Cómo actualizar un controlador de dominio de Windows 2000 a Windows Server 2003
Acceso al inventario de clientes alojados de Windows Server 2003 de recursos en el dominio del controlador de dominio para determinar si son compatibles con la firma SMB:
Cada controlador de dominio de Windows Server 2003 tiene la firma SMB habilitada en su política de seguridad local. Asegúrese de que todos los clientes de red que utilizan el protocolo SMB/CIFS para acceder a archivos e impresoras en el dominio que aloja los controladores de dominio de Windows Server 2003 puedan configurarse o actualizarse para admitir la firma SMB. Si no puede configurar o actualizar, deshabilite temporalmente la firma SMB hasta que se puedan instalar las actualizaciones o los clientes se puedan actualizar a un sistema operativo más nuevo que admita la firma SMB. Para obtener información sobre cómo desactivar la firma SMB, consulte la sección "Desactivar la firma SMB" al final de este paso.
Plan de operación
La siguiente lista muestra el plan de operación para clientes SMB comunes: Deshabilite la firma SMB.
Si la actualización de software no se puede instalar en un controlador de dominio afectado que ejecuta Windows 95 o Windows NT 4.0, o en otros clientes que se instalaron antes de la introducción de Windows Server 2003, se requiere desactivar temporalmente la firma del servicio SMB. hasta que se pueda implementar el software cliente actualizado.
La firma del servicio SMB se puede deshabilitar en el siguiente nodo de la Política de controlador de dominio predeterminada para la unidad organizativa de Controladores de dominio:
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Políticas locales\Seguridad Opciones \Microsoft Network Server: Firmar digitalmente las comunicaciones (siempre).
Si el controlador de dominio no está en la unidad organizativa de un controlador de dominio, el objeto de política de grupo (GPO) del controlador de dominio predeterminado debe estar vinculado a todas las unidades organizativas que alojan controladores de dominio de Windows 2000 o Windows Server 2003. Alternativamente, las firmas de servicios SMB se pueden configurar en GPO vinculados a estas unidades organizativas.
Microsoft Windows Server 2003, Microsoft Windows XP Professional, Microsoft Windows 2000Server, Microsoft Windows 2000 Professional y Microsoft Windows 98.
No se requiere ninguna acción.
Microsoft Windows NT 4.0
Para todas las computadoras basadas en Windows NT 4.0 que deseen acceder a un dominio que contenga computadoras basadas en Windows Server 2003, instale el Service Pack 3 o posterior (. Se recomienda instalar el Service Pack 6A). Como alternativa, deshabilite temporalmente la firma SMB en el controlador de dominio de Windows Server 2003. Para obtener información sobre cómo desactivar la firma SMB, consulte la sección "Desactivar la firma SMB" al final de este paso.
Microsoft Windows 95
Instale el cliente de servicios de directorio de Windows 9x en una computadora con Windows 95 o deshabilite temporalmente la firma SMB en un controlador de dominio de Windows Server 2003. El cliente de servicios de directorio Win9x original se proporciona en el CD de Windows 2000 Server. Sin embargo, este complemento de cliente ha sido reemplazado por el cliente mejorado de Win9x Directory Services.
Para obtener información sobre cómo desactivar la firma SMB, consulte la sección "Desactivar la firma SMB" al final de este paso.
El cliente de red Microsoft MS-DOS y el cliente de red Microsoft LAN Manager
El cliente de red Microsoft MS-DOS y el cliente de red Microsoft LAN Manager 2.x se pueden utilizar para proporcionar acceso a los recursos de red. . También se pueden utilizar junto con disquetes de arranque como parte de una rutina de instalación de software para copiar archivos del sistema operativo y otros archivos en un directorio compartido en un servidor de archivos. Estos clientes no admiten la firma SMB. Utilice otro método de instalación o desactive la firma SMB. Para obtener información sobre cómo desactivar la firma SMB, consulte la sección "Desactivar la firma SMB" al final de este paso.
Clientes Macintosh
Algunos clientes Macintosh no son compatibles con la firma SMB y recibirán el siguiente mensaje de error cuando intenten conectarse a un recurso de red:
- Error: 36 entradas/salidas
Instale el software actualizado (si está disponible). De lo contrario, deshabilite la firma SMB en los controladores de dominio de Windows Server 2003. Para obtener información sobre cómo desactivar la firma SMB, consulte la sección "Desactivar la firma SMB" al final de este paso.
Otros clientes SMB de terceros
Algunos clientes SMB de terceros no admiten la firma SMB. Consulte con su proveedor de SMB para ver si hay una versión más reciente disponible. De lo contrario, deshabilite la firma SMB en los controladores de dominio de Windows Server 2003.
Haga un inventario de los controladores de dominio en el dominio y el bosque:
Nota: Las propiedades del controlador de dominio no rastrean la instalación de cada parche individualmente.
Verifique la replicación de Active Directory de un extremo a otro en todo el bosque.
Verifique que cada controlador de dominio en el bosque promocionado siempre replique todos los contextos de nombres que controla localmente y sus socios de acuerdo con el cronograma definido por el enlace del sitio u objeto de conexión. Utilice la versión de Repadmin.exe para Windows Server 2003 en un equipo miembro basado en Windows XP o Windows Server 2003 en el bosque, con los siguientes parámetros:
REPADMIN /repl sum/by src/BYDEST/SORT: DELTA lt; - Salida formateada para ajustarse al tamaño de página tDC incremento máximo fallido/error total na-DC-01 13d 21h:10m:10s 97/143 67 (8240) No existe tal objeto...NA-DC-02 13d. : 11m: 07s 180/763 23(8524)Operación DSA...NA-DC-03 12d 03h: 54m: 41s 5/5 100(8524)Operación DSA...
Lin Zhong Todos Los controladores de dominio deben replicar Active Directory de forma segura y el valor en la columna "Delta máxima" en la salida de repadmin no debe ser significativamente mayor que la frecuencia de replicación en el enlace del sitio correspondiente o el objeto de conexión utilizado por un controlador de dominio de destino determinado.
Resolver todos los errores de replicación entre controladores de dominio que no logran replicar la entrada en menos del tiempo de vida de Tombstone (TSL) (el valor predeterminado es 60 días). Si la replicación falla, es posible que necesite usar el comando de limpieza de metadatos de Ntdsutil para degradar por la fuerza el controlador de dominio y eliminarlo del bosque, y luego promocionarlo nuevamente al bosque. La degradación forzada se puede utilizar para guardar instalaciones y programas del sistema operativo en controladores de dominio independientes.
Para obtener más información sobre cómo eliminar un controlador de dominio de Windows 2000 huérfano de un dominio, haga clic en el número de artículo siguiente para ver el artículo correspondiente en Microsoft Knowledge Base:
216498 Después de una degradación fallida del controlador de dominio Cómo eliminar datos en Directorio Activo?
Esta acción sólo debe realizarse para restaurar el sistema operativo y la instalación de programas instalados si no queda otra manera. Perderá objetos y atributos no replicados en el controlador de dominio huérfano, incluidos usuarios, computadoras, confianzas, contraseñas, grupos y membresías de grupos.
Tenga cuidado al intentar resolver errores de replicación en un controlador de dominio (los cambios entrantes a una partición específica de Active Directory no se han replicado durante varios días). Al hacer esto, puede restaurar objetos que se eliminaron en el controlador de dominio, pero para los cuales el socio de replicación directa o transitiva nunca recibió la eliminación en los 60 días anteriores.
Considere eliminar cualquier objeto persistente que resida en controladores de dominio que no hayan realizado replicación entrante en los últimos 60 días. Alternativamente, puede forzar la degradación de un controlador de dominio que no haya realizado ninguna replicación entrante en una partición determinada durante la vida útil del desecho y usar Ntdsutil y otras utilidades para eliminar los metadatos restantes del bosque de Active Directory. Comuníquese con su proveedor de soporte o con Microsoft PSS para obtener más ayuda.
Comprueba si el contenido que disfruta Sysvol *** es consistente.
Verifique que la parte del sistema de archivos de la política de grupo sea coherente. Puede utilizar Gpotool.exe del kit de recursos para determinar si existen inconsistencias en las políticas de su dominio. Utilice Healthcheck en las herramientas de soporte de Windows Server 2003 para determinar si el conjunto de réplicas compartidas Sysvol*** funciona correctamente en cada dominio.
Si el contenido que disfruta Sysvol *** es inconsistente, resuelva cualquier inconsistencia.
Utilice Dcdiag.exe de las herramientas de soporte para verificar que todos los controladores de dominio tengan Netlogon y Sysvol *** instalados. Para hacer esto, escriba el siguiente comando en el símbolo del sistema:
DCDIAG.EXE /e/test:frssysvol
Rol de operaciones de inventario.
El maestro de operaciones de esquema y tejido se utiliza para introducir cambios de esquema en todo el bosque y en todo el dominio en los bosques y sus dominios creados por la utilidad adprep de Windows Server 2003. Verifique que el controlador de dominio que aloja los roles de esquema y estructura para cada dominio en el bosque resida en el controlador de dominio activo y que cada propietario de rol haya realizado una replicación entrante en todas las particiones desde el último reinicio.
DCDIAG /test: el comando FSMOCHECK se puede utilizar para ver roles operativos en todo el bosque y en todo el dominio. La función de maestro de operaciones que reside en un controlador de dominio inexistente debe ser adquirida por un controlador de dominio normal que utilice NTDSUTIL. Si es posible, debe transferir funciones que residen en el controlador de dominio en mal estado. De lo contrario, deberías conseguirlos. El comando NETDOM QUERY FSMO no reconoce la función FSMO que reside en un controlador de dominio eliminado.
Verifique que el maestro de esquema y cada maestro de esquema hayan realizado la replicación entrante de Active Directory desde el último inicio. Puede utilizar el comando REPADMIN /SHOWREPS DCNAME para verificar la replicación entrante, donde DCNAME es el nombre de la computadora NetBIOS o el nombre completo de la computadora del controlador de dominio.
Para obtener más información sobre los maestros de operaciones y sus ubicaciones, haga clic en el número de artículo siguiente para ver el artículo correspondiente en Microsoft Knowledge Base:
197132 Funciones FSMO de Active Directory de Windows 2000
223346 Colocación y optimización de FSMO en controladores de dominio de Active Directory
Vista de registro de eventos
Compruebe los registros de eventos de todos los controladores de dominio para detectar eventos problemáticos. El registro de eventos no debe contener mensajes de eventos críticos que indiquen problemas con cualquiera de los siguientes procesos y componentes:
El espacio libre en el volumen que aloja el archivo de base de datos de Active Directory Ntds.dit debe ser igual a al menos 15 -20 veces el tamaño del archivo ntds.dit, el espacio libre en el volumen que aloja los archivos de registro de Active Directory también debe ser al menos igual a 15-20 veces el tamaño del archivo Ntds.dit. Para obtener más información sobre cómo liberar más espacio en disco, consulte la sección "Controlador de dominio sin espacio en disco" de este artículo.
Depuración de DNS (opcional)
Habilite la depuración de DNS para todos los servidores DNS del bosque cada 7 días. Para obtener mejores resultados, haga esto 61 días o más antes de actualizar su sistema operativo. Esto le da al demonio de limpieza de DNS tiempo suficiente para recolectar objetos DNS caducados cuando se realiza una desfragmentación fuera de línea en el archivo Ntds.dit.
Deshabilitar el servicio del servidor DLT (opcional)
El servicio del servidor DLT está deshabilitado en instalaciones nuevas y actualizaciones de controladores de dominio de Windows Server 2003. Si no utiliza el seguimiento de enlaces distribuidos, puede desactivar el servicio del servidor DLT en su controlador de dominio de Windows 2000 y comenzar a eliminar objetos DLT de todos los dominios del bosque. Para obtener información adicional, consulte la sección "Recomendaciones de Microsoft para el seguimiento de enlaces distribuidos" en el siguiente artículo de Microsoft Knowledge Base: