运行 Adprep /Forestprep 之前在 Windows 2000 域控制器上安装的修复程序

文章翻译 文章翻译
文章编号: 331161 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

概要

运行 adprep /forestprep 命令之前,Microsoft 建议您在所有 Windows 2000 域控制器上安装某些修复程序和 Service Pack。本文列出了这些修复程序和 Service Pack。

更多信息

Adprep.exe 实用工具位于 Windows Server 2003 安装媒体的 I386 文件夹中。Adprep.exe 实用工具为添加 Windows Server 2003 域控制器准备了 Windows 2000 林及其域。

Adprep.exe 实用工具操作包括添加以下内容:
  • 用于对象类的已改进的默认安全描述符。
  • 组成员身份的更改。
  • 程序所需的新目录对象。
Windows Server 2003 林升级和 Windows Server 2003 域升级实用工具用于在 Active Directory 中添加架构更改和权限对象,以确保它们的安全性并且可与新安装的 Windows Server 2003 域控制器互操作。

通过 adprep /forestprep 命令复制更改的 Windows 2000 域控制器在出现以下三种问题时容易受到攻击。

漏洞:添加架构会删除数据库中的列,并且域控制器无法启动

  • 问题:

    大型架构更新(例如 Adprep.exe)期间少见但致命的计时问题会导致从 Windows 2000 域控制器上的 Active Directory 中删除大量重要对象。受影响的域控制器将无法启动。必须恢复或重新安装这些域控制器。
  • 有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    303077 在 Active Directory 林中进行架构更改之前推荐安装的 SP 2 修复程序


  • 威胁:

    在运行 adprep /forestprep 命令之前,必须对林中的所有 Windows 2000 域控制器强制安装用于修补此漏洞的修复程序或 Service Pack。在没有对林中的每个域控制器安装相应的修复程序之前,不要运行 adprep /forestprep 命令,否则会使域控制器、域或林面临危险。
  • 预防性修复程序:
    • Service Pack:Windows 2000 Service Pack 2 (SP2) 或更高版本
    • 文章 303077 中的修复程序
    • 文件版本信息:版本和日期戳大于或等于以下值的 Ntdsa.dll 文件的版本:
      版本             日期
      --------------------------
      5.0.2195.2864  Feb-05-2001

漏洞:低效复制架构更改会消耗网络带宽

  • 问题:

    出现性能问题。引入的架构更改不能在林中的域控制器之间有效复制。此问题将导致消耗额外的网络带宽。
  • 有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    300642 架构修改导致说明架构不匹配的事件 1203 消息
  • 威胁:

    如果林中的域控制器多于 10 个,或者不允许在连接林中的域控制器的网络链接中占用额外网络带宽,请安装能够防止此问题的相应 Service Pack 或修复程序。如果林中只有少量通过高速链接连接的域控制器,则可以不安装此修复程序。
  • 预防性修复程序:
    • Service Pack:Windows 2000 Service Pack 3 (SP3) 或更高版本
    • 文章 300642 中的修复程序
    • 文件版本信息:版本和日期戳大于或等于以下值的 Ntdsa.dll 文件的版本:
      版本             日期
      --------------------------
      5.0.2195.3673  Jun-04-2001

漏洞:Active Directory 复制在索引重建过程中出现延迟

  • 问题:

    由于要为由 adprep /forestprep 命令添加的新属性编制索引并更新架构缓存,导致 Active Directory 复制发生延迟。该延迟是添加到 Active Directory 中的索引属性的数量和 Active Directory 数据库大小的函数。可以使用以下公式估算复制延迟:

    (索引属性的数量 * 以 GB 为单位的数据库大小)/ 50 = 以小时为单位的复制延迟


    例如,adprep /forestprep 命令添加五个新的索引属性,所以,具有 15 GB 数据库的域控制器的复制延迟为 1.5 小时。
  • 有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    307219 更新 Active Directory 架构后复制停止
  • 威胁:

    如果出现以下情况,请安装此修复程序:
    • 安装预防性修复程序或 Service Pack 所用的时间比等待重新编制索引完成所用的时间少。
    • 环境中不允许 Active Directory 复制延迟。
    对于对象数量较少的域控制器,可以跳过此步骤。
  • 预防性修复程序:
    • Service Pack:Windows 2000 SP3 或更高版本
    • 文章 307219 中的修复程序
    • 文件版本信息:版本和日期戳大于或等于以下值的 Ntdsa.dll 文件的版本:
      版本             日期
      --------------------------
      5.0.2195.4464  Oct-09-2001

指导原则

  • 个别修复程序可缓解运行 Windows 2000 Service Pack 1 (SP1) 或更高版本的域控制器上的所有上述三种漏洞。因此,不要将 Service Pack 单独部署到林中来使用 adprep /forestprep 命令。
  • 使用可防止架构删除问题或林中出现的这两个性能问题的较新的 Ntdsa.dll 修复程序,来补充安装在林中域控制器上的现有 Service Pack 修订版。
  • 在安装了 Windows 2000 SP1 的域控制器中,必须安装可防止架构删除漏洞的 Ntdsa.dll 文件版本。为此,请执行以下操作之一:
    • 安装相应的 Ntdsa.dll 修复程序。为了获得最佳结果,请安装经过充分测试的、可解决架构删除和这两个性能漏洞的最新 Ntdsa.dll 文件。以下是此类修复程序的示例:

      321933 服务未在“安全配置和分析”管理单元中列出
    • 安装 Windows 2000 SP2 或更高版本。
  • 安装了 Windows 2000 SP2 的域控制器不容易出现架构删除问题。如果 Active Directory 中的域控制器或对象数量较少,则无需其他修复程序。管理大量域控制器或大型数据库的管理员可以执行以下操作之一:
    • 安装相应的 Ntdsa.dll 修复程序。为了获得最佳结果,请安装经过充分测试的、可解决这两个性能漏洞的最新 Ntdsa.dll 修复程序。以下是此类修复程序的示例:

      321933 服务未在“安全配置和分析”管理单元中列出
    • 安装 Windows 2000 SP3 或更高版本。
  • 安装了 Windows 2000 SP3 的域控制器可防止出现架构删除和这两个性能漏洞。

Windows 2000 SP3 的优点和问题

Windows 2000 域控制器必须安装 Windows 2000 SP2,才能使用 Active Directory 安装向导 (Dcpromo.exe) 从承载程序分区的 Windows Server 2003 域控制器导入 Active Directory。如果环境中已运行了 Windows 2000 SP2,请保留此版本而不要更改它。如果统一安装了 Windows 2000 SP1 并期望将 Windows 2000 域控制器添加到包含 Windows 2000 和 Windows Server 2003 域控制器的林中,请评估并考虑部署 Windows 2000 SP3。

在 Windows 2000 域控制器上安装 SP3 后,可以更容易地使用 Windows Server 2003 ADMINPAK 从运行 Microsoft Windows XP Professional 或 Windows 2003 Server 的计算机远程管理 Windows 2000 域控制器。有关在运行 Microsoft Windows XP Professional 的计算机或充当 Windows 2000 计算机的服务器的 Windows 2003 Server 计算机上运行 Active Directory 管理工具时的 LDAP 签名要求的详细信息,请参见以下文章:
325465 在使用 Windows Server 2003 管理工具时 Windows 2000 域控制器需要 SP3 或更高版本
考虑在运行 Windows 2000 SP3 的域控制器上添加以下 SP3 之后的修复程序。为此,请执行以下操作之一:
  • 手动将相关修复程序添加到每个域控制器。
  • 将所有或选定修复程序添加到 Windows 2000 SP3 安装媒体或共享点。
  • 将所有或选定修复程序添加到包含 Windows 2000 基本操作系统并附带 Windows 2000 SP3 的安装媒体或安装共享点。这样做可以使新安装的域控制器避免已知的问题。
这些修复程序对于运行终端和 DNS 服务的 Windows 2000 SP3 计算机尤为重要。
328020 通过终端服务会话重定向的打印可能无法用于 Windows 2000 SP3
328894 在使用通用打印机驱动程序进行打印时每行都缺少第一个字符
324906 安装 Windows 2000 的 Service Pack 3 (SP3) 后无法启动某个 Office 程序
329170 MS02-070:SMB 签名中的缺陷可能允许修改组策略
321733 将文件写入服务器时出现“Delayed Write Failed”(延迟写入失败)错误信息
326798 某些 Windows 2000 SMB 重定向器修复程序可能会引起与 Windows 2000 SP3 的冲突
329405 DNS 名称解析对非管理员用户不起作用
304653 重新启动计算机时 DNS 中的序列号减少

属性

文章编号: 331161 - 最后修改: 2007年12月3日 - 修订: 15.2
这篇文章中的信息适用于:
  • Microsoft Windows 2000 Service Pack 2
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Service Pack 1
  • Microsoft Windows 2000 Service Pack 2
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
关键字:?
kbinfo KB331161
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com