Пятница, 26.04.2024, 23:43
Приветствую Вас Гость | RSS
Мой сайт
Главная
Регистрация
Вход
Форма входа

Меню сайта

Категории раздела
Об ОС Windows [137]
В категории размещаются статьи, касающщиеся операционных систем от Microsoft.
Об ОС *Nix [198]
В данной категории собраны статьи об ОС семейства Unix/Linux/FreeBSD/...
Справочные материалы [351]
Справка по всему разделу.
Виртуализация и Облака [46]
Networks & Routing [86]
DataBases [22]

Наш опрос
Оцените мой сайт
Результаты | Архив опросов
Всего ответов: 209

Статистика
Онлайн всего: 1
Гостей: 1
Пользователей: 0
Главная » Статьи » Системное администрирование » Об ОС Windows
Повышение режима работы домена и леса Active Directory

Повышение режима работы домена и леса Active Directory

Список продуктов, к которым относится данная статья.
Совет по использованию системыЭта статья относится к операционной системе, отличной от установленной на вашем компьютере. Содержимое, не относящееся к используемой системе, отключено.

На этой странице

Аннотация
В этой статье описывается повышение режимов работы домена и леса, поддерживаемых...

В этой статье описывается повышение режимов работы домена и леса, поддерживаемых контроллерами домена под управлением Microsoft Windows Server 2003 или более поздних версий. Доступно четыре выпуска Active Directory, но особого рассмотрения требуют только режимы, измененные по сравнению с Windows NT Server 4.0. Поэтому при описании других изменений режимов указываются новые, текущие или прежние версии операционной системы контроллера домена, домена или режима работы леса.

Режимы работы являются расширением концепций смешанного и основного режимов, которые были впервые реализованы в Microsoft Windows 2000 Server для активации новых возможностей Active Directory. Некоторые дополнительные возможности Active Directory доступны только в том случае, если все контроллеры домена в домене или лесу работают под управлением последней версии Windows Server, а также если администратор активировал соответствующие режимы работы в домене или в лесу.

Чтобы активировать новые возможности домена, все контроллеры домена в домене должны работать под управлением последней версии операционной системы Windows Server. При соблюдении этого условия администратор может повысить режим работы домена.
Чтобы активировать новые возможности леса, все контроллеры домена в лесу должны работать под управлением версии операционной системы Windows Server, соответствующей нужному режиму работы леса. Кроме того, необходимо повысить текущий режим работы домена. При соблюдении этих условий администратор может повысить режим работы леса.

Обычно изменения режима работы домена и леса необратимы. Чтобы отменить изменение, необходимо выполнить восстановление леса. В Windows Server 2008 R2 изменения режима работы домена и леса можно откатить. Однако это возможно только в определенных случаях, описанных в статье TechNet о режимах работы Active Directory (http://technet.microsoft.com/ru-ru/library/cc787290(WS.10).aspx) .

Примечание. Применение новейших режимов работы домена и леса влияет только на взаимодействие контроллеров домена. Взаимодействие клиентов с доменом или с лесом остается без изменений. Кроме того, изменение режимов работы леса и домена не оказывает влияния на приложения. Однако приложения могут использовать новейшие возможности домена и леса.

Дополнительные сведения см. в статье TechNet о возможностях, соответствующих различным режимам работы (http://technet.microsoft.com/ru-ru/library/cc771294.aspx) .

Перейти к началу страницы

Повышение режима работы

Внимание! Не повышайте режим работы, если используется или предполагается использовать контроллер домена, работающий под управлением более ранней версии, чем указано для этого режима. Например, для режима работы Windows Server 2008 все контроллеры домена в домене или лесу должны работать под управлением Windows Server 2008 или более поздней версии. Повышение режима работы леса можно отменить только с помощью восстановления леса. Это ограничение вызвано тем, что новые возможности часто изменяют способ связи между контроллерами домена или хранения данных Active Directory в базе данных.

Настроить режим работы домена и леса можно с помощью средства администрирования с графическим интерфейсом пользователя, описанного в статье TechNet о режимах работы Active Directory в Windows Server 2003 (http://technet.microsoft.com/ru-ru/library/cc759280(WS.10).aspx) . Эта статья предназначена для Windows Server 2003, однако описанные в ней действия применимы для более поздних версий операционной системы. Кроме того, режим работы можно настроить вручную или с помощью сценариев Windows PowerShell. Дополнительные сведения о настройке режима работы вручную см. в разделе "Просмотр и настройка режима работы".

Дополнительные сведения об использовании сценария Windows PowerShell для настройки режима работы см. в статье TechNet, в которой описывается этот способ (http://technet.microsoft.com/ru-ru/library/cc730985.aspx) .
Перейти к началу страницы

Просмотр и настройка режима работы

Для просмотра и изменения текущих параметров режима работы домена или леса используются средства LDAP, такие как Ldp.exe и Adsiedit.msc. Изменять атрибуты режима работы вручную рекомендуется на контроллере домена, который обладает ролью FSMO и настраивается с помощью средств администрирования Майкрософт.

Параметры режима работы домена

Атрибут msDS-Behavior-Version содержится в заголовке корневого контекста именования указанных ниже доменов.
  • DC=Mydomain
  • DC=ForestRootDom
  • DC=tld object
Для этого атрибута можно установить указанные ниже значения.
  • Значение равно 0 или не установлено: домен, работающий в смешанном режиме.
  • Значение равно 1: домен, работающий в режиме Windows Server 2003.
  • Значение равно 2: домен, работающий в режиме Windows Server 2003.
  • Значение равно 3: домен, работающий в режиме Windows Server 2008.
  • Значение равно 4: домен, работающий в режиме Windows Server 2008 R2.

Параметры смешанного и основного режимов

Атрибут ntMixedDomainсодержится в заголовке корневого контекста именования указанных ниже доменов.
  • DC=Mydomain
  • DC=ForestRootDom
  • DC=tld object
Для этого атрибута можно установить указанные ниже значения.
  • Значение равно 0: домен, работающий в основном режиме.
  • Значение равно 1: домен, работающий в смешанном режиме.

Параметры режима работы леса

Атрибут msDS-Behavior-Versionсодержится в заголовке корневого контекста именования указанных ниже доменов.
  • CN=Partitions
  • CN=Configuration
  • DC=ForestRootDom
  • DC=tld object
Для этого атрибута можно установить указанные ниже значения.
  • Значение равно 0 или не установлено: лес, работающий в смешанном режиме.
  • Значение равно 1: лес, работающий во временном режиме Windows Server 2003.
  • Значение равно 2: лес, работающий в режиме Windows Server 2003.

    Примечание. При увеличении значения атрибута msDS-Behavior-Version с 0 до 1 с помощью средства Adsiedit.msc появляется следующее сообщение об ошибке:
    Недопустимая операция изменения. Некоторые параметры изменения не разрешены.
  • Значение равно 3: домен, работающий в режиме Windows Server 2008.
  • Значение равно 4: домен, работающий в режиме Windows Server 2008 R2.
После изменения режима работы с помощью средств LDAP нажмите кнопку ОК для продолжения. Атрибуты в контейнере разделов и в заголовке домена будут правильно изменены. Сообщение об ошибке от средства Ldp.exe можно пропустить. Чтобы проверить, изменился ли режим, обновите список атрибутов и найдите текущее значение. Кроме того, сообщение об ошибке появляется, если изменение режима на доверенном контроллере домена с ролью FSMO не было реплицировано на локальный контроллер домена.

Быстрый просмотр текущих параметров с помощью средства Ldp.exe

  1. Запустите средство Ldp.exe.
  2. В меню Подключение выберите команду Подключить.
  3. Укажите нужный контроллер домена или оставьте поле пустым, чтобы подключиться к любому контроллеру домена.
После подключения появляются сведения о RootDSE для контроллера домена. К ним относятся сведения о лесе, домене и контроллерах домена. Ниже приведен пример для контроллера домена под управлением Windows Server 2003. Предполагается, что режимом домена является Windows Server 2003, а режимом леса — Windows 2000 Server.

Примечание. Функциональность контроллера домена — самый высокий режим работы для этого контроллера домена.
  • 1> domainFunctionality: 2=(DS_BEHAVIOR_WIN2003)
  • 1> forestFunctionality: 0=(DS_BEHAVIOR_WIN2000)
  • 1> domainControllerFunctionality: 2=(DS_BEHAVIOR_WIN2003)
Перейти к началу страницы

Требования для изменения режима работы вручную

  • Если соблюдено одно из указанных ниже условий, перед повышением уровня домена необходимо перевести его в основной режим.
    • Установлен режим работы домена 2 путем непосредственного изменения значения атрибута msdsBehaviorVersion объекта domainDNS программным способом.
    • Установлен режим работы домена 2 с помощью служебной программы Ldp.exe или Adsiedit.msc.
    Если домен не перевести в основной режим перед повышением режима работы, операция не будет успешно завершена и на экране появятся следующие сообщения об ошибках:
    SV_PROBLEM_WILL_NOT_PERFORM
    ERROR_DS_ILLEGAL_MOD_OPERATION
    Кроме того, в журнале службы каталогов зарегистрируется следующее сообщение об ошибке:
    Active Directory не удается изменить режим работы следующего домена, поскольку он работает в смешанном режиме.

    В этом случае перевести домен в основной режим можно с помощью оснасток MMC "Active Directory — пользователи и компьютеры" и "Active Directory — домены и доверие", а также путем программного изменения значения атрибута ntMixedDomain объекта domainDNS на 0. При использовании этого варианта изменения режима работы домена на 2 (Windows Server 2003) основной режим устанавливается автоматически.
  • При переходе из смешанного режима в основной группы безопасности "Администраторы схемы" и "Администраторы предприятия" заменяются универсальными группами. После этого в системном журнале регистрируется следующее событие:

    Тип события: Информация
    Источник события: SAM
    Код события: 16408
    Компьютер: имя_сервера
    Описание: «Режим работы домена был изменен на основной режим. Это изменение не может быть отменено».

  • Если для запуска режима работы домена используются средства администрирования Windows Server 2003, атрибуты ntmixedmode и msdsBehaviorVersion изменяются надлежащим образом. Однако это происходит не всегда. В указанных ниже случаях для основного режима устанавливается значение 0 без замены групп безопасности "Администраторы схемы" и "Администраторы предприятия" на универсальные группы.
    • Для атрибута msdsBehaviorVersion, отвечающего за режим работы домена, вручную или программным способом установлено значение 2.
    • Для режима работы леса любым способом установлено значение 2.
    В этом случае контроллеры домена блокируют переход на режим работы леса до тех пор, пока для всех доменов, которые находятся в локальной сети, не будет настроен основной режим и для областей групп безопасности не будут произведены требуемые изменения атрибутов.
Перейти к началу страницы

Режимы работы, подходящие Windows 2000 Server

Windows 2000 Server поддерживает только смешанный и основной режимы. Кроме того, эти режимы применяются только к функциональности домена. В следующих разделах приведен список режимов домена в Windows Server 2003, влияющих на обновление доменов Windows NT 4.0 и Windows 2000 Server.

При повышении уровня операционной системы контроллера домена необходимо учитывать несколько факторов, вызванных ограничениями хранилища и репликации связанных атрибутов в режимах Windows 2000 Server.

Смешанный режим Windows 2000 Server (по умолчанию)

  • Поддерживаемые контроллеры домена: Microsoft Windows NT 4.0, Windows 2000 Server, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2
  • Включенные функции: поддержка глобального каталога, локальных и глобальных групп.

Основной режим Windows 2000 Server

  • Поддерживаемые контроллеры домена: Windows 2000 Server, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2
  • Включенные возможности: вложение групп, универсальные группы, журнал идентификаторов безопасности, преобразование между группами безопасности и группами рассылки, повышение режима домена с помощью изменения параметров режима леса.

Промежуточный режим Windows Server 2003

  • Поддерживаемые контроллеры домена: Windows NT 4.0, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2
  • Поддерживаемые функции: включение функций для всего домена не предусмотрено. После перевода леса во временный режим все домены леса переходят в этот режим автоматически. Режим используется только в случае обновления контроллеров домена Windows NT 4.0 до Windows Server 2003.

Windows Server 2003

  • Поддерживаемые контроллеры домена: Windows Server 2003, Windows Server 2008, Windows Server 2008 R2
  • Поддерживаемые функции: переименование контролера домена, обновление и репликация атрибута времени входа в систему. Поддержка пользовательских паролей для класса объектов InetOrgPerson. Принудительное делегирование, возможность перенаправления контейнеров пользователей и компьютеров.
Домены, которые обновляются от Windows NT 4.0 или создаются путем повышения роли компьютеров под управлением Windows Server 2003, работают в смешанном режиме Windows 2000. Домены Windows 2000 Server сохраняют текущий режим работы после обновления контроллеров домена с Windows 2000 Server до Windows Server 2003. Можно повысить режим работы домена до Windows 2000 Server (основной) или Windows Server 2003.
Перейти к началу страницы

Промежуточный режим (обновление домена Windows NT 4.0)

В Active Directory Windows Server 2003 предусмотрен специальный режим работы домена и леса, который называется промежуточным режимом Windows Server 2003. Этот режим предназначен для обновления существующих доменов Windows NT 4.0 с сохранением возможности работы одного или нескольких резервных контроллеров домена Windows NT 4.0 после обновления. Контроллеры домена под управлением Windows 2000 Server не поддерживаются. Временный режим Windows Server 2003 используется в случае соблюдения следующих условий.
  • Домен обновляется с Windows NT 4.0 до Windows Server 2003.
  • Резервные контроллеры домена Windows NT 4.0 обновляются не сразу.
  • Домен Windows NT 4.0 содержит группы с количеством участников более 5 000 (не включая группу "Пользователи домена").
  • В лесу не предполагается использовать контроллеры домена Windows Server 2000.
Все еще поддерживая репликацию на резервные контроллеры домена Windows NT 4.0, временный режим Windows Server 2003 обладает двумя существенными преимуществами.
  1. Эффективная репликация групп безопасности и поддержка групп с числом участников более 5 000.
  2. Усовершенствованный алгоритм создания межузловой топологии путем проверки согласованности знаний (КСС).
Из-за эффективной репликации групп безопасности промежуточный режим рекомендуется использовать при выполнении любого обновления доменов Windows NT 4.0. Дополнительные сведения см. в разделе "Рекомендации" этой статьи.

Установка промежуточного режима Windows Server 2003 работы леса

Промежуточный режим Windows Server 2003 можно активировать тремя способами. Настоятельно рекомендуется использовать первые два способа. Их преимущество заключается в том, что после обновления основного контроллера домена с Windows NT 4.0 до Windows Server 2003 группы безопасности используют репликацию связанного значения. Третий способ является менее надежным, т. к. участники группы безопасности используют один многозначный атрибут, что может вызвать проблемы при репликации. Ниже перечислены методы активации временного режима Windows Server 2003.
  1. В процессе обновления.

    Эта возможность доступна в мастере установки Dcpromo при обновлении основного контроллера домена под управлением Windows NT 4.0, который является первым контроллером корневого домена в новом лесу.
  2. Настройка режима работы леса в ручном режиме с помощью средств Облегченного протокола доступа к каталогам (LDAP) перед обновлением основного контроллера домена Windows NT 4.0 в качестве первого контроллера нового домена в существующем лесу.

    Дочерние домены наследуют функции уровня леса от леса, в который они включаются. Обновление основного контроллера домена под управлением Windows NT 4.0, являющегося дочерним доменом в существующем лесу Windows Server 2003, для которого был настроен промежуточный режим работы с помощью средств Ldp.exe или Adsiedit.msc, позволяет группам безопасности использовать репликацию связанного значения после обновления операционной системы.
  3. С помощью средств LDAP после обновления.

    Два последних способа применяются в случае присоединения к существующему лесу Windows Server 2003 во время обновления. Для этого необходим «пустой» корневой домен, к которому, наследуя параметры леса, в качестве дочернего подключается обновленный домен.

Рекомендации

Этот раздел состоит из двух частей, в которых представлены рекомендации по изменению режимов работы. В первой части ("Подготовка") приводятся действия, которые требуется выполнить перед изменением режима работы, а во второй части ("Оптимальные способы") рассматриваются несколько сценариев изменения режима.

Чтобы найти контроллеры домена под управлением Windows NT 4.0, выполните следующие действия:
  1. На любом компьютере под управлением Windows Server 2003 откройте оснастку Active Directory — пользователи и компьютеры.
  2. Если контроллер домена не подключен к соответствующему домену, выполните следующие действия:
    1. Правой кнопкой мыши щелкните объект текущего домена и выберите команду Подключение к домену.
    2. В диалоговом окне Домен введите DNS-имя домена, к которому требуется подключиться, и нажмите кнопку ОК. Либо нажмите кнопку Обзор, выберите домен из дерева и нажмите кнопку ОК.
  3. Щелкните правой кнопкой мыши объект домена и выберите команду Найти.
  4. В диалоговом окне Найти выберите пункт Особый поиск.
  5. Выберите домен, для которого необходимо изменить режим работы.
  6. Откройте вкладку Дополнительно.
  7. В поле Введите запрос LDAP задайте следующий запрос (между отдельными символами пробелов нет): 
    (&(objectCategory=computer)(operatingSystem Version=4*)(userAccountControl:1.2.840.113556.1.4.803:=8192))
    Примечание. Учитывать регистр не обязательно.
  8. Нажмите кнопку Найти.

    Будет отображен список контроллеров домена под управлением Windows NT 4.0.
Контроллер домена включается в этот список по одной из следующих причин:
  • контроллер домена находится под управлением Windows NT 4.0 и нуждается в обновлении;
  • контроллер домена обновлен до Windows Server 2003, однако изменения не реплицированы на целевой контроллер домена;
  • контроллер домена больше не обслуживается, но соответствующий объект компьютера не удален из домена.
Перед изменением режима работы на Windows Server 2003 необходимо физически обратиться к каждому контроллеру домена из списка, определить его состояние, а затем обновить или удалить из домена.

Примечание. В отличие от контроллеров домена под управлением Windows Server 2000, контроллеры домена под управлением Windows NT 4.0 не блокируют изменение режима работы. При изменении режима работы домена репликация на контроллеры домена под управлением Windows NT 4.0 прекращается. Однако при изменении режима леса на Windows Server 2003 с доменами Windows 2000 смешанный режим блокируется. Предполагается, что резервные контроллеры домена под управлением Windows NT 4.0 отсутствуют, если соблюдено требование для режима леса, согласно которому все домены должны работать в основном режиме Windows Server 2000 или более поздней версии.

Пример. Подготовка к изменению уровня

В этом примере в среде смешанный режим Windows Server 2000 изменяется на режим леса Windows Server 2003.

Найдите в лесу контроллеры домена, работающие под управлением более ранней версии операционной системы.
Если соответствующий список серверов отсутствует, выполните следующие действия:
  1. Чтобы найти домены, работающие в смешанном режиме, контроллеры домена под управлением Windows Server 2000 либо контроллеры домена с поврежденными или отсутствующими объектами, воспользуйтесь оснасткой "Active Directory — домены и доверие".
  2. Выберите команду Изменить режим работы леса и нажмите кнопку Сохранить как для создания подробного отчета.
  3. Если проблемы не обнаружены, в раскрывающемся списке Доступные режимы работы леса можно выбрать параметр для изменения режима работы леса до Windows Server 2003. При попытке повысить режим работы леса объекты контроллеров домена в контейнерах конфигурации просматриваются в поисках контроллеров домена, у которых для атрибута msds-behavior-version не установлен нужный режим. Предполагается, что они являются объектами контроллеров домена под управлением Windows Server 2000 или поврежденными объектами контроллеров домена под управлением более поздней версии Windows Server.
  4. Найденные контроллеры домена под управлением операционных систем более ранних версий, а также контроллеры домена с поврежденными или отсутствующими объектами компьютера включаются в отчет. Необходимо изучить состояние таких контроллеров домена, а затем с помощью средства Ntdsutil восстановить или удалить их из Active Directory.
Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
216498  (http://support.microsoft.com/kb/216498/ ) Удаление данных из Active Directory после неудачного понижения роли контроллера домена
Убедитесь, что в лесу выполняется репликация от точки до точки
. Для этого запустите средство Repadmin из состава Windows Server 2003 или более поздней версии на контроллерах домена под управлением Windows Server 2000 или Windows Server 2003.
  • Repadmin/Replsum * /Sort:Delta[/Errorsonly] (исходная инвентаризация).
  • Repadmin/Showrepl * /CSV>showrepl.csv. Импортируйте этот файл в Excel и запустите команду «Автофильтр» из меню «Данные» для идентификации свойств репликации.

    Используйте средство репликации, например Repadmin, для проверки репликации всего леса.
Проверьте совместимость всех программ и служб с контроллерами домена под управлением Windows Server и режимом работы леса и домена Windows Server 2003. В лабораторной среде тщательно проверьте рабочие программы и службы на наличие проблем с совместимостью. Обратитесь за дополнительной информацией к соответствующим разработчикам.

Подготовьте резервный план с обязательным включением одного из указанных ниже действий.
  • Отключите, как минимум, два контроллера домена в каждом домене леса.
  • Создайте резервную копию состояния системы, как минимум, двух контроллеров домена в каждом домене леса.
Для реализации резервного плана перед восстановлением спишите все контроллеры домена в лесу.

Примечание. Изменение режима работы невозможно принудительно восстановить. Это означает, что все контроллеры домена, для которых выполнена репликация изменения режима, необходимо списать.

После этого используйте отключенные контроллеры домена или восстановите резервные копии контроллеров домена. Удалите метаданные на остальных контроллерах домена и снова повысьте их роль. Это сложный процесс, которого по возможности следует избегать.

Перейти к началу страницы

Пример. Переход со смешанного режима Windows Server 2000 на режим леса Windows Server 2003

Повысьте режим всех доменов до основного режима Windows Server 2000. После этого измените режим работы корневого домена леса на Windows Server 2003. По мере репликации режима работы леса на основные контроллеры домена режим работы доменов автоматически меняется на Windows Server 2003. Этот метод имеет следующие преимущества.
  • Режим работы леса меняется только один раз. Нет необходимости переводить каждый домен леса в режим работы Windows Server 2003 в ручном режиме.
  • Перед изменением режима работы производится проверка контроллеров домена под управлением Windows Server 2000 (см. действия по подготовке). Изменение режима блокируется до тех пор, пока проблемные контроллеры домена не обновлены или не удалены. Создается подробный отчет, в котором содержится список блокированных контроллеров домена и сведения о необходимых действиях.
  • Производится проверка доменов, которые работают в смешанном режиме Windows Server 2000 или в промежуточном режиме Windows Server 2003. Изменение режима блокируется до перевода этих доменов по меньшей мере в основной режим Windows Server 2000. Домены, работающие во временном режиме, необходимо перевести в режим Windows Server 2003. Создается подробный отчет, который содержит список несовместимых доменов.
Перейти к началу страницы

Обновления Windows NT 4.0

При обновлении основных контроллеров домена под управлением Windows NT 4.0 всегда используется промежуточный режим (кроме случаев, когда в лес добавляются контроллеры домена под управлением Windows Server 2000). Если основные контроллеры домена обновляются в промежуточном режиме, существующие группы больших размеров сразу же используют репликацию связанного значения, что позволяет избежать возникновения описанных ранее проблем. Существуют следующие способы перехода во временный режим работы.
  • Выберите временный режим с помощью программы Dcpromo. Такая возможность существует только при включении основного контроллера домена в новый лес.
  • Измените режим существующего леса на временный и подключите лес в процессе обновления основного контроллера домена. Обновленный домена наследует параметры конфигурации леса.
  • После обновления или удаления всех резервных контроллеров домена под управлением Windows NT 4.0 каждый домен необходимо перевести в режим работы леса (возможно Windows Server 2003).
Применять промежуточный режим не следует, если планируется включение в лес контроллеров домена под управлением Windows Server 2000.

Замечания относительно больших групп в Windows NT 4.0

В существующих продолжительное время доменах Windows NT 4.0 могут быть группы безопасности, которые содержат более 5 000 участников. В Windows NT 4.0 изменение одного члена группы безопасности приводит к репликации на резервные контроллеры домена только этого изменения. В Windows Server 2000 участие в группах определяется с помощью связанных атрибутов, которые хранятся в одном многозначном атрибуте объекта группы. Одно изменение в составе группы приводит к репликации всей группы одним блоком. По этой причине существует опасность «потери» обновлений состава групп, когда разные члены одновременно добавляются или удаляются на разных контроллерах домена. Кроме того, размер такого объекта может превышать размер буфера, который используется для внесения записи в базу данных. Дополнительные сведения см. в разделе «Хранилище версии и группы с большим количеством членов» этой статьи. По этой причине не рекомендуется использовать группы с количеством членов больше 5000.

Исключением из этого правила является основная группа (по умолчанию группа "Пользователи домена"). В группе "Пользователи домена" для определения участия используется механизм вычисления на основе атрибута primarygroupID, а участники не хранятся в многозначных связанных атрибутах. Если основная группа пользователя меняется, участие в группе "Пользователи домена" записывается в связанный атрибут группы и больше не вычисляется. Новый относительный идентификатор записывается в атрибут primarygroupID, а пользователи удаляются из атрибута участия группы.

Если обновление домена производится не в промежуточном режиме, выполните указанные ниже действия.
  1. Найдите группы с количеством членом больше 5000 (кроме группы «Пользователи домена»).
  2. Разделите такие группы так, чтобы количество участников не превышало 5 000.
  3. Найдите все списки управления доступом, в которых содержатся большие группы, и добавьте в них небольшие группы, созданные в действии 2.
Во временном режиме работы леса Windows Server 2003 администратору не нужно искать и перераспределять глобальные группы безопасности с количеством членов больше 5000.

Проблемы с хранилищем версий при наличии групп с большим количеством участников

Во время выполнения продолжительных операций, таких как расширенный поиск или фиксация в единый большой атрибут, состояние базы данных Active Directory должно быть статичным. Например, такие операции могут выполняться для большой группы, использующей устаревшее хранилище.

Поскольку обновления базы данных постоянно осуществляются локально и через партнеров репликации, статичное состояние Active Directory обеспечивается путем организации очереди из всех входящих изменений до завершения продолжительной операции. После окончания этой операции все изменения из очереди применяются к базе данных.

Место для хранения этих изменений называется хранилищем версий и равно приблизительно 100 МБ. Размер хранилища версий зависит от физической памяти. Если хранилище версий заполняется до завершения продолжительных операций, контроллер домена перестает принимать обновления до выполнения этих операций и применения изменений. Группы с большим количеством участников (более 5 000) могут привести к заполнению хранилища версий во время выполнения продолжительных операций.

В Windows Server 2003 доступен новый механизм репликации для связанных многозначных атрибутов — репликация связанного значения. Вместо репликации всей группы в единой операции, выполняется репликация отдельных участников группы в отдельных операциях. Репликация связанного значения становится доступна при повышении режима работы леса до промежуточного режима Windows Server 2003 или режима леса Windows Server 2003. В этих режимах работы данный механизм используется для репликации групп между контролерами домена под управлением Windows Server 2003.

Источник: http://support.microsoft.com/kb/322692/ru
Категория: Об ОС Windows | Добавил: admin (31.10.2011)
Просмотров: 9335 | Комментарии: 4 | Теги: ad, 2008 R2, 2003 | Рейтинг: 0.0/0
Всего комментариев: 1
1 Сергей Волгин  
Добрый день!

Предложение: Вакансии курьера и курьера доставки еды в вашем городе. Чтобы начать процесс отбора, пожалуйста, заполните следующую форму обратной связи:

1. Имя и фамилия:

2. Контактный номер телефона:

3. Адрес электронной почты:

4. Город проживания:

5. Возраст:

6. Образование:

7. Опыт работы (если есть):

8. Уровень владения английским языком (если есть):

9. Наличие водительского удостоверения и автомобиля (если есть):

10. Готовность к работе в выходные и праздничные дни:

11. Готовность к работе в вечернее время:

12. Готовность к работе в любую погоду:

13. Готовность к физическим нагрузкам:

14. Дополнительная информация (если есть).

Пожалуйста, заполните все поля и отправьте форму. Мы свяжемся с вами в ближайшее время для дальнейшего обсуждения.

Спасибо за ваше время и интерес к нашей компании!

С уважением,

Сергей Волгин

Менеджер по подбору персонала

+79325557750

Имя *:
Email *:
Код *:
Поиск

Друзья сайта
  • Официальный блог
  • Сообщество uCoz
  • FAQ по системе
  • Инструкции для uCoz

    		•

    Copyright MyCorp © 2024