Condividi tramite

Come aumentare i livelli di funzionalità del dominio e della foresta di Active Directory

  • Articolo

Questo articolo descrive come aumentare i livelli di funzionalità del dominio e della foresta di Active Directory.

Si applica a: Windows Server 2003
Numero KB originale: 322692

Riepilogo

Per informazioni su Windows Server 2016 e sulle nuove funzionalità in Dominio di Active Directory Services (AD DS), vedere What's new in Dominio di Active Directory Services for Windows Server 2016 (Novità di Servizi di Dominio di Active Directory per Windows Server 2016).

Questo articolo illustra l'aumento dei livelli di funzionalità del dominio e della foresta supportati dai controller di dominio basati su Microsoft Windows Server 2003 o versioni successive. Sono disponibili quattro versioni di Active Directory e solo i livelli modificati da Windows NT Server 4.0 richiedono considerazioni speciali. Pertanto, le altre modifiche di livello vengono menzionate usando le versioni più recenti, correnti o precedenti del sistema operativo del controller di dominio, del dominio o del livello funzionale della foresta.

I livelli funzionali sono un'estensione della modalità mista e i concetti della modalità nativa introdotti in Microsoft Windows 2000 Server per attivare nuove funzionalità di Active Directory. Alcune funzionalità aggiuntive di Active Directory sono disponibili quando tutti i controller di dominio eseguono la versione più recente di Windows Server in un dominio o in una foresta e quando l'amministratore attiva il livello funzionale corrispondente nel dominio o nella foresta.

Per attivare le funzionalità di dominio più recenti, tutti i controller di dominio devono eseguire la versione più recente del sistema operativo Windows Server nel dominio. Se questo requisito viene soddisfatto, l'amministratore può aumentare il livello di funzionalità del dominio.

Per attivare le funzionalità più recenti a livello di foresta, tutti i controller di dominio nella foresta devono eseguire la versione del sistema operativo Windows Server corrispondente al livello di funzionalità della foresta desiderato. Inoltre, il livello funzionale del dominio corrente deve essere già a livello più recente. Se questi requisiti vengono soddisfatti, l'amministratore può aumentare il livello di funzionalità della foresta.

In genere, le modifiche apportate ai livelli funzionali del dominio e della foresta sono irreversibili. Se la modifica può essere annullata, è necessario usare un ripristino della foresta. Con il sistema operativo Windows Server 2008 R2, è possibile eseguire il rollback delle modifiche apportate ai livelli funzionali del dominio e ai livelli funzionali della foresta. Tuttavia, il rollback può essere eseguito solo negli scenari specifici descritti nell'articolo Technet sui livelli funzionali di Active Directory.

Note

I livelli di funzionalità del dominio più recenti e i livelli di funzionalità della foresta più recenti influiscono solo sul modo in cui i controller di dominio operano insieme come gruppo. I client che interagiscono con il dominio o con la foresta non sono interessati. Inoltre, le applicazioni non sono interessate dalle modifiche apportate ai livelli funzionali del dominio o ai livelli funzionali della foresta. Tuttavia, le applicazioni possono sfruttare le funzionalità di dominio più recenti e le funzionalità più recenti della foresta.

Per altre informazioni, vedere l'articolo TechNet sulle funzionalità associate ai vari livelli funzionali.

Aumento del livello funzionale

Attenzione

Non aumentare il livello funzionale se il dominio ha o avrà un controller di dominio di una versione precedente rispetto alla versione citata per tale livello. Ad esempio, un livello di funzionalità di Windows Server 2008 richiede che tutti i controller di dominio abbiano Windows Server 2008 o un sistema operativo successivo installato nel dominio o nella foresta. Dopo che il livello di funzionalità del dominio viene elevato a un livello superiore, può essere nuovamente impostato su un livello precedente usando un ripristino della foresta. Questa restrizione esiste perché le funzionalità spesso modificano la comunicazione tra i controller di dominio o perché le funzionalità modificano l'archiviazione dei dati di Active Directory nel database.

Il metodo più comune per abilitare i livelli di funzionalità di dominio e foresta consiste nell'usare gli strumenti di amministrazione dell'interfaccia utente grafica (GUI) documentati nell'articolo TechNet sui livelli di funzionalità di Active Directory di Windows Server 2003. Questo articolo illustra Windows Server 2003. Tuttavia, i passaggi sono gli stessi nelle versioni più recenti del sistema operativo. Inoltre, il livello funzionale può essere configurato manualmente o può essere configurato usando gli script di Windows PowerShell. Per altre informazioni su come configurare manualmente il livello funzionale, vedere la sezione "Visualizzare e impostare il livello funzionale".

Per altre informazioni su come usare lo script di Windows PowerShell per configurare il livello funzionale, vedere Aumentare il livello di funzionalità della foresta.

Visualizzare e impostare manualmente il livello funzionale

Gli strumenti LDAP (Lightweight Directory Access Protocol), ad esempio Ldp.exe e Adsiedit.msc, possono essere usati per visualizzare e modificare le impostazioni del livello di funzionalità del dominio e della foresta correnti. Quando si modificano manualmente gli attributi del livello funzionale, la procedura consigliata consiste nell'apportare modifiche agli attributi nel controller di dominio FSMO (Flexible Single Master Operations) di destinazione degli strumenti di amministrazione Microsoft.

Impostazioni del livello funzionale del dominio

L'attributo msDS-Behavior-Version si trova nell'intestazione del contesto di denominazione (NC) per il dominio, ovvero DC=corp, DC=contoso, DC=com.

È possibile impostare i valori seguenti per questo attributo:

  • Valore 0 o non impostato=dominio a livello misto
  • Valore 1=Livello di dominio di Windows Server 2003
  • Valore 2=Livello di dominio di Windows Server 2003
  • Valore 3=Livello di dominio di Windows Server 2008
  • Valore 4=Livello di dominio di Windows Server 2008 R2

Impostazioni della modalità mista e della modalità nativa

L'attributo ntMixedDomain si trova nell'intestazione del contesto di denominazione (NC) per il dominio, ovvero DC=corp, DC=contoso, DC=com.

È possibile impostare i valori seguenti per questo attributo:

  • Valore 0=Dominio a livello nativo
  • Valore 1=Dominio a livello misto

Impostazione a livello di foresta

L'attributo msDS-Behavior-Version si trova nell'oggetto CN=Partitions nel contesto di denominazione della configurazione, ovvero CN=Partitions, CN=Configuration, DC= ForestRootDomain.

È possibile impostare i valori seguenti per questo attributo:

  • Valore 0 o non impostato=foresta a livello misto

  • Valore 1=Livello foresta provvisoria di Windows Server 2003

  • Valore 2=Livello foresta di Windows Server 2003

    Note

    Quando si aumenta l'attributo msDS-Behavior-Version dal valore 0 al valore 1 usandoAdsiedit.msc, viene visualizzato il messaggio di errore seguente:
    Operazione di modifica non valida. Alcuni aspetti della modifica non sono consentiti.

  • Valore 3=Livello di dominio di Windows Server 2008

  • Valore 4=Livello di dominio di Windows Server 2008 R2

Dopo aver usato gli strumenti LDAP (Lightweight Directory Access Protocol) per modificare il livello funzionale, fare clic su OK per continuare. Gli attributi nel contenitore delle partizioni e nell'intestazione di dominio vengono aumentati correttamente. Se il file di Ldp.exe segnala un messaggio di errore, è possibile ignorare in modo sicuro il messaggio di errore. Per verificare che l'aumento del livello sia riuscito, aggiornare l'elenco di attributi e quindi controllare l'impostazione corrente. Questo messaggio di errore può verificarsi anche dopo aver eseguito l'aumento del livello sull'FSMO autorevole se la modifica non è ancora stata replicata nel controller di dominio locale.

Visualizzare rapidamente le impostazioni correnti usando il file Ldp.exe

  1. Avviare il file Ldp.exe.
  2. Dal menu Connessione, scegliere Connetti.
  3. Specificare il controller di dominio su cui eseguire una query o lasciare vuoto lo spazio per connettersi a qualsiasi controller di dominio.

Dopo la connessione a un controller di dominio, viene visualizzata la visualizzazione delle informazioni RootDSE per il controller di dominio. Queste informazioni includono informazioni sulla foresta, il dominio e i controller di dominio. Di seguito è riportato un esempio di controller di dominio basato su Windows Server 2003. Nell'esempio seguente si supponga che la modalità di dominio sia Windows Server 2003 e che la modalità foresta sia Windows 2000 Server.

Note

La funzionalità del controller di dominio rappresenta il livello funzionale più alto possibile per questo controller di dominio.

  • 1> dominioFunctionality: 2=(DS_BEHAVIOR_WIN2003)
  • 1> forestFunctionality: 0=(DS_BEHAVIOR_WIN2000)
  • 1> domainControllerFunctionality: 2=(DS_BEHAVIOR_WIN2003)

Requisiti quando si modifica manualmente il livello funzionale

  • È necessario modificare la modalità di dominio in modalità nativa prima di aumentare il livello di dominio se una delle condizioni seguenti è vera:

    • Il livello funzionale del dominio viene elevato a livello di codice al secondo livello funzionale modificando direttamente il valore dell'attributo msdsBehaviorVersion nell'oggetto domainDNS.
    • Il livello funzionale del dominio viene elevato al secondo livello funzionale usando l'utilità Ldp.exe o l'utilità Adsiedit.msc.

    Se non si modifica la modalità dominio in modalità nativa prima di aumentare il livello di dominio, l'operazione non viene completata correttamente e vengono visualizzati i messaggi di errore seguenti:

    SV_PROBLEM_WILL_NOT_PERFORM

    ERROR_DS_ILLEGAL_MOD_OPERATION

    Inoltre, il messaggio seguente viene registrato nel log di Servizi directory:

    Active Directory could not update the functional level of the following domain because the domain is in mixed mode.

    In questo scenario, è possibile modificare la modalità di dominio in modalità nativa usando lo snap-in Utenti e computer di Active Directory, usando lo snap-in MMC Dominio di Active Directory s & Trusts UI oppure modificando a livello di codice il valore dell'attributo ntMixedDomain su 0 nell'oggetto domainDNS. Quando questo processo viene usato per aumentare il livello di funzionalità del dominio a 2 (Windows Server 2003), la modalità di dominio viene modificata automaticamente in modalità nativa.

  • La transizione dalla modalità mista alla modalità nativa modifica l'ambito del gruppo di sicurezza Schema Administrators e del gruppo di sicurezza Enterprise Administrators in gruppi universali. Quando questi gruppi sono stati modificati in gruppi universali, nel log di sistema viene registrato il messaggio seguente:

    Event Type: Information  
Event Source: SAM  
Event ID: 16408  
Computer:Server Name  
Description: "Domain operation mode has been changed to Native Mode. The change cannot be reversed."

  • Quando gli strumenti di amministrazione di Windows Server 2003 vengono usati per richiamare il livello di funzionalità del dominio, sia l'attributo ntmixedmode che l'attributo msdsBehaviorVersion vengono modificati nell'ordine corretto. Tuttavia, questo non si verifica sempre. Nello scenario seguente la modalità nativa viene impostata in modo implicito su un valore pari a 0 senza modificare l'ambito per il gruppo di sicurezza Schema Administrators e il gruppo di sicurezza Enterprise Administrators su universale:

    • L'attributo msdsBehaviorVersion che controlla la modalità funzionale del dominio è impostato manualmente o a livello di codice sul valore 2.
    • Il livello di funzionalità della foresta è impostato su 2 usando qualsiasi metodo. In questo scenario, i controller di dominio bloccano la transizione al livello funzionale della foresta fino a quando tutti i domini presenti nella rete locale sono configurati in modalità nativa e la modifica dell'attributo richiesta viene apportata negli ambiti del gruppo di sicurezza.

Livelli funzionali rilevanti per Windows 2000 Server

Windows 2000 Server supporta solo la modalità mista e la modalità nativa. Inoltre, si applica solo queste modalità alla funzionalità del dominio. Le sezioni seguenti elencano le modalità di dominio di Windows Server 2003 perché queste modalità influiscono sul modo in cui vengono aggiornati i domini di Windows NT 4.0 e Windows 2000 Server.

Quando si aumenta il livello del sistema operativo del controller di dominio, è necessario tenere presenti molte considerazioni. Queste considerazioni sono causate dalle limitazioni di archiviazione e replica degli attributi collegati nelle modalità Windows 2000 Server.

Windows 2000 Server misto (impostazione predefinita)

  • Controller di dominio supportati: Microsoft Windows NT 4.0, Windows 2000 Server, Windows Server 2003
  • Funzionalità attivate: gruppi locali e globali, supporto del catalogo globale

Windows 2000 Server nativo

  • Controller di dominio supportati: Windows 2000 Server, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2
  • Funzionalità attivate: annidamento di gruppi, gruppi universali, cronologia Sid, conversione di gruppi di sicurezza tra gruppi di sicurezza e gruppi di distribuzione, è possibile aumentare i livelli di dominio aumentando le impostazioni a livello di foresta

Windows Server 2003 provvisorio

  • Controller di dominio supportati: Windows NT 4.0, Windows Server 2003
  • Funzionalità supportate: a questo livello non sono attivate funzionalità a livello di dominio. Tutti i domini in una foresta vengono generati automaticamente a questo livello quando il livello della foresta aumenta ad interim. Questa modalità viene usata solo quando si aggiornano i controller di dominio nei domini di Windows NT 4.0 ai controller di dominio di Windows Server 2003.

Windows Server 2003

  • Controller di dominio supportati: Windows Server 2003, Windows Server 2008, Windows Server 2008 R2
  • Funzionalità supportate: ridenominazione del controller di dominio, attributo timestamp di accesso aggiornato e replicato. Supporto delle password utente nell'oggetto InetOrgPersonClass. Delega vincolata, è possibile reindirizzare i contenitori Utenti e computer.

I domini aggiornati da Windows NT 4.0 o creati dalla promozione di un computer basato su Windows Server 2003 operano a livello di funzionalità mista di Windows 2000. I domini di Windows 2000 Server mantengono il livello di funzionalità del dominio corrente quando i controller di dominio di Windows 2000 Server vengono aggiornati al sistema operativo Windows Server 2003. È possibile aumentare il livello di funzionalità del dominio a Windows 2000 Server nativo o Windows Server 2003.

Livello provvisorio: aggiornamento da un dominio di Windows NT 4.0

Windows Server 2003 Active Directory consente una foresta speciale e un livello di funzionalità di dominio denominato Windows Server 2003 provvisorio. Questo livello funzionale viene fornito per gli aggiornamenti dei domini Windows NT 4.0 esistenti in cui uno o più controller di dominio di backup di Windows NT 4.0 devono funzionare dopo l'aggiornamento. I controller di dominio di Windows 2000 Server non sono supportati in questa modalità. Windows Server 2003 provvisorio si applica agli scenari seguenti:

  • Aggiornamenti di dominio da Windows NT 4.0 a Windows Server 2003.
  • I BDC di Windows NT 4.0 non vengono aggiornati immediatamente.
  • Domini di Windows NT 4.0 che contengono gruppi con più di 5000 membri (escluso il gruppo di utenti di dominio).
  • Non sono previsti piani per implementare controller di dominio Windows Server2000 nella foresta in qualsiasi momento.

Windows Server 2003 offre due importanti miglioramenti, consentendo comunque la replica ai BDC di Windows NT 4.0:

  1. Replica efficiente dei gruppi di sicurezza e supporto per più di 5000 membri per gruppo.
  2. Algoritmi del generatore di topologie intersito KCC migliorati.

A causa dell'efficienza nella replica di gruppo attivata nel livello provvisorio, il livello provvisorio è il livello consigliato per tutti gli aggiornamenti di Windows NT 4.0. Per altri dettagli, vedere la sezione "Procedure consigliate" di questo articolo.

Impostazione del livello di funzionalità della foresta provvisoria di Windows Server 2003

Windows Server 2003 provvisorio può essere attivato in tre modi diversi. I primi due metodi sono altamente consigliati. Questo avviene perché i gruppi di sicurezza usano la replica di valori collegati (LVR) dopo che il controller di dominio primario (PDC) di Windows NT 4.0 è stato aggiornato a un controller di dominio di Windows Server 2003. La terza opzione è meno consigliata perché l'appartenenza ai gruppi di sicurezza usa un singolo attributo multivalore, che può causare problemi di replica. Le modalità di attivazione temporanea di Windows Server 2003 sono:

  1. Durante l'aggiornamento.

    L'opzione viene presentata nell'installazione guidata di Dcpromo quando si aggiorna il PDC di un dominio Windows NT 4.0 che funge da primo controller di dominio nel dominio radice di una nuova foresta.

  2. Prima di aggiornare il PDC di Windows NT 4.0 di windows NT 4.0 come primo controller di dominio di un nuovo dominio in una foresta esistente configurando manualmente il livello di funzionalità della foresta tramite gli strumenti LDAP (Lightweight Directory Access Protocol).

    I domini figlio ereditano le impostazioni delle funzionalità a livello di foresta dalla foresta in cui vengono promosse. Aggiornamento del PDC di un dominio di Windows NT 4.0 come dominio figlio in una foresta di Windows Server 2003 esistente in cui i livelli di funzionalità della foresta provvisoria erano stati configurati tramite il file Ldp.exe o il file Adsiedit.msc consente ai gruppi di sicurezza di usare la replica di valori collegati dopo l'aggiornamento della versione del sistema operativo.

  3. Dopo l'aggiornamento tramite gli strumenti LDAP.

    Usare le ultime due opzioni quando si aggiunge una foresta di Windows Server 2003 esistente durante un aggiornamento. Questo è uno scenario comune quando un dominio "radice vuota" è in posizione. Il dominio aggiornato viene aggiunto come figlio della radice vuota ed eredita l'impostazione di dominio dalla foresta.

Procedure consigliate

La sezione seguente illustra le procedure consigliate per aumentare i livelli funzionali. La sezione è suddivisa in due parti. "Attività di preparazione" illustra il lavoro che è necessario fare prima dell'aumento e "Miglioramento ottimale dei percorsi" illustra le motivazioni e i metodi per diversi scenari di aumento di livello.

Per individuare i controller di dominio di Windows NT 4.0, seguire questa procedura:

  1. Da qualsiasi controller di dominio basato su Windows Server 2003 aprire Utenti e computer di Active Directory.

  2. Se il controller di dominio non è già connesso al dominio appropriato, seguire questa procedura per connettersi al dominio appropriato:

    1. Fare clic con il pulsante destro del mouse sull'oggetto dominio corrente e quindi scegliere Connetti al dominio.
    2. Nella finestra di dialogo Dominio digitare il nome DNS del dominio a cui connettersi e quindi fare clic su OK. In alternativa, fare clic su Sfoglia per selezionare il dominio dall'albero di dominio e quindi fare clic su OK.

  3. Fare clic con il pulsante destro del mouse sull'oggetto dominio e quindi scegliere Trova.

  4. Nella finestra di dialogo Trova fare clic su Ricerca personalizzata.

  5. Fare clic sul dominio per il quale si desidera modificare il livello funzionale.

  6. Fare clic sulla scheda Avanzate.

  7. Nella casella Immettere una query LDAP digitare quanto segue e non lasciare spazi tra i caratteri seguenti: (&(objectCategory=computer)(operatingSystem Version=4*)(userAccountControl:1.2.840.113556.1.4.803:=8192))

    Note

    Questa query non fa distinzione tra maiuscole e minuscole.

  8. Fai clic su Trova.

    Viene visualizzato un elenco dei computer nel dominio che eseguono Windows NT 4.0 e funzionano come controller di dominio.

Un controller di dominio può essere visualizzato nell'elenco per uno dei motivi seguenti:

  • Il controller di dominio esegue Windows NT 4.0 e deve essere aggiornato.
  • Il controller di dominio viene aggiornato a Windows Server 2003, ma la modifica non viene replicata nel controller di dominio di destinazione.
  • Il controller di dominio non è più in servizio, ma l'oggetto computer del controller di dominio non viene rimosso dal dominio.

Prima di poter modificare il livello di funzionalità del dominio in Windows Server 2003, è necessario individuare fisicamente qualsiasi controller di dominio nell'elenco, determinare lo stato corrente del controller di dominio e quindi aggiornare o rimuovere il controller di dominio in base alle esigenze.

Note

A differenza dei controller di dominio di Windows Server 2000, i controller di dominio di Windows NT 4.0 non bloccano un aumento del livello. Quando si modifica il livello di funzionalità del dominio, la replica nei controller di dominio di Windows NT 4.0 verrà interrotta. Tuttavia, quando si tenta di aumentare il livello di foresta di Windows Server 2003 con domini in Windows Server 2000, il livello misto viene bloccato. La mancanza di BDC di Windows NT 4.0 è implicita nel soddisfare il requisito a livello di foresta di tutti i domini a livello nativo di Windows Server 2000 o versioni successive.

Esempio: Attività di preparazione prima dell'aumento del livello

In questo esempio l'ambiente viene generato dalla modalità mista Windows Server 2000 alla modalità foresta windows Server 2003.

Inventario della foresta per le versioni precedenti dei controller di dominio.

Se non è disponibile un elenco di server accurato, seguire questa procedura:

  1. Per individuare domini a livello misto, controller di dominio di Windows Server 2000 o controller di dominio con oggetti danneggiati o mancanti, usare i domini di Active Directory e lo snap-in MMC Trusts.
  2. Nello snap-in fare clic su Genera funzionalità foresta e quindi su Salva con nome per generare un report dettagliato.
  3. Se non sono stati rilevati problemi, l'opzione per aumentare il livello di foresta di Windows Server 2003 è disponibile nell'elenco a discesa "Livelli di funzionalità foresta disponibili". Quando si tenta di aumentare il livello di foresta, gli oggetti controller di dominio nei contenitori di configurazione vengono cercati per tutti i controller di dominio che non hanno msds-behavior-version impostato sul livello di destinazione desiderato. Si presuppone che siano controller di dominio di Windows Server 2000 o oggetti controller di dominio windows Server più recenti danneggiati.
  4. Se sono stati trovati controller di dominio o controller di dominio con oggetti computer danneggiati o mancanti, vengono inclusi nel report. Lo stato di questi controller di dominio deve essere analizzato e la rappresentazione del controller di dominio in Active Directory deve essere ripristinata o rimossa usando il file Ntdsutil.

Per ulteriori informazioni, fare clic sul numero dell'articolo seguente per visualizzare l'articolo nella Microsoft Knowledge Base:
216498 Come rimuovere i dati in Active Directory dopo un abbassamento di livello non riuscito del controller di dominio

Verificare che la replica end-to-end funzioni nella foresta

Per verificare che la replica end-to-end funzioni nella foresta, usare la versione di Windows Server 2003 o versione successiva di Repadmin per Windows Server 2000 o i controller di dominio di Windows Server 2003:

  • Repadmin/Replsum * /Sort:Delta[/Errorsonly] per l'inventario iniziale.

  • Repadmin/Showrepl * /CSV>showrepl.csv. Importare in Excel e quindi usare il filtro dati automatico> per identificare le funzionalità di replica.

    Usare strumenti di replica come Repadmin per verificare che la replica a livello di foresta funzioni correttamente.

Verificare la compatibilità di tutti i programmi o servizi con i controller di dominio di Windows Server più recenti e con la modalità di dominio e foresta di Windows Server superiore. Usare un ambiente lab per testare accuratamente programmi e servizi di produzione per problemi di compatibilità. Contattare i fornitori per la conferma della funzionalità.

Preparare un piano di back-out che include una delle azioni seguenti:

  • Disconnettere almeno due controller di dominio da ogni dominio nella foresta.
  • Creare un backup dello stato del sistema di almeno due controller di dominio da ogni dominio nella foresta.

Prima di poter usare il piano di back-out, è necessario rimuovere tutte le autorizzazioni di tutti i controller di dominio nella foresta prima del processo di ripristino.

Note

Gli aumenti di livello non possono essere ripristinati in modo autorevole. Ciò significa che tutti i controller di dominio che hanno replicato l'aumento del livello devono essere rimossi.

Dopo che tutti i controller di dominio precedenti sono stati rimossi, visualizzare i controller di dominio disconnessi o ripristinare i controller di dominio dal backup. Rimuovere i metadati da tutti gli altri controller di dominio e quindi riprovarli. Si tratta di un processo difficile da evitare.

Esempio: Come ottenere dal livello misto di Windows Server 2000 al livello di foresta di Windows Server 2003

Aumentare tutti i domini al livello nativo di Windows Server 2000. Al termine, aumentare il livello funzionale per il dominio radice della foresta a livello di foresta windows Server 2003. Quando il livello di foresta viene replicato nei controller di dominio per ogni dominio nella foresta, il livello di dominio viene aumentato automaticamente al livello di dominio di Windows Server 2003. Questo metodo presenta i vantaggi seguenti:

  • L'aumento del livello a livello di foresta viene eseguito una sola volta. Non è necessario aumentare manualmente ogni dominio nella foresta al livello di funzionalità del dominio di Windows Server 2003.
  • Prima dell'aumento del livello viene eseguito un controllo per i controller di dominio di Windows Server 2000 (vedere i passaggi di preparazione). L'aumento viene bloccato fino a quando i controller di dominio non vengono rimossi o aggiornati. È possibile generare un report dettagliato elencando i controller di dominio bloccabili e fornendo dati interattivi.
  • Viene eseguito un controllo dei domini in Windows Server 2000 misto o windows Server 2003. L'aumento viene bloccato fino a quando i livelli di dominio non vengono aumentati almeno a Windows Server 2000 nativo. I domini a livello provvisorio devono essere aumentati a livello di dominio di Windows Server 2003. È possibile generare un report dettagliato elencando i domini di blocco.

Aggiornamenti di Windows NT 4.0

Gli aggiornamenti di Windows NT 4.0 usano sempre il livello provvisorio durante l'aggiornamento del PDC, a meno che i controller di dominio di Windows Server 2000 siano stati introdotti nella foresta in cui il PDC viene aggiornato. Quando si usa la modalità provvisoria durante l'aggiornamento del PDC, i gruppi di grandi dimensioni esistenti usano immediatamente la replica LVR, evitando i potenziali problemi di replica descritti in precedenza in questo articolo. Usare uno dei metodi seguenti per ottenere un livello provvisorio durante l'aggiornamento:

  • Selezionare il livello provvisorio durante Dcpromo. Questa opzione viene presentata solo quando il PDC viene aggiornato in una nuova foresta.
  • Impostare il livello di foresta di una foresta esistente su provvisorio e quindi unire la foresta durante l'aggiornamento del PDC. Il dominio aggiornato eredita l'impostazione della foresta.
  • Dopo l'aggiornamento o la rimozione di tutti i BDC di Windows NT 4.0, ogni dominio deve essere passato a livello di foresta e può essere passato alla modalità foresta di Windows Server 2003.

Un motivo per evitare di usare la modalità provvisoria è se si prevede di implementare controller di dominio di Windows Server 2000 dopo l'aggiornamento o in qualsiasi momento in futuro.

Considerazione speciale per i gruppi di grandi dimensioni in Windows NT 4.0

Nei domini Windows NT 4.0 maturi, possono esistere gruppi di sicurezza che contengono molto più di 5000 membri. In Windows NT 4.0, quando un membro di un gruppo di sicurezza cambia, viene replicata solo la singola modifica di appartenenza nei controller di dominio di backup. In Windows Server 2000, le appartenenze ai gruppi sono attributi collegati archiviati in un singolo attributo multivalore dell'oggetto gruppo. Quando viene apportata una singola modifica all'appartenenza di un gruppo, l'intero gruppo viene replicato come singola unità. Poiché l'appartenenza al gruppo viene replicata come singola unità, è possibile che gli aggiornamenti all'appartenenza ai gruppi vengano "persi" quando vengono aggiunti o rimossi membri diversi contemporaneamente in controller di dominio diversi. Inoltre, le dimensioni di questo singolo oggetto possono essere maggiori del buffer usato per eseguire il commit di una voce nel database. Per altre informazioni, vedere la sezione "Problemi di Archivio versioni con gruppi di grandi dimensioni" di questo articolo. Per questi motivi, il limite consigliato per i membri del gruppo è 5000.

L'eccezione alla regola membro 5000 è il gruppo primario (per impostazione predefinita si tratta del gruppo "Utenti di dominio"). Il gruppo primario usa un meccanismo "calcolato" basato sul "primarygroupID" dell'utente per determinare l'appartenenza. Il gruppo primario non archivia i membri come attributi collegati multivalore. Se il gruppo primario dell'utente viene modificato in un gruppo personalizzato, l'appartenenza al gruppo Domain Users viene scritta nell'attributo collegato per il gruppo e non viene più calcolata. Il nuovo gruppo primario Rid viene scritto in "primarygroupID" e l'utente viene rimosso dall'attributo membro del gruppo.

Se l'amministratore non seleziona il livello provvisorio per il dominio di aggiornamento, è necessario seguire questa procedura prima dell'aggiornamento:

  1. Inventariare tutti i gruppi di grandi dimensioni e identificare tutti i gruppi su 5000, ad eccezione del gruppo di utenti di dominio.
  2. Tutti i gruppi con più di 5000 membri devono essere suddivisi in gruppi più piccoli di meno di 5000 membri.
  3. Individuare tutti gli elenchi di Controllo di accesso in cui sono stati immessi i gruppi di grandi dimensioni e aggiungere i piccoli gruppi creati nel passaggio 2.Windows Server 2003 livello di foresta provvisoria consente agli amministratori di individuare e riallocare i gruppi di sicurezza globali con più di 5000 membri.

Problemi relativi all'archivio versioni con gruppi di grandi dimensioni

Durante operazioni a esecuzione prolungata, ad esempio ricerche approfondite o commit in un singolo attributo di grandi dimensioni, Active Directory deve assicurarsi che lo stato del database sia statico fino al termine dell'operazione. Un esempio di ricerche approfondite o commit in attributi di grandi dimensioni è un gruppo di grandi dimensioni che usa l'archiviazione legacy.

Poiché gli aggiornamenti al database vengono continuamente eseguiti localmente e dai partner di replica, Active Directory fornisce uno stato statico accodando tutte le modifiche in ingresso fino al termine dell'operazione a esecuzione prolungata. Al termine dell'operazione, le modifiche in coda vengono applicate al database.

Il percorso di archiviazione per queste modifiche in coda viene definito "archivio versioni" ed è di circa 100 megabyte. Le dimensioni dell'archivio delle versioni variano e si basano sulla memoria fisica. Se un'operazione a esecuzione prolungata non viene completata prima dell'esaurimento dell'archivio delle versioni, il controller di dominio smetterà di accettare gli aggiornamenti fino a quando non verrà eseguito il commit delle modifiche in coda e non verrà eseguito il commit delle modifiche in coda. I gruppi che raggiungono numeri elevati (più di 5000 membri) comportano il rischio che il controller di dominio esaurisca l'archivio delle versioni purché venga eseguito il commit del gruppo di grandi dimensioni.

Windows Server 2003 introduce un nuovo meccanismo di replica per gli attributi multivalore collegati denominati replica di valori di collegamento (LVR). Anziché replicare l'intero gruppo in una singola operazione di replica, LVR risolve questo problema replicando ogni membro del gruppo come operazione di replica separata. LVR diventa disponibile quando il livello di funzionalità della foresta viene elevato al livello di foresta provvisorio di Windows Server 2003 o al livello di foresta di Windows Server 2003. In questo livello funzionale, LVR viene usato per replicare i gruppi tra i controller di dominio di Windows Server 2003.