Перечень исправлений, которые следует установить на контроллерах домена Windows 2000 перед выполнением команды Adprep /Forestprep

Переводы статьи Переводы статьи
Код статьи: 331161 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Аннотация

Перед запуском команды adprep /forestprep корпорация Microsoft рекомендует установить на каждом контроллере домена под управлением Windows 2000 исправления и пакеты обновления, которые перечислены в данной статье.

Дополнительная информация

Программа Adprep.exe (находится в папке I386 на установочном носителе Windows Server 2003) предназначена для подготовки леса Windows 2000 и входящих в него доменов к добавлению контроллеров домена под управлением Windows Server 2003.

В программе Adprep.exe реализована поддержка таких функций:
  • добавление усовершенствованных дескрипторов безопасности по умолчанию для классов объектов;
  • внесение изменений в состав групп;
  • добавление необходимых программам объектов каталога.
Целью запуска программы обновления леса и доменов является внесение изменений в схему и добавление объектов разрешений в Active Directory, которые обеспечивают безопасность и взаимодействие с новыми контроллерами домена под управлением Windows Server 2003.

Контроллеры домена под управлением Windows 2000, на которые реплицируются внесенные командой изменения adprep /forestprep, имеют три описанных ниже уязвимости.

Обновление схемы влечет за собой удаление столбцов из базы данных, в результате чего контроллеры домена перестают запускаться

  • Проблема

    Редкая, однако имеющая фатальные последствия несогласованность по времени при значительных обновлениях схемы (например, при выполнении Adprep.exe) приводит к массовому удалению критически важных объектов Active Directory на контроллерах домена под управлением Windows 2000. В результате контроллеры домена перестают запускаться и их необходимо восстановить или переустановить.
  • За дополнительной информацией обратитесь к следующей статье Microsoft Knowledge Base:
    303077 Service Pack 2 Hotfixes Recommended Before Making Schema Changes in Active Directory Forests


  • Опасность

    Установка исправлений и пакетов обновления для предотвращения данной проблемы обязательна на всех контроллерах домена под управлением Windows 2000 в лесу и должна быть выполнена до запуска команды adprep /forestprep. Не подвергайте контроллеры домена, сам домен и лес неоправданному риску, запуская команду adprep /forestprep без установки необходимых исправлений на каждом из контроллеров домена.
  • Предупреждающие исправления
    • Пакет обновления для Windows 2000 версии 2 (SP2) или выше.
    • Исправление из статьи Microsoft Knowledge Base 303077.
    • Сведения о версии файла: файл Ntdsa.dll должен иметь атрибуты, приведенные в следующей таблице, или более поздние.
      Версия        Дата -------------------------- 5.0.2195.2864  05-фев-2001

Неэффективная репликация изменений схемы перегружает сеть

  • Проблема

    Проблема связана с быстродействием системы. Внесенные в схему изменения нерационально реплицируются между контроллерами домена в лесу, что приводит к образованию дополнительной нагрузки на сеть.
  • За дополнительной информацией обратитесь к следующей статье Microsoft Knowledge Base:
    300642 Schema Modification Results in Schema Mismatch Event 1203 Message
  • Опасность

    Установите соответствующее исправление или пакет обновления, если в лесу больше 10 контроллеров домена, или существенное увеличение объема передачи данных по соединяющим контроллеры домена сегментам сети крайне нежелательно. Для леса с малым числом контроллеров домена, соединенных высокоскоростными каналами связи, установка исправления не обязательна.
  • Предупреждающие исправления
    • Пакет обновления для Windows 2000 версии 3 (SP3) или выше.
    • Исправление из статьи Microsoft Knowledge Base 300642.
    • Сведения о версии файла: файл Ntdsa.dll должен иметь атрибуты, приведенные в следующей таблице, или более поздние.
      Версия        Дата -------------------------- 5.0.2195.3673  04-июн-2001

Репликация Active Directory откладывается на время перестроения индекса

  • Проблема

    Репликация Active Directory откладывается, пока индексируются новые атрибуты, добавленные командой adprep /forestprep, и обновляется кэш-память схемы. Продолжительность задержки зависит от числа добавленных в Active Directory атрибутов и размера базы данных Active Directory. Для ее определения служит следующая формула:

    (число индексируемых атрибутов * размер базы данных, ГБ) / 50 = задержка репликации, часов


    Например, если команда adprep /forestprep добавляет пять индексируемых атрибутов, то для домена с базой данных размером 15 ГБ задержка репликации составит 1,5 часа.
  • За дополнительной информацией обратитесь к следующей статье Microsoft Knowledge Base:
    307219 Replication Stops After Active Directory Schema Update
  • Опасность

    Исправление следует устанавливать, если:
    • установка исправления или пакета обновления занимает меньше времени, чем процедура повторного построения индекса
    • задержка репликации Active Directory в данной среде недопустима
    Необязательно устанавливать исправление на контроллерах домена с малым числом объектов.
  • Предупреждающие исправления
    • Пакет обновления для Windows 2000 версии 3 (SP3) или выше.
    • Исправление из статьи Microsoft Knowledge Base 307219.
    • Сведения о версии файла: файл Ntdsa.dll должен иметь атрибуты, приведенные в следующей таблице, или более поздние.
      Версия        Дата -------------------------- 5.0.2195.4464  09-окт-2001

Замечания

  • Для каждой из описанных проблем имеется отдельное исправление, предназначенное для контроллеров домена под управлением Windows 2000 с пакетом обновления версии 1 (SP1) или выше. По этой причине нет необходимости устанавливать в лесу пакет обновления только для того, чтобы запустить команду adprep /forestprep.
  • В дополнение к имеющемуся пакету обновления установите исправление, которое предотвращает удаление объектов схемы, а также, в случае необходимости, исправления для устранения проблем с быстродействием системы.
  • На контроллерах домена под управлением Windows 2000 с пакетом обновления 1 (SP1) следует установить версию файла Ntdsa.dll, устраняющую риск повреждения схемы. Воспользуйтесь для этого одним из следующих способов.
    • Установите исправление для файла Ntdsa.dll. Лучше всего установить последний протестированный файл Ntdsa.dll, который позволяет решить все перечисленные ранее проблемы, например, в составе следующего исправления:

      321933 Services Not Listed in Security Configuration and Analysis Tool
    • Установите пакет обновления версии 2 (SP2) или выше для Windows 2000.
  • Контроллеры домена под управлением Windows 2000 с пакетом обновления 2 (SP2) не подвержены риску удаления объектов схемы. Если число контроллеров домена или объектов Active Directory невелико, устанавливать дополнительные исправления нет необходимости. Для леса с большим количеством контроллеров домена и большими базами данных необходимо установить одно из следующих обновлений.
    • Установите исправление для файла Ntdsa.dll, лучше всего — последний протестированный файл Ntdsa.dll, который позволяет решить все перечисленные ранее проблемы, например, в составе следующего исправления:

      321933 Services Not Listed in Security Configuration and Analysis Tool
    • Установите пакет обновления версии 3 (SP3) или выше для Windows 2000.
  • Контроллеры домена под управлением Windows 2000 с пакетом обновления 3 (SP3) не подвержены ни одной из описанных выше уязвимостей.

Преимущества и недостатки пакета обновления 3 (SP3) для Windows 2000

На контроллерах домена под управлением Windows 2000 необходимо установить пакет обновления 2 (SP2), чтобы мастер установки Active Directory (Dcpromo.exe) мог получить доступ к Active Directory с контроллеров домена под управлением Windows Server 2003, на которых расположены разделы программ. Если пакет обновления 2 (SP2) для Windows 2000 уже установлен, не следует вносить дополнительных обновлений. Если используется Windows 2000 с пакетом обновления 1 (SP1) и предполагается добавление контроллера домена под управлением Windows 2000 в лес, который содержит контроллеры домена под управлением как Windows 2000, так и Windows Server 2003, рассмотрите возможность установки пакета обновления 3 (SP3) для Windows 2000.

Контроллерами домена под управлением Windows 2000 с пакетом обновления 3 (SP3) проще управлять в удаленном режиме с компьютеров под управлением Windows XP Professional или Windows 2003 Server (с помощью пакета средств администрирования Windows Server 2003 ADMINPAK). Дополнительные сведения о требованиях к подписыванию LDAP в случае, когда средства администрирования Active Directory запускаются на компьютере под управлением Windows XP Professional или Windows 2003 Server для управления компьютерами с Windows 2000, см. в следующей статье Microsoft Knowledge Base:
325465 Windows 2000 Domain Controllers Require SP3 or Later When Using Windows Server 2003
Рассмотрите возможность установки перечисленных ниже исправлений на контроллерах домена под управлением Windows 2000 с пакетом обновления 3 (SP3). Для их установки воспользуйтесь одним из следующих способов.
  • Вручную установите нужные исправления на каждом из контроллеров домена.
  • Добавьте выбранные исправления на установочный носитель Windows 2000 с пакетом обновления 3 (SP3) или в общий ресурс.
  • Добавьте выбранные исправления на установочный носитель или в общий ресурс, который содержит установочные файлы Windows 2000 с пакетом обновления 3 (SP3). В этом случае выявленные ранее проблемы на новых контроллерах домена возникать не будут.
В первую очередь эти исправления необходимо установить на компьютерах под управлением Windows 2000 с пакетом обновления 3 (SP3), на которых запущены службы терминалов или служба DNS.
328020 Redirected Printing with Terminal Services May Not Work with SP3
328894 First Character Missing from Each Line w/Generic Printer Driver
324906 Не удается запустить приложение Office после установки пакета обновления 3 (SP3) для Windows 2000
329170 MS02-070: Ошибка в подписывании SMB позволяет вносить изменения в групповую политику
321733 A "Delayed Write Failed" Error Message Occurs When You Write a File to a Server
326798 Post-SP3 SMB Redirector Hotfixes Cause a Conflict with SP3
329405 DNS Name Resolution Does Not Work for Users Who Are Not Administrators
304653 The Serial Number Is Decremented in DNS When You Reboot

Свойства

Код статьи: 331161 - Последний отзыв: 22 апреля 2004 г. - Revision: 15.1
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows 2000 Service Pack 2
  • Microsoft Windows 2000 Advanced Server SP2
  • Microsoft Windows 2000 Advanced Server SP1
  • Microsoft Windows 2000 Service Pack 1
  • Microsoft Windows 2000 Service Pack 2
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
Ключевые слова: 
kbinfo KB331161

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com