이 문서에서는 Microsoft Windows 2000 도메인 컨트롤러를 Microsoft Windows Server 2003으로 업그레이드하는 방법과 새 Windows Server 2003 도메인 컨트롤러를 Windows 2000 도메인에 추가하는 방법을 설명합니다.

위로 가기

도메인 및 포리스트 인벤토리

Windows 2000 도메인 컨트롤러를 Windows Server 2003으로 업그레이드하거나 새 Windows Server 2003 도메인 컨트롤러를 Windows 2000 도메인에 추가하기 전에 다음과 같이 하십시오.

SMB 서명과 호환되도록 Windows Server 2003 도메인 컨트롤러를 호스트하는 도메인의 리소스에 액세스하는 클라이언트에 대해 다음과 같은 작업을 수행합니다.

각 Windows Server 2003 도메인 컨트롤러는 로컬 보안 정책에서 SMB 서명을 설정합니다. SMB/CIFS 프로토콜을 사용하여 Windows Server 2003 도메인 컨트롤러를 호스트하는 도메인의 공유 파일과 프린터에 액세스하는 모든 네트워크 클라이언트가 SMB 서명을 지원하도록 구성되거나 업그레이드될 수 있어야 합니다. 그렇지 않을 경우 업데이트를 설치할 수 있을 때까지나 SMB 서명을 지원하는 최신 운영 체제로 클라이언트를 업그레이드할 수 있을 때까지 일시적으로 SMB 서명을 해제합니다. SMB 서명을 해제하는 방법에 대한 자세한 내용은 이 단계 끝에 있는 "SMB 서명을 해제하려면"을 참조하십시오.

작업 계획

다음 목록은 일반적인 SMB 클라이언트에 대한 작업 계획을 보여 줍니다.

•	Microsoft Windows Server 2003, Microsoft Windows XP Professional, Microsoft Windows 2000 Server, Microsoft Windows 2000 Professional 및 Microsoft Windows 98 작업이 필요하지 않습니다.
•	Microsoft Windows NT 4.0 Windows Server 2003 기반 컴퓨터가 포함된 도메인에 액세스하는 모든 Windows NT 4.0 기반 컴퓨터에 서비스 팩 3 이상(서비스 팩 6A 권장)을 설치합니다. 또는 Windows Server 2003 도메인 컨트롤러에서 SMB 서명을 일시적으로 해제합니다. SMB 서명을 해제하는 방법에 대한 자세한 내용은 이 단계 끝에 있는 "SMB 서명을 해제하려면"을 참조하십시오.
•	Microsoft Windows 95 Windows 95 기반 컴퓨터에 Windows 9x 디렉터리 서비스 클라이언트를 설치하거나 Windows Server 2003 도메인 컨트롤러에서 SMB 서명을 일시적으로 해제합니다. 원래 Win9x 디렉터리 서비스 클라이언트는 Windows 2000 Server CD-ROM에 있습니다. 하지만 해당 클라이언트 추가 기능 프로그램은 향상된 Win9x 디렉터리 서비스 클라이언트로 대체되었습니다. SMB 서명을 해제하는 방법에 대한 자세한 내용은 이 단계 끝에 있는 "SMB 서명을 해제하려면"을 참조하십시오.
•	MS-DOS 및 Microsoft LAN Manager 클라이언트용 Microsoft 네트워크 클라이언트 MS-DOS 및 Microsoft LAN Manager 2.x 네트워크 클라이언트용 Microsoft 네트워크 클라이언트는 네트워크 리소스에 액세스하는 데 사용하거나, 부팅 가능 플로피 디스크와 함께 사용하여 파일 서버의 공유 디렉터리에서 운영 체제 파일과 기타 파일을 소프트웨어 설치 루틴의 일부로 복사할 수 있습니다. 이러한 클라이언트는 SMB 서명을 지원하지 않습니다. 다른 설치 방법을 사용하거나 SMB 서명을 해제합니다. SMB 서명을 해제하는 방법에 대한 자세한 내용은 이 단계 끝에 있는 "SMB 서명을 해제하려면"을 참조하십시오.
•	Macintosh 클라이언트 일부 Macintosh 클라이언트는 SMB 서명과 호환되지 않으며 네트워크 리소스에 연결하려고 할 때 다음과 같은 오류 메시지가 나타납니다. - 오류 -36 I/O 사용 가능한 경우 업데이트된 소프트웨어를 설치합니다. 그렇지 않으면 Windows Server 2003 도메인 컨트롤러에서 SMB 서명을 해제합니다. SMB 서명을 해제하는 방법에 대한 자세한 내용은 이 단계 끝에 있는 "SMB 서명을 해제하려면"을 참조하십시오.
•	타사 SMB 클라이언트 일부 타사 SMB 클라이언트는 SMB 서명을 지원하지 않습니다. SMB 공급자에게 업데이트된 버전이 있는지 문의하십시오. 그렇지 않으면 Windows Server 2003 도메인 컨트롤러에서 SMB 서명을 해제합니다.

SMB 서명을 해제하려면

Windows Server 2003을 사용하기 전에 설치된 Windows 95, Windows NT 4.0 또는 다른 클라이언트를 실행하는 영향을 받는 도메인 컨트롤러에 소프트웨어 업데이트를 설치할 수 없는 경우에는 업데이트된 클라이언트 소프트웨어를 배포할 수 있을 때까지 일시적으로 그룹 정책에서 SMB 서비스 서명 요구 사항을 해제하십시오.

SMB 서비스 서명은 도메인 컨트롤러 조직 구성 단위에 있는 기본 도메인 컨트롤러 정책의 다음 노드에서 해제할 수 있습니다.

컴퓨터 구성\Windows 설정\보안 설정\로컬 정책\보안 옵션\Microsoft 네트워크 서버: 디지털 서명 통신(항상)

도메인 컨트롤러의 조직 구성 단위에 도메인 컨트롤러가 없으면 Windows 2000 또는 Windows Server 2003 도메인 컨트롤러를 호스트하는 모든 조직 구성 단위에 기본 도메인 컨트롤러의 GPO(그룹 정책 개체)를 연결해야 합니다. 또는 그러한 조직 구성 단위에 연결된 GPO에서 SMB 서비스 서명을 구성할 수 있습니다.

도메인과 포리스트에 있는 도메인 컨트롤러에 대해 다음과 같은 작업을 수행합니다.

포리스트의 모든 Windows 2000 도메인 컨트롤러에 적절한 핫픽스와 서비스 팩이 모두 설치되었는지 확인합니다.

모든 Windows 2000 도메인 컨트롤러는 Windows 2000 서비스 팩 4(SP4) 이상의 운영 체제를 실행하는 것이 좋습니다. Windows 2000 SP4 이상을 완전히 배포할 수 없는 경우 모든 Windows 2000 도메인 컨트롤러에 날짜 스탬프가 2001년 6월 4일 이후이고 버전이 5.0.2195.3673 이상인 Ntdsa.dll 파일을 설치해야 합니다. 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.

331161 (http://support.microsoft.com/kb/331161/) Windows 2000 도메인 컨트롤러에서 adprep /Forestprep를 실행하여 Windows Server 2003 기반 도메인 컨트롤러를 추가하기 위한 포리스트 및 도메인을 준비하기 전에 설치할 핫픽스

기본적으로 Windows 2000 SP4, Windows XP 및 Windows Server 2003 클라이언트 컴퓨터의 Active Directory 관리 도구는 LDAP(Lightweight Directory Access Protocol) 서명을 사용합니다. 그러한 컴퓨터가 Windows 2000 도메인 컨트롤러를 원격으로 관리할 때 NTLM 인증을 사용하고 있거나 이 인증을 사용하도록 변경되면 연결이 되지 않습니다. 이 문제를 해결하려면 원격으로 관리되는 도메인 컨트롤러에 Windows 2000 SP3 이상이 설치되어 있어야 합니다. 그렇지 않으면 관리 도구를 실행하는 클라이언트에서 LDAP 서명을 해제해야 합니다. LDAP에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.

325465 (http://support.microsoft.com/kb/325465/) Windows Server 2003 관리 도구를 사용하는 경우 Windows 2000 도메인 컨트롤러에 SP3 이상이 있어야 한다

다음과 같은 시나리오에서는 NTLM 인증이 사용됩니다.

•	NTLM(비 Kerberos) 트러스트를 사용하여 연결된 외부 포리스트에 있는 Windows 2000 도메인 컨트롤러를 관리합니다.
•	IP 주소에서 참조하는 특정 도메인 컨트롤러에 대한 Microsoft Management Console(MMC) 스냅인에 중점을 둡니다. 예를 들면 시작, 실행을 차례로 누르고 다음 명령을 입력합니다. dsa.msc /server=ipaddress

Active Directory 도메인에 있는 Active Directory 도메인 컨트롤러의 운영 체제와 서비스 팩 버전 수준을 확인하려면 해당 포리스트의 Windows XP Professional 또는 Windows Server 2003 구성원 컴퓨터에 Windows Server 2003 버전의 Repadmin.exe를 설치한 다음 해당 포리스트 내의 각 도메인에 있는 도메인 컨트롤러에 대해 아래와 같은 repadmin 명령을 실행합니다.

>repadmin /showattr name of the domain controller that is in the target domain ncobj:domain: /filter:"(&(objectCategory=computer)(primaryGroupID=516))" /subtree /atts:operatingSystem,operatingSystemVersion,operatingSystemServicePack

DN: CN=NA-DC-01,organizational unit=Domain Controllers,DC=company,DC=com
1> operatingSystem: Windows Server 2003
1> operatingSystemVersion: 5.2 (3718)
DN: CN=NA-DC-02,organizational unit=Domain Controllers,DC=company,DC=com
1> operatingSystem: Windows 2000 Server
1> operatingSystemVersion: 5.0 (2195)
1> operatingSystemServicePack: Service Pack 1

참고: 도메인 컨트롤러의 특성으로 개별 핫픽스의 설치를 추적할 수 없습니다.

포리스트 전체에서 종단 간 Active Directory 복제를 확인합니다.

업그레이드한 포리스트의 각 도메인 컨트롤러가 사이트 링크 또는 연결 개체에 정의된 일정에 따라 일관되게 파트너와 함께 로컬로 보유된 모든 명명 컨텍스트를 복제하는지 확인합니다. 포리스트 내의 Windows XP 또는 Windows Server 2003 기반 구성원 컴퓨터에서 Windows Server 2003 버전의 Repadmin.exe를 다음 인수와 함께 사용하십시오.

REPADMIN /REPLSUM /BYSRC /BYDEST /SORT:DELTA              <-output formatted to fit on page

DestDC    largest delta    fails/total  %%  error

NA-DC-01 13d.21h:10m:10s    97 / 143  67  (8240) There is no such object...
NA-DC-02 13d.04h:11m:07s   180 / 763  23  (8524) The DSA operation...
NA-DC-03 12d.03h:54m:41s     5 /   5 100  (8524) The DSA operation...

포리스트의 모든 도메인 컨트롤러가 오류 없이 Active Directory를 복제해야 하고 repadmin 출력에서 "Largest Delta" 열의 값이 해당하는 사이트 링크 또는 대상 도메인 컨트롤러가 사용하는 연결 개체에 정의된 복제 빈도 수보다 크지 않아야 합니다.

TSL(삭제 표시 수명) 시간(기본값은 60일) 이내에 인바운드 복제에 실패한 도메인 컨트롤러 간의 모든 복제 오류를 해결합니다. 복제 기능이 작동하지 않는 경우 Ntdsutil metadata cleanup 명령을 사용하여 강제로 도메인 컨트롤러 수준을 내리고 포리스트에서 제거한 다음 포리스트로 다시 수준을 올려야 합니다. 강제 수준 내리기를 사용하여 고아 도메인 컨트롤러에 있는 운영 체제 설치와 프로그램을 모두 저장할 수 있습니다. 고아 Windows 2000 도메인 컨트롤러를 해당 도메인에서 제거하는 방법에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.

216498 (http://support.microsoft.com/kb/216498/) 도메인 컨트롤러의 수준 내리기 실패 후 Active Directory에서 데이터를 제거하는 방법

운영 체제 설치와 설치된 프로그램을 복구하기 위한 마지막 수단으로만 이 작업을 수행하십시오. 사용자, 컴퓨터, 트러스트 관계, 암호, 그룹 및 그룹 구성원을 포함하여 고아 도메인 컨트롤러의 복제되지 않은 개체와 특성을 잃게 됩니다.

tombstonelifetime 시간이 지났는데도 특정 Active Directory 파티션의 인바운드 변경 내용을 복제하지 않은 도메인 컨트롤러에서 복제 오류를 해결하려고 할 때는 주의하십시오. 이를 수행할 때 한 도메인 컨트롤러에서는 삭제되었지만 직접 복제 또는 전이 복제 파트너가 삭제에 대한 정보를 지난 60일 동안 받지 못한 개체는 다시 활성화할 수 있습니다.

지난 60일 동안 인바운드 복제를 수행하지 못한 도메인 컨트롤러의 지연 개체를 제거해 보십시오. 또는 삭제 표시 수명 시간에 해당 파티션에서 인바운드 복제를 수행하지 못한 도메인 컨트롤러의 수준을 강제로 내리고 Ntdsutil 및 다른 유틸리티를 사용하여 Active Directory 포리스트에서 남아 있는 메타데이터를 제거할 수 있습니다. 추가 지원이 필요하면 지원 공급자나 Microsoft PSS에 문의하십시오.

c. Sysvol 공유의 내용에 일관성이 있는지 확인합니다.

그룹 정책의 파일 시스템 부분에 일관성이 있는지 확인합니다. Resource Kit의 Gpotool.exe를 사용하여 도메인에서 정책에 불일치가 있는지 확인할 수 있습니다. Sysvol 공유 복제가 각 도메인에서 기능을 올바르게 설정하는지 확인하려면 Windows Server 2003 지원 도구의 Healthcheck를 사용합니다.

Sysvol 공유의 내용에 일관성이 없으면 일관성이 없는 항목을 모두 수정합니다.

지원 도구의 Dcdiag.exe를 사용하여 모든 도메인 컨트롤러가 Netlogon 및 Sysvol 공유를 공유하는지 확인합니다. 모든 이벤트 로그를 덤프하려면 명령 프롬프트에 아래 명령을 입력합니다.

DCDIAG.EXE /e /test:frssysvol

작업 역할을 적용합니다.

스키마 및 인프라 작업 마스터는 Windows Server 2003 adprep 유틸리티에서 만든 포리스트와 해당 도메인에 포리스트와 도메인 규모의 스키마 변경 내용을 적용하는 데 사용됩니다. 포리스트에 있는 각 도메인에 대한 스키마 역할과 인프라 역할을 호스트하는 도메인 컨트롤러가 활성 도메인 컨트롤러에 있으며 각 역할 소유자가 마지막으로 다시 시작한 이후로 모든 파티션에서 인바운드 복제를 수행했는지 확인하십시오.

DCDIAG /test:FSMOCHECK 명령을 사용하여 포리스트와 도메인 전체에 적용되는 작업 역할을 볼 수 있습니다. 존재하지 않는 도메인 컨트롤러에 있는 작업 마스터 역할은 NTDSUTIL을 사용하여 정상 도메인 컨트롤러에 점유되어야 합니다. 정상이 아닌 도메인 컨트롤러에 있는 역할은 가능하면 전달되어야 합니다. 그렇지 않으면 점유되어야 합니다. NETDOM QUERY FSMO 명령은 삭제된 도메인 컨트롤러에 있는 FSMO 역할을 식별하지 못합니다.

스키마 마스터와 각 인프라 마스터가 마지막 부팅 이후로 Active Directory의 인바운드 복제를 수행했는지 확인하십시오. 인바운드 복제는 REPADMIN /SHOWREPS DCNAME 명령을 사용하여 확인할 수 있습니다. 여기서 DCNAME은 도메인 컨트롤러의 NetBIOS 컴퓨터 이름 또는 정규화된 컴퓨터 이름입니다. 작업 마스터와 해당 배치에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.

197132 (http://support.microsoft.com/kb/197132/) Windows 2000 Active Directory FSMO 역할

223346 (http://support.microsoft.com/kb/223346/) Windows 2000 도메인 컨트롤러에서 FSMO 배치 및 최적화

EventLog 검토

모든 도메인 컨트롤러의 이벤트 로그에서 문제가 있는 이벤트가 있는지 확인합니다. 다음 프로세스와 구성 요소에 대한 문제를 나타내는 심각한 이벤트 메시지가 이벤트 로그에 없어야 합니다.

실제 연결
네트워크 연결
이름 등록
이름 확인
인증
그룹 정책
보안 정책
디스크 하위 시스템
스키마
토폴로지
복제 엔진

g. 디스크 공간 인벤토리

Active Directory 데이터베이스 파일 Ntds.dit를 호스트하는 볼륨에는 Ntds.dit 파일 크기의 15-20% 이상에 해당하는 빈 공간이 있어야 합니다. Active Directory 로그 파일을 호스트하는 볼륨에도 Ntds.dit 파일 크기의 15-20% 이상에 해당하는 빈 공간이 있어야 합니다. 디스크 공간을 추가로 늘리는 방법에 대한 자세한 내용은 본 문서의 "충분한 디스크 공간이 없는 도메인 컨트롤러" 절을 참조하십시오.

h. DNS 청소(옵션)

포리스트의 모든 DNS 서버에 대해 7일 간격으로 DNS 청소를 설정합니다. 최적의 효과를 얻으려면 운영 체제를 업그레이드하기 최소 61일 이전에 이 작업을 수행하는 것이 좋습니다. 이렇게 하면 오프라인 조각 모음이 Ntds.dit 파일에서 수행될 때 DNS 청소 데몬이 충분한 시간을 갖고 오래된 DNS 개체를 가비지 수집할 수 있습니다.

DLT 서버 서비스 해제(선택 옵션)

Windows Server 2003 도메인 컨트롤러의 새로운 설치와 업그레이드 설치에는 DLT 서버 서비스가 해제되어 있습니다. 분산 링크 추적을 사용하지 않을 경우 Windows 2000 도메인 컨트롤러에서 DLT 서버 서비스를 해제하고 포리스트의 각 도메인에서 DLT 개체를 삭제할 수 있습니다. 자세한 내용은 다음 Microsoft 기술 자료 문서의 "Windows 2000 기반 서버의 분산 링크 추적에 대한 Microsoft 권장 사항" 절을 참조하십시오.

312403 (http://support.microsoft.com/kb/312403/) Windows 기반 도메인 컨트롤러의 분산 링크 추적

j. 시스템 상태 백업

포리스트에 있는 모든 도메인에서 두 개 이상의 도메인 컨트롤러에 대한 시스템 상태를 백업합니다. 업그레이드가 되지 않을 경우 이 백업을 사용하여 포리스트의 모든 도메인을 복구할 수 있습니다.

위로 가기

Windows 2000 포리스트의 Microsoft Exchange 2000

참고

•	Windows 2000 포리스트에 Exchange 2000 Server가 설치되어 있거나 설치하려는 경우 Windows Server 2003 adprep /forestprep 명령을 실행하기 전에 이 절을 읽어 보십시오.
•	Microsoft Exchange Server 2003 스키마 변경 내용을 설치하려면 Windows Server 2003 adprep 명령을 실행하기 전에 "개요: Windows 2000 도메인 컨트롤러를 Windows Server 2003으로 업그레이드" 절로 이동하십시오.

Exchange 2000 스키마는 비 RFC(Request for Comments) 호환 LDAPDisplayNames를 가진 houseIdentifier, secretary 및 labeledURI라는 세 가지 inetOrgPerson 특성을 정의합니다.

Windows 2000 inetOrgPerson Kit 및 Windows Server 2003 adprep 명령은 비 RFC 호환 버전과 동일한 LDAPDisplayNames를 가진 RFC 호환 버전의 동일한 세 가지 특성을 정의합니다.

Windows Server 2003 adprep /forestprep 명령을 Windows 2000 및 Exchange 2000 스키마 변경 내용이 포함된 포리스트에서 스크립트를 수정하지 않고 실행하면 houseIdentifier, labeledURI, secretary 특성의 LDAPDisplayNames가 맹글링됩니다. 디렉터리에 있는 개체와 특성이 고유한 이름을 갖도록 "Dup" 또는 다른 고유 문자를 충돌하는 특성 이름 시작 부분에 추가하면 특성이 “맹글링”됩니다.

다음과 같은 경우 Active Directory 포리스트는 이러한 특성의 맹글링된 LDAPDisplayNames에 취약하지 않습니다.

•	Exchange 2000 스키마를 추가하기 전에 Windows 2000 스키마가 포함된 포리스트에서 Windows Server 2003 adprep /forestprep 명령을 실행하는 경우
•	Windows Server 2003 도메인 컨트롤러가 첫 번째 도메인 컨트롤러가 되는 포리스트에 Exchange 2000 스키마를 설치하는 경우
•	Windows 2000 스키마가 포함된 포리스트에 Windows 2000 inetOrgPerson Kit를 추가한 다음 Exchange 2000 스키마 변경 내용을 설치하고 Windows Server 2003 adprep /forestprep 명령을 실행하는 경우
•	Windows Server 2003 adprep /forestprep 명령을 실행하기 전에 기존 Windows 2000 포리스트에 Exchange 2000 스키마를 추가한 다음 Exchange 2003 /forestprep 명령을 실행하는 경우

맹글링된 특성은 다음과 같은 경우에 Windows 2000에서 발생합니다.

•	Windows 2000 inetOrgPerson Kit를 설치하기 전에 labeledURI, houseIdentifier, secretary 특성의 Exchange 2000 버전을 Windows 2000 포리스트에 추가하는 경우
•	먼저 정리 스크립트를 실행하지 않고 Windows Server 2003 adprep /forestprep 명령을 실행하기 전에 labeledURI, houseIdentifier, secretary 특성의 Exchange 2000 버전을 Windows 2000 포리스트에 추가하는 경우

각 시나리오의 작업 계획은 다음과 같습니다.

시나리오 1: Windows Server 2003 adprep /forestprep 명령을 실행한 후에 Exchange 2000 스키마 변경 내용을 추가한 경우

Windows Server 2003 adprep /forestprep 명령을 실행한 후에 Exchange 2000 스키마 변경 내용을 Windows 2000 포리스트에 적용하는 경우 정리가 필요하지 않습니다. "개요: Windows 2000 도메인 컨트롤러를 Windows Server 2003으로 업그레이드" 절로 이동하십시오.

시나리오 2: Windows Server 2003 adprep /forestprep 명령을 실행하기 전에 Exchange 2000 스키마 변경 내용을 설치하는 경우

Exchange 2000 스키마 변경 내용이 이미 설치되었지만 Windows Server 2003 adprep /forestprep 명령을 실행하지 않은 경우에는 아래와 같은 작업 계획을 고려하십시오.

Schema Admins 보안 그룹의 구성원에 해당하는 계정을 사용하여 스키마 작업 마스터의 콘솔에 로그온합니다.

시작, 실행을 차례로 누르고 열기 상자에 notepad.exe를 입력한 다음 확인을 누릅니다.

"schemaUpdateNow: 1" 다음에 후행 하이픈이 포함된 아래 텍스트를 메모장에 복사합니다.

dn: CN=ms-Exch-Assistant-Name,CN=Schema,CN=Configuration,DC=X
changetype: Modify
replace:LDAPDisplayName
LDAPDisplayName: msExchAssistantName
-

dn: CN=ms-Exch-LabeledURI,CN=Schema,CN=Configuration,DC=X
changetype: Modify
replace: LDAPDisplayName
LDAPDisplayName: msExchLabeledURI
-

dn: CN=ms-Exch-House-Identifier,CN=Schema,CN=Configuration,DC=X
changetype: Modify
replace: LDAPDisplayName
LDAPDisplayName: msExchHouseIdentifier
-

dn:
changetype: Modify
add: schemaUpdateNow
schemaUpdateNow: 1
-

각 줄 끝에는 공백이 없어야 합니다.

파일 메뉴에서 저장을 누릅니다. 다른 이름으로 저장 대화 상자에서 다음 단계를 수행합니다.

a.	파일 이름 상자에 다음을 입력합니다. \%userprofile%\InetOrgPersonPrevent.ldf
b.	파일 형식 상자에서 모든 파일을 누릅니다.
c.	인코딩 상자에서 유니코드를 누릅니다.
d.	저장을 누릅니다.
e.	메모장을 종료합니다.

InetOrgPersonPrevent.ldf 스크립트를 실행합니다.

시작, 실행을 차례로 누르고 열기 상자에 cmd를 입력한 다음 확인을 누릅니다.

명령 프롬프트에서 다음을 입력한 다음 Enter 키를 누릅니다.

cd %userprofile%

다음 명령을 입력합니다.

c:\documents and settings\%username%>ldifde -i -f inetorgpersonprevent.ldf -v -c DC=X "domain name path for forest root domain"

구문 참고:

•	DC=X는 대소문자가 구분되는 상수입니다.
•	루트 도메인의 도메인 이름 경로는 인용 부호로 묶어야 합니다.

예를 들어, 포리스트 루트 도메인이 TAILSPINTOYS.COM인 Active Directory 포리스트의 명령 구문은 다음과 같습니다.

c:\documents and settings\administrator>ldifde -i -f inetorgpersonprevent.ldf -v -c DC=X "dc=tailspintoys,dc=com"

참고 다음과 유사한 오류 메시지가 나타나면 Schema Update Allowed 레지스트리 하위 키를 변경해야 할 수 있습니다.

레지스트리 키가 설정되어 있지 않거나 DC가 스키마 FSMO Role Owner가 아니기 때문에 이 DC에서는 스키마를 업데이트할 수 없습니다.

이 레지스트리 하위 키를 변경하는 방법에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.

285172 (http://support.microsoft.com/kb/285172/) 스키마를 업데이트하려면 Active Directory에서 스키마에 대한 쓰기 권한이 필요하다

Windows Server 2003 adprep /forestprep 명령을 실행하기 전에 스키마 명명 컨텍스트에서 CN=ms-Exch-Assistant-Name, CN=ms-Exch-LabeledURI, CN=ms-Exch-House-Identifier 특성의 LDAPDisplayNames가 이제 msExchAssistantName, msExchLabeledURI, msExchHouseIdentifier로 나타나는지 확인합니다.

"개요: Windows 2000 도메인 컨트롤러를 Windows Server 2003으로 업그레이드" 절로 이동하여 adprep /forestprep 및 /domainprep 명령을 실행합니다.

시나리오 3: inetOrgPersonFix를 처음 실행하기 전에 Windows Server 2003 forestprep 명령이 실행된 경우

Exchange 2000 스키마 변경 내용을 포함하는 Windows 2000 포리스트에서 Windows Server 2003 adprep /forestprep 명령을 실행한 경우에는 houseIdentier, secretary 및 labeledURI에 대한 LDAPDisplayName 특성이 맹글링됩니다. 맹글링된 이름을 식별하려면 Ldp.exe를 사용하여 영향을 받은 특성을 찾으십시오.

Microsoft Windows 2000 미디어나 Windows Server 2003 미디어의 Support\Tools 폴더에서 Ldp.exe를 설치합니다.

포리스트의 도메인 컨트롤러 또는 구성원 컴퓨터에서 Ldp.exe를 시작합니다.

a.	Connection 메뉴에서 Connect를 누르고 Server 상자는 비워두고 Port 상자에 389를 입력한 다음 OK를 누릅니다.
b.	Connection 메뉴에서 Bind를 누른 다음 모든 상자를 비워두고 OK를 누릅니다.

SchemaNamingContext 특성의 고유 이름 경로를 적어 둡니다. 예를 들어, CORP.ADATUM.COM 포리스트에서 도메인 컨트롤러의 고유 이름 경로는 CN=Schema,CN=Configuration,DC=corp,DC=company,DC=com입니다.

Browse 메뉴에서 Search를 누릅니다.

다음 설정을 사용하여 Search 대화 상자를 구성합니다.

•	Base DN: 3단계에서 확인한 스키마 명명 컨텍스트의 고유 이름 경로
•	Filter: (ldapdisplayname=dup*)
•	Scope: Subtree

맹글링된 houseIdentifier, secretary 및 labeledURI 특성의 LDAPDisplayName 특성은 다음과 유사한 형식을 갖습니다.

LDAPDisplayName: DUP-labeledURI-9591bbd3-d2a6-4669-afda-48af7c35507d;
LDAPDisplayName: DUP-secretary-c5a1240d-70c0-455c-9906-a4070602f85f
LDAPDisplayName: DUP-houseIdentifier-354b0ca8-9b6c-4722-aae7-e66906cc9eef

labeledURI, secretary 및 houseIdentifier에 대한 LDAPDisplayNames가 6단계에서 맹글링된 경우 Windows Server 2003 InetOrgPersonFix.ldf 스크립트를 실행하여 복구한 다음 "Winnt32.exe를 사용하여 Windows 2000 도메인 컨트롤러 업그레이드" 절로 이동하십시오.

%Systemdrive%\IOP라는 폴더를 만든 다음 InetOrgPersonFix.ldf 파일을 이 폴더로 추출합니다.

명령 프롬프트에서 cd %systemdrive%\iop를 입력합니다.

Windows Server 2003 설치 미디어의 Support\Tools 폴더에 있는 Support.cab 파일에서 InetOrgPersonFix.ldf 파일을 추출합니다.

스키마 작업 마스터의 콘솔에서 Ldifde.exe를 통해 InetOrgPersonFix.ldf 파일을 로드하여 houseIdentifier, secretary 및 labeledURI 특성의 LdapDisplayName 특성을 수정합니다. 이렇게 하려면 다음 명령을 입력합니다. 여기서 <X>는 대소문자가 구분되는 상수이고 <dn path for forest root domain>은 포리스트의 루트 도메인에 대한 도메인 이름 경로입니다.

C:\IOP>ldifde -i -f inetorgpersonfix.ldf -v -c DC=X "domain name path for forest root domain"

구문 참고:

•	DC=X는 대소문자가 구분되는 상수입니다.
•	포리스트 루트 도메인의 도메인 이름 경로는 인용 부호로 묶어야 합니다.

Exchange 2000을 설치하기 전에 스키마 명명 컨텍스트의 houseIdentifier, secretary 및 labeledURI 특성이 "맹글링"되지 않았는지 확인합니다.

UNIX 버전 2.0용 서비스와 충돌하는 관련 스키마에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.

293783 (http://support.microsoft.com/kb/293783/) UNIX 2.0용 Windows 서비스가 설치된 상태에서 Windows 2000 Server를 Windows Server 2003으로 업그레이드할 수 없다

위로 가기

개요: Windows 2000 도메인 컨트롤러를 Windows Server 2003으로 업그레이드

Windows Server 2003 미디어의 \I386 폴더에서 실행되는 Windows Server 2003 adprep 명령은 Windows Server 2003 도메인 컨트롤러를 추가하기 위해 Windows 2000 포리스트 및 도메인을 준비합니다. Windows Server 2003 adprep /forestprep 명령은 다음 기능을 추가합니다.

•	개체 클래스의 향상된 기본 보안 설명자
•	새 사용자 및 그룹 특성
•	새 스키마 개체와 inetOrgPerson 등의 특성

adprep 유틸리티는 다음 두 가지 명령줄 인수를 지원합니다.

adprep /forestprep: 포리스트 업그레이드 작업을 실행합니다.
adprep /domainprep: 도메인 업그레이드 작업을 실행합니다.

adprep /forestprep 명령은 포리스트의 스키마 작업 마스터(FSMO)에서 한 번만 수행되는 작업입니다. forestprep 작업이 완료되어 각 도메인의 인프라 마스터에 복제되어야 해당 도메인에서 adprep /domainprep를 실행할 수 있습니다.

adprep /domainprep 명령은 새로운 또는 업그레이드된 Windows Server 2003 도메인 컨트롤러를 호스트하는 포리스트의 각 도메인에 있는 인프라 작업 마스터 도메인 컨트롤러에서 한 번만 실행되는 작업입니다. adprep /domainprep 명령은 forestprep의 변경 내용이 도메인 파티션에 복제되었는지 확인한 다음 Sysvol 공유에 있는 도메인 파티션과 그룹 정책에 변경 내용을 적용합니다.

/forestprep 및 /domainprep 작업이 완료되어 해당 도메인의 모든 도메인 컨트롤러에 복제되지 않으면 다음 작업을 수행할 수 없습니다.

•	Winnt32.exe를 사용하여 Windows 2000 도메인 컨트롤러를 Windows Server 2003 도메인 컨트롤러로 업그레이드합니다. 참고: 원할 경우 언제라도 Windows 2000 구성원 서버와 컴퓨터를 Windows Server 2003 구성원 컴퓨터로 업그레이드할 수 있습니다.
•	Dcpromo.exe를 사용하여 새로운 Windows Server 2003 도메인 컨트롤러의 수준을 도메인으로 올립니다.

스키마 작업 마스터를 호스트하는 도메인에서만 adprep /forestprep와 adprep /domainprep를 모두 실행해야 합니다. 다른 도메인에서는 adprep /domainprep만 실행해야 합니다.

adprep /forestprep 및 adprep /domainprep 명령은 글로벌 카탈로그 부분 특성 집합에 특성을 추가하지 않거나 글로벌 카탈로그가 완전히 동기화되지 않게 합니다. adprep /domainprep의 RTM 버전을 실행하면 Sysvol 트리에서 \Policies 폴더가 완전히 동기화됩니다. forestprep와 domainprep를 여러 번 실행하더라도 전체 작업은 한 번만 수행됩니다.

adprep /forestprep와 adprep /domainprep의 변경 내용이 완전히 복제되면 Windows Server 2003 미디어의 \I386 폴더에서 Winnt32.exe를 실행하여 Windows 2000 도메인 컨트롤러를 Windows Server 2003으로 업그레이드할 수 있습니다. 또한 Dcpromo.exe를 사용하여 도메인에 새 Windows Server 2003 도메인 컨트롤러를 추가할 수 있습니다.

adprep /forestprep 명령을 사용하여 포리스트 업그레이드

Windows Server 2003 도메인 컨트롤러를 적용할 수 있도록 Windows 2000 포리스트와 도메인을 준비하려면 아래 단계를 먼저 연구실 환경에서 수행한 다음 프로덕션 환경에서 수행하십시오.

다음 항목에 특히 주의하여 "포리스트 인벤토리" 단계의 모든 작업을 완료했는지 확인합니다.

a.	시스템 상태 백업을 만들었습니다.
b.	포리스트의 모든 Windows 2000 도메인 컨트롤러에 적절한 핫픽스와 서비스 팩이 모두 설치되었습니다.
c.	포리스트 전체에서 Active Directory의 종단 간 복제가 발생하고 있습니다
d.	FRS가 각 도메인 전체에 올바르게 파일 시스템 정책을 복제합니다.

Schema Admins 보안 그룹의 구성원에 해당하는 계정을 사용하여 스키마 작업 마스터의 콘솔에 로그온합니다.

Windows NT 명령 프롬프트에서 다음 명령을 입력하여 스키마 FSMO가 스키마 파티션의 인바운드 복제를 수행했는지 확인합니다.

repadmin /showreps

repadmin은 Active Directory의 Support\Tools 폴더에서 설치됩니다.

초기에 Microsoft에서는 adprep /forestprep를 실행하기 전에 개인 네트워크에서 스키마 작업 마스터를 분리하도록 권고했습니다. 실제로는 이 단계가 필요하지 않으며 개인 네트워크에서 다시 시작할 때 스키마 작업 마스터가 스키마 변경을 거부하도록 할 수 있습니다. adprep가 추가한 스키마를 분리하려면 repadmin 명령줄 유틸리티를 사용하여 Active Directory의 아웃바운드 복제를 임시로 해제하는 것이 좋습니다. 아웃바운드 복제를 임시로 해제하려면 다음과 같이 하십시오.

a.	시작, 실행을 차례로 누르고 cmd를 입력한 다음 확인을 누릅니다.
b.	다음 명령을 입력한 후 Enter 키를 누릅니다. repadmin /options +DISABLE_OUTBOUND_REPL

스키마 작업 마스터에서 adprep를 실행합니다. 이렇게 하려면 시작, 실행을 차례로 누르고 cmd를 입력한 다음 확인을 누릅니다. 스키마 작업 마스터에서 다음 명령을 입력합니다.

X:\I386\adprep /forestprep

여기서 X:\I386\은 Windows Server 2003 설치 미디어의 경로입니다. 이 명령은 포리스트 전체에 적용되는 스키마 업그레이드를 실행합니다.

참고 다음 예와 같은 디렉터리 서비스 이벤트 로그에 기록된 이벤트 ID 1153 이벤트는 무시해도 좋습니다.

이벤트 종류: 오류
이벤트 원본: NTDS General
이벤트 범주: 내부 처리
이벤트 ID: 1153
날짜: YYYY-MM-DD
시간: HH:MM:SS AM|PM
사용자: Everyone 컴퓨터 : <일부 DC>
설명: 655562 클래스 식별자(클래스 이름 msWMI-MergeablePolicyTemplate)가 올바르지 않은 655560 슈퍼클래스를 가지고 있습니다. 상속이 무시됩니다.

adprep /forestprep 명령이 스키마 작업 마스터에서 성공적으로 실행되었는지 확인합니다. 이렇게 하려면 스키마 작업 마스터의 콘솔에서 다음 항목을 확인합니다.

•	adprep /forestprep 명령이 오류 없이 완료되었습니다.
•	CN=Windows2003Update 개체가 CN=ForestUpdates,CN=Configuration,DC=`forest_root_domain` 아래에 기록되었습니다. Revision 특성의 값을 기록해 둡니다.
•	(옵션) 스키마 버전이 버전 30으로 증가했습니다. 이를 확인하려면 CN=Schema,CN=Configuration,DC=`forest_root_domain` 아래의 ObjectVersion 특성을 봅니다.

adprep /forestprep가 실행되지 않는 경우에는 다음 항목을 확인하십시오.

•	adprep를 실행할 때 설치 미디어의 \I386 폴더에 있는 Adprep.exe의 정규화된 경로를 지정하였습니다. 이렇게 하려면 다음 명령을 입력합니다. `x`:\i386\adprep /forestprep 여기서 `x`는 설치 미디어를 호스트하는 드라이브입니다.
•	adprep를 실행하는 로그온한 사용자가 Schema Admins 보안 그룹의 구성원입니다. 이를 확인하려면 whoami /all 명령을 사용합니다.
•	adprep가 여전히 작동하지 않으면 %systemroot%\System32\Debug\Adprep\Logs\`Latest_log` 폴더의 Adprep.log 파일을 봅니다.

스키마 작업의 4단계에서 아웃바운드 복제를 해제한 경우 adprep /forestprep에서 수행한 스키마 변경 내용을 전파할 수 있도록 복제를 설정합니다. 아웃바운드 복제를 임시로 해제하려면 다음과 같이 하십시오.

a.	시작, 실행을 차례로 누르고 cmd를 입력한 다음 확인을 누릅니다.
b.	다음 명령을 입력한 후 Enter 키를 누릅니다. repadmin /options -DISABLE_OUTBOUND_REPL

adprep /forestprep 변경 내용이 포리스트의 모든 도메인 컨트롤러에 복제되었는지 확인합니다. 다음 특성을 모니터링하면 유용합니다.

a.	스키마 버전 증가
b.	CN=Windows2003Update, CN=ForestUpdates,CN=Configuration,DC=`forest_root_domain` 또는 CN=Operations,CN=DomainUpdates,CN=System,DC=`forest_root_domain`과 그 아래의 작업 GUID가 복제되었습니다.
c.	새 스키마 클래스, 개체, 특성 또는 adprep /forestprep가 추가하는 기타 변경 내용(예: inetOrgPerson)을 검색합니다. %systemroot%\System32 폴더의 Sch`XX`.ldf 파일(여기서 `XX`는 14-30 사이의 숫자임)을 보고 어떤 개체와 특성이 있어야 하는지 확인합니다. 예를 들어, inetOrgPerson은 Sch18.ldf에 정의되어 있습니다.

맹글링된 LDAPDisplayNames를 찾습니다.

Exchange 2000이 설치된 상태에서 Windows Server 2003 adprep /forestprep 명령을 실행하는 경우 이에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.

314649 (http://support.microsoft.com/kb/314649/) Windows Server 2003 adprep /forestprep 명령을 실행할 경우 Exchange 2000 서버를 포함하는 Windows 2000 포리스트에서 특성 맹글링 문제 발생

맹글링된 이름을 찾으려면 이 문서의 시나리오 3으로 이동하십시오.

10.

스키마 작업 마스터를 호스트하는 포리스트의 Schema Admins 보안 그룹 구성원에 해당하는 계정을 사용하여 스키마 작업 마스터의 콘솔로 로그온합니다.

adprep /domainprep 명령을 사용하여 도메인 업그레이드

/forestprep 변경 내용이 Windows Server 2003 도메인 컨트롤러를 호스트할 각 도메인의 인프라 마스터 도메인 컨트롤러로 완전히 복제된 후에 adprep /domainprep를 실행합니다. 이렇게 하려면 다음과 같이 하십시오.

업그레이드 중인 도메인의 인프라 마스터 도메인 컨트롤러를 식별한 다음 업그레이드 중인 도메인의 Domain Admins 보안 그룹 구성원에 해당하는 계정을 사용하여 로그온합니다.

참고: 엔터프라이즈 관리자는 해당 포리스트의 자식 도메인에 있는 Domain Admins 보안 그룹의 구성원이 아닐 수도 있습니다.

인프라 마스터에서 adprep /domainprep를 실행합니다. 이렇게 하려면 시작, 실행을 차례로 누르고 cmd를 입력한 후 인프라 마스터에 다음 명령을 입력합니다.

X:\I386\adprep /domainprep

여기서 X:\I386\은 Windows Server 2003 설치 미디어의 경로입니다. 이 명령은 대상 도메인에서 도메인 전체에 적용되는 변경 내용을 실행합니다.

참고: adprep /domainprep 명령은 Sysvol 공유의 파일 사용 권한을 수정합니다. 그러면 해당 디렉터리 트리에 있는 파일들의 전체 동기화가 수행됩니다.

domainprep가 성공적으로 완료되었는지 확인합니다. 이렇게 하려면 다음 항목을 확인하십시오.

•	adprep /domainprep 명령이 오류 없이 완료되었습니다.
•	CN=Windows2003Update,CN=DomainUpdates,CN=System,DC=`dn path of domain you are upgrading`이 있습니다.

adprep /domainprep가 실행되지 않는 경우에는 다음 항목을 확인하십시오.

•	adprep를 실행하는 로그온한 사용자가 업그레이드 중인 도메인의 Domain Admins 보안 그룹 구성원입니다. 이를 확인하려면 whoami /all 명령을 사용합니다.
•	adprep를 실행할 때 설치 미디어의 \I386 디렉터리에 있는 Adprep.exe의 정규화된 경로를 지정하였습니다. 이렇게 하려면 명령 프롬프트에 아래 명령을 입력합니다. `x`:\i386\adprep /forestprep 여기서 `x`는 설치 미디어를 호스트하는 드라이브입니다.
•	adprep가 여전히 작동하지 않으면 %systemroot%\System32\Debug\Adprep\Logs\`Latest_log` 폴더의 Adprep.log 파일을 봅니다.

adprep /domainprep 변경 내용이 복제되었는지 확인합니다. 이렇게 하려면 해당 도메인의 나머지 도메인 컨트롤러에 대해 다음 항목을 확인합니다.

•	CN=Windows2003Update,CN=DomainUpdates,CN=System,DC=`dn path of domain you are upgrading` 개체가 존재하고 Revision 특성 값이 해당 도메인의 인프라 마스터에 있는 동일 특성 값과 일치합니다.
•	(옵션) adprep /domainprep가 추가한 개체, 특성 또는 ACL(액세스 제어 목록) 변경 내용을 찾습니다.

일괄로 또는 해당 도메인의 DC를 추가하거나 Windows Server 2003으로 업그레이드할 때 나머지 도메인의 인프라 마스터에 1-4단계를 반복하십시오. 이제 DCPROMO를 사용하여 새 Windows Server 2003 컴퓨터의 수준을 포리스트로 올릴 수 있습니다. 또는 WINNT32.EXE를 사용하여 기존 Windows 2000 도메인 컨트롤러를 Windows Server 2003으로 업그레이드할 수 있습니다.

위로 가기

Winnt32.exe를 사용하여 Windows 2000 도메인 컨트롤러 업그레이드

/forestprep 및 /domainprep의 변경 내용이 완전히 복제되고 이전 버전 클라이언트와의 보안 상호 운용성에 대한 결정을 내린 후에는 Windows 2000 도메인 컨트롤러를 Windows Server 2003으로 업그레이드하고 새 Windows Server 2003 도메인 컨트롤러를 도메인에 추가할 수 있습니다.

다음과 같은 컴퓨터는 포리스트의 각 도메인에서 Windows Server 2003을 실행하는 첫 번째 도메인 컨트롤러에 속해야 합니다.

•	기본 DNS 프로그램 파티션을 만들 수 있도록 포리스트의 도메인 명명 마스터
•	Windows Server 2003의 forestprep가 추가한 엔터프라이즈 범위의 보안 주체를 ACL 편집기에서 볼 수 있도록 하는 포리스트 루트 도메인의 주 도메인 컨트롤러
•	새로운 도메인 관련 Windows 2003 보안 주체를 만들 수 있도록 하는 루트 도메인이 아닌 각 도메인의 주 도메인 컨트롤러

이렇게 하려면 WINNT32를 사용하여 원하는 작업 역할을 호스트하는 기존 도메인 컨트롤러를 업그레이드하거나, 새로 수준을 올린 Windows Server 2003 도메인 컨트롤러로 역할을 전송합니다. WINNT32를 사용하여 Windows Server 2003으로 업그레이드한 각 Windows 2000 도메인 컨트롤러와 수준을 올린 각 Windows Server 2003 작업 그룹 또는 구성원 컴퓨터에 대해 아래 단계를 수행하십시오.

WINNT32를 사용하여 Windows 2000 구성원 컴퓨터와 도메인 컨트롤러를 업그레이드하기 전에 Windows 2000 관리 도구를 제거합니다. 관리 도구를 제거하려면 제어판의 프로그램 추가/제거 도구를 사용합니다(Windows 2000 업그레이드만 해당).

핫픽스 파일이나 Microsoft 또는 관리자가 중요하다고 판단하는 다른 수정 프로그램을 설치합니다.

가능한 업그레이드 문제가 있는지 각 도메인 컨트롤러를 검사합니다. 이렇게 하려면 설치 미디어의 \I386 폴더에서 다음 명령을 실행합니다.

winnt32.exe /checkupgradeonly

호환성 검사에서 확인된 문제를 모두 해결합니다.

설치 미디어의 \I386 폴더에서 WINNT32.EXE를 실행한 다음 업그레이드한 2003 도메인 컨트롤러를 다시 시작합니다.

필요할 경우 이전 버전 클라이언트의 보안 설정을 낮춥니다.

Windows NT 4.0 클라이언트에 NT 4.0 SP6이 없거나 Windows 95 클라이언트에 디렉터리 서비스 클라이언트가 설치되어 있지 않은 경우에는 도메인 컨트롤러 조직 구성 단위의 기본 도메인 컨트롤러 정책에서 SMB 서비스 서명을 해제한 다음 이 정책을 도메인 컨트롤러를 호스트하는 모든 조직 구성 단위에 연결합니다.

컴퓨터 구성\Windows 설정\보안 설정\로컬 정책\보안 옵션\Microsoft 네트워크 서버: 디지털 서명 통신(항상)

다음 데이터 항목을 사용하여 업그레이드의 상태를 확인하십시오.

•	업그레이드가 성공적으로 완료되었습니다.
•	설치에 추가한 핫픽스가 원래 바이너리를 성공적으로 바꾸었습니다.
•	도메인 컨트롤러가 보유한 모든 명명 컨텍스트에 대해 Active Directory의 인바운드 및 아웃바운드 복제가 발생합니다.
•	Netlogon 및 Sysvol 공유가 있습니다.
•	이벤트 로그에서 도메인 컨트롤러와 해당 서비스가 정상임을 나타냅니다. 참고: 업그레이드한 후 아래와 같은 이벤트 메시지가 나타날 수 있습니다. 이벤트 종류: 오류 이벤트 원본: NTDS Backup 이벤트 범주: 백업 이벤트 ID: 1913 날짜: `Date` 시간: HH:MM:SSAM\|PM 사용자: 해당 없음 컴퓨터: `컴퓨터 이름` 설명: 내부 오류: Active Directory 백업 및 복원 작업에 예상치 못한 오류가 발생했습니다. 이 문제가 해결되기 전까지는 백업 또는 복원을 수행할 수 없습니다. 이 이벤트 메시지는 무시해도 됩니다.

Windows Server 2003 관리 도구를 설치합니다(Windows 2000 업그레이드와 Windows Server 2003 비 도메인 컨트롤러만 해당). Adminpak.msi는 Windows Server 2003 CD-ROM의 \I386 폴더에 있습니다. Windows Server 2003 미디어의 Support\Tools\Suptools.msi 파일에는 업데이트된 지원 도구가 있습니다. 이 파일을 다시 설치해야 합니다.

포리스트의 각 도메인에서 Windows Server 2003으로 업그레이드한 최소 처음 두 개의 Windows 2000 도메인 컨트롤러에 대한 복사본을 새로 백업합니다. 실수로 Windows 2000 컴퓨터를 사용하여 현재 Windows Server 2003을 실행하는 도메인 컨트롤러를 복원하지 않도록 Windows Server 2003으로 업그레이드한 Windows 2000 컴퓨터의 백업을 잠긴 저장소에 둡니다.

(옵션) SIS(단일 인스턴스 저장소)의 작업이 완료된 후에 Windows Server 2003으로 업그레이드한 도메인 컨트롤러에 Active Directory 데이터베이스의 오프라인 조각 모음을 수행합니다(Windows 2000 업그레이드만 해당).

SIS는 Active Directory에 저장되어 있는 개체에 대한 기존의 사용 권한을 검토한 다음 그러한 개체에 보다 효율적인 보안 설명자를 적용합니다. 업그레이드한 도메인 컨트롤러가 Windows Server 2003 운영 체제를 처음 시작하면 SIS가 자동으로 시작되는데, 이는 디렉터리 서비스 이벤트 로그의 이벤트 1953으로 식별됩니다. 디렉터리 서비스 이벤트 로그에 이벤트 ID 1966 이벤트 메시지를 기록할 때만 향상된 보안 설명자 저장소의 혜택을 받습니다.

이벤트 종류: 정보
이벤트 원본: NTDS SDPROP
이벤트 범주: 내부 처리
이벤트 ID: 1966
날짜: YYYY-MM-DD
시간: HH:MM:SS AM|PM
사용자: NT AUTHORITY\ANONYMOUS LOGON
컴퓨터: <컴퓨터 이름>
설명: 보안 설명자 전파자가 전체 전파 전달 작업을 완료했습니다.
할당된 공간(MB):
XX 빈 공간(MB): XX

그 결과로 Active Directory 데이터베이스의 빈 공간이 늘어났을 수도 있습니다.
사용자 작업: 오프라인에서 데이터베이스를 조각 모음하여 Active Directory 데이터베이스에서 사용할 수 있는 빈 공간을 확보합니다. 자세한 정보는 http://support.microsoft.com에 있는 도움말 및 지원 센터를 참조하십시오.

이 이벤트 메시지는 단일 인스턴스 저장소 작업이 완료되어 관리자가 NTDSUTIL.EXE를 사용하여 Ntds.dit의 오프라인 조각 모음을 수행하도록 대기열 역할을 수행함을 나타냅니다.

오프라인 조각 모음은 Windows 2000 Ntds.dit 파일의 크기를 최대 40%까지 줄이고 Active Directory 성능을 향상시키며 Link Valued 특성을 보다 효율적으로 저장하도록 데이터베이스의 페이지를 업데이트할 수 있습니다. Active Directory 데이터베이스의 조각 모음을 수행하는 방법에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.

232122 (http://support.microsoft.com/kb/232122/) Active Directory 데이터베이스의 오프라인 조각 모음 수행

10.

DLT 서버 서비스를 조사합니다. Windows Server 2003 도메인 컨트롤러는 새로운 설치와 업그레이드 설치에서 DLT 서버 서비스를 해제합니다. 조직의 Windows 2000 클라이언트나 Windows XP 클라이언트가 DLT 서버 서비스를 사용하는 경우에는 그룹 정책을 통해 새로운 또는 업그레이드한 Windows Server 2003 도메인 컨트롤러에 DLT 서버 서비스를 설정합니다. 그렇지 않으면 Active Directory에서 분산 링크 추적 개체를 점차적으로 삭제합니다. 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.

312403 (http://support.microsoft.com/kb/312403/) Windows 기반 도메인 컨트롤러의 분산 링크 추적

315229 (http://support.microsoft.com/kb/315229/) Microsoft 기술 자료 문서 312403에 대한 Dltpurge.vbs의 텍스트 버전

수천 개의 DLT 개체 또는 다른 개체를 대량 삭제할 경우에는 버전 저장소가 부족하여 복제가 차단될 수 있습니다. 마지막 DLT 개체를 삭제한 후 tombstonelifetime 시간(기본적으로 60일) 동안 가비지 수집이 완료될 때까지 기다린 다음 NTDSUTIL.EXE를 사용하여 Ntds.dit 파일의 오프라인 조각 모음을 수행합니다.

11.

최적의 조직 구성 단위 구조를 구성합니다. 관리자가 모든 Active Directory 도메인에서 최적의 조직 구성 단위 구조를 적극적으로 배포하고, Windows 도메인 모드에서 Windows Server 2003 도메인 컨트롤러를 업그레이드하거나 배포한 후 이전 버전의 API가 사용자, 컴퓨터 및 그룹을 만드는 데 사용하는 기본 컨테이너를 관리자가 지정한 조직 구성 단위 컨테이너로 리디렉션하는 것이 좋습니다.

최적의 조직 구성 단위 구조에 대한 자세한 내용은 "Windows 네트워크 관리에 최적인 Active Directory 설계(Best Practice Active Directory Design for Managing Windows Networks)" 백서의 "조직 구성 단위 설계(Creating an Organizational Unit Design)" 절을 참조하십시오. 이 백서를 보려면 아래의 Microsoft 웹 사이트를 방문하십시오.

http://www.microsoft.com/technet/prodtechnol/windows2000serv/technologies/activedirectory/plan/bpaddsgn.mspx (http://www.microsoft.com/technet/prodtechnol/windows2000serv/technologies/activedirectory/plan/bpaddsgn.mspx)(영문)

이전 버전의 API가 만든 사용자, 컴퓨터 및 그룹이 위치해 있는 기본 컨테이너를 변경하는 방법에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.

324949 (http://support.microsoft.com/kb/324949/) Windows Server 2003 도메인에서 사용자 및 컴퓨터 컨테이너 리디렉션

12.

필요하면 포리스트의 새로운 또는 업그레이드한 각 Windows Server 2003 도메인 컨트롤러에 대해 1-10단계를 반복하고 각 Active Directory 도메인에 대해 11단계(최적의 조직 구성 단위 구조)를 반복합니다.

요약:

•	적용(slipstream)된 설치 미디어(사용된 경우)에서 WINNT32를 사용하여 Windows 2000 도메인 컨트롤러를 업그레이드합니다.
•	업그레이드한 컴퓨터에 핫픽스 파일이 설치되었는지 확인합니다.
•	설치 미디어에는 없지만 필요한 핫픽스를 모두 설치합니다.
•	새로운 또는 업그레이드한 서버(AD, FRS, 정책 등)에서 상태를 확인합니다.
•	OS 업그레이드 후 24시간 동안 기다린 후 오프라인 조각 모음을 수행합니다(옵션).
•	DLT 서비스를 시작해야 하는 경우 서비스를 시작하고 그렇지 않으면 q312403/q315229 이후 포리스트 범위의 domainprep를 사용하여 DLT 개체를 삭제합니다.
•	DLT 개체를 삭제하고 60일(삭제 표시 수명 및 가비지 수집 일수) 후에 오프라인 조각 모음을 수행합니다.

위로 가기

연구실 환경에서 드라이 런(Dry Run) 업그레이드

Windows 도메인 컨트롤러를 프로덕션 Windows 2000 도메인으로 업그레이드하기 전에 연구실에서 업그레이드 프로세스를 확인하고 개선시키도록 합니다. 프로덕션 포리스트를 정확하게 미러링한 연구실 환경의 업그레이드가 원활하게 수행된 경우에는 프로덕션 환경에서도 비슷한 결과를 예상할 수 있습니다. 환경이 복잡한 경우 연구실 환경은 다음과 같은 분야에서 프로덕션 환경을 미러링해야 합니다.

•

하드웨어: 컴퓨터 종류, 메모리 크기, 페이지 파일 배치, 디스크 크기, 성능 및 RAID 구성, BIOS 및 펌웨어 버전 수준

•

소프트웨어: 클라이언트 및 서버 운영 체제 버전, 클라이언트 및 서버 응용 프로그램, 서비스 팩 버전, 핫픽스, 스키마 변경 내용, 보안 그룹, 그룹 구성원, 사용 권한, 정책 설정, 개체 카운트 형식 및 위치, 버전 상호 운용성

•

네트워크 인프라: WINS, DHCP, 연결 속도, 사용 가능한 대역폭

•

로드: Load Simulator는 암호 변경, 개체 만들기, Active Directory 복제, 로그온 인증 및 기타 이벤트를 시뮬레이션할 수 있습니다. 목표는 프로덕션 환경의 규모를 재현하려는 것이 아니라, 일반적으로 수행되는 작업의 비용과 빈도를 알아내고 현재와 미래의 요구 사항을 기반으로 프로덕션 환경에서 이들 작업의 결과(이름 쿼리, 복제 트래픽, 네트워크 대역폭 및 프로세서 소모량)를 예측하려는 것입니다.

•

관리: 수행 작업, 사용 도구, 사용 운영 체제

•

작업: 용량, 상호 운용성

•

디스크 공간: 아래와 같은 각 작업 이후에 각 도메인의 글로벌 카탈로그 및 비 글로벌 카탈로그 도메인 컨트롤러에서 운영 체제, Ntds.dit 및 Active Directory 로그 파일의 시작, 최대 및 종료 크기를 적어 둡니다.

a.	adprep /forestprep
b.	adprep /domainprep
c.	Windows 2000 도메인 컨트롤러를 Windows Server 2003으로 업그레이드
d.	버전 업그레이드 후 오프라인 조각 모음 수행

세심한 관찰을 통해 해당 환경의 업그레이드 과정과 복잡도를 이해하면 프로덕션 환경을 업그레이드하는 데 어느 정도의 노력과 시간이 필요한지를 알 수 있습니다. 적은 수의 도메인 컨트롤러와 Active Directory 개체가 고가용성 WAN으로 연결되어 있는 환경은 단 몇 시간 내에 업그레이드할 수 있습니다. 도메인 컨트롤러가 수백 대 있고 Active Directory 개체가 수십만 개 있는 엔터프라이즈 배포에서는 더욱 주의해야 합니다. 그러한 경우에는 몇 주나 몇 달의 과정으로 업그레이드를 수행할 수도 있습니다.

아래와 같은 작업을 수행하려면 연구실에서 "드라이 런(Dry-run)" 업그레이드를 사용하십시오.

•	업그레이드 과정의 내부 동작과 관련 위험을 파악합니다.
•	해당 환경에서의 배포에 대한 잠재적인 문제 영역을 밝힙니다.
•	업그레이드가 성공하지 못한 경우에 대비한 복원 계획을 테스트하고 개발합니다.
•	프로덕션 도메인의 업그레이드 과정에 적용할 적절한 수준의 세부 작업을 정의합니다.

위로 가기

충분한 디스크 공간이 없는 도메인 컨트롤러

디스크 공간이 충분하지 않은 도메인 컨트롤러에서는 다음 작업을 수행하여 Ntds.dit 및 로그 파일을 호스트하는 볼륨에서 디스크 공간을 추가로 확보하십시오.

a.	인터넷 브라우저가 사용하는 캐시된 파일이나 .tmp 파일을 포함하여 사용하지 않는 파일을 삭제합니다. 이렇게 하려면 다음 명령을 입력하고 각 명령 끝에서 Enter 키를 누릅니다. cd /d `drive`\ del .tmp /s
b.	사용자 또는 메모리 덤프 파일을 모두 삭제합니다. 이렇게 하려면 다음 명령을 입력하고 각 명령 끝에서 Enter 키를 누릅니다. cd /d `drive`\ del *.dmp /s
c.	다른 서버에서 액세스하거나 쉽게 다시 설치할 수 있는 파일을 임시로 제거하거나 재배치합니다. 제거하고 쉽게 바꿀 수 있는 파일로는 ADMINPAK, 지원 도구 및 %systemroot%\System32\Dllcache 폴더의 모든 파일이 있습니다.
d.	오래되거나 사용되지 않는 사용자 프로필을 삭제합니다. 이렇게 하려면 시작을 누르고 내 컴퓨터를 마우스 오른쪽 단추로 누르고 속성, 사용자 프로필 탭을 차례로 누른 다음 오래되고 사용되지 않는 계정에 대한 프로필을 모두 삭제합니다. 서비스 계정에 대한 프로필은 삭제하지 않아야 합니다.
e.	%systemroot%\Symbols의 기호를 삭제합니다. 이렇게 하려면 다음 명령을 입력합니다. rd /s %systemroot%\symbols 서버에 전체 기호 집합이 있는지 또는 소규모 기호 집합이 있는지 여부에 따라 이 작업으로 약 70MB에서 600MB까지 확보할 수 있습니다.
f.	오프라인 조각 모음을 수행합니다. Ntds.dit 파일에 대해 오프라인 조각 모음을 수행하면 공간이 확보되지만 임시로 현재 DIT 파일 공간보다 두 배의 공간이 필요합니다. 가능한 경우 다른 로컬 볼륨을 사용하여 오프라인 조각 모음을 수행합니다. 또는 최적으로 연결된 네트워크 서버의 공간을 사용하여 오프라인 조각 모음을 수행합니다. 디스크 공간이 여전히 부족하면 Active Directory에서 필요하지 않은 사용자 계정, 컴퓨터 계정, DNS 레코드 및 DLT 개체를 점차적으로 삭제해 봅니다. 참고: Active Directory는 `tombstonelifetime` 시간(기본적으로 60일)이 지나고 가비지 수집이 완료될 때까지는 데이터베이스에서 개체를 삭제하지 않습니다. `tombstonelifetime`이 포리스트의 종단 간 복제보다 낮은 값으로 줄어들면 Active Directory에서 불일치가 발생할 수 있습니다.

위로 가기

참조

자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.

821076 (http://support.microsoft.com/kb/821076/) Windows Server 2003 도움말 파일에 Windows 2000 도메인을 업데이트하는 방법에 대한 잘못된 정보가 포함되어 있다