Win+2000域升級到Win+2003域的詳細步驟

2023年12月8日發(作者：分鏡頭腳本表格)

Win 2000域升級到Win 2003域的詳細步驟

Win 2000域升級到Win 2003域的詳細步驟

從Windows 2000域升級到Windows 2003域的問題，建議您參考以下步驟：

一．確認當前的Windows 2000域控制器工作正常，并且都打了Service Pack 4和最新的安全補丁。

二．確認Windows 2000活動目錄中的5個FSMO角色都在第一臺Windows 2000域控制器上（默認情況就是這樣的）

這五個 FSMO 角色是：

? 架構主機 - 每個目錄林中有一個主機角色擔任者。架構主機 FSMO 角色的擔任者是負責對目錄架構執行更新的域控制器 (DC)。

? 域命名主機 - 每個目錄林中有一個主機角色擔任者。域命名主機 FSMO 角色的擔任者是負責對目錄的目錄林范圍的域名空間進行更改的 DC。

? 結構主機 - 每個域中有一個主機角色擔任者。結構主機 FSMO 角色的擔任者是負責在一個跨域的對象引用中更新對象的 SID 和辨別名的 DC。

? RID 主機 - 每個域中有一個主機角色擔任者。RID 主機 FSMO 角色的擔任者是負責處理來自某一給定域中的所有 DC 的“RID 池”請求的單個 DC。

? PDC 模擬器 - 每個域中有一個主機角色擔任者。PDC 模擬器 FSMO 角色的擔任者是一個向較早版本的工作站、成員服務器和域控制器公布自己是主域控制器 (PDC) 的 Windows 2000 DC。它還是域主瀏覽器并負責處理密碼差異。

三、在Windows 2000域控制器的光驅中插入Windows Server 2003安裝光盤。在命令行方式下進入光盤上的I386目錄，運行以下命令：adprep /forestprep。該命令成功完成之后，再運行以下命令：adprep /domainprep。

四、完成這一步之后，我們便擴展了當前的Windows 2000活動目錄林的架構，這樣就可以將Windows

Server 2003加入到活動目錄林中作為其中的域控制器，或者將現有的Windows 2000域控制器升級為Windows Server 2003。

《如何將 Windows 2000 域控制器升級到 Windows Server 2003》：

概述：將 Windows 2000 域控制器升級到 Windows Server 2003

您在 Windows Server 2003 介質的 I386 文件夾中運行的 Windows Server 2003 adprep 命令將準備

Windows 2000 林及其域，以添加 Windows Server 2003 域控制器。Windows Server 2003 adprep

/forestprep 命令添加以下特性：

?

用于對象類的已改進的默認安全描述符

?

新的用戶和組屬性

?

類似于 inetOrgPerson 的新的架構對象和屬性

adprep 實用工具支持兩個命令行參數：

adprep /forestprep：運行林升級操作。

adprep /domainprep：運行域升級操作。

adprep /forestprep 命令是在林的架構操作主機 (FSMO) 上執行的一次性操作。forestprep 操作必須完成并復制到每個域的結構主機上，然后您才能在該域中運行 adprep /domainprep。

adprep /domainprep 命令是在林中每個將承載新的或升級的 Windows Server 2003 域控制器的域的結構操作主機域控制器上運行的一次性操作。adprep /domainprep 命令驗證 forestprep 所做的更改是否已經在域分區中復制，然后對 Sysvol 共享中的域分區和組策略進行自己的更改。

除非 /forestprep 和 /domainprep 操作已經完成并復制到該域中的所有域控制器中，否則您將無法執行以下任何一項操作：

?

使用 將 Windows 2000 域控制器升級到 Windows Server 2003 域控制器。

注意：可以隨時將 Windows 2000 成員服務器和計算機升級到 Windows Server 2003 成員計算機。?

使用 將新的 Windows Server 2003 域控制器提升到域中。

承載架構操作主機的域是唯一一個您必須在其中運行 adprep /forestprep 和 adprep /domainprep

這兩者的域。在所有其他域中，您只需運行 adprep /domainprep。

adprep /forestprep 和 adprep /domainprep 命令不會向全局編錄部分屬性集中添加屬性，也不會引起全局編錄完全同步。RTM 版本的 adprep /domainprep 確實會引起 Sysvol 樹中的 Policies 文件夾完全同步。即便將 forestprep 和 domainprep 運行數次，完整操作也只會執行一次。

在 adprep /forestprep 和 adprep /domainprep 所做的更改完全復制后，可以通過運行 Windows

Server 2003 介質的 I386 文件夾內的 將 Windows 2000 域控制器升級到 Windows

Server 2003。另外，還可以使用 將新的 Windows Server 2003 域控制器添加到域中。

使用 adprep /forestprep 命令升級林

要準備 Windows 2000 林和域以接受 Windows Server 2003 域控制器，請先在實驗室環境中按照以下步驟操作，然后再在生產環境中按照以下步驟操作：

1.

確保已經完成了“清點林”階段的所有操作，尤其要注意以下幾項：

a.

已經創建了系統狀態備份。

b.

林中的所有 Windows 2000 域控制器都已經安裝了所有適當的修補程序和 Service Pack。

c.

Active Directory 的端到端復制在整個林中發生

d.

FRS 在每個域中都正確復制了文件系統策略。

2.

3.

使用作為 Schema Admins 安全組成員的帳戶登錄架構操作主機的控制臺。

通過在 Windows NT 命令提示符處鍵入以下內容來驗證架構 FSMO 是否已經執行了架構分區的入站復制：

repadmin/showreps

（repadmin 由 Active Directory 的 SupportTools 文件夾安裝）。

4.

早期的 Microsoft 文檔建議您在運行 adprep /forestprep 之前先在專用網絡上隔離架構操作主機。但實際經驗表明此步驟是不必要的，并且可能會使得架構操作主機在專用網絡上重新啟動時拒絕架構更改。如果您要隔離 adprep 所創建的架構添加，Microsoft 建議使用 repadmin 命令行實用工具暫時禁用 Active Directory 的出站復制。為此，請按照下列步驟操作：

a.

單擊“開始”，單擊“運行”，鍵入 cmd，然后單擊“確定”。

b.

鍵入以下命令，然后按 Enter：

repadmin /options +DISABLE_OUTBOUND_REPL

5.

在架構操作主機上運行 adprep。為此，請依次單擊“開始”和“運行”，鍵入 cmd，然后單擊“確定”。在架構操作主機上，鍵入以下命令

X:I386adprep /forestprep

其中 X:I386 是 Windows Server 2003 安裝介質的路徑。此命令運行林范圍的架構升級。

注意：可以忽略目錄服務事件日志中記錄的事件 ID 為 1153 的事件（例如下面的示例）：

類型: 錯誤

來源: NTDS General

類別: 內部處理

事件 ID: 1153

日期: MM/DD/YYYY

時間: HH:MM:SS AM|PM

用戶: Everyone 計算機: <某 DC>

描述: 類標識符 655562 (類名為 msWMI-MergeablePolicyTemplate)具有無效超類 655560。已忽略繼承。

6.

驗證 adprep /forestprep 命令是否已在架構操作主機上成功運行。為此，從架構操作主機的控制臺中，驗證以下幾項：

?

adprep /forestprep 命令是否已順利地完成。

?

CN=Windows2003Update 對象是否寫在

CN=ForestUpdates,CN=Configuration,DC=forest_root_domain 下。記下 Revision 屬性的值。

?

（可選）架構版本遞增到版本 30。為此，請參閱

CN=Schema,CN=Configuration,DC=forest_root_domain 下的 ObjectVersion 屬性。

如果 adprep /forestprep 未運行，請驗證以下幾項：

?

位于安裝介質的 I386 文件夾中的 的完全限定路徑是否是在運行 adprep 時指定的。為此，請鍵入以下命令：

x:i386adprep /forestprep

其中 x 是承載安裝介質的驅動器。

?

運行 adprep 的已登錄用戶具有 Schema Admins 安全組的成員資格。要驗證這一點，請使用

whoami /all 命令。

?

如果 adprep 仍然不起作用，請查看 %systemroot%System32DebugAdprepLogsLatest_log 文件夾中的

文件。

7.

如果在步驟 4 中禁用了架構操作主機上的出站復制，請啟用該復制，以使 adprep /forestprep 所做的架構更改可以傳播。為此，請按照下列步驟操作： a.

單擊“開始”，單擊“運行”，鍵入 cmd，然后單擊“確定”。

b.

鍵入以下命令，然后按 Enter：

repadmin /options -DISABLE_OUTBOUND_REPL

8.

驗證是否已將 adprep /forestprep 更改復制到林中的所有域控制器上。這在監視以下屬性時很有用：

a.

遞增架構版本

b. CN=Windows2003Update,

CN=ForestUpdates,CN=Configuration,DC=forest_root_domain 或

CN=Operations,CN=DomainUpdates,CN=System,DC=forest_root_domain 及其下的操作 GUID 已經復制到其中。

c.

搜索新的架構類、對象、屬性或 adprep /forestprep 添加的其他更改，如 inetOrgPerson。查看 %systemroot%System32 文件夾中的 文件（其中 XX 是一個介于 14 和

30 之間的數字），以確定該文件中應該有哪些對象和屬性。例如， 中定義了

inetOrgPerson。

9.

查找錯位的 LDAPDisplayName。

如果在運行 Windows Server 2003 adprep /forestprep 命令之前安裝了 Exchange 2000，請查看 Microsoft 知識庫中的以下文章：

314649 Windows Server 2003 adprep /forestprep 命令導致包含 Exchange 2000 Server 的

Windows 2000 林中出現錯位的屬性

如果找到錯位的名稱，請轉到本文中的“情形 3”。

Admins 安全組成員的帳戶，登錄架構操作主機的控制臺。10.

使用作為承載架構操作主機的林的 Schema

使用 adprep /domainprep 命令升級域

在 /forestprep 更改完全復制到每個將要承載 Windows Server 2003 域控制器的域中的結構主機域控制器上之后，運行 adprep /domainprep。為此，請按照下列步驟操作：

Admins 安全組成員的1.

找到要升級的域中的結構主機域控制器，然后使用作為要升級的域中的 Domain

帳戶登錄。

注意：企業管理員可能不是林的子域的 Domain Admins 安全組的成員。

2.

在結構主機上運行 adprep /domainprep。為此，請依次單擊“開始”和“運行”，鍵入 cmd，然后在結構主機上鍵入以下命令：

X:I386adprep /domainprep

其中 X:I386 是 Windows Server 2003 安裝介質的路徑。此命令在目標域中運行域范圍的更改。

注意：adprep /domainprep 命令會修改 Sysvol 共享中的文件權限。這些修改會導致該目錄樹中的文件完全同步。

3.

驗證 domainprep 是否已成功完成。為此，請驗證以下幾項：

?

adprep /domainprep 命令是否已順利完成。 ?

CN=Windows2003Update,CN=DomainUpdates,CN=System,DC=<要升級的域的域名路徑> 是否存在

如果 adprep /domainprep 未運行，請驗證以下幾項：

?

運行 adprep 的已登錄用戶是否具有要升級的域的 Domain Admins 安全組的成員資格。為此，請使用 whoami /all 命令。

?

位于安裝介質 I386 目錄中的 的完全限定路徑是否是在運行 adprep 時指定的。為此，請在命令提示符處鍵入以下命令：

x:i386adprep /forestprep

其中 x 是承載安裝介質的驅動器。

?

如果 adprep 仍然不起作用，請查看 %systemroot%System32DebugAdprepLogsLatest_log 文件夾中的

文件。

4.

驗證是否已經復制了 adprep /domainprep 更改。為此，對于域中的其余域控制器，請驗證以下幾項：

?

CN=Windows2003Update,CN=DomainUpdates,CN=System,DC=<要升級的域的域名路徑> 對象是否存在，以及 Revision 屬性的值與域的結構主機的同一屬性的值是否匹配。

?

（可選）查找 adprep /domainprep 添加的對象、屬性或訪問控制列表 (ACL) 更改。

在其余域的結構主機上批量重復步驟 1-4，或者在您向這些域中添加域控制器或將域控制器升級到

Windows Server 2003 時重復這些步驟。現在，可以使用 DCPROMO 將新的 Windows Server

2003 計算機提升到林中。也可以使用 將現有的 Windows 2000 域控制器升級到

Windows Server 2003。

回到頂端

使用 升級 Windows 2000 域控制器

/forestprep 和 /domainprep 所做的更改完全復制而且您已經決定了與早期版本的客戶端的安全互操作性之后，就可以將 Windows 2000 域控制器升級到 Windows Server 2003 并將新的 Windows Server

2003 域控制器添加到域中。

以下計算機必須是林的每個域中最先運行 Windows Server 2003 的域控制器：

?

林中的域命名主機，以便可以創建默認的 DNS 程序部分。

?

林根域的主要域控制器，以便 Windows Server 2003 的 forestprep 添加的企業范圍的安全主體變得對 ACL 編輯器可見。

?

每個非根域中的主要域控制器，以便可以創建新的域特定的 Windows 2003 安全主體。

為此，請使用 WINNT32 升級承載您所需的操作角色的現有域控制器。或者，將該角色傳遞給新提升的

Windows Server 2003 域控制器。對使用 WINNT32 升級到 Windows Server 2003 的每個 Windows

2000 域控制器以及您提升的每個 Windows Server 2003 工作組或成員計算機執行下列步驟： 1.

在使用 WINNT32 升級 Windows 2000 成員計算機和域控制器之前，刪除 Windows 2000 管理工具。為此，請使用“控制面板”中的“添加/刪除程序”工具。（僅限 Windows 2000 升級。）

2.

3.

安裝 Microsoft 或管理員認為重要的所有修補程序文件或其他修補程序。

檢查每個域控制器，查找可能的升級問題。為此，請從安裝介質的 I386 文件夾運行以下命令：

/checkupgradeonly

解決兼容性檢查確定的所有問題。

4.

5.

從安裝介質的 I386 文件夾運行 ，然后重新啟動已升級的 2003 域控制器。

根據需要降低早期版本的客戶端的安全設置。

如果 Windows NT 4.0 客戶端上沒有安裝 NT 4.0 SP6，或者 Windows 95 客戶端上沒有安裝目錄服務客戶程序，請在“域控制器”組織單元的“默認域控制器”策略中禁用 SMB Service 簽名，然后將此策略鏈接到承載域控制器的所有組織單元。

Computer ConfigurationWindows SettingsSecurity SettingsLocal PoliciesSecurity

OptionsMicrosoft Network Server: 數字簽名的通信(總是)

6.

使用以下數據點驗證升級是否成功：

?

升級已成功完成。

?

您添加到安裝中的修補程序成功替換了原來的二進制文件。

?

對于域控制器控制的所有命名上下文，都發生 Active Directory 的入站和出站復制。

?

Netlogon 和 Sysvol 共享存在。

?

事件日志指示域控制器及其服務的運行正常。

注意：升級后可能會收到以下事件消息：

類型: 錯誤

來源: NTDS Backup

類別: 備份

事件 ID: 1913

日期: Date

時間: HH:MM:SSAM|PM

用戶: N/A

計算機: computername

描述: 內部事件: Active Directory 備份和還原操作遇到意外錯誤。備份或還原不會成功，直到更正此問題。

可以放心地忽略此事件消息。

7.

安裝 Windows Server 2003 管理工具（僅限 Windows 2000 升級和 Windows Server 2003 非域控制器）。 位于 Windows Server 2003 CD-ROM 的 I386 文件夾內。Windows Server 2003 介質上的 文件中包含已更新的支持工具。確保重新安裝此文件。

8.

至少創建林中每個域的前兩個已升級到 Windows Server 2003 的 Windows 2000 域控制器的新備份。在鎖定的存儲中找到已升級到 Windows Server 2003 的 Windows 2000 計算機的備份，這樣您就不會無意間使用它們來還原現在運行 Windows Server 2003 的域控制器。

9.

（可選）在單實例存儲 (SIS) 已經完成后，在升級到 Windows Server 2003 的域控制器上執行

Active Directory 數據庫的脫機碎片整理（僅限 Windows 2000 升級）。

SIS 檢查存儲在 Active Directory 中的對象的現有權限，然后將更高效的安全描述符應用于這些對象。當已升級的域控制器首次啟動 Windows Server 2003 操作系統時，SIS 將自動啟動（通過目錄服務事件日志中的事件 1953 來確定）。只有當目錄服務事件日志中記錄了事件 ID 為 1966 的事件消息時，才會從已改進的安全描述符存儲中受益：

類型: 信息

來源: NTDS SDPROP

類別: 內部處理

事件 ID: 1966

日期: MM/DD/YYYY

時間: HH:MM:SS AM|PM

用戶: NT AUTHORITYANONYMOUS LOGON

計算機:

描述: 安全描述符傳播程序已經完成了一次完整的傳播。

分配的空間量(MB):

XX 空閑的空間量(MB): XX

這可能增加 Active Directory 數據庫中空閑的空間量。

用戶操作: 考慮脫機數據庫碎片整理以回收 Active Directory 數據庫中可用空閑的空間。有關更多信息，請參閱在 的幫助和支持中心。

此事件消息指示單實例存儲操作已經完成，并充當管理員使用 執行

脫機碎片整理的隊列。

脫機碎片整理可以使 Windows 2000 文件的大小減小多達 40%，提高 Active Directory

的性能，并更新數據庫中的頁面以便更高效地存儲“Link Valued”屬性。 有關如何對 Active Directory

數據庫執行碎片整理的更多信息，請單擊下面的文章編號，以查看 Microsoft 知識庫中相應的文章：

232122 對 Active Directory 數據庫執行脫機碎片整理

10.

研究 DLT Server 服務。Windows Server 2003 域控制器在全新安裝和升級安裝中禁用 DLT

Server 服務。如果您單位中的 Windows 2000 或 Windows XP 客戶端使用 DLT Server 服務，請使用“組策略”啟用新的或已升級的 Windows Server 2003 域控制器中的 DLT Server 服務。否則，請從 Active Directory 中逐步刪除分布式鏈接跟蹤對象。 有關更多信息，請單擊下面的文章編號，以查看 Microsoft 知識庫中相應的文章：

312403 基于 Windows 的域控制器上的分布式鏈接跟蹤

315229 Microsoft 知識庫文章 Q312403 中的 的文本版本

如果批量刪除數千個 DLT 對象或其他對象，復制可能會由于缺少版本存儲而阻塞。刪除最后一個 DLT 對象后，請等待 tombstonelifetime 天數（默認為 60 天）并等待垃圾回收完成，然后使用

對 文件執行脫機碎片整理。

Directory 域內主動部署最佳做11.

配置最佳做法組織單元結構。Microsoft 建議管理員在所有的 Active

法組織單元結構，并且在 Windows 域模式下升級或部署 Windows Server 2003 域控制器后，將早期版本的 API 用來創建用戶、計算機和組的默認容器重定向到管理員指定的組織單元容器中。

有關最佳做法組織單元結構的其他信息，請查看“Best Practice Active Directory Design for

Managing Windows Networks”（用于管理 Windows 網絡的 Active Directory 最佳做法設計）白皮書中的“Creating an Organizational Unit Design”（創建組織單元設計）部分。要查看該白皮書，請訪問下面的 Microsoft 網站：

/zh-cn/library/bb727085(en-us).aspx

有關更改早期版本的 API 創建的用戶、計算機和組所在的默認容器的更多信息，請單擊下面的文章編號，以查看 Microsoft 知識庫中的相應文章：

324949 重定向 Windows Server 2003 域中的用戶和計算機容器

12.

對于林中的每個新的或升級的 Windows Server 2003 域控制器，請根據需要重復步驟 1 至步驟

10，對于每個 Active Directory 域，請執行步驟 11（最佳做法組織單元結構）。

總之：

?

使用 WINNT32 升級 Windows 2000 域控制器（通過補充安裝介質（如果使用））

?

驗證經過修補的文件是否已經安裝到已升級的計算機上

?

安裝未包含在安裝介質中的所有所需的修補程序

?

驗證新的或已升級的服務器（AD、FRS、Policy 等等）是否正常運行

?

操作系統升級 24 小時后執行脫機碎片整理（可選）

?

如果必須啟動 DLT Service，則啟動它；否則使用 q312403 / q315229 post forest wide

domainpreps 刪除 DLT 對象

?

刪除 DLT 對象后過 60 天或更長時間（tombstone 生存時間和垃圾回收天數）執行脫機碎片整理

?五、在新購買的計算機上安裝Windows Server 2003，并打上最新的安全補丁。

六、確認這臺Windows Server 2003網絡連接正常，可以訪問域控制器和DNS服務器。將其配置為使用固定IP地址，并指定DNS服務器地址。

七、在Windows Server 2003上運行dcpromo命令將其升級為域控制器，并在升級時選擇使其成為現有Windows 2000域的額外的域控制器。

八、在Windows Server 2003上安裝DNS服務，確認它已經和原來的Windows 2000 DNS服務器上的數據復制同步后，將它的DNS服務器地址指向自己。

九、將這臺Windows Server 2003域控制器設為全局編錄（Glocal Catalog）服務器具體方法請參考下面這篇文檔：《How to promote a domain controller to a global catalog rver》：

要將域控制器提升為全局編錄服務器, 請按照下列步驟操作： 1.

然后單擊 lActiveDirectory 站點和服務 , 域控制器上， 指向 程序 、 開始 和

AdministrativeTools 。

2.

在控制臺樹, 雙擊 站點 ， 雙擊名稱與站點, 并雙擊 服務器 。

3.

雙擊目標域控制器。

4.

在詳細信息窗格中, 右擊 NTDSSettings , 然后單擊 屬性 。

5.

在 常規 選項卡, 單擊以選擇 全局編錄 復選框。

6.

重新啟動域控制器。

升級域控制器到全局編錄服務器需要很長時間。 當域控制器重新, 確保沒有足夠時間帳戶和架構信息將從原始域控制器在刪除原始全局編錄之前復制到新全局編錄服務器。

十、.將原來的Windows 2000域控制器上的5個FSMO角色轉移到這臺Windows Server 2003域控制器上，具體方法如下:

a、轉移特定于域的角色： RID、PDC 和結構主機

1. 單擊開始，指向程序，指向管理工具，然后單擊“Active Directory 用戶和計算機”。

2. 右鍵單擊“Active Directory 用戶和計算機”一旁的圖標，然后單擊“連接到域控制器”。備注：如果您不在要轉移其角色的域控制器上，則需要執行此步驟。如果您連接著要轉移其角色的那一域控制器，則不必執行此步驟。

3. ：如果您不在要轉移其角色的域控制器上，則需要執行此步驟。如果您連接著要轉移其角色的那一域控制器，則不必執行此步驟。單擊將成為新的角色擔任者的域控制器，然后單擊確定。

4. ：如果您不在要轉移其角色的域控制器上，則需要執行此步驟。如果您連接著要轉移其角色的那一域控制器，則不必執行此步驟。右鍵單擊“Active Directory 用戶和計算機”圖標，然后單擊操作主機。

5. ：如果您不在要轉移其角色的域控制器上，則需要執行此步驟。如果您連接著要轉移其角色的那一域控制器，則不必執行此步驟。在更改操作主機對話框中，單擊與您要轉移的角色對應的選項卡（RID、PDC 或結構）。

6. ：如果您不在要轉移其角色的域控制器上，則需要執行此步驟。如果您連接著要轉移其角色的那一域控制器，則不必執行此步驟。單擊更改操作主機對話框中的更改。 7. ：如果您不在要轉移其角色的域控制器上，則需要執行此步驟。如果您連接著要轉移其角色的那一域控制器，則不必執行此步驟。單擊確定以確認您想轉移的角色。 8. ：如果您不在要轉移其角色的域控制器上，則需要執行此步驟。如果您連接著要轉移其角色的那一域控制器，則不必執行此步驟。單擊確定。

9. ：如果您不在要轉移其角色的域控制器上，則需要執行此步驟。如果您連接著要轉移其角色的那一域控制器，則不必執行此步驟。單擊取消關閉對話框。

b.轉移域命名主機角色

1. 單擊開始，指向程序，指向管理工具，然后單擊“Active Directory 域和信任關系”。

2. 右鍵單擊“Active Directory 域和信任關系”圖標，然后單擊“連接到域控制器”。備注：如果您不在要轉移其角色的域控制器上，則需要執行此步驟。如果您連接著要轉移其角色的那一域控制器，則不必執行此步驟。

3. ：如果您不在要轉移其角色的域控制器上，則需要執行此步驟。如果您連接著要轉移其角色的那一域控制器，則不必執行此步驟。單擊將成為新的角色擔任者的域控制器，然后單擊確定。

4. ：如果您不在要轉移其角色的域控制器上，則需要執行此步驟。如果您連接著要轉移其角色的那一域控制器，則不必執行此步驟。右鍵單擊“Active Directory 域和信任關系”，然后單擊操作主機。 5. ：如果您不在要轉移其角色的域控制器上，則需要執行此步驟。如果您連接著要轉移其角色的那一域控制器，則不必執行此步驟。在更改操作主機對話框中，單擊更改。

6. ：如果您不在要轉移其角色的域控制器上，則需要執行此步驟。如果您連接著要轉移其角色的那一域控制器，則不必執行此步驟。單擊確定以確認您想轉移的角色。 7. ：如果您不在要轉移其角色的域控制器上，則需要執行此步驟。如果您連接著要轉移其角色的那一域控制器，則不必執行此步驟。單擊確定。

8. ：如果您不在要轉移其角色的域控制器上，則需要執行此步驟。如果您連接著要轉移其角色的那一域控制器，則不必執行此步驟。單擊取消關閉對話框。

c.轉移架構主機角色 您可以使用“架構主機”工具來轉移此角色。不過，必須已注冊了 動態鏈接庫以使該“架構”工具可以作為一個 MMC 被訪問到。注冊架構工具

1. 單擊開始，然后單擊運行。

2. 鍵入 regsvr32 ，然后單擊確定。應顯示出一條指出注冊成功的消息。 轉移架構主機角色 1. 單擊開始，單擊運行，鍵入 mmc，然后單擊確定。 2. 在控制臺菜單上，單擊“添加/刪除管理單元”。

3. 單擊添加。

4. 單擊 Active Directory 架構。

5. 單擊添加。

6. 單擊關閉以關閉添加獨立管理單元對話框。

7. 單擊確定以將此管理單元添加到控制臺。

8. 右鍵單擊 Active Directory 架構圖標，然后單擊更改域控制器。備注：如果您不在要轉移其角色的域控制器上，則需要執行此步驟。如果您連接著要轉移其角色的那一域控制器，則不必執行此步驟。

9. ：如果您不在要轉移其角色的域控制器上，則需要執行此步驟。如果您連接著要轉移其角色的那一域控制器，則不必執行此步驟。單擊 Specify Domain Controller（指定域控制器），鍵入將成為新的角色擔任者的域控制器的名稱，然后單擊確定。 10. ：如果您不在要轉移其角色的域控制器上，則需要執行此步驟。如果您連接著要轉移其角色的那一域控制器，則不必執行此步驟。右鍵單擊 Active Directory 架構，然后單擊操作主機。

11. ：如果您不在要轉移其角色的域控制器上，則需要執行此步驟。如果您連接著要轉移其角色的那一域控制器，則不必執行此步驟。在更改架構主機對話框中，單擊更改。

12. ：如果您不在要轉移其角色的域控制器上，則需要執行此步驟。如果您連接著要轉移其角色的那一域控制器，則不必執行此步驟。單擊確定。

13. ：如果您不在要轉移其角色的域控制器上，則需要執行此步驟。如果您連接著要轉移其角色的那一域控制器，則不必執行此步驟。單擊確定。

14. ：如果您不在要轉移其角色的域控制器上，則需要執行此步驟。如果您連接著要轉移其角色的那一域控制器，則不必執行此步驟。單擊取消關閉對話框。當最后一步轉移結構主機角色時可能會提示“當前域控制器是全局編錄服務器，不要將結構主機角色轉移到該域控制器上”，由于是在單域環境中，直接確認忽略該提示即可。

十一、.完成以上操作之后，新的Windows Server 2003域控制器便替代了原來的第一臺Windows 2000域控制器的角色，但我們需要等待一段時間使原來的Windows 2000域控制器上的和全局編錄及FSMO角色相關的活動目錄信息完全復制到Windows Server 2003域控制器上。建議您觀察一兩天時間，并確認新的Windows Server 2003域控制器/DNS服務器一切工作正常后，再將原來的Windows 2000域控制器降級。

十二、.當所有的Windows 2000域控制器都成功降級，當前域中只剩下Windows Server 2003域控制器后，我們便可以提升當前域/活動目錄林的功能級別，以便應用Windows 2003活動目錄中的一些新特性，具體方法和注意事項請參考下面這篇文檔：《如何在 Windows Server 2003 中提升域和目錄林功能級別》： 提升域功能級別

警告：如果您已有或將要有任何 Windows NT 4.0 或更早版本的域控制器，則不要提升域功能級別。一旦將域功能級別提升到 Windows 2000 純模式或是 Windows Server 2003，則無法再更改回 Windows 2000 混合模式域。

1.

使用域管理員憑據登錄到域 PDC 上。

2.

單擊“開始”，指向“管理工具”，然后單擊“Active Directory 域和信任關系”。

3.

在控制臺樹中，右鍵單擊您想要提升功能的域，然后單擊“提升域功能級別”。

4.

在“選擇一個可用的域功能級別”中，請執行以下操作之一：

?

單擊“Windows 2000 純模式”，然后單擊“提升”以便把域功能級別提升到 Windows 2000 純模式。

- 或 -

?

單擊“Windows Server 2003”，然后單擊“提升”以便把域功能級別提升到 Windows Server

2003。

注意：您也可以通過右鍵單擊出現在 Active Directory 用戶和計算機 MMC 管理單元中的域然后單擊“提升域功能級別”，來提升域功能級別。要提升域功能級別，您必須是域管理員組的成員。

當前的域功能級別顯示在“提升域功能級別”對話框的“當前域功能級別”中。級別提升在 PDC FSMO 上執行并要求域管理員權限。

回到頂端

提升目錄林功能級別

警告：如果您已有或將要有運行 Windows NT 4.0 或 Windows 2000 的域控制器，則不要提升目錄林功能級別。一旦將目錄林功能級別提升到 Windows Server 2003，則無法再更改回 Windows 2000 目錄林功能級別。

1.

使用企業管理員組成員用戶帳戶登錄到目錄林根域的 PDC 上。

單擊“開始”，指向“所有程序”，指向“管理工具”，然后單擊“Active

2.

打開“Active Directory 域和信任關系”，Directory 域和信任關系”。

3.

在控制臺樹中，右鍵單擊“Active Directory 域和信任關系”，然后單擊“提升目錄林功能級別”。

4.

在“選擇一個可用的目錄林功能級別”下，單擊“Windows Server 2003”，然后單擊“提升”。

注意：要提升目錄林功能級別，您必須升級（或降級）目錄林中現有的所有 Windows 2000 域控制器。

如果您無法提升目錄林功能級別，您可以在“提升目錄林功能級別”對話框中單擊“另存為”來保存一個日志文件，該文件指定了該目錄林中哪些域控制器必須從 Windows NT 4.0 或 Windows 2000 進行升級。

如果您收到消息表明您不能提升目錄林功能級別，可以使用由“另存為”命令生成的報表來標識不滿足所請求的提升要求的所有域和域控制器。

當前目錄林功能級別顯示在“提升目錄林功能級別”對話框的“當前目錄林功能級別”中。在目錄林級別成功地提升并復制到域中的 PDC 上以后，每個域的 PDC 會自動將其域級別提升到當前目錄林級別。級別提升在架構 FSMO 上執行并要求有企業管理員憑據。

回到頂端

手動查看并設置功能級別

LDAP 工具（例如 和 ）可用來查看和修改當前域和目錄林功能級別設置。由于所做的更改實際上都是先寫到授權 FSMO 然后復制，所以當您手動修改屬性時，最好針對提升的 FSMO 授權進行。

目錄林級別設置

屬性為 CN=Partitions, CN=Configuration, DC=ForestRootDom, DC=tld 對象上的

msDS-Behavior-Version。

?

值 0 或未設置=混合級別目錄林

?

值 1=Windows Server 2003 過渡版目錄林級別

?

值 2=Windows Server 2003 目錄林級別

注意：當您使用 ADSIEdit 將 msDS-Behavior-Version 屬性從 0 提高到 1 時，您會收到以下錯誤消息：

修改操作非法。不允許該修改的某個方面。

單擊“確定”以繼續。分區容器和域頭屬性已正確提高。該錯誤消息不是由 文件報告的。您可以安全地忽略此錯誤消息。要驗證級別是否已成功提升，請刷新屬性列表并檢查當前設置。如果您已經在授權 FSMO 上執行了提升級別操作，但沒有將其復制到本地域控制器，該錯誤消息也可能會出現。

域功能級別設置

在每個域 DC=Mydomain, DC=ForestRootDom, DC=tld 對象的 NC 頭根上的屬性是

msDS-Behavior-Version。

?

值 0 或未設置=混合級別目錄林

?

值 1=Windows Server 2003 域級別

?

值 2=Windows Server 2003 域級別

混合模式/純模式設置

在每個域 DC=Mydomain, DC=ForestRootDom, DC=tld 對象的 NC 頭根上的屬性是 ntMixedDomain。 ?

值 0=純模式級別域

?

值 1=混合模式級別域

使用 文件快速查看當前設置

1.

啟動 文件。

2.

在“連接”菜單上，單擊“連接”。

3.

指定您想要查詢的域控制器，或將該區域留空以連接任一域控制器。

當您連接后，會顯示域控制器的 RootDSE 信息。包括目錄林、域和域控制器。以下是一個 Windows Server

2003 域控制器的示例，域模式為 Windows Server 2003，目錄林模式為 Windows 2000。

注意：域控制器功能代表該域控制器可以運行的最高功能級別，而不是該域控制器當前運行的功能級別。

?

1> domainFunctionality:2=(DS_BEHAVIOR_WIN2003)

?

1> forestFunctionality:0=(DS_BEHAVIOR_WIN2000)

?

1> domainControllerFunctionality:2=(DS_BEHAVIOR_WIN2003)

回到頂端

手動更改功能級別時的要求

?

在 Windows Server 2003 中，如果直接修改 domainDNS 對象的 msdsBehaviorVersion 屬性值，將域功能級別通過編程方式提升到 2，或者使用 或 實用工具將域功能級別提升到 2，則在提升域級別之前不必將域模式更改為純模式。

?

在 Windows Server 2003 Service Pack 1 (SP1) 中，如果直接修改 domainDNS 對象的

msdsBehaviorVersion 屬性值，將域功能級別通過編程方式提升到 2，或者使用 或

實用工具將域功能級別提升到 2，則在提升域級別之前必須將域模式更改為純模式。如果在 Windows Server 2003 SP1 中提升域級別之前沒有將域模式更改為純模式，則操作將無法成功完成，并且您將收到以下錯誤消息：

SV_PROBLEM_WILL_NOT_PERFORM

ERROR_DS_ILLEGAL_MOD_OPERATION

此外，在“目錄服務”日志中您會收到以下消息：

Active Directory 無法更新下列域的功能級別，因為域處于混合模式。

在這種情況下，可通過使用“Active Directory 用戶和計算機”管理單元、“Active Directory 域和信任關系”UI MMC 管理單元，或通過編程方式將 domainDNS 對象的 ntMixedDomain 屬性值更改為 0，從而將域模式更改為純模式。在 Windows Server 2003 中，如果使用此過程將域功能級別提升到 2，則域模式自動更改為純模式。

這些組更改為通用組后，?

混合模式到純模式的轉換會將架構管理員和企業管理員安全組的范圍改為通用組。系統事件日志中會記錄以下消息：

事件類型:信息

事件來源:SAM

事件 ID: 16408

計算機:Server Name

描述:“域操作模式被更改為純模式。此更改不可逆。”

?

當使用 Windows Server 2003 管理工具調用域功能級別時，ntmixedmode 和

msdsBehaviorVersion 屬性均按正確順序進行修改。但是，如果控制域功能模式的

msdsBehaviorVersion 屬性被手動或通過編程方式設置為 2，然后使用任意方法將目錄林功能級別設置為 2，那么純模式將隱式設置為 2，而不用將架構管理員組和企業管理員組的范圍更改為通用。安裝了

Windows Server 2003 SP1 的域控制器將阻止轉換為目錄林功能級別，直到處于純模式下并在所有域中配置了對安全組范圍的必要更改。

?

當域處于純模式時，不能更改 domainDNS 對象的 msdsBehaviorVersion 屬性。在這種情況下，必須首先確認域處于純模式下，再將 domainDNS 對象的 ntMixedDomain 屬性值更改為 0，然后才能更改 domainDNS 對象的 msdsBehaviorVersion 屬性。

最佳做法

下面一節討論提升功能級別的最佳做法。本節分為兩部分，“準備任務”討論在提升前必須完成的工作，“最優提升路徑”討論不同級別提升情形的動機與方法。

提升級別之前的準備工作

生成一個目錄林中舊版本域控制器的清單。如果沒有準確的服務器列表，請按照下列步驟操作：

1.

要找到混合級別域、Windows 2000 域控制器或有損壞或缺少對象的域控制器，請使用 Active

Directory 域和信任關系 MMC 管理單元。

2.

單擊“提升目錄林功能”，然后單擊“另存為”以便生成一個詳細的報表。

如果沒有發現此類對象，在“可用目錄林功能級別”下拉列表中，提升到 Windows Server 2003 目錄林級別的選項就變為可用。當您試圖提升目錄林級別時，系統會對配置容器中的域控制器對象進行搜索以找出任何不具有 msds-behavior-version 等于 2 的域控制器。這些對象被認為是 Windows 2000 域控制器或是損壞的 Windows Server 2003 域控制器對象。如果找到早期版本的域控制器或帶有損壞或丟失的計算機對象的域控制器，報表中將列出這些對象。必須對這些域控制器的狀態進行檢查，并且必須使用 Ntdsutil 文件來修復或刪除這些域控制器在 Active Directory 中的表示。

有關更多信息，請單擊下面的文章編號，以查看 Microsoft 知識庫中相應的文章：

216498 域控制器降級失敗后如何刪除 Active Directory 中的數據

要找到 Windows NT 4.0 域控制器，請按照下列步驟操作：

1.

從任何一個基于 Windows Server 2003 的域控制器中打開“Active Directory 用戶和計算機”。

2.

如果該域控制器還沒有連接到適當的域，請按照以下步驟將其連接到適當的域： a.

右鍵單擊當前域對象，然后單擊“連接到域”。

鍵入您想要連接的域的 DNS 名稱，或單擊“瀏覽”以在域樹中選擇域，然后單擊“確b.

在“域”對話框中，定”。

3.

右鍵單擊該域對象，然后單擊“查找”。

4.

在“查找”對話框中，單擊“自定義搜索”。

5.

單擊要更改其功能級別的域。

6.

單擊“高級”選項卡。

7.

在“輸入 LDAP”查詢框中，鍵入以下內容（字符之間不留空格）：(&(objectCategory=computer)(operatingSystem

Version=4*)(urAccountControl:1.2.840.113556.1.4.803:=8192)) 注意：此查詢不區分大小寫。

8.

單擊“立即查找”。

此時顯示一個列表，其中列出在域中運行 Windows NT 4.0 并執行域控制器功能的計算機。

一個域控制器可能會由于以下任何原因出現在列表中：

?

該域控制器正在運行 Windows NT 4.0 并且必須進行升級。

?

該域控制器已經升級到 Windows Server 2003，但是這些更改還沒有復制到目標域控制器中。

?

該域控制器不再處于服務狀態，但是該域控制器的計算機對象還沒有從域中刪除。

在您能夠將域功能級別更改為 Windows Server 2003 之前，您必須先確定這些列表中的域控制器的物理位置，確定這些域控制器的當前狀態，并相應地升級或刪除這些域控制器。請注意，與 Windows 2000 域控制器不同，Windows NT 4.0 域控制器不會阻止級別提升。但是，復制到 Windows NT 4.0 域控制器的操作會停止。如果目錄林中具有處于 Windows 2000 混合級別的域時，無法將目錄林級別提升至 Windows Server 2003。目錄林中所有域的目錄林級別都達到 Windows 2000 純模式或更高級別就隱含表明該目錄林中沒有

Windows NT 4.0 BDC。

驗證端對端復制正在目錄林中運行。為此，請在 Windows XP 或 Windows Server 2003 成員上針對

Windows 2000 或 Windows Server 2003 域控制器使用 Windows Server 2003 版的 Repadmin：

?

Repadmin/Replsum * /Sort:Delta[/Errorsonly]，用于初始清單。

?

Repadmin/Showrepl * /CSV>。導入到 Excel，然后使用 Data->Autofilter 標識復制功能。

使用諸如 Repadmin 和 Replmon 等復制工具來驗證目錄林范圍的復制正在成功地運行。

驗證所有程序或服務同 Windows Server 2003 域控制器和 Windows Server 2003 目錄林模式的兼容性。使用實驗環境充分測試生產程序和服務的兼容性問題。同供應商聯系以確認其兼容性。 準備一個復原計劃，包含以下操作之一：

?

從目錄林的每個域中斷開至少兩個域控制器。

- 或 -

?

針對目錄林的每個域中至少兩個域控制器創建系統狀態備份。

目錄林中所有域控制器必須在恢復過程運行之前取消配置，然后才可以使用復原計劃。注意，級別提升不能授權還原。因此在級別提升中復制的所有域控制器必須取消配置。

在所有以前的域控制器取消配置后，啟動斷開的域控制器或從備份中還原域控制器。從所有其他域控制器中刪除元數據，然后重新提升這些域控制器。此過程并不常用，在可能的情況下盡量不要采用。

回到頂端

如何以最佳方式配置功能級別

以下兩節討論從 Windows 2000 混合模式級別升級到 Windows Server 2003 目錄林級別的兩種不同方法。第三節提供關于 Windows NT 4.0 升級的詳細信息。

將所有域提升到純模式，將目錄林提升到 Windows Server 2003

將所有域提升到 Windows 2000 純模式級別。該操作完成后，將目錄林根域的功能級別提升到 Windows

Server 2003 目錄林級別。當目錄林級別復制到了目錄林中每個域的 PDC 時，域級別就會自動提升到

Windows Server 2003 域級別。此方法具有以下優點：

?

目錄林范圍的級別提升只執行一次。您不需要將目錄林中的每個域手動提升到 Windows Server 2003

域功能級別。

?

在級別提升之前會檢查是否存在 Windows 2000 域控制器。如果存在，除非刪除或升級這些域控制器，否則將無法進行級別提升。可以生成一個詳細的報告，其中列出阻止進行提升的域控制器，以提供可操作數據。

?

檢查是否存在處于 Windows 2000 混合模式或 Windows Server 2003 過渡版級別的域。如果存在，除非將這些域的級別提升到至少 Windows 2000 純模式，否則將無法進行級別提升。過渡版級別的域必須提升到 Windows Server 2003 域級別。可以生成一個詳細的報告，其中列出阻止進行提升的域。

將所有域提升到 Windows Server 2003 域級別，然后將目錄林提升到 Windows Server 2003

目錄林級別

將每個域提升到 Windows Server 2003 域級別。此方法具有以下優點：

?

在將目錄林提升至 Windows Server 2003 目錄林級別之前，Windows Server 2003 域級別功能即會激活。

?

可以在較小的規模下執行互操作性測試，而無須將目錄林提升到 Windows Server 2003 目錄林級別。

回到頂端

Windows NT 4.0 升級 對于 Windows NT 4.0，除非將 Windows 2000 域控制器引入到目錄林中，否則在 PDC 升級過程總是使用過渡版級別。如果在 PDC 升級過程中使用了過渡版模式，現有的大型組會立即使用 LVR 復制，以避免產生上文所討論的潛在復制問題。在升級過程中使用下列方法之一可以實現過渡版級別：

?

在 Dcpromo 過程中選擇過渡版級別。只有將 PDC 升級到一個新目錄林中時，此選項才會顯示。

?

將一個現有目錄林的級別設置為過渡版級別，然后在 PDC 升級過程中加入該目錄林。升級后的域將繼承目錄林的設置。

?

在升級或刪除了所有的 Windows NT 4.0 BDC 之后，每個域必須轉換到目錄林級別，并能轉換到

Windows Server 2003 目錄林模式。

如果計劃在升級后（或在將來的某一時間）實現 Windows 2000 域控制器，請不要使用過渡版模式。

有關 Windows NT 4.0 中大型組的特別注意事項

在完善的 Windows NT 4.0 域中，可能會存在包含超過 5000 個成員的安全組。在 Windows NT 4.0 中，在更改安全組的一個成員時，只有單一的成員資格更改會復制到備份域控制器中。在 Windows 2000 中，組成員資格是以組對象的單一多值屬性方式存儲的鏈接屬性。當對組的成員資格做一項修改后，整個組就作為一個單元進行復制。由于組成員資格是作為一個單元進行復制，所以當同時在不同的域控制器中添加或刪除不同的成員時，對組成員資格的更新可能會“丟失”。此外，該單一對象的大小可能會超過向數據庫提交一個數據項所使用的緩沖區的大小。有關詳細信息，請參閱本文“大型組的版本存儲區問題”部分。基于這些原因，建議將組成員數限制為 5000。

但域用戶組除外，該組的成員可以超過 5000。域用戶組根據用戶的“主要組 ID”，通過一種“計算”機制來確定成員資格，而不是通常的將成員作為多值鏈接屬性存儲。如果用戶的主要組發生更改，其域用戶組中的成員資格會寫入該組的鏈接屬性，并且不再進行計算。這一方法在 Windows 2000 中有效并且在 Windows Server

2003 中也沒有改變。如果管理員對升級域沒有選擇過渡版級別，則在升級之前您必須按以下步驟操作：

1.

生成所有大型組的清單，并標識出除域用戶組以外的成員數超過 5000 的所有組。

2.

成員數超過 5000 的所有組都必須分解成 5000 個成員以下的小型組。

3.

找到輸入大型組的訪問控制列表并添加用來分解其成員資格的小型組。

Windows Server 2003 過渡版目錄林級別使管理員不必找到并重新分配超過 5000 個成員的全局安全組。?