清點訪問承載Windows Server 2003域控制器的域中的資源的客戶端,以確定它們是否與SMB簽名兼容:
每個Windows Server 2003域控制器都在其本地安全策略中啟用了SMB簽名。確保所有使用SMB/CIFS協議訪問承載Windows Server 2003域控制器的域中* * *文件和打印機的網絡客戶端都可以配置或升級為支持SMB簽名。如果無法配置或升級,請暫時禁用SMB簽名,直到可以安裝更新或客戶端可以升級到支持SMB簽名的更新操作系統。有關如何禁用SMB簽名的信息,請參見本步驟末尾的“禁用SMB簽名”壹節。
經營計劃
以下列表顯示了常見SMB客戶端的操作計劃:禁用SMB簽名。
如果軟件更新無法安裝在運行Windows 95或Windows NT 4.0的受影響的域控制器上,或者在引入Windows Server 2003之前安裝的其他客戶端上,請暫時禁用組策略中的SMB服務簽名要求,直到可以部署更新的客戶端軟件。
可以在域控制器組織單位的默認域控制器策略的下列節點中禁用SMB服務簽名:
計算機配置\ Windows設置\安全設置\本地策略\安全選項\ Microsoft網絡服務器:數字簽名通信(始終)。
如果域控制器不在域控制器的組織單位中,默認域控制器的組策略對象(GPO)必須鏈接到所有承載Windows 2000或Windows Server 2003域控制器的組織單位。或者,SMB服務簽名可以在鏈接到這些組織單位的GPO中配置。
Microsoft Windows Server 2003、Microsoft Windows XP Professional、Microsoft Windows 2000Server、Microsoft Windows 2000 Professional和Microsoft Windows 98。
不需要任何操作。
微軟視窗NT 4.0
對於所有基於Windows NT 4.0的計算機,如果它們希望訪問包含基於Windows Server 2003的計算機的域,請安裝Service Pack 3或更高版本(建議安裝Service Pack 6A)。或者,暫時禁用Windows Server 2003域控制器上的SMB簽名。有關如何禁用SMB簽名的信息,請參見本步驟末尾的“禁用SMB簽名”壹節。
微軟視窗95
在基於Windows 95的計算機上安裝Windows 9x目錄服務客戶端,或者在Windows Server 2003域控制器上臨時禁用SMB簽名。Windows 2000 Server光盤上提供了原始的Win9x目錄服務客戶端。但是,此客戶端加載項已被改進的Win9x目錄服務客戶端所取代。有關如何禁用SMB簽名的信息,請參見本步驟末尾的“禁用SMB簽名”壹節。
微軟ms-dos網絡客戶端和微軟LAN Manager客戶端
Microsoft MS-DOS網絡客戶端和Microsoft LAN Manager 2.x網絡客戶端可用於提供對網絡資源的訪問。它們還可以與可引導軟盤結合使用,作為軟件安裝例程的壹部分,復制文件服務器上* * *共享目錄中的操作系統文件和其他文件。這些客戶端不支持SMB簽名。請使用其他安裝方法或禁用SMB簽名。有關如何禁用SMB簽名的信息,請參見本步驟末尾的“禁用SMB簽名”壹節。
Macintosh客戶端
某些Macintosh客戶端與SMB簽名不兼容,當它們嘗試連接到網絡資源時會收到以下錯誤信息:
-錯誤-36個輸入/輸出
請安裝更新的軟件(如果提供)。否則,在Windows Server 2003域控制器上禁用SMB簽名。有關如何禁用SMB簽名的信息,請參見本步驟末尾的“禁用SMB簽名”壹節。
其他第三方中小企業客戶端
壹些第三方SMB客戶端不支持SMB簽名。請咨詢您的SMB提供商,了解是否有更新的版本。否則,在Windows Server 2003域控制器上禁用SMB簽名。
清點域和林中的域控制器:
註意:域控制器的屬性不會單獨跟蹤每個修補程序的安裝。
驗證整個林中的端到端Active Directory復制。
驗證升級林中的每個域控制器總是根據站點鏈接或連接對象定義的計劃復制它在本地控制的所有命名上下文及其夥伴。在林中基於Windows XP或Windows Server 2003的成員計算機上使用Windows Server 2003版本的Repadmin.exe,並使用以下參數:
REPADMIN/repl sum/by src/BYDEST/SORT:DELTA & lt;-輸出格式化為適合頁面大小tDC最大增量失敗/total % % error na-DC-01 13d . 21h:10m:10s 97/143 67(8240)沒有這樣的對象...NA-DC-02 13d . 04h:11m:07s 180/763 23(8524)DSA操作...NA-DC-03 12d . 03h:54m:41s 5/5 100(8524)DSA操作...
林中的所有域控制器必須安全地復制Active Directory,repadmin輸出中“最大增量”列中的值不應明顯大於給定目標域控制器使用的相應站點鏈接或連接對象上的復制頻率。
在少於邏輯刪除生存期(TSL)(默認為60天)的天數內,解決無法復制入站的域控制器之間的所有復制錯誤。如果復制無法進行,您可能需要使用Ntdsutil元數據清理命令強制降級域控制器並將其從林中刪除,然後將其提升回林。強制降級可用於保存操作系統安裝和獨立域控制器上的程序。有關如何從域中刪除孤立的Windows 2000域控制器的更多信息,請單擊下面的文章編號,以查看Microsoft知識庫中相應的文章:
216498域控制器降級失敗後如何刪除Active Directory中的數據?
只有在沒有其他方法的情況下,才應該采取此操作來恢復操作系統和已安裝程序的安裝。您將丟失孤立域控制器上未復制的對象和屬性,包括用戶、計算機、信任關系、密碼、組和組成員身份。
嘗試解決域控制器上的復制錯誤時要小心(對特定Active Directory分區的入站更改已經有幾天沒有復制了)。當您這樣做時,您可以還原已經在域控制器上刪除的對象,但是對於這些對象,直接或可傳遞復制夥伴在前60天內從未收到刪除。
考慮刪除駐留在過去60天內沒有執行入站復制的域控制器上的所有延遲對象。或者,您可以強制降級在tombstone生存期內未在給定分區上執行任何入站復制的域控制器,並使用Ntdsutil和其他實用工具從Active Directory林中刪除其剩余的元數據。請聯系您的支持提供商或Microsoft PSS以獲得更多幫助。
驗證Sysvol ***享受的內容是否壹致。
驗證組策略的文件系統部分是壹致的。您可以使用資源工具包中的Gpotool.exe來確定整個域的策略中是否存在不壹致。使用Windows Server 2003支持工具中的Healthcheck來確定Sysvol ***共享副本集是否在每個域中正常工作。
如果Sysvol ***享受的內容不壹致,請解決所有不壹致的地方。
使用支持工具中的Dcdiag.exe驗證是否所有域控制器都裝有* * * Netlogon和Sysvol ***。為此,請在命令提示符下鍵入以下命令:
DCDIAG.EXE/e/test:frssysvol
庫存操作角色。
架構和結構操作主機用於將全林性和全域性架構更改引入由Windows Server 2003 adprep實用工具創建的林及其域。驗證承載林中每個域的架構角色和結構角色的域控制器駐留在活動域控制器上,並驗證自上次重新啟動以來每個角色所有者都在所有分區上執行了入站復制。
DCDIAG /test:FSMOCHECK命令可用於查看全林性和全域性操作角色。駐留在不存在的域控制器上的操作主機角色應該通過使用NTDSUTIL被普通域控制器獲取。如果可能,您應該轉移駐留在不正常的域控制器上的角色。否則,妳應該得到他們。NETDOM QUERY FSMO命令不能識別駐留在已刪除的域控制器上的FSMO角色。
驗證自上次啟動以來,架構主機和每個架構主機都執行了Active Directory的入站復制。您可以使用REPADMIN /SHOWREPS DCNAME命令來驗證入站復制,其中DCNAME是NetBIOS計算機名或域控制器的完全限定計算機名。有關操作主機及其位置的更多信息,請單擊下面的文章編號,以查看Microsoft知識庫中相應的文章:
197132 Windows 2000 Active Directory FSMO角色
223346在Active Directory域控制器上放置和優化FSMO
事件日誌視圖
檢查所有域控制器的事件日誌中是否有有問題的事件。事件日誌不得包含指示以下任何進程和組件存在問題的嚴重事件消息:
承載Active Directory數據庫文件Ntds.dit的卷上的可用空間必須至少等於ntds.dit文件大小的15-20%,承載Active Directory日誌文件的卷上的可用空間也必須至少等於Ntds.dit文件大小的15-20%。有關如何釋放更多磁盤空間的更多信息,請參閱本文的“磁盤空間不足的域控制器”壹節。
DNS清理(可選)
每隔7天對林中的所有DNS服務器啟用DNS清理。為獲得最佳效果,請在操作系統升級前61天或更早時間執行此操作。這樣,當對Ntds.dit文件執行脫機碎片整理時,可以為DNS清理守護程序提供足夠的時間來垃圾收集過期的DNS對象。
禁用DLT服務器服務(可選)
在Windows Server 2003域控制器的新安裝和升級安裝中禁用了DLT服務器服務。如果不使用分布式鏈接跟蹤,您可以在Windows 2000域控制器上禁用DLT服務器服務,並開始從林中的每個域刪除DLT對象。有關其他信息,請參閱下面的Microsoft知識庫文章中的“Microsoft對分布式鏈接跟蹤的建議”部分: