Hotfixes die moeten worden geïnstalleerd voordat u adprep /Forestprep uitvoert op een Windows 2000-domeincontroller om het forest en de domeinen voor te bereiden op de toevoeging van Windows Server 2003-domeincontrollers

Samenvatting

Voordat u de opdracht adprep /forestprep uitvoert, is het raadzaam om bepaalde hotfixes en service packs te installeren op Microsoft Windows 2000-domeincontrollers. Deze hotfixes en Service Packs worden in dit artikel beschreven.

Meer informatie

Het hulpprogramma Adprep.exe bevindt zich in de map I386 op de installatiemedia voor Windows Server 2003. Met Adprep.exe worden Windows 2000-forests en de bijbehorende domeinen voorbereid op de toevoeging van Windows Server 2003-domeincontrollers.

Wanneer u het hulpprogramma Adprep.exe uitvoert, wordt het volgende aan het systeem toegevoegd:
 • Verbeterde standaard security descriptors voor objectklassen.
 • Wijzigingen in groepslidmaatschappen.
 • Nieuwe mapobjecten die door programma's worden vereist.
Het doel van het hulpprogramma voor Windows Server 2003-forestupgrade en Windows Server 2003-domeinupgrade is het toevoegen van schemawijzigingen en machtigingsobjecten in Active Directory omwille van beveiliging en communicatie met Windows Server 2003-domeincontrollers die aan de configuratie worden toegevoegd.

Windows 2000-domeincontrollers die worden gerepliceerd naar aanleiding van wijzigingen die door de opdracht adprep /forestprep worden doorgevoerd, zijn vatbaar voor de onderstaande drie problemen.

Beveiligingslek: schematoevoegingen leiden tot het verwijderen van kolommen uit de database en domeincontrollers kunnen niet meer worden gestart.

 • Probleem:

  Een zeldzaam maar fataal timingprobleem tijdens uitgebreide schema-updates zoals met Adprep.exe, kan grootschalige verwijdering van kritieke objecten uit Active Directory op Windows 2000-domeincontrollers veroorzaken. De getroffen domeincontrollers kunnen als gevolg niet meer worden gestart. Deze domeincontrollers moeten worden teruggezet of opnieuw worden geïnstalleerd.
 • Klik op het volgende artikelnummer in de Microsoft Knowledge Base voor meer informatie:

  303077 Aanbevolen SP 2-hotfixes voor het wijzigen van schema's in Active Directory-forests


 • Risico:

  De installatie van een hotfix of service pack waarmee dit probleem wordt voorkomen, is verplicht voor alle Windows 2000-domeincontrollers in het forest voordat de opdracht adprep /forestprep wordt uitgevoerd. Breng domeincontrollers, het domein of het forest niet in gevaar door adprep /forestprep uit te voeren zonder de juiste hotfixes te installeren op alle domeincontrollers in het forest.
 • Preventieve correctie:
  • Service Pack: Windows 2000 Service Pack 2 (SP2) of hoger
  • Hotfix in artikel 303077
  • Bestandsversie: versies van het bestand Ntdsa.dll waarvan de versie en de datum identiek of later zijn dan de volgende:

   Versie     Datum
   --------------------------
   5.0.2195.2864 5 feb 2001

Beveiligingslek: netwerkbandbreedte wordt verbruikt bij inefficiënte replicatie van schemawijzigingen.

 • Probleem:

  Er is een probleem met de prestaties. Schemawijzigingen zijn niet efficiënt gerepliceerd op de domeincontrollers in het forest. Hierdoor wordt er meer netwerkbandbreedte verbruikt.
 • Klik op het volgende artikelnummer in de Microsoft Knowledge Base voor meer informatie:

  300642 Wijziging van het schema leidt tot gebeurtenis 1203-bericht over niet-overeenkomend schema
 • Risico:

  Installeer de juiste service pack of hotfix om dit probleem te voorkomen wanneer u een forest met meer dan 10 domeincontrollers hebt of wanneer het verbruik van extra netwerkbandbreedte via netwerkkoppelingen tussen de domeincontrollers in het forest niet is geoorloofd. Deze correctie is optioneel voor forests met minder domeincontrollers die zijn verbonden via hogesnelheidskoppelingen.
 • Preventieve correctie:
  • Service Pack: Windows 2000 Service Pack 3 (SP3) of hoger
  • Hotfix in artikel 300642
  • Bestandsversie: versies van het bestand Ntdsa.dll waarvan de versie en de datum identiek of later zijn dan de volgende:
   Versie     Datum
   --------------------------
   5.0.2195.3673 4 jun 2001

Beveiligingslek: replicatie van Active Directory is vertraagd tijdens het opnieuw samenstellen van de index.

 • Probleem:

  De replicatie van Active Directory is vertraagd door het indexeren van nieuwe kenmerken die door de opdracht adprep /forestprep zijn toegevoegd en door het bijwerken van de schemacache. Deze vertraging is het gevolg van het aantal geïndexeerde kenmerken die aan Active Directory worden toegevoegd en van de grootte van de Active Directory-database. U kunt de replicatievertraging met de volgende formule uitrekenen:

  (aantal geïndexeerde kenmerken * grootte database in GB) / 50 = replicatievertraging in uren


  Als met de opdracht adprep /forestprep bijvoorbeeld vijf nieuwe indexkenmerken worden toegevoegd, geldt voor een domeincontroller met een database van 15 GB een replicatievertraging van 1,5 uur.
 • Klik op het volgende artikelnummer in de Microsoft Knowledge Base voor meer informatie:

  307219 Replicatie stopt na schema-update van Active Directory
 • Risico:

  Installeer deze correctie in de volgende gevallen:
  • De installatie van de preventieve hotfix of het preventieve service pack kost minder tijd dan wachten op de voltooiing van de herindexering.
  • Replicatievertraging van Active Directory is niet geoorloofd in uw werkomgeving.
  U kunt deze stap overslaan voor domeincontrollers met een klein aantal objecten.
 • Preventieve correctie:
  • Service Pack: Windows 2000 SP3 of hoger
  • Hotfix in artikel 307219
  • Bestandsversie: versies van het bestand Ntdsa.dll waarvan de versie en de datum identiek of later zijn dan de volgende:
   Versie     Datum
   --------------------------
   5.0.2195.4464 9 okt 2001

Richtlijnen

 • Er zijn afzonderlijke hotfixes waarmee alle drie de problemen worden beperkt op domeincontrollers met Windows 2000 Service Pack 1 (SP1) of hoger. Installeer een service pack in een forest daarom niet uitsluitend voor het uitvoeren van de opdracht adprep /forestprep.
 • Vul de bestaande Service Pack-revisie op de domeincontrollers in het forest aan met een recentere Ntdsa.dll waarmee verwijderingen als gevolg van schematoevoegingen of de twee prestatieproblemen in het forest worden voorkomen.
 • Op domeincontrollers met Windows 2000 SP1 installeert u een versie van het bestand Ntdsa.dll waarmee verwijderingen als gevolg van schematoevoegingen worden voorkomen. Voer daarvoor een van de volgende bewerkingen uit:
  • Installeer de juiste Ntdsa.dll. De beste keuze is een recente, goedgekeurde Ntdsa.dll waarmee verwijderingen als gevolg van schematoevoegingen en de twee prestatieproblemen worden voorkomen. Dit is een voorbeeld van een dergelijke hotfix:

   321933 Services worden niet weergegeven in de module Beveiligingsconfiguratie en -analyse
  • Installeer Windows 2000 SP2 of hoger.
 • Op domeincontrollers met Windows 2000 SP2 vinden er geen verwijderingen plaats als gevolg van schematoevoegingen. Bij een klein aantal domeincontrollers of objecten in Active Directory zijn geen aanvullende correcties nodig. Beheerders van een groot aantal domeincontrollers of grote databases kunnen op een van de volgende manieren te werk gaan:
  • Installeer de juiste Ntdsa.dll. De beste keuze is een recente, goedgekeurde Ntdsa.dll waarmee de twee prestatieproblemen worden voorkomen. Dit is een voorbeeld van een dergelijke hotfix:

   321933 Services worden niet weergegeven in de module Beveiligingsconfiguratie en -analyse
  • Installeer Windows 2000 SP3 of hoger.
 • Domeincontrollers met Windows 2000 SP3 zijn beveiligd tegen verwijderingen als gevolg van schematoevoegingen en beide prestatieproblemen.

Voordelen en problemen met Windows 2000 SP3

Windows 2000-domeincontrollers moeten beschikken over Windows 2000 SP2 voor de wizard Active Directory installeren (Dcpromo.exe) om via Windows Server 2003-domeincontrollers met programmapartities toegang te krijgen tot Active Directory. Als u reeds met Windows 2000 SP2 werkt, hoeft u niets te wijzigen. Werkt u met Windows 2000 SP1 en wilt u een Windows 2000-domeincontroller toevoegen aan een forest met Windows 2000- en Windows Server 2003-domeincontrollers, dan kunt u de installatie van Windows 2000 SP3 overwegen.

Bij Windows 2000-domeincontrollers met SP3 is het makkelijker om Windows 2000-domeincontrollers met behulp van Windows Server 2003 ADMINPAK extern te beheren vanaf computers met Microsoft Windows XP Professional of Windows 2003 Server. Raadpleeg het volgende artikel voor meer informatie over de vereisten voor LDAP-ondertekening wanneer Active Directory-beheerprogramma's worden uitgevoerd op computers met Microsoft Windows XP Professional of op Windows 2003 Server-computers die worden gebruikt met Windows 2000-computers:
325465 Voor domeincontrollers voor Windows 2000 is SP3 of hoger vereist wanneer beheerprogramma's van Windows Server 2003 worden gebruikt
Overweeg de toevoeging van de volgende Post-SP3-hotfixes op domeincontrollers met Windows 2000 SP3. Voer daarvoor een van de volgende bewerkingen uit:
 • Voeg relevante correcties handmatig toe aan elke afzonderlijke domeincontroller.
 • Pas alle of bepaalde hotfixes toe op de Windows 2000 SP3-installatiemedia of de netwerkshare voor installatie.
 • Pas alle of bepaalde hotfixes toe op de Windows 2000 SP3-installatiemedia of de netwerkshare voor installatie waarop zich het Windows 2000-basisbesturingssysteem en Windows 2000 SP3 bevinden. Hierdoor doen bekende problemen zich niet voor op nieuwe domeincontrollers.
Deze hotfixes zijn vooral belangrijk voor Windows 2000 SP3-computers waarop Terminal Services en DNS-services worden uitgevoerd.
328020 Omgeleid afdrukken via een Terminal Services-sessie werkt niet met Windows 2000 SP3
328894 Het eerste teken van elke regel ontbreekt wanneer u afdrukt met het standaardprinterstuurprogramma
324906 Er kunnen geen Office-programma's worden gestart na de installatie van Service Pack 3 (SP 3) voor Windows 2000
329170 MS02-070: fout in het ondertekenen van SMB's kan de bewerking van Groepsbeleid toestaan
321733 Foutbericht 'Uitgestelde schrijfbewerkingen zijn mislukt' wanneer u een bestand naar een server schrijft
326798 Enkele hotfixes voor de SMB-redirector in Windows 2000 veroorzaken een conflict met SP3 voor Windows 2000
329405 DNS-naamomzetting werkt niet voor gebruikers die geen beheerder zijn
304653 Het serienummer wordt verlaagd in DNS wanneer u de computer opnieuw opstart
Eigenschappen

Artikel-id: 331161 - Laatst bijgewerkt: 21 nov. 2005 - Revisie: 1

Feedback