Win 2000域升級(jí)到Win 2003域的詳細(xì)步驟Win 2000域升級(jí)到Win 2003域的詳細(xì)步驟從Windows 2000域升級(jí)到Windows 2003域的問(wèn)題，建議您參考以下步驟：一．確認(rèn)

Win 2000域升級(jí)到Win 2003域的詳細(xì)步驟

Win 2000域升級(jí)到Win 2003域的詳細(xì)步驟

從Windows 2000域升級(jí)到Windows 2003域的問(wèn)題，建議您參考以下步驟：

一．確認(rèn)當(dāng)前的Windows 2000域控制器工作正常，并且都打了Service Pack 4和最新的安全補(bǔ)丁。

二．確認(rèn)Windows 2000活動(dòng)目錄中的5個(gè)FSMO 角色都在第一臺(tái)Windows 2000域控制器上（默認(rèn)情況就是這樣的）

這五個(gè) FSMO 角色是：

? 架構(gòu)主機(jī) - 每個(gè)目錄林中有一個(gè)主機(jī)角色擔(dān)任者。架構(gòu)主機(jī) FSMO 角色的擔(dān)任者是負(fù)責(zé)對(duì)目錄架構(gòu)執(zhí)行更新的域控制器 (DC)。

? 域命名主機(jī) - 每個(gè)目錄林中有一個(gè)主機(jī)角色擔(dān)任者。域命名主機(jī) FSMO 角色的擔(dān)任者是負(fù)責(zé)對(duì)目錄的目錄林范圍的域名空間進(jìn)行更改的 DC。

? 結(jié)構(gòu)主機(jī) - 每個(gè)域中有一個(gè)主機(jī)角色擔(dān)任者。結(jié)構(gòu)主機(jī) FSMO 角色的擔(dān)任者是負(fù)責(zé)在一個(gè)跨域的對(duì)象引用中更新對(duì)象的 SID 和辨別名的 DC。

? RID 主機(jī) - 每個(gè)域中有一個(gè)主機(jī)角色擔(dān)任者。RID 主機(jī) FSMO 角色的擔(dān)任者是負(fù)責(zé)處理來(lái)自某一給定域中的所有 DC 的“RID 池”請(qǐng)求的單個(gè) DC。

? PDC 模擬器 - 每個(gè)域中有一個(gè)主機(jī)角色擔(dān)任者。PDC 模擬器 FSMO 角色的擔(dān)任者是一個(gè)向較早版本的工作站、成員服務(wù)器和域控制器公布自己是主域控制器 (PDC) 的 Windows 2000 DC。它還是域主瀏覽器并負(fù)責(zé)處理密碼差異。

三、在Windows 2000域控制器的光驅(qū)中插入Windows Server 2003安裝光盤。在命令行方式下進(jìn)入光盤上的I386目錄，運(yùn)行以下命令：adprep /forestprep。該命令成功完成之后，再運(yùn)行以下命令：adprep /domainprep。

四、完成這一步之后，我們便擴(kuò)展了當(dāng)前的Windows 2000活動(dòng)目錄林的架構(gòu)，這樣就可以將Windows Server 2003加入到活動(dòng)目錄林中作為其中的域控制器，或者將現(xiàn)有的Windows 2000域控制器升級(jí)為Windows Server 2003。

《如何將 Windows 2000 域控制器升級(jí)到 Windows Server 2003》：

概述：將 Windows 2000 域控制器升級(jí)到 Windows Server 2003

您在 Windows Server 2003 介質(zhì)的 I386 文件夾中運(yùn)行的 Windows Server 2003 adprep 命令將準(zhǔn)備 Windows 2000 林及其域，以添加 Windows Server 2003 域控制器。Windows Server 2003 adprep /forestprep 命令添加以下特性：

? 用于對(duì)象類的已改進(jìn)的默認(rèn)安全描述符

? 新的用戶和組屬性

? 類似于 inetOrgPerson 的新的架構(gòu)對(duì)象和屬性

adprep 實(shí)用工具支持兩個(gè)命令行參數(shù)：

adprep /forestprep：運(yùn)行林升級(jí)操作。

adprep /domainprep：運(yùn)行域升級(jí)操作。

adprep /forestprep 命令是在林的架構(gòu)操作主機(jī) (FSMO) 上執(zhí)行的一次性操作。forestprep 操作必須完成并復(fù)制到每個(gè)域的結(jié)構(gòu)主機(jī)上，然后您才能在該域中運(yùn)行 adprep /domainprep。

adprep /domainprep 命令是在林中每個(gè)將承載新的或升級(jí)的 Windows Server 2003 域控制器的域的

結(jié)構(gòu)操作主機(jī)域控制器上運(yùn)行的一次性操作。adprep /domainprep 命令驗(yàn)證 forestprep 所做的更改是否已經(jīng)在域分區(qū)中復(fù)制，然后對(duì) Sysvol 共享中的域分區(qū)和組策略進(jìn)行自己的更改。

除非 /forestprep 和 /domainprep 操作已經(jīng)完成并復(fù)制到該域中的所有域控制器中，否則您將無(wú)法執(zhí)行以下任何一項(xiàng)操作：

? 使用 Winnt32.exe 將 Windows 2000 域控制器升級(jí)到 Windows Server 2003 域控制器。

注意：可以隨時(shí)將 Windows 2000 成員服務(wù)器和計(jì)算機(jī)升級(jí)到 Windows Server 2003 成員計(jì)算機(jī)。

? 使用 Dcpromo.exe 將新的 Windows Server 2003 域控制器提升到域中。

承載架構(gòu)操作主機(jī)的域是唯一一個(gè)您必須在其中運(yùn)行 adprep /forestprep 和 adprep /domainprep 這兩者的域。在所有其他域中，您只需運(yùn)行 adprep /domainprep。

adprep /forestprep 和 adprep /domainprep 命令不會(huì)向全局編錄部分屬性集中添加屬性，也不會(huì)引起全局編錄完全同步。RTM 版本的 adprep /domainprep 確實(shí)會(huì)引起 Sysvol 樹(shù)中的 Policies 文件夾完全同步。即便將 forestprep 和 domainprep 運(yùn)行數(shù)次，完整操作也只會(huì)執(zhí)行一次。

在 adprep /forestprep 和 adprep /domainprep 所做的更改完全復(fù)制后，可以通過(guò)運(yùn)行 Windows Server 2003 介質(zhì)的 I386 文件夾內(nèi)的 Winnt32.exe 將 Windows 2000 域控制器升級(jí)到 Windows Server 2003。另外，還可以使用 Dcpromo.exe 將新的 Windows Server 2003 域控制器添加到域中。 使用 adprep /forestprep 命令升級(jí)林

要準(zhǔn)備 Windows 2000 林和域以接受 Windows Server 2003 域控制器，請(qǐng)先在實(shí)驗(yàn)室環(huán)境中按照以下步驟操作，然后再在生產(chǎn)環(huán)境中按照以下步驟操作：

1. 確保已經(jīng)完成了“清點(diǎn)林”階段的所有操作，尤其要注意以下幾項(xiàng)：

a. 已經(jīng)創(chuàng)建了系統(tǒng)狀態(tài)備份。

b. 林中的所有 Windows 2000 域控制器都已經(jīng)安裝了所有適當(dāng)?shù)男扪a(bǔ)程序和 Service Pack 。

c. Active Directory 的端到端復(fù)制在整個(gè)林中發(fā)生

d. FRS 在每個(gè)域中都正確復(fù)制了文件系統(tǒng)策略。

2.

3. 使用作為 Schema Admins 安全組成員的帳戶登錄架構(gòu)操作主機(jī)的控制臺(tái)。 通過(guò)在 Windows NT 命令提示符處鍵入以下內(nèi)容來(lái)驗(yàn)證架構(gòu) FSMO 是否已經(jīng)執(zhí)行了架構(gòu)分區(qū)的入站

復(fù)制：

repadmin/showreps

（repadmin 由 Active Directory 的 SupportTools 文件夾安裝）。

4. 早期的 Microsoft 文檔建議您在運(yùn)行 adprep /forestprep 之前先在專用網(wǎng)絡(luò)上隔離架構(gòu)操作主

機(jī)。但實(shí)際經(jīng)驗(yàn)表明此步驟是不必要的，并且可能會(huì)使得架構(gòu)操作主機(jī)在專用網(wǎng)絡(luò)上重新啟動(dòng)時(shí)拒絕架構(gòu)更改。如果您要隔離 adprep 所創(chuàng)建的架構(gòu)添加，Microsoft 建議使用 repadmin 命令行實(shí)用工

具暫時(shí)禁用 Active Directory 的出站復(fù)制。為此，請(qǐng)按照下列步驟操作：

a. 單擊“開(kāi)始”，單擊“運(yùn)行”，鍵入 cmd ，然后單擊“確定”。

b. 鍵入以下命令，然后按 Enter：

repadmin /options DISABLE_OUTBOUND_REPL

5. 在架構(gòu)操作主機(jī)上運(yùn)行 adprep 。為此，請(qǐng)依次單擊“開(kāi)始”和“運(yùn)行”，鍵入 cmd ，然后單擊“確定”。

在架構(gòu)操作主機(jī)上，鍵入以下命令

X:I386?prep /forestprep

其中 X:I386 是 Windows Server 2003 安裝介質(zhì)的路徑。此命令運(yùn)行林范圍的架構(gòu)升級(jí)。

注意：可以忽略目錄服務(wù)事件日志中記錄的事件 ID 為 1153 的事件（例如下面的示例）： 類型: 錯(cuò)誤

來(lái)源: NTDS General

類別: 內(nèi)部處理

事件 ID: 1153

日期: MM/DD/YYYY

時(shí)間: HH:MM:SS AM|PM

用戶: Everyone 計(jì)算機(jī): <某 DC>

描述: 類標(biāo)識(shí)符 655562 (類名為 msWMI-MergeablePolicyTemplate)具有無(wú)效超類 655560。已忽略繼承。

6. 驗(yàn)證 adprep /forestprep 命令是否已在架構(gòu)操作主機(jī)上成功運(yùn)行。為此，從架構(gòu)操作主機(jī)的控制

臺(tái)中，驗(yàn)證以下幾項(xiàng)：

? adprep /forestprep 命令是否已順利地完成。

? CN=Windows2003Update 對(duì)象是否寫在

CN=ForestUpdates,CN=Configuration,DC=forest_root_domain 下。記下 Revision 屬性的值。

? （可選）架構(gòu)版本遞增到版本 30。為此，請(qǐng)參閱

CN=Schema,CN=Configuration,DC=forest_root_domain 下的 ObjectVersion 屬性。 如果 adprep /forestprep 未運(yùn)行，請(qǐng)驗(yàn)證以下幾項(xiàng)：

? 位于安裝介質(zhì)的 I386 文件夾中的 Adprep.exe 的完全限定路徑是否是在運(yùn)行 adprep 時(shí)指定的。為此，請(qǐng)鍵入以下命令：

x :i386?prep /forestprep

其中 x 是承載安裝介質(zhì)的驅(qū)動(dòng)器。

? 運(yùn)行 adprep 的已登錄用戶具有 Schema Admins 安全組的成員資格。要驗(yàn)證這一點(diǎn)，請(qǐng)使用 whoami /all 命令。

? 如果 adprep 仍然不起作用，請(qǐng)查

看 systemrootSystem32?bug?prepLogsLatest_log 文件夾中的 Adprep.log 文件。

7. 如果在步驟 4 中禁用了架構(gòu)操作主機(jī)上的出站復(fù)制，請(qǐng)啟用該復(fù)制，以使 adprep /forestprep 所

做的架構(gòu)更改可以傳播。為此，請(qǐng)按照下列步驟操作：

a. 單擊“開(kāi)始”，單擊“運(yùn)行”，鍵入 cmd ，然后單擊“確定”。

b. 鍵入以下命令，然后按 Enter：

repadmin /options -DISABLE_OUTBOUND_REPL

8. 驗(yàn)證是否已將 adprep /forestprep 更改復(fù)制到林中的所有域控制器上。這在監(jiān)視以下屬性時(shí)很有

用：

a. 遞增架構(gòu)版本

b. CN=Windows2003Update,

CN=ForestUpdates,CN=Configuration,DC=forest_root_domain 或

CN=Operations,CN=DomainUpdates,CN=System,DC=forest_root_domain 及其下的

操作 GUID 已經(jīng)復(fù)制到其中。

c. 搜索新的架構(gòu)類、對(duì)象、屬性或 adprep /forestprep 添加的其他更改，如 inetOrgPerson。

查看 systemrootSystem32 文件夾中的 SchXX .ldf 文件（其中 XX 是一個(gè)介于 14 和

30 之間的數(shù)字），以確定該文件中應(yīng)該有哪些對(duì)象和屬性。例如，Sch18.ldf 中定義了

inetOrgPerson 。

9. 查找錯(cuò)位的 LDAPDisplayName。

如果在運(yùn)行 Windows Server 2003 adprep /forestprep 命令之前安裝了 Exchange 2000，請(qǐng)查看 Microsoft 知識(shí)庫(kù)中的以下文章：

314649 Windows Server 2003 adprep /forestprep 命令導(dǎo)致包含 Exchange 2000 Server 的 Windows 2000 林中出現(xiàn)錯(cuò)位的屬性

如果找到錯(cuò)位的名稱，請(qǐng)轉(zhuǎn)到本文中的“情形 3”。

Admins 安全組成員的帳戶，登錄架構(gòu)操作主機(jī)的控制臺(tái)。10. 使用作為承載架構(gòu)操作主機(jī)的林的 Schema

使用 adprep /domainprep 命令升級(jí)域

在 /forestprep 更改完全復(fù)制到每個(gè)將要承載 Windows Server 2003 域控制器的域中的結(jié)構(gòu)主機(jī)域控制器上之后，運(yùn)行 adprep /domainprep。為此，請(qǐng)按照下列步驟操作：

Admins 安全組成員的1. 找到要升級(jí)的域中的結(jié)構(gòu)主機(jī)域控制器，然后使用作為要升級(jí)的域中的 Domain

帳戶登錄。

注意：企業(yè)管理員可能不是林的子域的 Domain Admins 安全組的成員。

2. 在結(jié)構(gòu)主機(jī)上運(yùn)行 adprep /domainprep。為此，請(qǐng)依次單擊“開(kāi)始”和“運(yùn)行”，鍵入 cmd ，然后在

結(jié)構(gòu)主機(jī)上鍵入以下命令：

X:I386?prep /domainprep

其中 X:I386 是 Windows Server 2003 安裝介質(zhì)的路徑。此命令在目標(biāo)域中運(yùn)行域范圍的更改。

注意：adprep /domainprep 命令會(huì)修改 Sysvol 共享中的文件權(quán)限。這些修改會(huì)導(dǎo)致該目錄樹(shù)中的文件完全同步。

3. 驗(yàn)證 domainprep 是否已成功完成。為此，請(qǐng)驗(yàn)證以下幾項(xiàng)：

? adprep /domainprep 命令是否已順利完成。

? CN=Windows2003Update,CN=DomainUpdates,CN=System,DC=<要升級(jí)的域的域名路徑> 是否存在

如果 adprep /domainprep 未運(yùn)行，請(qǐng)驗(yàn)證以下幾項(xiàng)：

? 運(yùn)行 adprep 的已登錄用戶是否具有要升級(jí)的域的 Domain Admins 安全組的成員資格。為此，請(qǐng)使用 whoami /all 命令。

? 位于安裝介質(zhì) I386 目錄中的 Adprep.exe 的完全限定路徑是否是在運(yùn)行 adprep 時(shí)指定的。為此，請(qǐng)?jiān)诿钐崾痉庢I入以下命令：

x :i386?prep /forestprep

其中 x 是承載安裝介質(zhì)的驅(qū)動(dòng)器。

? 如果 adprep 仍然不起作用，請(qǐng)查

看 systemrootSystem32?bug?prepLogsLatest_log 文件夾中的 Adprep.log

文件。

4. 驗(yàn)證是否已經(jīng)復(fù)制了 adprep /domainprep 更改。為此，對(duì)于域中的其余域控制器，請(qǐng)驗(yàn)證以下幾

項(xiàng)：

? CN=Windows2003Update,CN=DomainUpdates,CN=System,DC=<要升級(jí)的域的域名路徑> 對(duì)象是否存在，以及 Revision 屬性的值與域的結(jié)構(gòu)主機(jī)的同一屬性的值是否匹配。

? （可選）查找 adprep /domainprep 添加的對(duì)象、屬性或訪問(wèn)控制列表 (ACL) 更改。

在其余域的結(jié)構(gòu)主機(jī)上批量重復(fù)步驟 1-4，或者在您向這些域中添加域控制器或?qū)⒂蚩刂破魃?jí)到 Windows Server 2003 時(shí)重復(fù)這些步驟。現(xiàn)在，可以使用 DCPROMO 將新的 Windows Server 2003 計(jì)算機(jī)提升到林中。也可以使用 WINNT32.EXE 將現(xiàn)有的 Windows 2000 域控制器升級(jí)到 Windows Server 2003。

回到頂端

使用 Winnt32.exe 升級(jí) Windows 2000 域控制器

/forestprep 和 /domainprep 所做的更改完全復(fù)制而且您已經(jīng)決定了與早期版本的客戶端的安全互操作性之后，就可以將 Windows 2000 域控制器升級(jí)到 Windows Server 2003 并將新的 Windows Server 2003 域控制器添加到域中。

以下計(jì)算機(jī)必須是林的每個(gè)域中最先運(yùn)行 Windows Server 2003 的域控制器：

? 林中的域命名主機(jī)，以便可以創(chuàng)建默認(rèn)的 DNS 程序部分。

? 林根域的主要域控制器，以便 Windows Server 2003 的 forestprep 添加的企業(yè)范圍的安全主體變得對(duì) ACL 編輯器可見(jiàn)。

? 每個(gè)非根域中的主要域控制器，以便可以創(chuàng)建新的域特定的 Windows 2003 安全主體。

為此，請(qǐng)使用 WINNT32 升級(jí)承載您所需的操作角色的現(xiàn)有域控制器?；蛘?，將該角色傳遞給新提升的

Windows Server 2003 域控制器。對(duì)使用 WINNT32 升級(jí)到 Windows Server 2003 的每個(gè) Windows 2000 域控制器以及您提升的每個(gè) Windows Server 2003 工作組或成員計(jì)算機(jī)執(zhí)行下列步驟：

1. 在使用 WINNT32 升級(jí) Windows 2000 成員計(jì)算機(jī)和域控制器之前，刪除 Windows 2000 管理工

具。為此，請(qǐng)使用“控制面板”中的“添加/刪除程序”工具。（僅限 Windows 2000 升級(jí)。） 2.

3. 安裝 Microsoft 或管理員認(rèn)為重要的所有修補(bǔ)程序文件或其他修補(bǔ)程序。 檢查每個(gè)域控制器，查找可能的升級(jí)問(wèn)題。為此，請(qǐng)從安裝介質(zhì)的 I386 文件夾運(yùn)行以下命令：

winnt32.exe /checkupgradeonly

解決兼容性檢查確定的所有問(wèn)題。

4.

5. 從安裝介質(zhì)的 I386 文件夾運(yùn)行 WINNT32.EXE，然后重新啟動(dòng)已升級(jí)的 2003 域控制器。 根據(jù)需要降低早期版本的客戶端的安全設(shè)置。

如果 Windows NT 4.0 客戶端上沒(méi)有安裝 NT 4.0 SP6，或者 Windows 95 客戶端上沒(méi)有安裝目錄服務(wù)客戶程序，請(qǐng)?jiān)凇坝蚩刂破鳌苯M織單元的“默認(rèn)域控制器”策略中禁用 SMB Service 簽名，然后將此策略鏈接到承載域控制器的所有組織單元。

Computer ConfigurationWindows SettingsSecurity SettingsLocal PoliciesSecurity OptionsMicrosoft Network Server: 數(shù)字簽名的通信(總是)

6. 使用以下數(shù)據(jù)點(diǎn)驗(yàn)證升級(jí)是否成功：

? 升級(jí)已成功完成。

? 您添加到安裝中的修補(bǔ)程序成功替換了原來(lái)的二進(jìn)制文件。

? 對(duì)于域控制器控制的所有命名上下文，都發(fā)生 Active Directory 的入站和出站復(fù)制。

? Netlogon 和 Sysvol 共享存在。

? 事件日志指示域控制器及其服務(wù)的運(yùn)行正常。

注意：升級(jí)后可能會(huì)收到以下事件消息：

類型: 錯(cuò)誤

來(lái)源: NTDS Backup

類別: 備份

事件 ID: 1913

日期: Date

時(shí)間: HH:MM:SSAM|PM

用戶: N/A

計(jì)算機(jī): computername

描述: 內(nèi)部事件: Active Directory 備份和還原操作遇到意外錯(cuò)誤。備份或還原不會(huì)成功，直到更正此問(wèn)題。

可以放心地忽略此事件消息。

7. 安裝 Windows Server 2003 管理工具（僅限 Windows 2000 升級(jí)和 Windows Server 2003 非

域控制器）。Adminpak.msi 位于 Windows Server 2003 CD-ROM 的 I386 文件夾內(nèi)。Windows

Server 2003 介質(zhì)上的 SupportToolsSuptools.msi 文件中包含已更新的支持工具。確保重新安裝此文件。

8. 至少創(chuàng)建林中每個(gè)域的前兩個(gè)已升級(jí)到 Windows Server 2003 的 Windows 2000 域控制器的新

備份。在鎖定的存儲(chǔ)中找到已升級(jí)到 Windows Server 2003 的 Windows 2000 計(jì)算機(jī)的備份，這樣您就不會(huì)無(wú)意間使用它們來(lái)還原現(xiàn)在運(yùn)行 Windows Server 2003 的域控制器。

9. （可選）在單實(shí)例存儲(chǔ) (SIS) 已經(jīng)完成后，在升級(jí)到 Windows Server 2003 的域控制器上執(zhí)行

Active Directory 數(shù)據(jù)庫(kù)的脫機(jī)碎片整理（僅限 Windows 2000 升級(jí)）。

SIS 檢查存儲(chǔ)在 Active Directory 中的對(duì)象的現(xiàn)有權(quán)限，然后將更高效的安全描述符應(yīng)用于這些對(duì)象。當(dāng)已升級(jí)的域控制器首次啟動(dòng) Windows Server 2003 操作系統(tǒng)時(shí)，SIS 將自動(dòng)啟動(dòng)（通過(guò)目錄服務(wù)事件日志中的事件 1953 來(lái)確定）。只有當(dāng)目錄服務(wù)事件日志中記錄了事件 ID 為 1966 的事件消息時(shí)，才會(huì)從已改進(jìn)的安全描述符存儲(chǔ)中受益：

類型: 信息

來(lái)源: NTDS SDPROP

類別: 內(nèi)部處理

事件 ID: 1966

日期: MM/DD/YYYY

時(shí)間: HH:MM:SS AM|PM

用戶: NT AUTHORITYANONYMOUS LOGON

計(jì)算機(jī):

描述: 安全描述符傳播程序已經(jīng)完成了一次完整的傳播。

分配的空間量(MB):

XX 空閑的空間量(MB): XX

這可能增加 Active Directory 數(shù)據(jù)庫(kù)中空閑的空間量。

用戶操作: 考慮脫機(jī)數(shù)據(jù)庫(kù)碎片整理以回收 Active Directory 數(shù)據(jù)庫(kù)中可用空閑的空間。有關(guān)更多信息，請(qǐng)參閱在 http://support.microsoft.com 的幫助和支持中心。

此事件消息指示單實(shí)例存儲(chǔ)操作已經(jīng)完成，并充當(dāng)管理員使用 NTDSUTIL.EXE 執(zhí)行 Ntds.dit 脫機(jī)碎片整理的隊(duì)列。

脫機(jī)碎片整理可以使 Windows 2000 Ntds.dit 文件的大小減小多達(dá) 40，提高 Active Directory 的性能，并更新數(shù)據(jù)庫(kù)中的頁(yè)面以便更高效地存儲(chǔ)“Link Valued”屬性。 有關(guān)如何對(duì) Active Directory 數(shù)據(jù)庫(kù)執(zhí)行碎片整理的更多信息，請(qǐng)單擊下面的文章編號(hào)，以查看 Microsoft 知識(shí)庫(kù)中相應(yīng)的文章： 232122 對(duì) Active Directory 數(shù)據(jù)庫(kù)執(zhí)行脫機(jī)碎片整理

10. 研究 DLT Server 服務(wù)。Windows Server 2003 域控制器在全新安裝和升級(jí)安裝中禁用 DLT

Server 服務(wù)。如果您單位中的 Windows 2000 或 Windows XP 客戶端使用 DLT Server 服務(wù)，請(qǐng)使用“組策略”啟用新的或已升級(jí)的 Windows Server 2003 域控制器中的 DLT Server 服務(wù)。否則，請(qǐng)從 Active Directory 中逐步刪除分布式鏈接跟蹤對(duì)象。 有關(guān)更多信息，請(qǐng)單擊下面的文章編號(hào)，以查看 Microsoft 知識(shí)庫(kù)中相應(yīng)的文章：

312403 基于 Windows 的域控制器上的分布式鏈接跟蹤

315229 Microsoft 知識(shí)庫(kù)文章 Q312403 中的 Dltpurge.vbs 的文本版本

如果批量刪除數(shù)千個(gè) DLT 對(duì)象或其他對(duì)象，復(fù)制可能會(huì)由于缺少版本存儲(chǔ)而阻塞。刪除最后一個(gè) DLT

對(duì)象后，請(qǐng)等待 tombstonelifetime 天數(shù)（默認(rèn)為 60 天）并等待垃圾回收完成，然后使用

NTDSUTIL.EXE 對(duì) Ntds.dit 文件執(zhí)行脫機(jī)碎片整理。

Directory 域內(nèi)主動(dòng)部署最佳做11. 配置最佳做法組織單元結(jié)構(gòu)。Microsoft 建議管理員在所有的 Active

法組織單元結(jié)構(gòu)，并且在 Windows 域模式下升級(jí)或部署 Windows Server 2003 域控制器后，將早期版本的 API 用來(lái)創(chuàng)建用戶、計(jì)算機(jī)和組的默認(rèn)容器重定向到管理員指定的組織單元容器中。

有關(guān)最佳做法組織單元結(jié)構(gòu)的其他信息，請(qǐng)查看“Best Practice Active Directory Design for

Managing Windows Networks”（用于管理 Windows 網(wǎng)絡(luò)的 Active Directory 最佳做法設(shè)計(jì)）白皮書(shū)中的“Creating an Organizational Unit Design”（創(chuàng)建組織單元設(shè)計(jì)）部分。要查看該白皮書(shū)，請(qǐng)?jiān)L問(wèn)下面的 Microsoft 網(wǎng)站：

有關(guān)更改早期版本的 API 創(chuàng)建的用戶、計(jì)算機(jī)和組所在的默認(rèn)容器的更多信息，請(qǐng)單擊下面的文章編號(hào)，以查看 Microsoft 知識(shí)庫(kù)中的相應(yīng)文章：

324949 重定向 Windows Server 2003 域中的用戶和計(jì)算機(jī)容器

12. 對(duì)于林中的每個(gè)新的或升級(jí)的 Windows Server 2003 域控制器，請(qǐng)根據(jù)需要重復(fù)步驟 1 至步驟

10，對(duì)于每個(gè) Active Directory 域，請(qǐng)執(zhí)行步驟 11（最佳做法組織單元結(jié)構(gòu)）。

總之：

? 使用 WINNT32 升級(jí) Windows 2000 域控制器（通過(guò)補(bǔ)充安裝介質(zhì)（如果使用））

? 驗(yàn)證經(jīng)過(guò)修補(bǔ)的文件是否已經(jīng)安裝到已升級(jí)的計(jì)算機(jī)上

? 安裝未包含在安裝介質(zhì)中的所有所需的修補(bǔ)程序

? 驗(yàn)證新的或已升級(jí)的服務(wù)器（AD 、FRS 、Policy 等等）是否正常運(yùn)行

? 操作系統(tǒng)升級(jí) 24 小時(shí)后執(zhí)行脫機(jī)碎片整理（可選）

? 如果必須啟動(dòng) DLT Service ，則啟動(dòng)它；否則使用 q312403 / q315229 post forest wide

domainpreps 刪除 DLT 對(duì)象

? 刪除 DLT 對(duì)象后過(guò) 60 天或更長(zhǎng)時(shí)間（tombstone 生存時(shí)間和垃圾回收天數(shù)）執(zhí)行脫機(jī)碎片整理

?

五、在新購(gòu)買的計(jì)算機(jī)上安裝Windows Server 2003，并打上最新的安全補(bǔ)丁。

六、確認(rèn)這臺(tái)Windows Server 2003網(wǎng)絡(luò)連接正常，可以訪問(wèn)域控制器和DNS 服務(wù)器。將其配置為使用固定IP 地址，并指定DNS 服務(wù)器地址。

七、在Windows Server 2003上運(yùn)行dcpromo 命令將其升級(jí)為域控制器，并在升級(jí)時(shí)選擇使其成為現(xiàn)有Windows 2000域的額外的域控制器。

八、在Windows Server 2003上安裝DNS 服務(wù)，確認(rèn)它已經(jīng)和原來(lái)的Windows 2000 DNS服務(wù)器上的數(shù)據(jù)復(fù)制同步后，將它的DNS 服務(wù)器地址指向自己。

九、將這臺(tái)Windows Server 2003域控制器設(shè)為全局編錄（Glocal Catalog）服務(wù)器具體方法請(qǐng)參考下面這篇文檔：《How to promote a domain controller to a global catalog server》：

要將域控制器提升為全局編錄服務(wù)器, 請(qǐng)按照下列步驟操作：

1. 然后單擊 lActiveDirectory 站點(diǎn)和服務(wù) , 域控制器上， 指向 程序 、 開(kāi)始 和

AdministrativeTools 。

2. 在控制臺(tái)樹(shù), 雙擊 站點(diǎn) ， 雙擊名稱與站點(diǎn), 并雙擊 服務(wù)器 。

3. 雙擊目標(biāo)域控制器。

4. 在詳細(xì)信息窗格中, 右擊 NTDSSettings , 然后單擊 屬性 。

5. 在 常規(guī) 選項(xiàng)卡, 單擊以選擇 全局編錄 復(fù)選框。

6. 重新啟動(dòng)域控制器。

升級(jí)域控制器到全局編錄服務(wù)器需要很長(zhǎng)時(shí)間。 當(dāng)域控制器重新, 確保沒(méi)有足夠時(shí)間帳戶和架構(gòu)信息將從原始域控制器在刪除原始全局編錄之前復(fù)制到新全局編錄服務(wù)器。

十、. 將原來(lái)的Windows 2000域控制器上的5個(gè)FSMO 角色轉(zhuǎn)移到這臺(tái)Windows Server 2003域控制器上，具體方法如下:

a 、轉(zhuǎn)移特定于域的角色： RID、PDC 和結(jié)構(gòu)主機(jī)

1. 單擊開(kāi)始，指向程序，指向管理工具，然后單擊“Active Directory 用戶和計(jì)算機(jī)”。

2. 右鍵單擊“Active Directory 用戶和計(jì)算機(jī)”一旁的圖標(biāo)，然后單擊“連接到域控制器”。備注：如果您不在要轉(zhuǎn)移其角色的域控制器上，則需要執(zhí)行此步驟。如果您連接著要轉(zhuǎn)移其角色的那一域控制器，則不必執(zhí)行此步驟。

3. ：如果您不在要轉(zhuǎn)移其角色的域控制器上，則需要執(zhí)行此步驟。如果您連接著要轉(zhuǎn)移其角色的那一域控制器，則不必執(zhí)行此步驟。單擊將成為新的角色擔(dān)任者的域控制器，然后單擊確定。

4. ：如果您不在要轉(zhuǎn)移其角色的域控制器上，則需要執(zhí)行此步驟。如果您連接著要轉(zhuǎn)移其角色的那一域控制器，則不必執(zhí)行此步驟。右鍵單擊“Active Directory 用戶和計(jì)算機(jī)”圖標(biāo)，然后單擊操作主機(jī)。

5. ：如果您不在要轉(zhuǎn)移其角色的域控制器上，則需要執(zhí)行此步驟。如果您連接著要轉(zhuǎn)移其角色的那一域控制器，則不必執(zhí)行此步驟。在更改操作主機(jī)對(duì)話框中，單擊與您要轉(zhuǎn)移的角色對(duì)應(yīng)的選項(xiàng)卡（RID 、PDC 或結(jié)構(gòu)）。

6. ：如果您不在要轉(zhuǎn)移其角色的域控制器上，則需要執(zhí)行此步驟。如果您連接著要轉(zhuǎn)移其角色的那一域控制器，則不必執(zhí)行此步驟。單擊更改操作主機(jī)對(duì)話框中的更改。 7. ：如果您不在要轉(zhuǎn)移其角色的域控制器上，則需要執(zhí)行此步驟。如果您連接著要轉(zhuǎn)移其角色的那一域控制器，則不必執(zhí)行此步驟。單擊確定以確認(rèn)您想轉(zhuǎn)移的角色。 8. ：如果您不在要轉(zhuǎn)移其角色的域控制器上，則需要執(zhí)行此步驟。如果您連接著要轉(zhuǎn)移其角色的那一域控制器，則不必執(zhí)行此步驟。單擊確定。

9. ：如果您不在要轉(zhuǎn)移其角色的域控制器上，則需要執(zhí)行此步驟。如果您連接著要轉(zhuǎn)移其角色的那一域控制器，則不必執(zhí)行此步驟。單擊取消關(guān)閉對(duì)話框。

b. 轉(zhuǎn)移域命名主機(jī)角色

1. 單擊開(kāi)始，指向程序，指向管理工具，然后單擊“Active Directory 域和信任關(guān)系”。

2. 右鍵單擊“Active Directory 域和信任關(guān)系”圖標(biāo)，然后單擊“連接到域控制器”。備注：如果您不在要轉(zhuǎn)移其角色的域控制器上，則需要執(zhí)行此步驟。如果您連接著要轉(zhuǎn)移其角色的那一域控制器，則不必執(zhí)行此步驟。

3. ：如果您不在要轉(zhuǎn)移其角色的域控制器上，則需要執(zhí)行此步驟。如果您連接著要轉(zhuǎn)移其角色的那一域控制器，則不必執(zhí)行此步驟。單擊將成為新的角色擔(dān)任者的域控制器，然后單擊確定。

4. ：如果您不在要轉(zhuǎn)移其角色的域控制器上，則需要執(zhí)行此步驟。如果您連接著要轉(zhuǎn)移其角色的那一域控制器，則不必執(zhí)行此步驟。右鍵單擊“Active Directory 域和信任關(guān)系”，然后單擊操作主機(jī)。

5. ：如果您不在要轉(zhuǎn)移其角色的域控制器上，則需要執(zhí)行此步驟。如果您連接著要轉(zhuǎn)移其角色的那一域控制器，則不必執(zhí)行此步驟。在更改操作主機(jī)對(duì)話框中，單擊更改。

6. ：如果您不在要轉(zhuǎn)移其角色的域控制器上，則需要執(zhí)行此步驟。如果您連接著要轉(zhuǎn)移其角色的那一域控制器，則不必執(zhí)行此步驟。單擊確定以確認(rèn)您想轉(zhuǎn)移的角色。 7. ：如果您不在要轉(zhuǎn)移其角色的域控制器上，則需要執(zhí)行此步驟。如果您連接著要轉(zhuǎn)移其角色的那一域控制器，則不必執(zhí)行此步驟。單擊確定。

8. ：如果您不在要轉(zhuǎn)移其角色的域控制器上，則需要執(zhí)行此步驟。如果您連接著要轉(zhuǎn)移其角色的那一域控制器，則不必執(zhí)行此步驟。單擊取消關(guān)閉對(duì)話框。

c. 轉(zhuǎn)移架構(gòu)主機(jī)角色 您可以使用“架構(gòu)主機(jī)”工具來(lái)轉(zhuǎn)移此角色。不過(guò)，必須已注冊(cè)了 Schmmgmt.dll 動(dòng)態(tài)鏈接庫(kù)以使該“架構(gòu)”工具可以作為一個(gè) MMC 被訪問(wèn)到。注冊(cè)架構(gòu)工具

1. 單擊開(kāi)始，然后單擊運(yùn)行。

2. 鍵入 regsvr32 schmmgmt.dll ，然后單擊確定。應(yīng)顯示出一條指出注冊(cè)成功的消息。 轉(zhuǎn)移架構(gòu)主機(jī)角色 1. 單擊開(kāi)始，單擊運(yùn)行，鍵入 mmc，然后單擊確定。 2. 在控制臺(tái)菜單上，單擊“添加/刪除管理單元”。

3. 單擊添加。

4. 單擊 Active Directory 架構(gòu)。

5. 單擊添加。

6. 單擊關(guān)閉以關(guān)閉添加獨(dú)立管理單元對(duì)話框。

7. 單擊確定以將此管理單元添加到控制臺(tái)。

8. 右鍵單擊 Active Directory 架構(gòu)圖標(biāo)，然后單擊更改域控制器。備注：如果您不在要轉(zhuǎn)移其角色的域控制器上，則需要執(zhí)行此步驟。如果您連接著要轉(zhuǎn)移其角色的那一域控制器，則不必執(zhí)行此步驟。

9. ：如果您不在要轉(zhuǎn)移其角色的域控制器上，則需要執(zhí)行此步驟。如果您連接著要轉(zhuǎn)移其角色的那一域控制器，則不必執(zhí)行此步驟。單擊 Specify Domain Controller （指定域控制器），鍵入將成為新的角色擔(dān)任者的域控制器的名稱，然后單擊確定。 10. ：如果您不在要轉(zhuǎn)移其角色的域控制器上，則需要執(zhí)行此步驟。如果您連接著要轉(zhuǎn)移其角色的那一域控制器，則不必執(zhí)行此步驟。右鍵單擊 Active Directory 架構(gòu)，然后單擊操作主機(jī)。

11. ：如果您不在要轉(zhuǎn)移其角色的域控制器上，則需要執(zhí)行此步驟。如果您連接著要轉(zhuǎn)移其角色的那一域控制器，則不必執(zhí)行此步驟。在更改架構(gòu)主機(jī)對(duì)話框中，單擊更改。

12. ：如果您不在要轉(zhuǎn)移其角色的域控制器上，則需要執(zhí)行此步驟。如果您連接著要轉(zhuǎn)移其角色的那一域控制器，則不必執(zhí)行此步驟。單擊確定。

13. ：如果您不在要轉(zhuǎn)移其角色的域控制器上，則需要執(zhí)行此步驟。如果您連接著要轉(zhuǎn)移其角色的那一域控制器，則不必執(zhí)行此步驟。單擊確定。

14. ：如果您不在要轉(zhuǎn)移其角色的域控制器上，則需要執(zhí)行此步驟。如果您連接著要轉(zhuǎn)移其角色的那一域控制器，則不必執(zhí)行此步驟。單擊取消關(guān)閉對(duì)話框。當(dāng)最后一步轉(zhuǎn)移結(jié)構(gòu)主機(jī)角色時(shí)可能會(huì)提示“當(dāng)前域控制器是全局編錄服務(wù)器，不要將結(jié)構(gòu)主機(jī)角色轉(zhuǎn)移到該域控制器上”，由于是在單域環(huán)境中，直接確認(rèn)忽略該提示即可。

十一、. 完成以上操作之后，新的Windows Server 2003域控制器便替代了原來(lái)的第一臺(tái)Windows 2000域控制器的角色，但我們需要等待一段時(shí)間使原來(lái)的Windows 2000域控制器上的和全局編錄及FSMO 角色相關(guān)的活動(dòng)目錄信息完全復(fù)制到Windows Server 2003域控制器上。建議您觀察一兩天時(shí)間，并確認(rèn)新的Windows Server 2003域控制器/DNS服務(wù)器一切工作正常后，再將原來(lái)的Windows 2000域控制器降級(jí)。

十二、. 當(dāng)所有的Windows 2000域控制器都成功降級(jí)，當(dāng)前域中只剩下Windows Server 2003域控制器后，我們便可以提升當(dāng)前域/活動(dòng)目錄林的功能級(jí)別，以便應(yīng)用Windows 2003活動(dòng)目錄中的一些新特性，具體方法和注意事項(xiàng)請(qǐng)參考下面這篇文檔：《如何在 Windows Server 2003 中提升域和目錄林功能級(jí)別》：