如何在 Windows Server 2003 中提升域和目录林功能级别

概要
本文介绍了如何提升 Microsoft Windows Server 2003 域控制器所支持的域和目录林功能级别。功能级别是在 Microsoft Windows 2000 中引入的混合/纯模式概念的一个扩展，这样，当域或目录林中所有域控制器都运行 Windows Server 2003 操作系统时，将激活其新的 Active Directory 功能。在安装了一台运行 Windows Server 2003 的计算机并将其提升至域控制器时，Windows Server 2003 操作系统会在其对应的 Windows 2000 服务器上激活新的 Active Directory 功能。当一个域或目录林中所有域控制器都运行 Windows Server 2003 并且管理员激活了域或目录林中对应的功能级别时，可使用一些附加的 Active Directory 功能。

要激活新的域功能，域中所有域控制器都必须运行 Windows Server 2003。当该要求满足时，管理员可以将域功能级别提升至 Windows Server 2003。

要激活目录林范围的新功能，目录林中所有域控制器都必须运行 Windows Server 2003，并且当前目录林功能级别必须处于 Windows 2000 纯模式或 Windows Server 2003 域级别。当该要求满足后，管理员可以提升域功能级别。

注意：网络中的客户端可以验证或访问域或目录林中的资源，而不受 Windows Server 2003 域或目录林功能级别的影响。这些级别只会影响域控制器之间的交互方式。


域功能级别
域功能可以激活只影响整个域和以下域之一的功能。随着每个后续级别的提升，域功能将激活所包含的上一个域级别的功能。 以下列出了四种域功能级别及其相应的功能和所支持的域控制器。
Windows 2000 混合模式（默认）
? 支持的域控制器：Microsoft Windows NT 4.0、Windows 2000、Windows Server 2003
? 激活的功能：本地与全局组，全局编录支持

Windows 2000 纯模式
? 支持的域控制器：Windows 2000、Windows Server 2003
? 激活的功能：组嵌套、通用组、SidHistory、安全组与通讯组之间的转换、您可以通过提高目录林级别的设置来提升域级别

Windows Server 2003 过渡版
? 支持的域控制器：Windows NT 4.0、Windows Server 2003
? 支持的功能：在此级别内没有域范围的激活的功能。当目录林级别提升至过渡版后，该目录林中所有域都将自动提升至该级别。该模式只在将 Windows NT 4.0 域中的域控制器升级至 Windows Server 2003 域控制器时使用。

Windows Server 2003
? 支持的域控制器：Windows Server 2003
? 支持的功能：域控制器重命名、登录时间戳属性更新与复制。在 InetOrgPerson 对象类上支持用户密码。约束委派，您可以重定向用户和计算机容器。
从 Windows NT 4.0 升级的域或由基于 Windows Server 2003 的计算机经过提升而创建的域都在 Windows 2000 混合模式功能级别上操作。当 Windows 2000 域控制器升级到 Windows Server 2003 操作系统时，Windows 2000 域保持它们当前的域功能级别。您可以将域功能级别提升到 Windows 2000 纯模式或是 Windows Server 2003。

当域功能级别得到提升后，运行早期版本操作系统的域控制器将不能被引入到该域中。例如，如果您将域功能级别提升至 Windows Server 2003，则不能将运行 Windows 2000 Server 的域控制器添加到该域中。


目录林功能级别
目录林功能在目录林中所有的域上激活功能。下面列出了三种目录林功能级别及相应的功能和所支持的域控制器。
Windows 2000（默认）
? 支持的域控制器：Windows NT 4.0、Windows 2000、Windows Server 2003
? 新功能：部分列表中包含了通用组缓存、应用程序分区、从媒体安装、配额，快速全局目录降级、系统访问控制列表 (SACL) 在 Jet 数据库引擎中的单一实例存储 (SIS)，改进的拓扑生成事件日志记录。当将属性添加到 PAS 时，无需全局编目完全同步，Windows Server 2003 域控制器担当站点间拓扑生成器 (ISTG) 角色。

Windows Server 2003 过渡版
? 支持的域控制器：Windows NT 4.0、Windows Server 2003。请参见本文“从 Windows NT 4.0 域升级”一节。
? 激活的功能：Windows 2000 功能加上使用链接值复制的高效组成员复制，改进的复制拓扑生成。ISTG 活动属性不再被复制。添加至全局目录中的属性。ms-DS-Trust-Forest-Trust-Info、Trust-Direction、Trust-Attributes、Trust-Type、Trust-Partner、Security-Identifier、ms-DS-Entry-Time-To-Die、Message Queuing-Secured-Source、Message Queuing-Multicast-Address、Print-Memory、Print-Rate、Print-Rate-Unit

Windows Server 2003
? 支持的域控制器：Windows Server 2003
? 激活的功能：过渡版级别中的所有功能、不起作用的架构对象、跨林信任、域重命名、动态辅助类、InetOrgPerson 对象类更改、应用程序组、从 Windows 2000 升级的 Windows Server 2003 域控制器的 15 秒站点内复制频率
当目录林功能提升后，运行早期版本操作系统的域控制器将不能引入到该目录林中。例如，如果您将目录林功能提升至 Windows Server 2003，运行 Windows NT 4.0 或 Windows 2000 Server 的域控制器则不能添加到该目录林中。


过渡版级别 - 从 Windows NT 4.0 域升级
Windows Server 2003 Active Directory 允许一个名为 Windows Server 2003 过渡版的特殊目录林和域功能级别。提供这种功能级别是为了将现有的 Windows NT 4.0 域升级，其中的一个或多个 Windows NT 4.0 备份域控制器 (BDC) 必须在升级后运行。Windows 2000 域控制器在该模式中不受支持。Windows Server 2003 过渡版适用于下列场合： ? 直接将域从 Windows NT 4.0 升级至 Windows Server 2003。
? Windows NT 4.0 BDC 不立即升级。
? 包含具有 5000 以上成员的组的 Windows NT 4.0 域，不包括域用户组。
? 任何时候都不打算在目录林中实现 Windows 2000 域控制器。
在仍允许向 Windows NT 4.0 BDC 复制的同时，Windows Server 2003 过渡版提供了两个重要的增强功能： 1. 高效安全组复制，每组支持超过 5000 名成员。
2. 改进的 KCC 站点间拓扑生成器算法。
由于在过渡版级别中激活的组复制效率较高，建议在所有 Windows NT 4.0 的升级中采用该级别。有关更多详细信息，请参见本文“最佳做法”一节。
设置 Windows Server 2003 过渡版目录林功能级别
Windows Server 2003 过渡版可通过三种不同的方式激活。因为在 Windows NT 4.0 域的主域控制器 (PDC) 升级到 Windows Server 2003 域控制器后，安全组使用链接值复制 (LVR)，所以我们极力建议使用前两种方法。由于安全组中的成员使用单一多值属性而可能导致复制问题，所以第三个选项不是最优的。Windows Server 2003 过渡版可由下列方法激活： 1. 在升级过程中。

如果某个 Windows NT 4.0 域的 PDC 是新目录林的根域中的第一个域控制器，在升级该 PDC 时，Dcpromo 安装向导中将出现此选项。
2. 在您使用轻型目录访问协议 (LDAP) 工具通过手动配置目录林功能级别来升级 Windows NT 4.0 的 Windows NT 4.0 PDC（该 PDC 是现有目录林中某个新域的第一个域控制器）之前。

子域会从它所提升到的目录林继承目录林范围的功能设置。如果某个 Windows NT 4.0 域是现有 Windows Server 2003 目录林的子域，而且该目录林已经使用 Ldp.exe 或 Adsiedit.msc 文件配置了过渡版目录林功能级别，则将该域的 PDC 操作系统版本升级之后，可允许安全组使用链接值复制。
3. 在使用 LDAP 工具升级后。

当您在升级过程中加入一个现有 Windows Server 2003 目录林时，使用后两个选项。您常常会遇到有一个“空根”域的情形。所升级的域作为空根域的子域加入，并从目录林继承域设置。



提升域功能级别
警告：如果您已有或将要有任何 Windows NT 4.0 或更早版本的域控制器，则不要提升域功能级别。一旦将域功能级别提升到 Windows 2000 纯模式或是 Windows Server 2003，则无法再更改回 Windows 2000 混合模式域。 1. 使用域管理员凭据登录到域 PDC 上。
2. 单击“开始”，指向“管理工具”，然后单击“Active Directory 域和信任关系”。
3. 在控制台树中，右键单击您想要提升功能的域，然后单击“提升域功能级别”。
4. 在“选择一个可用的域功能级别”中，请执行以下操作之一： ? 单击“Windows 2000 纯模式”，然后单击“提升”以便把域功能级别提升到 Windows 2000 纯模式。

- 或 -
? 单击“Windows Server 2003”，然后单击“提升”以便把域功能级别提升到 Windows Server 2003。
注意：您也可以通过右键单击出现在 Active Directory 用户和计算机 MMC 管理单元中的域然后单击“提升域功能级别”，来提升域功能级别。要提升域功能级别，您必须是域管理员组的成员。

当前的域功能级别显示在“提升域功能级别”对话框的“当前域功能级别”中。级别提升在 PDC FSMO 上执行并要求域管理员权限。



提升目录林功能级别
警告：如果您已有或将要有运行 Windows NT 4.0 或 Windows 2000 的域控制器，则不要提升目录林功能级别。一旦将目录林功能级别提升到 Windows Server 2003，则无法再更改回 Windows 2000 目录林功能级别。 1. 使用企业管理员组成员用户帐户登录到目录林根域的 PDC 上。
2. 打开“Active Directory 域和信任关系”，单击“开始”，指向“所有程序”，指向“管理工具”，然后单击“Active Directory 域和信任关系”。
3. 在控制台树中，右键单击“Active Directory 域和信任关系”，然后单击“提升目录林功能级别”。
4. 在“选择一个可用的目录林功能级别”下，单击“Windows Server 2003”，然后单击“提升”。

注意：要提升目录林功能级别，您必须升级（或降级）目录林中现有的所有 Windows 2000 域控制器。

如果您无法提升目录林功能级别，您可以在“提升目录林功能级别”对话框中单击“另存为”来保存一个日志文件，该文件指定了该目录林中哪些域控制器必须从 Windows NT 4.0 或 Windows 2000 进行升级。

如果您收到消息表明您不能提升目录林功能级别，可以使用由“另存为”命令生成的报表来标识不满足所请求的提升要求的所有域和域控制器。

当前目录林功能级别显示在“提升目录林功能级别”对话框的“当前目录林功能级别”中。在目录林级别成功地提升并复制到域中的 PDC 上以后，每个域的 PDC 会自动将其域级别提升到当前目录林级别。级别提升在架构 FSMO 上执行并要求有企业管理员凭据。



手动查看并设置功能级别
LDAP 工具（例如 Ldp.exe 和 Adsiedit.msc）可用来查看和修改当前域和目录林功能级别设置。由于所做的更改实际上都是先写到授权 FSMO 然后复制，所以当您手动修改属性时，最好针对提升的 FSMO 授权进行。
目录林级别设置
属性为 CN=Partitions, CN=Configuration, DC=ForestRootDom, DC=tld 对象上的 msDS-Behavior-Version。? 值 0 或未设置=混合级别目录林
? 值 1=Windows Server 2003 过渡版目录林级别
? 值 2=Windows Server 2003 目录林级别

注意：当您使用 ADSIEdit 将 msDS-Behavior-Version 属性从 0 提高到 1 时，您会收到以下错误消息：
修改操作非法。不允许该修改的某个方面。
单击“确定”以继续。分区容器和域头属性已正确提高。该错误消息不是由 Ldp.exe 文件报告的。您可以安全地忽略此错误消息。要验证级别是否已成功提升，请刷新属性列表并检查当前设置。如果您已经在授权 FSMO 上执行了提升级别操作，但没有将其复制到本地域控制器，该错误消息也可能会出现。
域功能级别设置
在每个域 DC=Mydomain, DC=ForestRootDom, DC=tld 对象的 NC 头根上的属性是 msDS-Behavior-Version。 ? 值 0 或未设置=混合级别目录林
? 值 1=Windows Server 2003 域级别
? 值 2=Windows Server 2003 域级别

混合模式/纯模式设置
在每个域 DC=Mydomain, DC=ForestRootDom, DC=tld 对象的 NC 头根上的属性是 ntMixedDomain。 ? 值 0=纯模式级别域
? 值 1=混合模式级别域

使用 Ldp.exe 文件快速查看当前设置
1. 启动 Ldp.exe 文件。
2. 在“连接”菜单上，单击“连接”。
3. 指定您想要查询的域控制器，或将该区域留空以连接任一域控制器。
当您连接后，会显示域控制器的 RootDSE 信息。包括目录林、域和域控制器。以下是一个 Windows Server 2003 域控制器的示例，域模式为 Windows Server 2003，目录林模式为 Windows 2000。

注意：域控制器功能代表该域控制器可以运行的最高功能级别，而不是该域控制器当前运行的功能级别。? 1> domainFunctionality:2=(DS_BEHAVIOR_WIN2003)
? 1> forestFunctionality:0=(DS_BEHAVIOR_WIN2000)
? 1> domainControllerFunctionality:2=(DS_BEHAVIOR_WIN2003)



手动更改功能级别时的要求
? 在 Windows Server 2003 中，如果直接修改 domainDNS 对象的 msdsBehaviorVersion 属性值，将域功能级别通过编程方式提升到 2，或者使用 Ldp.exe 或 Adsiedit.msc 实用工具将域功能级别提升到 2，则在提升域级别之前不必将域模式更改为纯模式。
? 在 Windows Server 2003 Service Pack 1 (SP1) 中，如果直接修改 domainDNS 对象的 msdsBehaviorVersion 属性值，将域功能级别通过编程方式提升到 2，或者使用 Ldp.exe 或 Adsiedit.msc 实用工具将域功能级别提升到 2，则在提升域级别之前必须将域模式更改为纯模式。如果在 Windows Server 2003 SP1 中提升域级别之前没有将域模式更改为纯模式，则操作将无法成功完成，并且您将收到以下错误消息：
SV_PROBLEM_WILL_NOT_PERFORM
ERROR_DS_ILLEGAL_MOD_OPERATION
此外，在“目录服务”日志中您会收到以下消息：

Active Directory 无法更新下列域的功能级别，因为域处于混合模式。

在这种情况下，可通过使用“Active Directory 用户和计算机”管理单元、“Active Directory 域和信任关系”UI MMC 管理单元，或通过编程方式将 domainDNS 对象的 ntMixedDomain 属性值更改为 0，从而将域模式更改为纯模式。在 Windows Server 2003 中，如果使用此过程将域功能级别提升到 2，则域模式自动更改为纯模式。
? 混合模式到纯模式的转换会将架构管理员和企业管理员安全组的范围改为通用组。这些组更改为通用组后，系统事件日志中会记录以下消息：
事件类型:信息
事件来源:SAM
事件 ID: 16408
计算机:Server Name
描述:“域操作模式被更改为纯模式。此更改不可逆。”

? 当使用 Windows Server 2003 管理工具调用域功能级别时，ntmixedmode 和 msdsBehaviorVersion 属性均按正确顺序进行修改。但是，如果控制域功能模式的 msdsBehaviorVersion 属性被手动或通过编程方式设置为 2，然后使用任意方法将目录林功能级别设置为 2，那么纯模式将隐式设置为 2，而不用将架构管理员组和企业管理员组的范围更改为通用。安装了 Windows Server 2003 SP1 的域控制器将阻止转换为目录林功能级别，直到处于纯模式下并在所有域中配置了对安全组范围的必要更改。
? 当域处于纯模式时，不能更改 domainDNS 对象的 msdsBehaviorVersion 属性。在这种情况下，必须首先确认域处于纯模式下，再将 domainDNS 对象的 ntMixedDomain 属性值更改为 0，然后才能更改 domainDNS 对象的 msdsBehaviorVersion 属性。

最佳做法
下面一节讨论提升功能级别的最佳做法。本节分为两部分，“准备任务”讨论在提升前必须完成的工作，“最优提升路径”讨论不同级别提升情形的动机与方法。
提升级别之前的准备工作
生成一个目录林中旧版本域控制器的清单。如果没有准确的服务器列表，请按照下列步骤操作： 1. 要找到混合级别域、Windows 2000 域控制器或有损坏或缺少对象的域控制器，请使用 Active Directory 域和信任关系 MMC 管理单元。
2. 单击“提升目录林功能”，然后单击“另存为”以便生成一个详细的报表。

如果没有发现此类对象，在“可用目录林功能级别”下拉列表中，提升到 Windows Server 2003 目录林级别的选项就变为可用。当您试图提升目录林级别时，系统会对配置容器中的域控制器对象进行搜索以找出任何不具有 msds-behavior-version 等于 2 的域控制器。这些对象被认为是 Windows 2000 域控制器或是损坏的 Windows Server 2003 域控制器对象。如果找到早期版本的域控制器或带有损坏或丢失的计算机对象的域控制器，报表中将列出这些对象。必须对这些域控制器的状态进行检查，并且必须使用 Ntdsutil 文件来修复或删除这些域控制器在 Active Directory 中的表示。
有关更多信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章：
216498 (http://support.microsoft.com/kb/216498/) 域控制器降级失败后如何删除 Active Directory 中的数据
要找到 Windows NT 4.0 域控制器，请按照下列步骤操作： 1. 从任何一个基于 Windows Server 2003 的域控制器中打开“Active Directory 用户和计算机”。
2. 如果该域控制器还没有连接到适当的域，请按照以下步骤将其连接到适当的域： a. 右键单击当前域对象，然后单击“连接到域”。
b. 在“域”对话框中，键入您想要连接的域的 DNS 名称，或单击“浏览”以在域树中选择域，然后单击“确定”。

3. 右键单击该域对象，然后单击“查找”。
4. 在“查找”对话框中，单击“自定义搜索”。
5. 单击要更改其功能级别的域。
6. 单击“高级”选项卡。
7. 在“输入 LDAP”查询框中，键入以下内容（字符之间不留空格）：(&(objectCategory=computer)(operatingSystem Version=4*)(userAccountControl:1.2.840.113556.1.4.803:=8192)) 注意：此查询不区分大小写。
8. 单击“立即查找”。

此时显示一个列表，其中列出在域中运行 Windows NT 4.0 并执行域控制器功能的计算机。
一个域控制器可能会由于以下任何原因出现在列表中： ? 该域控制器正在运行 Windows NT 4.0 并且必须进行升级。
? 该域控制器已经升级到 Windows Server 2003，但是这些更改还没有复制到目标域控制器中。
? 该域控制器不再处于服务状态，但是该域控制器的计算机对象还没有从域中删除。
在您能够将域功能级别更改为 Windows Server 2003 之前，您必须先确定这些列表中的域控制器的物理位置，确定这些域控制器的当前状态，并相应地升级或删除这些域控制器。请注意，与 Windows 2000 域控制器不同，Windows NT 4.0 域控制器不会阻止级别提升。但是，复制到 Windows NT 4.0 域控制器的操作会停止。如果目录林中具有处于 Windows 2000 混合级别的域时，无法将目录林级别提升至 Windows Server 2003。目录林中所有域的目录林级别都达到 Windows 2000 纯模式或更高级别就隐含表明该目录林中没有 Windows NT 4.0 BDC。

验证端对端复制正在目录林中运行。为此，请在 Windows XP 或 Windows Server 2003 成员上针对 Windows 2000 或 Windows Server 2003 域控制器使用 Windows Server 2003 版的 Repadmin： ? Repadmin/Replsum * /Sort450) this.width=450" border=0>elta[/Errorsonly]，用于初始清单。
? Repadmin/Showrepl * /CSV>showrepl.csv。导入到 Excel，然后使用 Data->Autofilter 标识复制功能。

使用诸如 Repadmin 和 Replmon 等复制工具来验证目录林范围的复制正在成功地运行。
验证所有程序或服务同 Windows Server 2003 域控制器和 Windows Server 2003 目录林模式的兼容性。使用实验环境充分测试生产程序和服务的兼容性问题。同供应商联系以确认其兼容性。

准备一个复原计划，包含以下操作之一： ? 从目录林的每个域中断开至少两个域控制器。

- 或 -
? 针对目录林的每个域中至少两个域控制器创建系统状态备份。
目录林中所有域控制器必须在恢复过程运行之前取消配置，然后才可以使用复原计划。注意，级别提升不能授权还原。因此在级别提升中复制的所有域控制器必须取消配置。
在所有以前的域控制器取消配置后，启动断开的域控制器或从备份中还原域控制器。从所有其他域控制器中删除元数据，然后重新提升这些域控制器。此过程并不常用，在可能的情况下尽量不要采用。


如何以最佳方式配置功能级别
以下两节讨论从 Windows 2000 混合模式级别升级到 Windows Server 2003 目录林级别的两种不同方法。第三节提供关于 Windows NT 4.0 升级的详细信息。
将所有域提升到纯模式，将目录林提升到 Windows Server 2003
将所有域提升到 Windows 2000 纯模式级别。该操作完成后，将目录林根域的功能级别提升到 Windows Server 2003 目录林级别。当目录林级别复制到了目录林中每个域的 PDC 时，域级别就会自动提升到 Windows Server 2003 域级别。此方法具有以下优点： ? 目录林范围的级别提升只执行一次。您不需要将目录林中的每个域手动提升到 Windows Server 2003 域功能级别。
? 在级别提升之前会检查是否存在 Windows 2000 域控制器。如果存在，除非删除或升级这些域控制器，否则将无法进行级别提升。可以生成一个详细的报告，其中列出阻止进行提升的域控制器，以提供可操作数据。
? 检查是否存在处于 Windows 2000 混合模式或 Windows Server 2003 过渡版级别的域。如果存在，除非将这些域的级别提升到至少 Windows 2000 纯模式，否则将无法进行级别提升。过渡版级别的域必须提升到 Windows Server 2003 域级别。可以生成一个详细的报告，其中列出阻止进行提升的域。

将所有域提升到 Windows Server 2003 域级别，然后将目录林提升到 Windows Server 2003 目录林级别
将每个域提升到 Windows Server 2003 域级别。此方法具有以下优点： ? 在将目录林提升至 Windows Server 2003 目录林级别之前，Windows Server 2003 域级别功能即会激活。
? 可以在较小的规模下执行互操作性测试，而无须将目录林提升到 Windows Server 2003 目录林级别。



Windows NT 4.0 升级
对于 Windows NT 4.0，除非将 Windows 2000 域控制器引入到目录林中，否则在 PDC 升级过程总是使用过渡版级别。如果在 PDC 升级过程中使用了过渡版模式，现有的大型组会立即使用 LVR 复制，以避免产生上文所讨论的潜在复制问题。在升级过程中使用下列方法之一可以实现过渡版级别： ? 在 Dcpromo 过程中选择过渡版级别。只有将 PDC 升级到一个新目录林中时，此选项才会显示。
? 将一个现有目录林的级别设置为过渡版级别，然后在 PDC 升级过程中加入该目录林。升级后的域将继承目录林的设置。
? 在升级或删除了所有的 Windows NT 4.0 BDC 之后，每个域必须转换到目录林级别，并能转换到 Windows Server 2003 目录林模式。
如果计划在升级后（或在将来的某一时间）实现 Windows 2000 域控制器，请不要使用过渡版模式。
有关 Windows NT 4.0 中大型组的特别注意事项
在完善的 Windows NT 4.0 域中，可能会存在包含超过 5000 个成员的安全组。在 Windows NT 4.0 中，在更改安全组的一个成员时，只有单一的成员资格更改会复制到备份域控制器中。在 Windows 2000 中，组成员资格是以组对象的单一多值属性方式存储的链接属性。当对组的成员资格做一项修改后，整个组就作为一个单元进行复制。由于组成员资格是作为一个单元进行复制，所以当同时在不同的域控制器中添加或删除不同的成员时，对组成员资格的更新可能会“丢失”。此外，该单一对象的大小可能会超过向数据库提交一个数据项所使用的缓冲区的大小。有关详细信息，请参阅本文“大型组的版本存储区问题”部分。基于这些原因，建议将组成员数限制为 5000。

但域用户组除外，该组的成员可以超过 5000。域用户组根据用户的“主要组 ID”，通过一种“计算”机制来确定成员资格，而不是通常的将成员作为多值链接属性存储。如果用户的主要组发生更改，其域用户组中的成员资格会写入该组的链接属性，并且不再进行计算。这一方法在 Windows 2000 中有效并且在 Windows Server 2003 中也没有改变。如果管理员对升级域没有选择过渡版级别，则在升级之前您必须按以下步骤操作： 1. 生成所有大型组的清单，并标识出除域用户组以外的成员数超过 5000 的所有组。
2. 成员数超过 5000 的所有组都必须分解成 5000 个成员以下的小型组。
3. 找到输入大型组的访问控制列表并添加用来分解其成员资格的小型组。
Windows Server 2003 过渡版目录林级别使管理员不必找到并重新分配超过 5000 个成员的全局安全组。
大型组的版本存储区问题
在执行长时间运行操作（例如进一步搜索某个大型属性或向其进行提交）时，Active Directory 必须确保在完成该操作之前数据库的状态为静态。使用旧式存储的大型组是一个进一步搜索大型属性或向其进行提交的示例。

由于不断在本地以及从复制伙伴更新数据库，Active Directory 会在完成长时间运行操作之前，通过对即将发生的所有更改进行排队来提供一个静态状态。完成该操作后，排队更改将应用到该数据库。

这些排队更改的存储位置称为“版本存储区”，其大小约为 100 MB。版本存储区的大小因物理内存而异。如果在版本存储区空间耗尽之前长时间运行操作尚未完成，则域控制器将停止接受更新，直到提交了长时间运行操作和排队更改。当组的数目足够多且其成员数超过 5000 时，如果提交了该大型组，则域控制器会面临耗尽版本存储区空间的危险。

Windows Server 2003 为链接的多值属性引入了一个称为链接值复制 (LVR) 的新复制机制。LVR 不是用某个复制操作来复制整个组，而是执行单独的复制操作复制每个组成员来解决该问题。当目录林功能级别提升到 Windows Server 2003 过渡版目录林级别或 Windows Server 2003 目录林级别后，即可使用 LVR。在该功能级别中，LVR 用于在 Windows Server 2003 域控制器之间复制组。


--------------------------------------------------------------------------------

这篇文章中的信息适用于:
? Microsoft Windows Server 2003, 64-Bit Datacenter Edition
? Microsoft Windows Server 2003, Enterprise x64 Edition
? Microsoft Windows Server 2003 Datacenter Edition
? Microsoft Windows Server 2003 Enterprise Edition
? Microsoft Windows Server 2003 Standard Edition