adprep /Forestprep コマンドを実行してフォレストとドメインに Windows Server 2003 ベースのドメイン コントローラを追加する準備を行う前に、Windows 2000 ドメイン コントローラにインストールする修正プログラム

文書翻訳 文書翻訳
文書番号: 331161 - 対象製品
すべて展開する | すべて折りたたむ

目次

概要

adprep /forestprep コマンドを実行する前に、すべての Windows 2000 ベースのドメイン コントローラに特定の修正プログラムと Service Pack をインストールすることをお勧めします。この資料では、これらの修正プログラムと Service Pack について説明します。

詳細

Adprep.exe ユーティリティは、Windows Server 2003 インストール CD-ROM の I386 フォルダにあります。Adprep.exe ユーティリティは、Windows 2000 フォレストとそのドメインに Windows Server 2003 ドメイン コントローラを追加する準備を行うためのツールです。

Adprep.exe ユーティリティには以下の処理が追加されています。
  • オブジェクト クラスのデフォルトのセキュリティ記述子の強化
  • グループ メンバシップの変更
  • プログラムで必要となる新しいディレクトリ オブジェクト
Windows Server 2003 Forest Upgrade ユーティリティおよび Windows Server 2003 Domain Upgrade ユーティリティの目的は、新しくインストールされた Windows Server 2003 ドメイン コントローラと安全に相互運用できるように、Active Directory にスキーマの変更を加え、アクセス許可オブジェクトを追加することです。

adprep /forestprep コマンドによる変更をレプリケートする Windows 2000 ドメイン コントローラには、次の 3 つの問題に関する脆弱性があります。

脆弱性 : スキーマの追加によってデータベースから列が削除され、ドメイン コントローラを起動できない

  • 問題

    Adprep.exe などによる多数のスキーマ更新時に発生するタイミングの問題によって、Windows 2000 ドメイン コントローラの Active Directory から重要なオブジェクトが大量に削除されることがあります。このようなタイミングの問題が発生することはほとんどありませんが、発生した場合は非常に深刻です。この問題の影響を受けたドメイン コントローラは起動できなくなります。この問題が発生したドメイン コントローラは復元または再インストールする必要があります。
  • 関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
    303077 Active Directory スキーマ変更前に、SP2 の適用を推奨


  • 危険性

    adprep /forestprep コマンドを実行する前に、フォレスト内のすべての Windows 2000 ドメイン コントローラに、この脆弱性に関する問題を回避するための修正プログラムまたは Service Pack を必ずインストールしてください。フォレスト内のすべてのドメイン コントローラに適切な修正プログラムがインストールされていない状態で adprep /forestprep コマンドを実行すると、ドメイン コントローラ、ドメイン、またはフォレストで上記の問題が発生する危険性があります。
  • 必要な Service Pack または修正プログラム
    • Service Pack : Windows 2000 Service Pack 2 (SP2) またはそれ以降。
    • 「サポート技術情報」 (Microsoft Knowledge Base) の文書番号 303077 に記載されている修正プログラム。
    • ファイルのバージョン情報 : Ntdsa.dll ファイルのバージョンと日付は次のとおりです。ただし、これより新しい修正プログラムがリリースされている可能性もあります。
      バージョン        日付
      --------------------------
      5.0.2195.2864  Feb-05-2001
      

脆弱性 : スキーマ変更のレプリケーションが効率的に行われないためネットワーク帯域幅が消費される

  • 問題

    フォレスト内のドメイン コントローラ間でスキーマ変更の導入が効率的にレプリケーションされないため、消費されるネットワーク帯域幅が増加します。
  • 関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
    300642 スキーマを変更するとスキーマの不一致を示すイベント 1203 メッセージが表示される
  • 危険性

    フォレスト内のドメイン コントローラの数が 10 台を超える場合、またはフォレスト内のドメイン コントローラを接続するネットワーク リンクにネットワーク帯域幅の余裕がない場合は、この問題を防止するための適切な Service Pack または修正プログラムをインストールします。この修正プログラムは、少数のドメイン コントローラが高速リンクで接続されたフォレストでも使用できます。
  • 必要な Service Pack または修正プログラム
    • Service Pack : Windows 2000 Service Pack 3 (SP3) またはそれ以降。
    • 「サポート技術情報」 (Microsoft Knowledge Base) の文書番号 300642 に記載されている修正プログラム。
    • ファイルのバージョン情報 : Ntdsa.dll ファイルのバージョンと日付は次のとおりです。ただし、これより新しい修正プログラムがリリースされている可能性もあります。
      バージョン        日付
      --------------------------
      5.0.2195.3673  Jun-04-2001
      

脆弱性 : インデックスの再構築中に Active Directory のレプリケーションが遅延する

  • 問題

    adprep /forestprep コマンドによって追加された新しい属性がインデックス化され、スキーマ キャッシュが更新されるときに、Active Directory のレプリケーションが遅延します。この遅延の大きさは、Active Directory に追加されるインデックス化された属性の数と Active Directory データベースのサイズを以下の数式に当てはめることによって推定できます。

    (インデックス化された属性の数 * データベースのサイズ (GB)) / 50 = レプリケーションの遅延 (時間)


    たとえば、adprep /forestprep コマンドによって新しくインデックス化される属性を 5 つ追加した場合、データベースのサイズが 15 GB のドメイン コントローラでは、レプリケーションの遅延が 1.5 時間になると推定できます。
  • 関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
    307219 Active Directory スキーマの更新後コントローラ間の複製が停止する
  • 危険性

    以下に該当する場合、この修正プログラムをインストールします。
    • インデックスの再作成処理が完了するまでの時間より、修正プログラムまたは Service Pack をインストールする時間の方が短い場合
    • Active Directory のレプリケーションの遅延を許容できない環境の場合
    オブジェクト数が少ないドメイン コントローラではこの処理を省略できます。
  • 必要な Service Pack または修正プログラム
    • Service Pack : Windows 2000 SP3 またはそれ以降。
    • 「サポート技術情報」 (Microsoft Knowledge Base) の文書番号 307219 に記載されている修正プログラム。
    • ファイルのバージョン情報 : Ntdsa.dll ファイルのバージョンと日付は次のとおりです。ただし、これより新しい修正プログラムがリリースされている可能性もあります。
      バージョン        日付
      --------------------------
      5.0.2195.4464  Oct-09-2001
      

適用の原則

  • Windows 2000 Service Pack 1 (SP1) またはそれ以降を実行しているドメイン コントローラで 3 つの脆弱性すべてを軽減する個別の修正プログラムがあります。このため、単に adprep /forestprep コマンドを使用する目的で、フォレストに対して Service Pack を適用しないでください。
  • フォレスト内のドメイン コントローラにインストールされている既存の Service Pack に、そのフォレストで発生する可能性があるスキーマ削除の問題またはパフォーマンスに関する 2 つの問題を防止する新しい Ntdsa.dll 修正プログラムを適用してください。
  • Windows 2000 SP1 がインストールされているドメイン コントローラには、スキーマ削除に関する脆弱性を防止する Ntdsa.dll ファイルをインストールする必要があります。インストールするには、次のいずれかの方法を使用します。
    • 適切な Ntdsa.dll 修正プログラムをインストールします。最良の結果を得るには、スキーマ削除と 2 つのパフォーマンスの問題に関する脆弱性を解決する、最新かつ十分にテストされた Ntdsa.dll ファイルをインストールします。このような修正プログラムの例を以下に示します。

      321933 セキュリティの構成と分析スナップインにサービスが表示されない
    • Windows 2000 SP2 またはそれ以降のバージョンをインストールします。
  • Windows 2000 SP2 がインストールされているドメイン コントローラでは、スキーマ削除の問題に関する脆弱性はありません。Active Directory 内のドメイン コントローラまたはオブジェクトの数が少ない場合、その他の修正プログラムをインストールする必要はありません。ドメイン コントローラの数が多い場合、またはデータベースのサイズが大きい場合、管理者は対処法として次のいずれかを選択できます。
    • 適切な Ntdsa.dll 修正プログラムをインストールします。最良の結果を得るには、スキーマ削除と 2 つのパフォーマンスの問題に関する脆弱性を解決する、最新かつ十分にテストされた Ntdsa.dll ファイルをインストールします。このような修正プログラムの例を以下に示します。

      321933 セキュリティの構成と分析スナップインにサービスが表示されない
    • Windows 2000 SP3 またはそれ以降のバージョンをインストールします。
  • Windows 2000 SP3 がインストールされているドメイン コントローラでは、スキーマ削除と 2 つのパフォーマンスの問題に関する脆弱性による影響はありません。

Windows 2000 SP3 の利点と問題

Active Directory インストール ウィザード (Dcpromo.exe) が、プログラム パーティションをホストしている Windows Server 2003 ドメイン コントローラから Active Directory を取得するには、Windows 2000 ドメイン コントローラに Windows 2000 SP2 がインストールされている必要があります。使用している環境で Windows 2000 SP2 を既に実行している場合は、その Service Pack のバージョンを変更せず、そのままにします。Windows 2000 SP1 で標準化された環境で、Windows 2000 および Windows Server 2003 ドメイン コントローラを含むフォレストに Windows 2000 ドメイン コントローラの追加を予定している場合は、Windows 2000 SP3 の展開を検討してください。

Windows 2000 ドメイン コントローラに SP3 がインストールされている場合は、Microsoft Windows XP Professional または Windows Server 2003 を実行しているコンピュータから Windows Server 2003 ADMINPAK を使用して Windows 2000 ドメイン コントローラを容易にリモート管理できます。Microsoft Windows XP Professional または Windows Server 2003 を実行しているコンピュータで Windows 2000 コンピュータを対象として Active Directory 管理ツールが実行されている場合の LDAP 署名の必要条件については、以下の資料を参照してください。
325465 Windows Server 2003 管理ツールを使用する場合、Windows 2000 ドメイン コントローラは SP3 またはそれ以降の Service Pack が必要
Windows 2000 SP3 を実行しているドメイン コントローラに対して、以下に示す SP3 以降の修正プログラムの追加を検討してください。追加するには、次のいずれかの方法を使用します。
  • 関連する修正プログラムを各ドメイン コントローラに手動で追加します。
  • Windows 2000 SP3 のインストール メディアまたは共有インストール ポイントに、すべての修正プログラムまたは選択した修正プログラムを適用します。
  • Windows 2000 ベースのオペレーティング システムと Windows 2000 SP3 を含むインストール メディアまたは共有インストール ポイントに、すべての修正プログラムまたは選択した修正プログラムを適用します。これにより、新しくインストールするドメイン コントローラで既知の問題を回避できます。
これらの修正プログラムは、ターミナル サービスおよび DNS サービスを実行している Windows 2000 SP3 コンピュータでは特に重要です。
328020 Windows 2000 SP3 でターミナル サービス セッションによるリダイレクト印刷が機能しない
328894 汎用プリンタ ドライバを使用して印刷すると、各行の先頭の文字が印刷されない
324906 [OFFXP] Windows 2000 SP3 をインストール後、Office アプリケーションが起動できない
329170 [MS02-070] SMB 署名の問題により、グループ ポリシーが変更される
321733 サーバーへのファイルの書き込み時にエラー メッセージ "遅延書き込みデータの紛失" が表示される
326798 一部の Windows 2000 SMB リダイレクタ修正プログラムが Windows 2000 Service Pack 3 (SP3) と競合する
329405 Administrators 以外のユーザーに対して DNS 名前解決が機能しない
304653 コンピュータを再起動すると DNS のシリアル番号が小さくなる

関連情報

この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 331161 (最終更新日 2004-11-11) を基に作成したものです。

プロパティ

文書番号: 331161 - 最終更新日: 2005年9月21日 - リビジョン: 16.0
この資料は以下の製品について記述したものです。
  • Microsoft Windows 2000 Service Pack 2
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Service Pack 1
  • Microsoft Windows 2000 Service Pack 2
キーワード:?
kbinfo KB331161
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com