Dieser Artikel beschreibt einige Probleme auf einem Windows Server 2012 R2-basierten Domänencontroller. Ein Hotfix ist verfügbar, um diese Probleme zu beheben. Der Hotfix ist eine Voraussetzung.

Problembeschreibung

Wird davon ausgegangen Sie, dass einen Domänencontroller mit Windows Server 2012 R2 kann eines der folgenden Probleme auftreten.

Problem 1: Beitreten zu einer Domäne

Auf Ihrem neuen Computer, und Sie an einer Domäne der Gesamtstruktur beitreten möchten. Computernamen-Host ist bereits in einer anderen Domäne verwendet. In diesem Fall meldet die Verknüpfungsoperation Domäne Erfolg. Klicken Sie auf OK, wird das folgende Dialogfeld angezeigt. Die gelöschten Zeichenfolgen sind die alte und die neue primäre Suffix des Computers:



Die Fehlermeldung ähnelt dem folgenden:


Beim Verarbeiten einer Änderung des Hostnamens für ein Objekt konnte die Dienstprinzipalnamen-Werte nicht synchron gehalten werden.


Nach dem Neustart der Computer meldet sich als Mitglied einer Domäne jedoch interaktive Anmeldung bei einem Domänenkonto fehl und erhalten die folgende Fehlermeldung angezeigt:


Die Sicherheitsdatenbank auf dem Server ein Konto für diese Arbeitsstation Vertrauensstellung keinen.


Sie erhalten außerdem die folgende Fehlermeldung in der Datei Netsetup.log:


0: 000021C 7: DSID 03200BA6, Problem 1005 (CONSTRAINT_ATT_TYPE) Daten 0 Att 90303 (ServicePrincipalName)
NetpModifyComputerObjectInDs: Ldap_modify_s fehlgeschlagen: 0x13 0x57


Problem 2: Migration innerhalb einer Gesamtstruktur

Führen Sie eine Migration von Intra-Gesamtstruktur, die Dienstprinzipalnamen (SPN) oder Benutzerprinzipalname (UPN) definiert oder Computermigration innerhalb einer Gesamtstruktur die Migration fehlschlägt, da das Konto im globalen Katalog existiert das Objekt in der Zieldomäne eingeführt, die diese Attribute gefüllt. Wenn das Objekt in der neuen Domäne gespeichert wurde, werden doppelter SPN erstellt.

Hinweis Die Tools zum Steuern der Migration möglicherweise Active Directory Migration Tool (ADMT), externe Migrationstools oder Verschieben-ADObject -Cmdlet mit Active Directory PowerShell.

Problem 3: SPN widerspricht SPN für wiederhergestellte Objekt

Sie haben ein Konto mit SPN verwendet auf ein Konto, das gelöscht wurde. Das Objekt, zu einem anderen Benutzer- oder Computerkonto in der Gesamtstruktur hinzugefügt einen SPN. Wenn Sie nun versuchen, das gelöschte Konto wiederherzustellen, scheitert doppelte SPN die Aktion.

Hinweis In allen drei, Ereignis-ID 2974, die die folgenden ähnelt im Verzeichnisdienst des Domänencontrollers protokolliert: Fehlernummer 8647 übersetzt zu symbolischen Namen ist ERROR_DS_SPN_VALUE_NOT_UNIQUE_IN_FOREST. Für Deplicate UPN wäre der Fehler Nummer 8648 und ERROR_DS_UPN_VALUE_NOT_UNIQUE_IN_FOREST.

Ursache

Windows Server 2012 R2 eingeführt restriktive UPN- und SPN auf Eindeutigkeit überprüfen. Dadurch erfolgreich doppelte SPN und UPN, wenn sie über Verwaltung gesteuert werden ohne das Tool eine Überprüfung der Eindeutigkeit selbst ausführen.

In den in diesem Artikel beschriebenen verhindert Verwaltungsaufgaben der Effekt nicht offensichtlich ist.

Problemlösung

In einigen Fällen können Sie die Objekte löschen, die die Aktion blockieren, damit die Aktion erfolgreich ist. Für Migrationen innerhalb einer Gesamtstruktur und Wiederherstellungen können Sie auch die doppelten SPN oder UPN löschen, und möglicherweise wieder dem Konto hinzufügen.

Eine Zubereitung solche möglicherweise nicht in allen Fällen möglich. Daher hat Microsoft ein Update entwickelt, Domain Controller Verhalten steuern. Dieses Update ist für Windows Server 2012 R2-basierten Domänencontrollern. Sie können dieses Update auch auf installieren, die Kandidaten zu einem Domänencontroller heraufgestuft.

Dieses Update stellt Microsoft eine Gesamtstruktur auf Schalters deaktivieren oder auf Eindeutigkeit dSHeuristics Attribut aktivieren.

Die folgenden sind Werte die unterstützten dSHeuristics:

  1. dSHeuristic = 1: AD DS kann doppelte Benutzerprinzipalnamen (UPNs) hinzufügen

  2. dSHeuristic = 2: AD DS einfügen Doppelte Dienstprinzipalnamen (SPN)

  3. dSHeuristic = 3: AD DS kann doppelte SPN und Benutzerprinzipalnamen hinzufügen

  4. dSHeuristic = alle anderen Wert: AD DS erzwingt Eindeutigkeit überprüfen SPN und Benutzerprinzipalnamen

Beispiele:

  1. Für UPN Eindeutigkeit Kontrollkästchen deaktivieren, 21. Zeichen der dSHeuristics "1" gesetzt (000000000100000000021)

  2. SPN Eindeutigkeit Kontrollkästchen deaktivieren, 21. Zeichen der dSHeuristics "2" festgelegt (000000000100000000022)

  3. Legen Sie für die Deaktivierung UPN- und SPN Eindeutigkeit überprüft, 21. Zeichen der dSHeuristics auf "3" (000000000100000000023)

Ausführliche Informationen zum Ändern der dSHeuristic finden Sie unter 6.1.1.2.4.1.2 dSHeuristics.

Es wird empfohlen, dass Sie den Wert auf 0 festlegen, wenn Sie wissen, dass problematische Änderungen nicht mehr auftreten. Dies ist der Fall, insbesondere bei Migrationen innerhalb einer Gesamtstruktur.

Hotfix-Informationen

Wichtig Wenn Sie ein Language Pack installieren, nachdem Sie diesen Hotfix installieren, müssen Sie diesen Hotfix erneut installieren. Daher wird empfohlen, dass jeder Sprache installieren Packs bevor Sie diesen Hotfix installieren. Weitere Informationen finden Sie unter Hinzufügen von Sprachpaketen zu Windows

Ein unterstützter Hotfix ist von Microsoft erhältlich. Dieser Hotfix soll nur der Behebung des Problems dienen, das in diesem Artikel beschrieben wird. Verwenden Sie diesen Hotfix nur auf Systemen, bei denen dieses spezielle Problem auftritt.

Wenn der Hotfix zum Download zur Verfügung steht, gibt es einen Abschnitt "Hotfix download available" ("Hotfixdownload verfügbar") im oberen Bereich dieses Knowledge Base-Artikels. Wenn dieser Abschnitt nicht angezeigt wird, senden Sie eine Anforderung an Microsoft Customer Service and Support, um den Hotfix zu erhalten.

Hinweis Falls weitere Probleme auftreten oder andere Schritte zur Problembehandlung erforderlich sind, müssen Sie möglicherweise eine separate Serviceanfrage erstellen. Die normalen Supportkosten gelten für zusätzliche Supportfragen und Probleme, die nicht diesem speziellen Hotfix zugeordnet werden können. Eine vollständige Liste der Telefonnummern von Microsoft Customer Service and Support oder eine separate Serviceanfrage erstellen finden Sie auf folgender Microsoft-Website:

http://support.microsoft.com/contactus/?ws=supportHinweis Das Formular "Hotfix Download Available" zeigt die Sprachen an, für die der Hotfix verfügbar ist. Wenn Ihre Sprache nicht angezeigt wird, ist dieser Hotfix für Ihre Sprache nicht verfügbar.

Voraussetzungen

Um diesen Hotfix anwenden zu können, müssen Sie April 2014 Updaterollup für Windows RT 8.1, Windows 8.1 und Windows Server 2012 R2 (2919355) in Windows 8.1 oder Windows Server 2012 R2 installiert haben.

Informationen zur Registrierung

Um den Hotfix aus diesem Paket verwenden zu können, müssen Sie keine Änderungen an der Registrierungsdatenbank vornehmen.

Neustartanforderung

Sie müssen den Computer neu starten, nachdem Sie diesen Hotfix angewendet haben.

Informationen zu ersetzten Hotfixes

Dieser Hotfix ersetzt keine zuvor veröffentlichten Hotfix.

Die internationale Version dieses Updates installiert Dateien mit den Attributen, die in den folgenden Tabellen aufgeführt sind. Die Datums- und Uhrzeitangaben für diese Dateien sind in Coordinated Universal Time (UTC) aufgelistet. Die Datums- und Uhrzeitangaben für diese Dateien werden auf Ihrem lokalen Computer in Ihrer Ortszeit mit dem aktuellen Sommerzeit-Zeitunterschied (DST) angezeigt. Darüber hinaus können sich die Datums- und Uhrzeitangaben ändern, wenn Sie bestimmte Operationen auf die Dateien anwenden.

Dateiinformationen und Hinweise für Windows 8.1 und Windows Server 2012 R2

Wichtig Windows 8.1 Hotfixes und Windows Server 2012 R2-Hotfixes sind in denselben Paketen enthalten. Allerdings werden Hotfixes auf der Hotfix-Anforderungsseite unter beiden Betriebssystemen aufgelistet. Das Hotfix-Paket anfordern, das für beide Betriebssysteme gilt, wählen Sie den Hotfix unter "Windows 8.1/Windows Server 2012 R2" auf der Seite erscheint aus Beachten Sie im Abschnitt "Gilt für" im Artikel, um das aktuelle Betriebssystem zu bestimmen, dem die einzelnen Hotfixes gelten.

  • Die Dateien, die für bestimmte Produkte, Meilensteine (RTM, SPn) und Servicebereiche (LDR, GDR) gelten, können anhand der Versionsnummern der Datei identifiziert werden, wie in der folgenden Tabelle dargestellt:

    Version

    Produkt

    Meilenstein

    Service Branch

    6.3.960 0,17Xxx

    Windows 8.1 und Windows Server 2012 R2

    RTM

    GDR

  • Die MANIFEST-Dateien (.manifest) und MUM-Dateien (.mum), die für jede Umgebung installiert werden, sind im Abschnitt "zusätzliche Informationen" separat aufgeführt. MUM-, MANIFEST- und die zugehörigen Sicherheitskatalogdateien (.cat) sind sehr wichtig, um den Status der aktualisierten Komponenten zu verwalten. Die Sicherheitskatalogdateien, deren Attribute nicht aufgeführt sind, sind mit einer digitalen Microsoft-Signatur signiert.

Für alle unterstützten x86-basierten Versionen von Windows 8.1

Dateiname

Dateiversion

Dateigröße

Datum

Zeit

Plattform

Ntdsa.mof

Nicht zutreffend

227,765

18-Jun-2013

12:21

Nicht zutreffend

Ntdsai.dll

6.3.9600.17901

2,576,896

09-Jun-2015

20:43

x86

Für alle unterstützten x64-basierten Versionen von Windows 8.1 und von Windows Server 2012 R2

Dateiname

Dateiversion

Dateigröße

Datum

Zeit

Plattform

Ntdsa.mof

Nicht zutreffend

227,765

18-Jun-2013

14:45

Nicht zutreffend

Ntdsai.dll

6.3.9600.17901

3,684,864

09-Jun-2015

20:49

x64

Weitere Dateiinformationen

Weitere Dateiinformationen für Windows 8.1 und Windows Server 2012 R2

Weitere Dateien für alle unterstützten x86-basierten Versionen von Windows 8.1

Dateieigenschaft

Wert

Dateiname

X86_4c2f5adc88a0d6ac17ccdccf2255c6b7_31bf3856ad364e35_6.3.9600.17901_none_ba36e2d18bbebef8.manifest

Dateiversion

Nicht zutreffend

Dateigröße

712

Datum (UTC)

10-Jun-2015

Zeit (UTC)

12:46

Plattform

Nicht zutreffend

Dateiname

X86_microsoft-windows-d..toryservices-ntdsai_31bf3856ad364e35_6.3.9600.17901_none_85b97991d47e36db.manifest

Dateiversion

Nicht zutreffend

Dateigröße

3352

Datum (UTC)

09-Jun-2015

Zeit (UTC)

23:14

Plattform

Nicht zutreffend

Weitere Dateien für alle unterstützten X64-basierten Versionen von Windows 8.1 und Windows Server 2012 R2

Dateieigenschaft

Wert

Dateiname

Amd64_94aab516433aef4e5f0c8db414ae7999_31bf3856ad364e35_6.3.9600.17901_none_34c8efb13ae81094.manifest

Dateiversion

Nicht zutreffend

Dateigröße

716

Datum (UTC)

10-Jun-2015

Zeit (UTC)

12:46

Plattform

Nicht zutreffend

Dateiname

Amd64_microsoft-windows-d..toryservices-ntdsai_31bf3856ad364e35_6.3.9600.17901_none_e1d815158cdba811.manifest

Dateiversion

Nicht zutreffend

Dateigröße

3,356

Datum (UTC)

09-Jun-2015

Zeit (UTC)

23:49

Plattform

Nicht zutreffend

Status

Microsoft hat bestätigt, dass es sich um ein Problem bei den Microsoft-Produkten handelt, die im Abschnitt „Eigenschaften“ aufgeführt sind.

Weitere Informationen

Informationen Sie ausführliche über SPN und UPN Eindeutigkeit-Feature in Windows Server 2012 R2.

Möglicherweise finden Sie auch Ereignis-ID 11 – Service Principal Name Konfiguration Weitere Informationen.

Fragen Premiere Feld Engineer (PFE) Plattformen Blog: Active Directory Migration Drittanbietertools und KB 3070083.

Referenzen

Sehen Sie sich die Terminologie an, die Microsoft zum Beschreiben von Softwareupdates verwendet!

Benötigen Sie weitere Hilfe?

Ihre Office-Fähigkeiten erweitern
Schulungen erkunden
Neue Funktionen als Erster erhalten
Microsoft Insider beitreten

War diese Information hilfreich?

Wie zufrieden sind Sie mit der Übersetzungsqualität?
Was hat Ihre Erfahrung beeinflusst?

Vielen Dank für Ihr Feedback!

×