Ulepszenia narzędzia Adprep.exe w dodatku Service Pack 1 dla systemu Windows Server 2003 i w poprawce 324392

Świadczenie pomocy technicznej dla systemu Windows Server 2003 zakończono 14 lipca 2015.

Firma Microsoft zakończyła świadczenie pomocy technicznej dla systemu Windows Server 2003 14 lipca 2015. Ta zmiana wpłynęła na Twoje aktualizacje oprogramowania i opcje zabezpieczeń. Dowiedz się, co to oznacza dla Ciebie i jak zapewnić sobie kontynuację ochrony.

Streszczenie
Narzędzie do przygotowania usługi Active Directory (Adprep.exe) w systemie Microsoft Windows Server 2003 przygotowuje las systemu Microsoft Windows 2000 i jego domeny do instalacji kontrolerów domeny systemu Windows Server 2003. W tym artykule udokumentowano ulepszenia narzędzia Adprep.exe w dodatku Service Pack 1 (SP1) dla systemu Windows Server 2003. W artykule znajduje się również poprawka zawierająca zaktualizowaną wersję narzędzia ADprep.exe. Poprawkę tę można zainstalować również w przypadku nieinstalowania dodatku SP1 dla systemu Windows Server 2003.

Uwaga: Zalecamy rozszerzanie schematu zawsze przy użyciu najnowszej wersji narzędzia Adprep.exe.
Więcej informacji
Aby przygotować las systemu Windows 2000 do zainstalowania nowych lub uaktualnionych kontrolerów domeny systemu Windows Server 2003, uruchom polecenie adprep /forestprep na wzorcu operacji schematu, a następnie uruchom polecenie adprep /domainprep na wzorcu operacji infrastruktury w każdej domenie.

Zaktualizowana wersja narzędzia Adprep.exe obsługuje następujące polecenia i ulepszenia. Ulepszenia te ułatwiają administratorom przeprowadzenie pomyślnego uaktualnienia do systemu Windows Server 2003.
 • adprep /forestprep

  Polecenie adprep /forestprep wykonuje te same operacje co w oryginalnie wydanej wersji systemu Windows Server 2003. Składnia tego polecenia nie uległa zmianie. Ulepszenia obejmują lepszą obsługę komunikatów o błędzie w konfiguracjach uniemożliwiających poprawne działanie polecenia adprep /forestprep.
 • adprep /domainprep

  W systemie Windows Server 2003 bez dodatków Service Pack uruchomienie polecenia adprep /domainprep powoduje dodanie bardziej restrykcyjnych deskryptorów zabezpieczeń do wszystkich obiektów zasad grupy (GPO) w udostępnionym zasobie SYSVOL. Jeśli zostaną zmodyfikowane uprawnienia na wszystkich obiektach zasad grupy w drzewie SYSVOL, usługa NTFRS (NT File Replication Service) na inicjującym kontrolerze domeny musi wysłać wszystkie obiekty zasad grupy do wszystkich innych kontrolerów domeny w tej domenie. Jeśli infrastruktura sieci zawiera wiele kontrolerów domeny lub obiektów zasad grupy, a ponadto jest połączona wolnymi łączami sieciowymi, to może być bardzo obciążona. Jeśli zostanie użyte polecenie adprep /domainprep, dodatkowy ruch wynikający z konieczności pełnej synchronizacji obiektów zasad grupy w zasobie udostępnionym SYSVOL może spowodować przeciążenie takich sieci. Aby rozwiązać ten problem, w zaktualizowanej wersji narzędzia Adprep.exe oddzielono modyfikację uprawnień w zasobie udostępnionym SYSVOL od innych operacji wykonywanych przez polecenie adprep /domainprep.

  W wersji narzędzia Adprep.exe, dostępnej w dodatku SP1 dla systemu Windows Server 2003, uruchomienie polecenia adprep /domainprep powoduje wykonanie tych samych operacji co w starszej wersji tego narzędzia. W zaktualizowanej jednak wersji polecenia uprawnienia na obiektach zasad grupy zostaną zmodyfikowane dopiero po użyciu nowego przełącznika /gpprep. Jeśli po zainstalowaniu zaktualizowanej wersji narzędzia Adprep.exe uruchomisz polecenie adprep /domainprep, zostanie wyświetlony następujący komunikat:
  Nowa funkcja planowania w innych domenach dla zasad grupy, tryb planowania RSOP, wymaga zaktualizowania uprawnień usługi Active Directory i systemu plików dla istniejących obiektów zasad grupy. Funkcję tę można włączyć w dowolnym czasie, uruchamiając polecenie „adprep.exe /domainprep /gpprep” na kontrolerze domeny, na którym znajduje się rola wzorca operacji infrastruktury.

  Operacja ta spowoduje jednorazową replikację wszystkich obiektów zasad grupy znajdujących się w folderze zasad zasobu SYSVOL między kontrolerami domeny w tej domenie. Firma Microsoft zaleca zapoznanie się z artykułem KB Q324392, zwłaszcza w przypadku systemów zawierających dużą liczbę obiektów zasad grupy.
 • adprep /domainprep /gpprep

  Sposób działania polecenia adprep domainprep /gpprep zależy od stanu domeny. Jeśli nie zostało uruchomione zaktualizowane polecenie adprep /domainprep, polecenie to stanowi funkcjonalny odpowiednik polecenia adprep /domainprep w oryginalnej wersji systemu Windows Server 2003. Polecenie wykonuje wtedy na domenie wszystkie te operacje, które są wymienione w artykule bazy wiedzy Microsoft Knowledge Base 309628. Operacje te obejmują ustawianie uprawnień dla obiektów zasad grupy w zasobie SYSVOL. Jeśli natomiast zostało już uruchomione zaktualizowane polecenie adprep /domainprep, polecenie adprep /domainprep /gpprep dodaje tylko dziedziczne wpisy kontroli dostępu do obiektów zasad grupy w zasobie udostępnionym SYSVOL. Dodatkowe wpisy kontroli dostępu udzielają kontrolerom domeny przedsiębiorstwa uprawnień dostępu do odczytu w obiektach zasad grupy. Uprawnienia te są wymagane do działania funkcji Wynikowy zestaw zasad dla zasady opartej na witrynie.
Aby uzyskać dodatkowe informacje o narzędziu Adprep.exe w oryginalnie wydanej wersji systemu Windows Server 2003, kliknij następujący numer artykułu w celu wyświetlenia artykułu z bazy wiedzy Microsoft Knowledge Base:
309628 Operations that are performed by the Adprep.exe utility when you add a Windows Server 2003 domain controller to a Windows 2000 domain or forest
Ze względu na te ulepszenia zalecamy korzystanie ze zaktualizowanej wersji narzędzia Adprep.exe.

Informacje o poprawce

Obsługiwana poprawka jest już dostępna w firmie Microsoft, ale jest przeznaczona tylko do rozwiązania problemu opisanego w tym artykule. Powinna być stosowana tylko w systemach, w których ten problem występuje. Poprawka może być wciąż w fazie testowania. Jeśli dany system nie jest poważnie narażony na ten problem, firma Microsoft zaleca poczekanie na następny dodatek Service Pack dla systemu Windows Server 2003 zawierający tę poprawkę.

Aby natychmiast rozwiązać ten problem, skontaktuj się z Pomocą techniczną firmy Microsoft w celu otrzymania poprawki. Aby uzyskać pełną listę numerów telefonów Pomocy technicznej firmy Microsoft oraz informacje dotyczące jej kosztów, odwiedź następującą witrynę sieci Web:

Wymagania wstępne

Nie ma żadnych wymagań wstępnych.

Wymagania dotyczące ponownego uruchomienia

Po zastosowaniu tej poprawki nie trzeba ponownie uruchamiać komputera.

Informacje o zastępowaniu poprawek

Ta poprawka nie zastępuje żadnych innych poprawek.

Informacje dotyczące plików

Wersja anglojęzyczna tej poprawki ma atrybuty plików pokazane w poniższej tabeli (lub nowsze). Daty i godziny ostatniej modyfikacji plików podano zgodnie z czasem UTC (Coordinated Universal Time). Są one konwertowane na czas lokalny po wyświetleniu informacji o pliku. Aby zobaczyć różnicę między czasem UTC i czasem lokalnym, skorzystaj z karty Strefa czasowa narzędzia Data i godzina w Panelu sterowania.
Windows Server 2003, wersje 32-bitowe
  Data     Godzina  Wersja     Rozmiar  Nazwa pliku  -------------------------------------------------------------  23-lip-2004 09:04   5.2.3790.196  397 824  Adprep.exe
Windows Server 2003, wersje 64-bitowe
  Data     Godz.  Wersja     Rozmiar  Nazwa pliku  Platforma  -------------------------------------------------------------------------  23-lip-2004 09:05  5.2.3790.196  1 071 616 Adprep.exe   IA-64
Aby zintegrować zaktualizowany plik zawarty w tej poprawce z plikami na oryginalnym instalacyjnym dysku CD z systemem Windows Server 2003, wykonaj następujące kroki:
 1. Skopiuj zawartość folderu \I386 z dysku CD z systemem Windows Server 2003 do komputera.
 2. Pobierz plik poprawki 194432_ENU_i386_zip.exe do komputera.
 3. W Eksploratorze Windows zlokalizuj i kliknij dwukrotnie plik poprawki.
 4. Po wyświetleniu monitu określ folder, do którego mają zostać wyodrębnione pliki.
 5. Zlokalizuj i kliknij dwukrotnie plik WindowsServer2003-KB324392-x86-enu.exe.

  Uwaga: Ten plik znajduje się w folderze określonym w kroku 4.
 6. Gdy zostanie wyświetlony monit o określenie folderu na wyodrębnione pliki, wpisz ścieżkę folderu \I386 folder skopiowanego w kroku 1 z dysku CD z systemem Windows Server 2003.
W wierszu polecenia uruchom polecenie adprep i jego argumenty wiersza polecenia z folderu \I386.

Inne ulepszenia narzędzia Adprep.exe

Poza wyżej wymienionymi zaktualizowana wersja narzędzia Adprep.exe zawiera również następujące ulepszenia:
 • Polecenie adprep /forestprep wprowadza zmiany w schemacie dla całego lasu i dla całej domeny.

  Aby włączyć polecenie adprep /forestprep w celu wprowadzenia zmian w schemacie, kontroler domeny, na którym znajduje się wzorzec operacji schematu, musi być uruchomiony w sieci. Ponadto ten kontroler domeny musiał wykonywać replikację przychodzącą partycji CN=Schema od czasu ostatniego ponownego uruchomienia tego kontrolera domeny.

  Jeśli polecenie adprep /forestprep nie jest w stanie wprowadzić zmian w schemacie, zostanie wyświetlony następujący komunikat o błędzie:
  Program Adprep nie może rozszerzyć schematu.
  [Stan/Konsekwencja]
  Wzorzec schematu nie zakończył cyklu replikacji od czasu ostatniego ponownego uruchomienia. Schematu nie można rozszerzyć, dopóki wzorzec schematu nie zakończy przynajmniej jednego cyklu replikacji.
  [Akcja użytkownika]
  Sprawdź, czy wzorzec schematu jest podłączony do sieci i może się komunikować z innymi kontrolerami domeny. Użyj przystawki Lokacje i usługi w celu przeprowadzenia replikacji między wzorcem operacji schematu a przynajmniej jednym partnerem replikacji. Po pomyślnym przeprowadzeniu replikacji ponownie uruchom program adprep.
  W oryginalnie wydanej wersji systemu Windows Server 2003 polecenie adprep /forestprep nie wyświetlało tego komunikatu o błędzie.
 • Polecenie adprep /forestprep implementuje dodatki schematu przy użyciu narzędzia Schupgr.exe.

  Jeśli kontrolery domeny systemu Windows 2000 zawierają rozszerzenia schematu, które nie są zgodne z rozszerzeniami schematu systemu Windows Server 2003, narzędzie Schupgr.exe oraz polecenie adprep /forestprep nie może zaimplementować wszystkich dodatków schematu. W tej sytuacji polecenie adprep /forestprep wykryje prawdopodobnie sprzeczne rozszerzenia schematu i zgłosi je użytkownikowi przed uaktualnieniem schematu.
 • Zostało zmienione ostrzeżenie o niepowodzeniu programu Initsync.

  W przypadku polecenia adprep /forestprep, które ma celu zaktualizowanie schematu w lesie, wzorzec schematu musi spełniać wymagania programu InitSync przez wykonanie przychodzącej replikacji partycji schematu z co najmniej jednego kontrolera domeny w lesie. Jeśli wzorzec schematu nie może wykonać replikacji przychodzącej, rola wzorca schematu będzie niedostępna. Ten problem powoduje niepowodzenie wykonania polecenia adprep /forestprep. W systemie Windows Server 2003 bez dodatków Service Pack komunikat o błędzie generowany w takiej sytuacji niewłaściwie identyfikuje problem.

  Wersja narzędzia Adprep.exe dostępna w dodatku SP1 dla systemu Windows Server 2003 poprawnie identyfikuje problem i generuje następujący komunikat o błędzie:
  Program ADPREP nie może rozszerzyć schematu.
  [Stan/Konsekwencja]

  Wzorzec schematu nie zakończył cyklu replikacji od czasu ostatniego ponownego uruchomienia. Schematu nie można rozszerzyć, dopóki wzorzec schematu nie zakończy przynajmniej jednego cyklu replikacji.

  [Akcja użytkownika]

  Sprawdź, czy wzorzec schematu jest podłączony do sieci i może się komunikować z innymi kontrolerami domeny. Użyj przystawki Lokacje i usługi w celu przeprowadzenia replikacji między wzorcem operacji schematu a przynajmniej jednym partnerem replikacji. Po pomyślnym przeprowadzeniu replikacji ponownie uruchom program ADPREP.
 • Narzędzie Adprep dokona weryfikacji schematu.

  W przypadku uruchomienia wersji narzędzia Adprep.exe, dostępnej w systemie Windows Server 2003 bez dodatków Service Pack, mogą wystąpić pewne trudności w związku z poleceniem adprep /forestprep oraz nieprawidłowe rozszerzenia schematu. Rozszerzenia te mogą być zainstalowane przez programy innych firm. Te rozszerzenia schematu niepoprawnie uzyskują identyfikatory obiektów zdefiniowane w specyfikacji RFC lub definicje schematu zarezerwowane dla produktów firmy Microsoft. Następnie używają tych definicji w stosunku do obiektów, które mają inną ścieżkę do nazwy wyróżniającej obiektu lub inną nazwę wyświetlaną w katalogu LDAP.

  W wersji narzędzia Adprep.exe, dostępnej w systemie Windows Server 2003 bez dodatków Service Pack, w pliku dziennika narzędzia nie jest jasno wskazany zmieniony atrybut Active Directory. Trzeba więc ręcznie zidentyfikować niepoprawny atrybut wśród wszystkich dodatkowych ustawień wprowadzonych przez jeden z plików LDIF (LDAP directory interchange format). Zazwyczaj jest to plik Sch18.ldf.

  W wersji narzędzia Adprep.exe, dostępnej w dodatku SP1 dla systemu Windows Server 2003, narzędzie Adprep sprawdza schemat, zanim rozpocznie się wykonywanie polecenia adprep /forestprep. Jeśli narzędzie Adprep wykryje niezgodne rozszerzenie schematu, polecenie zostanie zatrzymane z komunikatem o błędzie podobnym do następującego (tj. zawierającym identyfikator i nazwę wyróżniającą obiektu będącego przyczyną problemu).
  OID "2.5.4.45" zdefiniowane dla obiektu CN=UniqueID,CN=Schemat,CN=Konfiguracja,DC=ADPREP,DC=com jest w konflikcie z rozszerzeniami schematu niezbędnymi dla systemu Windows 2003.

  [Stan/Konsekwencja]

  Program ADPREP nie rozszerzy istniejącego schematu.

  [Akcja użytkownika]

  Skontaktuj się z dostawcą aplikacji, która rozszerzyła schemat o wartość OID "2.5.4.45" i usuń tę niezgodność. Następnie uruchom ponownie program ADPREP.
  W tej sytuacji musisz się skontaktować z dostawcą programu, który dodał niepoprawne rozszerzenia schematu, i poprosić go o poprawienie obiektu schematu. Następnie dostawca ten musi zaktualizować program, tak aby działał z użyciem poprawionego obiektu schematu.

  W przykładzie podanym w tym komunikacie o błędzie dostawca musi zmienić względną nazwę wyróżniającą UniqueID na MyUniqueID lub dowolną inną nazwę.

  Można też dodać względną nazwę wyróżniającą i użyć właściwego identyfikatora obiektu. Na przykład można dodać nazwę myinetOrg wraz z odpowiednim identyfikatorem dla inetOrg. W tym przykładzie rozwiązanie polega na zmianie nazwy myinetOrg na inetOrg, a następnie dodaniu nowego rozszerzenia dla programu wraz z aktualizacją programu.
 • Została dodana poprawka InetOrgPerson dla programu Exchange.

  Rozpatrzmy następujący scenariusz:
  • Rozszerzasz schemat za pomocą wersji narzędzia Adprep dostępnej w systemie Windows Server 2003 bez dodatków Service Pack.
  • Schemat został rozszerzony przez program Microsoft Exchange 2000 Server.
  • Poprawka InetOrgPerson nie została zastosowana.
  W tym scenariuszu nie pojawia się żaden komunikat o błędzie. Schemat jest rozszerzony, ale zostały uszkodzone nazwy wyświetlane w katalogu LDAP dla trzech następujących atrybutów Exchange:
  • MS-Exchange-HouseIdentifier
  • MS-Exchange-Secretary
  • MS-Exchange-LabeledURI
  Oto przykład dla tego problemu.

  Schemat Exchange 2000 bez poprawki InetOrgPerson
  Typ obiektuWartość
  AtrybutMS-Exchange-HouseIdentifier
  LDAPDisplayNameHouseIdentifier
  Rozszerzenie schematu Windows Server 2003
  Typ obiektuWartość
  AtrybutHouseIdentifier
  LDAPDisplayNameHouseIdentifier
  Ponieważ schemat Windows Server 2003 wymaga atrybutu LDAPDisplayName HouseIdentifier, aktualizacja schematu Windows Server 2003 powoduje uszkodzenie istniejącego atrybutu LDAPDisplayName HouseIdentifier dodanego przez program Exchange 2000. Po wykonaniu polecenia adprep /forestprep atrybut LDAPDisplayName MS-Exchange-HouseIdentifier wygląda następująco.
  Typ obiektuWartość
  AtrybutHouseIdentifier
  LDAPDisplayNameDUP-houseIdentifier-354b0ca8-9b6c-4722-aae7-e66906cc9eef
  Zaktualizowana wersja narzędzia Adprep dostępna w dodatku SP1 dla systemu Windows Server 2003 poprawnie wykrywa rozszerzenia schematu Exchange 2000. Jeśli schemat Exchange 2000 nie zostanie zaktualizowany o poprawkę InetOrgPerson, narzędzie Adprep zapisze w dzienniku komunikat kierujący użytkownika do artykułu 325379. W tym komunikacie jest zalecane rozwiązanie konfliktu schematu jeszcze przed uruchomieniem narzędzia Adprep. W takiej sytuacji narzędzie Adprep wygeneruje następujący komunikat o błędzie:
  Program ADPREP nie może rozszerzyć schematu.

  [Stan/Konsekwencja]

  Występuje konflikt schematu z programem Exchange 2000. Schemat nie został uaktualniony.

  [Akcja użytkownika]

  Konflikt schematu musi zostać rozwiązany przed uruchomieniem programu ADPREP. Rozwiąż konflikt schematu, pozwól na replikację tej zmiany wśród wszystkich partnerów replikacji, a następnie uruchom program ADPREP. Aby uzyskać informacje o rozwiązywaniu konfliktu, zobacz artykuł Q325379 z bazy wiedzy Microsoft Knowledge Base
Aby uzyskać więcej informacji dotyczących terminologii używanej w tym artykule, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
824684 Opis standardowej terminologii używanej do opisywania aktualizacji oprogramowania firmy Microsoft
share shares Group Policies deployment execute executing
Właściwości

Identyfikator artykułu: 324392 — ostatni przegląd: 04/12/2006 09:33:00 — zmiana: 2.5

Microsoft Windows Server 2003 Service Pack 1

 • kbinfo kbbug kbfix kbqfe kbwinserv2003presp1fix kbhotfixserver KB324392
Opinia