Hotfix para instalar antes de ejecutar adrep /Forestprep en un controlador de dominio de Windows 2000 para preparar el bosque y los dominios para la adición de controladores de dominio basados en Windows Server 2003

Seleccione idioma Seleccione idioma
Id. de artículo: 331161 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

Resumen

Antes de ejecutar el comando adprep /forestprep, Microsoft recomienda instalar determinados hotfix y Service Pack en cualquier controlador de dominio basado en Microsoft Windows 2000. Los hotfix y los Service Pack se enumeran en este artículo.

Más información

La utilidad Adprep.exe se encuentra en la carpeta I386 del medio de instalación de Windows Server 2003. La utilidad Adprep.exe prepara un bosque de Windows 2000 y sus dominios para la adición de controladores de dominio de Windows Server 2003.

Las operaciones de la utilidad Adprep.exe incluyen la adición de:
  • Mejora en los descriptores de seguridad predeterminados para clases de objetos.
  • Cambios en la pertenencia a grupos.
  • Nuevos objetos de directorio que los programas necesitan.
El objetivo de la utilidad de actualización de bosques y dominios de Windows Server 2003 es agregar cambios de esquema y objetos de permiso en Active Directory de modo que estén seguros e interactúen con los controladores de dominio de Windows Server 2003.

Los controladores de dominio de Windows 2000 que replican los cambios del comando adprep /forestprep son vulnerables a los siguientes tres problemas.

Vulnerabilidad: Las adiciones de esquema eliminan columnas de la base de datos y los controladores de dominio no se pueden iniciar

  • Problema:

    Un problema de temporización poco habitual pero grave durante las actualizaciones de esquema largas, como Adprep.exe, puede provocar la eliminación masiva de objetos esenciales de Active Directory en los controladores de dominio de Windows 2000. Los controladores de dominio afectados no se pueden iniciar. Estos controladores de dominio se deben restaurar o reinstalar.
  • Para obtener información adicional al respecto, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    303077 Hotfix de SP 2 recomendados antes de realizar cambios de esquema en los bosques de Active Directory


  • Amenaza:

    La instalación de un hotfix o Service Pack que impida esta vulnerabilidad es obligatoria para todos los controladores de dominio de Windows 2000 del bosque antes de ejecutar el comando adprep /forestprep. No ponga en peligro los controladores de dominio, el bosque o el bosque con la ejecución del comando adprep /forestprep sin tener instaladas las revisiones adecuadas en cada controlador de dominio del bosque.
  • Revisión preventiva:
    • Service Pack: Windows 2000 Service Pack 2 (SP2) o posterior
    • Hotfix del artículo 303077
    • Información de versión de archivo: las versiones del archivo Ntdsa.dll cuya versión y marca de fecha es igual o mayor que las siguientes:

      Contraer esta tablaAmpliar esta tabla
      VersiónFecha
      5.0.2195.2864Feb-05-2001

Vulnerabilidad: la replicación ineficiente de los cambios de esquema consume ancho de banda de red

  • Problema:

    Hay un problema de rendimiento. La introducción de los cambios de esquema no se replica de forma eficaz entre los controladores de dominio en el bosque. Este problema provoca el consumo de ancho de banda de red adicional.
  • Para obtener información adicional al respecto, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    300642 La modificación del esquema da como resultado el mensaje de suceso 1203 de desigualdad de esquema
  • Amenaza:

    Instale el Service Pack o hotfix adecuado que evita este problema si tiene más de 10 controladores de dominio en el bosque o no puede tolerar el uso de ancho de banda de red adicional a través de vínculos de red que conectan a los controladores de dominio del bosque. Esta revisión es opcional para bosques con un número pequeño de controladores de dominio que están conectados por vínculos de alta velocidad.
  • Revisión preventiva:
    • Service Pack: Windows 2000 Service Pack 3 (SP3) o posterior
    • Hotfix del artículo 300642
    • Información de versión de archivo: las versiones del archivo Ntdsa.dll cuya versión y marca de fecha es igual o mayor que las siguientes:

      Contraer esta tablaAmpliar esta tabla
      VersiónFecha
      5.0.2195.3673Jun-04-2001

Vulnerabilidad: la replicación de Active Directory se retrasa durante el proceso de reconstrucción de índices

  • Problema:

    La replicación de Active Directory se retrasa a medida que los nuevos atributos que se agregan mediante el comando adprep /forestprep se indizan y la caché del esquema se actualiza. El retraso es una función del número de atributos indizados que se están agregando a Active Directory y el tamaño de la base de datos de Active Directory. Puede estimar el retraso de replicación con la siguiente fórmula:

    (número de atributos indizados * tamaño de base de datos en GB) / 50 = retraso de replicación en horas


    Por ejemplo, el comando adprep /forestprep agrega cinco nuevos atributos indizados, por lo que un controlador de dominio con una base de datos de 15 GB tendrá un retraso de replicación de 1,5 horas.
  • Para obtener información adicional al respecto, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    307219 La replicación se detiene después de la actualización del esquema de Active Directory
  • Amenaza:

    Instale esta revisión si:
    • Se tarda menos tiempo en instalar el hotfix o Service Pack preventivo que esperar a que termine la operación de reinidización.
    • En su entorno no se pueden tolerar los retrasos de replicación de Active Directory.
    Puede omitir este paso para los controladores de dominio con un número reducido de objetos.
  • Revisión preventiva:
    • Service Pack: Windows 2000 SP3 o posterior
    • Hotfix del artículo 307219
    • Información de versión de archivo: las versiones del archivo Ntdsa.dll cuya versión y marca de fecha es igual o mayor que las siguientes:


      Contraer esta tablaAmpliar esta tabla
      VersiónFecha
      5.0.2195.4464Oct-09-2001

Principios orientativos

  • Existen tres hotfix individuales que mitigan las tres vulnerabilidad en los controladores de dominio que ejecutan Windows 2000 Service Pack 1 (SP1) o posterior. Por lo tanto, no implemente un Service Pack en el bosque únicamente para usar el comando adprep /forestprep.
  • Complemente la revisión de Service Pack existente que está instalada en los controladores de dominio del bosque con un hotfix Ntdsa.dll más reciente que impide el problema de la eliminación de esquema o los dos problemas de rendimiento que se aplican al bosque.
  • En los controladores de dominio con Windows 2000 SP1 instalado, debe instalar una versión del archivo Ntdsa.dll que impida la vulnerabilidad de eliminación del esquema. Para ello, siga uno de estos procedimientos:
    • Instale un hotfix de Ntdsa.dll adecuado. Para obtener los mejores resultados, instale un archivo Ntdsa.dll reciente y probado que resuelva el problema de eliminación del esquema y las dos vulnerabilidades de rendimiento. A continuación se muestran ejemplos de dichos hotfix:

      321933 No se muestran servicios en el complemento Configuración y análisis de seguridad
    • Instale Windows 2000 SP2 o posterior.
  • Los controladores de dominio con Windows 2000 SPS instalado no son vulnerables al problema de eliminación del esquema. Si tiene una cantidad pequeña de controladores de dominio o de objetos en Active Directory, no se requieren revisiones adicionales. Los administradores con una gran cantidad de controladores de dominio o de bases de datos grandes pueden realizar una de las siguientes acciones:
    • Instale un hotfix de Ntdsa.dll adecuado. Para obtener los mejores resultados, instale un hotfix Ntdsa.dll reciente y probado que resuelva las dos vulnerabilidades de rendimiento. A continuación se muestra un ejemplo de dicho hotfix:

      321933 No se muestran servicios en el complemento Configuración y análisis de seguridad
    • Instale Windows 2000 SP3 o posterior.
  • Los controladores de dominio con Windows 2000 SP3 instalado están protegidos contra el problema de eliminación del esquema y ambas vulnerabilidad de rendimiento.

Ventajas y problemas de Windows 2000 SP3

Los controladores de dominio de Windows 2000 deben tener Windows 2000 SP para el asistente de instalación de Active Directory (Dcpromo.exe) para Active Directory desde controladores de dominio de Windows Server 2003 que alojen particiones de programa. Si en su entorno ya se ejecuta Windows 2000 SP2, mantenga dicha versión y no la cambie. Si está en Windows 2000 SP1 y prevé la adición de un controlador de dominio de Windows 2000 a un bosque que contiene controladores de dominio de Windows 2000 y Windows Server 2003, evalúe la posibilidad de implementar Windows 2000 SP3.

Cuando los controladores de dominio de Windows 2000 tienen instalado SP3, resulta más fácil administrar de forma remota controladores de dominio de Windows 2000 desde equipos que ejecutan Microsoft Windows XP Professional o Windows 2003 Server mediante ADMINPAK de Windows Server 2003. Para obtener más información acerca de los requisitos de firma de LDAP cuando las herramientas de administración de Active Directory se ejecutan en equipos con Microsoft Windows XP Professional o Windows 2003 que están centrados en equipos de Windows 2000, consulte el artículo siguiente:
325465 Los controladores de dominio de Windows 2000 requieren el SP3 o una versión posterior cuando usan las herramientas de administración de Windows Server 2003
Considere la posibilidad de agregar los siguientes hotfix posteriores a SP3 en controladores de dominio que ejecutan Windows 2000 SP3. Para ello, siga uno de estos procedimientos:
  • Agregue manualmente las revisiones correspondientes a cada controlador de dominio.
  • Incluya todos los hotfix, o sólo algunos, al medio o punto compartido de instalación de Windows 2000 SP3.
  • Incluya todos los hotfix, o sólo algunos, al medio o punto compartido de instalación que contiene el sistema operativo base de Windows 2000, además de Windows 2000 SP3. Si lo hace así, los controladores de dominio recién instalados evitan los problemas conocidos.
Estas revisiones resultan muy importantes para equipos de Windows 2000 SP3 que ejecutan los servicios de Terminal Server y DNS.
328020 La impresión redirigida mediante una sesión de Servicios de Terminal Server puede no funcionar con el SP3 de Windows 2000
328894 Falta el primer carácter de cada línea cuando imprime con el controlador de impresora genérico
324906 No es posible iniciar un programa de Office después de instalar el Service Pack 3 (SP3) para Windows 2000
329170 MS02-070: Un error en la firma SMB puede permitir la modificación de Directiva de grupo
321733 Mensaje "Error en la escritura demorada" al escribir un archivo en un servidor
326798 Algunos hotfixes de Active Directory de Windows 2000 pueden causar un conflicto con el SP3 para Windows 2000
329405 La resolución de nombres DNS no funciona para los usuarios que no son administradores
304653 Se reduce el número de serie en DNS cuando reinicia el equipo

Propiedades

Id. de artículo: 331161 - Última revisión: lunes, 11 de septiembre de 2006 - Versión: 16.0
La información de este artículo se refiere a:
  • Service Pack 2 de Microsoft Windows 2000
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server
  • Service Pack 1 de Microsoft Windows 2000
  • Service Pack 2 de Microsoft Windows 2000
Palabras clave: 
kbinfo KB331161

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com