Win+2000域升级到Win+2003域的详细步骤

2023年12月8日发(作者：分镜头脚本表格)

Win 2000域升级到Win 2003域的详细步骤

Win 2000域升级到Win 2003域的详细步骤

从Windows 2000域升级到Windows 2003域的问题，建议您参考以下步骤：

一．确认当前的Windows 2000域控制器工作正常，并且都打了Service Pack 4和最新的安全补丁。

二．确认Windows 2000活动目录中的5个FSMO角色都在第一台Windows 2000域控制器上（默认情况就是这样的）

这五个 FSMO 角色是：

• 架构主机 - 每个目录林中有一个主机角色担任者。架构主机 FSMO 角色的担任者是负责对目录架构执行更新的域控制器 (DC)。

• 域命名主机 - 每个目录林中有一个主机角色担任者。域命名主机 FSMO 角色的担任者是负责对目录的目录林范围的域名空间进行更改的 DC。

• 结构主机 - 每个域中有一个主机角色担任者。结构主机 FSMO 角色的担任者是负责在一个跨域的对象引用中更新对象的 SID 和辨别名的 DC。

• RID 主机 - 每个域中有一个主机角色担任者。RID 主机 FSMO 角色的担任者是负责处理来自某一给定域中的所有 DC 的“RID 池”请求的单个 DC。

• PDC 模拟器 - 每个域中有一个主机角色担任者。PDC 模拟器 FSMO 角色的担任者是一个向较早版本的工作站、成员服务器和域控制器公布自己是主域控制器 (PDC) 的 Windows 2000 DC。它还是域主浏览器并负责处理密码差异。

三、在Windows 2000域控制器的光驱中插入Windows Server 2003安装光盘。在命令行方式下进入光盘上的I386目录，运行以下命令：adprep /forestprep。该命令成功完成之后，再运行以下命令：adprep /domainprep。

四、完成这一步之后，我们便扩展了当前的Windows 2000活动目录林的架构，这样就可以将Windows

Server 2003加入到活动目录林中作为其中的域控制器，或者将现有的Windows 2000域控制器升级为Windows Server 2003。

《如何将 Windows 2000 域控制器升级到 Windows Server 2003》：

概述：将 Windows 2000 域控制器升级到 Windows Server 2003

您在 Windows Server 2003 介质的 I386 文件夹中运行的 Windows Server 2003 adprep 命令将准备

Windows 2000 林及其域，以添加 Windows Server 2003 域控制器。Windows Server 2003 adprep

/forestprep 命令添加以下特性：

•

用于对象类的已改进的默认安全描述符

•

新的用户和组属性

•

类似于 inetOrgPerson 的新的架构对象和属性

adprep 实用工具支持两个命令行参数：

adprep /forestprep：运行林升级操作。

adprep /domainprep：运行域升级操作。

adprep /forestprep 命令是在林的架构操作主机 (FSMO) 上执行的一次性操作。forestprep 操作必须完成并复制到每个域的结构主机上，然后您才能在该域中运行 adprep /domainprep。

adprep /domainprep 命令是在林中每个将承载新的或升级的 Windows Server 2003 域控制器的域的结构操作主机域控制器上运行的一次性操作。adprep /domainprep 命令验证 forestprep 所做的更改是否已经在域分区中复制，然后对 Sysvol 共享中的域分区和组策略进行自己的更改。

除非 /forestprep 和 /domainprep 操作已经完成并复制到该域中的所有域控制器中，否则您将无法执行以下任何一项操作：

•

使用 将 Windows 2000 域控制器升级到 Windows Server 2003 域控制器。

注意：可以随时将 Windows 2000 成员服务器和计算机升级到 Windows Server 2003 成员计算机。•

使用 将新的 Windows Server 2003 域控制器提升到域中。

承载架构操作主机的域是唯一一个您必须在其中运行 adprep /forestprep 和 adprep /domainprep

这两者的域。在所有其他域中，您只需运行 adprep /domainprep。

adprep /forestprep 和 adprep /domainprep 命令不会向全局编录部分属性集中添加属性，也不会引起全局编录完全同步。RTM 版本的 adprep /domainprep 确实会引起 Sysvol 树中的 Policies 文件夹完全同步。即便将 forestprep 和 domainprep 运行数次，完整操作也只会执行一次。

在 adprep /forestprep 和 adprep /domainprep 所做的更改完全复制后，可以通过运行 Windows

Server 2003 介质的 I386 文件夹内的 将 Windows 2000 域控制器升级到 Windows

Server 2003。另外，还可以使用 将新的 Windows Server 2003 域控制器添加到域中。

使用 adprep /forestprep 命令升级林

要准备 Windows 2000 林和域以接受 Windows Server 2003 域控制器，请先在实验室环境中按照以下步骤操作，然后再在生产环境中按照以下步骤操作：

1.

确保已经完成了“清点林”阶段的所有操作，尤其要注意以下几项：

a.

已经创建了系统状态备份。

b.

林中的所有 Windows 2000 域控制器都已经安装了所有适当的修补程序和 Service Pack。

c.

Active Directory 的端到端复制在整个林中发生

d.

FRS 在每个域中都正确复制了文件系统策略。

2.

3.

使用作为 Schema Admins 安全组成员的帐户登录架构操作主机的控制台。

通过在 Windows NT 命令提示符处键入以下内容来验证架构 FSMO 是否已经执行了架构分区的入站复制：

repadmin/showreps

（repadmin 由 Active Directory 的 SupportTools 文件夹安装）。

4.

早期的 Microsoft 文档建议您在运行 adprep /forestprep 之前先在专用网络上隔离架构操作主机。但实际经验表明此步骤是不必要的，并且可能会使得架构操作主机在专用网络上重新启动时拒绝架构更改。如果您要隔离 adprep 所创建的架构添加，Microsoft 建议使用 repadmin 命令行实用工具暂时禁用 Active Directory 的出站复制。为此，请按照下列步骤操作：

a.

单击“开始”，单击“运行”，键入 cmd，然后单击“确定”。

b.

键入以下命令，然后按 Enter：

repadmin /options +DISABLE_OUTBOUND_REPL

5.

在架构操作主机上运行 adprep。为此，请依次单击“开始”和“运行”，键入 cmd，然后单击“确定”。在架构操作主机上，键入以下命令

X:I386adprep /forestprep

其中 X:I386 是 Windows Server 2003 安装介质的路径。此命令运行林范围的架构升级。

注意：可以忽略目录服务事件日志中记录的事件 ID 为 1153 的事件（例如下面的示例）：

类型: 错误

来源: NTDS General

类别: 内部处理

事件 ID: 1153

日期: MM/DD/YYYY

时间: HH:MM:SS AM|PM

用户: Everyone 计算机: <某 DC>

描述: 类标识符 655562 (类名为 msWMI-MergeablePolicyTemplate)具有无效超类 655560。已忽略继承。

6.

验证 adprep /forestprep 命令是否已在架构操作主机上成功运行。为此，从架构操作主机的控制台中，验证以下几项：

•

adprep /forestprep 命令是否已顺利地完成。

•

CN=Windows2003Update 对象是否写在

CN=ForestUpdates,CN=Configuration,DC=forest_root_domain 下。记下 Revision 属性的值。

•

（可选）架构版本递增到版本 30。为此，请参阅

CN=Schema,CN=Configuration,DC=forest_root_domain 下的 ObjectVersion 属性。

如果 adprep /forestprep 未运行，请验证以下几项：

•

位于安装介质的 I386 文件夹中的 的完全限定路径是否是在运行 adprep 时指定的。为此，请键入以下命令：

x:i386adprep /forestprep

其中 x 是承载安装介质的驱动器。

•

运行 adprep 的已登录用户具有 Schema Admins 安全组的成员资格。要验证这一点，请使用

whoami /all 命令。

•

如果 adprep 仍然不起作用，请查看 %systemroot%System32DebugAdprepLogsLatest_log 文件夹中的

文件。

7.

如果在步骤 4 中禁用了架构操作主机上的出站复制，请启用该复制，以使 adprep /forestprep 所做的架构更改可以传播。为此，请按照下列步骤操作： a.

单击“开始”，单击“运行”，键入 cmd，然后单击“确定”。

b.

键入以下命令，然后按 Enter：

repadmin /options -DISABLE_OUTBOUND_REPL

8.

验证是否已将 adprep /forestprep 更改复制到林中的所有域控制器上。这在监视以下属性时很有用：

a.

递增架构版本

b. CN=Windows2003Update,

CN=ForestUpdates,CN=Configuration,DC=forest_root_domain 或

CN=Operations,CN=DomainUpdates,CN=System,DC=forest_root_domain 及其下的操作 GUID 已经复制到其中。

c.

搜索新的架构类、对象、属性或 adprep /forestprep 添加的其他更改，如 inetOrgPerson。查看 %systemroot%System32 文件夹中的 文件（其中 XX 是一个介于 14 和

30 之间的数字），以确定该文件中应该有哪些对象和属性。例如， 中定义了

inetOrgPerson。

9.

查找错位的 LDAPDisplayName。

如果在运行 Windows Server 2003 adprep /forestprep 命令之前安装了 Exchange 2000，请查看 Microsoft 知识库中的以下文章：

314649 Windows Server 2003 adprep /forestprep 命令导致包含 Exchange 2000 Server 的

Windows 2000 林中出现错位的属性

如果找到错位的名称，请转到本文中的“情形 3”。

Admins 安全组成员的帐户，登录架构操作主机的控制台。10.

使用作为承载架构操作主机的林的 Schema

使用 adprep /domainprep 命令升级域

在 /forestprep 更改完全复制到每个将要承载 Windows Server 2003 域控制器的域中的结构主机域控制器上之后，运行 adprep /domainprep。为此，请按照下列步骤操作：

Admins 安全组成员的1.

找到要升级的域中的结构主机域控制器，然后使用作为要升级的域中的 Domain

帐户登录。

注意：企业管理员可能不是林的子域的 Domain Admins 安全组的成员。

2.

在结构主机上运行 adprep /domainprep。为此，请依次单击“开始”和“运行”，键入 cmd，然后在结构主机上键入以下命令：

X:I386adprep /domainprep

其中 X:I386 是 Windows Server 2003 安装介质的路径。此命令在目标域中运行域范围的更改。

注意：adprep /domainprep 命令会修改 Sysvol 共享中的文件权限。这些修改会导致该目录树中的文件完全同步。

3.

验证 domainprep 是否已成功完成。为此，请验证以下几项：

•

adprep /domainprep 命令是否已顺利完成。 •

CN=Windows2003Update,CN=DomainUpdates,CN=System,DC=<要升级的域的域名路径> 是否存在

如果 adprep /domainprep 未运行，请验证以下几项：

•

运行 adprep 的已登录用户是否具有要升级的域的 Domain Admins 安全组的成员资格。为此，请使用 whoami /all 命令。

•

位于安装介质 I386 目录中的 的完全限定路径是否是在运行 adprep 时指定的。为此，请在命令提示符处键入以下命令：

x:i386adprep /forestprep

其中 x 是承载安装介质的驱动器。

•

如果 adprep 仍然不起作用，请查看 %systemroot%System32DebugAdprepLogsLatest_log 文件夹中的

文件。

4.

验证是否已经复制了 adprep /domainprep 更改。为此，对于域中的其余域控制器，请验证以下几项：

•

CN=Windows2003Update,CN=DomainUpdates,CN=System,DC=<要升级的域的域名路径> 对象是否存在，以及 Revision 属性的值与域的结构主机的同一属性的值是否匹配。

•

（可选）查找 adprep /domainprep 添加的对象、属性或访问控制列表 (ACL) 更改。

在其余域的结构主机上批量重复步骤 1-4，或者在您向这些域中添加域控制器或将域控制器升级到

Windows Server 2003 时重复这些步骤。现在，可以使用 DCPROMO 将新的 Windows Server

2003 计算机提升到林中。也可以使用 将现有的 Windows 2000 域控制器升级到

Windows Server 2003。

回到顶端

使用 升级 Windows 2000 域控制器

/forestprep 和 /domainprep 所做的更改完全复制而且您已经决定了与早期版本的客户端的安全互操作性之后，就可以将 Windows 2000 域控制器升级到 Windows Server 2003 并将新的 Windows Server

2003 域控制器添加到域中。

以下计算机必须是林的每个域中最先运行 Windows Server 2003 的域控制器：

•

林中的域命名主机，以便可以创建默认的 DNS 程序部分。

•

林根域的主要域控制器，以便 Windows Server 2003 的 forestprep 添加的企业范围的安全主体变得对 ACL 编辑器可见。

•

每个非根域中的主要域控制器，以便可以创建新的域特定的 Windows 2003 安全主体。

为此，请使用 WINNT32 升级承载您所需的操作角色的现有域控制器。或者，将该角色传递给新提升的

Windows Server 2003 域控制器。对使用 WINNT32 升级到 Windows Server 2003 的每个 Windows

2000 域控制器以及您提升的每个 Windows Server 2003 工作组或成员计算机执行下列步骤： 1.

在使用 WINNT32 升级 Windows 2000 成员计算机和域控制器之前，删除 Windows 2000 管理工具。为此，请使用“控制面板”中的“添加/删除程序”工具。（仅限 Windows 2000 升级。）

2.

3.

安装 Microsoft 或管理员认为重要的所有修补程序文件或其他修补程序。

检查每个域控制器，查找可能的升级问题。为此，请从安装介质的 I386 文件夹运行以下命令：

/checkupgradeonly

解决兼容性检查确定的所有问题。

4.

5.

从安装介质的 I386 文件夹运行 ，然后重新启动已升级的 2003 域控制器。

根据需要降低早期版本的客户端的安全设置。

如果 Windows NT 4.0 客户端上没有安装 NT 4.0 SP6，或者 Windows 95 客户端上没有安装目录服务客户程序，请在“域控制器”组织单元的“默认域控制器”策略中禁用 SMB Service 签名，然后将此策略链接到承载域控制器的所有组织单元。

Computer ConfigurationWindows SettingsSecurity SettingsLocal PoliciesSecurity

OptionsMicrosoft Network Server: 数字签名的通信(总是)

6.

使用以下数据点验证升级是否成功：

•

升级已成功完成。

•

您添加到安装中的修补程序成功替换了原来的二进制文件。

•

对于域控制器控制的所有命名上下文，都发生 Active Directory 的入站和出站复制。

•

Netlogon 和 Sysvol 共享存在。

•

事件日志指示域控制器及其服务的运行正常。

注意：升级后可能会收到以下事件消息：

类型: 错误

来源: NTDS Backup

类别: 备份

事件 ID: 1913

日期: Date

时间: HH:MM:SSAM|PM

用户: N/A

计算机: computername

描述: 内部事件: Active Directory 备份和还原操作遇到意外错误。备份或还原不会成功，直到更正此问题。

可以放心地忽略此事件消息。

7.

安装 Windows Server 2003 管理工具（仅限 Windows 2000 升级和 Windows Server 2003 非域控制器）。 位于 Windows Server 2003 CD-ROM 的 I386 文件夹内。Windows Server 2003 介质上的 文件中包含已更新的支持工具。确保重新安装此文件。

8.

至少创建林中每个域的前两个已升级到 Windows Server 2003 的 Windows 2000 域控制器的新备份。在锁定的存储中找到已升级到 Windows Server 2003 的 Windows 2000 计算机的备份，这样您就不会无意间使用它们来还原现在运行 Windows Server 2003 的域控制器。

9.

（可选）在单实例存储 (SIS) 已经完成后，在升级到 Windows Server 2003 的域控制器上执行

Active Directory 数据库的脱机碎片整理（仅限 Windows 2000 升级）。

SIS 检查存储在 Active Directory 中的对象的现有权限，然后将更高效的安全描述符应用于这些对象。当已升级的域控制器首次启动 Windows Server 2003 操作系统时，SIS 将自动启动（通过目录服务事件日志中的事件 1953 来确定）。只有当目录服务事件日志中记录了事件 ID 为 1966 的事件消息时，才会从已改进的安全描述符存储中受益：

类型: 信息

来源: NTDS SDPROP

类别: 内部处理

事件 ID: 1966

日期: MM/DD/YYYY

时间: HH:MM:SS AM|PM

用户: NT AUTHORITYANONYMOUS LOGON

计算机:

描述: 安全描述符传播程序已经完成了一次完整的传播。

分配的空间量(MB):

XX 空闲的空间量(MB): XX

这可能增加 Active Directory 数据库中空闲的空间量。

用户操作: 考虑脱机数据库碎片整理以回收 Active Directory 数据库中可用空闲的空间。有关更多信息，请参阅在 的帮助和支持中心。

此事件消息指示单实例存储操作已经完成，并充当管理员使用 执行

脱机碎片整理的队列。

脱机碎片整理可以使 Windows 2000 文件的大小减小多达 40%，提高 Active Directory

的性能，并更新数据库中的页面以便更高效地存储“Link Valued”属性。 有关如何对 Active Directory

数据库执行碎片整理的更多信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章：

232122 对 Active Directory 数据库执行脱机碎片整理

10.

研究 DLT Server 服务。Windows Server 2003 域控制器在全新安装和升级安装中禁用 DLT

Server 服务。如果您单位中的 Windows 2000 或 Windows XP 客户端使用 DLT Server 服务，请使用“组策略”启用新的或已升级的 Windows Server 2003 域控制器中的 DLT Server 服务。否则，请从 Active Directory 中逐步删除分布式链接跟踪对象。 有关更多信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章：

312403 基于 Windows 的域控制器上的分布式链接跟踪

315229 Microsoft 知识库文章 Q312403 中的 的文本版本

如果批量删除数千个 DLT 对象或其他对象，复制可能会由于缺少版本存储而阻塞。删除最后一个 DLT 对象后，请等待 tombstonelifetime 天数（默认为 60 天）并等待垃圾回收完成，然后使用

对 文件执行脱机碎片整理。

Directory 域内主动部署最佳做11.

配置最佳做法组织单元结构。Microsoft 建议管理员在所有的 Active

法组织单元结构，并且在 Windows 域模式下升级或部署 Windows Server 2003 域控制器后，将早期版本的 API 用来创建用户、计算机和组的默认容器重定向到管理员指定的组织单元容器中。

有关最佳做法组织单元结构的其他信息，请查看“Best Practice Active Directory Design for

Managing Windows Networks”（用于管理 Windows 网络的 Active Directory 最佳做法设计）白皮书中的“Creating an Organizational Unit Design”（创建组织单元设计）部分。要查看该白皮书，请访问下面的 Microsoft 网站：

/zh-cn/library/bb727085(en-us).aspx

有关更改早期版本的 API 创建的用户、计算机和组所在的默认容器的更多信息，请单击下面的文章编号，以查看 Microsoft 知识库中的相应文章：

324949 重定向 Windows Server 2003 域中的用户和计算机容器

12.

对于林中的每个新的或升级的 Windows Server 2003 域控制器，请根据需要重复步骤 1 至步骤

10，对于每个 Active Directory 域，请执行步骤 11（最佳做法组织单元结构）。

总之：

•

使用 WINNT32 升级 Windows 2000 域控制器（通过补充安装介质（如果使用））

•

验证经过修补的文件是否已经安装到已升级的计算机上

•

安装未包含在安装介质中的所有所需的修补程序

•

验证新的或已升级的服务器（AD、FRS、Policy 等等）是否正常运行

•

操作系统升级 24 小时后执行脱机碎片整理（可选）

•

如果必须启动 DLT Service，则启动它；否则使用 q312403 / q315229 post forest wide

domainpreps 删除 DLT 对象

•

删除 DLT 对象后过 60 天或更长时间（tombstone 生存时间和垃圾回收天数）执行脱机碎片整理

 五、在新购买的计算机上安装Windows Server 2003，并打上最新的安全补丁。

六、确认这台Windows Server 2003网络连接正常，可以访问域控制器和DNS服务器。将其配置为使用固定IP地址，并指定DNS服务器地址。

七、在Windows Server 2003上运行dcpromo命令将其升级为域控制器，并在升级时选择使其成为现有Windows 2000域的额外的域控制器。

八、在Windows Server 2003上安装DNS服务，确认它已经和原来的Windows 2000 DNS服务器上的数据复制同步后，将它的DNS服务器地址指向自己。

九、将这台Windows Server 2003域控制器设为全局编录（Glocal Catalog）服务器具体方法请参考下面这篇文档：《How to promote a domain controller to a global catalog rver》：

要将域控制器提升为全局编录服务器, 请按照下列步骤操作： 1.

然后单击 lActiveDirectory 站点和服务 , 域控制器上， 指向 程序 、 开始 和

AdministrativeTools 。

2.

在控制台树, 双击 站点 ， 双击名称与站点, 并双击 服务器 。

3.

双击目标域控制器。

4.

在详细信息窗格中, 右击 NTDSSettings , 然后单击 属性 。

5.

在 常规 选项卡, 单击以选择 全局编录 复选框。

6.

重新启动域控制器。

升级域控制器到全局编录服务器需要很长时间。 当域控制器重新, 确保没有足够时间帐户和架构信息将从原始域控制器在删除原始全局编录之前复制到新全局编录服务器。

十、.将原来的Windows 2000域控制器上的5个FSMO角色转移到这台Windows Server 2003域控制器上，具体方法如下:

a、转移特定于域的角色： RID、PDC 和结构主机

1. 单击开始，指向程序，指向管理工具，然后单击“Active Directory 用户和计算机”。

2. 右键单击“Active Directory 用户和计算机”一旁的图标，然后单击“连接到域控制器”。备注：如果您不在要转移其角色的域控制器上，则需要执行此步骤。如果您连接着要转移其角色的那一域控制器，则不必执行此步骤。

3. ：如果您不在要转移其角色的域控制器上，则需要执行此步骤。如果您连接着要转移其角色的那一域控制器，则不必执行此步骤。单击将成为新的角色担任者的域控制器，然后单击确定。

4. ：如果您不在要转移其角色的域控制器上，则需要执行此步骤。如果您连接着要转移其角色的那一域控制器，则不必执行此步骤。右键单击“Active Directory 用户和计算机”图标，然后单击操作主机。

5. ：如果您不在要转移其角色的域控制器上，则需要执行此步骤。如果您连接着要转移其角色的那一域控制器，则不必执行此步骤。在更改操作主机对话框中，单击与您要转移的角色对应的选项卡（RID、PDC 或结构）。

6. ：如果您不在要转移其角色的域控制器上，则需要执行此步骤。如果您连接着要转移其角色的那一域控制器，则不必执行此步骤。单击更改操作主机对话框中的更改。 7. ：如果您不在要转移其角色的域控制器上，则需要执行此步骤。如果您连接着要转移其角色的那一域控制器，则不必执行此步骤。单击确定以确认您想转移的角色。 8. ：如果您不在要转移其角色的域控制器上，则需要执行此步骤。如果您连接着要转移其角色的那一域控制器，则不必执行此步骤。单击确定。

9. ：如果您不在要转移其角色的域控制器上，则需要执行此步骤。如果您连接着要转移其角色的那一域控制器，则不必执行此步骤。单击取消关闭对话框。

b.转移域命名主机角色

1. 单击开始，指向程序，指向管理工具，然后单击“Active Directory 域和信任关系”。

2. 右键单击“Active Directory 域和信任关系”图标，然后单击“连接到域控制器”。备注：如果您不在要转移其角色的域控制器上，则需要执行此步骤。如果您连接着要转移其角色的那一域控制器，则不必执行此步骤。

3. ：如果您不在要转移其角色的域控制器上，则需要执行此步骤。如果您连接着要转移其角色的那一域控制器，则不必执行此步骤。单击将成为新的角色担任者的域控制器，然后单击确定。

4. ：如果您不在要转移其角色的域控制器上，则需要执行此步骤。如果您连接着要转移其角色的那一域控制器，则不必执行此步骤。右键单击“Active Directory 域和信任关系”，然后单击操作主机。 5. ：如果您不在要转移其角色的域控制器上，则需要执行此步骤。如果您连接着要转移其角色的那一域控制器，则不必执行此步骤。在更改操作主机对话框中，单击更改。

6. ：如果您不在要转移其角色的域控制器上，则需要执行此步骤。如果您连接着要转移其角色的那一域控制器，则不必执行此步骤。单击确定以确认您想转移的角色。 7. ：如果您不在要转移其角色的域控制器上，则需要执行此步骤。如果您连接着要转移其角色的那一域控制器，则不必执行此步骤。单击确定。

8. ：如果您不在要转移其角色的域控制器上，则需要执行此步骤。如果您连接着要转移其角色的那一域控制器，则不必执行此步骤。单击取消关闭对话框。

c.转移架构主机角色 您可以使用“架构主机”工具来转移此角色。不过，必须已注册了 动态链接库以使该“架构”工具可以作为一个 MMC 被访问到。注册架构工具

1. 单击开始，然后单击运行。

2. 键入 regsvr32 ，然后单击确定。应显示出一条指出注册成功的消息。 转移架构主机角色 1. 单击开始，单击运行，键入 mmc，然后单击确定。 2. 在控制台菜单上，单击“添加/删除管理单元”。

3. 单击添加。

4. 单击 Active Directory 架构。

5. 单击添加。

6. 单击关闭以关闭添加独立管理单元对话框。

7. 单击确定以将此管理单元添加到控制台。

8. 右键单击 Active Directory 架构图标，然后单击更改域控制器。备注：如果您不在要转移其角色的域控制器上，则需要执行此步骤。如果您连接着要转移其角色的那一域控制器，则不必执行此步骤。

9. ：如果您不在要转移其角色的域控制器上，则需要执行此步骤。如果您连接着要转移其角色的那一域控制器，则不必执行此步骤。单击 Specify Domain Controller（指定域控制器），键入将成为新的角色担任者的域控制器的名称，然后单击确定。 10. ：如果您不在要转移其角色的域控制器上，则需要执行此步骤。如果您连接着要转移其角色的那一域控制器，则不必执行此步骤。右键单击 Active Directory 架构，然后单击操作主机。

11. ：如果您不在要转移其角色的域控制器上，则需要执行此步骤。如果您连接着要转移其角色的那一域控制器，则不必执行此步骤。在更改架构主机对话框中，单击更改。

12. ：如果您不在要转移其角色的域控制器上，则需要执行此步骤。如果您连接着要转移其角色的那一域控制器，则不必执行此步骤。单击确定。

13. ：如果您不在要转移其角色的域控制器上，则需要执行此步骤。如果您连接着要转移其角色的那一域控制器，则不必执行此步骤。单击确定。

14. ：如果您不在要转移其角色的域控制器上，则需要执行此步骤。如果您连接着要转移其角色的那一域控制器，则不必执行此步骤。单击取消关闭对话框。当最后一步转移结构主机角色时可能会提示“当前域控制器是全局编录服务器，不要将结构主机角色转移到该域控制器上”，由于是在单域环境中，直接确认忽略该提示即可。

十一、.完成以上操作之后，新的Windows Server 2003域控制器便替代了原来的第一台Windows 2000域控制器的角色，但我们需要等待一段时间使原来的Windows 2000域控制器上的和全局编录及FSMO角色相关的活动目录信息完全复制到Windows Server 2003域控制器上。建议您观察一两天时间，并确认新的Windows Server 2003域控制器/DNS服务器一切工作正常后，再将原来的Windows 2000域控制器降级。

十二、.当所有的Windows 2000域控制器都成功降级，当前域中只剩下Windows Server 2003域控制器后，我们便可以提升当前域/活动目录林的功能级别，以便应用Windows 2003活动目录中的一些新特性，具体方法和注意事项请参考下面这篇文档：《如何在 Windows Server 2003 中提升域和目录林功能级别》： 提升域功能级别

警告：如果您已有或将要有任何 Windows NT 4.0 或更早版本的域控制器，则不要提升域功能级别。一旦将域功能级别提升到 Windows 2000 纯模式或是 Windows Server 2003，则无法再更改回 Windows 2000 混合模式域。

1.

使用域管理员凭据登录到域 PDC 上。

2.

单击“开始”，指向“管理工具”，然后单击“Active Directory 域和信任关系”。

3.

在控制台树中，右键单击您想要提升功能的域，然后单击“提升域功能级别”。

4.

在“选择一个可用的域功能级别”中，请执行以下操作之一：

•

单击“Windows 2000 纯模式”，然后单击“提升”以便把域功能级别提升到 Windows 2000 纯模式。

- 或 -

•

单击“Windows Server 2003”，然后单击“提升”以便把域功能级别提升到 Windows Server

2003。

注意：您也可以通过右键单击出现在 Active Directory 用户和计算机 MMC 管理单元中的域然后单击“提升域功能级别”，来提升域功能级别。要提升域功能级别，您必须是域管理员组的成员。

当前的域功能级别显示在“提升域功能级别”对话框的“当前域功能级别”中。级别提升在 PDC FSMO 上执行并要求域管理员权限。

回到顶端

提升目录林功能级别

警告：如果您已有或将要有运行 Windows NT 4.0 或 Windows 2000 的域控制器，则不要提升目录林功能级别。一旦将目录林功能级别提升到 Windows Server 2003，则无法再更改回 Windows 2000 目录林功能级别。

1.

使用企业管理员组成员用户帐户登录到目录林根域的 PDC 上。

单击“开始”，指向“所有程序”，指向“管理工具”，然后单击“Active

2.

打开“Active Directory 域和信任关系”，Directory 域和信任关系”。

3.

在控制台树中，右键单击“Active Directory 域和信任关系”，然后单击“提升目录林功能级别”。

4.

在“选择一个可用的目录林功能级别”下，单击“Windows Server 2003”，然后单击“提升”。

注意：要提升目录林功能级别，您必须升级（或降级）目录林中现有的所有 Windows 2000 域控制器。

如果您无法提升目录林功能级别，您可以在“提升目录林功能级别”对话框中单击“另存为”来保存一个日志文件，该文件指定了该目录林中哪些域控制器必须从 Windows NT 4.0 或 Windows 2000 进行升级。

如果您收到消息表明您不能提升目录林功能级别，可以使用由“另存为”命令生成的报表来标识不满足所请求的提升要求的所有域和域控制器。

当前目录林功能级别显示在“提升目录林功能级别”对话框的“当前目录林功能级别”中。在目录林级别成功地提升并复制到域中的 PDC 上以后，每个域的 PDC 会自动将其域级别提升到当前目录林级别。级别提升在架构 FSMO 上执行并要求有企业管理员凭据。

回到顶端

手动查看并设置功能级别

LDAP 工具（例如 和 ）可用来查看和修改当前域和目录林功能级别设置。由于所做的更改实际上都是先写到授权 FSMO 然后复制，所以当您手动修改属性时，最好针对提升的 FSMO 授权进行。

目录林级别设置

属性为 CN=Partitions, CN=Configuration, DC=ForestRootDom, DC=tld 对象上的

msDS-Behavior-Version。

•

值 0 或未设置=混合级别目录林

•

值 1=Windows Server 2003 过渡版目录林级别

•

值 2=Windows Server 2003 目录林级别

注意：当您使用 ADSIEdit 将 msDS-Behavior-Version 属性从 0 提高到 1 时，您会收到以下错误消息：

修改操作非法。不允许该修改的某个方面。

单击“确定”以继续。分区容器和域头属性已正确提高。该错误消息不是由 文件报告的。您可以安全地忽略此错误消息。要验证级别是否已成功提升，请刷新属性列表并检查当前设置。如果您已经在授权 FSMO 上执行了提升级别操作，但没有将其复制到本地域控制器，该错误消息也可能会出现。

域功能级别设置

在每个域 DC=Mydomain, DC=ForestRootDom, DC=tld 对象的 NC 头根上的属性是

msDS-Behavior-Version。

•

值 0 或未设置=混合级别目录林

•

值 1=Windows Server 2003 域级别

•

值 2=Windows Server 2003 域级别

混合模式/纯模式设置

在每个域 DC=Mydomain, DC=ForestRootDom, DC=tld 对象的 NC 头根上的属性是 ntMixedDomain。 •

值 0=纯模式级别域

•

值 1=混合模式级别域

使用 文件快速查看当前设置

1.

启动 文件。

2.

在“连接”菜单上，单击“连接”。

3.

指定您想要查询的域控制器，或将该区域留空以连接任一域控制器。

当您连接后，会显示域控制器的 RootDSE 信息。包括目录林、域和域控制器。以下是一个 Windows Server

2003 域控制器的示例，域模式为 Windows Server 2003，目录林模式为 Windows 2000。

注意：域控制器功能代表该域控制器可以运行的最高功能级别，而不是该域控制器当前运行的功能级别。

•

1> domainFunctionality:2=(DS_BEHAVIOR_WIN2003)

•

1> forestFunctionality:0=(DS_BEHAVIOR_WIN2000)

•

1> domainControllerFunctionality:2=(DS_BEHAVIOR_WIN2003)

回到顶端

手动更改功能级别时的要求

•

在 Windows Server 2003 中，如果直接修改 domainDNS 对象的 msdsBehaviorVersion 属性值，将域功能级别通过编程方式提升到 2，或者使用 或 实用工具将域功能级别提升到 2，则在提升域级别之前不必将域模式更改为纯模式。

•

在 Windows Server 2003 Service Pack 1 (SP1) 中，如果直接修改 domainDNS 对象的

msdsBehaviorVersion 属性值，将域功能级别通过编程方式提升到 2，或者使用 或

实用工具将域功能级别提升到 2，则在提升域级别之前必须将域模式更改为纯模式。如果在 Windows Server 2003 SP1 中提升域级别之前没有将域模式更改为纯模式，则操作将无法成功完成，并且您将收到以下错误消息：

SV_PROBLEM_WILL_NOT_PERFORM

ERROR_DS_ILLEGAL_MOD_OPERATION

此外，在“目录服务”日志中您会收到以下消息：

Active Directory 无法更新下列域的功能级别，因为域处于混合模式。

在这种情况下，可通过使用“Active Directory 用户和计算机”管理单元、“Active Directory 域和信任关系”UI MMC 管理单元，或通过编程方式将 domainDNS 对象的 ntMixedDomain 属性值更改为 0，从而将域模式更改为纯模式。在 Windows Server 2003 中，如果使用此过程将域功能级别提升到 2，则域模式自动更改为纯模式。

这些组更改为通用组后，•

混合模式到纯模式的转换会将架构管理员和企业管理员安全组的范围改为通用组。系统事件日志中会记录以下消息：

事件类型:信息

事件来源:SAM

事件 ID: 16408

计算机:Server Name

描述:“域操作模式被更改为纯模式。此更改不可逆。”

•

当使用 Windows Server 2003 管理工具调用域功能级别时，ntmixedmode 和

msdsBehaviorVersion 属性均按正确顺序进行修改。但是，如果控制域功能模式的

msdsBehaviorVersion 属性被手动或通过编程方式设置为 2，然后使用任意方法将目录林功能级别设置为 2，那么纯模式将隐式设置为 2，而不用将架构管理员组和企业管理员组的范围更改为通用。安装了

Windows Server 2003 SP1 的域控制器将阻止转换为目录林功能级别，直到处于纯模式下并在所有域中配置了对安全组范围的必要更改。

•

当域处于纯模式时，不能更改 domainDNS 对象的 msdsBehaviorVersion 属性。在这种情况下，必须首先确认域处于纯模式下，再将 domainDNS 对象的 ntMixedDomain 属性值更改为 0，然后才能更改 domainDNS 对象的 msdsBehaviorVersion 属性。

最佳做法

下面一节讨论提升功能级别的最佳做法。本节分为两部分，“准备任务”讨论在提升前必须完成的工作，“最优提升路径”讨论不同级别提升情形的动机与方法。

提升级别之前的准备工作

生成一个目录林中旧版本域控制器的清单。如果没有准确的服务器列表，请按照下列步骤操作：

1.

要找到混合级别域、Windows 2000 域控制器或有损坏或缺少对象的域控制器，请使用 Active

Directory 域和信任关系 MMC 管理单元。

2.

单击“提升目录林功能”，然后单击“另存为”以便生成一个详细的报表。

如果没有发现此类对象，在“可用目录林功能级别”下拉列表中，提升到 Windows Server 2003 目录林级别的选项就变为可用。当您试图提升目录林级别时，系统会对配置容器中的域控制器对象进行搜索以找出任何不具有 msds-behavior-version 等于 2 的域控制器。这些对象被认为是 Windows 2000 域控制器或是损坏的 Windows Server 2003 域控制器对象。如果找到早期版本的域控制器或带有损坏或丢失的计算机对象的域控制器，报表中将列出这些对象。必须对这些域控制器的状态进行检查，并且必须使用 Ntdsutil 文件来修复或删除这些域控制器在 Active Directory 中的表示。

有关更多信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章：

216498 域控制器降级失败后如何删除 Active Directory 中的数据

要找到 Windows NT 4.0 域控制器，请按照下列步骤操作：

1.

从任何一个基于 Windows Server 2003 的域控制器中打开“Active Directory 用户和计算机”。

2.

如果该域控制器还没有连接到适当的域，请按照以下步骤将其连接到适当的域： a.

右键单击当前域对象，然后单击“连接到域”。

键入您想要连接的域的 DNS 名称，或单击“浏览”以在域树中选择域，然后单击“确b.

在“域”对话框中，定”。

3.

右键单击该域对象，然后单击“查找”。

4.

在“查找”对话框中，单击“自定义搜索”。

5.

单击要更改其功能级别的域。

6.

单击“高级”选项卡。

7.

在“输入 LDAP”查询框中，键入以下内容（字符之间不留空格）：(&(objectCategory=computer)(operatingSystem

Version=4*)(urAccountControl:1.2.840.113556.1.4.803:=8192)) 注意：此查询不区分大小写。

8.

单击“立即查找”。

此时显示一个列表，其中列出在域中运行 Windows NT 4.0 并执行域控制器功能的计算机。

一个域控制器可能会由于以下任何原因出现在列表中：

•

该域控制器正在运行 Windows NT 4.0 并且必须进行升级。

•

该域控制器已经升级到 Windows Server 2003，但是这些更改还没有复制到目标域控制器中。

•

该域控制器不再处于服务状态，但是该域控制器的计算机对象还没有从域中删除。

在您能够将域功能级别更改为 Windows Server 2003 之前，您必须先确定这些列表中的域控制器的物理位置，确定这些域控制器的当前状态，并相应地升级或删除这些域控制器。请注意，与 Windows 2000 域控制器不同，Windows NT 4.0 域控制器不会阻止级别提升。但是，复制到 Windows NT 4.0 域控制器的操作会停止。如果目录林中具有处于 Windows 2000 混合级别的域时，无法将目录林级别提升至 Windows Server 2003。目录林中所有域的目录林级别都达到 Windows 2000 纯模式或更高级别就隐含表明该目录林中没有

Windows NT 4.0 BDC。

验证端对端复制正在目录林中运行。为此，请在 Windows XP 或 Windows Server 2003 成员上针对

Windows 2000 或 Windows Server 2003 域控制器使用 Windows Server 2003 版的 Repadmin：

•

Repadmin/Replsum * /Sort:Delta[/Errorsonly]，用于初始清单。

•

Repadmin/Showrepl * /CSV>。导入到 Excel，然后使用 Data->Autofilter 标识复制功能。

使用诸如 Repadmin 和 Replmon 等复制工具来验证目录林范围的复制正在成功地运行。

验证所有程序或服务同 Windows Server 2003 域控制器和 Windows Server 2003 目录林模式的兼容性。使用实验环境充分测试生产程序和服务的兼容性问题。同供应商联系以确认其兼容性。 准备一个复原计划，包含以下操作之一：

•

从目录林的每个域中断开至少两个域控制器。

- 或 -

•

针对目录林的每个域中至少两个域控制器创建系统状态备份。

目录林中所有域控制器必须在恢复过程运行之前取消配置，然后才可以使用复原计划。注意，级别提升不能授权还原。因此在级别提升中复制的所有域控制器必须取消配置。

在所有以前的域控制器取消配置后，启动断开的域控制器或从备份中还原域控制器。从所有其他域控制器中删除元数据，然后重新提升这些域控制器。此过程并不常用，在可能的情况下尽量不要采用。

回到顶端

如何以最佳方式配置功能级别

以下两节讨论从 Windows 2000 混合模式级别升级到 Windows Server 2003 目录林级别的两种不同方法。第三节提供关于 Windows NT 4.0 升级的详细信息。

将所有域提升到纯模式，将目录林提升到 Windows Server 2003

将所有域提升到 Windows 2000 纯模式级别。该操作完成后，将目录林根域的功能级别提升到 Windows

Server 2003 目录林级别。当目录林级别复制到了目录林中每个域的 PDC 时，域级别就会自动提升到

Windows Server 2003 域级别。此方法具有以下优点：

•

目录林范围的级别提升只执行一次。您不需要将目录林中的每个域手动提升到 Windows Server 2003

域功能级别。

•

在级别提升之前会检查是否存在 Windows 2000 域控制器。如果存在，除非删除或升级这些域控制器，否则将无法进行级别提升。可以生成一个详细的报告，其中列出阻止进行提升的域控制器，以提供可操作数据。

•

检查是否存在处于 Windows 2000 混合模式或 Windows Server 2003 过渡版级别的域。如果存在，除非将这些域的级别提升到至少 Windows 2000 纯模式，否则将无法进行级别提升。过渡版级别的域必须提升到 Windows Server 2003 域级别。可以生成一个详细的报告，其中列出阻止进行提升的域。

将所有域提升到 Windows Server 2003 域级别，然后将目录林提升到 Windows Server 2003

目录林级别

将每个域提升到 Windows Server 2003 域级别。此方法具有以下优点：

•

在将目录林提升至 Windows Server 2003 目录林级别之前，Windows Server 2003 域级别功能即会激活。

•

可以在较小的规模下执行互操作性测试，而无须将目录林提升到 Windows Server 2003 目录林级别。

回到顶端

Windows NT 4.0 升级 对于 Windows NT 4.0，除非将 Windows 2000 域控制器引入到目录林中，否则在 PDC 升级过程总是使用过渡版级别。如果在 PDC 升级过程中使用了过渡版模式，现有的大型组会立即使用 LVR 复制，以避免产生上文所讨论的潜在复制问题。在升级过程中使用下列方法之一可以实现过渡版级别：

•

在 Dcpromo 过程中选择过渡版级别。只有将 PDC 升级到一个新目录林中时，此选项才会显示。

•

将一个现有目录林的级别设置为过渡版级别，然后在 PDC 升级过程中加入该目录林。升级后的域将继承目录林的设置。

•

在升级或删除了所有的 Windows NT 4.0 BDC 之后，每个域必须转换到目录林级别，并能转换到

Windows Server 2003 目录林模式。

如果计划在升级后（或在将来的某一时间）实现 Windows 2000 域控制器，请不要使用过渡版模式。

有关 Windows NT 4.0 中大型组的特别注意事项

在完善的 Windows NT 4.0 域中，可能会存在包含超过 5000 个成员的安全组。在 Windows NT 4.0 中，在更改安全组的一个成员时，只有单一的成员资格更改会复制到备份域控制器中。在 Windows 2000 中，组成员资格是以组对象的单一多值属性方式存储的链接属性。当对组的成员资格做一项修改后，整个组就作为一个单元进行复制。由于组成员资格是作为一个单元进行复制，所以当同时在不同的域控制器中添加或删除不同的成员时，对组成员资格的更新可能会“丢失”。此外，该单一对象的大小可能会超过向数据库提交一个数据项所使用的缓冲区的大小。有关详细信息，请参阅本文“大型组的版本存储区问题”部分。基于这些原因，建议将组成员数限制为 5000。

但域用户组除外，该组的成员可以超过 5000。域用户组根据用户的“主要组 ID”，通过一种“计算”机制来确定成员资格，而不是通常的将成员作为多值链接属性存储。如果用户的主要组发生更改，其域用户组中的成员资格会写入该组的链接属性，并且不再进行计算。这一方法在 Windows 2000 中有效并且在 Windows Server

2003 中也没有改变。如果管理员对升级域没有选择过渡版级别，则在升级之前您必须按以下步骤操作：

1.

生成所有大型组的清单，并标识出除域用户组以外的成员数超过 5000 的所有组。

2.

成员数超过 5000 的所有组都必须分解成 5000 个成员以下的小型组。

3.

找到输入大型组的访问控制列表并添加用来分解其成员资格的小型组。

Windows Server 2003 过渡版目录林级别使管理员不必找到并重新分配超过 5000 个成员的全局安全组。