Поделиться через


Как повысить функциональные уровни домена и леса Active Directory

В этой статье описывается, как повысить функциональные уровни домена и леса Active Directory.

Применяется к: Windows Server 2003
Исходный номер базы знаний: 322692

Сводка

Сведения о Windows Server 2016 и новых функциях в доменные службы Active Directory (AD DS) см. в статье Новые возможности доменные службы Active Directory для Windows Server 2016.

В этой статье рассматривается повышение функциональных уровней домена и леса, которые поддерживаются контроллерами домена на основе Microsoft Windows Server 2003 или более новых версий. Существует четыре выпуска Active Directory, и только уровни, которые изменились с Windows NT Server 4.0, требуют особого внимания. Таким образом, другие изменения уровня упоминаются с использованием более новых, текущих или старых версий операционной системы контроллера домена, домена или функционального уровня леса.

Функциональные уровни — это расширение смешанного режима и концепций собственного режима, которые появились в Microsoft Windows 2000 Server для активации новых функций Active Directory. Некоторые дополнительные функции Active Directory доступны, когда все контроллеры домена работают под управлением последней версии Windows Server в домене или лесу, а администратор активирует соответствующий функциональный уровень в домене или лесу.

Чтобы активировать новейшие функции домена, все контроллеры домена должны работать под управлением последней версии операционной системы Windows Server в домене. Если это требование выполнено, администратор может повысить уровень работы домена.

Чтобы активировать новейшие функции на уровне леса, все контроллеры домена в лесу должны работать под управлением версии операционной системы Windows Server, соответствующей требуемому функциональному уровню леса. Кроме того, текущий функциональный уровень домена уже должен находиться на самом новом уровне. Если эти требования выполнены, администратор может повысить уровень работы леса.

Как правило, изменения в уровне работы домена и леса необратимы. Если изменение можно отменить, необходимо использовать восстановление леса. В операционной системе Windows Server 2008 R2 можно откатить изменения функциональных уровней домена и на уровни работы леса. Однако откат можно выполнить только в конкретных сценариях, описанных в статье Technet об уровнях работы Active Directory.

Примечание.

Новейшие функциональные уровни домена и новейшие функциональные уровни леса влияют только на то, как контроллеры домена работают вместе как группа. Клиенты, взаимодействующие с доменом или лесом, не затрагиваются. Кроме того, на приложения не влияют изменения функциональных уровней домена или на функциональные уровни леса. Однако приложения могут воспользоваться новейшими функциями предметной области и новейшими функциями леса.

Дополнительные сведения см. в статье TechNet о функциях, связанных с различными функциональными уровнями.

Повышение функционального уровня

Предостережение

Не повышайте функциональный уровень, если домен имеет или будет иметь контроллер домена, который имеет более раннюю версию, чем версия, указанная для этого уровня. Например, для режима работы Windows Server 2008 требуется, чтобы на всех контроллерах домена была установлена операционная система Windows Server 2008 или более поздней версии в домене или лесу. После повышения функционального уровня домена его можно изменить только на более старый уровень с помощью восстановления леса. Это ограничение существует из-за того, что функции часто изменяют обмен данными между контроллерами домена или из-за того, что функции изменяют хранение данных Active Directory в базе данных.

Наиболее распространенным способом включения функциональных уровней домена и леса является использование средств администрирования графического пользовательского интерфейса ( GUI), описанных в статье TechNet о функциональных уровнях Windows Server 2003 Active Directory. В этой статье рассматривается Windows Server 2003. Однако в более новых версиях операционной системы все действия одинаковы. Кроме того, функциональный уровень можно настроить вручную или с помощью скриптов Windows PowerShell. Дополнительные сведения о настройке функционального уровня вручную см. в разделе "Просмотр и настройка функционального уровня".

Дополнительные сведения об использовании скрипта Windows PowerShell для настройки функционального уровня см. в разделе Повышение функционального уровня леса.

Просмотр и настройка функционального уровня вручную

Средства LDAP, такие как Ldp.exe и Adsiedit.msc, можно использовать для просмотра и изменения текущих параметров функционального уровня домена и леса. При изменении атрибутов функционального уровня вручную рекомендуется вносить изменения в атрибуты на контроллере домена гибких операций с одним хозяином (FSMO), который обычно предназначен для средств администрирования Майкрософт.

Параметры функционального уровня домена

Атрибут msDS-Behavior-Version находится в голове контекста именования (NC) для домена, то есть DC=corp, DC=contoso, DC=com.

Для этого атрибута можно задать следующие значения:

  • Значение 0 или не задано=домен смешанного уровня
  • Значение 1=Уровень домена Windows Server 2003
  • Значение 2= уровень домена Windows Server 2003
  • Значение 3= уровень домена Windows Server 2008
  • Значение 4=Уровень домена Windows Server 2008 R2

Параметры смешанного режима и собственного режима

Атрибут ntMixedDomain находится в голове контекста именования (NC) для домена, то есть DC=corp, DC=contoso, DC=com.

Для этого атрибута можно задать следующие значения:

  • Значение 0= домен собственного уровня
  • Значение 1=Домен смешанного уровня

Параметр уровня леса

Атрибут msDS-Behavior-Version находится в объекте CN=Partitions в контексте именования конфигурации (NC), то есть CN=Partitions, CN=Configuration, DC= ForestRootDomain.

Для этого атрибута можно задать следующие значения:

  • Значение 0 или не задано=лес смешанного уровня

  • Значение 1= промежуточный уровень леса Windows Server 2003

  • Значение 2=Уровень леса Windows Server 2003

    Примечание.

    При увеличении атрибута msDS-Behavior-Version с 0 до значения 1 с помощью командыAdsiedit.msc появляется следующее сообщение об ошибке:
    Недопустимая операция изменения. Некоторые аспекты изменения запрещены.

  • Значение 3= уровень домена Windows Server 2008

  • Значение 4=Уровень домена Windows Server 2008 R2

После использования средств LDAP для изменения функционального уровня нажмите кнопку ОК, чтобы продолжить. Атрибуты в контейнере секций и в головной части домена правильно увеличиваются. Если сообщение об ошибке сообщается файлом Ldp.exe, его можно игнорировать. Чтобы убедиться, что повышение уровня прошло успешно, обновите список атрибутов, а затем проверка текущий параметр. Это сообщение об ошибке также может появиться после того, как вы выполнили повышение уровня в авторитетном FSMO, если изменение еще не реплицировалось на локальный контроллер домена.

Быстрый просмотр текущих параметров с помощью файла Ldp.exe

  1. Запустите файл Ldp.exe.
  2. В меню Подключение выберите команду Подключить.
  3. Укажите контроллер домена, к которому требуется выполнить запрос, или оставьте поле пустым, чтобы подключиться к любому контроллеру домена.

После подключения к контроллеру домена отображаются сведения RootDSE для контроллера домена. Эта информация включает сведения о лесу, домене и контроллерах домена. Ниже приведен пример контроллера домена под управлением Windows Server 2003. В следующем примере предположим, что режим домена — Windows Server 2003, а режим леса — Windows 2000 Server.

Примечание.

Функциональность контроллера домена представляет собой максимально возможный функциональный уровень для этого контроллера домена.

  • 1> domainFunctionality: 2=(DS_BEHAVIOR_WIN2003)
  • 1> forestFunctionality: 0=(DS_BEHAVIOR_WIN2000)
  • 1> domainControllerFunctionality: 2=(DS_BEHAVIOR_WIN2003)

Требования при изменении функционального уровня вручную

  • Перед повышением уровня домена необходимо изменить режим домена на собственный, если выполняется одно из следующих условий:

    • Функциональный уровень домена программно поднимается на второй функциональный уровень путем прямого изменения значения атрибута msdsBehaviorVersion в объекте domainDNS.
    • Функциональный уровень домена поднимается до второго функционального уровня с помощью служебной программы Ldp.exe или программы Adsiedit.msc.

    Если не изменить режим домена на собственный перед повышением уровня домена, операция не будет успешно завершена, и вы получите следующие сообщения об ошибках:

    SV_PROBLEM_WILL_NOT_PERFORM

    ERROR_DS_ILLEGAL_MOD_OPERATION

    Кроме того, в журнале служб каталогов регистрируется следующее сообщение:

    Active Directory could not update the functional level of the following domain because the domain is in mixed mode.
    

    В этом сценарии вы можете изменить режим домена на собственный режим с помощью оснастки "Пользователи Active Directory & компьютеры", с помощью оснастки "Домены Active Directory & trusts UI MMC" или путем программного изменения значения атрибута ntMixedDomain на 0 в объекте domainDNS. Если этот процесс используется для повышения уровня работы домена до 2 (Windows Server 2003), режим домена автоматически изменяется на собственный.

  • Переход из смешанного режима в собственный режим изменяет область группы безопасности "Администраторы схемы" и группы безопасности "Администраторы предприятия" на универсальные группы. Если эти группы были изменены на универсальные, в системном журнале регистрируется следующее сообщение:

    Event Type: Information  
    Event Source: SAM  
    Event ID: 16408  
    Computer:Server Name  
    Description: "Domain operation mode has been changed to Native Mode. The change cannot be reversed."
    
  • Когда средства администрирования Windows Server 2003 используются для вызова функционального уровня домена, атрибут ntmixedmode и атрибут msdsBehaviorVersion изменяются в правильном порядке. Однако это происходит не всегда. В следующем сценарии в собственном режиме неявно устанавливается значение 0, не изменяя область для группы безопасности "Администраторы схемы" и группы безопасности "Администраторы предприятия" на универсальную:

    • Атрибут msdsBehaviorVersion, управляющий режимом работы домена, вручную или программно задается в значение 2.
    • Для функционального уровня леса устанавливается значение 2 с помощью любого метода. В этом сценарии контроллеры домена блокируют переход на функциональный уровень леса до тех пор, пока все домены, которые находятся в локальной сети, не будут настроены в собственном режиме и не будут изменены необходимые атрибуты в областях группы безопасности.

Функциональные уровни, относящиеся к Windows 2000 Server

Windows 2000 Server поддерживает только смешанный и собственный режимы. Кроме того, эти режимы применяются только к функциональным возможностям домена. В следующих разделах перечислены режимы домена Windows Server 2003, так как эти режимы влияют на обновление доменов Windows NT 4.0 и Windows 2000 Server.

При повышении уровня операционной системы контроллера домена существует множество рекомендаций. Эти рекомендации обусловлены ограничениями хранилища и репликации связанных атрибутов в режимах Windows 2000 Server.

Windows 2000 Server mixed (по умолчанию)

  • Поддерживаемые контроллеры домена: Microsoft Windows NT 4.0, Windows 2000 Server, Windows Server 2003
  • Активированные функции: локальные и глобальные группы, поддержка глобального каталога

Windows 2000 Server native

  • Поддерживаемые контроллеры домена: Windows 2000 Server, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2
  • Активированные функции: вложенность групп, универсальные группы, журнал sid, преобразование групп между группами безопасности и группами рассылки, повышение уровней домена путем увеличения параметров уровня леса

Промежуточный Windows Server 2003

  • Поддерживаемые контроллеры домена: Windows NT 4.0, Windows Server 2003
  • Поддерживаемые функции. На этом уровне не активируются функции на уровне домена. Все домены в лесу автоматически поднимаются до этого уровня, когда уровень леса увеличивается до промежуточного. Этот режим используется только при обновлении контроллеров домена в доменах Windows NT 4.0 до контроллеров домена Windows Server 2003.

Windows Server 2003

  • Поддерживаемые контроллеры домена: Windows Server 2003, Windows Server 2008, Windows Server 2008 R2
  • Поддерживаемые функции: переименование контроллера домена, обновление и репликация атрибута метки времени входа. Поддержка паролей пользователей в objectClass InetOrgPerson. Ограниченное делегирование. Вы можете перенаправить контейнеры Пользователи и компьютеры.

Домены, обновленные с Windows NT 4.0 или созданные в результате повышения уровня компьютера под управлением Windows Server 2003, работают на смешанном функциональном уровне Windows 2000. Домены Windows 2000 Server поддерживают текущий уровень работы домена при обновлении контроллеров домена Windows 2000 Server до операционной системы Windows Server 2003. Вы можете повысить уровень работы домена до Windows 2000 Server native или Windows Server 2003.

Промежуточный уровень — обновление домена Windows NT 4.0

Windows Server 2003 Active Directory разрешает специальный уровень работы леса и домена, который называется Промежуточный Windows Server 2003. Этот функциональный уровень предоставляется для обновления существующих доменов Windows NT 4.0, где после обновления должен работать один или несколько контроллеров домена резервного копирования Windows NT 4.0. Контроллеры домена Windows 2000 Server не поддерживаются в этом режиме. Промежуточный windows Server 2003 применяется к следующим сценариям:

  • Обновление домена с Windows NT 4.0 до Windows Server 2003.
  • Windows NT BDC версии 4.0 не обновляются немедленно.
  • Windows NT домены версии 4.0, содержащие группы с более чем 5000 членов (за исключением группы пользователей домена).
  • Нет планов по внедрению контроллеров домена Windows Server2000 в лесу в любое время.

Промежуточный windows Server 2003 предоставляет два важных улучшения, но при этом позволяет выполнять репликацию для Windows NT BDC версии 4.0:

  1. Эффективная репликация групп безопасности и поддержка более 5000 участников на группу.
  2. Улучшены алгоритмы генератора топологии между сайтами KCC.

Из-за эффективности групповой репликации, которая активируется на промежуточном уровне, промежуточный уровень является рекомендуемым для всех обновлений Windows NT 4.0. Дополнительные сведения см. в разделе "Рекомендации" этой статьи.

Настройка промежуточного режима работы леса Windows Server 2003

Промежуточный windows Server 2003 можно активировать тремя разными способами. Настоятельно рекомендуется использовать первые два метода. Это связано с тем, что группы безопасности используют репликацию связанных значений (LVR) после обновления основного контроллера домена (PDC) Windows NT 4.0 до контроллера домена Windows Server 2003. Третий вариант менее рекомендуется, так как членство в группах безопасности использует один многозначный атрибут, что может привести к проблемам с репликацией. Ниже приведены способы активации промежуточной версии Windows Server 2003.

  1. Во время обновления.

    Этот параметр отображается в мастере установки Dcpromo при обновлении PDC домена Windows NT 4.0, который служит первым контроллером домена в корневом домене нового леса.

  2. Перед обновлением Windows NT 4.0 PDC Windows NT 4.0 в качестве первого контроллера домена нового домена в существующем лесу, вручную настроив функциональный уровень леса с помощью средств LDAP.

    Дочерние домены наследуют параметры функциональности на уровне леса от леса, в который они повышаются. Обновление PDC домена Windows NT 4.0 в качестве дочернего домена в существующем лесу Windows Server 2003, где были настроены промежуточные уровни работы леса с помощью файла Ldp.exe или файла Adsiedit.msc, позволяет группам безопасности использовать репликацию связанных значений после обновления версии операционной системы.

  3. После обновления с помощью средств LDAP.

    Используйте последние два варианта при присоединении к существующему лесу Windows Server 2003 во время обновления. Это распространенный сценарий, когда находится "пустой корневой" домен. Обновленный домен присоединяется как дочерний элемент пустого корня и наследует параметр домена от леса.

Лучшие методики

В следующем разделе рассматриваются рекомендации по повышению функциональных уровней. Раздел разбит на две части. В разделе "Задачи подготовки" обсуждается работа, которую необходимо выполнить перед увеличением, а в разделе "Увеличение оптимальных путей" рассматриваются мотивы и методы для различных сценариев повышения уровня.

Чтобы обнаружить контроллеры домена Windows NT 4.0, выполните следующие действия.

  1. На любом контроллере домена под управлением Windows Server 2003 откройте Пользователи и компьютеры Active Directory.

  2. Если контроллер домена еще не подключен к соответствующему домену, выполните следующие действия, чтобы подключиться к соответствующему домену:

    1. Щелкните правой кнопкой мыши текущий объект домена и выберите подключиться к домену.
    2. В диалоговом окне Домен введите DNS-имя домена, к которому требуется подключиться, и нажмите кнопку ОК. Или нажмите кнопку Обзор , чтобы выбрать домен в дереве доменов, а затем нажмите кнопку ОК.
  3. Щелкните правой кнопкой мыши объект домена и выберите команду Найти.

  4. В диалоговом окне Поиск щелкните Пользовательский поиск.

  5. Выберите домен, для которого требуется изменить функциональный уровень.

  6. Откройте вкладку Дополнительно.

  7. В поле Ввод запроса LDAP введите следующий код и не оставляйте пробелы между символами: (&(objectCategory=computer)(operatingSystem Version=4*)(userAccountControl:1.2.840.113556.1.4.803:=8192))

    Примечание.

    Этот запрос не учитывает регистр.

  8. Нажмите кнопку Найти.

    Появится список компьютеров в домене, работающих под управлением Windows NT 4.0 и работающих в качестве контроллеров домена.

Контроллер домена может появиться в списке по любой из следующих причин:

  • Контроллер домена работает Windows NT 4.0 и должен быть обновлен.
  • Контроллер домена обновлен до Windows Server 2003, но изменение не реплицируется на целевой контроллер домена.
  • Контроллер домена больше не работает, но объект компьютера контроллера домена не удаляется из домена.

Прежде чем изменить уровень работы домена на Windows Server 2003, необходимо физически найти любой контроллер домена в списке, определить текущее состояние контроллера домена, а затем обновить или удалить контроллер домена соответствующим образом.

Примечание.

В отличие от контроллеров домена Windows Server 2000, контроллеры домена Windows NT 4.0 не блокируют повышение уровня. При изменении функционального уровня домена репликация на контроллеры домена Windows NT 4.0 остановится. Однако при попытке увеличения до уровня леса Windows Server 2003 с доменами в Windows Server 2000 смешанный уровень блокируется. Отсутствие BDC Windows NT 4.0 подразумевается в удовлетворении требований на уровне леса для всех доменов на уровне Windows Server 2000 или более поздней версии.

Пример. Задачи подготовки перед повышением уровня

В этом примере среда создается из смешанного режима Windows Server 2000 в режим леса Windows Server 2003.

Инвентаризация леса для более ранних версий контроллеров домена.

Если точный список серверов недоступен, выполните следующие действия.

  1. Чтобы обнаружить домены смешанного уровня, контроллеры домена Windows Server 2000 или контроллеры домена с поврежденными или отсутствующими объектами, используйте домены Active Directory и оснастку MMC Trusts.
  2. В оснастке щелкните Повысить функциональность леса, а затем нажмите кнопку Сохранить как , чтобы создать подробный отчет.
  3. Если проблемы не найдены, параметр увеличения до уровня леса Windows Server 2003 доступен в раскрывающемся списке "Доступные функциональные уровни леса". При попытке повысить уровень леса объекты контроллера домена в контейнерах конфигурации ищут все контроллеры домена, для которых для msds-behavior-version не задан нужный целевой уровень. Предполагается, что они являются контроллерами домена Windows Server 2000 или более новыми объектами контроллеров домена Windows Server, которые повреждены.
  4. Если были найдены контроллеры домена более ранней версии или контроллеры домена, у которых были повреждены или отсутствующие компьютерные объекты, они включаются в отчет. Состояние этих контроллеров домена должно быть изучено, а представление контроллера домена в Active Directory должно быть исправлено или удалено с помощью файла Ntdsutil.

Для получения дополнительных сведений щелкните следующий номер статьи, чтобы просмотреть статью в базе знаний Майкрософт:
216498 Удаление данных в Active Directory после неудачного понижения уровня контроллера домена

Убедитесь, что в лесу работает сквозная репликация.

Чтобы убедиться, что в лесу работает сквозная репликация, используйте Windows Server 2003 или более поздней версии Repadmin для контроллеров домена Windows Server 2000 или Windows Server 2003:

  • Repadmin/Replsum * /Sort:Delta[/Errorsonly] для начальной инвентаризации.

  • Repadmin/Showrepl * /CSV>showrepl.csv. Импортируйте в Excel, а затем используйте автофильтр данных> для определения функций репликации.

    Используйте средства репликации, такие как Repadmin, чтобы убедиться, что репликация на уровне леса работает правильно.

Проверьте совместимость всех программ или служб с более новыми контроллерами домена Windows Server, а также с режимом более высокого уровня домена и леса Windows Server. Используйте лабораторную среду для тщательного тестирования рабочих программ и служб на наличие проблем совместимости. Обратитесь к поставщикам для подтверждения возможностей.

Подготовьте план резервного копирования, который включает в себя одно из следующих действий:

  • Отключите по крайней мере два контроллера домена от каждого домена в лесу.
  • Создайте резервную копию состояния системы по крайней мере из двух контроллеров домена из каждого домена в лесу.

Перед использованием плана резервного выхода все контроллеры домена в лесу должны быть выведены из эксплуатации перед процессом восстановления.

Примечание.

Повышение уровня не может быть достоверно восстановлено. Это означает, что все контроллеры домена, которые реплицировали повышение уровня, должны быть списаны.

После вывода из эксплуатации всех предыдущих контроллеров домена запустите отключенные контроллеры домена или восстановите контроллеры домена из резервной копии. Удалите метаданные из всех остальных контроллеров домена, а затем повторно проиммируете их. Это сложный процесс, и его необходимо избегать.

Пример. Переход с смешанного уровня Windows Server 2000 на уровень леса Windows Server 2003

Увеличьте все домены до уровня Windows Server 2000 native. После этого увеличьте функциональный уровень корневого домена леса до уровня леса Windows Server 2003. Когда уровень леса реплицируется в PCS для каждого домена в лесу, уровень домена автоматически увеличивается до уровня домена Windows Server 2003. Этот метод имеет следующие преимущества:

  • Увеличение уровня на уровне леса выполняется только один раз. Вам не нужно вручную увеличивать каждый домен в лесу до уровня работы домена Windows Server 2003.
  • Перед повышением уровня выполняется проверка для контроллеров домена Windows Server 2000 (см. инструкции по подготовке). Увеличение блокируется до тех пор, пока проблемные контроллеры домена не будут удалены или обновлены. Подробный отчет можно создать путем перечисления блокирующих контроллеров домена и предоставления практических данных.
  • Выполняется проверка для доменов на промежуточном уровне Windows Server 2000 или Windows Server 2003. Увеличение блокируется до тех пор, пока уровни домена не будут увеличены по крайней мере до Windows Server 2000 native. Домены промежуточного уровня должны быть увеличены до уровня домена Windows Server 2003. Подробный отчет можно создать путем перечисления блокирующих доменов.

обновления Windows NT 4.0

Windows NT обновления 4.0 всегда используют промежуточный уровень во время обновления PDC, если контроллеры домена Windows Server 2000 не были введены в лес, в который выполняется обновление PDC. При использовании промежуточного режима во время обновления PDC существующие большие группы немедленно используют репликацию LVR, избегая потенциальных проблем репликации, которые рассматриваются ранее в этой статье. Используйте один из следующих методов, чтобы перейти на промежуточный уровень во время обновления:

  • Выберите промежуточный уровень во время dcpromo. Этот параметр отображается только при обновлении PDC до нового леса.
  • Задайте для существующего леса промежуточный уровень леса, а затем присоедините лес во время обновления PDC. Обновленный домен наследует параметр леса.
  • После обновления или удаления всех Windows NT BDC версии 4.0 каждый домен должен быть переведен на уровень леса и может быть переведен в режим леса Windows Server 2003.

Причина, чтобы избежать использования промежуточного режима, заключается в том, что планируется реализовать контроллеры домена Windows Server 2000 после обновления или в любое время в будущем.

Особое внимание следует учитывать для больших групп в Windows NT 4.0

В зрелых доменах Windows NT 4.0 могут существовать группы безопасности, содержащие более 5000 членов. В Windows NT 4.0 при изменении члена группы безопасности только одно изменение членства реплицируется в резервные контроллеры домена. В Windows Server 2000 членство в группах — это связанные атрибуты, хранящиеся в одном многозначном атрибуте объекта группы. При изменении членства в группе вся группа реплицируется как одна единица. Так как членство в группе реплицируется в виде единой единицы, существует вероятность того, что обновления членства в группах будут "потеряны" при одновременном добавлении или удалении разных участников на разных контроллерах домена. Кроме того, размер этого отдельного объекта может быть больше буфера, используемого для фиксации записи в базе данных. Дополнительные сведения см. в разделе "Проблемы с хранилищем версий с большими группами" этой статьи. По этим причинам рекомендуемое ограничение для членов группы — 5000.

Исключением из правила 5000 членов является основная группа (по умолчанию это группа "Пользователи домена"). Первичная группа использует "вычисляемый" механизм на основе "primarygroupID" пользователя для определения членства. Основная группа не хранит члены как многозначные связанные атрибуты. Если основная группа пользователя изменена на пользовательскую группу, его членство в группе "Пользователи домена" записывается в связанный атрибут группы и больше не вычисляется. Новая первичная группа Rid записывается в primarygroupID, а пользователь удаляется из атрибута-члена группы.

Если администратор не выбирает промежуточный уровень для домена обновления, перед обновлением необходимо выполнить следующие действия:

  1. Выполните инвентаризацию всех больших групп и определите группы свыше 5000, кроме группы пользователей домена.
  2. Все группы с более чем 5000 участников должны быть разбиты на небольшие группы из менее чем 5000 участников.
  3. Найдите все контроль доступа Списки, где были введены большие группы, и добавьте небольшие группы, созданные на шаге 2. Промежуточный уровень леса Windows Server 2003 избавляет администраторов от необходимости обнаруживать и перераспределить глобальные группы безопасности с более чем 5000 участников.

Проблемы с хранилищем версий с большими группами

Во время длительных операций, таких как глубокий поиск или фиксация одного крупного атрибута, Active Directory должна убедиться, что состояние базы данных является статическим, пока операция не будет завершена. Примером глубокого поиска или фиксаций больших атрибутов является большая группа, которая использует устаревшее хранилище.

Так как обновления базы данных постоянно происходят локально и от партнеров по репликации, Active Directory обеспечивает статическое состояние, вставляя в очередь все входящие изменения до завершения длительной операции. После завершения операции изменения, помещенные в очередь, применяются к базе данных.

Хранилище этих изменений, помещенных в очередь, называется хранилищем версий и составляет около 100 мегабайт. Размер хранилища версий зависит от физической памяти. Если длительная операция не завершится до исчерпания хранилища версий, контроллер домена перестанет принимать обновления до тех пор, пока не будут зафиксированы длительные операции и внесенные в очередь изменения. Группы, которые достигают большого числа (более 5000 членов), подвергают контроллер домена риску исчерпания хранилища версий до тех пор, пока большая группа зафиксирована.

В Windows Server 2003 представлен новый механизм репликации для связанных многозначных атрибутов, который называется репликацией значений связи (LVR). Вместо репликации всей группы в одной операции репликации LVR решает эту проблему, реплицируя каждый член группы как отдельную операцию репликации. LVR становится доступным, когда уровень функциональности леса поднимается до промежуточного уровня леса Windows Server 2003 или до уровня леса Windows Server 2003. На этом функциональном уровне LVR используется для репликации групп между контроллерами домена Windows Server 2003.