O Adprep.exe (Active Directory Preparation Tool) no
Microsoft Windows Server 2003 prepara uma floresta e seus domínios do Microsoft
Windows 2000 para a instalação dos controladores de domínio do Windows Server
2003. Este artigo documenta os aprimoramentos para o Adprep.exe no Windows
Server 2003 Service Pack 1 (SP1). Este artigo também fornece um hotfix que
inclui a versão atualizada do Adprep.exe. É possível aplicar esse hotfix para
atualizar o Adprep.exe mesmo se você não instalar o Windows Server 2003
SP1.
Observação É aconselhável sempre usar a versão mais recente do Adprep.exe
para estender o esquema.
Para preparar uma floresta do Windows 2000 para hospedar os
controladores de domínio novos ou atualizados do Windows Server 2003, execute o
comando
adprep /forestprep no mestre de operações de esquema e o comando
adprep /domainprep no mestre de operações de infra-estrutura em cada
domínio.
A versão atualizada do Adprep.exe dá suporte aos seguintes
comandos e aprimoramentos. Esses aprimoramentos ajudam o administrador a
atualizar com êxito para o Windows Server 2003.
- adprep /forestprep
O comando adprep /forestprep executa as mesmas operações da versão de lançamento original do
Windows Server 2003. A sintaxe desse comando não é alterada. Os aprimoramentos
incluem melhor tratamento de mensagem de erro nas configurações que impedem que
o comando adprep /forestprep execute com êxito. - adprep /domainprep
No Windows Server 2003 sem service packs, o comando adprep /domainprep adiciona a todos os GPOs (Objetos de Diretiva de Grupo) no
recurso compartilhado SYSVOL descritores de segurança mais restritivos. Ao
modificar as permissões em todos os GPOs na árvore SYSVOL, o NTFRS (Serviço de
Replicação de Arquivos NT) no controlador de domínio originador deve enviar
todos os GPOs para todos os outros controladores de domínio nesse domínio.
Algumas infra-estruturas de rede que contêm muitos controladores de domínio ou
GPOs já podem estar com muita carga se elas estiverem conectadas pelas conexões
de rede lentas. Ao usar o comando adprep /domainprep, a sobrecarga incremental da sincronização completa dos GPOs no
recurso compartilhado SYSVOL pode sobrecarregar tais redes. Para resolver este
problema, a versão atualizada do Adprep.exe desagrupa a modificação das
permissões no recurso compartilhado SYSVOL pelas outras operações realizadas
pelo comando adprep /domainprep.
Na versão do Adprep.exe incluída no Windows Server 2003
SP1, o comando adprep /domainprep realiza as mesmas operações que a versão anterior do Adprep.exe.
No entanto, os comandos atualizados não modificam as permissões nos GPOs, a não
ser que você use a nova opção /gpprep. Após a instalação da versão atualizada do Adprep.exe, a seguinte
mensagem é exibida ao executar o comando adprep /domainprep:A nova funcionalidade de planejamento de
domínios diferentes para a Diretiva de Grupo, o Modo de Planejamento RSOP,
requer o sistema de arquivos e as permissões do Active Directory para ser
atualizado para os GPOs (objetos de diretiva de grupo) existentes. É possível
habilitar essa funcionalidade a qualquer momento executando o ?adprep.exe
/domainprep /gpprep? no controlador de domínio que mantém a função de mestre de
operações da estrutura.
Essa operação fará com que todos os GPOs
localizados na pasta de diretivas do SYSVOL sejam replicados uma vez entre os
controladores de domínio nesse domínio. A Microsoft aconselha a leitura do KB
Q324392, especialmente se você tiver um grande número de
GPOs.
- adprep /domainprep /gpprep
A funcionalidade do comando adprep domainprep /gpprep depende do estado do domínio. Se o comando adprep /domainprep atualizado não foi executado, ele será o equivalente funcional do
comando adprep /domainprep no lançamento original do Windows Server 2003. Nessas
circunstâncias, o comando executa todas as operações de domínio listadas no
artigo 309628 da Base de Dados de Conhecimento Microsoft. Essas operações
incluem a configuração das permissões para os GPOs no SYSVOL. Se o comando adprep /domainprep atualizado já tiver sido executado, o comando adprep /domainprep /gpprep adicionará apenas as ACEs (Entradas de controle de acesso)
herdáveis aos GPOs no recurso compartilhado Sysvol. As ACEs adicionais dão aos
controladores de domínio de empresa permissões de acesso de leitura nos GPOs.
Essas permissões são necessárias para dar suporte à funcionalidade RSoP
(Conjunto de diretivas resultante) para a diretiva com base no site.
Para obter informações adicionais sobre o Adprep.exe na
versão original de lançamento do Windows Server 2003, clique no número abaixo
para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode
estar em inglês):
309628
(http://support.microsoft.com/kb/309628/
)
Operações executadas pelo utilitário Adprep.exe ao adicionar um controlador de domínio do Windows Server 2003 a um domínio ou floresta do Windows 2000
Devido a esses aprimoramentos, é aconselhável usar a
versão atualizada do Adprep.exe.
Informações sobre o hotfix
Um hotfix compatível foi disponibilizado
pela Microsoft. No entanto, esse hotfix destina-se a corrigir somente o
problema descrito neste artigo. Aplique-o somente aos sistemas que apresentarem
esse problema específico. Testes adicionais poderão ser realizados nesse
hotfix. Portanto, se esse problema não o prejudicar seriamente, é recomendável
que você aguarde o próximo service pack que contenha esse hotfix.
Para
resolver esse problema, envie uma solicitação para o Atendimento ao Cliente
Online Microsoft para obter o hotfix. Para enviar a solicitação online a fim de
obter o hotfix, visite o seguinte site da Microsoft:
Observação Se problemas adicionais ocorreram ou uma solução de problemas for
requerida, poderá ser necessário criar uma solicitação de serviço separada. Os
custos normais de suporte serão aplicados a questões e problemas de suporte que
não se qualifiquem a esse hotfix. Para criar uma solicitação de serviço
separada, visite o seguinte site da Microsoft:
Pré-requisitos
Não há pré-requisitos.
Requisito de reinicialização
Não é necessário reiniciar seu computador após aplicar esse
hotfix.
Informações sobre a substituição do hotfix
Esse hotfix não substitui nenhum outro.
Informações sobre o arquivo
A versão em inglês desse hotfix tem os atributos de
arquivo (ou atributos de arquivo posteriores) listados na tabela a seguir. As
datas e horários desses arquivos estão listados em formato UTC (Tempo Universal
Coordenado). Ao exibir as informações sobre o arquivo, elas são convertidas
para a hora local. Para localizar a diferença entre o UTC e a hora local, use a
guia
Fuso horário na ferramenta Data e hora do Painel de
Controle.
Windows Server 2003, versões de 32 bits
Data Hora Versão Tamanho Nome do arquivo
-----------------------------------------------------------------
23-jul-2004 09:04 5.2.3790.196 397.824 Adprep.exe
Windows Server 2003, versões de 64 bits
Data Hora Versão Tamanho Nome do arquivo Plataforma
-----------------------------------------------------------------
23-jul-2004 09:05 5.2.3790.196 1.071.616 Adprep.exe IA-64
Para integrar o arquivo atualizado que esse
hotfix fornece com os arquivos no CD de instalação original do Windows Server
2003 execute as seguintes etapas:
- Copie o conteúdo da pasta \I386 do CD do Windows Server
2003 para o computador.
- Baixe o arquivo de hotfix 194432_ENU_i386_zip.exe no
computador.
- No Windows Explorer, localize e clique duas vezes no
arquivo de hotfix.
- Quando solicitado, especifique uma pasta para os arquivos
extraídos.
- Localize e clique duas vezes no arquivo
WindowsServer2003-KB324392-x86-enu.exe.
Observação Esse arquivo é a pasta especificada na etapa 4. - Quando solicitado a especificar uma pasta para os arquivos
extraídos, digite o caminho para a pasta \I386 copiada do CD do Windows Server
2003 CD na etapa 1.
Em um prompt de comando, execute o comando
adprep e seus argumentos da linha de comando da pasta \I386.
Outros aprimoramentos para o Adprep.exe
Além dos aprimoramentos mencionados anteriormente, a versão
atualizada do Adprep.exe inclui os seguintes aprimoramentos:
- O comando adprep /forestprep introduz as alterações de esquema de toda a floresta e de todo o
domínio.
Para habilitar o comando adprep /forestprep a fim de introduzir as alterações de esquema, é necessário que o
controlador de domínio que mantém a função do mestre de operações de esquema
seja operacional na rede. Além disso, é necessário que esse controlador de
domínio tenha realizado a replicação de entrada das partições CN=Schema desde a
última vez em que o controlador de domínio foi reiniciado.
Se não for
possível para o comando adprep /forestprep introduzir as alterações de esquema, a seguinte mensagem de erro
será exibida:Adprep não pôde estender o
esquema.
[Status/Conseqüência]
O mestre de esquema não concluiu um
ciclo de replicação após a última reinicialização. O mestre de esquema deve
concluir pelo menos um ciclo de replicação antes de poder estender o
esquema.
[Ação do usuário]
Verifique se o mestre de esquema está
conectado à rede e pode se comunicar com outros controladores de domínio. Use o
snap-in Sites e Serviços para replicar entre o mestre de operações de esquema e
pelo menos um parceiro de replicação. Após o êxito da replicação, execute o
adprep novamente.
A versão original de lançamento do comando adprep /forestprep do Windows Server 2003 não exibe essa mensagem de
erro. - O comando adprep /forestprep usa o utilitário Schupgr.exe para implementar as adições de
esquema.
Se os controladores de domínio do Windows 2000 contivererem
extensões do esquema que não são compatíveis com as extensões do esquema do
Windows Server 2003, o utilitário Schupgr.exe e o comando adprep /forestprep não poderão implementar todas as adições de esquema. Neste
cenário, o comando adprep /forestprep detecta as possíveis extensões conflitantes do esquema e as
relata ao usuário antes de atualizar o esquema. - O aviso de falha Initsync está alterado.
Para o
comando adprep /forestprep fazer atualizações de esquema na floresta, é necessário que o
mestre de operações Mestre de Esquema esteja de acordo com os requisitos do
InitSync ao executar uma replicação de entrada da partição do esquema de pelo
menos um controlador de domínio diferente na floresta. Se não for possível para
o Mestre de Esquema executar a replicação de entrada com êxito, a função Mestre
de Esquema não estará disponível. Esse problema faz com que o comando adprep /forestprep falhe. No Windows Server 2003 sem service packs, a mensagem de
erro gerada nessa situação não identifica corretamente o problema do
Initsync.
A versão do Adprep.exe incluída no Windows Server 2003 SP1
identifica corretamente o problema do Initsync e gera a seguinte mensagem de
erro: ADPREP não pôde estender o esquema.
[Status/Conseqüência]
O mestre de esquema não concluiu um ciclo de
replicação após a última reinicialização. O mestre de esquema deve concluir
pelo menos um ciclo de replicação antes de poder estender o esquema.
[Ação do usuário]
Verifique se o mestre de esquema está
conectado à rede e pode se comunicar com outros controladores de domínio. Use o
snap-in Sites e Serviços para replicar entre o mestre de operações de esquema e
pelo menos um parceiro de replicação. Após o êxito da replicação, execute o
ADPREP novamente.
- O Adprep executa a verificação do esquema.
Você
pode ter dificuldade com o comando adprep /forestprep ao executar a versão do Adprep.exe incluída no Windows Server
2003 sem service packs, além de ter extensões do esquema que não são válidas.
As extensões do esquema podem ter sido instaladas por programas de terceiros.
Essas extensões do esquema obtêm incorretamente os identificadores de objeto
definidos por RFC ou as definições de esquema reservadas pela Microsoft. Então,
as extensões de esquema usam essas definições nos objetos que têm um caminho DN
(nome distinto) ou um nome para exibição LDAP diferente.
Na versão da
Adprep.exe incluída no Windows Server 2003 sem service packs, o arquivo de log
Adprep não indica claramente o atributo afetado do Active Directory. Por isso,
é necessário identificar manualmente o atributo incorreto entre todas as
adições possível feitas por um dos arquivos de formato de intercâmbio de
diretório LDAP. Normalmente, esse arquivo é o arquivo Sch18.ldf.
Na
versão do Adprep.exe incluída no Windows Server 2003 SP1, o Adprep valida o
esquema antes do comando adprep /forestprep prosseguir. Se o Adprep detectar uma extensão de esquema
incompatível, o comando pára. O comando gera uma mensagem de erro similar à
seguinte. Essa mensagem de erro registra o identificador de objeto e o nome
distinto do objeto com problema.O OID "2.5.4.45" definido
para o objeto CN=UniqueID,CN=Schema,CN=Configuration,DC=ADPREP,DC=com entra em
conflito com as extensões de esquema necessárias para o Windows
2003.
[Status/Conseqüência]
O ADPREP não estenderá o esquema
existente.
[Ação do usuário]
Contate o fornecedor do
aplicativo que estendeu o esquema com o valor OID igual a "2.5.4.45" e resolva
essa inconsistência. Em seguida, execute o ADPREP novamente.
No exemplo que aparece na
mensagem de erro, o fornecedor deve alterar o nome distinto relativo UniqueID
para MyUniqueID ou para qualquer outro nome.
Também é possível
adicionar um nome distinto relativo e usar um identificador de objeto válido.
Por exemplo, é possível adicionar o myinetOrg ao identificador de objeto
corrigido para o inetOrg. Nesse exemplo, a solução é renomear o myinetOrg para
inetOrg e adicionar uma nova extensão para o programa junto com uma atualização
do programa.
- A detecção do Exchange InetOrgPerson é
adicionada.
Considere a seguinte situação:
- Você estende o esquema usando a versão do Adprep que
está incluída no Windows Server 2003 sem service packs.
- O esquema foi estendido pelo Microsoft Exchange 2000
Server.
- A correção InetOrgPerson não foi aplicada.
Nesse cenário, nenhuma mensagem de erro é exibida: O esquema
é estendido, mas os nomes para exibição LDAP dos três atributos do Exchange a
seguir são danificados:
- MS-Exchange-HouseIdentifier
- MS-Exchange-Secretary
- MS-Exchange-LabeledURI
Um exemplo desse problema é o seguinte.
Esquema do Exchange 2000 sem a correção InetOrgPersonRecolher esta tabelaExpandir esta tabela
| Tipo de objeto | Valor |
| Atributo | MS-Exchange-HouseIdentifier |
| LDAPDisplayName | HouseIdentifier |
Recolher esta tabelaExpandir esta tabela
| Tipo de objeto | Valor |
| Atributo | HouseIdentifier |
| LDAPDisplayName | HouseIdentifier |
Recolher esta tabelaExpandir esta tabela
| Tipo de objeto | Valor |
| Atributo | HouseIdentifier |
| LDAPDisplayName | DUP-houseIdentifier-354b0ca8-9b6c-4722-aae7-e66906cc9eef |
ADPREP não pôde estender o
esquema.
[Status/Conseqüência]
Conflito de esquema no
Exchange 2000. Esquema não atualizado.
[Ação do usuário]
É
necessário resolver o conflito de esquema antes de executar o ADPREP. A
resolução do conflito de esquema permite que a alteração replique entre todos
os parceiros de replicação e execute o ADPREP. Para obter informações sobre
como resolver o conflito, consulte o artigo Q325379 na Base de Dados de
Conhecimento Microsoft (a página pode estar em inglês)
Para obter informações adicionais sobre a terminologia usada neste artigo,
clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da
Microsoft (a página pode estar em inglês):
824684
(http://support.microsoft.com/kb/824684/
)
Descrição da terminologia padrão usada para descrever as atualizações de software da Microsoft
Windows Live
Facebook
Twitter
Linkedin
Digg it
Yahoo
Delicious
StumbleUpon
Yammer
Reddit
Technorati
FriendFeed
Email
Voltar para o início
