升级到 Windows Server 2003

 

Windows 2000 中的第一版 Active Directory 具有惊人的稳定性和健壮性。Microsoft 没有最好的产品原始发行跟踪记录，但按照 Windows 2000 Active Directory 功能的丰富性和可靠性，确实值得称赞。也就是说， 因为 Active Directory 技术的应用如此复杂和广泛，其发展空间应该非常广阔。某些扩展性的问题， 如反应很差的 5000 组员限制或者 300 个站点的限制，它们可能都在 Active Directory 的实施过程中增加了人为因素的限制。这些问题在 Windows Server 2003 中都得到了解决。 Windows 2000 Active Directory 默认的安全安装并没有达到它应有的安全性。签名 LDAP 通讯和其他的安全增强功能都已被添加到了服务包中，但它们是由 Windows Server 2003 默认提供的。最后，在 Active Directory 中工作，可管理性是需要考虑的一个部分，在 Windows Server 2003 中，已经大量增加了对命令行的使用，同时 AD Administrative 管理单元也得到了明显的改进。

我们重点介绍了 Windows Server 2003 对 Active Directory 进行改进的几个关键部分，在下一节中将描述更多的新功能。如果您已经部署了 Windows 2000 Active Directory 基础结构，是否升级到 Windows Server 2003 以及何时升级将是您下一步需要做出的重大决定。幸运的是，转换到 Windows Server 2003 是一个渐进过程，而不是像从 Windows NT 到 Active Directory那样的革命性过程。事实上， Microsoft 的目标是使升级到 Windows Server 2003 的过程尽可能地平滑，而且在大多数情况下都做到了这一点。至少您可以将 Windows Server 2003 域控制器引入到现有的 Active Directory 环境；这些域控制器与 Windows 2000 域控制器是完全兼容的。

在您引入 Windows Server 2003 域控制器之前，您必须使用 ADPrep 实用工具准备森林和域， 该实用工具可以针对新的功能对森林加以准备，以便在您提升了域或森林的功能级别后，可以立即使用这些新功能。功能级别在本质上类似于 Windows 2000 Active Directory 中的域模式。功能级别允许您根据域控制器上运行的操作系统，来配置域或森林中可用的不同级别的功能。

在讨论升级到 Windows Server 2003 的过程之前，我们先讨论一下在 Windows Server 2003 中的一些新功能及其与 Windows 2000 的功能差异。基于这些信息，您应该能够区分出以不同速度执行迁移所具有的不同的重要性。

订购请点击此处

本页内容 Windows Server 2003 中的新功能
 与 Windows 2000 的不同之处
 功能级别说明
 准备 ADPrep
 升级过程
 升级之后的任务
 小结

Windows Server 2003 中的新功能

尽管 Windows Server 2003 的发布被看作是一种改进，但仍然有几个新的功能能够吸引用户进行升级。

在使用“功能”这个词时， 我们指得是它不仅仅是对 Windows 2000 工作方式的修改。也就是说，它是您必须明确加以使用或实现的特性。与 Windows 2000 的功能差异，我们将在下一节讨论。

我们建议您认真审阅这些功能并根据以下类别进行评价：
1. 
您将立即使用该功能。

2. 
您将最后使用该功能。

3. 
您将从不使用该功能或该功能不重要。

评价每一项功能将有助于判定您在升级过程中将获得多大的收益。以下是新功能的列表，未按任何依据排序：

应用系统分区

您可以创建分区，分区能够复制到森林中的任何域控制器。

并发 LDAP 绑定

并发的 LDAP 绑定不生成 Kerberos 票证和安全标记，因此比简单 LDAP 绑定更快。

跨森林信任

该信任是可传递的，这样两个不同森林内的所有域都可以通过一个由两个森林根域定义的单一信任而相互信任。

域控制器重命名

重新命名域控制器的过程只需重新启动一次计算机。

重新命名域

域现在可以重新命名，但对其用户群有很大影响（比如，所有的成员计算机都需要重启两次）。更多相关信息，请访问 以下地址的白皮书： http://www.microsoft.com/windowsserver2003/downloads/domainrename.mspx。

动态辅助类

现在支持基于标准的动态辅助类别实施。在 Windows 2000 中， 辅助类别被考虑为“静态”的，因为该类别是在架构中静态定义的。通过动态辅助类别，您可以在创建一个不用在架构中定义为辅助类的对象时连接该类。

动态对象

通常讲，在对象被显式删除之前，它们都保存在 Active Directory 中。使用动态对象，您可以创建有生存时间（TTL）值的对象以表明如果不刷新的话，他们将在何时被自动删除。

通过介质安装

它是一项十分必要的功能，允许用户使用来自另一个域控制器的备份将复制的域控制器提升到森林。这将在很大程度上减少将域控制器提升到更大的域所需的时间。

MMC 以及 CLI 增强

Active Directory 用户和计算机（ADUC）工具已经得到增强，可允许对象的多选功能；其他的工具，如 repadmin 以及 netdom 也有一些新的选项。

崭新的 DS CLI 工具

一系列崭新的 CLI 工具通过使用命令行管理 Active Directory 从而提供了更强的灵活性。这些工具包括 dsadd、dsmod、dsrm、dsget 以及 dsquery。

新的 GPO 设置

100 多个新的 GPO 设置被添加进来，为管理 Active Directory 客户端提供了更多的灵活性。

GPO RSoP

ADUC 中也加入了策略结果集（RSoP），该策略集可被组策略管理控制台（GPMC）完全利用。RSoP 允许管理员判定什么样的 GPO 设置将被应用到终端用户和计算机中。

TLS 支持

在 Windows 2000 中，只支持 SSL 来加密通过网络的流量。TLS 作为最新的基于标准的加密 LDAP 通讯方法，也同样得到支持。

限额

Windows 2000 中，如果用户拥有创建对象的权限，他们可以创建任意多的对象，而没有办法被限制。限额允许您来定义一个用户或组的所有用户能够创建多少个对象。限额也可以规定某个对象类可以被创建的个数。

基于组的查询

用于基于角色的授权，新的授权管理者允许您创建灵活并基于用户（例如，部门）保存的信息的组。

重定向用户和计算机

您可以分别使用 redirusr 和 redircmp 命令来重定向默认的位置以保存新的用户和计算机 。

重新定义架构

您可以去除然后重新定义架构中的属性和类。

全局组缓存

您可以在注册时通过启用全局组缓存来消除拥有全局编录服务器的要求。这可以在站点级别启用，而且适用于任何登录到该站点内域控制器的客户端。

最近登录时间戳属性

在 NOS 环境中最典型的一个问题就是试图判定一个用户或计算机上一次登录的时间。新的“最近登录时间戳”属性被应用到这里，这意味着使用一个简单的查询就您就可以找到一段时间内没有登录的所有用户或计算机。

GPO 的 WMI 过滤

除 OU、站点、域和安全组标准可以过滤 GPO 之外，您现在可以使用在客户端机器上的 WMI 信息来判定某个 GPO 是否应该被应用。

信任和复制监视的 WMI 提供者 <