Poprawki, które należy zainstalować na kontrolerach domen w systemie Windows 2000 przed uruchomieniem polecenia adprep /forestprep

Streszczenie

Przed uruchomieniem polecenia adprep /forestprep firma Microsoft zaleca zainstalowanie na wszystkich kontrolerach domen w systemie Windows 2000 pewnych poprawek i dodatków Service Pack. Odpowiednie poprawki i dodatki Service Pack zostały wymienione w tym artykule.

Więcej informacji

Narzędzie Adprep.exe znajduje się w folderze I386 na nośniku instalacyjnym systemu Windows Server 2003. Narzędzie Adprep.exe przygotowuje las i domeny systemu Windows 2000 do dodania do kontrolerów domen systemu Windows Server 2003.

Narzędzie Adprep.exe obejmuje następujące dodatki:
 • Poprawione domyślne deskryptory zabezpieczeń klas obiektów.
 • Zmiany członkostwa grup.
 • Nowe obiekty katalogu wymagane przez programy.
Zadaniem narzędzia Windows Server 2003 Forest Upgrade i Windows Server 2003 Domain Upgrade jest dodanie zmian schematów i obiektów uprawnień w usłudze Active Directory, aby były one bezpieczne i współpracowały z nowo instalowanymi kontrolerami domen w systemie Windows Server 2003.

Kontrolery domen w systemie Windows 2000 replikowane w wyniku zmian wprowadzonych przez polecenie adprep /forestprep są narażone na następujące trzy problemy.

Luka: Dodatki do schematów powodują usunięcie kolumn z bazy danych i nie można uruchomić kontrolerów domen

 • Problem:

  Rzadko występujący, ale krytyczny problem z taktowaniem podczas przeprowadzania dużych aktualizacji schematów, takich jak Adprep.exe, może powodować masowe usunięcie obiektów krytycznych z usługi Active Directory na kontrolerach domen w systemie Windows 2000. Nie można uruchomić kontrolerów domen, których dotyczy ten problem. Takie kontrolery domen należy przywrócić lub zainstalować ponownie.
 • Aby uzyskać dodatkowe informacje, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
  303077 Service Pack 2 Hotfixes Recommended Before Making Schema Changes in Active Directory Forests


 • Zagrożenie:

  Instalacja poprawki lub dodatku Service Pack, które pozwolą usunąć tę lukę, jest obowiązkowa w przypadku wszystkich kontrolerów domen systemu Windows 2000 w lesie przed uruchomieniem polecenia adprep /forestprep. Nie należy narażać kontrolerów domen, domeny ani lasu na ryzyko spowodowane uruchomieniem polecenie adprep /forestprepbez wcześniejszego zainstalowania odpowiednich poprawek na każdym kontrolerze domeny w lesie.
 • Poprawka profilaktyczna:
  • Dodatek Service Pack: dodatek Service Pack 2 (SP2) do systemu Windows 2000 lub nowszy
  • Poprawka opisana w artykule 303077
  • Informacje o wersji pliku: Wersje pliku Ntdsa.dll, których sygnatura wersji i daty jest następująca lub nowsza:

   Wersja    Data
   --------------------------
   5.0.2195.2864 Feb-05-2001

Luka: Nieefektywna replikacja zmian schematów zużywa przepustowość sieci

 • Problem:

  Jest to problem z wydajnością. Wprowadzenie zmian schematów nie jest efektywnie replikowane między kontrolerami domen w lesie. Ten problem powoduje dodatkowe zużycie przepustowości sieci.
 • Aby uzyskać dodatkowe informacje, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
  300642 Schema Modification Results in Schema Mismatch Event 1203 Message
 • Zagrożenie:

  Jeśli w lesie znajduje się więcej niż 10 kontrolerów domen lub nie można tolerować zwiększonego wykorzystania przepustowości sieci na łączach sieciowych między kontrolerami domen w lesie, należy zainstalować odpowiedni dodatek Service Pack lub poprawkę zapobiegającą występowaniu tego problemu. Ta poprawka jest opcjonalna w przypadku lasów o mniejszej liczbie kontrolerów domen połączonych za pomocą szybkich łączy.
 • Poprawka profilaktyczna:
  • Dodatek Service Pack: dodatek Service Pack 3 (SP3) do systemu Windows 2000 lub nowszy
  • Poprawka opisana w artykule 300642
  • Informacje o wersji pliku: Wersje pliku Ntdsa.dll, których sygnatura wersji i daty jest następująca lub nowsza:
   Wersja    Data
   --------------------------
   5.0.2195.3673 Jun-04-2001

Luka: Replikacja usługi Active Directory opóźnia się podczas procesu odbudowywania indeksu

 • Problem:

  Replikacja usługi Active Directory opóźnia się, ponieważ nowe atrybuty dodawane przez polecenie adprep /forestprepsą indeksowane, a bufor schematu jest aktualizowany. Opóźnienie zależy od liczby indeksowanych atrybutów dodawanych do usługi Active Directory oraz od rozmiaru bazy danych usługi Active Directory. Opóźnienie replikacji można oszacować za pomocą następującej formuły:

  (liczba indeksowanych atrybutów * rozmiar bazy danych w GB) / 50 = opóźnienie replikacji w godzinach


  Na przykład polecenie adprep /forestprep powoduje dodanie pięciu nowych indeksowanych atrybutów, w wyniku czego kontroler domeny z bazą danych o rozmiarze 15 GB będzie miał półtoragodzinne opóźnienie replikacji.
 • Aby uzyskać dodatkowe informacje, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
  307219 Replication Stops After Active Directory Schema Update
 • Zagrożenie:

  Tę poprawkę należy zainstalować, jeśli:
  • Mniej czasu zajmuje zainstalowanie poprawki profilaktycznej lub dodatku Service Pack, niż oczekiwanie na ukończenie operacji ponownego indeksowania.
  • Opóźnienia replikacji usługi Active Directory są nie do zaakceptowania w danym środowisku.
  W przypadku kontrolerów domen z niewielką liczbą obiektów ten krok można pominąć.
 • Poprawka profilaktyczna:
  • Dodatek Service Pack: dodatek SP3 do systemu Windows 2000 lub nowszy
  • Poprawka opisana w artykule 307219
  • Informacje o wersji pliku: Wersje pliku Ntdsa.dll, których sygnatura wersji i daty jest następująca lub nowsza:
   Wersja    Data
   --------------------------
   5.0.2195.4464 Oct-09-2001

Wytyczne

 • Istnieją oddzielne poprawki ograniczające niebezpieczeństwo spowodowane przez te trzy luki na kontrolerach domen, na których uruchomiono system Windows 2000 z dodatkiem Service Pack 1 (SP1) lub nowszym. Nie należy więc wdrażać w lesie samego dodatku Service Pack, aby można było korzystać z polecenia adprep /forestprep.
 • Istniejącą wersję dodatku Service Pack zainstalowanego na kontrolerach domen w lesie należy uzupełnić o nowszą poprawkę Ntdsa.dll, która zapobiega występowaniu problemu z usuwaniem schematów oraz obu problemów z wydajnością dotyczących danego lasu.
 • Na kontrolerach domen z zainstalowanym systemem Windows 2000 z dodatkiem SP1 należy zainstalować wersję pliku Ntdsa.dll, która zapobiega występowaniu problemu z usuwaniem schematów. Aby to zrobić, wykonaj jedną z następujących czynności:
  • Zainstaluj odpowiednią poprawkę Ntdsa.dll. Najlepszym rozwiązaniem jest zainstalowanie najnowszego, dobrze przetestowanego pliku Ntdsa.dll, który rozwiązuje problem z usuwaniem schematów oraz usuwa obie luki w wydajności. Przykłady takich poprawek znajdują się w następującym artykule:

   321933 Services Not Listed in Security Configuration and Analysis Tool
  • Zainstaluj dodatek SP2 (lub nowszy) do systemu Windows 2000.
 • Kontrolery domen, na których zainstalowano system Windows 2000 z dodatkiem SP2, nie są narażone na występowanie problemu z usuwaniem schematów. Jeśli w usłudze Active Directory istnieje niewielka liczba kontrolerów domen lub obiektów, nie są wymagane żadne dodatkowe poprawki. Administratorzy mający dużą liczbę kontrolerów domen lub duże bazy danych mogą wykonać jedną z następujących czynności:
  • Zainstaluj odpowiednią poprawkę Ntdsa.dll. Najlepszym rozwiązaniem jest zainstalowanie najnowszej, dobrze przetestowanej poprawki Ntdsa.dll, która rozwiązuje problem z obiema lukami w wydajności. Przykład takiej poprawki znajduje się w następującym artykule:

   321933 Services Not Listed in Security Configuration and Analysis Tool
  • Zainstaluj dodatek SP3 (lub nowszy) do systemu Windows 2000.
 • Kontrolery domen, na których zainstalowano system Windows 2000 z dodatkiem SP3, są chronione przed usuwaniem schematów oraz obiema lukami w wydajności.

Zalety systemu Windows 2000 z dodatkiem SP3 i związane z nim problemy

Na kontrolerach domen systemu Windows 2000 musi być zainstalowany dodatek SP2 do tego systemu, aby Kreator instalacji usługi Active Directory (Dcpromo.exe) mógł korzystać z usługi Active Directory na kontrolerach domen w systemie Windows Server 2003, na których znajdują się partycje programów. Jeśli w danym środowisku jest już zainstalowany system Windows 2000 z dodatkiem SP2, należy zachować tę wersję i nie zmieniać jej. Jeśli stosowanym standardem jest system Windows 2000 z dodatkiem SP1 i przewidywane jest dodanie kontrolera domeny w systemie Windows 2000 do lasu, który zawiera kontrolery domeny w systemie Windows 2000 i Windows Server 2003, należy ocenić i rozważyć wdrożenie dodatku SP3 do systemu Windows 2000.

Jeśli na kontrolerach domen w systemie Windows 2000 został zainstalowany dodatek SP3, łatwiejsze jest zdalne administrowanie kontrolerami domen w systemie Windows 2000 z komputerów z systemem Microsoft Windows XP Professional lub Windows 2003 Server przy użyciu dodatku Windows Server 2003 ADMINPAK. Aby uzyskać więcej informacji o wymaganiach dotyczących podpisywania LDAP, gdy narzędzia administracyjne usługi Active Directory są uruchamiane na komputerach z systemem Microsoft Windows XP Professional lub Windows 2003 Server skoncentrowanych na komputerach z systemem Windows 2000, zobacz następujący artykuł:
325465 Kontrolery domeny z systemem Windows 2000 wymagają dodatku SP3 lub nowszego w wypadku użycia narzędzi administracyjnych systemu Windows Server 2003
Na kontrolerach domen z systemem Windows 2000 z dodatkiem SP3 należy rozważyć dodanie następujących poprawek wydanych po opublikowaniu dodatku SP3. Aby to zrobić, wykonaj jedną z następujących czynności:
 • Ręcznie dodaj odpowiednie poprawki do każdego kontrolera domeny.
 • Dostosuj wszystkie lub wybrane poprawki do nośnika instalacyjnego lub punktu instalacji systemu Windows 2000 z dodatkiem SP3.
 • Dostosuj wszystkie lub wybrane poprawki do nośnika instalacyjnego lub punktu instalacji zawierającego podstawowy system operacyjny Windows 2000 i dodatek SP3 do tego systemu. Po wykonaniu tych czynności nowo instalowane kontrolery domen unikną znanych problemów.
Te poprawki wydane po opublikowaniu dodatku SP3 są szczególnie ważne w przypadku komputerów z systemem Windows 2000 z dodatkiem SP3, na których uruchamiane są usługi terminalowe i usługi DNS.
328020 Drukowanie przekierowane za pośrednictwem sesji usług terminalowych może nie działać w systemie Windows 2000 z dodatkiem SP3
328894 First Character Missing from Each Line w/Generic Printer Driver
324906 Po zainstalowaniu dodatku Service Pack 3 (SP3) dla systemu Windows 2000 nie mona uruchomi programu pakietu Office
329170 MS02-070: Luka związana z podpisywaniem protokołu SMB może pozwalać na modyfikowanie zasad grupy
321733 A „Delayed Write Failed” Error Message Occurs When You Write a File to a Server
326798 Post-SP3 SMB Redirector Hotfixes Cause a Conflict with SP3
329405 Rozpoznawanie nazw DNS nie działa w przypadku użytkowników niebędących administratorami
304653 The Serial Number Is Decremented in DNS When You Reboot
Właściwości

Identyfikator artykułu: 331161 — ostatni przegląd: 17.07.2008 — zmiana: 1

Opinia