Cómo actualizar un controlador de dominio de Windows 2000 a Windows Server 2003
Antes de actualizar un controlador de dominio de Windows 2000 a Windows Server 2003, o antes de agregar un nuevo controlador de dominio de Windows Server 2003 a un dominio de Windows 2000, siga estos pasos:
Haga un inventario de los clientes que acceda a los recursos en el dominio que aloja los controladores de dominio de Windows Server 2003 para determinar si son compatibles con la firma SMB:
Cada controlador de dominio de Windows Server 2003 es seguro por sí solo. La firma SMB está habilitada en la política. Asegúrese de que todos los clientes de red que utilizan el protocolo SMB/CIFS para acceder a archivos e impresoras compartidos en el dominio que aloja un controlador de dominio de Windows Server 2003 puedan configurarse o actualizarse para admitir la firma SMB. Si no puede configurarlos o actualizarlos, deshabilite temporalmente la firma SMB hasta que se puedan instalar las actualizaciones o los clientes se puedan actualizar a un sistema operativo más nuevo que admita la firma SMB. Para obtener información sobre cómo deshabilitar la firma SMB, consulte la sección "Deshabilitar la firma SMB" al final de este paso.
Plan de acción
La siguiente lista muestra el plan de acción para clientes SMB comunes: Desactivar la firma SMB
Si la actualización de software no se puede instalar en Windows 95 , Windows NT 4.0 o en otros clientes que no se pueden instalar antes de la introducción de Windows Server 2003, deshabilite temporalmente el requisito de firma del servicio SMB en la Política de grupo hasta que se pueda implementar el software de cliente actualizado.
La firma del servicio SMB se puede deshabilitar en el siguiente nodo de la política "Controlador de dominio predeterminado" en la unidad organizativa del controlador de dominio:
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Políticas locales \ Opciones de seguridad\Microsoft Network Server: firmar digitalmente comunicaciones (siempre)
Si el controlador de dominio no está ubicado en la unidad organizativa de un controlador de dominio, debe configurar el vínculo del objeto de política de grupo (GPO) del controlador de dominio predeterminado en todas las unidades organizativas que alojan controladores de dominio de Windows 2000 o Windows Server 2003. Alternativamente, puede configurar el inicio de sesión del servicio SMB en GPO vinculados a esas unidades organizativas.
Microsoft Windows Server 2003, Microsoft Windows XP Professional, Microsoft Windows 2000Server, Microsoft Windows 2000 Professional y Microsoft Windows 98
No se requiere ninguna acción.
Microsoft Windows NT 4.0
Para todas las computadoras basadas en Windows NT 4.0 que accederán a un dominio que contiene computadoras basadas en Windows Server 2003, instale el Service Pack 3 o una versión superior (es Se recomienda instalar el Service Pack 6A). Como alternativa, deshabilite temporalmente la firma SMB en el controlador de dominio de Windows Server 2003. Para obtener información sobre cómo deshabilitar la firma SMB, consulte la sección "Deshabilitar la firma SMB" al final de este paso.
Microsoft Windows 95
Instale el cliente de servicios de directorio de Windows 9x en una computadora con Windows 95 o deshabilite temporalmente la firma SMB en un controlador de dominio de Windows Server 2003. El cliente de servicios de directorio Win9x original se proporciona en el CD-ROM de Windows 2000 Server. Sin embargo, este complemento de cliente ha sido reemplazado por el cliente mejorado de Win9x Directory Services. Para obtener información sobre cómo deshabilitar la firma SMB, consulte la sección "Deshabilitar la firma SMB" al final de este paso.
Microsoft Network Client para MS-DOS y el cliente Microsoft LAN Manager
Microsoft Network Client para MS-DOS y el cliente de red Microsoft LAN Manager 2.x se pueden utilizar para proporcionar acceso a la red recursos También se pueden utilizar junto con disquetes de arranque para copiar archivos del sistema operativo y otros archivos en el directorio privado del servidor de archivos como parte de la rutina de instalación del software. Estos clientes no admiten la firma SMB. Utilice otro método de instalación o desactive la firma SMB. Para obtener información sobre cómo deshabilitar la firma SMB, consulte la sección "Deshabilitar la firma SMB" al final de este paso.
Clientes Macintosh
Algunos clientes Macintosh no son compatibles con la firma SMB y recibirán el siguiente mensaje de error al intentar conectarse a un recurso de red:
- Error -36 E/S
Instale el software actualizado (si se proporciona). De lo contrario, deshabilite la firma SMB en el controlador de dominio de Windows Server 2003. Para obtener información sobre cómo deshabilitar la firma SMB, consulte la sección "Deshabilitar la firma SMB" al final de este paso.
Otros clientes SMB de terceros
Algunos clientes SMB de terceros no admiten la firma SMB. Consulte con su proveedor de SMB para ver si hay una versión más reciente disponible. De lo contrario, deshabilite la firma SMB en el controlador de dominio de Windows Server 2003.
Haga un inventario de los controladores de dominio en el dominio y el bosque:
Nota: Las propiedades del controlador de dominio no rastrean la instalación de cada parche por separado.
Verifique la replicación de Active Directory de un extremo a otro en todo el bosque.
Verifique que cada controlador de dominio en el bosque actualizado replique consistentemente todos los contextos de nombres que controla localmente y sus socios de acuerdo con el cronograma definido por el enlace del sitio u objeto de conexión.
Utilice la versión de Repadmin.exe para Windows Server 2003 en un equipo miembro basado en Windows XP o Windows Server 2003 en el bosque con los siguientes parámetros:
REPADMIN /REPLSUM /BYSRC /BYDEST /SORT:DELTA <- salida formateada para caber en la páginaDestDC el delta más grande falla/total %% errorNA-DC-01 13d.21h:10m:10s 97/143 67 (8240) No existe tal objeto...NA-DC-02 13d.04h:11m :07s 180 / 763 23 (8524) La operación DSA...NA-DC-03 12d.03h:54m:41s 5 / 5 100 (8524) La operación DSA...
Todos los dominios en el bosque El controlador debe replicar Active Directory de forma segura, y el valor en la columna "Delta más grande" en la salida de repadmin no debe ser significativamente mayor que la frecuencia de replicación en el enlace del sitio correspondiente o el objeto de conexión utilizado por un controlador de dominio de destino determinado.
Resolver todos los errores de replicación entre controladores de dominio que no logran replicar el correo entrante por menos de los días de tiempo de vida (TSL) de Tombstone (el valor predeterminado es 60 días). Si no puede lograr que la replicación funcione, es posible que deba degradar por la fuerza los controladores de dominio y usar el comando de limpieza de metadatos de Ntdsutil para eliminarlos del bosque y luego promocionarlos nuevamente al bosque. Puede utilizar la degradación forzada para guardar instalaciones y programas del sistema operativo en controladores de dominio huérfanos. Para obtener más información sobre cómo eliminar un controlador de dominio de Windows 2000 huérfano de un dominio, haga clic en el número de artículo siguiente para ver el artículo correspondiente en Microsoft Knowledge Base:
216498 Después de una degradación fallida del controlador de dominio Cómo eliminar datos desde Active Directory
Esta acción sólo debe realizarse para restaurar la instalación del sistema operativo y los programas instalados si no hay otra manera. Perderá objetos y atributos no replicados en el controlador de dominio huérfano, incluidos usuarios, computadoras, relaciones de confianza, sus contraseñas, grupos y membresías de grupos.
Tenga cuidado al intentar resolver errores de replicación en un controlador de dominio donde los cambios entrantes a una partición específica de Active Directory no se han replicado durante más de los días de vida útil de Tombstone. Al hacer esto, puede recuperar objetos que se eliminaron en un controlador de dominio pero para los cuales el socio de replicación directa o transitiva nunca recibió la eliminación dentro de los 60 días anteriores.
Considere eliminar cualquier objeto persistente que resida en controladores de dominio que no hayan realizado replicación entrante dentro de los 60 días anteriores. Alternativamente, los controladores de dominio que no hayan realizado ninguna replicación entrante en una partición determinada durante los días de vida útil del desecho pueden ser degradados por la fuerza y sus metadatos restantes eliminados del bosque de Active Directory mediante Ntdsutil y otras utilidades. Comuníquese con su proveedor de soporte o con Microsoft PSS para obtener ayuda adicional.
Comprueba si el contenido compartido por Sysvol *** es consistente.
Verifique que la parte del sistema de archivos de la política de grupo sea coherente. Puede utilizar Gpotool.exe del kit de recursos para determinar si existen inconsistencias de políticas en todo el dominio. Utilice Healthcheck en las herramientas de soporte de Windows Server 2003 para determinar si el conjunto de réplicas compartidas Sysvol *** funciona correctamente en cada dominio.
Si el contenido compartido por Sysvol *** es inconsistente, resuelva cualquier inconsistencia.
Utilice Dcdiag.exe de las herramientas de soporte para verificar que todos los controladores de dominio hayan compartido recursos compartidos de Netlogon y Sysvol. Para hacer esto, escriba el siguiente comando en el símbolo del sistema:
DCDIAG.EXE /e /test:frssysvol
Rol de operaciones de inventario.
El maestro de operaciones de esquema y estructura se utiliza para introducir cambios de esquema en todo el bosque y en todo el dominio en los bosques y sus dominios creados por la utilidad adprep de Windows Server 2003. Verifique que el controlador de dominio que aloja los roles de esquema y tejido para cada dominio del bosque resida en el controlador de dominio activo y que cada propietario de rol haya realizado una replicación entrante.
El comando DCDIAG /test:FSMOCHECK se puede utilizar para ver roles operativos en todo el bosque y en todo el dominio. La función de maestro de operaciones que reside en un controlador de dominio inexistente se debe adquirir en un controlador de dominio en buen estado mediante NTDSUTIL. Si es posible, se deben transferir las funciones que residen en controladores de dominio en mal estado. En caso contrario, deberán obtenerse. El comando NETDOM QUERY FSMO no identifica los roles FSMO que residen en un controlador de dominio eliminado.
Verifique que el maestro de esquema y cada maestro de tejido hayan realizado la replicación entrante de Active Directory desde el último inicio. Puede utilizar el comando REPADMIN /SHOWREPS DCNAME para verificar la replicación entrante, donde DCNAME es el nombre de la computadora NetBIOS o el nombre completo de la computadora del controlador de dominio. Para obtener más información sobre los maestros de operaciones y sus ubicaciones, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
197132Funciones FSMO de Active Directory de Windows 2000
223346 Colocar y optimizar FSMO en controladores de dominio de Active Directory
Revisión del registro de eventos
Compruebe los registros de eventos de todos los controladores de dominio para detectar eventos problemáticos. El registro de eventos no debe contener mensajes de eventos críticos que indiquen un problema con cualquiera de los siguientes procesos y componentes:
El espacio libre en el volumen que aloja el archivo de base de datos de Active Directory Ntds.dit debe ser al menos igual a el tamaño del archivo Ntds.dit es del 15-20%. El espacio libre en el volumen que aloja los archivos de registro de Active Directory también debe ser al menos igual al 15-20 % del tamaño del archivo Ntds.dit. Para obtener información adicional sobre cómo liberar más espacio en disco, consulte la sección "Controlador de dominio sin espacio en disco" de este artículo.
Depuración de DNS (opcional)
Habilite la depuración de DNS en intervalos de 7 días para todos los servidores DNS del bosque. Para obtener mejores resultados, haga esto 61 días o más antes de actualizar su sistema operativo. Esto proporciona al demonio de limpieza de DNS tiempo suficiente para recolectar objetos DNS caducados mientras realiza una desfragmentación fuera de línea del archivo Ntds.dit.
Deshabilitar el servicio del servidor DLT (opcional)
El servicio del servidor DLT está deshabilitado en instalaciones nuevas y actualizadas de controladores de dominio de Windows Server 2003. Si no utiliza el seguimiento de enlaces distribuidos, puede desactivar el servicio del servidor DLT en el controlador de dominio de Windows 2000 y comenzar a eliminar objetos DLT de cada dominio del bosque. Para obtener información adicional, consulte la sección "Recomendaciones de Microsoft para el seguimiento de enlaces distribuidos" en el siguiente artículo de Microsoft Knowledge Base:
312403 Seguimiento de enlaces distribuidos en controladores de dominio basados en Windows
Copia de seguridad del estado del sistema
Cree una copia de seguridad del estado del sistema para al menos dos controladores de dominio en cada dominio del bosque. Si la actualización no funciona, puede utilizar esta copia de seguridad para restaurar todos los dominios del bosque.
Microsoft Exchange 2000 en un bosque de Windows 2000
Nota:
Si Exchange 2000 Server ya está instalado o se instalará en un bosque de Windows 2000, lea esta primera sección y luego ejecute el comando adprep /forestprep de Windows Server 2003.
Si está instalando cambios en el esquema de Microsoft Exchange Server 2003, lea la sección "Descripción general: actualización de un controlador de dominio de Windows 2000 a Windows Server 2003" antes de ejecutar el comando adprep de Windows Server 2003.
El esquema de Exchange 2000 define tres atributos inetOrgPerson con LDAPDisplayName que no se ajustan a los comentarios de solicitud (RFC): houseIdentifier, Secretary y LabeledURI.
El kit inetOrgPerson de Windows 2000 y el comando adprep de Windows Server 2003 definen tres atributos compatibles con RFC con el mismo LDAPDisplayName que son idénticos a la versión que no es compatible con RFC.
Cuando el comando adprep /forestprep de Windows Server 2003 se ejecuta sin el script correctivo en un bosque que contiene cambios de esquema de Windows 2000 y Exchange 2000, LDAPDisplayName para los atributos houseIdentifier, labeledURI y Secretary se desalinean. Las propiedades pueden "destrozarse" si se agregan "Dup" u otros caracteres únicos al principio de nombres de propiedades en conflicto para dar nombres únicos a los objetos y propiedades del directorio.
Es menos probable que se produzca un LDAPDisplayName desalineado para estos atributos en un bosque de Active Directory en las siguientes circunstancias:
Si está ejecutando Windows Server en un bosque que contiene un esquema de Windows 2000 antes de agregar el comando adprep /forestprep del esquema 2003 de Exchange 2000.
Si está creando un bosque donde el esquema de Exchange 2000 está instalado en un controlador de dominio de Windows Server 2003, será el primer controlador de dominio del bosque.
Si agrega el kit inetOrgPerson de Windows 2000 a un bosque que contiene un esquema de Windows 2000, instale los cambios del esquema de Exchange 2000 y luego ejecute el comando adprep /forestprep de Windows Server 2003.
Si está agregando un esquema de Exchange 2000 a un bosque de Windows 2000 existente, ejecute Exchange 2003 /forestprep antes de ejecutar el comando adprep /forestprep de Windows Server 2003.
Los atributos asignados aparecerán en Windows 2000 en las siguientes circunstancias:
Si agrega la versión de Exchange 2000 de los atributos labeledURI, houseIdentifier y Secretary al kit inetOrgPerson de Windows 2000 antes de instalar el bosque de Windows 2000.
Agrega la versión de Exchange 2000 de los atributos labeledURI, houseIdentifier y Secretary al bosque de Windows 2000 antes de ejecutar el comando adprep /forestprep de Windows Server 2003 sin ejecutar primero el script de limpieza.
Un plan de acción para cada uno de los siguientes escenarios:
Escenario 1: los cambios en el esquema de Exchange 2000 se agregan después de ejecutar el comando adprep /forestprep de Windows Server 2003
Si los cambios en el esquema de Exchange 2000 que se introducirán en el bosque de Windows 2000 después de ejecutar el comando adprep /forestprep de Windows Server 2003 no requieren limpieza. Vaya a la sección "Descripción general: actualización de un controlador de dominio de Windows 2000 a Windows Server 2003".
Escenario 2: los cambios en el esquema de Exchange 2000 se instalarán antes de ejecutar el comando adprep /forestprep de Windows Server 2003
Si se han instalado los cambios en el esquema de Exchange 2000 pero no se ha instalado adprep / de Windows Server 2003 Si aún no se ha ejecutado el comando forestprep, considere el siguiente plan de acción:
Inicie sesión en la consola maestra de operaciones de esquema utilizando una cuenta que sea miembro del grupo de seguridad Administradores de esquema.
Haga clic en Inicio, haga clic en Ejecutar, escriba notepad.exe en el cuadro Abrir y luego haga clic en Aceptar.
Copie el siguiente texto (incluido el guión final después de "schemaUpdateNow: 1") en el Bloc de notas.
Asegúrate de que no haya espacios al final de cada línea.
En el menú Archivo, haga clic en Guardar. En el cuadro de diálogo Guardar como, siga estos pasos:
En el cuadro Nombre de archivo, escriba lo siguiente:
\%userprofile%\InetOrgPersonPrevent.ldf
p>En el cuadro Guardar como tipo, haga clic en Todos los archivos.
En el cuadro Codificación, haga clic en Unicode.
Haz clic en Guardar.
Salir del Bloc de notas.
Ejecute el script InetOrgPersonPrevent.ldf.
DC=X es una constante que distingue entre mayúsculas y minúsculas.
La ruta del nombre de dominio del dominio raíz debe estar entre comillas.
Haga clic en Inicio, haga clic en Ejecutar, escriba cmd en el cuadro Abrir y luego haga clic en Aceptar.
Escriba el siguiente comando en el símbolo del sistema y presione Entrar:
cd %userprofile%
Escriba el siguiente comando
c : \documents and settings\%username%>ldifde -i -f inetorgpersonprevent.ldf -v -c DC=X "
Notas de sintaxis: por ejemplo, raíz del bosque dominio La sintaxis del comando para el bosque de Active Directory de TAILSPINTOYS.COM sería:
c:\documents and settings\administrator>ldifde -i -f inetorgpersonprevent.ldf -v -c DC=X "dc= tailspintoys, dc=com"
Nota: Si recibe el siguiente mensaje de error, es posible que deba cambiar la
Actualización de esquema permitida
subclave del registro:
No se permite la actualización del esquema en este DC porque la clave de registro no está configurada o el DC no es el propietario de la función FSMO del esquema.
Para obtener más información sobre cómo cambiar esta subclave de registro, Haga clic en el número de artículo siguiente para ver el artículo correspondiente en Microsoft Knowledge Base:
285172 La actualización del esquema requiere permisos de escritura para el esquema en Active Directory
Cuando se ejecuta Windows Server 2003 adprep / Antes del comando forestprep, verifique que LDAPDisplayName para los atributos CN=ms-Exch-Assistant-Name, CN=ms-Exch-LabeledURI y CN=ms-Exch-House-Identifier en el contexto de nomenclatura del esquema ahora aparezca como msExchAssistantName. msExchLabeledURI y msExchHouseIdentifier respectivamente.
Vaya a la sección "Descripción general: actualización de un controlador de dominio de Windows 2000 a Windows Server 2003" para ejecutar los comandos adprep /forestprep y /domainprep.
Escenario 3: el comando forestprep de Windows Server 2003 se ejecuta sin ejecutar primero inetOrgPersonFix
Si está ejecutando el comando adprep/forestprep de Windows Server 2003, los atributos LDAPDisplayName de houseIdentifier, Secretary y labeledURI quedará desalineado. Para identificar un nombre alterado, utilice Ldp.exe para encontrar las propiedades afectadas:
Instale Ldp.exe desde la carpeta Support\Tools de los medios de Microsoft Windows 2000 o Windows Server 2003.
Inicie Ldp.exe desde un controlador de dominio o una computadora miembro en el bosque.
En el menú Conexión, haga clic en Conectar, deje el cuadro Servidor en blanco, escriba 389 en el cuadro Puerto y luego haga clic en Aceptar.
En el menú Conexión, haga clic en Vincular, deje todos los cuadros en blanco y luego haga clic en Aceptar.
Tenga en cuenta la ruta del nombre completo de la propiedad SchemaNamingContext. Por ejemplo, para un controlador de dominio en el bosque CORP.ADATUM.COM, la ruta del nombre completo podría ser CN=Schema,CN=Configuration,DC=corp,DC=company,DC=com.
En el menú Explorar, haga clic en Buscar.
Configure el cuadro de diálogo Buscar con los siguientes ajustes:
DN base: la ruta del nombre completo del contexto de nomenclatura del esquema determinado en el paso 3.
"Filter": (ldapdisplayname=dup*)
"Scope": subtree
Atributo LDAPDisplayName mal colocado para los atributos houseIdentifier, Secretary y LabeledURI Similar al siguiente formato:
LDAPDisplayName:DUP-labeledURI-9591bbd3-d2a6-4669-afda-48af7c35507d;
LDAPDisplayName:DUP-secretary-c5a1240d-70c0-455c-9906-a4070602f85f
LDAPDisplayName:DUP-houseIdentifier-354b0ca8-9b6c-4722-aae7-e66906cc9eef
Si el LDAPDisplayName del labeledURI, Secretary y houseIdentifier se extraviaron en el paso 6, ejecute el script ldf de Windows Server 2003 InetOrgPersonFix. restaurar y luego vaya a la sección "Uso de Winnt32.exe para actualizar un controlador de dominio de Windows 2000".
DC=X es una constante que distingue entre mayúsculas y minúsculas.
La ruta del nombre de dominio del dominio raíz del bosque debe estar entre comillas.
Cree una carpeta llamada %Systemdrive%\IOP y extraiga el archivo InetOrgPersonFix.ldf en esta carpeta.
En el símbolo del sistema, escriba cd %systemdrive%\iop.
Extraiga el archivo InetOrgPersonFix.ldf del archivo Support.cab ubicado en la carpeta Support\Tools del medio de instalación de Windows Server 2003.
Desde la consola del maestro de operaciones de esquema, use Ldifde.exe para cargar el archivo InetOrgPersonFix.ldf para corregir la propiedad LdapDisplayName para las propiedades houseIdentifier, Secretary y LabeledURI. Para hacer esto, escriba el siguiente comando, donde
C:\IOP >ldifde -i -f inetorgpersonfix.ldf -v -c DC=X "
Notas de sintaxis:
Verifique el nombre del esquema antes de instalar Exchange 2000 Si los atributos houseIdentifier, Secretary y LabeledURI en el contexto no están "fuera de lugar".