Hotfixes que devem ser instalados antes da execução de adprep /Forestprep em um controlador de domínio do Windows 2000 para preparar a floresta e os domínios para a adição de controladores de domínio com Windows Server 2003

Traduções deste artigo Traduções deste artigo
ID do artigo: 331161 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Neste artigo

Sumário

Antes de executar o comando adprep /forestprep, a Microsoft recomenda a instalação de determinados hotfixes e service packs em quaisquer controladores de domínio com Microsoft Windows 2000. Os hotfixes e os service packs estão listados nesse artigo.

Mais Informações

O utilitário Adprep.exe está localizado na pasta I386 da mídia de instalação do Windows Server 2003. O utilitário Adprep.exe prepara uma floresta do Windows 2000 e seus domínios para a adição dos controladores de domínio do Windows Server 2003.

As operações do utilitário Adprep.exe incluem a adição de:
  • Descritores de segurança padrão aperfeiçoados para classes de objetos
  • Alterações em membros de grupo.
  • Novos objetos de diretório que os programas exigem.
O objetivo dos utilitários Windows Server 2003 Forest Upgrade e Windows Server 2003 Domain Upgrade é adicionar alterações de esquema e objetos de permissão ao Active Directory para que eles estejam seguros e interoperem com os recém-instalados controladores de domínio do Windows Server 2003.

Os controladores de domínio do Windows 2000 que duplicam as alterações a partir do comando adprep /forestprep são vulneráveis aos seguintes três problemas.

Vulnerabilidade: Adições de esquema excluem colunas do banco de dados e controladores de domínio não podem ser iniciados

  • Problema:

    Um problema de cronometragem raro, porém fatal, durante grandes atualizações de esquema como Adprep.exe, pode causar a exclusão em massa de objetos críticos do Active Directory nos controladores de domínio do Windows 2000. Os controladores de domínio afetados não podem iniciar. Esses controladores de domínio devem ser restaurados ou reinstalados.
  • Para obter informações adicionais, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
    303077 Hotfixes SP 2 recomendados antes das alterações de esquema nas florestas do Active Directory


  • Ameaça:

    A instalação de um hotfix ou service pack que evita essa vulnerabilidade é obrigatória para todos os controladortes de domínio do Windows 2000 na floresta antes da executação do comando adprep /forestprep. Não coloque controladores de domínio, o domínio ou a floresta em risco executando o comando adprep /forestprep sem ter as correções apropriadas instaladas em cada controlador de domínio na floresta.
  • Correção preventiva:
    • Service Pack: Microsoft Windows 2000 Service Pack 2 (SP2) ou posterior
    • Hotfix no artigo 303077
    • Informações de versão de arquvo: Versões do arquivo Ntdsa.dll cujo registro de versão e data é igual ou maior que o seguinte:
       Versão         Data
       --------------------------
       5.0.2195.2864  05-fev-2001

Vulnerabilidade: Duplicação insuficiente de alterações de esquema consome largura de banda da rede

  • Problema:

    Há um problema de desempenho. A introdução das alterações de esquema não é duplicada eficientemente entre os controladores de domínio na floresta. O problema causa o consumo adicional de largura de banda de rede.
  • Para obter informações adicionais, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
    300642 A modificação de esquema resulta na mensagem Diferença de esquema Evento 1203
  • Ameaça:

    Instale o service pack ou hotfix adequado para evitar esse problema se tiver mais de 10 controladores de domínio na floresta ou não tolerar o uso de largura de banda adicional nos links de rede que conectam os controladores de domínio à floresta. Essa correção é opcional para florestas com um pequeno número de controladores de domínio conectados por links de alta velocidade.
  • Correção preventiva:
    • Service pack Microsoft Windows 2000 Service Pack 3 (SP3) ou posterior
    • Hotfix no artigo 300642
    • Informações de versão de arquvo: Versões do arquivo Ntdsa.dll cujo registro de versão e data é igual ou maior que o seguinte:
       Versão         Data
       --------------------------
       5.0.2195.3673  04-jun-2001

Vulnerabilidade: A duplicação do Active Directory atrasa durante o processo de reconstrução de índice

  • Problema:

    A duplicação do Active Directory atrasa à medida que os novos atributos adicionados pelo comando adprep /forestprep são indexados e o cache de esquemas é atualizado. O atraso é uma função do número de atributos indexados que estão sendo adicionados ao Active Directory e do tamanho do banco de dados do Active Directory. É possível estimar o atraso de duplicação com a seguinte fórmula:

    (número de atributos indexados * tamanho do banco de dados em GB) / 50 = o atraso da duplicação em horas


    Por exemplo, o comando adprep /forestprep adiciona cinco novos atributos indexados, assim, um controlador de domínio com um banco de dados de 15 GB terá um atraso de duplicação de 1,5 horas.
  • Para obter informações adicionais, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
    307219 A duplicação pára depois da atualização de esquemas do Active Directory
  • Ameaça:

    Instale essa correção se:
    • Levar menos tempo para instalar o hotfix preventivo ou o service pack do que para esperar pela conclusão da operação de reindexação.
    • Os atrasos de duplicação do Active Directory não podem ser tolerados no seu ambiente.
    É possível pular essa etapa para controladores de domínio com um pequeno número de objetos
  • Correção preventiva:
    • Service Pack: Windows 2000 SP3 ou posterior
    • Hotfix no artigo 307219
    • Informações de versão de arquvo: Versões do arquivo Ntdsa.dll cujo registro de versão e data é igual ou maior que o seguinte:
       Versão         Data
       --------------------------
       5.0.2195.4464  09-out-2001

Orientações

  • Existem hotfixes individuais que atenuam todas as três vulnerabilidades nos controladores de domínio que executam Windows 2000 Service Pack 1 (SP1) ou posterior. Portanto, não implante um service pack na floresta unicamente para usar o comando adprep /forestprep.
  • Complemente a revisão do service pack existente que está instalado nos controladores de domínio na sua floresta com um hotfix Ntdsa.dll mais novo que evita o problema da exclusão de esquemas ou os dois problemas de desempenho que se aplicam à floresta.
  • Nos controladores de domínio com Windows 2000 SP1 instalado, é necessário instalar uma versão de um arquivo Ntdsa.dll que evita a vulnerabilidade da exclusão de esquemas. Para isso, faça o seguinte:
    • Instale um hotfix Ntdsa.dll adequado. Para obter resultados melhores, instale um arquivo Ntdsa.dll suficientemente testado que resolva a exclusão de esquemas e as duas vulnerabilidades de desempenho. Estes são exemplos de hotfixes:

      321933 Os serviços não estão listados no snap-in Configuração e análise de segurança
    • Instale o Windows 2000 SP2 ou posterior.
  • Controladores de domínio com Windows 2000 SP2 instalado não são vulneráveis ao problema de exclusão de esquemas. Se você tem um número pequeno de controladores de domínio ou objetos no Active Directory, nenhuma correção adicional é exigida. Os administradores com um grande número de controladores de domínio ou grandes bancos de dados podem fazer um dos seguintes procedimentos:
    • Instale um hotfix Ntdsa.dll adequado. Para obter resultados melhores, instale um arquivo Ntdsa.dll recente e suficientemente testado que resolva as duas vulnerabilidade de desempenho. A seguir temos um exemplo de tal hotfix:

      321933 Os serviços não estão listados no snap-in Configuração e análise de segurança
    • Instale o Windows 2000 SP2 ou posterior.
  • Controladores de domínio com o Windows 2000 SP3 instalado são protegidos da exclusão de esquemas e de ambas as vulnerabilidades de desempenho.

Vantagens e problemas do Windows 2000 SP3

Os controladores de domínio do Windows 2000 devem ter o Windows 2000 SP2 para que o Assistente de Instalação do Active Directory (Dcpromo.exe) origine o Active Directory dos controladores de domínio do Windows Server 2003 que hospedam partições do programa. Se o ambiente já está executando o Windows 2000 SP2, mantenha a versão e não a altere. Se você está padronizado com o Windows 2000 SP1 e antecipa a adição de um controlador de domínio do Windows 2000 para uma floresta com controladores de domínio do Windows 2000 e Windows Server 2003, evalie e considere a implantação do Windows 2000 SP3.

Quando os controladores de domínio do Windows 2000 têm o SP3 instalado, é mais fácil administrar remotamente os controladores de domínio do Windows 2000 a partir de computadores que executam o Microsoft Windows XP Professional ou o Windows 2003 Server usando o ADMINPAK do Windows Server 2003. Para obter informações adicionais sobre os requisitos de assinatura do LDAP quando as ferramentas de administração do Active Directory executam em computadores com o Microsoft Windows XP Professional ou o Windows 2003 Server focalizados em computadores com o Windows 2000, leia o seguinte artigo:
325465 Os controladores de domínio do Windows 2000 requerem o SP3 ou posterior quando as ferramentas de administração do Windows Server 2003 são usadas.
Considere adicionar os seguintes hotfixes posterior ao SP3 em controladores de domínio que executam o Windows 2000 SP3. Para isso, faça o seguinte:
  • Adicione manualmente as correções relevantes a cada controlador de domínio.
  • Corrija todos ou os hotfixes selecionados para sua mídia de instalação do Windows 2000 SP3 ou ponto de compartilhamento.
  • Corrija todos os hotfixes ou os hotfixes selecionados para sua mídia de instalação ou ponto de compartilhamento de instalação que contenha o sistema operacional Windows 2000 mais o Windows 2000 SP3. Ao fazer isso, os controladores de domínio recém-instalados evitam os problemas conhecidos.
Essas corrreções são particularmente importantes para computadores com o Windows 2000 SP3 que executam os serviços DNS e de terminal.
328020 O redirecionamento de impressão por meio de uma sessão dos serviços de terminal pode não funcionar com o Windows 2000 SP3
328894 O primeiro caractere de cada linha não aparece quando a impressão é feita com um driver de impressora genérico
324906 Não pode iniciar o programa Office depois de instalar o Service Pack 3 (SP3) para Windows 2000
329170 MS02-070: Falha na assinatura SMB pode permitir que a diretiva de grupo seja modificada
321733 A mensagem de erro "Falha na gravação atrasada" é exibida quando um arquivo é gravado no servidor
326798 Alguns hotfixes do redirecionador do Windows 2000 SMB podem causar um conflito com o SP3 para Windows 2000
329405 A resolução de nomes DNS não funciona para usuários que não são administradores
304653 O número de série é diminuído no DNS quando o computador é reiniciado

Propriedades

ID do artigo: 331161 - Última revisão: quarta-feira, 15 de junho de 2005 - Revisão: 16.0
A informação contida neste artigo aplica-se a:
  • Microsoft Windows 2000 Service Pack 2
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Service Pack 1
  • Microsoft Windows 2000 Service Pack 2
Palavras-chave: 
kbinfo KB331161

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com