Сбой проверки реплики лес работает в режиме windows 2000

Обновлено: 04.07.2024

Схемой AD называется описание всех объектов каталога и их атрибутов. По существу схема отражает базовую структуру каталога и имеет первостепенное значение для его правильного функционирования.

Новые версии ОС и содержат новые объекты и атрибуты, поэтому для их нормального функционирования в качестве контроллеров домена нам потребуется обновить схему.

Вроде бы понятно, но не совсем, поэтому перейдем к распространенным ошибкам и заблуждениям.

  • Обновление схемы необходимо для включения в домен ПК под управлением более новых версий ОС Windows. Это не так, даже самые последние версии Windows могут вполне успешно работать в домене уровня Windows 2000 без обновления схемы. Хотя, если вы все-таки обновите схему, то ничего страшного не произойдет.
  • Для включения в домен контроллера под управлением более новой ОС требуется повысить уровень работы домена (леса). Это тоже не так, но в отличие от предыдущего случая, данная операция сделает невозможным использование контроллеров домена под управлением ОС ниже, чем режим его работы. Поэтому в случае ошибки вам придется восстанавливать вашу структуру AD из резервной копии.

Также заострим ваше внимание на режиме работы леса и домена. Домены входящие в лес могут иметь различные режимы работы, например один из доменов может работать в режиме Windows 2008, а остальные в режиме Windows 2003. Схема работы леса не может быть выше, чем схема работы самого старого домена. В нашем примере режим работы леса не может быть выше, чем Windows 2003.

Новый сервер работает под управлением Windows 2008 R2. Заметьте, у нас не возникло никаких сложностей по включению данного сервера в существующий домен.


Однако при попытке добавить новый контроллер домена мы получим ошибку:


Для успешного включения контроллера под управлением более новой версии ОС нам потребуется обновить схему леса и схему домена. Исключение составляет Windows Server 2012, который при добавлении нового контроллера домена произведет обновление схемы самостоятельно.

Для обновления схемы используется утилита Adprep которая находится в папке supportadprep на установочном диске Windows Server. Начиная с Windows Server 2008 R2 эта утилита по умолчанию 64-разрядная, при необходимости использовать 32-разрядную версию следует запускать adprep32.exe.

Для выполнения обновления схемы леса данная утилита должна быть запущена на Хозяине схемы, а для обновления схемы домена на Хозяине инфраструктуры. Чтобы узнать какие из контроллеров имеют необходимые нам роли FSMO воспользуемся командой:

В Windows 2008 и новее данная утилита установлена по умолчанию, а в Windows 2003 ее нужно установить с диска из директории support ools


Результатом вывода данной команды будет перечисление всех ролей FSMO и контроллеров имеющих данные роли:


В нашем случае все роли находятся на одном контроллере, поэтому копируем папку supportadprep на жесткий диск (в нашем случае в корень диска C:) и приступаем к обновлению схемы леса. Для успешного выполнения операции ваш аккаунт должен входить в группы:

  • Администраторы схемы
  • Администраторы предприятия
  • Администраторы домена, в котором находится хозяин схемы

Чтобы обновить схему леса выполните команду:

Ознакомьтесь со стандартным предупреждением и продолжите нажав C, затем Enter.


Начнется процесс обновления схемы. Как видим ее версия изменится с 30 (Windows 2003) до 47 (Windows 2008 R2).


После обновления схемы леса следует обновить схему домена. Перед этим следует убедиться что домен работает как минимум в режиме Windows 2000 (основной режим). Как помним, у нас домен работает в смешанном режиме, поэтому следует изменить режим работы домена на основной или повысить его до Windows 2003. Так как в данном домене у нас нет контроллеров под управлением Windows 2000, то наиболее разумно будет повысить режим домена.

Для успешного обновления схемы домена эту операцию следует производить на Хозяине инфраструктуры и иметь права Администратора домена. Выполняем команду:

И внимательно читаем выводимую информацию. Обновляя схему домена с уровня Windows 2000 или Windows 2003 необходимо выполнить изменение разрешений файловой системы для групповых политик. Данная операция производится один раз и в дальнейшем, например обновляя схему с уровня 2008 на 2008 R2, выполнять ее нужно. Для обновления разрешений объектов GPO введите команду:

В версиях AD начиная с Windows 2008 появился новый тип контроллеров домена: контроллер домена только для чтения (RODC), если вы планируете развернуть такой контроллер, то вам нужно подготовить схему. Вообще мы рекомендуем выполнить данную операцию вне зависимости от того, собираетесь вы в ближайшее время устанавливать RODC или нет.

Данную операцию можно выполнить на любом контроллере домена, однако вы должны входить в группу Администраторы предприятия и Хозяин именований и Хозяин инфраструктуры должны быть доступны.

На этом обновление схемы AD можно считать законченной и приступать к развертыванию нового контроллера домена. После обновления схемы данная операция проходит без каких-либо затруднений.

Как узнать режим работы леса и режим работы домена Active Directory

Как узнать режим работы леса и режим работы домена Active Directory


Как узнать режим работы леса и режим работы домена Active Directory-01

Всем привет сегодня хочу рассказать как узнать режим работы леса и режим работы домена Active Directory. Режимы работы определяют доступные возможности домена или леса доменных служб Active Directory. Они также определяют версии операционных систем Windows Server, которые можно использовать на контроллерах домена в домене или в лесу. Но режимы работы не влияют на то, какие операционные системы могут использоваться на рабочих станциях и рядовых серверах, присоединенных к домену или лесу. При развертывании доменных служб Active Directory установите высшие режимы работы домена и леса, которые поддерживаются в используемой среде. Это позволит пользоваться максимальным количеством возможностей доменных служб службы Active Directory. Какие именно возможности это дает мы рассмотрим в следующих статьях.

Для того чтобы нам посмотреть нужную нам информацию есть два способа графический и через powershell, мы рассмотрим оба.

Как узнать режим работы домена Active Directory через оснастку ADUC

Открываем оснастку пользователи и компьютеры, делается это через Пуск-Администрирование или ввод в меню Выполнить команды dsa.mac


Как узнать режим работы леса и режим работы домена Active Directory-02

Щелкаем правым кликом по вашему домену и выбираем Повысить режим работы домена


Как узнать режим работы леса и режим работы домена Active Directory-03

И видим что текущий режим Windows Server 2008 R2.


Как узнать режим работы леса и режим работы домена Active Directory-04

Как узнать режим работы леса и режим работы домена Active Directory через оснастку домены и доверие

Открываем оснастку домены и доверие через меню пуск-Администрирование, либо в меню выполнить введите domain.msc.


Как узнать режим работы леса и режим работы домена Active Directory-05


Как узнать режим работы леса и режим работы домена Active Directory-06

и видим что лес работает в режиме Windows Server 2008 R2.


Как узнать режим работы леса и режим работы домена Active Directory-07

Если щелкнуть правым кликом там же но по домену и выбрать изменение режима работы домена, то вы так же увидите в каком режиме работает ваш домен.


Как узнать режим работы леса и режим работы домена Active Directory-08

Как узнать режим работы леса и режим работы домена Active Directory через powershell

Для этого дела у Microsoft естественно есть свои командлеты. Для начала давайте откроем powershell от имени администратор через правый кликом и посмотрим список доступных модулей powershell с помощью команды

Если среди них нет модуля Active Directory то он устанавливается командой

И загружаем модуль Active Directory с помощью команды


Как узнать режим работы леса и режим работы домена Active Directory-09

Для вывода информации по домену мы вводим команду, и в поле DomainMode видим что это уровень Windows Server 2008 R2.


Как узнать режим работы леса и режим работы домена Active Directory-10

Для вывода информации по лесу мы вводим команду. и в поле ForestMode видим что это уровень Windows Server 2008 R2.


Как узнать режим работы леса и режим работы домена Active Directory-11

Вот так вот просто узнать режим работы леса и режим работы домена Active Directory через оснастки и командную строку.

При установке доменных служб Active Directory (AD DS) на сервер, работающий под управлением ОС Windows Server 2008 R2, по умолчанию включается набор базовых возможностей Active Directory. Базовые возможности Active Directory для отдельных контроллеров домена дополняются новыми возможностями Active Directory уровня домена и леса, доступными, когда все контроллеры домена в домене или лесу работают под управлением ОС Windows Server 2008 R2. Дополнительные сведения см. в разделе Основные сведения о функциональных возможностях домена и леса.

Для включения новых возможностей уровня леса необходимо, чтобы все контроллеры домена в лесу работали под управлением Windows Server 2008 R2, а режим работы леса должен быть повышен до Windows Server 2008 R2. Для повышения режима работы леса с помощью оснастки «Центр администрирования Active Directory» можно использовать следующую процедуру.

Повышение режима работы леса с помощью оснастки «Центр администрирования Active Directory»

Чтобы открыть оснастку «Центр администрирования Active Directory», нажмите кнопку Пуск и последовательно выберите пункты Администрирование и Центр администрирования Active Directory.

Чтобы открыть оснастку «Центр администрирования Active Directory» другим способом, нажмите кнопку Пуск, выберите пункт Выполнить и введите dsac.exe.

В области навигации щелкните правой кнопкой мыши домен, относящийся к лесу, режим работы которого требуется повысить, и выберите пункт Повышение режима работы леса.

В диалоговом окне Выберите режим работы леса выполните одно из следующих действий:

    чтобы повысить режим работы леса до Windows Server 2008, выберите пункт Windows Server 2008 и нажмите кнопку ОК;

чтобы повысить режим работы леса до Windows Server 2008 R2, выберите пункт Windows Server 2008 R2 и нажмите кнопку ОК.

Как известно - ничего вечного нет, все меняется, особенно в такой отрасли как IT. Развернутая один раз инфраструктура постоянно развивается, расширяется, совершенствуется и наступает момент когда в вашу Active Directory требуется ввести контроллер домена под управлением более поздней версии операционной системы.

Казалось бы - в чем проблема? Но, как показывает практика, проблемы возникают, во многом от того, что системные администраторы слабо владеют теорией и откровенно путаются в данном вопросе. Поэтому самое время разобраться в том, что такое схема AD и какое отношение она имеет к нашему случаю.

Схемой AD называется описание всех объектов каталога и их атрибутов. По существу схема отражает базовую структуру каталога и имеет первостепенное значение для его правильного функционирования.

Новые версии ОС и содержат новые объекты и атрибуты, поэтому для их нормального функционирования в качестве контроллеров домена нам потребуется обновить схему.

Вроде бы понятно, но не совсем, поэтому перейдем к распространенным ошибкам и заблуждениям.

  • Обновление схемы необходимо для включения в домен ПК под управлением более новых версий ОС Windows. Это не так, даже самые последние версии Windows могут вполне успешно работать в домене уровня Windows 2000 без обновления схемы. Хотя, если вы все-таки обновите схему, то ничего страшного не произойдет.
  • Для включения в домен контроллера под управлением более новой ОС требуется повысить уровень работы домена (леса). Это тоже не так, но в отличие от предыдущего случая, данная операция сделает невозможным использование контроллеров домена под управлением ОС ниже, чем режим его работы. Поэтому в случае ошибки вам придется восстанавливать вашу структуру AD из резервной копии.

Также заострим ваше внимание на режиме работы леса и домена. Домены входящие в лес могут иметь различные режимы работы, например один из доменов может работать в режиме Windows 2008, а остальные в режиме Windows 2003. Схема работы леса не может быть выше, чем схема работы самого старого домена. В нашем примере режим работы леса не может быть выше, чем Windows 2003.

При этом более низкий режим работы леса никак не мешает использовать более высокий режим работы в домене, все что для этого требуется - это обновить схему.

Ознакомившись с теорией, перейдем к практическому примеру. Допустим у нас есть домен уровня Windows 2000 (смешанный режим) - самый низкий уровень AD - в котором имеется контроллер под управлением Windows 2003, а наша цель - создать новый контроллер взамен вышедшего из строя.

Новый сервер работает под управлением Windows 2008 R2. Заметьте, у нас не возникло никаких сложностей по включению данного сервера в существующий домен.

AD-schema-update-001.jpg

Однако при попытке добавить новый контроллер домена мы получим ошибку:

AD-schema-update-002.jpg

Для успешного включения контроллера под управлением более новой версии ОС нам потребуется обновить схему леса и схему домена. Исключение составляет Windows Server 2012, который при добавлении нового контроллера домена произведет обновление схемы самостоятельно.

Для обновления схемы используется утилита Adprep которая находится в папке \support\adprep на установочном диске Windows Server. Начиная с Windows Server 2008 R2 эта утилита по умолчанию 64-разрядная, при необходимости использовать 32-разрядную версию следует запускать adprep32.exe.

Для выполнения обновления схемы леса данная утилита должна быть запущена на Хозяине схемы, а для обновления схемы домена на Хозяине инфраструктуры. Чтобы узнать какие из контроллеров имеют необходимые нам роли FSMO воспользуемся командой:

В Windows 2008 и новее данная утилита установлена по умолчанию, а в Windows 2003 ее нужно установить с диска из директории \support\tools

AD-schema-update-003.jpg

Результатом вывода данной команды будет перечисление всех ролей FSMO и контроллеров имеющих данные роли:

AD-schema-update-004.jpg

В нашем случае все роли находятся на одном контроллере, поэтому копируем папку \support\adprep на жесткий диск (в нашем случае в корень диска C:) и приступаем к обновлению схемы леса. Для успешного выполнения операции ваш аккаунт должен входить в группы:

  • Администраторы схемы
  • Администраторы предприятия
  • Администраторы домена, в котором находится хозяин схемы

Чтобы обновить схему леса выполните команду:

Ознакомьтесь со стандартным предупреждением и продолжите нажав C, затем Enter.

AD-schema-update-005.jpg

Начнется процесс обновления схемы. Как видим ее версия изменится с 30 (Windows 2003) до 47 (Windows 2008 R2).

AD-schema-update-006.jpg

После обновления схемы леса следует обновить схему домена. Перед этим следует убедиться что домен работает как минимум в режиме Windows 2000 (основной режим). Как помним, у нас домен работает в смешанном режиме, поэтому следует изменить режим работы домена на основной или повысить его до Windows 2003. Так как в данном домене у нас нет контроллеров под управлением Windows 2000, то наиболее разумно будет повысить режим домена.

Для успешного обновления схемы домена эту операцию следует производить на Хозяине инфраструктуры и иметь права Администратора домена. Выполняем команду:

И внимательно читаем выводимую информацию. Обновляя схему домена с уровня Windows 2000 или Windows 2003 необходимо выполнить изменение разрешений файловой системы для групповых политик. Данная операция производится один раз и в дальнейшем, например обновляя схему с уровня 2008 на 2008 R2, выполнять ее нужно. Для обновления разрешений объектов GPO введите команду:

В версиях AD начиная с Windows 2008 появился новый тип контроллеров домена: контроллер домена только для чтения (RODC), если вы планируете развернуть такой контроллер, то вам нужно подготовить схему. Вообще мы рекомендуем выполнить данную операцию вне зависимости от того, собираетесь вы в ближайшее время устанавливать RODC или нет.

Данную операцию можно выполнить на любом контроллере домена, однако вы должны входить в группу Администраторы предприятия и Хозяин именований и Хозяин инфраструктуры должны быть доступны.

На этом обновление схемы AD можно считать законченной и приступать к развертыванию нового контроллера домена. После обновления схемы данная операция проходит без каких-либо затруднений.

Изменение режима работы домена.

Режимы работы домена

Домен, реализованный в Active Directory Windows Server 2003 может работать в четырех режимах: Windows 2000 Mixed (смешанный режим), Windows 2000 Native (основной режим), Windows Server 2003 Interim (промежуточный Windows Server 2003) и Windows Server 2003. После установки Active Directory всегда работает в смешанном режиме. Переключение в основной режим может потребоваться при необходимости использовать все новые возможности, заложенные в Active Directory.

Смешанный режим Windows 2000

Смешанный режим работы Active Directory позволяет использовать в домене контроллеры не только под управлением Windows Server 2003 / Windows 2000, но и под управлением Windows NT 3.51 или 4.0. В этом режиме контроллер под управлением Windows Server 2003 / Windows 2000 эмулирует главный контроллер домена, а контроллеры под управлением Windows NT являются резервными контроллерами домена. Домен, работающий в смешанном режиме, необходим любому клиенту, использующему службу каталога Windows NT и NTLM для аутентификации. Кроме того, для разрешения имен для таких клиентов на сервере должна быть установлена служба WINS. Выполнение этих функций создает дополнительную нагрузку на сервер Windows Server 2003.

Основной режим Windows 2000

Основной режим работы Active Directory позволяет использовать в домене контроллеры только под управлением Windows Server 2003 и Windows 2000. В этом режиме все контроллеры домена являются равноправными и изменения могут вноситься на любом из них. Для нормального функционирования домена не требуется служба WINS. Домен Windows Server 2003 / Windows 2000 в основном режиме нормально поддерживает работу любых Windows-клиентов (Windows 9x, NT, 2000, XP). Если вы используете в качестве контроллеров домена только серверы Windows Server 2003 и/или Windows 2000, рекомендуется перевести домен в основной режим - это значительно снизит нагрузку на контроллеры домена и добавит много новых возможностей по управлению доменом.

Промежуточный режим Windows Server 2003

Промежуточный режим работы Active Directory позволяет использовать в домене контроллеры под управлением Windows Server 2003 и Windows NT 4.0. В этом режиме, как и в смешанном, контроллер под управлением Windows Server 2003 эмулирует главный контроллер домена, а контроллеры под управлением Windows NT являются резервными контроллерами домена.

Режим Windows Server 2003

Режим работы Windows Server 2003 позволяет использовать в домене только контроллеры только под управлением семейства Windows Server 2003. При повышении режима работы домена до Windows Server 2003, становятся доступны дополнительные возможности Active Directory.

Переключение режима

Для переключения режима работы домена щелкните правой кнопкой мышки по имени домена в консоли Active Directory - домены и доверие и в контекстном меню выберите Изменение режима работы домена. В открывшемся окне отображается текущий режим работы домена. В поле со списком Выберите режим работы домена выберите необходимый режим и нажмите кнопку Изменить.


Для окончания операции переключения режима работы домена может потребоваться до 15 минут - все необходимые изменения должны быть реплицированы на все контроллеры домена.

Вы не обязаны переводить все домены в дереве в основной режим: часть доменов может работать в смешанном режиме. Однако наиболее полно возможности Active Directory будут реализованы, только если все домены дерева и леса будут работать в основном режиме.

Операция переключения режима работы домена является необратимой. Нельзя переключить домен в режим более низкого уровня (например, из основного режима в смешанный).

После повышения режима работы домена добавление контроллеров домена, работающих под управлением более ранних операционных систем, невозможно. Например, если повысить режим работы домена до Windows Server 2003, в этот домен нельзя будет добавить контроллеры домена, работающие под управлением Windows 2000 Server.

В этой статье описывается повышение режимов работы домена и леса, поддерживаемых контроллерами домена под управлением Microsoft Windows Server 2003 или более поздних версий. Доступно четыре выпуска Active Directory, но особого рассмотрения требуют только режимы, измененные по сравнению с Windows NT Server 4.0. Поэтому при описании других изменений режимов указываются новые, текущие или прежние версии операционной системы контроллера домена, домена или режима работы леса.

Режимы работы являются расширением концепций смешанного и основного режимов, которые были впервые реализованы в Microsoft Windows 2000 Server для активации новых возможностей Active Directory. Некоторые дополнительные возможности Active Directory доступны только в том случае, если все контроллеры домена в домене или лесу работают под управлением последней версии Windows Server, а также если администратор активировал соответствующие режимы работы в домене или в лесу.

Чтобы активировать новые возможности домена, все контроллеры домена в домене должны работать под управлением последней версии операционной системы Windows Server. При соблюдении этого условия администратор может повысить режим работы домена.
Чтобы активировать новые возможности леса, все контроллеры домена в лесу должны работать под управлением версии операционной системы Windows Server, соответствующей нужному режиму работы леса. Кроме того, необходимо повысить текущий режим работы домена. При соблюдении этих условий администратор может повысить режим работы леса.

Примечание. Применение новейших режимов работы домена и леса влияет только на взаимодействие контроллеров домена. Взаимодействие клиентов с доменом или с лесом остается без изменений. Кроме того, изменение режимов работы леса и домена не оказывает влияния на приложения. Однако приложения могут использовать новейшие возможности домена и леса.

Повышение режима работы

Внимание! Не повышайте режим работы, если используется или предполагается использовать контроллер домена, работающий под управлением более ранней версии, чем указано для этого режима. Например, для режима работы Windows Server 2008 все контроллеры домена в домене или лесу должны работать под управлением Windows Server 2008 или более поздней версии. Повышение режима работы леса можно отменить только с помощью восстановления леса. Это ограничение вызвано тем, что новые возможности часто изменяют способ связи между контроллерами домена или хранения данных Active Directory в базе данных.

Настроить режим работы домена и леса можно с помощью средства администрирования с графическим интерфейсом пользователя, описанного в статье TechNet о режимах работы Active Directory в Windows Server 2003 (http://technet.microsoft.com/ru-ru/library/cc759280(WS.10).aspx) . Эта статья предназначена для Windows Server 2003, однако описанные в ней действия применимы для более поздних версий операционной системы. Кроме того, режим работы можно настроить вручную или с помощью сценариев Windows PowerShell. Дополнительные сведения о настройке режима работы вручную см. в разделе "Просмотр и настройка режима работы".

Просмотр и настройка режима работы

Для просмотра и изменения текущих параметров режима работы домена или леса используются средства LDAP, такие как Ldp.exe и Adsiedit.msc. Изменять атрибуты режима работы вручную рекомендуется на контроллере домена, который обладает ролью FSMO и настраивается с помощью средств администрирования Майкрософт.

Параметры режима работы домена

  • DC=Mydomain
  • DC=ForestRootDom
  • DC=tld object
  • Значение равно 0 или не установлено: домен, работающий в смешанном режиме.
  • Значение равно 1: домен, работающий в режиме Windows Server 2003.
  • Значение равно 2: домен, работающий в режиме Windows Server 2003.
  • Значение равно 3: домен, работающий в режиме Windows Server 2008.
  • Значение равно 4: домен, работающий в режиме Windows Server 2008 R2.

Параметры смешанного и основного режимов

  • DC=Mydomain
  • DC=ForestRootDom
  • DC=tld object
  • Значение равно 0: домен, работающий в основном режиме.
  • Значение равно 1: домен, работающий в смешанном режиме.

Параметры режима работы леса

  • CN=Partitions
  • CN=Configuration
  • DC=ForestRootDom
  • DC=tld object
Недопустимая операция изменения. Некоторые параметры изменения не разрешены.

Быстрый просмотр текущих параметров с помощью средства Ldp.exe

  1. Запустите средство Ldp.exe.
  2. В меню Подключение выберите команду Подключить.
  3. Укажите нужный контроллер домена или оставьте поле пустым, чтобы подключиться к любому контроллеру домена.
  • 1> domainFunctionality: 2=(DS_BEHAVIOR_WIN2003)
  • 1> forestFunctionality: 0=(DS_BEHAVIOR_WIN2000)
  • 1> domainControllerFunctionality: 2=(DS_BEHAVIOR_WIN2003)

Требования для изменения режима работы вручную

  • Если соблюдено одно из указанных ниже условий, перед повышением уровня домена необходимо перевести его в основной режим.
    • Установлен режим работы домена 2 путем непосредственного изменения значения атрибута msdsBehaviorVersion объекта domainDNS программным способом.
    • Установлен режим работы домена 2 с помощью служебной программы Ldp.exe или Adsiedit.msc.
    SV_PROBLEM_WILL_NOT_PERFORM
    ERROR_DS_ILLEGAL_MOD_OPERATION

    Active Directory не удается изменить режим работы следующего домена, поскольку он работает в смешанном режиме.

    В этом случае перевести домен в основной режим можно с помощью оснасток MMC "Active Directory — пользователи и компьютеры" и "Active Directory — домены и доверие", а также путем программного изменения значения атрибута ntMixedDomain объекта domainDNS на 0. При использовании этого варианта изменения режима работы домена на 2 (Windows Server 2003) основной режим устанавливается автоматически.

    Тип события: Информация
    Источник события: SAM
    Код события: 16408
    Компьютер: имя_сервера
    Описание: «Режим работы домена был изменен на основной режим. Это изменение не может быть отменено».

    • Для атрибута msdsBehaviorVersion, отвечающего за режим работы домена, вручную или программным способом установлено значение 2.
    • Для режима работы леса любым способом установлено значение 2.

    Режимы работы, подходящие Windows 2000 Server

    Windows 2000 Server поддерживает только смешанный и основной режимы. Кроме того, эти режимы применяются только к функциональности домена. В следующих разделах приведен список режимов домена в Windows Server 2003, влияющих на обновление доменов Windows NT 4.0 и Windows 2000 Server.

    При повышении уровня операционной системы контроллера домена необходимо учитывать несколько факторов, вызванных ограничениями хранилища и репликации связанных атрибутов в режимах Windows 2000 Server.

    Смешанный режим Windows 2000 Server (по умолчанию)

    • Поддерживаемые контроллеры домена: Microsoft Windows NT 4.0, Windows 2000 Server, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2
    • Включенные функции: поддержка глобального каталога, локальных и глобальных групп.

    Основной режим Windows 2000 Server

    • Поддерживаемые контроллеры домена: Windows 2000 Server, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2
    • Включенные возможности: вложение групп, универсальные группы, журнал идентификаторов безопасности, преобразование между группами безопасности и группами рассылки, повышение режима домена с помощью изменения параметров режима леса.

    Промежуточный режим Windows Server 2003

    • Поддерживаемые контроллеры домена: Windows NT 4.0, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2
    • Поддерживаемые функции: включение функций для всего домена не предусмотрено. После перевода леса во временный режим все домены леса переходят в этот режим автоматически. Режим используется только в случае обновления контроллеров домена Windows NT 4.0 до Windows Server 2003.

    Windows Server 2003

    • Поддерживаемые контроллеры домена: Windows Server 2003, Windows Server 2008, Windows Server 2008 R2
    • Поддерживаемые функции: переименование контролера домена, обновление и репликация атрибута времени входа в систему. Поддержка пользовательских паролей для класса объектов InetOrgPerson. Принудительное делегирование, возможность перенаправления контейнеров пользователей и компьютеров.

    Промежуточный режим (обновление домена Windows NT 4.0)

    • Домен обновляется с Windows NT 4.0 до Windows Server 2003.
    • Резервные контроллеры домена Windows NT 4.0 обновляются не сразу.
    • Домен Windows NT 4.0 содержит группы с количеством участников более 5 000 (не включая группу "Пользователи домена").
    • В лесу не предполагается использовать контроллеры домена Windows Server 2000.
    1. Эффективная репликация групп безопасности и поддержка групп с числом участников более 5 000.
    2. Усовершенствованный алгоритм создания межузловой топологии путем проверки согласованности знаний (КСС).

    Установка промежуточного режима Windows Server 2003 работы леса

    1. В процессе обновления.

    Рекомендации

    Этот раздел состоит из двух частей, в которых представлены рекомендации по изменению режимов работы. В первой части ("Подготовка") приводятся действия, которые требуется выполнить перед изменением режима работы, а во второй части ("Оптимальные способы") рассматриваются несколько сценариев изменения режима.

    1. На любом компьютере под управлением Windows Server 2003 откройте оснастку Active Directory — пользователи и компьютеры.
    2. Если контроллер домена не подключен к соответствующему домену, выполните следующие действия:
      1. Правой кнопкой мыши щелкните объект текущего домена и выберите команду Подключение к домену.
      2. В диалоговом окне Домен введите DNS-имя домена, к которому требуется подключиться, и нажмите кнопку ОК. Либо нажмите кнопку Обзор, выберите домен из дерева и нажмите кнопку ОК.
      • контроллер домена находится под управлением Windows NT 4.0 и нуждается в обновлении;
      • контроллер домена обновлен до Windows Server 2003, однако изменения не реплицированы на целевой контроллер домена;
      • контроллер домена больше не обслуживается, но соответствующий объект компьютера не удален из домена.

      Примечание. В отличие от контроллеров домена под управлением Windows Server 2000, контроллеры домена под управлением Windows NT 4.0 не блокируют изменение режима работы. При изменении режима работы домена репликация на контроллеры домена под управлением Windows NT 4.0 прекращается. Однако при изменении режима леса на Windows Server 2003 с доменами Windows 2000 смешанный режим блокируется. Предполагается, что резервные контроллеры домена под управлением Windows NT 4.0 отсутствуют, если соблюдено требование для режима леса, согласно которому все домены должны работать в основном режиме Windows Server 2000 или более поздней версии.

      Пример. Подготовка к изменению уровня

      В этом примере в среде смешанный режим Windows Server 2000 изменяется на режим леса Windows Server 2003.

      1. Чтобы найти домены, работающие в смешанном режиме, контроллеры домена под управлением Windows Server 2000 либо контроллеры домена с поврежденными или отсутствующими объектами, воспользуйтесь оснасткой "Active Directory — домены и доверие".
      2. Выберите команду Изменить режим работы леса и нажмите кнопку Сохранить как для создания подробного отчета.
      3. Если проблемы не обнаружены, в раскрывающемся списке Доступные режимы работы леса можно выбрать параметр для изменения режима работы леса до Windows Server 2003. При попытке повысить режим работы леса объекты контроллеров домена в контейнерах конфигурации просматриваются в поисках контроллеров домена, у которых для атрибута msds-behavior-version не установлен нужный режим. Предполагается, что они являются объектами контроллеров домена под управлением Windows Server 2000 или поврежденными объектами контроллеров домена под управлением более поздней версии Windows Server.
      4. Найденные контроллеры домена под управлением операционных систем более ранних версий, а также контроллеры домена с поврежденными или отсутствующими объектами компьютера включаются в отчет. Необходимо изучить состояние таких контроллеров домена, а затем с помощью средства Ntdsutil восстановить или удалить их из Active Directory.
      Убедитесь, что в лесу выполняется репликация от точки до точки

      • Repadmin/Replsum * /Sort:Delta[/Errorsonly] (исходная инвентаризация).
      • Repadmin/Showrepl * /CSV>showrepl.csv. Импортируйте этот файл в Excel и запустите команду «Автофильтр» из меню «Данные» для идентификации свойств репликации.

      • Отключите, как минимум, два контроллера домена в каждом домене леса.
      • Создайте резервную копию состояния системы, как минимум, двух контроллеров домена в каждом домене леса.

      Примечание. Изменение режима работы невозможно принудительно восстановить. Это означает, что все контроллеры домена, для которых выполнена репликация изменения режима, необходимо списать.

      После этого используйте отключенные контроллеры домена или восстановите резервные копии контроллеров домена. Удалите метаданные на остальных контроллерах домена и снова повысьте их роль. Это сложный процесс, которого по возможности следует избегать.

      Пример. Переход со смешанного режима Windows Server 2000 на режим леса Windows Server 2003

      • Режим работы леса меняется только один раз. Нет необходимости переводить каждый домен леса в режим работы Windows Server 2003 в ручном режиме.
      • Перед изменением режима работы производится проверка контроллеров домена под управлением Windows Server 2000 (см. действия по подготовке). Изменение режима блокируется до тех пор, пока проблемные контроллеры домена не обновлены или не удалены. Создается подробный отчет, в котором содержится список блокированных контроллеров домена и сведения о необходимых действиях.
      • Производится проверка доменов, которые работают в смешанном режиме Windows Server 2000 или в промежуточном режиме Windows Server 2003. Изменение режима блокируется до перевода этих доменов по меньшей мере в основной режим Windows Server 2000. Домены, работающие во временном режиме, необходимо перевести в режим Windows Server 2003. Создается подробный отчет, который содержит список несовместимых доменов.

      Обновления Windows NT 4.0

      • Выберите временный режим с помощью программы Dcpromo. Такая возможность существует только при включении основного контроллера домена в новый лес.
      • Измените режим существующего леса на временный и подключите лес в процессе обновления основного контроллера домена. Обновленный домена наследует параметры конфигурации леса.
      • После обновления или удаления всех резервных контроллеров домена под управлением Windows NT 4.0 каждый домен необходимо перевести в режим работы леса (возможно Windows Server 2003).

      Замечания относительно больших групп в Windows NT 4.0

      В существующих продолжительное время доменах Windows NT 4.0 могут быть группы безопасности, которые содержат более 5 000 участников. В Windows NT 4.0 изменение одного члена группы безопасности приводит к репликации на резервные контроллеры домена только этого изменения. В Windows Server 2000 участие в группах определяется с помощью связанных атрибутов, которые хранятся в одном многозначном атрибуте объекта группы. Одно изменение в составе группы приводит к репликации всей группы одним блоком. По этой причине существует опасность «потери» обновлений состава групп, когда разные члены одновременно добавляются или удаляются на разных контроллерах домена. Кроме того, размер такого объекта может превышать размер буфера, который используется для внесения записи в базу данных. Дополнительные сведения см. в разделе «Хранилище версии и группы с большим количеством членов» этой статьи. По этой причине не рекомендуется использовать группы с количеством членов больше 5000.

      Исключением из этого правила является основная группа (по умолчанию группа "Пользователи домена"). В группе "Пользователи домена" для определения участия используется механизм вычисления на основе атрибута primarygroupID, а участники не хранятся в многозначных связанных атрибутах. Если основная группа пользователя меняется, участие в группе "Пользователи домена" записывается в связанный атрибут группы и больше не вычисляется. Новый относительный идентификатор записывается в атрибут primarygroupID, а пользователи удаляются из атрибута участия группы.

      1. Найдите группы с количеством членом больше 5000 (кроме группы «Пользователи домена»).
      2. Разделите такие группы так, чтобы количество участников не превышало 5 000.
      3. Найдите все списки управления доступом, в которых содержатся большие группы, и добавьте в них небольшие группы, созданные в действии 2.

      Проблемы с хранилищем версий при наличии групп с большим количеством участников

      Во время выполнения продолжительных операций, таких как расширенный поиск или фиксация в единый большой атрибут, состояние базы данных Active Directory должно быть статичным. Например, такие операции могут выполняться для большой группы, использующей устаревшее хранилище.

      Поскольку обновления базы данных постоянно осуществляются локально и через партнеров репликации, статичное состояние Active Directory обеспечивается путем организации очереди из всех входящих изменений до завершения продолжительной операции. После окончания этой операции все изменения из очереди применяются к базе данных.

      Место для хранения этих изменений называется хранилищем версий и равно приблизительно 100 МБ. Размер хранилища версий зависит от физической памяти. Если хранилище версий заполняется до завершения продолжительных операций, контроллер домена перестает принимать обновления до выполнения этих операций и применения изменений. Группы с большим количеством участников (более 5 000) могут привести к заполнению хранилища версий во время выполнения продолжительных операций.

      В Windows Server 2003 доступен новый механизм репликации для связанных многозначных атрибутов — репликация связанного значения. Вместо репликации всей группы в единой операции, выполняется репликация отдельных участников группы в отдельных операциях. Репликация связанного значения становится доступна при повышении режима работы леса до промежуточного режима Windows Server 2003 или режима леса Windows Server 2003. В этих режимах работы данный механизм используется для репликации групп между контролерами домена под управлением Windows Server 2003.

      Читайте также: