Doppelte SPN-Überprüfung Windows Server 2012 R2-basierten Domänencontroller wiederherstellen, beitreten zu einer Domäne und Migration verursacht Fehler

Wichtig: Dieser Artikel wurde maschinell übersetzt und wird dann möglicherweise mithilfe des Community Translation Framework (CTF) von Mitgliedern unserer Microsoft Community nachbearbeitet. Weitere Informationen zu CTF finden Sie unter http://support.microsoft.com/gp/machine-translation-corrections/de.

Den englischen Originalartikel können Sie über folgenden Link abrufen: 3070083
Dieser Artikel beschreibt einige Probleme auf einem Windows Server 2012 R2-basierten Domänencontroller. Ein Hotfix ist verfügbar, um diese Probleme zu beheben. Der Hotfix wurde einVoraussetzung.
Problembeschreibung
Angenommen Sie, Sie haben einen Domänencontroller mit Windows Server 2012 R2, kann eines der folgenden Probleme auftreten.

Problem 1: Beitreten zu einer Domäne

Auf Ihrem neuen Computer und Toa-Domäne der Gesamtstruktur beitreten möchten. Computernamen-Host ist bereits in einer anderen Domäne verwendet. In diesem Fall meldet die Domänenbeitritt erfolgreich. Nach YouclickOKwird das folgende Dialogfeld angezeigt. Die gelöschten Zeichenfolgen sind die alte und die neue primäre Suffix des Computers:

Dies ist der Screenshot des Computers bzw. der Domäne ändert

Die Fehlermeldung ähnelt dem folgenden:

Beim Verarbeiten einer Änderung der DNS-Hostnamens für ein Objekt, konnte die Dienstprinzipalnamen-Werte nicht synchron gehalten werden.

Nach dem Neustart des Computers meldet sich als Mitglied einer Domäne jedoch interaktive Anmeldung bei einem Domänenkonto fehl und wird Ihnen die folgende Fehlermeldung angezeigt:

Die Sicherheitsdatenbank auf dem Server ein Konto für diese Arbeitsstationsvertrauensstellung keine.

Alsoreceive wird die Meldung Netzwerktraces in der Datei Netsetup.log:

0: 000021C 7: DSID-03200BA6, Problem 1005 (CONSTRAINT_ATT_TYPE), Data 0, Att 90303 (ServicePrincipalName)
NetpModifyComputerObjectInDs: Ldap_modify_s fehlgeschlagen: 0 x 13 0x57

Ausgabe 2:Intra-Gesamtstruktur-Migration

Führen Sie eine Migration von innerhalb einer Gesamtstruktur, die Dienstprinzipalnamen (SPN) oder Benutzerprinzipalname (UPN) definiert oder Computermigration innerhalb einer Gesamtstruktur die Migration fehlschlägt, da das Konto noch im globalen Katalog vorhanden ist, wie das Objekt in der Zieldomäne eingeführt wird, der diesen aufgefüllt Attributen. Wenn das Objekt in der neuen Domäne gespeichert wurde, werden doppelter SPN erstellt.

Hinweis Die Tools zum Steuern der Migrations möglicherweise Active Directory Migration Tool (ADMT), externe Migrationstools oder Verschieben-ADObject-Cmdlet von UsingActive DirectoryPowerShell.

Problem 3: SPN widerspricht SPN für wiederhergestellte Objekt

Sie haben ein Konto mit SPN verwendet ein Konto gelöscht wurde. Youadd einen SPN für das Objekt zu einem anderen Benutzer- oder Computerkonto in der Gesamtstruktur verwendet. Wenn Sie nun versuchen, das gelöschte Konto wiederherzustellen, schlägt fehl aufgrund doppelter SPN Aktion.

Hinweis In allen drei Fragen wird Ereignis-ID 2974, die der folgenden ähnelt im Verzeichnisdienst-Ereignisprotokoll des Domänencontrollers protokolliert:


Protokollname: Verzeichnisdienst
Quelle: Microsoft-Windows-ActiveDirectory_DomainService
Ereignis-ID: 2974
Aufgabenkategorie: Globaler Katalog
Stufe: Fehler
Schlüsselwörter: Klassisch
Beschreibung: Bereitgestellte Attributwert ist nicht eindeutig in der Gesamtstruktur oder einer Partition. Attribut: ServicePrincipalName Value=HOST/server1.contoso.com
CN = Server1, OU = Server, DC = Contoso, DC = com Winerror: 8647

Die Fehlernummer 8647 übersetzt zu symbolischen Namen ist ERROR_DS_SPN_VALUE_NOT_UNIQUE_IN_FOREST. Deplicate UPN wäre Fehler Nummer 8648 und ERROR_DS_UPN_VALUE_NOT_UNIQUE_IN_FOREST.
Ursache
Windows Server 2012 R2 eingeführt restriktive UPN- und SPN auf Eindeutigkeit überprüfen. Es verhindert, dass erfolgreich doppelte SPN und UPN, wenn sie über Verwaltung gesteuert werden ohne das Tool eine Überprüfung der Eindeutigkeit selbst ausführen.

In den in diesem Artikel beschriebenen Probleme verhindert Verwaltungsaufgaben der Effekt nicht offensichtlich ist.
Lösung
In einigen Fällen können Sie die Objekte löschen, die blockiert die Aktion die Aktion erfolgreich ist. Für Migrationen innerhalb einer Gesamtstruktur und Wiederherstellung können Sie auch löschen SPN oder UPN, die werden doppelte und möglicherweise auf das Konto hinzuzufügen.

Eine Zubereitung solche möglicherweise nicht in allen Fällen möglich. Daher hat Microsoft ein Update entwickelt, das Steuern des Verhaltens der Domäne-Controller ermöglicht. Dieses Update ist für Windows Server 2012 R2-basierten Domänencontrollern. Sie können dieses Update auch auf installieren, die Kandidaten zu einem Domänencontroller heraufgestuft.

Dieses Update bietet Microsoft einen Gesamtstruktur auf Schalter zum Deaktivieren oder Aktivieren über das Attribut dSHeuristics auf Eindeutigkeit.

Die folgenden sind Werte die unterstützten dSHeuristics:
  1. dSHeuristic = 1: AD DS kann doppelte Benutzerprinzipalnamen (UPNs) hinzufügen
  2. dSHeuristic = 2: AD DS einfügen Doppelte Dienstprinzipalnamen (SPN)
  3. dSHeuristic = 3: AD DS kann doppelte SPN und Benutzerprinzipalnamen hinzufügen
  4. dSHeuristic = alle anderen Werte: AD DS erzwingt Eindeutigkeit überprüfen SPN und Benutzerprinzipalnamen
Beispiele:
  1. Für UPN Eindeutigkeit Kontrollkästchen deaktivieren, 21. Zeichen der dSHeuristics "1" festgelegt (000000000100000000021)
  2. Legen Sie für SPN Eindeutigkeit Kontrollkästchen deaktivieren, 21 Zeichen der dSHeuristics "2" (000000000100000000022)
  3. Deaktivieren UPN- und SPN Eindeutigkeit überprüft, Zeichensatz der 21. der dSHeuristics auf "3" (000000000100000000023)
Ausführliche Informationen zum Ändern der dSHeuristic finden Sie 6.1.1.2.4.1.2 dSHeuristics.

Wir empfehlen, dass Sie den Wert auf 0 festlegen, wenn Sie wissen, dass problematische Änderungen nicht mehr auftreten. Dies ist der Fall, insbesondere bei Migrationen innerhalb einer Gesamtstruktur.

Hotfix-Informationen

Wichtig Wenn Sie ein Language Pack installieren, nachdem Sie diesen Hotfix installieren, müssen Sie diesen Hotfix installieren. Daher empfehlen wir die Installation einer beliebigen Sprache Packs bevor Sie diesen Hotfix installieren. Weitere Informationen finden Sie unter Hinzufügen von Sprachpaketen für Windows.

Ein unterstützter Hotfix ist von Microsoft erhältlich. Dieser Hotfix soll nur der Behebung des Problems dienen, das in diesem Artikel beschrieben wird. Verwenden Sie diesen Hotfix nur auf Systemen, bei denen dieses spezielle Problem auftritt.

Wenn der Hotfix zum Download zur Verfügung steht, gibt es einen Abschnitt "Hotfix download available" ("Hotfixdownload verfügbar") im oberen Bereich dieses Knowledge Base-Artikels. Wenn dieser Abschnitt nicht angezeigt wird, senden Sie eine Anforderung an Microsoft Customer Service and Support, um den Hotfix zu erhalten.

Hinweis Falls weitere Probleme auftreten oder andere Schritte zur Problembehandlung erforderlich sind, müssen Sie möglicherweise eine separate Serviceanfrage erstellen. Die normalen Supportkosten gelten für zusätzliche Supportfragen und Probleme, die nicht diesem speziellen Hotfix zugeordnet werden können. Für eine vollständige Liste der Telefonnummern von Microsoft Customer Service and Support oder für Erstellung eine separate Serviceanfrage, fahren Sie auf der folgenden Microsoft-Website fort: Hinweis Formular "Hotfixdownload verfügbar" zeigt die Sprachen an, für die der Hotfix verfügbar ist. Wenn Ihre Sprache nicht angezeigt wird, ist dieser Hotfix für Ihre Sprache nicht verfügbar.

Voraussetzungen

Um diesen Hotfix anwenden zu können, müssen Sie April 2014 Updaterollup für Windows RT 8.1 8.1 für Windows und Windows Server 2012 R2 (2919355) in Windows 8.1 oder Windows Server 2012 R2 installiert ist.

Informationen zur Registrierung

Um den Hotfix aus diesem Paket verwenden zu können, müssen Sie keine Änderungen an der Registrierungsdatenbank vornehmen.

Neustartanforderung

Sie müssen den Computer neu starten, nachdem Sie diesen Hotfix angewendet haben.

Ersetzte Hotfixes

Dieser Hotfix ersetzt keine zuvor veröffentlichten Hotfix.

Dateiinformationen

Die internationale Version dieses Updates installiert Dateien mit den Attributen, die in den folgenden Tabellen aufgeführt sind. Die Datums- und Uhrzeitangaben für diese Dateien sind in Coordinated Universal Time (UTC) aufgelistet. Die Datums- und Uhrzeitangaben für diese Dateien werden auf Ihrem lokalen Computer in Ihrer Ortszeit mit dem aktuellen Sommerzeit-Zeitunterschied (DST) angezeigt. Darüber hinaus können sich die Datums- und Uhrzeitangaben ändern, wenn Sie bestimmte Operationen auf die Dateien anwenden.

Dateiinformationen und Hinweise für Windows 8.1 und Windows Server 2012 R2

Wichtig Windows 8.1 Hotfixes und Windows Server 2012 R2-Hotfixes sind in denselben Paketen enthalten. Allerdings werden Updates auf der Seite Hotfix unter beiden Betriebssystemen aufgelistet. Um das Hotfix-Paket anzufordern, die auf einem oder beiden Betriebssystemen, wählen Sie Hotfixes aus, die auf der Seite unter "Windows 8.1/Windows Server 2012 R2" aufgelistet ist Beachten Sie im Abschnitt "Gilt für" im Artikel, um das aktuelle Betriebssystem zu bestimmen, dem die einzelnen Hotfixes gelten.
  • Welche Dateien für bestimmte Produkte, Meilensteine (RTM, SPn), und Servicebereiche (LDR, GDR) anhand der Versionsnummern wie in der folgenden Tabelle dargestellt:
    VersionProduktMeilensteinServicebereich
    6.3.960 0.17xxx8.1 Windows und Windows Server 2012 R2RTMGDR
  • MANIFEST-Dateien (. manifest) und der MUM-Dateien, die installiert werden für jede Umgebung sind gesondert im Abschnitt "zusätzliche Informationen". MUM-, MANIFEST- und die zugehörigen Sicherheitskatalogdateien (.cat) sind sehr wichtig, um den Status der aktualisierten Komponenten zu verwalten. Die Sicherheitskatalogdateien, deren Attribute nicht aufgeführt sind, sind mit einer digitalen Microsoft-Signatur signiert.
Für alle unterstützten x86-basierten Versionen von Windows 8.1
DateinameDateiversionGröße der DateiDatumZeitPlattform
NTDSA.MOFNicht zutreffend227,76518-Jun-201312:21Nicht zutreffend
Ntdsai.dll6.3.9600.179012,576,89609-Jun-201520:43x86
Für alle unterstützten x64-basierten Versionen von Windows 8.1 und von Windows Server 2012 R2
DateinameDateiversionGröße der DateiDatumZeitPlattform
NTDSA.MOFNicht zutreffend227,76518-Jun-201314:45Nicht zutreffend
Ntdsai.dll6.3.9600.179013,684,86409-Jun-201520:49x64

Weitere Dateiinformationen

Weitere Dateiinformationen für Windows 8.1 und Windows Server 2012 R2
Weitere Dateien für alle unterstützten x86-basierten Versionen von Windows 8.1
DateieigenschaftWert
DateinameX86_4c2f5adc88a0d6ac17ccdccf2255c6b7_31bf3856ad364e35_6.3.9600.17901_none_ba36e2d18bbebef8.Manifest
DateiversionNicht zutreffend
Größe der Datei712
Datum (UTC)10-Jun-2015
Zeit (UTC)12:46
PlattformNicht zutreffend
DateinameX86_microsoft-Windows-d... Toryservices ntdsai_31bf3856ad364e35_6.3.9600.17901_none_85b97991d47e36db.manifest
DateiversionNicht zutreffend
Größe der Datei3,352
Datum (UTC)09-Jun-2015
Zeit (UTC)23:14
PlattformNicht zutreffend
Weitere Dateien für alle unterstützten X 64-basierten Versionen von Windows 8.1 und Windows Server 2012 R2
DateieigenschaftWert
DateinameAmd64_94aab516433aef4e5f0c8db414ae7999_31bf3856ad364e35_6.3.9600.17901_none_34c8efb13ae81094.Manifest
DateiversionNicht zutreffend
Größe der Datei716
Datum (UTC)10-Jun-2015
Zeit (UTC)12:46
PlattformNicht zutreffend
DateinameAmd64_microsoft-Windows-d... Toryservices ntdsai_31bf3856ad364e35_6.3.9600.17901_none_e1d815158cdba811.manifest
DateiversionNicht zutreffend
Größe der Datei3,356
Datum (UTC)09-Jun-2015
Zeit (UTC)23:49
PlattformNicht zutreffend
Status
Microsoft hat bestätigt, dass es sich um ein Problem bei den Microsoft-Produkten handelt, die im Abschnitt "Eigenschaften" aufgeführt sind.
Weitere Informationen
Ausführliche Informationen SPN und UPN Eindeutigkeit-Feature in Windows Server 2012 R2.

Sie können auch anzeigen Ereignis-ID 11 – Dienstprinzipalnamen Konfiguration für Weitere Informationen.

Fragen Sie Premiere Feld Engineer (PFE) Plattformen Blog: Drittanbieter-Active Directory-Migrationstools und KB 3070083.
Informationsquellen
Siehe die Terminologie die Microsoft zur Beschreibung von Softwareupdates verwendet.

Warnung: Dieser Artikel wurde automatisch übersetzt.

Eigenschaften

Artikelnummer: 3070083 – Letzte Überarbeitung: 09/06/2015 09:11:00 – Revision: 3.0

Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows 8.1 Enterprise, Windows 8.1 Pro, Windows 8.1

  • kbqfe kbsurveynew kbfix kbhotfixserver kbautohotfix kbexpertiseinter kbmt KB3070083 KbMtde
Feedback