отключать подпись SMB на контроллерах домена Windows Server 2003. Сведения о том, как отключить подпись SMB, см. в разделе «Отключение подписи SMB» в конце этого шага.

Microsoft Windows 95

Установите клиент службы каталогов Windows 9 x на компьютерах под управлением Windows 95 или временно отключите подпись SMB на контроллерах домена Windows Server 2003. Исходный клиент службы каталогов Win9 x доступен на компакт-диске Windows 2000 Server. Однако эта клиентская надстройка заменена улучшенным клиентом службы каталогов Win9 x. Сведения о том, как отключить подпись SMB, см. в разделе «Отключение подписи SMB» в конце этого шага.

Сетевой клиент Microsoft для клиентов MS-DOS и Microsoft LAN Manager

Для предоставления доступа к сетевым ресурсам можно использовать сетевой клиент Microsoft Network Client для MS-DOS и сетевой клиент Microsoft LAN Manager 2.x или их можно объединить с загрузочный дискет для копирования файлов операционной системы и других файлов из общего каталога на файловом сервере в рамках программы установки программного обеспечения. Эти клиенты не поддерживают подписи SMB. Использование альтернативного метода установки или отключение подписи SMB. Сведения о том, как отключить подпись SMB, см. в разделе «Отключение подписи SMB» в конце этого шага.

Некоторые клиенты Macintosh не совместимы с подписи SMB и получат следующее сообщение об ошибке при попытке подключения к сетевому ресурсу:

Установите обновленное программное обеспечение, если оно доступно. В противном случае отключать подпись SMB на контроллерах домена Windows Server 2003. Сведения о том, как отключить подпись SMB, см. в разделе «Отключение подписи SMB» в конце этого шага.

Другие сторонние клиенты SMB

Некоторые сторонние клиенты SMB не поддерживают подписи SMB. Обратитесь к поставщику SMB, чтобы узнать, существует ли обновленная версия. В противном случае отключать подпись SMB на контроллерах домена Windows Server 2003.

Отключение подписи SMB

Если обновления программного обеспечения не могут быть установлены на затронутых контроллерах домена под управлением Windows 95, Windows NT 4.0 или других клиентах, установленных до внедрения Windows Server 2003, временно отключать требования подписи служб SMB в групповой политике, пока вы не сможете развернуть обновленное клиентские программное обеспечение.

Вы можете отключить подпись службы SMB в следующем узле политики контроллеров домена по умолчанию в подразделении контроллеров домена: Параметры безопасности параметров безопасности конфигурации компьютера Для локальных политик безопасности \ \ Microsoft Network \ \ \ Server:

Цифровая подпись (всегда)

Если контроллеры домена не находятся в подразделении контроллера домена, необходимо связать объект групповой политики контроллера домена по умолчанию со всеми подразделениями, в которых размещены контроллеры домена Windows 2000 или Windows Server 2003. Также можно настроить вход службы SMB в GPO, связанном с этими подразделениями.

Инвентаризация контроллеров домена, которые находятся в домене и лесу:

Убедитесь, что все контроллеры домена Windows 2000 в лесу установили все соответствующие обновления и пакеты обновления.

Корпорация Майкрософт рекомендует всем контроллерам домена Windows 2000 запускать операционные системы Windows 2000 Пакет обновления 4 (SP4) или более поздней версии. Если вы не можете полностью развернуть Windows 2000 SP4 или более поздней версии, все контроллеры домена Windows 2000 должны иметь файл Ntdsa.dll, дата и версия которого позже 4 июня 2001 г. и 5.0.2195.3673.

По умолчанию средства администрирования Active Directory на клиентских компьютерах с Windows 2000 с пакетом обновления 4 (SP4), Windows XP и Windows Server 2003 используют подпись протокола LDAP. Если такие компьютеры используют (или снова используют) проверку подлинности NTLM при удаленном администрировании контроллеров домена Windows 2000, подключение не будет работать. Чтобы устранить эту проблему, на удаленно управляемых контроллерах домена должно быть установлено не менее Windows 2000 с sp3. В противном случае следует отключить подпись LDAP на клиентах, на которые работают средства администрирования.

В следующих сценариях используется проверка подлинности NTLM:

• Вы администрировать контроллеры домена Windows 2000, расположенные во внешнем лесу, связанном с доверием NTLM (не Kerberos).
• Оснастки консоли управления (MMC) фокусируется на определенном контроллере домена, на который ссылается ЕГО IP-адрес. Например, вы нажмете кнопку «Начните», нажмите кнопку «Выполнить» и введите следующую команду: dsa.msc /server=ipaddress

Чтобы определить уровень версий операционной системы и пакета обновления контроллеров домена Active Directory в домене Active Directory, установите версию Windows Server 2003 Repadmin.exe на компьютере участника Windows XP Professional или Windows Server 2003 в лесу, а затем запустите следующую команду для контроллера домена в каждом домене в repadmin лесу:

Атрибуты контроллера домена не отслеживают установку отдельных установок.

Проверьте сквозную репликацию Active Directory во всем лесу.

Убедитесь, что каждый контроллер домена в обновленном лесу реплицирует все локальные контексты именования со своими партнерами в согласованном графике, задаемом сайтами или объектами подключений. Используйте версию windows Server 2003 Repadmin.exe на компьютере-члене windows XP или Windows Server 2003 в лесу со следующими аргументами: все контроллеры домена в лесу должны реплицировать Active Directory без ошибок, а значения в столбце «Самая большая дельта» выходных данных repadmin не должны быть значительно больше частоты репликации для соответствующих связей сайтов или объектов подключений, используемых заданным контроллером домена назначения.

Устранение всех ошибок репликации между контроллерами домена, которые не удалось реплицировать входящие 60 дней (TSL). Если репликация не может быть выполнена, может потребоваться принудительно понизить контроллеры домена и удалить их из леса с помощью команды очистки метаданных Ntdsutil, а затем вернуть их обратно в лес. Принудительное понижение можно использовать для сохранения как установки операционной системы, так и программ, которые находятся на потерянных контроллерах домена. Для получения дополнительных сведений о том, как удалить потерянные контроллеры домена Windows 2000 из своего домена, щелкните следующий номер статьи, чтобы просмотреть статью в базе знаний Майкрософт:

216498 Удаление данных в Active Directory после неудачного понижения контроллера домена

Это действие необходимо для восстановления установки операционной системы и установленных программ. На потерянных контроллерах домена, включая пользователей, компьютеры, отношения доверия, пароли, группы и членство в группах, будут потерянные объекты и атрибуты.

Будьте осторожны при устранении ошибок репликации на контроллерах домена, которые не реплицировали входящие изменения для определенного раздела Active Directory в течение более 10 дней. В этом случае можно повторно анимировать объекты, удаленные на одном контроллере домена, но для которых партнеры прямой или транзитивной репликации никогда не получали удаление в течение предыдущих 60 дней.

Рассмотрите возможность удаления устаревших объектов, которые находятся на контроллерах домена, которые не выполняли входящие репликации в течение последних 60 дней. Кроме того, можно принудительно понизить до уровня домена контроллеры домена, которые не выполняли входящие репликации в заданном разделе в течение целого числа дней, и удалить оставшиеся метаданные из леса Active Directory, используя Ntdsutil и другие средства. Обратитесь за помощью к поставщику поддержки или microsoft PSS.

Убедитесь, что содержимое этой обоймы Sysvol является согласованным.

Убедитесь, что часть групповой политики файловой системы согласована. Вы можете использовать Gpotool.exe из набора ресурсов, чтобы определить, есть ли несоответствия в политиках в домене. Используйте healthcheck из средств поддержки Windows Server 2003, чтобы определить, правильно ли работают наборы реплик Sysvol в каждом домене.

Если содержимое share Sysvol несогласованно, усогласуются все несоответствия.

Используйте Dcdiag.exe из средств поддержки, чтобы убедиться, что у всех контроллеров домена есть общие службы Netlogon и Sysvol. Для этого введите следующую команду в командной подсказке:

Инвентаризация ролей операций.

Хозяини операций схемы и инфраструктуры используются для внесения изменений в схему леса и домена в лес и его домены, внесенные с помощью совластицы Windows Server 2003 adprep. Убедитесь, что контроллер домена, на котором размещена роль схемы и роль инфраструктуры для каждого домена в лесу, находится на контроллерах домена в настоящее время и что каждый владелец роли выполнил входящие репликации для всех разделов с момента последней перезагрузки.

Команду можно использовать для просмотра рабочих ролей леса и DCDIAG /test:FSMOCHECK домена. Роли главных ролей операций, которые находятся на несуществующих контроллерах домена, должны быть перенаровны на работоспособного контроллера домена с помощью NTDSUTIL. Роли, которые находятся на неработоспособных контроллерах домена, по возможности должны быть перенесены. В противном случае они должны быть неохватны. Эта команда не определяет роли FSMO, которые находятся NETDOM QUERY FSMO на удаленных контроллерах домена.

Убедитесь, что выполнена входящие репликация Active Directory с момента последней загрузки. Входящие данные репликации можно проверить с помощью команды, где DCNAME — это netBIOS-имя компьютера или полное имя компьютера REPADMIN /SHOWREPS DCNAME контроллера домена. Для получения дополнительных сведений о мастерах операций и их размещении щелкните следующие номера статей, чтобы просмотреть статьи в базе знаний Майкрософт:

Роли FSMO в Windows 2000 в Windows 2000 197132

Размещение и оптимизация FSMO 223346 на контроллерах домена Active Directory

Проверьте журналы событий на всех контроллерах домена на предмет проблемных событий. Журналы событий не должны содержать серьезных сообщений о событиях, которые указывают на проблему с любыми из следующих процессов и компонентов:

физическое подключение
сетевое подключение
регистрация имен
Разрешение имен
проверка подлинности
Групповая политика
Политика безопасности
дисковая подсистема
схема
топология
механизм репликации

Инвентаризация дискового пространства

Том, в котором размещен файл базы данных Active Directory Ntds.dit, должен иметь свободное место, равное по крайней мере 15-20 % от размера файла Ntds.dit. Том, на котором размещен файл журнала Active Directory, также должен иметь свободное место, равное не менее 15-20 % от размера файла Ntds.dit. Дополнительные сведения о том, как освободить дополнительное место на диске, см. в разделе «Контроллеры домена без достаточного места на диске» этой статьи.

Очистка DNS (необязательно)

Включить очистку DNS с интервалом в 7 дней для всех DNS-серверов в лесу. Для получения наилучших результатов выполните эту операцию за 61 или более дней до обновления операционной системы. Это дает DNS-дефрагментации достаточно времени для сборки мусора возрастных DNS-объектов при выполнении автономной дефрагментации в файле Ntds.dit.

Отключение службы DLT Server (необязательно)

Служба DLT Server отключена в новых и обновленных установках контроллеров домена Windows Server 2003. Если отслеживание распределенных ссылок не используется, можно отключить службу DLT Server на контроллерах домена Windows 2000 и начать удалять объекты DLT из каждого домена в лесу. Дополнительные сведения см. в разделе «Рекомендации Майкрософт по отслеживанию распределенных ссылок» следующей статьи базы знаний Майкрософт: 312403 Distributed Link Tracking на контроллерах доменов на основе Windows

Резервное копирование состояния системы

Сделайте резервную копию состояния системы по крайней мере из двух контроллеров домена в каждом домене в лесу. Резервную копию можно использовать для восстановления всех доменов в лесу, если обновление не работает.

Microsoft Exchange 2000 в лесах Windows 2000

• Если exchange 2000 Server установлен или будет установлен, в лесу Windows 2000 прочитайте этот раздел перед запуском команды Windows Server 2003. adprep /forestprep
• Если Microsoft Exchange Server схема 2003 будет установлена, перейдите к разделу «Обзор: обновление контроллеров доменаWindows 2000 до Windows Server 2003″перед запуском команд Windows Server 2003. adprep

Схема Exchange 2000 определяет три атрибута inetOrgPerson с LDAPDisplayNames, не соответствующими запросу на комментарий (RFC): houseIdentifier, ведомость и labeledURI.

Windows 2000 inetOrgPerson Kit и команда Windows Server 2003 определяют версии rFC-жалоб на те же три атрибута с идентичными именами LDAPDisplayNames, что и версии, не совместимые с adprep RFC.

При запуске команды Windows Server 2003 без коррективных сценариев в лесу, содержащем схему adprep /forestprep Windows 2000 и Exchange 2000, изменяется LDAPDisplayNames для атрибутов houseIdentifier, labeledURI и ветвей. Атрибут становится «mangled», если «Dup» или другие уникальные символы добавляются в начало конфликтуемого имени атрибута, чтобы объекты и атрибуты в каталоге были уникальными именами.

Леса Active Directory не являются уязвимыми для LDAPDisplayNames для этих атрибутов в следующих случаях:

• При запуске команды Windows Server 2003 в лесу, содержаном схему Windows 2000, перед добавлением схемы adprep /forestprep Exchange 2000.
• При установке схемы Exchange 2000 в лесу, созданном, где контроллер домена Windows Server 2003 был первым контроллером домена в лесу.
• Если добавить набор InetOrgPerson для Windows 2000 в лес, содержащий схему Windows 2000, а затем установить изменения схемы Exchange 2000, а затем выполнить команду Windows Server 2003. adprep /forestprep
• Если вы добавляете схему Exchange 2000 в существующий лес Windows 2000, запустите Exchange 2003 /forestprep перед запуском команды Windows Server 2003. adprep /forestprep

В Windows 2000 атрибуты Mangled будут возникать в следующих случаях:

• При добавлении версий Exchange 2000 меткиURI, houseIdentifier и атрибутов ведомости в лес Windows 2000 перед установкой комплекта InetOrgPerson Kit для Windows 2000.
• Перед запуском команды Windows Server 2003 перед запуском команды Windows Server 2003 необходимо добавить в лес Windows 2000 версии labeledURI, houseIdentifier и атрибуты ведомости. adprep /forestprep Планы действий для каждого сценария:

Сценарий 1. Изменения схемы Exchange 2000 добавляются после запуска команды Windows Server 2003 adprep /forestprep

Если после запуска команды Windows Server 2003 в лес Windows 2000 будут внесены изменения схемы Exchange 2000, очистка не adprep /forestprep требуется. Перейдите к разделу «Обзор: обновление контроллеров доменаWindows 2000 до Windows Server 2003».

Сценарий 2. Изменения схемы Exchange 2000 будут установлены перед командой Windows Server 2003 adprep /forestprep

Если изменения схемы Exchange 2000 уже установлены, но вы НЕ запускали команду Windows Server 2003, рассмотрите следующий adprep /forestprep план действий:

Войдите в консоль хозяина операций схемы, используя учетную запись, которая входит в группу безопасности «Администраторы схемы».

Нажмите кнопку«Начните», нажмите кнопку «Выполнить»,notepad.exe в поле «Открыть» и нажмите кнопку «ОК».

Скопируйте следующий текст, включая концевый дефис после «schemaUpdateNow: 1» в Блокнот.

dn: CN=ms-Exch-Assistant-Name,CN=Schema,CN=Configuration,DC=X
changetype: Modify
replace:LDAPDisplayName
LDAPDisplayName: msExchAssistantName
—

dn: CN=ms-Exch-LabeledURI,CN=Schema,CN=Configuration,DC=X
changetype: Modify
replace: LDAPDisplayName
LDAPDisplayName: msExchLabeledURI
—

dn: CN=ms-Exch-House-Identifier,CN=Schema,CN=Configuration,DC=X
changetype: Modify
replace: LDAPDisplayName
LDAPDisplayName: msExchHouseIdentifier
—

dn:
changetype: Modify
add: schemaUpdateNow
schemaUpdateNow: 1
—

Подтвердим, что в конце каждой строки нет пробела.

В меню Файл выберите пункт Сохранить. В диалоговом окне Сохранить как выполните указанные ниже действия.

1. В поле имени файла введите следующее: \ %userprofile% \ InetOrgPersonPrevent.ldf
2. В поле «Сохранить как тип» щелкните«Все файлы».
3. В поле кодирования щелкнитеЮникод.
4. Нажмите кнопку Сохранить.
5. Выйти из Блокнота.

Запустите скрипт InetOrgPersonPrevent.ldf.

Нажмите кнопку «Начните», нажмите кнопку «Выполнить», введите cmd в поле «Открыть» и нажмите кнопку «ОК».

В командной подсказке введите следующую команду и нажмите ввод: cd %userprofile%

Введите следующую команду:

• DC=X — константа с чувствительным к делу.
• Путь к имени домена корневого домена должен быть заключен в кавычках.

Например, синтаксис команды для леса Active Directory, корневым доменом которого TAILSPINTOYS.COM является лес:

c: администратор документов и параметров>\ \ ldifde -i -f inetorgpersonprevent.ldf -v -c DC=X «dc=tailspintoys,dc=com»

В случае получения следующего сообщения об ошибке может потребоваться изменить поднастройку реестра «Разрешено обновление схемы»: обновление схемы на этом dc запрещено, так как этот ключ реестра не установлен или dc не является владельцем роли FSMO схемы.

Перед запуском команд Windows Server 2003 убедитесь, что атрибуты LDAPDisplayNames для CN=ms-Exch-Assistant-Name, CN=ms-Exch-LabeledURI и CN=ms-Exch-House-Identifier в контексте именования схемы теперь отображаются как msExchAssistantName, msExchLabeledURI и msExchHouseIdentifier. adprep /forestprep

Перейдите в раздел «Обзор: обновление контроллеров доменаWindows 2000 до Windows Server 2003»,чтобы выполнить эти adprep /forestprep /domainprep команды.

Сценарий 3. Команда windows Server 2003 forestprep была запущена без первого запуска inetOrgPersonFix

При запуске команды Windows Server 2003 в лесу Windows 2000, содержащем изменения схемы adprep /forestprep Exchange 2000, атрибуты LDAPDisplayName для houseIdentifier, ветвь и labeledURI станут перенастройными. Чтобы определить названия с неуловимым названием, используйте Ldp.exe, чтобы найти затронутые атрибуты:

Установите Ldp.exe из папки «Средства поддержки» носителя \ Microsoft Windows 2000 или Windows Server 2003.

Запустите Ldp.exe с контроллера домена или компьютера-члена в лесу.

1. В меню «Подключение» щелкните «Подключиться», оставьте поле «Сервер» пустым, введите 389 в поле «Порт» и нажмите кнопку «ОК».
2. В меню «Подключение» щелкните «Привязка», оставьте все поля пустыми и нажмите кнопку «ОК».

Зафиксировать различающийся путь имени для атрибута SchemaNamingContext. Например, для контроллера домена в CORP. ADATUM.COM лесу путь к различаемого имени может быть CN=Schema,CN=Configuration,DC=corp,DC=company,DC=com.

В меню «Обзор» выберите пункт «Поиск».

Чтобы настроить диалоговое окно поиска, используйте следующие параметры:

• Базовое DN: различающийся путь имени для контекста именования схемы, который определен в шаге 3.
• Filter: (ldapdisplayname=dup*)
• Scope: Subtree

Атрибуты Mangled houseIdentifier, ведомости и labeledURI имеют атрибуты LDAPDisplayName, аналогичные следующему формату:

LDAPDisplayName: DUP-labeledURI-9591bbd3-d2a6-4669-afda-48af7c35507d;
LDAPDisplayName: DUP-речевой-c5a1240d-70c0-455c-9906-a4070602f85f
LDAPDisplayName: DUP-houseIdentifier-354b0ca8-9b6c-4722-aae7-e66906cc9eef

Если на шаге 6 были заданы LDAPDisplayNames для labeledURI, ведомости и houseIdentifier, запустите скрипт Windows Server 2003 InetOrgPersonFix.ldf для восстановления, а затем перейдите к разделу «Обновление контроллеров домена Windows 2000 с помощью Winnt32.exe».

Создайте папку с именем %Systemdrive% IOP, а затем извлекаете файл \ InetOrgPersonFix.ldf в эту папку.

В командной подсказке введите cd %systemdrive%\iop .

Извлекаете файл InetOrgPersonFix.ldf из Support.cab, который находится в папке «Инструменты поддержки» установщика \ Windows Server 2003.

В консоли хозяина операций схемы загрузите файл InetOrgPersonFix.ldf с помощью Ldifde.exe, чтобы исправить атрибут LdapDisplayName атрибутов houseIdentifier, ведомости и labeledURI. Для этого введите следующую команду, где константа с чувствительным к делу и путь к имени домена для корневого домена леса:

• DC=X — константа с чувствительным к делу.
• Путь к имени домена корневого домена леса должен быть заключен в кавычках.

Перед установкой Exchange 2000 убедитесь, что атрибуты houseIdentifier, the houseIdentifier, the labeledURI и labeledURI в контексте именования схемы не являются «уменленными».

Обзор: обновление контроллеров домена Windows 2000 до Windows Server 2003

Команда Windows Server 2003, запускаемая из папки I386 носителю Windows Server 2003, подготавливает лес Windows 2000 и его домены к добавлению контроллеров домена adprep \ Windows Server 2003. Команда Windows Server 2003 добавляет adprep /forestprep следующие функции:

Улучшенные дескрипторы безопасности по умолчанию для классов объектов

Новые атрибуты пользователя и группы

Новые объекты и атрибуты схемы, такие как inetOrgPersonThe adprep utility поддерживает два аргумента командной строки:

• adprep /forestprep : выполняет операции обновления леса.
• dprep /domainprep : выполняет операции обновления домена.

Команда — это разовая операция, выполняемая на хозяине операции adprep /forestprep схемы (FSMO) леса. Перед запуском в этом домене операция forestprep должна завершиться и реплицироваться в хозяин инфраструктуры каждого adprep /domainprep домена.

Команда — это разовая операция, которая будет запускаться на контроллере домена «Операции инфраструктуры» каждого домена в лесу, где будут работать новые или обновленные контроллеры домена adprep /domainprep Windows Server 2003. Команда проверяет, реплицированы ли изменения из forestprep в раздел домена, а затем вносит собственные изменения в раздел домена и групповые политики в adprep /domainprep sysvol share.

Вы не сможете выполнить ни один из следующих действий, если операции /forestprep и /domainprep не будут завершены и реплицированы на все контроллеры домена в этом домене:

• Обновите контроллеры домена Windows 2000 до контроллеров домена Windows Server 2003 с помощью Winnt32.exe.

Вы можете обновлять серверы и компьютеры, в которые входит Windows 2000, до компьютеров-членов Windows Server 2003, когда это необходимо. Продвижение новых контроллеров домена Windows Server 2003 в домен с помощью Dcpromo.exe. Домен, на котором размещен хозяин операций схемы, является единственным доменом, в котором необходимо выполнить и adprep /forestprep то, и adprep /domainprep другое. Во всех остальных доменах необходимо только запустить adprep /domainprep .

Команды и команды не добавляют атрибуты в набор частичных атрибутов глобального каталога или вызывают полную синхронизацию adprep /forestprep adprep /domainprep глобального каталога. Версия RTM действительно вызывает полную синхронизацию папки adprep /domainprep \ «Политики» в дереве Sysvol. Даже если вы несколько раз выполняете операцию forestprep и domainprep, выполняемые операции выполняются только один раз.

После изменения и полной репликации вы можете обновить контроллеры домена Windows 2000 до Windows Server 2003, заверив Winnt32.exe из папки adprep /forestprep adprep /domainprep \I386 мультимедиа Windows Server 2003. Кроме того, вы можете добавить в домен новые контроллеры домена Windows Server 2003 с помощью Dcpromo.exe.

Обновление леса с помощью команды adprep /forestprep

Чтобы подготовить лес и домены Windows 2000 к приему контроллеров домена Windows Server 2003, сначала выполните следующие действия в лабораторной среде, а затем в производственной среде:

Убедитесь, что вы выполнили все операции на этапе «Инвентаризация леса», уделив особое внимание следующим пунктам:

1. Созданы резервные копии состояния системы.
2. Все контроллеры домена Windows 2000 в лесу установили все соответствующие обновления и пакеты обновления.
3. Сквозная репликация Active Directory происходит во всем лесу
4. FRS правильно реплицирует политику файловой системы во всех доменах.

Войдите в консоль хозяина операций схемы с учетной записью, которая входит в группу безопасности «Администраторы схемы».

Убедитесь, что FSMO схемы выполнила входящие репликации раздела схемы, введя в командной Windows NT следующую команду: repadmin /showreps

( repadmin устанавливается службой поддержки \ Папка «Инструменты» в Active Directory.)

В ранней документации Майкрософт рекомендуется изолировать хозяин операций схемы в частной сети перед adprep /forestprep запуском. Реальный опыт предполагает, что этот шаг не является необходимым и может привести к тому, что хозяин операций схемы отклоняет изменения схемы при перезапуске в частной сети.

Запустите adprep на хозяине операций схемы. Для этого нажмите кнопку » Start», «Выполнить»,«Введите cmd» и нажмите кнопку «ОК». В хозяине операций схемы введите следующую команду:

где X: \ I386 \ — это путь к установок носителям Windows Server 2003. Эта команда выполняет обновление схемы для всего леса.

События с ИД 1153, регистрируются в журнале событий службы каталогов, например, в примере, который вы можете игнорировать:

Убедитесь, что команда успешно выполнилась на хозяине adprep /forestprep операций схемы. Для этого в консоли хозяина операций схемы проверьте следующие элементы: — Команда adprep /forestprep выполнена без ошибок. — Объект CN=Windows2003Update написан в cn=ForestUpdates,CN=Configuration,DC= forest_root_domain. Зафиксировать значение атрибута Revision. — (Необязательно) Версия схемы была постепенной до версии 30. Для этого см. атрибут ObjectVersion в cn=Schema,CN=Configuration,DC= forest_root_domain. Если adprep /forestprep не выполнить, проверьте следующие элементы:

При прогонах был указан Adprep.exe путь к папке \ I386 adprep установщика. Для этого введите следующую команду:

где x — это диск, на котором размещен установный носить.

Во время входа пользователь, который запускает adprep, является членом группы безопасности «Администраторы схемы». Чтобы проверить это, используйте whoami /all команду.

Если все еще не работает, просматривайте файл adprep Adprep.log в папке %systemroot% \ System32 \ Debug \ Adprep \ Logs \ Latest_log.

Если на шаге 4 вы отключили исходящие репликации на хозяине операций схемы, включите репликацию, чтобы внесенные изменения схемы могли adprep /forestprep распространяться. Для этого сделайте следующее:

1. Нажмите кнопку «Начните»,выберите «Выполнить»,«Введите cmd» и нажмите кнопку «ОК».
2. Введите следующую кнопку и нажмите ввод: repadmin /options -DISABLE_OUTBOUND_REPL

adprep /forestprep Убедитесь, что изменения реплицированы на всех контроллерах домена в лесу. Полезно отслеживать следующие атрибуты:

1. Приращение версии схемы
2. Были реплицированы CN=Windows2003Update, CN=ForestUpdates,CN=Configuration,DC= forest_root_domain или CN=Operations,CN=DomainUpdates,CN=System,DC= forest_root_domain и в которые реплицированы под ней GUID операций.
3. Поиск новых классов схемы, объектов, атрибутов и других добавленных изменений, например adprep /forestprep inetOrgPerson. Просматривает LDF-файлы Sch XX (где XX — это число от 14 до 30) в папке %systemroot%\System32, чтобы определить, какие объекты и атрибуты должны быть там. Например, inetOrgPerson определен в Sch18.ldf.

Найди пошаговое имя LDAPDisplayNames. Если вы нашли названия, перейдите к сценарию 3 той же статьи.

Войдите в консоль хозяина операций схемы с учетной записью, которая является членом группы безопасности группы администраторов схемы леса, в котором размещен хозяин операций схемы.

Обновление домена с помощью команды adprep /domainprep

Запустите после полной репликации изменений /forestprep на контроллер домена хозяина инфраструктуры в каждом домене, где будут работать контроллеры домена adprep /domainprep Windows Server 2003. Для этого выполните указанные ниже действия.

Определите контроллер домена хозяина инфраструктуры в обновляемом домене и войдите в систему с помощью учетной записи, которая является членом группы безопасности «Администраторы домена» в обновляемом домене.

Администратор предприятия не может быть членом группы безопасности «Администраторы домена» в дитях леса.

Запустите adprep /domainprep мастер инфраструктуры. Для этого нажмите кнопку «Начните», щелкните «Выполнить», введите командную команду, а затем в мастере инфраструктуры введите следующую команду: где X: I386 — путь к установок носителям X:\I386\adprep /domainprep Windows Server \ \ 2003. Эта команда выполняет изменения на всех уровнях домена в целевом домене.

Команда изменяет разрешения файлов в папке adprep /domainprep Sysvol. Эти изменения приводят к полной синхронизации файлов в дереве каталогов.

Убедитесь, что проверка домена выполнена успешно. Для этого проверьте следующие элементы:

• Команда adprep /domainprep выполнена без ошибок.
• CN=Windows2003Update,CN=DomainUpdates,CN=System,DC= dn path of domain you are upgrading existsIf adprep /domainprep doesn’t run, verify the following items:
• Во время входа в систему пользователь имеет членство в группе безопасности «Администраторы домена» в обновляемом adprep домене. Для этого используйте whoami /all команду.
• При прогонах был указан Adprep.exe путь к каталогу \ I386 установщика. adprep Для этого в командной подсказке введите следующую команду: где x — это диск, на котором x :\i386\adprep /forestprep размещен установный носитер.
• Если все еще не работает, просматривайте файл adprep Adprep.log в папке %systemroot% \ System32 \ Debug \ Adprep \ Logs \ Latest_log.

Убедитесь, adprep /domainprep что изменения реплицированы. Для этого для остальных контроллеров домена в домене проверьте следующие элементы: — CN=Windows2003Update,CN=DomainUpdates,CN=System,DC= dn path of domain you are upgrading object exists and the value for the Revision attribute matches the value of the same attribute on the infrastructure master of the domain. — (Необязательно) Найми объекты, атрибуты или добавленные изменения списка управления adprep /domainprep доступом (ACL). Повторите шаги 1–4 для хозяина инфраструктуры оставшихся доменов в массовом объеме или при добавлении или обновлении компьютеров в этих доменах до Windows Server 2003. Теперь вы можете продвигать новые компьютеры с Windows Server 2003 в лес с помощью DCPROMO. Вы также можете обновить существующие контроллеры домена Windows 2000 до Windows Server 2003 с помощью WINNT32.EXE.

Обновление контроллеров домена Windows 2000 с помощью Winnt32.exe

После полной репликации изменений из /forestprep и /domainprep и принятия решения о обеспечении безопасности для обеспечения связи с клиентами более ранних версий вы можете обновить контроллеры домена Windows 2000 до Windows Server 2003 и добавить в домен новые контроллеры домена Windows Server 2003.

Следующие компьютеры должны быть одними из первых контроллеров домена, которые запускают Windows Server 2003 в лесу в каждом домене:

• Хозяин именования доменов в лесу, чтобы можно было создавать разделы программ DNS по умолчанию.
• Основной контроллер домена корневого домена леса, чтобы добавленные в лесу Windows Server 2003 корпоративные лидеры безопасности стали видимыми в редакторе ACL.
• Основной контроллер домена в каждом некорневом домене, чтобы можно было создавать новые доменные имена безопасности Windows 2003. Для этого используйте WINNT32 для обновления существующих контроллеров домена, на которые будет работать нужная операционная роль. Или перенастрой эту роль на только что продвигаемого контроллера домена Windows Server 2003. Выполните следующие действия для каждого контроллера домена Windows 2000, который вы обновляете до Windows Server 2003 с помощью WINNT32, и для каждой группы windows Server 2003 или компьютера-участника, которые вы рекламируете:

Перед использованием WINNT32 для обновления компьютеров-членов Windows 2000 и контроллеров домена удалите средства администрирования Windows 2000. Для этого используйте средство «Добавление и удаление программ» на панели управления. (Только для обновлений Windows 2000.)

Установите все файлы исправлений или другие исправления, которые майкрософт или администратор определяет как важные.

Проверьте каждый контроллер домена на предмет возможных проблем с обновлением. Для этого запустите следующую команду из папки I386 установщика: уберите все проблемы, которые идентифицирует проверка \ winnt32.exe /checkupgradeonly совместимости.

Запустите WINNT32.EXE из папки I386 установщика и перезапустите обновленный контроллер \ домена 2003.

Понизить необходимые параметры безопасности для клиентов более ранних версий.

Если у Windows NT 4.0 нет клиентов NT 4.0 с sp6 или Windows 95, не установлен клиент службы каталогов, отключите подпись службы SMB в политике контроллеров домена по умолчанию в подразделении «Контроллеры домена», а затем привяжите эту политику к всем подразделениям, включающим контроллеры домена. Параметры безопасности параметров безопасности параметров конфигурации компьютера: параметры безопасности microsoft Network Server: цифровая подпись \ \ \ \ \ (всегда)

Проверьте состояние обновления с помощью следующих точек данных:

• Обновление успешно завершено.
• Добавленные в установку префиксы успешно заменили исходные binaries.
• Входящие и исходящие репликации Active Directory происходит для всех контекстов именования, которые удерживаются контроллером домена.
• Существуют обетовки Netlogon и Sysvol.
• Журнал событий показывает, что контроллер домена и его службы являются полезными.

После обновления может появиться следующее сообщение о событии: вы можете игнорировать это сообщение.

Установите средства администрирования Windows Server 2003 (обновления до Windows 2000 и только контроллеры Windows Server 2003, не относя такие контроллеры). Adminpak.msi находится в папке \ I386 компакт-диска Windows Server 2003. Носители Windows Server 2003 содержат обновленные средства поддержки вSuptools.msi \ \ поддержки. Убедитесь, что этот файл переустановлен.

Сделайте новые резервные копии по крайней мере первых двух контроллеров домена Windows 2000, обновленных до Windows Server 2003, в каждом домене в лесу. Найдите резервные копии компьютеров с Windows 2000, обновленных до Windows Server 2003, в заблокированном хранилище, чтобы случайно не использовать их для восстановления контроллера домена, на который теперь работает Windows Server 2003.

(Необязательно) Выполните дефрагментацию базы данных Active Directory в автономном режиме на контроллерах домена, которые были обновлены до Windows Server 2003 после завершения хранения одного экземпляра (только для обновлений Windows 2000).

SIS проверяет существующие разрешения на объекты, хранимые в Active Directory, а затем применяет к этим объектам более эффективный дескриптор безопасности. SIS запускается автоматически (по событию 1953 в журнале событий службы каталогов), когда обновленные контроллеры домена впервые запускают операционную систему Windows Server 2003. Улучшенное хранилище дескрипторов безопасности можно использовать только в том случае, если в журнал событий службы каталогов заносит в журнал событий события с ИД события 1966: это сообщение о событии указывает, что операция хранения одного экземпляра завершена и служит администратором очереди для выполнения автономной дефрагментации Ntds.dit с помощью NTDSUTIL.EXE.

Дефрагментация в автономном режиме может уменьшить размер файла Windows 2000 Ntds.dit до 40 %, повысить производительность Active Directory и обновить страницы в базе данных для более эффективного хранения атрибутов link Valued. Для получения дополнительных сведений о дефрагментирования базы данных Active Directory щелкните следующий номер статьи, чтобы просмотреть статью в базе знаний Майкрософт:

232122 Выполнение автономной дефрагментации базы данных Active Directory

Изучите службу DLT Server. Контроллеры домена Windows Server 2003 отключят службу DLT Server в новых установках и обновлениях. Если клиенты Windows 2000 или Windows XP в организации используют службу DLT Server, используйте групповую политику, чтобы включить службу DLT Server на новых или обновленных контроллерах домена Windows Server 2003. В противном случае постепенно удалите объекты отслеживания распределенных ссылок из Active Directory. Для получения дополнительных сведений щелкните следующий номер статьи, чтобы просмотреть статью в базе знаний Майкрософт:

312403 Отслеживание распределенных ссылок на контроллерах домена на основе Windows

При массовом удалении тысяч объектов DLT или других объектов репликация может быть заблокирована из-за отсутствия хранения версий. Подождите 60 дней после удаления последнего объекта DLT и завершения сборки мусора, а затем выполните дефрагментацию файла Ntds.dit в автономном режиме с помощью NTDSUTIL.EXE.

Настройте структуру оптимальных подразделений. Корпорация Майкрософт рекомендует администраторам активно развертывать рекомендованную структуру подразделений во всех доменах Active Directory, а после обновления или развертывания контроллеров домена Windows Server 2003 в режиме домена Windows перенаправляет контейнеры по умолчанию, которые API предыдущих версий используют для создания пользователей, компьютеров и групп, в контейнер подразделения, указанный администратором.

Дополнительные сведения о структуре оптимальных подразделений можно получить в разделе «Создание структуры подразделения» в документе «Best Practice Active Directory Design for Managing Windows Networks». Чтобы просмотреть этот документ, посетите следующий веб-сайт Майкрософт: чтобы получить дополнительные сведения об изменении контейнера по умолчанию, в котором расположены пользователи, компьютеры и группы, которые создают API более ранних версий, щелкните следующий номер статьи, чтобы просмотреть статью в базе знаний https://technet.microsoft.com/library/bb727085.aspx Майкрософт:

324949 Перенаправление контейнеров пользователей и компьютеров в доменах Windows Server 2003

Повторите шаги с 1 по 10 по мере необходимости для каждого нового или обновленного контроллера домена Windows Server 2003 в лесу и шаг 11 (структура подразделения best practice) для каждого домена Active Directory.

• Обновление контроллеров домена Windows 2000 с помощью WINNT32 (при его установке с построителя)
• Убедитесь, что файлы обновлений установлены на обновленных компьютерах
• Установка всех необходимых установок, не содержащихся на установщике
• Проверка состояния на новых или обновленных серверах (AD, FRS, Policy и так далее)
• Подождите 24 часа после обновления ОС, а затем — дефрагмы в автономном режиме (необязательно)
• Запустите службу DLT, если необходимо, в противном случае удалите объекты DLT с помощью Q312403 / q315229 после удаления объектов DLT для всего леса
• Выполнение автономной дефрагмы 60 и более дней (время жизни без удаления и сборка мусора в днях) после удаления объектов DLT

Обновления с «сухую» в лабораторной среде

Перед обновлением контроллеров домена Windows до производственного домена Windows 2000 проверьте и уточните процесс обновления в лаборатории. Если обновление лабораторной среды, которая точно зеркально отражает производственный лес, выполняется плавно, можно ожидать аналогичных результатов в производственных средах. Для сложных сред лабораторная среда должна зеркально отражать производственную среду в следующих областях:

• Оборудование: тип компьютера, размер памяти, расположение файла страницы, размер диска, производительность и конфигурация raid, уровни редакции BIOS и микропрограмм
• Программное обеспечение: версии клиентской и серверной операционных систем, клиентские и серверные приложения, версии пакетов обновления, обновления, изменения схемы, группы безопасности, членство в группах, разрешения, параметры политики, тип подсчета объектов и расположение, возможности управления версиями
• Сетевая инфраструктура: WINS, DHCP, скорость каналов, доступная пропускная способность
• Загрузка: имитаторы загрузки могут имитировать смену паролей, создание объектов, репликацию Active Directory, проверку подлинности для пользователя и другие события. Цель состоит не в воспроизведении масштаба производственной среды. Вместо этого необходимо обнаружить затраты и частоту распространенных операций, а также интерполировать их эффекты (запросы имен, трафик репликации, пропускная способность сети и потребление процессора) в производственной среде в зависимости от текущих и будущих требований.
• Администрирование: выполняемые задачи, используемые средства, используемые операционные системы
• Операция: емкость, производительность
• Дисковое пространство: обратите внимание на начальный, пиковый и завершающий размер файлов журнала операционной системы, Ntds.dit и Active Directory в глобальном каталоге и контроллерах домена не глобального каталога в каждом домене после каждой из следующих операций:
  1. adprep /forestprep
  2. adprep /domainprep
  3. Обновление контроллеров домена Windows 2000 до Windows Server 2003
  4. Выполнение автономной дефрагментации после обновления версий

Понимание процесса обновления и сложности среды в сочетании с подробным наблюдением определяет скорость и степень обслуживания, которые применяются к обновлению производственных сред. Среды с небольшим количеством контроллеров домена и объектов Active Directory, подключенных по соединениям WAN с высокой доступностью, могут обновляться всего за несколько часов. Возможно, вам придется более внимательно работать с корпоративными развертываниями с сотнями контроллеров домена или сотнями тысяч объектов Active Directory. В таких случаях может потребоваться выполнить обновление в течение нескольких недель или месяцев.

Используйте обновления «Сухую», выполняемую в лаборатории, для выполнения следующих задач:

• Понять внутреннюю работу процесса обновления и связанные риски.
• Выявите потенциальные проблемные области для процесса развертывания в вашей среде.
• Протестировать и разработать отработав планы на случай, если обновление не будет успешным.
• Определите соответствующий уровень детализации, который будет применяться к процессу обновления для производственного домена.

Контроллеры домена без достаточного места на диске

На контроллерах домена с недостаточным местом на диске с помощью следующих действий освободите дополнительное место на диске тома, на котором размещены файлы Ntds.dit и Log:

Удалите неиспользимые файлы, включая TMP-файлы или кэшные файлы, которые используются браузерами. Для этого введите следующие команды (нажмите ввод после каждой команды):

Удалите файлы дампов памяти или пользователей. Для этого введите следующие команды (нажмите ввод после каждой команды):

Временно удалите или переустановите файлы, к ним можно получить доступ с других серверов или легко переустановить. К файлам, которые можно удалить и легко заменить, относятся ADMINPAK, средства поддержки и все файлы в папке %systemroot% \ System32 \ Dllcache.

Удаление старых или неиспользованных профилей пользователей. Для этого нажмите кнопку «Начните», щелкните правой кнопкой мыши «Мой компьютер», выберите «Свойства», перейдите на вкладку «Профили пользователей» и удалите все профили для старых и неиспользованных учетных записей. Не удаляйте профили, которые могут быть для учетных записей служб.

Удалите символы в символах %systemroot%. \ Для этого введите следующую команду: в зависимости от того, на серверах установлен полный или небольшой символ, это может получить от rd /s %systemroot%\symbols 70 до 600 МБ.

Выполните дефрагментацию в автономном режиме. Автономное дефрагментация файла Ntds.dit может освободить место, но временно требует удваить пространство текущего DIT-файла. Выполните автономный дефрагмаль с помощью других локальных томов, если он доступен. Или используйте пространство на лучшем подключенном сетевом сервере для выполнения дефрагментации в автономном режиме. Если дискового пространства недостаточно, постепенно удалите ненужные учетные записи пользователей, учетные записи компьютеров, записи DNS и DLT-объекты из Active Directory.

Active Directory не удаляет объекты из базы данных до тех пор, пока не завершится сборка мусора в течение 60 дней (по умолчанию — 60 дней). Если вы уменьшите время жизни до меньшего значения, чем при репликации в лесу, это может привести к несоответствиям в Active Directory.