如何将 Windows 2000 域控制器升级到 Windows Server 2003

域和林清点

在将 Windows Server 2003 架构更改或 Windows Server 2003 域控制器添加到生产 Windows 2000 林之前，请按照以下步骤操作：

1. 清点访问您要升级的域中的资源的客户机：
   1. Windows 95、Windows NT 4.0 和 Macintosh 客户机：
      
      Macintosh 客户机在尝试连接到网络资源的过程中可能会收到以下错误信息
      
      - Error -36 I/O
      在 Windows Server 2003 域控制器中定义的本地安全设置要求客户机使用 SMB Service 签名。未安装 Active Directory 目录服务客户程序的 Windows 95 以及 Windows NT 4.0 Service Pack 2 (SP2) 或更早的客户机与默认 Windows Server 2003 安全设置中启用的 SMB Service 签名要求不兼容。这些客户机无法向 Windows Server 2003 域控制器进行身份验证，也无法访问 Windows Server 2003 域控制器上的资源。
      
      未安装目录服务客户程序的 Windows 95 客户机在尝试向启用了 SMB Service 签名的 Windows 2003 域控制器进行身份验证时，可能会收到以下错误信息：
      
      The domain password you supplied is not correct, or access to your logon server has been denied.
      通过在域控制器的“组策略”中禁用 SMB Service 签名要求，或者通过在 Windows 95 计算机上安装 Windows 9x 目录服务客户程序，Windows 95 客户机可以进行身份验证和访问资源。Windows 2000 Server CD-ROM 上提供了原始的 Win9x 目录服务客户程序。但是，该附加客户程序已经由经过改进的 Win9x 目录服务客户程序所取代。 有关其他信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章：

      323466 Windows 95 和 Windows 98 的目录服务客户端更新的可用性

      运行 NT 4.0 SP2 及更早版本的 Windows NT 4.0 客户机与未安装目录服务客户程序的 Windows 95 计算机具有相同的身份验证和资源访问问题。安装 SP2 或更早版本的 Windows NT 4.0 客户机在尝试向启用了 SMB Service 签名的 Windows 2003 域控制器进行身份验证时，可能会收到以下错误信息：
      
      The system could not log you on.Make sure your User name and domain are correct, then type your password again.Letters in passwords must be typed using the correct case.Make sure that Caps Lock is not accidentally on.
      Microsoft 建议管理员在所有向包含 Windows Server 2003 计算机的域进行身份验证的 NT 4.0 计算机上都安装 NT 4.0 SP6A。
      
      如果在引入 Windows Server 2003 域控制器之前无法将软件更新安装到受影响的 Windows 95 和 Windows NT 4.0 客户机上，请在“组策略”中先暂时禁用 SMB Service 签名要求，直到能够在 Windows 95 和 NT 4.0 客户机上部署更新的客户软件。
      
      在域控制器组织单元的“默认域控制器”策略的以下节点中可以禁用 SMB Service 签名：

      计算机配置/Windows 设置/安全设置/本地策略/安全选项/Microsoft 网络服务器：数字签名通信（始终）

      如果域控制器不位于域控制器的组织单元中，则必须将默认域控制器的组策略对象 (GPO) 链接到所有承载 Windows 2000 或 Windows Server 2003 域控制器的组织单元。或者，可以在链接到那些组织单元的 GPO 中配置 SMB Service 签名。
   2. 其他客户机：
      
      在运行 Windows 98、Windows 98 Second Edition、Windows Millennium Edition、安装了 SP3 或更高版本的 Windows NT 4.0、Windows 2000、Windows XP Professional 或 Windows Server 2003 的计算机上无需执行其他的操作。
2. 清点域和林中的域控制器：
   1. 确保林中的所有 Windows 2000 域控制器都已经安装了所有相应的修复程序和 Service Pack。
      
      Microsoft 建议所有的 Windows 2000 域控制器运行 Windows 2000 Service Pack 3 (SP3) 或更高版本的操作系统。如果无法完全部署 Windows 2000 SP3，则所有 Windows 2000 域控制器的 Ntdsa.dll 文件的日期戳和版本必须是 2001 年 6 月 4 日和 5.0.2195.3673 之后的。 有关其他信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章：

      331161 Hotfixes to Install on Windows 2000 Domain Controllers Before Running Adprep /Forestprep

      默认情况下，Windows 2000 SP4、Windows XP 和 Windows Server 2003 客户计算机中的 Active Directory 管理工具使用轻量目录访问协议 (LDAP) 签名。如果这些计算机在连接到目标 Windows 2000 域控制器时使用（或依靠）NTLM 身份验证，则连接无效。要解决此问题，目标域控制器上必须至少安装了 Windows 2000 SP3，或者必须在运行管理工具的客户机中关闭 LDAP 签名。 有关 LDAP 的其他信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章：

      325465 Windows 2000 Domain Controllers Require Service Pack 3 or Later When Using Windows Server 2003 Administration Tools

      以下方案使用 NTLM 身份验证：
      • 您管理的 Windows 2000 域控制器位于通过 NTLM（更早的版本）信任关系连接的外部林中。
      • 您将管理单元集中在某个通过 IP 地址引用的特定域控制器上。例如，您单击“开始”，单击“运行”，然后键入以下命令：

        dsa.msc /server=ipaddress

      要确定 Active Directory 域中 Active Directory 域控制器的操作系统和 Service Pack 版本级别，请在林中的 Windows XP Professional 或 Windows Server 2003 成员计算机上安装 Repadmin.exe 的 Windows Server 2003 版，然后针对林中每个域的域控制器运行以下 repadmin 命令：

      >repadmin /showattr 目标域中的域控制器的名称 ncobj:domain:"/filter:(&(objectCategory=computer)(primaryGroupID=516))" /subtree /atts:operatingSystem,operatingSystemVersion,operatingSystemServicePack
      
      DN:CN=NA-DC-01,organizational unit=Domain Controllers,DC=company,DC=com
      
      1> operatingSystem:Windows Server 2003
      1> operatingSystemVersion:5.2 (3718) DN:CN=NA-DC-02,organizational unit=Domain Controllers,DC=company,DC=com
      1> operatingSystem:Windows 2000 Server
      1> operatingSystemVersion:5.0 (2195)
      1> operatingSystemServicePack:Service Pack 1

      注意：域控制器的属性不分别跟踪每个修复程序的安装。
   2. 验证整个林中的端到端 Active Directory 复制。
      
      验证已升级的林中的每个域控制器是否始终按照站点链接或连接对象所定义的日程表，复制它在本地控制的所有名称上下文及其伙伴。具体说来就是，每个域控制器必须至少有一个入站和出站连接对象用于以下部分：
      • 架构和配置：由林中的所有域控制器共享
      • 域：由同一个域中的所有域控制器共享
      在林中基于 Windows XP 或 Windows Server 2003 的成员计算机上，带下列参数使用 Repadmin.exe 的 Windows Server 2003 版：

      REPADMIN /REPLSUM /BYSRC /BYDEST /SORT:DELTA              <-output formatted to fit on page
      
      DestDC    largest delta    fails/total  %%  error
      
      NA-DC-01 13d.21h:10m:10s    97 / 143  67  (8240) There is no such object...
      NA-DC-02 13d.04h:11m:07s   180 / 763  23  (8524) The DSA operation...
      NA-DC-03 12d.03h:54m:41s     5 /   5 100  (8524) The DSA operation...
      								

      林中所有域控制器的复制必须没有错误，而且“最大 Delta”列中的值一定不能大于匹配的站点链接或连接对象所定义的复制频率。研究 REPLSUM 输出中任何报告了复制错误的域控制器，尤其是那些在 Tombstone 存留时间 (TSL) 天数（默认为 60 天）之内未复制入站或出站更改的复制错误。为此，请在导入 .csv 文件的电子表格程序中查看 repadmin /showrepl * /CSV >c:/repldrilldown.csv 中的输出，然后按照“上次成功时间”进行排序。
      
      尝试解决在 tombstonelifetime 天数之内未复制名称上下文的入站或出站更改的域控制器的复制错误时一定要小心。如果那样做，可能会使那些在一个域控制器中被删除、而在其他域控制器中仍然活动的对象复活，如果删除操作在前 60 天里没有在整个林中完全传播的话。
      
      考虑强制性降级这样的域控制器，并使用 Ntdsutil 和其他实用程序将它们的剩余元素从 Active Directory 林中删除。请与您的支持提供商或 Microsoft PSS 联系以获取其他帮助。
      
      必须在 tombstonelifetime 天之内将当前脱机的所有域控制器联机，然后验证入站和出站复制。
      
      如果域控制器无法复制 Active Directory，则可能必须强制性将域控制器降级，并使用 Ntdsutil metadata cleanup 命令将它们从林中删除，然后将它们提升回林中。可以使用强制性降级的方法来保存操作系统安装和孤立域控制器上的程序。 有关如何从 Windows 2000 域控制器的域中删除孤立的 Windows 2000 域控制器的其他信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章：