Hotfix para instalar antes de ejecutar adprep /Forestprep en un controlador de dominio de Windows 2000 para preparar el bosque y los dominios para la adición de controladores de dominio basados en Windows Server 2003

En este artículo se aplica a Windows 2000. De soporte técnico para Windows 2000 finaliza el 13 de julio de 2010. El Centro de soluciones de fin de soporte de Windows 2000 es un punto de partida para planear la estrategia de migración desde Windows 2000. Para obtener más información, consulte la Directiva de ciclo de vida de soporte técnico de Microsoft.

Resumen

Antes de ejecutar el comando adprep /forestprep , Microsoft recomienda instalar determinados hotfix y service packs en cualquier controlador de dominio basado en Microsoft Windows 2000. Los hotfixes y service packs se enumeran en este artículo.

Más información

La utilidad Adprep.exe se encuentra en la carpeta I386 de los medios de instalación de Windows Server 2003. La utilidad Adprep.exe prepara un bosque de Windows 2000 y sus dominios para la adición de controladores de dominio de Windows Server 2003.

Las operaciones de la utilidad Adprep.exe incluyen la adición de:
  • Descriptores de seguridad predeterminados mejorados para clases de objetos.
  • Cambios en la pertenencia a grupos.
  • Nuevos objetos de directorio que requieren los programas.
El objetivo de la utilidad de actualización de bosques de Windows Server 2003 y la actualización de dominios de Windows Server 2003 es agregar cambios de esquema y objetos de permiso en Active Directory para que estén seguros e interoperar con controladores de dominio de Windows Server 2003 recién instalado.

Los controladores de dominio de Windows 2000 que replican los cambios desde el comando adprep /forestprep son vulnerables a los siguientes tres problemas.

Vulnerabilidad: Adiciones de esquema eliminan columnas de la base de datos y controladores de dominio no se puede iniciar

  • Problema:

    Un problema de temporización poco habitual pero grave durante las actualizaciones de esquema de gran tamaño, como Adprep.exe puede provocar la eliminación masiva de objetos esenciales de Active Directory en controladores de dominio de Windows 2000. No se pueden iniciar controladores de dominio afectados. Estos controladores de dominio se deben restaurar o reinstalar.
  • Para obtener información adicional, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

    Revisiones de 303077 SP 2 recomendados antes de realizar cambios de esquema en los bosques de Active Directory



  • Amenaza:

    La instalación de un hotfix o service pack que impida esta vulnerabilidad es obligatoria para todos los controladores de dominio de Windows 2000 del bosque antes de ejecutar el comando adprep /forestprep . No coloque los controladores de dominio, el dominio o el bosque en peligro al ejecutar el comando adprep /forestprepsin tener instaladas en cada controlador de dominio en el bosque las revisiones adecuadas.
  • Revisión preventiva:
    • Service Pack: Windows 2000 Service Pack 2 (SP2) o posterior
    • Hotfix del artículo 303077
    • Información de versión del archivo: archivo de las versiones de Ntdsa.dll cuya versión y marca de fecha es igual o superior a los siguientes:

      Version        Date--------------------------
      5.0.2195.2864 Feb-05-2001

Vulnerabilidad: La replicación ineficiente de los cambios de esquema consume ancho de banda de red

  • Problema:

    Hay un problema de rendimiento. La introducción de cambios de esquema no se replica de forma eficaz entre controladores de dominio del bosque. Este problema provoca el consumo de ancho de banda de red adicional.
  • Para obtener información adicional, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

    300642 resultados de modificación de esquema en el mensaje de suceso 1203 de desigualdad de esquema

  • Amenaza:

    Instalar el service pack apropiado o revisión que evita este problema si tiene más de 10 controladores de dominio en el bosque o no puede tolerar el uso de ancho de banda de red adicional a través de vínculos de red que se conectan a los controladores de dominio del bosque. Esta revisión es opcional para bosques con un número pequeño de controladores de dominio que están conectados por vínculos de alta velocidad.
  • Revisión preventiva:
    • Service pack: Windows 2000 Service Pack 3 (SP3) o posterior
    • Hotfix del artículo 300642
    • Información de versión del archivo: archivo de las versiones de Ntdsa.dll cuya versión y marca de fecha es igual o superior a los siguientes:
      Version        Date--------------------------
      5.0.2195.3673 Jun-04-2001

Vulnerabilidad: La replicación de Active Directory se retrasa durante el proceso de reconstrucción de índices

  • Problema:

    Replicación de Active Directory se retrasa como nuevos atributos que se agregan mediante el comando adprep /forestprepse indizan y se actualiza la caché del esquema. El retraso es una función del número de atributos indizados que se están agregando a Active Directory y el tamaño de la base de datos de Active Directory. Puede estimar el retraso de replicación con la siguiente fórmula:

    (número de atributos indizados * tamaño en GB de base de datos) / 50 = retraso de replicación en horas


    Por ejemplo, el comando adprep /forestprep agrega cinco nuevos atributos indizados, por lo que un controlador de dominio con una base de datos de 15 GB tendrá un retraso de replicación de 1,5 horas.
  • Para obtener información adicional, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

    307219 se detiene la replicación después de actualizar el esquema de Active Directory

  • Amenaza:

    Instale esta revisión si:
    • Tarda menos tiempo en instalar el hotfix preventivo o service pack que esperar a que termine la operación de reinidización.
    • No se pueden tolerar los retrasos de replicación de Active Directory en su entorno.
    Puede omitir este paso para controladores de dominio con un número reducido de objetos.
  • Revisión preventiva:
    • Service Pack: Windows 2000 SP3 o posterior
    • Hotfix del artículo 307219
    • Información de versión del archivo: archivo de las versiones de Ntdsa.dll cuya versión y marca de fecha es igual o superior a los siguientes:
      Version        Date--------------------------
      5.0.2195.4464 Oct-09-2001

Principios rectores

  • Hay un hotfix individuales que mitigan las tres vulnerabilidad en los controladores de dominio que ejecutan Windows 2000 Service Pack 1 (SP1) o posterior. Por lo tanto, no implemente un service pack en el bosque únicamente para usar el comando adprep /forestprep .
  • Complemente la revisión de service pack existente que está instalada en los controladores de dominio en el bosque con un hotfix Ntdsa.dll más reciente que impide que el problema de la eliminación de esquema o los dos problemas de rendimiento que se aplican al bosque.
  • En los controladores de dominio con Windows 2000 SP1 instalado, debe instalar una versión del archivo Ntdsa.dll que impida la vulnerabilidad de eliminación del esquema. Para ello, siga uno de estos procedimientos:
    • Instale un hotfix Ntdsa.dll adecuado. Para obtener mejores resultados, instale un archivo Ntdsa.dll reciente y bien probado que resuelva la eliminación del esquema y las dos vulnerabilidades de rendimiento. Los siguientes son ejemplos de dichos hotfix:

      321933 no se muestran servicios en configuración de seguridad y análisis

    • Instale Windows 2000 SP2 o una versión posterior.
  • Controladores de dominio con el Service Pack 2 de Windows 2000 no son vulnerables al problema de eliminación del esquema. Si tiene un pequeño número de controladores de dominio o de objetos en Active Directory, no hay correcciones adicionales son necesarios. Los administradores con un gran número de controladores de dominio o de bases de datos grandes pueden hacer uno de estos procedimientos:
    • Instale un hotfix Ntdsa.dll adecuado. Para obtener mejores resultados, instale un hotfix Ntdsa.dll reciente y bien probado que resuelva las dos vulnerabilidades de rendimiento. El siguiente es un ejemplo de dicho hotfix:

      321933 no se muestran servicios en configuración de seguridad y análisis

    • Instale Windows 2000 SP3 o posterior.
  • Controladores de dominio con Windows 2000 SP3 instalado están protegidos contra la eliminación de esquema y dos vulnerabilidades de rendimiento.

Ventajas de Windows 2000 SP3 y problemas

Los controladores de dominio de Windows 2000 deben tener Windows 2000 Service Pack 2 para la instalación de Active Directory (Dcpromo.exe) para Active Directory desde controladores de dominio de Windows Server 2003 que alojen particiones de programa del asistente. Si el entorno ya se está ejecutando Windows 2000 SP2, mantenga dicha versión y no la cambie. Si están estandarizados en Windows 2000 SP1 y prevé la adición de un controlador de dominio de Windows 2000 a un bosque que contiene controladores de dominio de Windows 2000 y Windows Server 2003, evaluar y considerar la implementación de Windows 2000 SP3.

Cuando los controladores de dominio de Windows 2000 tienen instalado SP3, resulta más fácil administrar de forma remota los controladores de dominio de Windows 2000 desde equipos que ejecutan Microsoft Windows XP Professional o Windows Server 2003 utilizando el ADMINPAK de Windows Server 2003. Para obtener más información acerca de los requisitos de firma de LDAP cuando las herramientas de administración de Active Directory se ejecutan en equipos que ejecutan Microsoft Windows XP Professional o en equipos con Windows 2003 Server que se centran en equipos con Windows 2000, consulte el siguiente artículo:
325465 los controladores de dominio de Windows 2000 requieren el SP3 o posterior al utilizar las herramientas de administración de Windows Server 2003

Considere la posibilidad de agregar los siguientes hotfix posteriores a SP3 en controladores de dominio que ejecutan Windows 2000 SP3. Para ello, siga uno de estos procedimientos:
  • Agregue manualmente las revisiones correspondientes a cada controlador de dominio.
  • Todas las incluya o punto seleccionadas revisiones a sus medios de instalación de Windows 2000 SP3 o el recurso compartido.
  • Todas las incluya o revisiones seleccionadas al medio o punto compartido de instalación que contiene Windows 2000 basan sistema operativo además de Windows 2000 SP3. Si lo hace, los controladores de dominio recién instalados evitan los problemas conocidos.
Estas revisiones son especialmente importantes para los equipos de Windows 2000 SP3 que ejecutan los servicios de Terminal Server y DNS.
328020 impresión redirigida mediante una sesión de servicios de Terminal Server no funcionen con Windows 2000 SP3

328894 es falta primer carácter de cada línea cuando imprime con el controlador de impresora genérico

324906 no se puede iniciar un programa de Office después de instalar el Service Pack 3 (SP3) para Windows 2000

329170 MS02-070: un error en la firma SMB puede permitir la modificación de la directiva de grupo

Aparece el mensaje de error 321733 al escribir un archivo a un servidor desde un equipo basado en Windows 2000 o basado en Windows XP: "Escritura demorada"

326798 revisiones del redirector SMB de Windows 2000 algunos pueden causar un conflicto con el SP3 para Windows 2000

329405 resolución de nombres DNS no funciona para los usuarios que no son administradores

304653 el número de serie está en DNS cuando reinicia el equipo

Propiedades

Id. de artículo: 331161 - Última revisión: 17 ene. 2017 - Revisión: 2

Comentarios