Correctifs à installer sur les contrôleurs de domaine Windows 2000 avant d'exécuter Adprep /Forestprep

Traductions disponibles Traductions disponibles
Numéro d'article: 331161 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Sommaire

Résumé

Avant d'exécuter la commande adprep /forestprep, Microsoft recommande l'installation de certains correctifs et Service Packs sur des contrôleurs de domaine Windows 2000. Cet article répertorie ces correctifs et Service Packs.

Plus d'informations

Vous trouverez l'utilitaire Adprep.exe dans le dossier I386 de votre support d'installation de Windows Server 2003. Il a pour objet de préparer une forêt Windows 2000 et ses domaines pour l'ajout de contrôleurs de domaines Windows Server 2003.

Le fonctionnement de l'utilitaire Adprep.exe inclut l'ajout des éléments suivants :
  • Descripteurs renforcés de sécurité par défaut pour des classes d'objets.
  • Modifications des appartenances à des groupes.
  • Nouveaux objets de répertoires exigés par des programmes.
L'utilitaire de mise à niveau de la forêt et du domaine Windows Server 2003 a pour objectif d'ajouter des modifications de schémas et des objets d'autorisation dans Active Directory de sorte qu'ils soient sécurisés et fonctionnent avec des contrôleurs de domaine Windows Server 2003 nouvellement installés.

Les contrôleurs de domaine Windows 2000 qui répliquent dans des modifications effectuées à partir de la commande adprep /forestprep sont vulnérables au regard des trois problèmes suivants.

Vulnérabilité : des ajouts de schémas suppriment des colonnes de la base de données et il est impossible pour des contrôleurs de domaine de démarrer

  • Problème :

    un problème de synchronisation rare, mais fatal pendant des mises à jour volumineuses de schémas puisque Adprep.exe peut provoquer une suppression en masse d'objets critiques d'Active Directory sur des contrôleurs de domaine Windows 2000. Les contrôleurs de domaines affectés ne peuvent pas démarrer. Ces contrôleurs de domaine doivent être restaurés ou réinstallés.
  • Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
    303077 Correctifs SP2 recommandés avant de procéder à des modifications de schémas dans des forêts Active Directory


  • Risque :

    L'installation d'un correctif ou d'un Service Pack qui écarte cette vulnérabilité est obligatoire pour l'ensemble des contrôleurs de domaine Windows 2000 de la forêt avant d'exécuter la commande adprep /forestprep. Ne placez pas des contrôleurs de domaine, le domaine ou la forêt face au risque d'exécuter la commande adprep /forestprep sans avoir préalablement installé les correctifs appropriés sur chacun des contrôleurs de domaine de la forêt.
  • Correctif préventif :
    • Service Pack : Service Pack 2 (SP2) ou version ultérieure de Windows 2000
    • Correctif de l'article 303077
    • Informations relatives à la version du fichier : Versions du fichier Ntdsa.dll dont le numéro de version et la date sont égaux ou supérieurs aux indications suivantes :
      Version        Date
      -------------------------- 
      5.0.2195.2864  Feb-05-2001

Vulnérabilité : Une réplication inefficace des modifications de schémas occupe la bande passante du réseau

  • Problème :

    Il s'agit d'un problème de performances. La réplication de l'introduction de modifications de schéma ne s'effectue pas de façon efficace entre des contrôleurs de domaine de la forêt. Ce problème provoque la consommation de la bande passante réseau additionnelle.
  • Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
    300642 Correctifs SP2 recommandés avant de procéder à des modifications de schémas dans des forêts Active Directory
  • Risque :

    L'installation du Service Pack ou du correctif approprié permettra d'éviter ce problème si la forêt compte plus de 10 contrôleurs de domaine et qu'il n'est pas tolérable que la bande passante réseau additionnelle soit utilisée sur des liaisons réseau connectées à des contrôleurs de domaine de la forêt. Ce correctif est facultatif pour des forêts disposant d'un petit nombre de contrôleurs de domaine connectés par des liaisons à de grandes vitesses.
  • Correctif préventif :
    • Service Pack : Service Pack 3 (SP3) ou version ultérieure de Windows 2000
    • Correctif de l'article 300642
    • Informations relatives à la version du fichier : Versions du fichier Ntdsa.dll dont le numéro de version et la date sont égaux ou supérieurs aux indications suivantes :
      Version        Date 
      -------------------------- 
      5.0.2195.3673  4 juin 2001

Vulnérabilité : Une réplication Active Directory est retardée pendant le processus de reconstruction des index

  • Problème :

    L'indexation des nouveaux attributs qui sont ajoutés par la commande adprep /forestprep et la mise à jour du cache des schémas se traduisent par un délai de réplication Active Directory. Le délai est fonction du nombre d'attributs indexés qui sont ajoutés à Active Directory et de la taille de la base de données Active Directory. Vous pouvez faire une estimation du délai de réplication en vous servant de la formule suivante :

    (nombre d'attributs indexés * taille de la base de données exprimée en Go) / 50 = le délai de réplication exprimé en heures


    Par exemple, la commande adprep /forestprep ajoute cinq nouveaux attributs indexés, le délai de réplication pour un contrôleur de domaine avec une base de données de 15 Go sera donc de 1,5 heures.
  • Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
    307219 Arrêt de la réplication après la mise à jour de schémas Active Directory
  • Risque :

    Installez ce correctif si :
    • Le temps nécessaire à l'installation du correctif préventif ou du Service Pack est inférieur au délai dû à la réindexation.
    • Les délais de réplication Active Directory ne peuvent pas être tolérés dans votre environnement.
    Vous pouvez sauter cette étape pour des contrôleurs de domaine ayant un petit nombre d'objets.
  • Correctif préventif :
    • Service Pack : Windows 2000 SP3 ou version ultérieure
    • Correctif de l'article 307219
    • Informations relatives à la version du fichier : Versions du fichier Ntdsa.dll dont le numéro de version et la date sont égaux ou supérieurs aux indications suivantes :
      Version        Date 
      -------------------------- 
      5.0.2195.4464  Oct-09-2001

Principes directeurs

  • Il existe des correctifs individuels qui permettent d'atténuer ces trois vulnérabilités sur des contrôleurs de domaine qui exécutent le Service Pack 1 (ou ultérieur) de Windows 2000. En conséquence, ne déployez pas un Service Pack dans votre forêt uniquement pour pouvoir utiliser la commande adprep /forestprep.
  • Complétez la révision existante du Service Pack qui est installée sur des contrôleurs de domaine de votre forêt par un nouveau correctif Ntdsa.dll qui évite le problème de suppression des schémas ou les deux problèmes de performances qui s'appliquent à votre forêt.
  • Pour des contrôleurs dans lesquels Windows 2000 SP1 est installé, vous devez installer une version du fichier Ntdsa.dll qui évite la vulnérabilité de suppression des schémas. Pour cela, appliquez l'une des méthodes suivantes :
    • Installation d'un correctif Ntdsa.dll approprié. Vous obtiendrez de meilleurs résultats en installant un fichier Ntdsa.dll récent et entièrement testé qui résout le problème de suppression des schémas et des deux vulnérabilités de performances. Voici des exemples de correctifs appropriés :

      321933 Services non répertoriés dans l'outil de configuration et analyse de la sécurité
    • Installation de Windows 2000 SP2 ou d'une version ultérieure.
  • Les contrôleurs de domaine pour lesquels Windows 2000 SP2 a été installé ne présentent pas de vulnérabilité face au problème de suppression de schémas. Si le nombre de contrôleurs de domaine ou d'objets dans Active Directory est petit, aucun correctif supplémentaire n'est nécessaire. Les administrateurs qui gèrent un grand nombre de contrôleurs de domaine et des bases de données volumineuses ont le choix entre les solutions suivantes :
    • Installation d'un correctif Ntdsa.dll approprié. Vous obtiendrez de meilleurs résultats en installant un fichier Ntdsa.dll récent et entièrement testé qui résout le problème des deux vulnérabilités de performance. Voici un exemple d'un correctif approprié :

      321933 Services non répertoriés dans l'outil de configuration et analyse de la sécurité
    • Installation de Windows 2000 SP3 ou d'une version ultérieure.
  • Les contrôleurs de domaine pour lesquels Windows 2000 SP3 a été installé sont protégés contre la suppression des schémas et les vulnérabilités de performances.

Avantages et problèmes de Windows 2000 SP3

Windows 2000 SP2 doit être installé sur les contrôleurs de domaine Windows 2000 pour pouvoir utiliser l'Assistant d'installation de Active Directory (Dcpromo.exe) comme source Active Directory à partir de contrôleurs de domaine Windows Server 2003 qui hébergent des partitions de programmes. Si votre environnement exécute déjà Windows 2000 SP2, conservez cette version et ne la changez pas. Si vous êtes normalisé sur Windows 2000 SP1 et prévoyez l'ajout d'un contrôleur de domaine Windows 2000 à une forêt qui contient des contrôleurs de domaine Windows 2000 et Windows Server 2003, vous devez envisager le déploiement de Windows 2000 SP3.

Si SP3 est installé sur des contrôleurs de domaine Windows 2000, l'administration à distance des contrôleurs de domaines Windows 2000 est plus facile à partir d'ordinateurs Microsoft Windows XP Professionnel ou Windows Server 2003 en utilisant Windows Server 2003 ADMINPAK. Pour plus d'informations sur les conditions requises pour la signature LDAP lorsque des outils d'administration Active Directory sont exécutés sur des ordinateurs Microsoft Windows XP Professionnel ou Windows Server 2003 qui sont centrés sur des ordinateurs Windows 2000, reportez-vous à l'article suivant :
325465 Des contrôleurs de domaine Windows 2000 nécessitent SP3 ou une version ultérieure lors de l'utilisation de Windows Server 2003
Étude de l'ajout des correctifs suivants postérieurs à SP3 sur des contrôleurs de domaine Windows 2000 SP3 Pour cela, appliquez l'une des méthodes suivantes :
  • Ajoutez manuellement les correctifs appropriés à chaque contrôleur de domaine.
  • Intégrez la totalité des correctifs ou les correctifs sélectionnés à votre support ou point de partage d'installation de Windows 2000 SP3.
  • Intégrez la totalité des correctifs ou les correctifs sélectionnés à votre support ou point de partage d'installation qui contient le système d'exploitation Windows 2000 de base et Windows 2000 SP3. En procédant ainsi, les contrôleurs de domaine nouvellement installés évitent les problèmes connus.
Ces correctifs postérieurs à SP3 sont particulièrement importants pour des ordinateurs Windows 2000 SP3 qui exécutent les services Terminal Server et DNS.
328020 Une impression redirigée au moyen des services Terminal Server peut ne pas fonctionner avec SP3
328894 Le premier caractère de chaque ligne est manquant en utilisant un pilote d'imprimante générique
324906 Impossible de démarrer un programme Office après avoir installé le Service Pack 3
329170 Affichage du message d'erreur  : le chemin d'accès au fichier ou au réseau n'existe plus
321733 Affichage du message d'erreur "L'écriture différée a échoué" lorsque vous copiez un fichier sur un serveur
326798 Des correctifs du redirecteur SMB postérieurs à SP3 provoquent un conflit avec SP3
329405 Une résolution de noms DNS ne fonctionne pas pour des utilisateurs qui ne sont pas des administrateurs
304653 Le numéro de série est décrémenté dans DNS lorsque vous redémarrez l'ordinateur

Propriétés

Numéro d'article: 331161 - Dernière mise à jour: jeudi 23 octobre 2003 - Version: 15.1
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows 2000 Datacenter Server SP2
  • Microsoft Windows 2000 Advanced Server SP2
  • Microsoft Windows 2000 Advanced Server SP1
  • Microsoft Windows 2000 Server SP1
  • Microsoft Windows 2000 Server SP2
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise x64 Edition
Mots-clés : 
kbinfo KB331161
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com