从Windows NT Server 4.0 域迁移到Windows Server 2003 Active Directory

5544992

从Windows NT Server 4.0 域迁移到Windows Server 2003 Active Directory

Microsoft 公司
发布日期：2003年3月





摘要
Microsoft? Windows? Server 2003 操作系统产品家族提供了远远超出Microsoft Windows NT? Server 4.0服务器产品家族的强大功能。Windows Server 2003产品家族在设计之时即着眼于Windows NT Server 4.0的轻松升级问题。本文概括了升级或迁移到Windows Server 2003 Active Directory? 服务的过程，并且介绍了在升级或迁移过程中需要做出的一些决策。



本白皮书只是预备性文档，并有可能在其所描述的软件产品投入最终商业发布之前接受实质性修订。
本文档所提供的信息资料仅代表Microsoft公司在信息发布当日就研讨活动所围绕的问题持有的临时观点。鉴于Microsoft公司必须针对瞬息万变的市场状况不断做出相应调整，故而，本文档内容不应被解释为Microsoft方面所做出的任何承诺，与此同时，Microsoft也无法在发布之日后继续保证文件所含信息的准确性。
本白皮书仅供用于信息参考目的。Microsoft并未在本文档中提供任何形式的保证、明示或暗示。
遵守所有适用版权法律是文档使用者所应承担的义务。Microsoft公司虽未在版权保护下就与本文档相关的权利做出任何限定，但是，任何人未经Microsoft公司书面授权许可，均不得出于任何目的、以任何形式、利用任何手段（电子、机械、影印、录音等）将本文档的任何组成部分制作成拷贝、存储或引入检索系统、亦或向任何对象进行传送。
Microsoft公司可能就本文档所涉及的主题拥有专利、专利申请、商标、版权或其它形式的知识产权。除非已同Microsoft公司签订书面许可协议，并根据协议条款获得明确授权，任何出示本文档的行为均无法使您具备针对上述专利、商标、版权或其它知识产权加以利用的许可权限。
? 2002年，Microsoft公司。版权所有，保留所有权利。
Microsoft、SQL Server、Visual Basic、Visual Studio、Windows、Windows徽标、Windows NT和Windows Server均系Microsoft公司在美国和/或其它国家所拥有的注册商标或商标。
本文档所涉及的其它公司和产品的真实名称均为其各自所有者持有的商标。




目 录

引言... 1
选择最适合的操作系统... 2
在升级前需要安装Service Pack 5或更高版本的服务包.. 2
升级到等价操作系统.. 2
表1  升级到一个等价操作系统.. 3
校验系统要求和硬件兼容性... 4
系统要求.. 4
磁盘空间考虑事项.. 5
硬件兼容性.. 5
参考资料.. 5
选择升级还是迁移... 6
选择升级的理由.. 6
参考资料.. 6
选择迁移的理由.. 6
参考资料.. 6
服务器角色.. 6
成员服务器.. 7
域控制器.. 7
独立服务器.. 7
Active Directory考虑事项... 9
Active Directory的新特性.. 10
可以在运行Windows Server 2003的域控制器上使用的特性.. 10
在所有域控制器都运行Windows Server 2003时可以使用的特性.. 11
与Windows NT Server 4.0的兼容性.. 11
从Windows NT域升级.. 12
规划和实现一个命名空间和DNS基础结构.. 12
确定森林功能.. 13
升级 Windows NT Server 4.0或者更早的主域控制器.. 14
升级其余的备用域控制器.. 15
转换组.. 15
在Windows Server 2003服务器上使用转换后的组.. 16
完成域的升级.. 16
在较老的客户机上安装Active Directory客户端软件.. 16
提升域的功能级别.. 17
表2  不同域功能级别可以使用的域级别特性.. 18
提升森林的功能级别.. 18
表3  不同森林功能级别可以使用的森林特性.. 19
域控制器.. 19
参考资料.. 19
使用远程安装服务.. 19
部署资源.. 20
重命名域控制器.. 20
使用域信任.. 20
信任协议.. 21
被信任域对象.. 21
不可传递信任和Windows NT 4.0. 21
外部信任和Windows NT 4.0. 22
Windows NT任务在Windows Server 2003中的执行方式.. 22
表4 Windows NT Server 4.0和Windows Server 2003用户界面的部分差异.. 23
对现有应用的支持.. 23
Active Directory最佳实践.. 24
总结... 26
相关链接... 27



引 言
Microsoft? Windows? Server 2003操作系统家族提供了远远超出Microsoft Windows NT? Server 4.0 f产品家族的强大功能。Windows Server 2003家族的产品包括Windows Server 2003 Standard Edition（标准版）、Windows Server 2003 Enterprise Edition（企业版）和Windows Server 2003 Datacenter Edition（数据中心版），提供了有史以来最为可靠、最具连通性和最具有生产力的操作平台。各种新增和得到改善的文件、打印、应用程序、Web和通信服务为任务关键级的企业资源提供了更加健壮和更加完善的平台。诸如Active Directory? 服务和企业级安全服务这样的集成特性允许您根据用户需要提供安全、灵活的资源访问。
Windows Server 2003 Web Edition专门针对Web服务器而设计。它不仅价格低廉，而且提供了用户渴望已久的独立Web功能，同时易于维护和管理。



选择最适合的操作系统
您在进行升级时，首先需要考虑的事情就是选择一个最能够满足需要的Windows Server 2003版本。Microsoft Windows Server 2003产品家族包括了以下4个版本：
·         Windows Server 2003 标准版。 标准版针对小型组织和部门级应用设计，提供了智能化的文件和打印共享、安全的Internet链接和集中的桌面应用部署，以及能够将员工、伙伴和客户紧密联系在一起的Web解决方案、标准版具有高水平的可靠性、伸缩性和安全性。
·         Windows Server 2003企业版。企业版针对中大型企业的需要而设计，是Microsoft建议采用的服务器操作系统，用户可以在上面运行各类应用，例如网络、消息、库存、客户服务系统、数据库以及电子商务Web站点。企业版提供了强大的可靠性、优异的性能表现以及超强的商业价值。企业版又分为32位和64位两个版本。
·         Windows Server 2003数据中心版。数据中心版针对企业在高伸缩性、高可靠性和高可用性方面的苛刻需求，适于运行各种任务关键级的企业解决方案，例如数据库系统、企业资源规划软件、大容量实时事务处理以及服务器合并等。数据中心版也包括32位和64位两个版本。
·         Windows Server 2003 Web版。Web版针对用户托管Web应用、Web页面和XML Web服务的需要而设计，位Internet服务提供商、应用程序开发商以及只希望部署特定Web功能的其它人员提供了一个单用途的解决方案。Web版充分利用了Microsoft对Internet信息服务（IIS）6.0、Microsoft ASP.NET以及Microsoft .NET Framework的改进。
在升级之前运行Service Pack 5或更高版本的服务包
在升级到Windows Server 2003之前，运行Windows NT Server 4.0的计算机必须首先安装Service Pack 5或者更高版本的服务包。在安装了Service Pack 5或更高版本的服务包之后，可以直接升级到Windows Server 2003，而无需安装Windows 2000进行过渡。如果您进行的是全新安装，则不需要安装该服务包。
升级到等价操作系统
选择最佳操作系统的第一步是确定哪个版本的系统和您现在使用的系统最为接近。除了Web版之外，所有的Windows Server 2003操作系统都可以和现有的Windows 2000操作系统一一对应，如表1所示。Web版对于采用机架安装的Web支持系统是一个理想的选择，它是全新的操作系统，所以没有与其相对应的Windows  2000操作系统产品。

Windows Server 2003产品家族	Windows 2000 Server产品家族
标准版	Windows 2000 Server
企业版	Windows 2000 Advanced Server
数据中心版	Windows 2000 Datacenter Server
Web版	没有等价产品

表1 升级到等价操作系统
请注意：您只能升级到等价或者更高级别的操作系统。不能降级到一个功能稍逊一筹的操作系统，因为在此过程中可能会损失一些功能。也就是说，在不删除原先的操作系统并执行全新安装的情况下，不能从Windows NT Server 4.0 Enterprise Edition（或者Windows NT Server 4.0家族的其它产品）迁移到Windows Server 2003 Standard Edition。
此外还应该注意，不能升级到数据中心版（它提供了集成化的硬件、软件和服务）。用户可以通过Windows Datacenter Program（Windows 数据中心计划）购买该产品，只有Microsoft以及经过认证的服务器厂商（例如OEM厂商）能够提供该产品。
更多相关信息，请访问Windows Server 2003 产品支持页面： http://www.microsoft.com/windowsserver2003/support/ 或者在线的 Windows Server 2003产品文档：http://www.microsoft.com/windowsserver2003/proddoc/.

校验系统要求和硬件兼容性
在升级到Windows Server 2003之前，您肯定希望确保将要被升级的计算机满足Microsoft建议的系统要求，并且所有硬件组件都和操作系统兼容。如果您一直在升级Windows NT Server 4.0 系统的硬件设备，这可能不算什么问题，但是如果您现在使用的服务器还运行在一台比较老的计算机上，可能需要考虑将Windows Server 2003安装在一台新的计算机上。
系统要求
对硬件的最主要要求体现在处理器速度上。虽然运行Windows 2000只需要133 MHz或者更快的处理器就可以了，但是Microsoft建议位Windows Server 2003的标准版和Web版采用550 MHz或者更快的处理器，位企业版和数据中心版采用733 MHz或者更快的处理器。内存和磁盘空间要求基本上相同。

要求	标准版	企业版	数据中心版	Web版
最低CPU速度	133 MHz	x86计算机：133 MHz 64位的Itanium计算机：733 MHz *	x86计算机：400 MHz 64位的Itanium计算机：733 MHz *	133 MHz
建议采用的 CPU速度	550 MHz	733 MHz	733 MHz	550 MHz
最小内存	128 MB	128 MB	512 MB	128 MB
建议采用的最小内存	256 MB	256 MB	1 GB	256 MB
最大内存	4 GB	x86计算机：32 GB 64位的Itanium计算机：64 GB	x86计算机：64 GB 64位的Itanium计算机：512 GB	2 GB
多处理器支持	4	最大8颗	最少8 颗 32位计算机最多32颗 64位的Itanium计算机最多64颗	1 or 2
安装所需的磁盘空间	1.5 GB	x86计算机：1.5 GB 64位的Itanium计算机：2 GB	x86计算机：1.5 GB 64位的Itanium计算机：2 GB	1.5 GB

*重要说明：64版本的Windows Server 2003企业版和Windows Server 2003数据中心版只兼容64位的Intel Itanium系统。它们不能成功安装到32位系统上。
磁盘空间考虑事项
无论是进行升级还是进行全新的系统安装，磁盘空间和磁盘分区都是需要考虑的事项。例如，如果您的服务器当前使用文件分配表（FAT）文件系统，硬盘分区的容量被限制在2GB，此时您不能升级到Windows Server 2003，因为升级过程需要2GB以上的磁盘空间。
如果服务器目前使用NT文件系统（NTFS），它的分区大小被限制在32GB，您可以升级到Windows Server 2003，同时保留NTFS系统。为了避免遇到NTFS的32GB容量限制，您可能需要进行全新安装。
硬件兼容性
在运行安装程序之前，最重要的一个步骤就是确认您的硬件与wins3产品家族相兼容。可以从安装光盘上运行一个安装前兼容性检查工具或者访问Microsoft Windows Server 2003网站查看硬件兼容性信息进行检查。此外，作为确认硬件兼容性过程的一部分，您应该检查硬件设备的驱动程序和系统BIOS是否需要进行升级（对于基于Itanium的64位计算机，则检查扩展固件接口是否需要升级）。
如果您为硬盘使用了一个海量存储设备控制器（例如SCSI、RAID或者Fibre Channel 适配器），请点击支持资源中的相应链接，确认它和Windows Server 2003家族的产品兼容。
如果您的控制器和Windows Server 2003兼容，但是您知道该控制器的制造商已经为它提供了一个单独的驱动程序文件，请在开始升级之前获得该文件（通过软盘）。在安装过程的早期节点，屏幕底行会提示您按F6键。然后提示您提供驱动程序，以便操作系统能够顺利访问该海量存储设备控制器。
如果您不能肯定是否需要从制造商处获得一个单独的驱动程序文件，可以试着运行安装程序。如果安装光盘上的驱动程序文件不支持该控制器（说明需要硬件制造商提供一个驱动程序文件），安装程序会停止并显示一条信息，指出不能找到磁盘设备，或者显示一个不完整的控制器列表。在您得到了必须的驱动文件后，重新启动安装程序，然后在接到提示时按下F6键。
无关是否运行了安全前的兼容性检查，在开始升级或者全新安装时，安装程序都会检查硬件和软件的兼容性，并在发现不兼容问题时显示一个报告。
参考资料
有关Windows Server 2003操作系统支持的硬件和软件，请访问Windows Server目录 ： http://www.microsoft.com/windows/catalog/server/.
有关应用程序兼容性的更多信息，请访问使用应用程序兼容性工具包： http://www.microsoft.com/windowsserver2003/compatible/appcompat.mspx.

选择升级或者迁移
在升级和迁移到一台新计算机之间做出选择是一个重要的决定。升级是指将现有的Windows NT Server 4.0（安装了Service Pack 5或者更高版本）操作系统保留在计算机上，并且通过安装新的Windows Server 2003操作系统对其进行升级。迁移则是指在先前没有安装任何操作系统的磁盘卷上安装Windows Server 2003家族的产品。
选择升级的理由
尤其对于小型组织而言，升级要比全新安装容易许多。一般来说，在选择升级时，系统的配置过程更为简单，而且现有的用户、设置、用户组、权限和许可都可以保留。此外，如果选择升级，您也不需要重新安装文件和应用程序。
由于升级过程会对硬盘进行大量修改，在开始升级前您应该备份系统。
参考资料
·         有关升级的更多信息，请访问Microsoft TechNet ：http://www.microsoft.com/technet/ ，并且使用搜索工具查找“能够升级的操作系统”。
·         如果您在域中进行升级，并且域控制器运行Windows NT Server 4.0，请访问Microsoft TechNet： http://www.microsoft.com/technet/ ，然后使用搜索工具查找“在包含Windows NT 4.0域控制器的域中进行升级”主题。
·         如果希望升级并且在升级前后使用相同的应用程序，请认真阅读Relnotes.htm（位于安装光盘的 \Docs文件夹）中有关应用程序的内容。此外，有关Windows Server 2003产品家族应用程序兼容性的最新信息，请访问Windows Server目录：http://www.microsoft.com/windows/catalog/server.
选择迁移的理由
选择迁移而不是升级的理由也很充分——特别是对于大型组织而言。例如，如果您希望认真操练服务器的配置管理以实现高可用性，可以在服务器上执行全新安装，而不是从现有系统进行升级。对于那些操作系统曾经升级过数次的服务器来说，情况尤其如此。
参考资料
·         有关使用多个操作系统的更多信息，请访问Microsoft TechNet ：http://www.microsoft.com/technet/ 并且使用搜索工具查找“决定是否在计算机上包含一个以上的操作系统”主题。
服务器角色
在域中担任服务器的计算机可以成为以下两种角色之一：成员服务器或者域控制器。不在域中的服务器称为独立服务器。
成员服务器
对成员服务器的描述如下：
·         运行Windows NT Server 4.0、Windows 2000 Server或者Windows Server 2003操作系统。
·         属于一个域。
·         不是域控制器。
成员服务器不处理网络帐户登录，不参与Active Directory复制，也不保存安全策略信息。
成员服务器可以执行各种功能。它们一般作为以下用途的服务器：文件服务器、应用程序服务器、实况服务器、Web服务器、证书服务器、防火墙以及远程访问服务器。
以下与安全有关的功能特性对于所有成员服务器都适用：
·         套用站点、域或者组织单位定义的组策略设置
·         成员服务器上可以施加针对资源的访问控制
·         分派用户权限
·         本地安全帐户数据库、安全帐户管理器（Security Accounts Manager，SAM）
域控制器
对域控制器的描述如下：
·         运行Windows NT Server 4.0、Windows 2000 Server或者Windows Server 2003操作系统。
·         保存域数据库的一份只读副本。
·         参与多主控复制。
·         对用户进行身份验证。
域控制器保存目录数据并且管理用户和域之间的通信，其中包括处理用户登录、身份验证和目录搜索。域控制器使用多主控复制同步目录数据，以确保信息的一致性。
Active Directory 支持目录数据在域的所有域控制器间的多主控复制。在一个Active Directory森林中，至少有5种不同的操作主控角色，分别由1台或多台域控制器担当。
随着计算环境的变化，您可能希望改变服务器的角色。通过使用“Active Directory安装向导”，您可以将一台成员服务器提升为一台域控制器，或者将一台域控制器降级为一台成员服务器。
独立服务器
对独立服务器的描述如下：
·         运行Windows NT Server 4.0、Windows 2000 Server或者Windows Server 2003操作系统。
·         不是域的成员。
如果服务器是工作组的成员，那么它便是一台独立服务器。独立服务器可以和网络中的其它计算机共享资源，但是无法利用Active Directory提供的任何好处。

Active Directory考虑事项
Active Directory服务是Windows Server 2003网络体系基本且不可分割的一个组成部分，它提供的目录服务针对分布式网络环境而设计，并且支持各类基于目录的应用程序。Active Directory为Windows 环境下的用户帐户、客户机、服务器和应用程序提供了单点管理能力。此外，它还可以协助企业将非Windows 的系统与基于Windows 的应用和兼容Windows 的设备集成在一起，因此实现了目录合并和整个网络 操作系统的轻松管理。
企业还可以使用Active Directory提高面向Internet系统的安全性。Active Directory能够提高组织现有网络投资的价值，并通过让Windows 网络操作系统更可靠、更可管理和更可互操作，降低企业的整体拥有成本。
Active Directory服务使用了一种结构化的数据存储，以此作为目录信息逻辑化的分层组织的基础。该数据存储又被称作目录，它包含了有关Active Directory对象的信息。这些对象一般包括了诸如服务器、卷、打印机和网络用户和计算机帐户这样的共享资源。目录存储在域控制器上，能够被网络应用或服务所访问。一个域可以拥有多台域控制器。每台域控制器均拥有它所在域的目录的一个副本。
安全性集成在Active Directory之中，并且通过对目录对象的登录验证和访问控制得以体验。通过单点登录，管理员可以管理整个网络的目录数据并加以组织。得到授权的网络用户可以访问网络各处的资源。基于策略的管理减轻了甚至是最为复杂的那些网络管理工作。
Active Directory服务还包括：
·         架构。Active Directory 架构（Schema）是一组定义，定义了Active Directory所保存对象的种类以及与对象有关的信息的类型。这些定义本身也作为对象保存，以便Active Directory能够使用和管理其它对象一样的方法来管理架构对象。架构中有两种类型的定义：属性和分类。属性和分类又被称作架构对象或元数据。
·         全局编录。全局编录包含了有关所有目录对象的信息。无论目录信息位于哪一个域中，用户和管理员可以通过全局编录查找它。全局编录驻留在森林中的一台或多台域控制器上。
·         队列和索引机制。Active Directory旨在为用户和程序发出的有关目录对象的查询提供信息。管理员和用户能够使用“开始”菜单上的“搜索”命令轻松搜索和查找目录中的信息。客户端程序可以通过使用Active Directory 服务接口（ADSI）访问Active Directory。
·         复制服务。除了很小的小网络之外，目录数据必须驻留在网络中的多台域控制器上，以便所有用户都可以使用它们。通过自动复制，Active Directory服务在每台域控制器上维护目录数据的副本（或者说拷贝）。Active Directory复制使用多主控复制模型。在多主控复制情境下，对目录的修改可以在任何一台域控制器上进行，而不仅仅限于被指定的主域控制器，您所做的修改将会被复制到所有相关的其它域控制器上。
·         客户端软件。通过使用Active Directory客户端软件，运行Windows 95、Windows 98和Windows NT Workstation 4.0的计算机可以访问很多只有在Windows 2000 Professional或者Windows XP Professional上才能访问的Active Directory特性。对于没有运行Active Directory客户端软件的客户机，目录看上去就像是一个Windows  NT目录。
Active Directory的新特性
Active Directory在网络管理中扮演了一个重要角色，在您准备转移到Windows Server 2003平台之时，了解一下Active Directory服务的新特性十分必要。随着标准版、企业版和数据中心版开始提供众多的Active Directory新特性，您将能够实现对Active Directory的更有效管理。
新特性包括可以在运行Windows Server 2003的任意一台域控制器上使用的特性，以及只能在域或森林中的所有域控制器都运行Windows Server 2003时才能够使用的特性。
可以在运行Windows Server 2003的域控制器上使用的特性
以下列表总结了默认情况下能够在运行Windows Server 2003的任意一台域控制器上使用的Active Directory特性。
·         选择多个用户对象。可以一次修改多个用户对象的共有属性。
·         拖放功能。通过拖放将一个或多个对象将Active Directory对象从一个容器移动到域层次结构中的另一个容器。此外，您还可以通过拖放一个或多个对象（包括其它组对象）向目标组的组成员列表添加对象。
·         更有效率的搜索功能。搜索功能是一个面向对象的功能，提供了一个高效和浏览次数更少的搜索过程，同时将对象浏览产生的网络流量降低到了最低限度。
·         保存查询。将经常使用的搜索参数保存下来，以便在“Active Directory用户和计算机”中重复使用。
·         Active Directory命令行工具。在执行管理任务时能够使用新的目录服务命令。
·         选择性的类创建过程。在Windows Server 2003森林的基础架构中创建指定类的实例。可以创建几个公共类的实例，包括国家或地区、人员、organizationalPerson、groupOfNames、设备以及certificationAuthority。
·         InetOrgPerson 类。inetOrgPerson类已经作为一个安全主体被添加到了基础架构中，并且可以通过与用户类相同的方式加以使用。userPassword 属性还可以用来设置帐户的口令。
·         应用程序目录分区。在运行标准版、企业版和数据中心版的域控制器上为特定于应用程序的数据配置复制范围。例如，您可以控制Active Directory中保存的域名系统（DNS）区域的复制范围，以便只有森林中的特定域控制器能够参与DNS区域的复制。
·         使用备份介质向现有域添加附加域控制器。通过使用备份介质，减少了在现有域中添加附加域控制器所需的时间。
·         通用的组成员关系缓存。通过将用户的通用组成员身份保存在一台经过验证的域控制器上，避免了跨越广域网（WAN）查找全局编录。
在所有域控制器都运行Windows Server 2003时可以使用的特性
新的域（或者森林）级别的Active Directory特性只有在域或者森林中的所有域控制器都运行Windows Server 2003 ，并且域功能或者森林功能被设置为Windows Server 2003 时才被启用。
以下列表总结了域和森林级别的Active Directory特性，这些特性只有在Windows 提升到了域或森林功能级的时候才能够被启用。
·         域控制器重命名工具。无需对域控制器进行降级即可对其重命名。
·         域的重命名。可以重新命名运行Windows Server 2003域控制器的任何一个域。您可以改变任何一个子域、父域、域树或者森林根域的NetBIOS名或DNS名。
·         森林信任。创建一个森林信任，将单个森林内部的双向可传递信任关系扩展到第二个森林。
·         废止架构对象。从架构中废止不需要的分类或属性。
·         动态辅助类。为单个对象提供了针对动态链接辅助类的支持。此外，已经被附加到某个对象实例上的辅助类可以在以后从实例中删除。
·         全局编录复制优化。在管理操作对部分属性集进行了扩展之后，保留全局编录的同步状态。因为只需要传输被添加的属性，从而将由于部分属性集扩展而产生的工作降低到了最少限度。
·         复制功能方面的增强。链接值复制允许跨越网络复制单个组成员，而不是将整个组成员关系作为一个整体进行复制。
和Windows NT Server 4.0的兼容性
Active Directory服务与Windows NT Server 4.0兼容，运行Windows NT Server 4.0、Windows 2000和 Windows Server 2003的域控制器都能够对其进行操作。这使得用户可以根据组织的需要，按照自己的步调升级域和计算机。
Active Directory支持Windows NT使用的Windows NT LAN Manager（NTLM）协议。这使得Windows NT域中的授权用户和计算机可以登录并访问Windows  2000或Windows Server 2003域中的资源。对于运行Windows 95、Windows 98或者Windows NT并且没有安装Active Directory客户端软件的计算机，Windows 2000或Windows Server 2003域看上去就是一个Windows NT Server 4.0域。有关与此的更多信息，请参看“Windows Server 2003 帮助和支持中心”的“Active Directory客户端软件”主题。
向Active Directory的升级可以在不中断网络操作的情况下分布进行。如果您按照我们的域升级建议操作，那么在不使域离线的情况下就可以对域控制器、成员服务器或者工作站进行升级。在升级一个Windows NT域的时候，您必须首先升级主域控制器。成员服务器和工作站可以在以后的任何时间升级。更多相关信息，请参阅“Windows Server 2003 帮助和支持中心”的“从Windows  NT域升级”主题。
Active Directory 允许用户从任何一种Windows NT Server 4.0的域模型升级，并且支持集中管理和分散管理两种模式。典型的主控或多主控域模型可以轻松升级到Active Directory森林。
从Windows NT域升级
“Active Directory安装向导”简化了从Windows NT 域升级到Windows Server 2003 Active Directory的过程。“Active Directory安装向导”能够安装并配置域控制器，为网络用户和计算机提供了对Active Directory 服务的访问。任何一台成员服务器（除了那些使用受限制许可协议的服务器）都可以通过“Active Directory 安装向导”被提升为域控制器。在将成员服务器提升为域控制器的时候，可以为新的域控制器定义以下角色之一：
·         新森林（或者新域）
·         新的子域
·         现有森林中新的域树
·         现有域中一台附加域控制器
有关“Active Directory安装向导”使用方法的更多信息，请参阅“Windows Server 2003帮助和支持中心”。
升级过程包括以下步骤：
·         规划并实现一个命名空间和DNS基础结构
·         确定森林的功能
·         升级运行Windows NT Server 4.0的服务器，或者原先作为主域控制器的服务器
·         升级所有的备用域控制器
·         转换组
·         完成域的升级
·         在较老的客户机上安装Active Directory客户端软件
规划并实现一个命名空间和DNS基础结构
命名空间是指命名约定，它为网络资源定义了一组唯一的名称，例如域名系统（DNS）便是一个层次式的命名结构，这个命名结构列出了每个网络资源的标识以及它在命名空间层次中的位置，此外还有 Windows Internet名称服务（WINS），它是一个扁平的命名结构，在此结构中每个网络资源都拥有一个独一无二的名称。
DNS对于Active Directory来说是必需的。DNS是一种层次式的分布式数据库，包含了DNS域名到各种数据类型的映射，例如IP地址等。DNS使用用户友好的名称来标识计算机和服务的位置，用户还可以利用它发现数据库中保存的其它信息。
在建立命名空间的时候，我们建议您首选选择并登记一个唯一的父DNS域名，该域名可以用于组织的Internet存在，例如microsoft.com。在您选择的父域名称后，可以将该名称与组织内部使用的位置名称或部门名称结合在一起，以便形成其它的子域名称。例如，如果添加了一个子域，例如itg.example.microsoft.com域树（被组织信息技术部门所使用的资源），其它的子域名称便可以使用该名称生成。例如，事业部中从事电子数据交换（EDI）开发工作的部门可以使用edi.itg.example.microsoft.com这个子域名称。同样，为该事业部提供支持的另一个部门可以使用support.itg.example.microsoft.com这个子域名。
在开始从Windows NT Server 4.0升级到Windows Server 2003 Active Directory服务之前，请确保您已经设计好了一个DNS和Active Directory 命名空间，而且DNS服务器也配置完成，或者打算让“Active Directory安装向导”在域控制器上自动安装DNS服务。
Active Directory与DNS以如下方式集成在一起：
·         Active Directory和DNS具有相同的层次结构。虽然它们的目的不同，实现方式也不同，但是组织的DNS和Active Directory命名空间具有相同的结构。例如， microsoft.com既是一个DNS域也是一个Active Directory域。
·         DNS区域可以存储在Active Directory之中。如果您使用Windows Server DNS服务，主要的区域文件可以存储在Active Directory中，以便复制到其它Active Directory域控制器上。
·         Active Directory使用DNS作为它的定位服务，将Active Directory域、站点和服务的名称解析为一个IP地址。为了登录到Active Directory域中，Active Directory客户端会查询配置好的DNS服务器，请求获得运行在域控制器上的轻量级目录访问协议（LDAP）服务的IP地址。有关Active Directory客户端使用DNS的更多信息，请参阅“Windows Server 2003帮助和支持中心”的“定位域控制器”主题。
尽管Active Directory与DNS集成在一起，而且共享相同的命名空间结构，但是了解它们之间的差异也十分重要：
·         DNS 是一种名称解析服务。 DNS 客户机向DNS服务器发送DNS名称查询 。DNS服务器接收名称查询请求，然后通过存储在本地的文件解析名称查询，或者请求其它DNS服务器解析该请求。DNS不要求Active Directory参与此过程。
·         Active Directory 是一种目录服务。Active Directory为信息提供了一个存储库，并且提供相关服务，让用户和应用程序能够访问到这些信息。Active Directory客户端使用LDAP向Active Directory服务器发送请求。为了找到一台Active Directory服务器，Active Directory客户机需要查询DNS。Active Directory功能的正常发挥需要DNS的参与。
有关DNS配置的更多信息，请参阅“Windows Server 2003帮助和支持中心”。
确定森林的功能
森林的功能决定了单个森林中能够启用的Active Directory功能特性的类型。每个森林功能级别都对域控制器能够运行的操作系统版本提出了一组特殊的最小要求。例如，Windows森林功能级别要求所有的域控制器都运行Windows Server 2003操作系统。
如果您准备升级第一个Windows  NT域并且将其编程新的Windows Server 2003森林的第一个域，我们建议您将森林的功能级别设置为“Windows 过渡”（在升级过程中会得到提示）。该功能级别包含了Windows  2000森林功能级别所具有的所有特性，而且包括了两个重要的高级Active Directory特性：
·         站点间拓扑生成器的复制算法得到了改善
·         对组成员关系的复制进行了改进
在将第一个Windows  NT域升级为一个新的森林时，“Windows过渡”功能级别是一个可选项，而且可以在升级完毕后手动配置。有关如何手动设置该功能级别的更多信息，请参阅Microsoft Windows 资源工具包 Web站点（http://www.microsoft.com/windows/reskits/）。“Windows过渡”的森林功能级别仅仅支持运行Windows 和 Windows NT的域控制器，不支持运行Windows 2000的域控制器。如果森林的功能级别被设置为“Windows 过渡”，运行Windows  2000的服务器将不能被提升为森林中的域控制器。有关森林功能的更多信息，请参看本白皮书的提升域的功能级别 部分。
升级Windows NT Server 4.0或者更早的主域控制器
第一台必须升级的Windows NT Server 4.0服务器是主域控制器（PDC）。升级这台Windows NT PDC对于成功升级整个域来说是必需的。在升级期间，“Active Directory安装向导”要求您选择是加入一个现有的域树或森林，还是开始一个新的域树或森林。如果您决定加入一个现有的域树，必需提供一个到相应父域的引用。与此有关的更多信息，请参阅“Windows Server 2003帮助和支持中心”的“域控制器安装检查清单” 主题。
运行“Active Directory安装向导”在域控制器上安装所有必需的组件，例如目录数据存储和Kerberos V5 协议身份验证软件。在Kerberos V5协议安装之后，安装过程会启动身份验证服务和票据授予服务，而且如果是一个新的子域，将会在子域和父域之间建立一条可传递的信任关系。最后，域控制器将所有架构和配置信息从父域复制到新子域的域控制器。现有的安全帐户管理器（Security Accounts Manager，SAM）对象将从注册表复制到新的数据存储。这些对象都是安全主体。
在升级期间，会创建对象，这些对象包含了来自Windows  NT域的帐户和组。这些容器对象被称作“用户”、“计算机”和“内置”，在“Active Directory 用户和计算机”中显示为文件夹。用户帐户和预先定义的组位于“用户”文件夹。计算机帐户位于“计算机”文件夹。内置组则位于“内置”（Builtin）文件夹。请注意：这些特殊的容器对象并不是组织单位。它们不能被移动、重命名或者删除。
现有的Windows NT Server 4.0以及更早的组根据组的性质的不同，位于不同的文件夹中。Windows NT Server 4.0以及更早的内置本地组（例如Administrators和Server Operators）位于“内置”文件夹中。Windows NT Server 4.0和更早的全局组（例如Domain Admins），以及用户创建的其它本地和全局组则位于“用户”文件夹中。
经过升级的PDC可以在其余Windows NT Server 4.0和更早的备用域控制器（BDC）之间同步对安全主体的修改。运行的Windows NT Server 4.0服务器和更早的BDC会将其作为域的主控。
如果一台运行Windows Server 2003的域控制器离线或者发生故障而变得不可用，并且域中每一欧其它的Windows Server 2003域控制器，那么可以将Windows NT BDC提升为PDC，以弥补Windows Server 2003域控制器离线带来的空白。
经过升级的域控制器是森林的一个全功能成员。新的域将被添加到域和站点结构中，在新域加入森林后所有的域控制器都会获得通知。
升级其余的备用域控制器
在升级了Windows NT Server 4.0和更早的PDC之后，可以继续对其余的BDC进行升级。在升级过程中，您可能希望从网络中删除一台BDC，以确保能够拥有一个备份，预防万一出现的各类故障。该BDC将保存当前域数据库的一个安全副本。
如果在升级过程中发生了问题，可以从生产环境中删除所有运行Windows的域控制器，然后将BDC加入网络，让其成为新的PDC。新的PDC会把数据复制到域的各个角落，让域返回到先前状态。
这种方法的唯一缺点是：在BDC离线期间进行的所有修改都会丢失。为了将损失降低到最小限度，在升级过程中，可以定期开启并关闭作为备份的BDC（当域处于稳定状态的时候），以便对其拥有的目录副本加以升级。
在对Windows NT Server 4.0以及更早的域进行升级的时候，只有一台运行Windows Server 2003的域控制器能够创建安全主体（用户、组和计算机帐户）。该台域控制器被配置为一台模拟PDC的主控服务器。PDC模拟主控模仿Windows NT Server 4.0和更早PDC的行为。有关PDC模拟主控的更多信息，请参阅“Windows Server 2003帮助和支持中心”的“操作主控角色”主题。
转换组
在您将一台运行Windows NT Server 4.0的主域控制器升级为一台Windows Server 2003服务器的时候，现有的Windows NT组将以如下方式被转换：
·         当Windows Server 2003域切换为本机模式时，Windows NT本地组被转换为Windows Server 2003服务器上的域的本地组。
域中运行Windows NT的成员计算机可以继续显示并访问转换后的组。这些组在客户机上作为Windows NT Server 4.0的本地和全局组显示。但是，如果这种成员关系违反了Windows NT的组规则，Windows NT客户机将无法显示组的成员，或者修改成员的属性。例如，当一台Windows NT客户机查看Windows Server 2003服务器上某个全局组成员的时候，它不会看到作为该全局组成员的其它组。
在Windows Server 2003服务器上使用转换后的组
没有运行Active Directory客户端软件的客户机会将Windows Server 2003服务器上的通用组辨认成全局组。在查看通用组成员的时候，Windows NT客户机只能查看并访问Windows Server 2003服务器上那些符合全局组成员关系规则的组成员。
在被设置为Windows 2000本机功能级别的Windows Server 2003域中，所有的域控制器都必须是运行Windows Server 2003的服务器。但是，域可以包含运行Windows NT Server 4.0的成员服务器。这些服务器以查看全局组的方式查看通用组，并且可以为组赋予通用组的权限，和将它们放入本地组中。
在Windows Server 2003域中，运行Windows NT管理工具的Windows NT Server 4.0成员服务器不能访问域的本地组。然而，可以通过使用Windows Server 2003服务器和Windows Server 2003管理工具包中的管理工具来访问Windows NT Server 4.0服务器，从而解决这个问题。您可以使用这些工具显示域的本地组，并且针对位于Windows NT Server 4.0服务器上的资源为它们分配访问权限。
完成域的升级
如果已经将现有的所有Windows NT Server 4.0服务器和更早的主域控制器和备用域控制器升级到Windows Server 2003，并且不打算继续使用Windows NT Server 4.0和更早的域控制器，可以将域的功能级别从“Windows 2000混合”提升到“Windows 2000本机”。有关提升域的功能级别的更多信息，请参阅本白皮书中的提升域的功能级别 一节。
在您将域的功能级别提高到“Windows 2000本机”时，会发生以下几件事情：
·         域控制器不再支持NTLM复制。
·         用来模拟PDC操作主控的域控制器不能与Windows NT Server 4.0和更早的BDC同步数据。
·         Windows NT Server 4.0以及更早的域控制器不能被添加到域中。（您可以添加运行Windows 2000或者Windows Server 2003的新的域控制器）
·         使用先前版本Windows系统的用户和计算机开始通过可传递的Active Directory信任受益，并且能够访问森林任何一处的资源（具有拥有相应的权限）。虽然先前版本的Windows不支持Kerberos V5协议，但是域控制器提供的pass-through身份验证允许用户和计算机能够在森林的任何一个域中接受身份验证。用户或计算机可以访问森林中任何一个域的资源，只要它们拥有相应的权限。
除了能够对森林中的其它域进行更强大访问之外，客户机并不会意识到域发生了什么变化。
在较老的客户机上安装Active Directory客户端软件
运行Active Directory客户端软件的计算机可以使用Active Directory特性（例如身份验证）访问域树或森林中的资源，以对目录加以查询。默认情况下，运行Windows XP Professional和Windows 2000 Professional的客户机已经内置了客户端软件，可以正常访问Active Directory资源。
但是，在能够访问Active Directory资源之前，运行较老Windows系统（Windows 95、Windows 98和Windows NT）的计算机需要安装Active Directory客户端软件。如果不安装客户端软件，先前版本的Windows操作系统只能按照访问Windows NT Server 4.0域和更早域的方式访问域，只能通过Windows NT Server 4.0和较早的单向传递信任查找可用的资源。
被升级到Windows Server 2003的Windows NT Server 4.0域控制器默认情况下已经启用了Server 服务器消息块（Message Block，SMB）协议数据包签署，因此要求试图通过身份验证的客户机也启用SMB数据包签署。域中运行Windows NT Server 4.0 Service Pack 3的客户机以及更早版本和Windows 95将无法登录或者访问网络中的资源。
为了允许这些客户机访问域中的资源，可以在组策略对象编辑器中禁用“Microsoft网络服务器：数字签署通信（总是）”设置，让所有基于Windows的域控制器不要求客户机使用SMB数据包标记。这样做可以阻止域控制器要求那些尚未启用SMB数据包签署的客户机使用它，然是仍然允许域控制器与已经启用了SMB数据包签署的客户机进行协商。
有关Active Directory客户端软件的更多信息，请参阅“Windows Server 2003帮助和支持中心”的“Active Directory客户端”主题。
当域的功能级别被设置为“Windows 2000混合”之后，域控制器只会向使用先前版本的Windows操作系统的客户机暴露那些建立了Windows NT Server 4.0和更早的显式信任关系的较早的域。这不仅创建了一个连续一致的环境，较早版本的客户机在这个环境中只能够通过显示信任访问域中的资源，而不管域控制器运行的是Windows Server 2003、Windows NT Server 4.0还是其它更早的备用域控制器。
提升域的功能级别
域可以工作在三种功能级别上：Windows 2000混合，它是默认设置（包括了运行Windows 2000、Windows NT Server 4.0和Windows Server 2003的域控制器）、Windows 2000本机（包括了运行Windows 2000和Windows Server 2003的域控制器）以及Windows Server 2003（只包括运行Windows Server 2003的域控制器）。
在所有的域控制器都运行Windows Server 2003之后，可以使用“Active Directory域和信任”将域和森林的功能级别提升到Windows Server 2003，请右击希望提升功能级别的域，然后点击“提升域的功能级别”。
注意：在提升了域的功能级别之后，运行较老操作系统的域控制器将无法被引入到域中。例如，如果您将域的功能级别提升到了Windows Server 2003，运行Windows 2000 Server的域控制器就再也无法添加到域中。
下表描述了在各个域功能级别能够启用的域级别特性：

域特性	Windows 2000 混合	Windows 2000 本机	Windows Server 2003
域控制器重命名工具	禁用	禁用	启用
更新登录时间戳	禁用	禁用	启用
Kerberos KDC密钥版本号	禁用	禁用	启用
InetOrgPerson对象上的用户口令	禁用	禁用	启用
通用组	分布组启用 安全组禁用	启用 允许安全组和分布组	启用 允许安全组和分布组
组的嵌套	分布组启用。 安全组禁用，但是可以将全局组作为其成员的域本地安全组除外。	启用 允许组的全面嵌套	启用 允许组的全面嵌套
组的转换	禁用 不允许对组进行转换	启用 允许在安全组和分布组之间进行转换。	启用 允许在安全组和分布组之间进行转换。
SID历史	禁用	启用 允许安全主体从一个域迁移到另一个域。	启用 允许安全主体从一个域迁移到另一个域。

表 2  各个功能级别能够使用的域级别特性
提升森林的功能级别
森林功能应用于森林中的所有域。有两种森林功能级别：Windows 2000（支持运行Windows NT Server 4.0、Windows 2000和Windows Server 2003 的域控制器）和Windows Server 2003（只支持运行Windows Server 2003的域控制器）。如果您正在升级第一个Windows NT域，希望使其成为新的Windows Server 2003森林中的第一个域，那么还有另外一个森林功能级别可供选择，该功能级别被称作“Windows Server 2003过渡模式”。
默认情况下，森林运行在Windows 2000功能级别。您可以将森林的功能级别提高到Windows Server 2003。在提升了森林的功能级别后，运行较早版本操作系统的域控制器将无法再被加入到森林中。
下表描述了在各个森林功能级别可以使用的森林级别的功能特性：

森林特性	Windows 2000	Windows Server 2003
全局编录复制优化	禁用	启用
废止架构对象	禁用	启用
森林信任	禁用	启用
链接值复制	禁用	启用
域的重命名	禁用	启用
得到改进的复制算法	禁用	启用
动态辅助分类	禁用	启用
InetOrgPerson objectClass 的修改	禁用	启用

表3  各个森林功能级别能够使用的森林特性
域控制器
如前所述，升级到Active Directory 可以在不中断系统运行的情况下分步进行。如果遵照我们提供的域升级建议操作，您无需让域停止运行即可升级域控制器、成员服务器或者工作站。
在Active Directory中，域  就是管理员定义的一组计算机、用户和组对象的集合。这些对象共享相同的目录数据库、安全策略以及与其它域的安全关系。森林 则是一个或更多Active Directory 域的集合，它们共享相同的分类和属性定义（架构）、站点和复制信息（配置），以及森林范围内的搜索能力（全局编录）。同一个森林中的域通过双向、可传递的信任关系联系在一起。
为了准备包含Windows 2000域控制器的域的升级，我们建议您在所有Windows 2000域控制器上应用Service Pack 2或者更高版本的服务包。
在升级一个运行Windows 2000或Windows Server 2003系统的域控制器，或者在运行Windows Server 2003的第一台域控制器上安装Active Directory之前，请确保您的服务器、森林和域已经一切就绪。可以在winnt32命令行工具中使用 /checkupgradeonly 参数检查服务器的升级兼容性。
参考资料
有关Windows Server 2003命令行工具和域控制器升级的更多信息，请访问“Windows Server 2003帮助和支持中心”。
使用远程安装服务
所有版本的Windows Server 2003产品（Web版除外）都提供了远程安装服务（Remote Installation Services，RIS），RIS是一种变更和配置管理特性，也包括在Windows 2000之中。RIS允许用户以远程方式建立一台新的客户机，无需从物理形式上访问每台客户端计算机。通过将计算机连接到网络，您可以使用RIS在具有远程启动能力的客户机上安装操作系统，启动客户机，以及使用一个合法的用户帐户登录。
如果您的网络使用了RIS和Windows NT Server 4.0，应该在升级到Windows Server 2003时首先升级RIS服务器。由于Active Directory执行身份验证的方式发生了变化，如果不首先升级RIS服务器，您将无法使用RIS。将RIS服务器升级到Windows Server 2003使它可以与其余的Windows NT Server 4.0域控制器以及Windows Server 2003域控制器展开通信。
请注意：对于管理员来说，Windows Server 2003的“开始”菜单和以前有一些不同。
部署资源
为了部署Windows Server 2003域控制器，我们建议您使用Windows Server 2003 Deployment Kit（部署工具包），该工具包可以从Microsoft Windows资源工具包站点获得，地址： http://www.microsoft.com/windows/reskits/.
在线的部署工具包包括了案例研究和在运行Windows NT Server 4.0或Windows 2000的网络中部署Windows Server 2003 Active Directory所需的其它信息。
如果您的网络包括了分支办公室，请参见Microsoft Windows资源工具包站点上的“设计站点拓扑”，地址： http://www.microsoft.com/windows/reskits/. 该在线指南将帮助您在分支办公室站点通过慢速网络连接到公司站点的情况下，对Active Directory的部署加以规划。
重命名域控制器
对运行Windows Server 2003的域控制器重新命名的能力为您提供了根据需要修改Windows Server 2003域的灵活性。重命名域控制器可以：
·         根据组织和企业的需要重新调整网络的结构。
·         让管理工作变得更轻松。
在您重新命名一台域控制器的时候，必须确保客户机对重命名后的域控制器的查找和身份验证过程不会中断（域控制器正在重新启动的时候除外，重启操作对于域控制器的重命名来说是必需的）。
对域控制器重命名的另外一个要求是域的功能级别必须设置为Windows Server 2003。域控制器的新名字会自动在DNS和Active Directory中更新。在新的名称传播到DNS和Active Directory之后，客户机就可以定位和验证重命名后的域控制器。DNS和Active Directory复制延迟可能会推迟客户机查找或验证重命名域控制器的时间。具体的延迟时间要根据网络设置和组织的复制拓扑而定。
在复制延迟期间，客户机无法访问新近重命名过的域控制器。对于那些试图查找和验证特定域控制器的客户机来说，这种延迟是可以接受的，因为其它的域控制器应该能够对它们的验证请求做出回应。
使用域信任
Windows 2000或Windows Server 2003森林内的所有信任都是可传递和双向的。因此，信任关系中的域会自动信任对方。这就意味着，如果域A信任域B，而且域B信任域C，那么域C中的用户（应该具有相应的权限）就可以访问域A中的资源。
信任协议
运行Windows Server 2003的域控制器使用以下两种协议之一验证用户的身份：Kerberos V5或者NTLM。Kerberos V5协议是运行Windows 2000、Windows XP Professional或 Windows Server 2003系统的计算机上的默认协议。如果验证过程中有任何一台计算机不支持Kerberos V5，将使用NTLM协议。
通过Kerberos V5协议，客户机请求一个从它的帐户域中的域控制器到信任域服务器的票据。票据由受客户机和服务器双方信任的一个中介办法。客户机向信任域的服务器出示此票据，以便通过身份验证。
如果一台客户机试图访问一台服务器，该服务器位于使用NTLM验证方法的另一个域，包含该资源的服务器必须联系该客户机所在的帐户域，以验证帐户的凭据是否正确。
受信任域对象
受信任域对象（TDO）是一些代表特定域内部每条信任关系的对象。每次建立信任关系时，便会在它的域中建立和存储（在SYSTEM容器中）一个独一无二的TDO。诸如信任是否可传递、信任类型以及伙伴域的名称等属性都在TDO中进行表述。
森林信任TDO存储了更多的信息，以便从它的伙伴森林处验证所有受信任的命名空间。这些属性包括了域树的名称、UPN后缀以及SID命名空间。
不可传递的信任和Windows NT 4.0
不可传递信任  限制在信任关系双方内部，并且不能流动到森林中的其它域。一条不可传递的信任可以是双向的，也可以是单向的。
不可传递信任默认为单向信任关系，但是也可以通过创建两条单向信任，从而建立一条双向信任。不可传递的域信任是以下域之间唯一可用的信任关系：
·         Windows Server 2003域和Windows NT域。
·         一个森林中的Windows Server 2003域和另一个森林中的域（在没有添加森林信任的情况下）。
通过使用“新建信任向导”，您可以手动创建以下不可传递信任关系：
·         外部信任。在Windows Server 2003域和Windows NT、Windows 2000域或者其它森林中的Windows Server 2003域之间创建的不可传递信任关系。在将一个Windows NT域升级到Windows Server 2003域的时候，现有的所有Windows NT信任都被完整无缺地保留下来。Windows Server 2003域和Windows NT域之间建立的所有信任关系都是不可传递的。
·         领域信任。Active Directory域和Kerberos V5领域之间的不可传递信任。有关Kerberos V5领域的更多信息，请参阅“Windows帮助和支持中心”里的“Kerberos V5 身份验证”主题。
外部信任和Windows NT 4.0
您可以创建一条外部信任，和森林外部的域形成单向的不可传递信任。如果用户yao访问位于Windows NT 4.0域外部的资源，或者访问另一个森林中的域资源，而且该森林没有加入森林信任，那么外部信任是必需的。
如果在特定森林中的一个域和森林外部的一个域之间建立一条信任关系，来自外部域的安全主体可以访问内部域的资源。Active Directory将在内部域中创建一个“外部安全主体”对象，代表来自被信任外部域的每个安全主体。这些外部安全主体可以成为内部域中的域本地组成员。域本地组的 成员可以来自森林外部的域。
外部安全主体的目录对象由Active Directory创建，并且不应该手动修改。启用“高级特性”后，可以从“Active Directory用户和计算机”中查看外部安全主体对象。有关启用“高级特性”的更多信息，请参看“Windows Server 2003帮助和支持中心”的“查看高级特性”主题。
为了创建一条外部信任，您必须在Windows Server 2003森林中拥有该域的企业管理员（Enterprise Admin）或者域管理员（Domain Admin）权限。每条信任关系都被分配了一个口令，信任双方的域管理员必须知道该口令。有关创建外部信任的更多信息，请参阅“Windows Server 2003帮助和支持中心”的“创建外部信任”主题。
注意：在Windows 2000 混合域中，外部信任应该总是从Windows Server 2003域控制器中删除。到Windows NT Server 4.0或3.51域的外部信任可以被Windows NT Server 4.0或3.51 域控制器上经过授权的管理员。但是，只有信任关系被信任方能够在Windows NT Server 4.0或3.51 域控制器上被删除。信任关系的信任方（在Windows Server 2003域中创建）不能被删除，尽管它已经不再发生效力，但是仍然会显示在“Active Directory域和信任”中。为了彻底删除信任，需要从信任域的Windows Server 2003域控制器上删除该信任。如果从Windows NT Server 4.0或3.51 域控制器上由于误操作删除了一条外部信任，您需要在信任域的任何一台Windows Server 2003域控制器上重新建立该信任关系。
有关信任类型的更多信息，请参阅“Windows Server 2003帮助和支持中心”。
一些Windows NT 任务在Windows Server 2003的执行方式
下表列出了与Active Directory配置有关的一些常见工作。用来执行这些工作的用户界面在Windows Server 2003和Windows NT Server 4.0中是不同的。

任务	Windows NT Server 4.0中的用户界面	Windows Server 2003中的用户界面
安装域控制器	Windows 安装程序	Active Directory 安装向导
管理用户帐户	用户管理器	Active Directory用户和计算机
管理组	用户管理器	Active Directory用户和计算机
管理计算机帐户	服务器管理器	Active Directory用户和计算机
向域中添加一台计算机	服务器管理器	Active Directory用户和计算机
创建或管理信任关系	用户管理器	Active Directory域和信任关系
管理帐户策略	用户管理器	Active Directory用户和计算机
管理用户权限	用户管理器	Active Directory用户和计算机
管理审核策略	用户管理器	Active Directory用户和计算机

表4  Windows NT Server 4.0和Windows Server 2003部分用户界面的差异
对现有应用的支持
在运行Windows NT Server 4.0或者更早操作系统的服务器上，匿名用户拥有用户和组信息的读访问权限，以便于现有应用程序（包括Microsoft BackOffice?、SQL Server?以及某些非Microsoft程序）能够正常工作。
在Window 2000和Windows Server 2003中，Anonymous Logon（匿名登录）组的成员只有在该组被添加到Pre-Windows 2000 Compatible Access（Windows 2000以前系统兼容访问）组时可以读取这些信息。
在“Active Directory安装向导”中，可以通过选取“和Windows 2000服务器操作系统以前的系统保持权限兼容”选项，选择是否希望将Anonymous Logon组和Everyone安全组添加到Pre-Windows 2000 Compatible Access组中。
当把域控制器从Windows 2000升级到Windows Server 2003时，如果Everyone安全组已经是pre-Windows 2000 Compatible Access安全组的成员（指出需要向后兼容），Anonymous Logon安全组将在升级过程中被添加到pre-Windows 2000 Compatible Access安全组中。
可以使用“Active Directory用户和计算机”将Anonymous Logon安全组添加到pre-Windows 2000 Compatible Access安全组，手动在Active Directory对象的向后兼容和高安全性设置之间来回切换。
注意：如果在提升域控制器的时候，选择了“只与Windows Server 2003操作系统保持权限兼容”选项，并且发现应用程序不能正确工作，可以手动将Everyone组添加到Pre-Windows 2000 Compatible Access安全组中，并且重新启动域中的域控制器以解决这个问题。在您把程序升级为与Windows Server 2003兼容之后，应该重新恢复原来更为安全的设置，将Everyone组从Pre-Windows 2000 Compatible Access安全组中删除，并且重新启动受影响域中的所有域控制器。
Active Directory的最佳实践
以下提供了建立和使用Active Directory方面的一些最佳实践。
·         作为安全方面的最佳实践，我们建议您不要使用管理员的凭据登录到计算机。在您不使用管理员凭据登录到计算机的时候，可以使用“Run as”（运行为）完成管理工作。有关这方面的更多信息，请参阅“Windows Server 2003帮助和支持中心”的“为什么您不应该作为管理员运行计算机”和“使用Run as”主题。
·         为了进一步保护Active Directory的安全，应该实现以下安全策略：
·         在每个域中重新命名或者禁用Administrator帐户（以及Guest帐户），以防止对域的攻击企图。更多相关信息，请参阅“帮助和支持中心”的“用户和计算机帐户”主题。
·         将所有域控制器放在一个上锁的房间，从物理形式上保证域控制器的安全。更多相关信息，请参阅“Windows Server 2003帮助和支持中心”的“域控制器和Active Directory的安全防护”主题。
·         管理两个森林间的安全关系，并且简化跨森林的安全管理和身份验证。更多相关信息，请参阅“Windows Server 2003帮助和支持中心”的“森林信任”主题。
·         为了为Active Directory架构提供更多保护，从Schema Admins（架构管理员）组中删除所有用户，只有在需要修改架构时才向该组添加一个用户。一旦开始架构修改完毕，立即将该用户从组中删除。
·         将用户、组和计算机的访问限制到共享资源上，并且筛选组策略设置。更多相关信息，请参阅“Windows Server 2003帮助和支持中心”的“安全组”主题。
·         默认情况下，Active Directory管理工具上的所有流量在网络中传输时都经过签署和加密。不要禁用该特性。更多相关信息，请参阅“Windows Server 2003帮助和支持中心”的“通过MMC管理Active Directory”。
·         某些分配给特定默认组的默认用户权限可能允许这些组的用户获得域的更大权限，其中包括某些管理权限。所以，您的组织必须同等地信任Enterprise Admins（企业管理员）、Domain Admins（域管理员）、Account Operators（帐户操作员）、Server Operators（服务器操作员）、Print Operators（打印操作员）以及Backup Operators（备份操作员）组的所有成员。有关这些组的更多相关信息，请参阅“Windows Server 2003帮助和支持中心”的“默认组”主题。
有关Active Directory的一般性安全信息，请参阅“Windows Server 2003帮助和支持中心”的“Active Directory安全概述”和“保护Active Directory的安全”主题。
·         为要求快速访问最新目录信息的每个地理位置建立一个站点
把要求快速访问最新Active Directory信息的区域建为单独的站点可以提供满足您需要的资源。更多相关信息，请参阅“Windows Server 2003帮助和支持中心”的“创建站点”主题。
·         每个站点至少配备一台域控制器，每个站点至少将一台域控制器配置为全局编录。没有自己的域控制器的站点和至少一台全局编录服务器的站点需要倚靠来自其它站点的目录信息，并且是低效率的。更多相关信息，请参阅“Windows Server 2003帮助和支持中心”的“启用或禁用全局编录”主题。
·         保留所有链接桥，并且让链接的连接日程不受限制。将所有站点桥接在一起可以实现站点间链接的最大化，避免手动建立这些链接桥。让站点链接日程不受限制则意味着不会因为发生连接日程冲突而导致无法复制。默认情况下，所有的站点链接都是桥接的，并且站点链接的连接日程均不受限制。更多相关信息，请参阅“Windows Server 2003帮助和支持中心”的“启用或禁用站点链接桥”和“配置站点链接的连接日程”主题。
·         如果使用防火墙或者希望专门将一台计算机用于站点间复制，可以建立一台首选的桥头服务器。桥头服务器作为和防火墙外部其它站点开展通信的代理服务器。所有站点必须与至少一个子网相关联和位于至少一个站点链接内，否则将是不能使用的。更多相关信息，请参阅“Windows Server 2003帮助支持中心”的“建立子网和站点的关联”和“将站点添加到站点链接”主题。
·         执行域控制器的定期备份，以便保留域内的所有信任关系。更多相关信息，请参阅“Windows Server 2003帮助和支持中心”的“域控制器”主题。


总结
Windows Server 2003操作系统产品家族提供了远远超出Windows NT Server 4.0操作系统家族的强大功能。Windows Server 2003在设计之处即着眼于Windows 2000和Windows NT Server 4.0系统的升级问题，企业和组织能够轻松利用Windows Server 2003所带来的众多新功能和增强特性。
在准备升级时，首先需要选择一个适合的Microsoft Windows Server 2003版本：
·         Windows Server 2003 标准版。 标准版针对小型组织和部门级应用设计，提供了智能化的文件和打印共享、安全的Internet链接和集中的桌面应用部署，以及能够将员工、伙伴和客户紧密联系在一起的Web解决方案、标准版具有高水平的可靠性、伸缩性和安全性。
·         Windows Server 2003 企业版。企业版针对中大型企业的需要而设计，是Microsoft建议采用的服务器操作系统，用户可以在上面运行各类应用，例如网络、消息、库存、客户服务系统、数据库以及电子商务Web站点。企业版提供了强大的可靠性、优异的性能表现以及超强的商业价值。企业版又分为32位和64位两个版本。
·         Windows Server 2003 数据中心版。数据中心版针对企业在高伸缩性、高可靠性和高可用性方面的苛刻需求，适于运行各种任务关键级的企业解决方案，例如数据库系统、企业资源规划软件、大容量实时事务处理以及服务器合并等。数据中心版也包括32位和64位两个版本。
·         Windows Server 2003 Web版。Web版针对用户托管Web应用、Web页面和XML Web服务的需要而设计，位Internet服务提供商、应用程序开发商以及只希望部署特定Web功能的其它人员提供了一个单用途的解决方案。Web版充分利用了Microsoft对Internet信息服务（IIS）6.0、Microsoft ASP.NET以及Microsoft .NET Framework的改进。
第二个需要做出的决定是选择升级——在现有系统之上叠加新的系统——或者执行一次全新安装或迁移。
Active Directory在Windows Server 2003中已经成为了更为强大的一个管理资源，并且可以部署在各种Windows Server 2003环境和包括了Windows 2000和Windows NT Server 4.0域的混合环境中。“Active Directory安装向导”简化了系统的部署过程。
Microsoft致力于让升级过程尽可能地轻松，以便组织可以更加从容不迫地享受Windows Server 2003操作系统家族所带来的诸多益处。


相关链接
欢迎访问以下资源了解更多信息：
·         使用应用程序兼容性工具包 ：http://www.microsoft.com/windowsserver2003/compatible/appcompat/.
·         升级 Windows NT Server 4.0的10大理由 ： http://www.microsoft.com/windowsserver2003/evaluation/whyupgrade/top10nt/.
·         升级Windows 2000 Server的10大理由：： http://www.microsoft.com/windowsserver2003/evaluation/whyupgrade/top10w2k/.
·          Windows Server 2003产品文档：http://www.microsoft.com/windowsserver2003/proddoc/.
有关Windows Server 2003的更多信息，请访问Windows Server 2003 Web站点： http://www.microsoft.com/windowsserver2003/.