Тази статия описва някои проблеми, които възникват в контролер на домейн, базиран на Windows Server 2012 R2. Актуална корекция е налична за отстраняване на тези проблеми. Актуалната корекция е предпоставка.
Симптоми
Да предположим, че имате домейн контролер, работещ под Windows Server 2012 R2, може да срещнете един от следните проблеми.
Проблем 1: Присъединяване към домейн
Имате нов компютър и искате да се присъедини към домейн от гората. Един и същ компютър хост име вече се използва в друг домейн. В този случай операцията за присъединяване към домейн отчита успех. Щракнете върху OK, ще видите следния диалогов прозорец. Изтрити низове са старата и новата основен суфикс на компютъра:
Съобщение за грешка подобно на следното:
При обработката на промяна на името на DNS хоста за обект, стойностите на главно име на услуга може да не бъде синхронизиран.
След рестартиране компютърът ще отчете себе си като член на домейн, но интерактивно влизане с акаунт на домейн ще бъде неуспешно и ще получите следното съобщение за грешка:
Базата данни на защитата на сървъра няма акаунт на компютър за тази връзка workstation доверие.
Освен това получавате следното съобщение за грешка във файла Netsetup.log:
0: 000021C 7: DSID-03200BA6, проблем 1005 (CONSTRAINT_ATT_TYPE), data 0, Att 90303 (servicePrincipalName)
NetpModifyComputerObjectInDs: не е ldap_modify_s: 0x13 0x57
Проблем 2: Вътре в гората миграция
Ако изпълнявате вътре в гората потребител миграция главно име на услуга (SPN) или основно потребителско име (UPN) определени или вътре в гората компютър миграция, миграция не успява, защото все още съществува акаунт в глобалния каталог обектът е въведен в домейна, който има следните атрибути на попълва. Ако обектът е записан в нов домейн, ще бъде създаден дублиран SPN.
Забележка: Инструменти за управление на мигрирането да Active Directory Migration инструмент (ADMT), инструменти за мигриране на външни или Преместване-ADObject cmdlet чрез Active Directory PowerShell.
Проблем 3: SPN конфликти с SPN възстановени обект
Сте имали акаунт с spn в използване на акаунт, който се изтрива сега. Добавете SPN обект, който използва за друг акаунт на потребител или компютър в гората. Когато сега се опитате да възстановите изтрит, действието не успее поради дублиране SPN.
Забележка: Във всички три проблема, в регистрационния файл на справочната услуга на домейновия контролер се записва събитие ID 2974, подобно на следното: кода на грешка 8647 превежда до символична име е ERROR_DS_SPN_VALUE_NOT_UNIQUE_IN_FOREST. За deplicate UPN грешката ще бъде номер 8648 и ERROR_DS_UPN_VALUE_NOT_UNIQUE_IN_FOREST.
Причина
Windows Server 2012 R2 въведени ограничителни проверка за UPN и SPN уникалност. Тя успешно предотвратява дублиране SPN и UPN когато те се управляват чрез административни инструменти без да изисква инструмент за извършване на проверката за уникалност за себе си.
Грешки, които са описани в тази статия че предотвратява административни задачи, където ефектът не е ясно.
Решение
В някои случаи можете да изтриете обекти, които блокират действие, така че действието е успешно. В рамките на гората миграции и възстановява можете да изтриете spn и/или UPN, ще бъде дублиран и потенциално ги добавяте обратно на акаунта.
Подготовка на тази промяна може да не е възможно във всички случаи. Поради това Microsoft разработи актуализация, която позволява контролиране на поведението на домейн контролер. Тази актуализация се отнася за Windows Server 2012 R2 домейн контролери. Можете да инсталирате тази актуализация на сървъри-членове, кандидат за промоция на домейн контролер в бъдеще.
С тази актуализация Microsoft предоставя гора ниво превключвател за изключване и включване на проверката за уникалност чрез dSHeuristics атрибута.
Поддържани dSHeuristics стойностите са следните:
-
dSHeuristic = 1: AD DS позволява добавяне на главни имена на дублирани потребител (UPN)
-
dSHeuristic = 2: AD DS позволява добавяне на главни имена на дублирани услуга (SPN)
-
dSHeuristic = 3: AD DS позволява добавяне на дублиран spn и UPN
-
dSHeuristic = някоя друга стойност: AD DS налага проверката за уникалност за spn и UPN
Примери:
-
За забраняване на проверката за уникалност за UPN, задайте 21 характер на dSHeuristics "1" (000000000100000000021)
-
За забраняване SPN проверката за уникалност, задайте 21 характер dSHeuristics "2" (000000000100000000022)
-
За забраняване UPN и SPN уникалност проверки, задайте 21 характер dSHeuristics "3" (000000000100000000023)
За подробна информация как да модифицирате dSHeuristic 6.1.1.2.4.1.2 dSHeuristics.
Препоръчително е да зададете стойността обратно към 0 , когато знаете проблемни промени не се случва повече. Това може да се случи за мигрирането на вътре в гората.
Информация за актуалната корекция
Важно: Ако инсталирате езиков пакет, след като инсталирате тази актуална корекция, трябва да преинсталирате тази спешна корекция. Препоръчва се да инсталирате всички езикови пакети, е необходимо преди да инсталирате тази актуална корекция. За повече информация вижте Добавяне езикови пакети за Windows.
Поддържана актуална корекция се предлага от Microsoft. Тази актуална корекция обаче е предназначена да коригира само проблема, описан в тази статия. Прилагайте тази корекция само към системи, изпитващи този конкретен проблем.
Ако актуалната корекция е налична за изтегляне, има секция "Актуални корекции достъпни за теглене" в горната част на тази статия от базата знания. Ако тази секция не се появи, изпратете заявка за обслужване на клиенти на Microsoft и поддръжка, за да получите актуалната корекция.
Забележка: Ако възникнат допълнителни проблеми или проблеми, трябва да създадете отделна заявка за поддръжка. Обичайните такси за поддръжката ще важат за допълнителни въпроси и проблеми, които не спадат към конкретната актуална корекция. За пълен списък на телефонните номера на Microsoft за обслужване на клиенти и поддръжка или да създадете отделна заявка за поддръжка посетете следния уеб сайт на Microsoft:
http://support.microsoft.com/contactus/?ws=supportЗабележка: Формулярът "Актуални Download наличен" показва езиците, за които е налична актуалната корекция. Ако не виждате вашия език, това е защото актуалната корекция не е налична за този език.
Необходими условия:
За да приложите тази актуална корекция, трябва да имате април 2014 Сборен пакет за Windows RT 8.1 8.1 на Windows и Windows Server 2012 R2 (2919355) , инсталирани в Windows 8.1 или Windows Server 2012 R2.
Информация за системния регистър
За да използвате актуалната корекция в този пакет, не трябва да променяте нищо в системния регистър.
Изискване за рестартиране
Може да се наложи да рестартирате компютъра, след като приложите тази актуална корекция.
Информация за заместване на актуалната корекция
Тази актуална корекция не замества издадените актуални корекции.
Глобалната версия на тази актуална корекция инсталира файлове, които имат атрибути, изброени в следващите таблици. Датите и часовете за тези файлове са изброени в координирано световно време (UTC). Датите и часовете за тези файлове на вашия компютър се показват в локалното ви време с текущото отместване за лятно часово време (DST). Освен това датите и часовете може да се променят, когато изпълните определени операции върху файловете.
Windows 8.1 и Windows Server 2012 R2 файлова информация и бележки
Важно: Windows 8.1 актуалните корекции и Windows Server 2012 R2 са включени в същите пакети. Обаче актуалните корекции в страницата на искане за актуална корекция са изброени и под двете операционни системи. За да поискате пакета с актуални корекции, който се отнася до едната или и двете операционни системи, изберете актуалната корекция, която е в списъка под "Windows 8.1/Windows Server 2012 R2" на страницата. Винаги проверявайте в секцията "Отнася се за" в статиите, за да определите действителната операционна система, която се отнася всяка актуална корекция за.
-
Файловете, които се отнасят до конкретен продукт, контролна точка (RTM, SPn), и папка (LDR, GDR), могат да бъдат идентифицирани чрез преглеждане на числата за версия на файла, както е показано в следващата таблица:
Версия
Продукт
Контролна точка
Клон на услуга
6.3.960 0.17xxx
Windows 8.1 и Windows Server 2012 R2
RTM
GDR
-
Файловете MANIFEST (.manifest) и файловете MUM (.mum), инсталирани за всяка работна среда, са изброени отделно в раздела "допълнителна информация". MUM, MANIFEST и свързаният каталог за защита (.cat), са много важни за поддържане на състоянието на актуализираните компоненти. Каталожните файлове на защитата, за които не са изброени атрибути, са подписани с цифров подпис на Microsoft.
За всички поддържани x86-базирани версии на Windows 8.1
Име на файл |
Версия на файла |
Размер на файла |
Дата |
Време |
Платформа |
---|---|---|---|---|---|
Ntdsa.mof |
Неприложимо |
227,765 |
18-Jun-2013 |
12:21 |
Неприложимо |
Ntdsai.dll |
6.3.9600.17901 |
2,576,896 |
09-Jun-2015 |
20:43 |
x86 |
За всички поддържани x64 базирани версии на Windows 8.1 и Windows Server 2012 R2
Име на файл |
Версия на файла |
Размер на файла |
Дата |
Време |
Платформа |
---|---|---|---|---|---|
Ntdsa.mof |
Неприложимо |
227,765 |
18-Jun-2013 |
14:45 |
Неприложимо |
Ntdsai.dll |
6.3.9600.17901 |
3,684,864 |
09-Jun-2015 |
20:49 |
x64 |
Допълнителна файлова информация
Допълнителна файлова информация за Windows 8.1 и Windows Server 2012 R2
Допълнителни файлове за всички поддържани x86-базирани версии на Windows 8.1
Свойство на файл |
Стойност |
---|---|
Име на файл |
X86_4c2f5adc88a0d6ac17ccdccf2255c6b7_31bf3856ad364e35_6.3.9600.17901_none_ba36e2d18bbebef8.manifest |
Версия на файла |
Неприложимо |
Размер на файла |
712 |
Дата (UTC) |
10-Jun-2015 |
Време (UTC) |
12:46 |
Платформа |
Неприложимо |
Име на файл |
X86_microsoft-windows-d..toryservices-ntdsai_31bf3856ad364e35_6.3.9600.17901_none_85b97991d47e36db.manifest |
Версия на файла |
Неприложимо |
Размер на файла |
3,352 |
Дата (UTC) |
09-Jun-2015 |
Време (UTC) |
23:14 |
Платформа |
Неприложимо |
Допълнителни файлове за всички поддържани базирани на x64 версии на Windows 8.1 и Windows Server 2012 R2
Свойство на файл |
Стойност |
---|---|
Име на файл |
Amd64_94aab516433aef4e5f0c8db414ae7999_31bf3856ad364e35_6.3.9600.17901_none_34c8efb13ae81094.manifest |
Версия на файла |
Неприложимо |
Размер на файла |
716 |
Дата (UTC) |
10-Jun-2015 |
Време (UTC) |
12:46 |
Платформа |
Неприложимо |
Име на файл |
Amd64_microsoft-windows-d..toryservices-ntdsai_31bf3856ad364e35_6.3.9600.17901_none_e1d815158cdba811.manifest |
Версия на файла |
Неприложимо |
Размер на файла |
3,356 |
Дата (UTC) |
09-Jun-2015 |
Време (UTC) |
23:49 |
Платформа |
Неприложимо |
Статус
Microsoft потвърждава, че това е проблем в продуктите на Microsoft, изброени в раздела "Отнася се за".
Допълнителна информация
Вижте подробна информация за функцията на SPN и UPN уникалност в Windows Server 2012 R2.
Можете да видите събитие ID 11-главно име на конфигурацията на услугата за повече информация.
Задайте Premiere поле инженер (PFE) платформи блог: външни Active Directory инструменти за мигриране и KB 3070083.
Препратки
Вижте терминология , използвана за описание на софтуерните актуализации от Microsoft.