Adprep.exe 在 Windows Server 2003 Service Pack 1 和修补程序 324392 中的增强功能

Microsoft Windows Server 2003 中的 Active Directory 准备工具 (Adprep.exe) 为安装 Windows Server 2003 域控制器准备了 Microsoft Windows 2000 林及其域。本文记录了 Adprep.exe 在 Windows Server 2003 Service Pack 1 (SP1) 中的增强功能。本文还提供了包含 Adprep.exe 更新版本的修补程序。即使您没有安装 Windows Server 2003 SP1，也可以应用此修补程序来更新 Adprep.exe。

注意：我们建议您始终使用最新版本的 Adprep.exe 来扩展架构。

回到顶端

更多信息

要想准备一个 Windows 2000 林来承载新的或已更新的 Windows Server 2003 域控制器，请在架构操作主机上运行 adprep /forestprep 命令，然后在每个域的基础结构操作主机上运行 adprep /domainprep 命令。

更新版本的 Adprep.exe 支持以下命令和增强功能。这些增强功能可帮助管理员成功升级到 Windows Server 2003。

adprep /forestprep

adprep /forestprep 命令执行与 Windows Server 2003 的最初发行版本中相同的操作。该命令的语法没有更改。增强功能包括对阻碍 adprep /forestprep 命令成功运行的配置更好地进行错误消息处理。
adprep /domainprep

在不含 Service Pack 的 Windows Server 2003 中，adprep /domainprep 命令将更严格的安全描述符添加到 SYSVOL 共享资源的所有组策略对象 (GPO) 中。当修改 SYSVOL 树中所有 GPO 上的权限时，原始域控制器上的 NT 文件复制服务 (NTFRS) 必须将全部 GPO 发送给该域中的所有其他域控制器。如果某些包含多个域控制器或 GPO 的网络基础结构通过慢速网络链接进行连接，则这些结构可能已经超载。当使用 adprep /domainprep 命令时，SYSVOL 共享资源中 GPO 的完全同步的增量开销也会使这样的网络超载。要解决此问题，请使用更新版本的 Adprep.exe 将 SYSVOL 共享资源中的权限修改与 adprep /domainprep 命令所执行的其他操作分开。

在 Windows Server 2003 SP1 附带的 Adprep.exe 版本中，adprep /domainprep 命令与较早版本的 Adprep.exe 执行相同的操作。但是，除非您使用新的 /gpprep 开关，否则更新的命令不会修改 GPO 上的权限。安装更新版本的 Adprep.exe 后，当您运行 adprep /domainprep 命令时，将收到以下消息：
对于现有的组策略对象 (GPO)，组策略的新的跨域计划功能（即“RSOP 计划模式”）需要更新文件系统和 Active Directory 权限。通过在拥有基础结构操作主机角色的 DC 上运行“adprep.exe /domainprep /gpprep”，您可以随时启用此功能。

此操作将导致：位于 SYSVOL 策略文件夹中的所有 GPO 将一次性全部复制到该域的域控制器中。Microsoft 建议阅读知识库文章 KB Q324392，尤其当您拥有大量组策略对象时。
adprep /domainprep /gpprep

adprep domainprep /gpprep 命令的功能取决于域的状态。如果没有运行更新的 adprep /domainprep 命令，则此命令的功能与 Windows Server 2003 最初版本中 adprep /domainprep 命令的功能相同。在这些情况下，该命令可以执行 Microsoft 知识库文章 309628 中所列出的所有域操作。这些操作包括设置 SYSVOL 中 GPO 的权限。如果已经运行了更新的 adprep /domainprep 命令，则 adprep /domainprep /gpprep 命令将只添加 Sysvol 共享资源中 GPO 上的可继承访问控制项 (ACE)。其他的 ACE 给予企业域控制器对 GPO 的读访问权限。对于基于网站的策略，将需要这些权限来支持策略的结果集 (RSoP) 功能。

有关 Windows Server 2003 的最初发行版本中 Adprep.exe 的其他信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章：

309628? (http://support.microsoft.com/kb/309628/ ) 在将 Windows Server 2003 域控制器添加到 Windows 2000 域或林时 Adprep.exe 实用工具所执行的操作

由于这些增强功能，我们建议您使用更新版本的 Adprep.exe。

回到顶端

修补程序信息

Microsoft 目前提供了一个受支持的修补程序。但是，此修补程序仅用于修复本文所述的问题。请仅将此修补程序应用于出现这一特定问题的系统。此修补程序可能还会接受进一步的测试。因此，如果这个问题没有给您造成严重的影响，我们建议您等待包含此修补程序的下一个 Service Pack。

要解决该问题，请向 Microsoft 在线客户服务提交请求以获取修补程序。要提交联机请求以获取修补程序，请访问下面的 Microsoft 网站：

http://go.microsoft.com/?linkid=6294451 (http://go.microsoft.com/?linkid=6294451)

注意：如果发生其他问题或需要进行任何疑难解答，则您可能需要创建单独的服务请求。对于此特定修补程序无法解决的其他支持问题和事项，将照常收取支持费用。要创建单独的服务请求，请访问下面的 Microsoft 网站：

http://support.microsoft.com/contactus/?ws=support (http://support.microsoft.com/contactus/?ws=support)

先决条件

无先决条件。

重新启动要求

应用此修补程序后，不需要重新启动计算机。

修补程序替代信息

此修补程序不替代任何其他修补程序。

文件信息

此修补程序的英文版具有下表中列出的文件属性（或更新的文件属性）。这些文件的日期和时间按协调世界时 (UTC) 列出。当您查看文件信息时，该时间将转换为本地时间。要了解 UTC 与本地时间之间的时差，请使用“控制面板”中“日期和时间”工具的“时区”选项卡。

Windows Server 2003（32 位版本）

   日期         时间   版本            大小    文件名
-----------------------------------------------------------------
23-Jul-2004  09:04  5.2.3790.196    397,824  Adprep.exe

Windows Server 2003（64 位版本）

   日期         时间   版本        大小       文件名      平台
-----------------------------------------------------------------
23-Jul-2004  09:05  5.2.3790.196  1,071,616  Adprep.exe     IA-64

要将此修补程序所提供的更新文件与 Windows Server 2003 原始安装光盘上的文件合并，请按照下列步骤操作：

将 Windows Server 2003 光盘中 \I386 文件夹中的内容复制到您的计算机上。
将 194432_ENU_i386_zip.exe 修补程序文件下载到您的计算机上。
在 Windows 资源管理器中，找到并双击该修补程序文件。
出现提示信息时，请为提取的文件指定一个文件夹。
找到并双击“WindowsServer2003-KB324392-x86-enu.exe”文件。

注意：该文件位于您在步骤 4 中所指定的文件夹中。
当提示您为提取的文件指定一个文件夹时，请键入 \I386 文件夹的路径，该文件夹是您在步骤 1 中从 Windows Server 2003 光盘复制的。

在命令提示符下，运行 \I386 文件夹中的 adprep 命令及其命令行参数。

回到顶端

Adprep.exe 的其他增强功能

除已经提到的增强功能之外，更新版本的 Adprep.exe 还包括以下增强功能：

adprep /forestprep 命令引入了林范围和域范围的架构更改。

要使 adprep /forestprep 命令引入架构更改，必须能够在网络上操作具有架构操作主机角色的域控制器。另外，该域控制器必须在上一次重新启动后就已经执行了 CN=Schema 分区的入站复制。

如果 adprep /forestprep 命令无法引入架构更改，您会收到以下错误消息：
Adprep 无法扩展架构。
[状态/结果]
架构主机上一次重新启动后未完成复制周期。架构可以被扩展之前，架构主机必须完成至少一次复制周期。
[用户操作]
验证架构主机是否连接到网络并可以与其他域控制器通信。请使用站点和服务摂管理单元在架构操作主机和至少一个复制伙伴之间复制。复制成功后，请重新运行 adprep。
Windows Server 2003 的最初发行版本中的 adprep /forestprep 命令不显示此错误消息。
adprep /forestprep 命令使用 Schupgr.exe 实用工具来实现架构扩展。

如果 Windows 2000 域控制器包含与 Windows Server 2003 架构扩展不兼容的架构扩展，则 Schupgr.exe 实用工具和 adprep /forestprep 命令将无法实现任何架构扩展。在这种情况下，adprep /forestprep 命令会检测到可能发生冲突的架构扩展，并将其报告给用户，然后再升级该架构。
Initsync 失败警告已更改。

要使 adprep /forestprep 命令对林进行架构更新，架构主机的操作主机必须从林中的至少一个其他域控制器执行架构分区的入站复制，从而满足 InitSync 要求。如果架构主机无法成功执行此入站复制，则架构主机角色将不可用。此问题将导致 adprep /forestprep 命令失败。在不含 Service Pack 的 Windows Server 2003 中，在这种情况下生成的错误消息将无法正确标识此 Initsync 问题。

Windows Server 2003 SP1 附带的 Adprep.exe 版本可正确标识 Initsync 问题，并生成以下错误消息：
Adprep 无法扩展架构。
[状态/结果]

架构主机上一次重新启动后未完成复制周期。架构可以被扩展之前，架构主机必须完成至少一次复制周期。

[用户操作]

验证架构主机是否连接到网络并可以与其他域控制器通信。请使用站点和服务摂管理单元在架构操作主机和至少一个复制伙伴之间复制。复制成功后，请重新运行 ADPREP。
Adprep 执行架构验证。

当您运行不含 Service Pack 的 Windows Server 2003 附带的 Adprep.exe 版本时，执行 adprep /forestprep 命令可能会遇到问题，并且您将具有无效的架构扩展。这些架构扩展可能是由第三方程序安装的，并且错误地获取 RFC 定义的对象标识符或 Microsoft 保留的架构定义。然后，这些架构扩展对具有不同可分辨名称 (DN) 路径或不同 LDAP 显示名称的对象使用这些定义。

在不含 Service Pack 的 Windows Server 2003 附带的 Adprep.exe 版本中，Adprep 日志文件无法清楚地指明受影响的 Active Directory 属性。因此，您必须在可能由 LDAP 目录交换格式文件之一添加的所有内容中，手动识别不正确的属性。通常，此文件为 Sch18.ldf 文件。

在 Windows Server 2003 SP1 附带的 Adprep.exe 版本中，Adprep 先验证架构，然后 adprep /forestprep 命令才继续执行。如果 Adprep 检测到不兼容的架构扩展，则该命令将停止运行。并生成与下面的错误消息类似的错误消息。此错误消息记录该问题对象的对象标识符及其可分辨名称。
为对象 CN=UniqueID,CN=Schema,CN=Configuration,DC=ADPREP,DC=com 定义的 OID“2.5.4.45”与 Windows 2003 所需的架构扩展冲突。

[状态/结果]

ADPREP 不会扩展您现有的架构。

[用户操作]

请与用 OID 值“2.5.4.45”扩展架构的应用程序的供应商联系并解决此不一致。然后重新运行 ADPREP。
在这种情况下，您必须与添加无效架构扩展的程序的供应商联系，并让供应商更正此架构对象。然后，该供应商必须更新该程序，以便于该程序可以处理更正后的架构对象。

在此错误消息中显示的示例中，供应商必须将 UniqueID 相对可分辨名称更改为 MyUniqueID 或任何其他名称。

您还可以添加相对可分辨名称并使用有效的对象标识符。例如，您可以为 inetOrg 添加 myinetOrg 以及正确的对象标识符。在此示例中，解决方案是将 myinetOrg 重命名为 inetOrg，然后为该程序添加一个新扩展和一个程序更新。

添加了 Exhange InetOrgPerson 检测机制。

请考虑以下情况：
- 您使用不含 Service Pack 的 Windows Server 2003 附带的 Adprep.exe 版本来扩展架构。
- 该架构已由 Microsoft Exchange 2000 Server 进行了扩展。
- 尚未应用 InetOrgPerson 修补程序。
在这种情况下，您不会收到错误消息。架构已扩展，但下面三个 Exchange 属性的 LDAP 显示名称已被破坏：
- MS-Exchange-HouseIdentifier
- MS-Exchange-Secretary
- MS-Exchange-LabeledURI
下面是该问题的一个示例。

不含 InetOrgPerson 修补程序的 Exchange 2000 架构
收起该表格展开该表格
对象类型 值
属性 MS-Exchange-HouseIdentifier
LDAPDisplayName HouseIdentifier
Windows Server 2003 架构扩展
收起该表格展开该表格
对象类型 值
属性 HouseIdentifier
LDAPDisplayName HouseIdentifier
由于 Windows Server 2003 架构需要 HouseIdentifier LDAPDisplayName，因此 Windows Server 2003 架构更新将会破坏 Exchange 2000 添加的现有 HouseIdentifier LDAPDisplayName。adprep /forestprep 命令运行完成后， MS-Exchange-HouseIdentifier 的 LDAPDisplayName 将显示如下。
收起该表格展开该表格
对象类型 值
属性 HouseIdentifier
LDAPDisplayName DUP-houseIdentifier-354b0ca8-9b6c-4722-aae7-e66906cc9eef
Windows Server 2003 SP1 附带的 Adprep 更新版本将正确检测 Exchange 2000 架构扩展。如果 Exchange 2000 架构尚未由 InetOrgPerson 修补程序进行更新，则 Adprep 会记录一条将用户指向文章 325379 的消息。该消息还指示用户在运行 Adprep 之前解决架构冲突。在这种情况下，Adprep 会生成以下错误消息：
Adprep 无法扩展架构。

[状态/结果]

与 Exchange 2000 之间存在架构冲突。架构没有升级。

[用户操作]

运行 ADPREP 之前必须解决架构冲突。解决架构冲突，允许在所有复制伙伴之间更改复制，然后运行ADPREP。有关解决冲突的信息，请参阅 Microsoft 知识库文章 Q325379

有关本文所用术语的更多信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章：

824684? (http://support.microsoft.com/kb/824684/ ) 有关用于描述 Microsoft 软件更新标准术语的介绍

回到顶端

这篇文章中的信息适用于:

Microsoft Windows Server 2003 Service Pack 1?当用于

Microsoft Windows Server 2003, Standard Edition (32-bit x86)
Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems

回到顶端

kbinfo kbbug kbfix kbqfe kbwinserv2003presp1fix kbhotfixserver KB324392

回到顶端

Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性，不作任何声明。所有该等文件及有关图形均"依样"提供，而不带任何性质的保证。Microsoft和/或其各供应商特此声明，对所有与该等信息有关的保证和条件不负任何责任，该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下，在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中，Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。