Windows 2000 도메인 컨트롤러를 Windows Server 2003 으로 업그레이드하기 전이나 새 Windows Server 2003 도메인 컨트롤러를 Windows 2000 도메인에 추가하기 전에 , 다음 단계를 수행하십시오.
Windows Server 2003 도메인 컨트롤러를 호스팅하는 도메인의 리소스에 액세스하는 클라이언트를 인벤토리하여 SMB 서명과 호환되는지 확인합니다.
각 Windows Server 2003 도메인 컨트롤러는 로컬 보안 정책을 가집니다 SMB/CIFS 프로토콜을 사용하여 Windows Server 2003 도메인 컨트롤러를 호스팅하는 도메인의 * * * 파일 및 프린터를 공유하는 모든 네트워크 클라이언트를 SMB 서명을 지원하도록 구성하거나 업그레이드할 수 있는지 확인합니다. 구성하거나 업그레이드할 수 없는 경우 업데이트를 설치할 수 있거나 클라이언트가 SMB 서명을 지원하는 업데이트된 운영 체제로 업그레이드할 수 있을 때까지 SMB 서명을 일시적으로 비활성화합니다. SMB 서명을 비활성화하는 방법에 대한 자세한 내용은 이 단계 끝에 있는 "SMB 서명 비활성화" 섹션을 참조하십시오.
작업 계획
아래 목록은 일반적인 SMB 클라이언트에 대한 작업 계획을 보여줍니다. SMB 서명 비활성화
Windows 95, Windows NT 4.0 을 실행하는 에 소프트웨어 업데이트를 설치할 수 없는 경우
SMB 서비스 서명은 도메인 컨트롤러 조직 단위에 대한 기본 도메인 컨트롤러 정책의 다음 노드에서 비활성화할 수 있습니다.
computer configuration \ windows settings \; Microsoft Network Server: 디지털 서명 통신 (항상)
도메인 컨트롤러가 도메인 컨트롤러의 조직 단위에 없는 경우 기본 도메인 컨트롤러의 GPO (그룹 정책 개체) 를 Windows 2000 또는 windows server 를 호스팅하는 모든 장치에 연결해야 합니다 또는 해당 조직 단위에 연결된 GPO 에서 SMB 서비스 서명을 구성할 수 있습니다.
Microsoft windows server 2003, Microsoft Windows XP Professional, Microsoft Windows 2000Server, Microsoft
Microsoft Windows NT 4.0
모든 windows nt 4.0 기반 컴퓨터의 경우 Windows Server 2003 기반 시스템이 포함된 도메인에 액세스하려면 server 를 설치합니다 또는 Windows Server 2003 도메인 컨트롤러에서 SMB 서명을 일시적으로 비활성화할 수 있습니다. SMB 서명을 비활성화하는 방법에 대한 자세한 내용은 이 단계 끝에 있는 "SMB 서명 비활성화" 섹션을 참조하십시오.
Microsoft Windows 95
Windows 95 기반 시스템에 Windows 9x 디렉토리 서비스 클라이언트를 설치하거나 Windows Server 2003 도메인 컨트롤러에서 SMB 서명을 일시적으로 비활성화합니다. 원본 Win9x 디렉터리 서비스 클라이언트는 Windows 2000 Server CD-ROM 에서 제공됩니다. 그러나 클라이언트 추가 기능은 향상된 Win9x 디렉토리 서비스 클라이언트로 대체되었습니다. SMB 서명을 비활성화하는 방법에 대한 자세한 내용은 이 단계 끝에 있는 "SMB 서명 비활성화" 섹션을 참조하십시오.
ms-dos 용 Microsoft 네트워크 클라이언트 및 Microsoft LAN Manager 클라이언트
ms-dos 및 Microsoft LAN Manager 2.x 네트워크 클라이언트용 Microsoft network client 는 네트워크 리소스에 대한 액세스를 제공하는 데 사용할 수 있으며 소프트웨어 설치 루틴의 일부로 파일 서버의 * * 를 복제하는 부팅 가능한 플로피 디스크와 함께 사용할 수도 있습니다 이들 클라이언트는 SMB 서명을 지원하지 않습니다. 다른 설치 방법을 사용하거나 SMB 서명을 비활성화하십시오. SMB 서명을 비활성화하는 방법에 대한 자세한 내용은 이 단계 끝에 있는 "SMB 서명 비활성화" 섹션을 참조하십시오.
Macintosh 클라이언트
일부 Macintosh 클라이언트는 SMB 서명과 호환되지 않으며 네트워크 리소스에 연결하려고 하면
-error 오류 메시지가 표시됩니다 그렇지 않으면 Windows Server 2003 도메인 컨트롤러에서 SMB 서명을 비활성화하십시오. SMB 서명을 비활성화하는 방법에 대한 자세한 내용은 이 단계 끝에 있는 "SMB 서명 비활성화" 섹션을 참조하십시오.
기타 타사 SMB 클라이언트
일부 타사 SMB 클라이언트는 SMB 서명을 지원하지 않습니다. 최신 버전이 있는지 SMB 공급업체에 문의하십시오. 그렇지 않으면 Windows Server 2003 도메인 컨트롤러에서 SMB 서명을 비활성화하십시오.
도메인과 포리스트의 도메인 컨트롤러 인벤토리:
참고: 도메인 컨트롤러의 속성은 각 패치의 설치를 개별적으로 추적하지 않습니다.
포리스트 전체에서 전체 Active Directory 복제를 검증합니다.
업그레이드된 포리스트의 각 도메인 컨트롤러가 항상 사이트 링크 또는 연결 객체에 의해 정의된 일정에 따라 로컬에서 제어되는 모든 이름 지정 컨텍스트 및 해당 파트너를 복제하는지 확인합니다.
포리스트에 있는 Windows XP 또는 Windows Server 2003 기반 구성원 컴퓨터에서 다음 매개 변수를 사용하여 Windows Server 2003 버전의 repadmin.exe 를 사용합니다.
repadmin/replsum/ -output formatted to fit on pagedestdc largest delta fails/total error na-DC-01 13d.21h: 10m: 10s97/143 67 ( There is no such object ... na-DC-02 13d.04h: 11m: 07s 180/763 23 (8524) the DSA operation ... na-ds The DSA operation...
포리스트에 있는 모든 도메인 컨트롤러는 Active Directory 를 안전하게 복제해야 하며 repadmin 출력의 "Largest Delta" 열에 있는 값은 지정된 대상 도메인 컨트롤러에서 사용하는 해당 사이트 링크 또는
Tombstone TSL (생존 시간) 보다 짧은 기간 (일) (기본값 60 일) 동안 인바운드 복제를 수행하지 못한 도메인 컨트롤러 간의 모든 복제 오류를 해결합니다. 복제가 제대로 작동하지 않는 경우 도메인 컨트롤러를 강제로 다운그레이드하고 Ntdsutil 메타데이터 지우기 명령을 사용하여 포리스트에서 제거한 다음 포리스트로 다시 올려야 할 수 있습니다. 강제 다운그레이드 방법을 사용하여 운영 체제 설치 및 고립된 도메인 컨트롤러에 프로그램을 저장할 수 있습니다. 도메인에서 고립된 Windows 2000 도메인 컨트롤러를 제거하는 방법에 대한 자세한 내용은 아래 문장 번호를 클릭하여 Microsoft 기술 자료에서 해당 문장
216498 도메인 컨트롤러 성능 저하 실패 후 Active Directory 에서 데이터를 제거하는 방법
을 참조하십시오 고립된 도메인 컨트롤러에서 사용자, 컴퓨터, 신뢰 관계, 암호, 그룹, 그룹 구성원 관계 등 복제되지 않은 개체와 속성을 잃게 됩니다.특정 Active Directory 파티션의 인바운드 변경 사항을 tombstonelifetime 보다 큰 일 수 내에 복제하지 않은 도메인 컨트롤러의 복제 오류를 해결하려고 할 때 주의해야 합니다. 이 작업을 수행할 때 도메인 컨트롤러에서 삭제된 개체를 복구할 수 있지만 이러한 개체의 경우 직접 또는 전송 가능한 복제 파트너는 지난 60 일 이내에 삭제를 받지 못했습니다.
지난 60 일 이내에 인바운드 복제가 수행되지 않은 도메인 컨트롤러에 있는 모든 지연 객체를 제거하는 것을 고려해 보십시오. 또는 tombstone 생존 기간 (일) 동안 지정된 파티션에서 인바운드 복제가 수행되지 않은 도메인 컨트롤러를 강제로 다운그레이드하고 Ntdsutil 및 기타 유틸리티를 사용하여 Active Directory 포리스트에서 나머지 메타데이터를 제거할 수 있습니다. 지원 공급업체 또는 Microsoft PSS 에 문의하여 추가 지원을 요청하십시오.
Sysvol *** 이 즐기는 콘텐츠가 일치하는지 확인합니다.
그룹 정책의 파일 시스템 부분이 일치하는지 확인합니다. 리소스 키트의 Gpotool.exe 를 사용하여 전체 도메인에 정책 불일치가 있는지 확인할 수 있습니다.
Windows Server 2003 지원 툴에서 상태 점검을 사용하여 Sysvol *** 공유 복제본 세트가 각 도메인에서 제대로 작동하는지 확인합니다.
Sysvol *** 이 즐기는 콘텐츠가 일치하지 않으면 모든 불일치를 해결하십시오.
지원 도구에서 Dcdiag.exe 를 사용하여 모든 도메인 컨트롤러에 * * * 즐길 Netlogon 및 Sysvol *** 이 있는지 확인합니다. 이렇게 하려면 명령 프롬프트에 다음 명령을 입력합니다.
dcdiag.exe/e/test: frssysvol
인벤토리 작업 역할.
스키마 및 패브릭 운영 호스트는 포리스트 및 도메인 전체 스키마 변경 사항을 포리스트 및 Windows Server 2003 adprep 유틸리티를 통해 생성된 도메인에 도입하는 데 사용됩니다. 포리스트에 있는 각 도메인의 스키마 역할 및 패브릭 역할을 호스팅하는 도메인 컨트롤러가 활성 도메인 컨트롤러에 있는지 확인하고, 각 역할 소유자가 모든 파티션이 마지막으로 재부팅된 후 해당 파티션에서 인바운드 복제를 수행했는지 확인합니다.
dcdiag/test: fsmocheck 명령을 사용하여 포리스트 범위와 도메인 전체 운영 역할을 볼 수 있습니다. NTDSUTIL 을 사용하여 존재하지 않는 도메인 컨트롤러에 상주하는 운영 호스트 역할을 일반 도메인 컨트롤러로 가져와야 합니다. 가능하면 비정상적인 도메인 컨트롤러에 있는 역할을 전송해야 합니다. 그렇지 않으면 가져와야 합니다. NETDOM QUERY FSMO 명령은 삭제된 도메인 컨트롤러에 있는 FSMO 역할을 식별하지 않습니다.
스키마 호스트 및 각 fabric 호스트가 마지막 시작 이후 Active Directory 인바운드 복제를 수행했는지 확인합니다. REPADMIN /SHOWREPS DCNAME 명령을 사용하여 인바운드 복제를 확인할 수 있습니다. 여기서 dcname 은 NetBIOS 컴퓨터 이름 또는 도메인 컨트롤러의 정규화된 컴퓨터 이름입니다. 운영 호스트 및 해당 위치에 대한 자세한 내용을 보려면 아래 문장 번호를 클릭하여 Microsoft 기술 자료에서 해당 문장
197132 windows 2000 Active Directory fsmo 역할
; 이벤트 로그에는
Active Directory 데이터베이스 파일 Ntds.dit 를 호스팅하는 볼륨의 사용 가능한 공간이 Ntds.dit 파일 크기의 15-20 이상이어야 함을 나타내는 심각한 이벤트 메시지가 포함될 수 없습니다. Active Directory 로그 파일을 호스팅하는 볼륨의 여유 공간도 Ntds.dit 파일 크기의 15-20 이상이어야 합니다. 더 많은 디스크 공간을 확보하는 방법에 대한 자세한 내용은 이 문서의 "디스크 공간이 부족한 도메인 컨트롤러" 섹션을 참조하십시오.
DNS 정리 (선택 사항)
7 일 간격으로 포리스트에 있는 모든 DNS 서버에 대해 DNS 정리를 활성화합니다. 최상의 결과를 얻으려면 운영 체제 업그레이드 전 61 일 또는 그 이전에 이 작업을 수행하십시오. 이렇게 하면 Ntds.dit 파일에 대해 오프라인 조각 모음을 수행할 때 DNS 정리 백그라운드 데몬에 만료된 DNS 개체를 가비지 수집할 수 있는 충분한 시간을 제공할 수 있습니다.
DLT Server 서비스 비활성화 (선택 사항)
DLT Server 서비스는 Windows Server 2003 도메인 컨트롤러의 신규 설치 및 업그레이드 설치에서 비활성화됩니다.
분산 링크 추적을 사용하지 않을 경우 Windows 2000 도메인 컨트롤러에서 DLT Server 서비스를 비활성화하고 포리스트의 각 도메인에서 DLT 개체 제거를 시작할 수 있습니다. 자세한 내용은 다음 Microsoft 기술 자료 웹 문장
312403 Windows 기반 도메인 컨트롤러의 분산 링크 추적
시스템 상태 백업에 대한 Microsoft 권장 사항 섹션을 참조하십시오 업그레이드가 유효하지 않은 경우 이 백업을 사용하여 포리스트에 있는 모든 도메인을 복구할 수 있습니다.
Windows 2000 포리스트의 Microsoft Exchange 2000
참고:
exchange 2000 서버가 이미 있는 경우
Microsoft Exchange Server 2003 아키텍처 변경 사항을 설치하려는 경우 windows 를 실행하기 전에 "개요: Windows 2000 도메인 컨트롤러를 Windows Server 2003 으로 업그레이드" 섹션을 읽어 보십시오
Exchange 2000 스키마는 RFC (request formation) 와 일치하지 않는 LDAPDisplayName 이 있는 세 가지 inetOrgPerson 속성 (houseIdentifier, secretary, laber) 을 정의합니다
windows 2000 inetorgperson kit 및 Windows Server 2003 adprep 명령은 RFC 버전과 일치하고 동일한 LDAPDisplayName 을 가진 세 가지 등록 정보를 정의하며 RFC 버전과 일치하지 않는 등록 정보와 동일합니다.
수정 스크립트 없이 Windows 2000 및 Exchange 2000 스키마 변경 사항이 포함된 포리스트에서 windows server 2003 adprep/forestprep 명령을 실행할 때 houseIdentifier,; "Dup" 또는 기타 고유한 문자가 충돌 속성 이름의 시작 부분에 추가되어 디렉토리의 객체와 속성이 고유한 이름을 가지면 속성이 "잘못 배치" 됩니다.
다음과 같은 경우 Active Directory 포리스트에서 이러한 속성의 잘못된 ldapdisplayname 이 쉽게 나타나지 않습니다.
Exchange 2000 스키마를 추가하기 전에 Windows 2000 스키마를 포함하는 경우
생성된 포리스트에 Windows Server 2003 도메인 컨트롤러에 Exchange 2000 스키마를 설치하는 경우 포리스트에서 첫 번째 도메인 컨트롤러의 위치입니다.
Windows 2000 inetOrgPerson Kit 을 Windows 2000 스키마가 포함된 포리스트에 추가하고 Exchange 2000 스키마 변경 사항을 설치한 다음 windows server 2003 adprep/for 을 실행하는 경우
기존 Windows 2000 포리스트에 Exchange 2000 스키마를 추가한 다음 windows server 2003 adprep/forestprep 명령을 실행하기 전에 Exchange 2003 /forestprep 를 실행하는 경우
Windows 2000 inetorgperson kit 를 설치하기 전에 Exchange 2000 버전의 labeles 를 설치하는 경우 잘못된 속성이 Windows 2000 에 나타납니다
먼저 정리 스크립트를 실행하지 않고 windows server 2003 adprep/forestprep 명령을 실행하기 전에 labeledURI, houseIdentifier 및 secretary Exchange 2000 버전을 실행합니다
다음 각 시나리오에 대한 운영 계획:
시나리오 1: windows server 2003 adprep/forestprep 명령을 실행한 후 Exchange 2000 스키마 변경 추가 windows server 2003 adprep/forestprep 명령을 실행한 후 Exchange 2000 스키마 변경 사항이 Windows 2000 포리스트에 도입될 경우 정리가 필요하지 않습니다. 개요: Windows 2000 도메인 컨트롤러를 Windows Server 2003 으로 업그레이드 섹션으로 이동하십시오.
시나리오 2: windows server 2003 adprep/forestprep 명령을 실행하기 전에 Exchange 2000 스키마 변경 사항이 설치됩니다
Exchange 2000 스키마가 이미 설치된 경우 그러나 windows server 2003 adprep/forestprep 명령을 실행하지 않았습니다. 다음 작업 계획을 고려해 보십시오.
스키마 관리 보안 그룹의 구성원인 계정을 사용하여 스키마 운영 호스트의 콘솔에 로그인합니다.
시작, 실행을 차례로 클릭하고 열기 상자에 notepad.exe 를 입력한 다음 확인을 클릭합니다.
"schemaupdatenow: 1" 뒤의 후행 하이픈을 포함하여 다음 텍스트를 메모장에 복사합니다.
각 행의 끝에 공백이 없는지 확인합니다.
파일 메뉴에서 저장을 클릭합니다. 다른 이름으로 저장 대화상자에서 다음을 수행합니다.
파일 이름 상자에 다음을 입력합니다.
₩ userprofile ₩ inetorgpp
인코딩 상자에서 유니코드를 클릭합니다.
저장 을 클릭합니다.
메모장을 종료합니다.
InetOrgPersonPrevent.ldf 스크립트를 실행합니다.
DC=X 는 대/소문자를 구분하는 상수입니다.
루트 도메인의 도메인 이름 경로는 따옴표로 묶어야 합니다.
시작, 실행을 차례로 클릭하고 열기 상자에 cmd 를 입력한 다음 확인을 클릭합니다.
명령 프롬프트에 다음 명령을 입력하고 enter 키를 누릅니다.
CD user profile
다음 명령 입력
Ldifde-i-f inetorgperson prevent.ldf-v-c DC = x "lt; 임근도메인의 도메인 이름 경로 gt; "
구문 주석: 예를 들어 포리스트 루트 도메인이 TAILSPINTOYS.COM 인 Active Directory 포리스트에 대한 명령 구문은
< c: ₩ documents as 입니다 Ldifde-i-f inetorgperson prevent.ldf-v-c DC = x "DC = tailspin toys, dc=com"
schema update allowed
레지스트리 하위 항목:
schema update is not allowed on this DC because the registry key is not set or the DC is not the schema fsmo role owner.
Microsoft 기술 자료에서 해당 문장 내용을 보려면 아래 문장 번호를 클릭하십시오.
285172 스키마 업데이트에는 Active Directory 의 스키마에 대한 쓰기 권한 필요
windows server 2003 aa 실행 중 스키마 이름 지정 컨텍스트에서 CN=ms-Exch-Assistant-Name, CN=ms-Exch-LabeledURI 및 cn = ms-exch-house-identified 를 확인합니다
개요: Windows 2000 도메인 컨트롤러를 Windows Server 2003 으로 업그레이드 섹션으로 이동하여 adprep /forestprep 및 /domainprep 명령을 실행합니다.
시나리오 3: inetOrgPersonFix 를 먼저 실행하지 않고 Windows Server 2003 forestprep 명령 실행 Exchange 2000 스키마 변경 사항이 포함된 Windows 2000 포리스트에서 windows server 2003 adprep/forestprep 명령을 실행하는 경우 houseIdentifier, secretary 및 laber 잘못된 이름을 식별하려면 Ldp.exe 를 사용하여 영향을 받는 속성을 찾습니다.
Microsoft Windows 2000 또는 Windows Server 2003 미디어의 Support\Tools 폴더에서 Ldp.exe 를 설치합니다
포리스트의 도메인 컨트롤러 또는 구성원 컴퓨터에서 Ldp.exe 를 시작합니다.
접속 메뉴에서 접속 을 클릭하고 서버 상자를 비워 두고 포트 상자에 389 를 입력한 다음 확인 을 클릭합니다.
연결 메뉴에서 바인딩을 클릭하고 모든 상자를 비워 둔 다음 확인을 클릭합니다.
SchemaNamingContext 속성의 구별된 이름 경로를 기록해 둡니다. 예를 들어 CORP.ADATUM.COM 포리스트에 있는 도메인 컨트롤러의 경우 구별된 이름 경로는 CN=Schema, CN=Configuration, DC=corp, DC=company, DC 일 수 있습니다
찾아보기 메뉴에서 검색을 클릭합니다.
검색 대화상자는
"기본 위치 DN": 3 단계에서 결정된 스키마 이름 지정 컨텍스트의 구별된 이름 경로로 구성됩니다.
필터: (ldapdisplayname=dup*)
"범위": 하위 트리
; P >
ldapdisplayname: dup-labeled uri-9591bbd3-d2a6-4669-afda-48af7c35507d;
ldapdisplayname: dup-secretary-c5a1240d-70c0-455c-9906-a4070602f85f
ldapdisplayname: dup-house identifier-354b0ca8-9b6c-4722-aae7-e66906 cc9eef
Secretary 및 houseIdentifier 의 LDAPDisplayName 이 6 단계에서 잘못 배치되었습니다. windows server 2003 inetorgpersonfix.ldf 스크립트를 실행하여 복구한 다음 "Winnt32.exe 사용" 으로 이동합니다DC=X 는 대/소문자를 구분하는 상수입니다.
린겐 도메인의 도메인 이름 경로는 따옴표로 묶어야 합니다.
Systemdrive\IOP 라는 폴더를 만들고 이 폴더에 InetOrgPersonFix.ldf 파일의 압축을 풉니다.
명령 프롬프트에 CD systemdrive\iop 를 입력합니다.
Windows Server 2003 설치 미디어의 Support\Tools 폴더에 있는 Support.cab 파일에서 InetOrgPersonFix.ldf 파일의 압축을 풉니다.
스키마 운영 호스트 콘솔에서 Ldifde.exe 를 사용하여 InetOrgPersonFix.ldf 파일을 로드하여 houseIdentifier, secretary 및 labeledURI 등록 정보의 LDAP 를 수정합니다
이렇게 하려면 다음 명령을 입력합니다. 여기서 lt; Xgt;; 대/소문자를 구분하는 상수입니다, lt; Dn path for forest root domaingt;; 포리스트의 루트 도메인에 대한 도메인 이름 경로입니다.
c: \ iopgt; Ldifde-i-f inetorgperson fix.ldf-v-c DC = x "lt; 임근도메인의 도메인 이름 경로 gt; "
구문 주석:
Exchange 2000 을 설치하기 전에 스키마 이름 지정 컨텍스트의 houseIdentifier, secretary 및 labeledURI 속성에 "전위" 가 없는지 확인합니다