Изменения, вносимые в возможности средства Adprep.exe исправлением 324392 и пакетом обновления 1 (SP1) для Windows Server 2003

Переводы статьи Переводы статьи
Код статьи: 324392 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Аннотация

Средство Active Directory Preparation Tool (Adprep.exe), входящее в состав Microsoft Windows Server 2003, подготавливает лес и домены Microsoft Windows 2000 для установки контроллеров домена под управлением Windows Server 2003. В данной статье описываются изменения, вносимые в возможности средства Adprep.exe пакетом обновления 1 (SP1) для Windows Server 2003, а также рассматривается исправление, включающее новую версию данного средства. Это исправление позволяет обновить средство Adprep.exe, не устанавливая пакет обновления 1 (SP1).

Примечание Для расширения схемы рекомендуется всегда использовать последнюю версию средства Adprep.exe.

Дополнительная информация

Чтобы подготовить лес Windows 2000 к установке новых контроллеров домена под управлением Windows Server 2003 или к обновлению операционной системы существующих контроллеров домена до версии Windows Server 2003, необходимо в каждом домене данного леса выполнить команду adprep /domainprep на контроллере домена, являющемся хозяином инфраструктуры, а также выполнить команду adprep /forestprep на контроллере домена, являющемся хозяином схемы.

Обновленная версия средства Adprep.exe поддерживает следующие команды и содержит перечисленные ниже изменения. Эти изменения помогают администраторам успешно выполнить обновление до версии Windows Server 2003.
  • adprep /forestprep

    Команда adprep /forestprep выполняет те же действия, что и в исходной версии данного средства. Синтаксис данной команды не изменился. В обновленной версии средства Adprep.exe улучшена обработка ошибок, возникающих в тех случаях, когда при выполнении команды adprep /forestprep происходит сбой.
  • adprep /domainprep

    В исходной версии Windows Server 2003 (без пакетов обновления) одним из действий, выполняемых командой adprep /domainprep, является добавление дескрипторов безопасности, обладающих более строгими ограничениями, ко всем объектам групповой политики (ОГП), находящимся в общей папке SYSVOL. При изменении разрешений для всех ОГП, находящихся в дереве SYSVOL, служба репликации файлов (NTFRS), работающая на исходном контроллере домена, должна отправить все ОГП остальным контроллерам данного домена. В некоторых случаях инфраструктура сети, содержащей большое количество контроллеров домена или объектов групповой политики и использующей медленные каналы связи, может быть подвержена большим нагрузкам. В результате выполнения команды adprep /domainprep произойдет полная синхронизация объектов групповой политики, находящихся в общей папке SYSVOL, что может привести к перегрузке сети. Чтобы устранить данную проблему, обновленная версия средства Adprep.exe выполняет изменение разрешений объектов, находящихся в общей папке SYSVOL, отдельно от остальных действий, выполняемых командой adprep /domainprep.

    В версии средства Adprep.exe, вошедшей в состав пакета обновления 1 (SP1) для Windows Server 2003, команда adprep /domainprep выполняет те же действия, что и в исходной версии данного средства. Однако обновленная версия средства Adprep.exe не изменяет права доступа к объектам групповой политики, если не указан параметр /gpprep. После установки обновленной версии средства Adprep.exe при выполнении команды adprep /domainprep появляется следующее сообщение об ошибке.
    Для новых функций междоменного планирования групповых политик и режима планирования RSOP требуется обновление разрешений файловой системы и Active Directory для существующих объектов групповых политик. Эти функции можно включить в любое время, выполнив команду ?adprep.exe /domainprep /gpprep? на контроллере домена, выполняющем роль хозяина инфраструктуры.

    При этом все объекты групповых политик, расположенные в папке политик SYSVOL, будут однократно реплицированы между контроллерами домена в этом домене. Корпорация Майкрософт рекомендует ознакомиться со статьей базы знаний Q324392, особенно при наличии большого числа объектов групповых политик.
  • adprep /domainprep /gpprep

    Действия, выполняемые командой adprep /domainprep /gpprep, зависят от состояния домена. Если обновленная команда adprep /domainprep ранее не выполнялась, команда adprep /domainprep /gpprep будет выполнять те же действия, что выполняла команда adprep /domainprep в исходной версии Windows Server 2003. В этом случае данная команда выполнит все операции, перечисленные в статье 309628 базы знаний Майкрософт (в том числе изменение прав доступа к объектам групповой политики в папке SYSVOL). Если в домене уже выполнялась команда adprep /domainprep, использующая обновленную версию средства Adprep.exe, то команда adprep /domainprep /gpprep только добавит унаследованные записи управления доступом (ACE) для объектов групповой политики в общей папке Sysvol. Дополнительные записи управления доступом предоставляют контроллерам домена уровня предприятия право чтения объектов групповой политики. Это право необходимо для поддержки результирующей политики при использовании политик уровня сайта.
Дополнительные сведения о средстве Adprep.exe, поставляемом в составе исходной версии Windows Server 2003, см. в следующей статье базы знаний Майкрософт:
309628 Операции, выполняемые средством Adprep.exe при добавлении контроллера домена под управлением Windows Server 2003 к домену Windows 2000 (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
Учитывая вышеизложенное, корпорация Майкрософт рекомендует использовать новую версию данного средства.

Сведения об исправлении

Корпорация Майкрософт выпустила исправление. Однако оно предназначено исключительно для устранения проблемы, описанной в этой статье. Это исправление необходимо применять только в тех системах, в которых наблюдается данная проблема. Исправление может проходить дополнительное тестирование. По этой причине корпорация Майкрософт рекомендует во всех случаях, когда проблема не представляет особой важности, отложить ее решение до выхода ближайшего пакета обновления, содержащего это исправление.

Если исправление доступно для загрузки, вверху статьи базы знаний отображается раздел "Исправление доступно для загрузки". Если этот раздел не отображается, отправьте запрос на получение исправления в службу поддержки клиентов корпорации Майкрософт через Интернет. Чтобы отправить запрос на получение исправления, посетите веб-узел по адресу:
http://go.microsoft.com/?linkid=6294451
Примечание. Если возникли другие проблемы или необходимо устранить неполадки, возможно, потребуется создать отдельный запрос на обслуживание. Дополнительные услуги по технической поддержке, не связанные с данным исправлением, оплачиваются на стандартных условиях. Чтобы создать отдельный запрос на обслуживание, посетите веб-узел корпорации Майкрософт по следующему адресу:
http://support.microsoft.com/contactus/?ws=support
Примечание. В разделе "Исправление доступно для загрузки" и в формах запроса отображаются языки, для которых доступно исправление. Если язык не отображается, это значит, что исправление для данного языка отсутствует.

Необходимые условия

Отсутствуют.

Необходимость перезагрузки

После установки исправления компьютер перезагружать не нужно.

Сведения о замене исправлений

Это исправление не заменяет других исправлений.

Сведения о файлах

Английская версия исправления содержит версии файлов, указанные в следующей таблице, или более поздние. Дата и время указаны в формате единого всемирного времени (по Гринвичу). При просмотре сведений о файле эти значения преобразуются в местное время. Чтобы выяснить разницу между временем UTC и местным временем, откройте вкладку Часовой пояс элемента «Дата и время» на панели управления.
32-разрядные версии Windows Server 2003
   Дата         Время Версия      Размер  Имя файла
   -----------------------------------------------------------------
   23-июл-2004  09:04  5.2.3790.196    397 824  Adprep.exe
Windows Server 2003 для компьютеров на базе x64
   Дата         Время   Версия     Размер   Имя файла  Платформа
   -----------------------------------------------------------------
   23-июл-2004  09:05  5.2.3790.196  1 071 616  Adprep.exe     IA-64
Чтобы добавить обновленный файл, входящий в состав данного исправления, к установочным файлам Windows Server 2003, выполните следующие действия.
  1. Скопируйте на компьютер содержимое папки \I386, находящейся на компакт-диске Windows Server 2003.
  2. Загрузите на компьютер исправление 194432_ENU_i386_zip.exe.
  3. В проводнике Windows дважды щелкните файл исправления, загруженный на предыдущем шаге.
  4. Когда появится соответствующее приглашение, укажите папку, в которую следует извлечь файлы.
  5. Найдите и дважды щелкните файл WindowsServer2003-KB324392-x86-enu.exe.

    Примечание. Данный файл находится в папке, указанной на шаге 4.
  6. Когда появится приглашение указать папку, в которую следует извлечь файлы, введите путь к папке \I386, в которую на шаге 1 были скопированы файлы с компакт-диска Windows Server 2003.
В командной строке запустите средство adprep из папки \I386, созданной на шаге 1, и укажите соответствующие параметры.

Прочие изменения, внесенные в средство Adprep.exe

Кроме рассмотренных выше изменений, в обновленную версию средства Adprep.exe добавлены следующие возможности.
  • Команда adprep /forestprep выполняет изменения схемы на уровне домена и на уровне леса.

    Чтобы команда adprep /forestprep могла внести изменения в схему, необходимо, чтобы контроллер домена, являющийся хозяином схемы, нормально функционировал и был подключен к сети. Кроме того, необходимо, чтобы после последней перезагрузки данный контроллер домена выполнил входящую репликацию разделов с атрибутом CN=Schema.

    Если команде adprep /forestprep не удается внести изменения в схему, появляется следующее сообщение об ошибке:
    Не удалось внести изменения в схему.
    [Состояние/Последствия]
    Хозяин схемы не завершил цикл репликации после последней перезагрузки. Хозяин схемы должен выполнить по крайней мере один цикл репликации перед расширением схемы.
    [Действие пользователя]
    Убедитесь, что хозяин схемы подключен к сети и может взаимодействовать с другими контроллерами домена. Используйте оснастку сайтов и служб для репликации между хозяином схемы и по крайней мере одним партнером по репликации. После успешного выполнения репликации снова выполните команду adprep.
    Исходная версия средства Adprep.exe не отображает указанное выше сообщение об ошибке при выполнении команды adprep /forestprep.
  • Для внесения изменений в схему команда adprep /forestprep использует средство Schupgr.exe.

    Если контроллеры домена под управлением Windows 2000 содержат расширения схемы, не совместимые с расширениями схемы Windows Server 2003, средство Schupgr.exe и команда adprep /forestprep не смогут внести все изменения в схему. В этом случае команда adprep /forestprep обнаруживает, что возможно возникновение конфликтов расширений схемы, и сообщает об этом пользователю перед внесением изменений в схему.
  • Предупреждение о сбое Initsync изменено.

    Чтобы команда adprep /forestprep произвела обновление схемы леса, хозяин схемы должен выполнить, в соответствии с требованиями InitSync, входящую репликацию раздела схемы, как минимум, с одного контроллера домена в лесу. Если хозяину схемы не удается выполнить входящую репликацию, роль хозяина схемы становится недоступной. В результате этой проблемы происходит сбой выполнения команды adprep /forestprep. В исходной версии Windows Server 2003 (без пакетов обновления) сообщения об ошибках, генерируемые в данной ситуации, неверно определяют данную проблему.

    Версия средства Adprep.exe, включенная в состав пакета обновления 1 (SP1) для Windows Server 2003, правильно определяет проблему с Initsync и генерирует следующее сообщение об ошибке:
    Не удалось внести изменения в схему.
    [Состояние/Последствия]

    Хозяин схемы не завершил цикл репликации после последней перезагрузки. Хозяин схемы должен выполнить по крайней мере один цикл репликации перед расширением схемы.

    [Действие пользователя]

    Убедитесь, что хозяин схемы подключен к сети и может взаимодействовать с другими контроллерами домена. Используйте оснастку сайтов и служб для репликации между хозяином схемы и по крайней мере одним партнером по репликации. После успешного выполнения репликации снова выполните команду ADPREP.
  • Adprep выполняет проверку схемы.

    При запуске версии Adprep.exe, входящей в состав исходной версии Windows Server 2003 без пакетов обновления, с недопустимыми расширениями схемы возможно возникновение проблем с командой adprep /forestprep. Эти расширения схемы могут быть установлены программами сторонних разработчиков. Такие расширения схемы некорректно получают идентификаторы объектов, определенных RFC, либо определения схемы, зарезервированные корпорацией Майкрософт. Впоследствии расширения схемы используют эти определения для объектов, имеющих другое различаемое имя (DN) или другое выводимое имя LDAP.

    В версии средства Adprep.exe, входящей в состав Windows Server 2003 без пакетов обновления, в файле журнала Adprep нет четкого указания задействованного атрибута Active Directory. Таким образом, приходится вручную определять неверный атрибут среди всех возможных дополнений, сделанных одним из файлов формата обмена каталогами LDAP. Как правило, это файл Sch18.ldf.

    В версии средства Adprep.exe, входящего в состав пакета обновления 1 (SP1) для Windows Server 2003, Adprep выполняет проверку схемы до выполнения команды adprep /forestprep. Если программа Adprep обнаружит несовместимые расширения схемы, выполнение команды будет остановлено. Затем команда создает сообщение об ошибке, похожее на приведенное ниже. Данное сообщение об ошибке заносит в журнал идентификатор объекта и различаемое имя проблемного объекта.
    Значение OID "2.5.4.45" определенное для объекта CN=UniqueID,CN=Schema,CN=Configuration,DC=ADPREP,DC=com конфликтует с расширениями схемы, требуемыми Windows 2003.

    [Состояние/Последствия]

    ADPREP не расширяет существующую схему.

    [Действие пользователя]

    Обратитесь к поставщику приложения, расширившего схему значением OID "2.5.4.45", и устраните эту проблему. Затем снова запустите команду ADPREP.
    В данной ситуации следует обратиться к поставщику программы, добавившей недопустимые расширения схемы, за помощью в исправлении объекта схемы. Затем поставщик должен обновить программу таким образом, чтобы она работала с исправленным объектом схемы.

    В приведенном примере поставщик должен изменить относительное различаемое имя UniqueID на MyUniqueID или любое другое имя.

    Пользователь также может добавить относительное различаемое имя и использовать допустимый идентификатор объекта. Например, можно добавить myinetOrg и правильный идентификатор объекта для inetOrg. В данном примере для решения проблемы необходимо переименовать myinetOrg в inetOrg, а затем добавить новое расширение для программы вместе с обновлением программы.
  • Добавляется обнаружение InetOrgPerson в Exchange.

    Возможна следующая ситуация.
    • Схема расширяется с помощью версии средства Adprep, входящего в состав Windows Server 2003 без пакетов обновления.
    • Схема была расширена Microsoft Exchange 2000 Server.
    • Исправление InetOrgPerson не применялось.
    В данной ситуации сообщение об ошибке не появляется. Схема расширена, но при этом повреждены выводимые имена LDAP следующих трех атрибутов Exchange:
    • MS-Exchange-HouseIdentifier
    • MS-Exchange-Secretary
    • MS-Exchange-LabeledURI
    Ниже приведен один из примеров данной проблемы.

    Схема Exchange 2000 без исправления InetOrgPerson
    Свернуть эту таблицуРазвернуть эту таблицу
    Тип объектаЗначение
    АтрибутMS-Exchange-HouseIdentifier
    Выводимое имя LDAPHouseIdentifier
    Расширение схемы Windows Server 2003
    Свернуть эту таблицуРазвернуть эту таблицу
    Тип объектаЗначение
    АтрибутHouseIdentifier
    Выводимое имя LDAPHouseIdentifier
    Поскольку схема Windows Server 2003 требует выводимое имя LDAP HouseIdentifier, обновление схемы Windows Server 2003 повреждает существующее выводимое имя LDAP HouseIdentifier, добавленное Exchange 2000. После завершения выполнения команды adprep /forestprep выводимое имя LDAP для MS-Exchange-HouseIdentifier отображается следующим образом.
    Свернуть эту таблицуРазвернуть эту таблицу
    Тип объектаЗначение
    АтрибутHouseIdentifier
    Выводимое имя LDAPDUP-houseIdentifier-354b0ca8-9b6c-4722-aae7-e66906cc9eef
    Обновленная версия средства Adprep, вошедшая в пакет обновления 1 (SP1) для Windows Server 2003, правильно обнаруживает расширения схемы Exchange 2000. Если схема Exchange 2000 не обновлялась с помощью исправления InetOrgPerson, средство Adprep заносит в журнал сообщение, отсылающее пользователя к статье 325379. Сообщение также содержит инструкции, с помощью которых пользователь может устранить конфликт до запуска Adprep. В данной ситуации средство Adprep генерирует следующее сообщение об ошибке:
    Не удалось внести изменения в схему.

    [Состояние/Последствия]

    Имеется конфликт схемы с Exchange 2000. Эта схема не обновлена.

    [Действие пользователя]

    Конфликт схемы должен быть устранен до запуска ADPREP. Устраните конфликт, разрешите репликацию изменения между всеми партнерами репликации, а затем запустите ADPREP. Сведения об устранении конфликта содержатся в статье базы знаний Майкрософт Q325379
Дополнительные сведения о терминологии, используемой в данной статье, содержатся в следующей статье базы знаний Майкрософт:
824684 Стандартные термины, используемые при описании обновлений программных продуктов Майкрософт

Свойства

Код статьи: 324392 - Последний отзыв: 3 июня 2008 г. - Revision: 2.10
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows Server 2003 Service Pack 1 на следующих платформах
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
Ключевые слова: 
kbautohotfix kbautohotfix kbhotfixserver kbqfe kbbug kbfix kbqfe kbwinserv2003presp1fix kbinfo KB324392

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com