Correcções a instalar antes de executar adprep /Forestprep num controlador de domínio do Windows 2000 para preparar a floresta e os domínios para a adição de controladores de domínio baseados no Windows Server 2003

Traduções de Artigos Traduções de Artigos
Artigo: 331161 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Nesta página

Sumário

Antes de executar o comando adprep /forestprep, a Microsoft recomenda que instale determinadas correcções e Service Packs em todos os controladores de domínio baseados no Microsoft Windows 2000. As correcções e Service Packs são listados neste artigo.

Este artigo poderá conter hiperligações para conteúdo em inglês (ainda não traduzido).

Mais Informação

O utilitário Adprep.exe encontra-se na pasta I386 do suporte de instalação do Windows Server 2003. O utilitário Adprep.exe prepara uma floresta do Windows 2000 e os respectivos domínios para a adição de controladores de domínio do Windows Server 2003.

As acções do utilitário Adprep.exe incluem a adição de:
  • Descritores de segurança predefinidos melhorados para classes de objectos.
  • Alterações de membros de grupos.
  • Novos objectos de directório de que os programas necessitam.
O objectivo do utilitário de actualização da floresta do Windows Server 2003 e actualização do domínio do Windows Server 2003 é adicionar alterações de esquema e objectos de permissões ao Active Directory de forma a que estes estejam protegidos e funcionem em conjunto com controladores de domínio do Windows Server 2003 recém-instalados.

Os controladores de domínio do Windows 2000 que repliquem alterações do comando adprep /forestprep são vulneráveis aos seguintes problemas.

Vulnerabilidade: As adições de esquema eliminam colunas da base de dados e os controladores de domínio não podem ser iniciados

  • Problema:

    Um problema de temporização raro mas fatal durante actualizações de esquema de grande dimensão como o Adprep.exe podem provocar a eliminação em bloco de objectos críticos do Active Directory em controladores de domínio do Windows 2000. Os controladores de domínio afectados não iniciam. Estes controladores de domínio têm de ser restaurados ou reinstalados.
  • Para obter informações adicionais, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
    303077 SP 2 Hotfixes recommended before making schema changes in Active Directory forests


  • Ameaça:

    A instalação de uma correcção ou Service Pack que evite esta vulnerabilidade é obrigatória em todos os controladores de domínio do Windows 2000 da floresta antes de executar o comando adprep /forestprep. Não coloque controladores de domínio, o domínio ou a floresta em risco executando o comando adprep /forestprep sem ter as correcções adequadas instaladas em todos os controladores de domínio da floresta.
  • Correcção preventiva:
    • Service Pack: Windows 2000 Service Pack 2 (SP2) ou posterior
    • Correcção do artigo 303077
    • Informações sobre a versões dos ficheiros: versões do ficheiro Ntdsa.dll cujas marcas de versão e de data sejam iguais ou posteriores às seguintes:
      Versão         Data
      -------------------------- 
      5.0.2195.2864  Feb-05-2001

Vulnerabilidade: A replicação ineficaz de alterações de esquema consome largura de banda da rede

  • Problema:

    Existe um problema de desempenho. A introdução de alterações de esquema não é replicada de forma eficaz entre controladores de domínio da floresta. Este problema provoca o consumo de largura de banda de rede adicional.
  • Para obter informações adicionais, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
    300642 Schema modification results in schema mismatch Event 1203 message
  • Ameaça:

    Instale o Service Pack ou a correcção adequada que evite este problema se tiver mais do que 10 controladores de domínio na floresta ou não poder permitir a utilização de largura de banda de rede adicional nas ligações de rede que ligam os controladores de domínio da floresta. Esta correcção é opcional para florestas com um pequeno número de controladores de domínio ligados por ligações de alta velocidade.
  • Correcção preventiva:
    • Service Pack: Windows 2000 Service Pack 3 (SP3) ou posterior
    • Correcção do artigo 300642
    • Informações sobre a versões dos ficheiros: versões do ficheiro Ntdsa.dll cujas marcas de versão e de data sejam iguais ou posteriores às seguintes:
      Versão         Data
      -------------------------- 
      5.0.2195.3673  Jun-04-2001

Vulnerabilidade: A replicação do Active Directory é atrasada durante o processo de recriação de índices

  • Problema:

    A replicação do Active Directory é atrasada à medida que os novos atributos adicionados pelo comando adprep /forestprep são indexados e a cache de esquema é actualizada. O atraso depende do número de atributos indexados que estão a ser adicionados ao Active Directory e do tamanho da base de dados do Active Directory. Pode estimar o atraso da replicação com a seguinte fórmula:

    (número de atributos indexados * tamanho da base de dados em GB) / 50 = o atraso da replicação em horas


    Por exemplo, o comando adprep /forestprep adiciona cinco novos atributos indexados, pelo que um controlador de domínio com uma base de dados de 15 GB terá um atraso na replicação de 1,5 horas.
  • Para obter informações adicionais, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
    307219 Replication stops after Active Directory schema update
  • Ameaça:

    Instale esta correcção se:
    • A instalação da correcção ou do Service Pack preventivo demorar menos tempo do que a conclusão da operação de reindexação.
    • Não forem toleráveis atrasos na replicação do Active Directory no ambiente.
    Pode ignorar este passo para controladores de domínio com um pequeno número de objectos.
  • Correcção preventiva:
    • Service Pack: Windows 2000 SP3 ou posterior
    • Correcção do artigo 307219
    • Informações sobre a versões dos ficheiros: versões do ficheiro Ntdsa.dll cujas marcas de versão e de data sejam iguais ou posteriores às seguintes:
      Versão         Data
      --------------------------
      5.0.2195.4464  Oct-09-2001

Orientações

  • Existem correcções individuais que atenuam as três vulnerabilidades simultaneamente em controladores de domínio com o Windows 2000 Service Pack 1 (SP1) ou posterior. Por este motivo, não implemente um Service Pack na floresta apenas para utilizar o comando adprep /forestprep.
  • Complemente a revisão do Service Pack existente, instalada nos controladores de domínio da floresta, com a correcção de Ntdsa.dll mais recente que previna o problema da eliminação do esquema ou os dois problemas de desempenho que se aplicam à floresta.
  • Em controladores de domínio com o Windows 2000 SP1 instalado, tem de instalar uma versão do ficheiro Ntdsa.dll que previna a vulnerabilidade de eliminação do esquema. Para tal, efectue um dos seguintes procedimentos:
    • Instale uma correcção de Ntdsa.dll adequada. Para obter os melhores resultados, instale um ficheiro Ntdsa.dll recente e bastante testado que resolva a eliminação do esquema e as duas vulnerabilidades de desempenho. Seguem-se exemplos de tais correcções:

      321933 Services are not listed in the Security Configuration and Analysis snap-in
    • Instale o Windows 2000 SP2 ou posterior.
  • Controladores de domínio com o Windows 2000 SP2 instalado não são vulneráveis ao problema da eliminação do esquema. Se tiver um pequeno número de controladores de domínio ou de objectos no Active Directory, não serão necessárias correcções adicionais. Os administradores com um grande número de controladores de domínio ou bases de dados de grandes dimensões podem efectuar um dos seguintes procedimentos:
    • Instalar uma correcção de Ntdsa.dll adequada. Para obter os melhores resultados, instale uma correcção Ntdsa.dll recente e bastante testada que resolva as duas vulnerabilidades de desempenho. Segue-se um exemplo de uma correcção adequada:

      321933 Services are not listed in the Security Configuration and Analysis snap-in
    • Instalar o Windows 2000 SP3 ou posterior.
  • Os controladores de domínio com o Windows 2000 SP3 instalado estão protegidos da vulnerabilidade de eliminação do esquema e de ambas as vulnerabilidades de desempenho.

Vantagens e problemas do Windows 2000 SP3

Os controladores de domínio do Windows 2000 têm de ter o Windows 2000 SP2 para que o assistente de instalação do Active Directory (Dcpromo.exe) origine o Active Directory a partir de controladores de domínio do Windows Server 2003 que hospedem partições de programas. Se o seu ambiente já tiver o Windows 2000 SP2 em execução, mantenha essa versão e não a altere. Se tiver o Windows 2000 SP1 padronizado e previr a adição de um controlador de domínio com o Windows 2000 a uma floresta que contenha controladores de domínio do Windows 2000 e do Windows Server 2003, avalie e considere implementar o Windows 2000 SP3.

Quando os controladores de domínio do Windows 2000 têm o SP3 instalado, é mais fácil administrá-los remotamente a partir de computadores com o Microsoft Windows XP Professional ou o Windows 2003 Server em execução utilizando o Windows Server 2003 ADMINPAK. Para obter mais informações sobre os requisitos de assinatura de LDAP quando são executadas ferramentas de administração do Active Directory em computadores com o Microsoft Windows XP Professional ou o Windows 2003 Server em execução em computadores com o foco em computadores com o Windows 2000, consulte o seguinte artigo:
325465 Windows 2000 domain controllers require SP3 or later when using Windows Server 2003 administration tools
Considere adicionar as seguintes correcções pós-SP3 a controladores de domínio com o Windows 2000 SP3. Para tal, efectue um dos seguintes procedimentos:
  • Adicione manualmente correcções relevantes a cada controlador de domínio.
  • Integre todas as correcções, ou correcções seleccionadas, no suporte de instalação ou ponto de partilha do Windows 2000 SP3.
  • Integre todas as correcções, ou correcções seleccionadas, no suporte de instalação ou no ponto de partilha de instalação que contém o sistema operativo Windows 2000 base mais o Windows 2000 SP3. Se fizer isto, os controladores de domínio recém-instalados evitarão problemas conhecidos.
Estas correcções são especialmente importantes para computadores com o Windows 2000 SP3 com os serviços de terminal e de DNS em execução.
328020 Redirected printing through a Terminal Services session may not work with Windows 2000 SP3
328894 First character of each line is missing when you print with the generic printer driver
324906 Cannot start an Office program after you install Service Pack 3 (SP3) for Windows 2000
329170 MS02-070: Uma falha na assinatura do SMB poderá permitir a modificação da política de grupo
321733 É apresentada uma mensagem de erro "A escrita adiada falhou" quando escreve um ficheiro num servidor
326798 Some Windows 2000 SMB redirector hotfixes may cause a conflict with SP3 for Windows 2000
329405 DNS name resolution does not work for users who are not administrators
304653 The serial number is decremented in DNS when you reboot the computer

Propriedades

Artigo: 331161 - Última revisão: 6 de março de 2006 - Revisão: 16.0
A informação contida neste artigo aplica-se a:
  • Microsoft Windows 2000 Service Pack 2
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Service Pack 1
  • Microsoft Windows 2000 Service Pack 2
Palavras-chave: 
kbinfo KB331161

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com