Επείγουσες επιδιορθώσεις που πρέπει να εγκατασταθούν πριν από την εκτέλεση της εντολής adprep /Forestprep σε ελεγκτή τομέα των Windows 2000, για να προετοιμαστεί το σύμπλεγμα δομών και οι τομείς για την προσθήκη ελεγκτών τομέων με Windows Server 2003

Περίληψη

Πριν από την εκτέλεση της εντολής adprep /forestprep, η Microsoft συνιστά να εγκαταστήσετε συγκεκριμένες επείγουσες επιδιορθώσεις και Service Pack σε όλους τους ελεγκτές τομέα που χρησιμοποιούν Microsoft Windows 2000. Οι επείγουσες επιδιορθώσεις και τα Service Pack παρατίθενται σε αυτό το άρθρο.

Περισσότερες πληροφορίες

Το βοηθητικό πρόγραμμα Adprep.exe βρίσκεται στο φάκελο I386 του μέσου εγκατάστασης του Windows Server 2003. Το βοηθητικό πρόγραμμα Adprep.exe προετοιμάζει ένα σύμπλεγμα δομών των Windows 2000 και τους τομείς του για την προσθήκη ελεγκτών τομέα του Windows Server 2003.

Στις λειτουργίες του βοηθητικού προγράμματος Adprep.exe έχουν προστεθεί τα εξής:
 • Βελτιωμένες προεπιλεγμένες περιγραφές ασφαλείας για κλάσεις αντικειμένων.
 • Αλλαγές σε συμμετοχές σε ομάδες.
 • Νέα αντικείμενα καταλόγου που απαιτούνται από τα προγράμματα.
Ο στόχος του βοηθητικού προγράμματος αναβάθμισης συμπλέγματος δομών του Windows Server 2003 και αναβάθμισης τομέων του Windows Server 2003 είναι η προσθήκη αλλαγών σχήματος και αντικειμένων δικαιωμάτων στην υπηρεσία καταλόγου Active Directory, έτσι ώστε να είναι ασφαλή και να συνεργάζονται με τους πρόσφατα εγκατεστημένους ελεγκτές τομέα του Windows Server 2003.

Οι ελεγκτές τομέα των Windows 2000 που αναπαράγουν αλλαγές από την εντολή
adprep /forestprep, είναι ευάλωτοι στα ακόλουθα τρία ζητήματα.

Θέμα ευπάθειας: Οι προσθήκες στο σχήμα διαγράφουν στήλες από τη βάση δεδομένων και οι ελεγκτές τομέα δεν είναι δυνατό να ξεκινήσουν

 • Θέμα:

  Ένα σπάνιο αλλά ανεπανόρθωτο σφάλμα χρονισμού στη διάρκεια μεγάλων ενημερώσεων σχήματος όπως με το Adprep.exe ενδέχεται να προκαλέσουν μαζική διαγραφή κρίσιμων αντικειμένων από την υπηρεσία καταλόγου Active Directory σε ελεγκτές τομέα των Windows 2000. Οι ελεγκτές τομέα που επηρεάζονται δεν είναι δυνατό να ξεκινήσουν. Πρέπει να γίνει επαναφορά ή επανεγκατάσταση αυτών των ελεγκτών τομέα.
 • Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
  303077 Συνιστάται η εφαρμογή των επειγουσών επιδιορθώσεων του SP 2 πριν από την πραγματοποίηση αλλαγών σχήματος σε συμπλέγματα δομών της υπηρεσίας καταλόγου Active Directory • Απειλή:

  Πριν από την εκτέλεση της εντολής
  adprep /forestprep είναι υποχρεωτική η εγκατάσταση μιας επείγουσας επιδιόρθωσης ή ενός Service Pack που αποτρέπει αυτό το θέμα ευπάθειας για όλους τους ελεγκτές τομέα των Windows 2000 στο σύμπλεγμα δομών. Μην θέτετε τους ελεγκτές τομέα, τον τομέα ή το σύμπλεγμα δομών σε κίνδυνο εκτελώντας την εντολή adprep /forestprep χωρίς να έχετε εγκαταστήσει τις κατάλληλες ενημερώσεις κώδικα σε κάθε ελεγκτή τομέα του συμπλέγματος δομών.
 • Προληπτική ενημέρωση κώδικα:
  • Service Pack: Windows 2000 Service Pack 2 (SP2) ή νεότερες εκδόσεις
  • Επείγουσα επιδιόρθωση στο άρθρο 303077
  • Πληροφορίες έκδοσης αρχείου: Οι εκδόσεις του αρχείου Ntdsa.dll που η έκδοση και η σήμανση ημερομηνίας τους είναι ίσες ή μεγαλύτερες από τις ακόλουθες:

   Έκδοση Ημερομηνία
   --------------------------
   5.0.2195.2864 05-Φεβ-2001

Θέμα ευπάθειας: Η ανεπαρκής αναπαραγωγή αλλαγών στο σχήμα καταναλώνει εύρος ζώνης δικτύου

 • Θέμα:

  Υπάρχει ζήτημα επιδόσεων. Η εισαγωγή αλλαγών στο σχήμα δεν αναπαράγεται αποτελεσματικά μεταξύ ελεγκτών τομέων του συμπλέγματος δομών. Αυτό το ζήτημα προκαλεί την κατανάλωση πρόσθετου εύρους ζώνης δικτύου.
 • Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
  300642 Η τροποποίηση του σχήματος προκαλεί την εμφάνιση του μηνύματος συμβάντος 1203 για ασυμφωνία σχήματος

 • Απειλή:

  Εγκαταστήστε το κατάλληλο Service Pack ή επείγουσα επιδιόρθωση που αποτρέπει την εμφάνιση αυτού του ζητήματος, εάν έχετε περισσότερους από 10 ελεγκτές τομέα στο σύμπλεγμα δομών ή δεν θέλετε να γίνει χρήση πρόσθετου εύρους ζώνης δικτύου σε συνδέσεις δικτύου που συνδέουν ελεγκτές τομέα με το σύμπλεγμα δομών. Αυτή η ενημέρωση κώδικα είναι προαιρετική για συμπλέγματα δομών με μικρό αριθμό ελεγκτών τομέα, οι οποίοι είναι συνδεδεμένοι μέσω συνδέσεων υψηλής ταχύτητας.
 • Προληπτική ενημέρωση κώδικα:
  • Service Pack: Windows 2000 Service Pack 3 (SP3) ή νεότερες εκδόσεις
  • Επείγουσα επιδιόρθωση στο άρθρο 300642
  • Πληροφορίες έκδοσης αρχείου: Οι εκδόσεις του αρχείου Ntdsa.dll που η έκδοση και η σήμανση ημερομηνίας τους είναι ίσες ή μεγαλύτερες από τις ακόλουθες:

   Έκδοση Ημερομηνία
   ---------------------------
   5.0.2195.3673 04-Ιουν-2001

Θέμα ευπάθειας: Η αναπαραγωγή της υπηρεσίας καταλόγου Active Directory καθυστερεί στη διάρκεια της διαδικασίας αναδημιουργίας ευρετηρίου

 • Θέμα:

  Η αναπαραγωγή της υπηρεσίας καταλόγου Active Directory καθυστερεί καθώς τα νέα χαρακτηριστικά που προστίθενται από την εντολή adprep /forestprep καταχωρούνται στο ευρετήριο και ενημερώνεται η μνήμη cache του σχήματος. Η καθυστέρηση είναι μια συνάρτηση του αριθμού των χαρακτηριστικών προς καταχώρηση στο ευρετήριο που προστίθενται στην υπηρεσία καταλόγου Active Directory και του μεγέθους της βάσης δεδομένων της υπηρεσίας καταλόγου Active Directory. Μπορείτε να εκτιμήσετε την καθυστέρηση αναπαραγωγής χρησιμοποιώντας τον ακόλουθο τύπο:

  (αριθμός χαρακτηριστικών προς καταχώρηση στο ευρετήριο * μέγεθος βάσης δεδομένων σε GB) / 50 = η καθυστέρηση αναπαραγωγής σε ώρες


  Για παράδειγμα, η εντολή adprep /forestprep προσθέτει πέντε νέα χαρακτηριστικά στο ευρετήριο, επομένως ένας ελεγκτής τομέα με βάση δεδομένων μεγέθους 15 GB θα έχει καθυστέρηση αναπαραγωγής 1,5 ώρα.
 • Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
  307219 Η αναπαραγωγή σταματά μετά την ενημέρωση σχήματος της υπηρεσίας καταλόγου Active Directory

 • Απειλή:

  Εγκαταστήστε αυτήν την ενημέρωση κώδικα αν:
  • Απαιτείται λιγότερος χρόνος για την εγκατάσταση της προληπτικής επείγουσας επιδιόρθωσης ή του Service Pack σε σχέση με την αναμονή για την ολοκλήρωση της λειτουργίας αναδημιουργίας του ευρετηρίου.
  • Οι καθυστερήσεις αναπαραγωγής της υπηρεσίας καταλόγου Active Directory δεν είναι αποδεκτές στο περιβάλλον σας.
  Μπορείτε να παραβλέψετε αυτό το βήμα για ελεγκτές τομέα με μικρό αριθμό αντικειμένων.
 • Προληπτική ενημέρωση κώδικα:
  • Service Pack: Windows 2000 SP3 ή νεότερες εκδόσεις
  • Επείγουσα επιδιόρθωση στο άρθρο 307219
  • Πληροφορίες έκδοσης αρχείου: Οι εκδόσεις του αρχείου Ntdsa.dll που η έκδοση και η σήμανση ημερομηνίας τους είναι ίσες ή μεγαλύτερες από τις ακόλουθες:

   Έκδοση Ημερομηνία
   --------------------------
   5.0.2195.4464 09-Οκτ-2001

Γενικές οδηγίες

 • Υπάρχουν μεμονωμένες επείγουσες επιδιορθώσεις που μετριάζουν και τα τρία θέματα ευπάθειας σε ελεγκτές τομέα που χρησιμοποιούν Windows 2000 Service Pack 1 (SP1) ή νεότερες εκδόσεις. Επομένως, μην αναπτύξετε ένα Service Pack στο σύμπλεγμα δομών σας απλώς για να χρησιμοποιήσετε την εντολή adprep /forestprep.
 • Συμπληρώστε την υπάρχουσα αναθεώρηση Service Pack που εγκαθίσταται στους ελεγκτές τομέα του συμπλέγματος δομών σας με μια νεότερη επείγουσα επιδιόρθωση Ntdsa.dll που αποτρέπει την εμφάνιση του ζητήματος διαγραφής σχήματος ή τα δύο ζητήματα επιδόσεων που ισχύουν για το σύμπλεγμα δομών σας.
 • Σε ελεγκτές τομέα με εγκατεστημένο το Windows 2000 SP1, πρέπει να εγκαταστήσετε μια έκδοση του αρχείου Ntdsa.dll, η οποία αποτρέπει την εμφάνιση του θέματος ευπάθειας διαγραφής σχήματος. Για να το κάνετε αυτό, κάντε ένα από τα εξής:
  • Εγκαταστήστε μια κατάλληλη επείγουσα επιδιόρθωση του αρχείου Ntdsa.dll. Για καλύτερα αποτελέσματα, εγκαταστήστε ένα πρόσφατο, καλά ελεγμένο αρχείο Ntdsa.dll, το οποίο επιλύει το ζήτημα διαγραφής σχήματος και τα δύο θέματα ευπάθειας επιδόσεων. Ακολουθούν παραδείγματα τέτοιων επειγουσών επιδιορθώσεων:

   321933 Δεν εμφανίζονται οι υπηρεσίες στο συμπληρωματικό πρόγραμμα "Ρύθμιση παραμέτρων και ανάλυση ασφαλείας" (Security Configuration and Analysis)

  • Εγκαταστήστε το Windows 2000 SP2 ή νεότερες εκδόσεις.
 • Οι ελεγκτές τομέα με εγκατεστημένο το Windows 2000 SP2 δεν είναι ευάλωτοι στο ζήτημα διαγραφής σχήματος. Εάν έχετε μικρό αριθμών ελεγκτών τομέα ή αντικειμένων στην υπηρεσία καταλόγου Active Directory, δεν χρειάζονται πρόσθετες ενημερώσεις κώδικα. Οι διαχειριστές με μεγάλο αριθμό ελεγκτών τομέα ή μεγάλες βάσεις δεδομένων, μπορούν να κάνουν ένα από τα εξής:
  • Εγκαταστήστε μια κατάλληλη επείγουσα επιδιόρθωση του αρχείου Ntdsa.dll. Για καλύτερα αποτελέσματα, εγκαταστήστε μια πρόσφατη, καλά ελεγμένη επείγουσα επιδιόρθωση του αρχείου Ntdsa.dll, η οποία επιλύει τα δύο θέματα ευπάθειας επιδόσεων. Το ακόλουθο είναι ένα παράδειγμα μιας τέτοιας επείγουσας επιδιόρθωσης:

   321933 Δεν εμφανίζονται οι υπηρεσίες στο συμπληρωματικό πρόγραμμα "Ρύθμιση παραμέτρων και ανάλυση ασφαλείας" (Security Configuration and Analysis)

  • Εγκαταστήστε το Windows 2000 SP3 ή νεότερες εκδόσεις.
 • Οι ελεγκτές τομέα με εγκατεστημένο το Windows 2000 SP3 προστατεύονται τόσο από το ζήτημα διαγραφής σχήματος όσο και από τα δύο θέματα ευπάθειας επιδόσεων.

Πλεονεκτήματα και ζητήματα του Windows 2000 SP3

Οι ελεγκτές τομέα των Windows 2000 πρέπει να έχουν το Windows 2000 SP2, ώστε ο οδηγός εγκατάστασης της υπηρεσίας καταλόγου Active Directory (Dcpromo.exe) να χρησιμοποιεί ως προέλευση την υπηρεσία καταλόγου Active Directory από ελεγκτές τομέα με Windows Server 2003 που περιέχουν διαμερίσματα προγραμμάτων. Εάν στο περιβάλλον σας χρησιμοποιείται ήδη το Windows 2000 SP2, διατηρήστε αυτήν την έκδοση και μην την αλλάξετε. Εάν στο περιβάλλον σας έχει εφαρμοστεί το Windows 2000 SP1 και αναμένετε την προσθήκη ενός ελεγκτή τομέα με Windows 2000 σε ένα σύμπλεγμα δομών που περιέχει ελεγκτές τομέα με Windows 2000 και Windows Server 2003, αξιολογήστε την κατάσταση και εξετάστε την περίπτωση εφαρμογής του Windows 2000 SP3.

Μετά την εγκατάσταση του SP3 σε ελεγκτές τομέα με Windows 2000, είναι πιο εύκολο να διαχειριστείτε απομακρυσμένα ελεγκτές τομέα με Windows 2000 από υπολογιστές με Microsoft Windows XP Professional ή Windows 2003 Server, χρησιμοποιώντας το ADMINPAK του Windows Server 2003. Για περισσότερες πληροφορίες σχετικά με τις απαιτήσεις υπογραφής του LDAP όταν τα εργαλεία διαχείρισης της υπηρεσίας καταλόγου Active Directory εκτελούνται σε υπολογιστές με Microsoft Windows XP Professional ή Windows 2003 Server που είναι εστιασμένοι σε υπολογιστές με Windows 2000, ανατρέξτε στο ακόλουθο άρθρο:
325465 Οι ελεγκτές τομέα των Windows 2000 απαιτούν το SP3 ή νεότερη έκδοση όταν χρησιμοποιούν εργαλεία διαχείρισης του Windows Server 2003

Εξετάστε την περίπτωση προσθήκης των ακόλουθων επειγουσών επιδιορθώσεων που κυκλοφόρησαν μετά το SP3 σε ελεγκτές τομέα που χρησιμοποιούν Windows 2000 SP3. Για να το κάνετε αυτό, κάντε ένα από τα εξής:
 • Προσθέστε με μη αυτόματο τρόπο τις σχετικές ενημερώσεις κώδικα σε κάθε ελεγκτή τομέα.
 • Ενσωματώστε όλες ή τις επιλεγμένες επείγουσες επιδιορθώσεις στο μέσο ή το κοινόχρηστο σημείο εγκατάστασης του Windows 2000 SP3.
 • Ενσωματώστε όλες ή τις επιλεγμένες επείγουσες επιδιορθώσεις στο μέσο ή το κοινόχρηστο σημείο εγκατάστασης που περιέχει το βασικό λειτουργικό σύστημα των Windows 2000 συν το Windows 2000 SP3. Εάν το κάνετε αυτό, οι πρόσφατα εγκατεστημένοι ελεγκτές τομέα αποφεύγουν γνωστά ζητήματα.
Αυτές οι ενημερώσεις κώδικα είναι ιδιαίτερα σημαντικές σε υπολογιστές με Windows 2000 SP3 που χρησιμοποιούν υπηρεσίες τερματικού και DNS.

328020 Η ανακατευθυνόμενη εκτύπωση μέσω μιας περιόδου λειτουργίας των υπηρεσιών Terminal Services μπορεί να μην λειτουργεί στο Windows 2000 SP3

328894 Ο πρώτος χαρακτήρας κάθε γραμμής λείπει, όταν εκτυπώνετε με το πρόγραμμα οδήγησης εκτυπωτή γενικής χρήσης

324906 Δεν είναι δυνατή η έναρξη ενός προγράμματος του Office μετά την εγκατάσταση του Service Pack 3 (SP3) για Windows 2000

329170 MS02-070: Ελάττωμα στην υπογραφή SMB ενδέχεται να επιτρέψει την τροποποίηση της Πολιτικής ομάδας

321733 Εμφανίζεται μήνυμα λάθους "Η καθυστερημένη εγγραφή απέτυχε" (Delayed Write Failed) κατά την εγγραφή ενός αρχείου σε διακομιστή

326798 Ορισμένες επείγουσες επιδιορθώσεις του προγράμματος ανακατεύθυνσης SMB των Windows 2000 ενδέχεται να προκαλέσουν διένεξη με το SP3 για Windows 2000

329405 Η επίλυση ονομάτων DNS δεν λειτουργεί για χρήστες που δεν ανήκουν στην ομάδα Administrators

304653 Ο αριθμός σειράς μειώνεται στο DNS κατά την επανεκκίνηση του υπολογιστή

Ιδιότητες

Αναγνωριστικό άρθρου: 331161 - Τελευταία αναθεώρηση: 8 Μαρ 2006 - Αναθεώρηση: 1

Σχόλια