Έλεγχος επαναλαμβανόμενων SPN σε ελεγκτή τομέα που βασίζεται σε Windows Server 2012 R2 προκαλεί επαναφοράς, συμμετοχή σε τομέα και μετεγκατάσταση αποτυχίες

ΣΗΜΑΝΤΙΚΟ: Αυτό το άρθρο έχει μεταφραστεί χρησιμοποιώντας λογισμικό μηχανικής μετάφρασης της Microsoft και μπορείτε να το διορθώσετε χρησιμοποιώντας την τεχνολογία Community Translation Framework (CTF) (Πλαίσιο μετάφρασης κοινότητας). Η Microsoft παρέχει μηχανική μετάφραση, επεξεργασία μετά τη μηχανική μετάφραση από την κοινότητα και άρθρα μεταφρασμένα από επαγγελματίες προκειμένου να έχετε πρόσβαση σε όλα τα άρθρα της Γνωσιακής βάσης σε πολλές γλώσσες. Τα άρθρα μηχανικής μετάφρασης και αυτά που επεξεργάζονται ύστερα από μηχανική μετάφραση ενδέχεται να περιέχουν σφάλματα στο λεξιλόγιο, στη σύνταξη ή/και στη γραμματική. Η Microsoft δεν φέρει καμία ευθύνη για τυχόν ανακρίβειες, σφάλματα ή ζημίες που προκύψουν λόγω τυχόν παρερμηνειών στη μετάφραση του περιεχομένου ή χρήσης του από τους πελάτες μας. Για περισσότερες πληροφορίες σχετικά με το CTF, μεταβείτε στην τοποθεσία http://support.microsoft.com/gp/machine-translation-corrections/el.

Η αγγλική έκδοση αυτού του άρθρου είναι η ακόλουθη: 3070083
Αυτό το άρθρο περιγράφει ορισμένα ζητήματα που παρουσιάζονται σε έναν ελεγκτή τομέα που βασίζεται σε Windows Server 2012 R2. Μια επείγουσα επιδιόρθωση είναι διαθέσιμη για να επιλύσετε αυτά τα ζητήματα. Η επείγουσα επιδιόρθωση έχει έναπροϋπόθεση.
Συμπτώματα
Ας υποθέσουμε ότι έχετε έναν ελεγκτή τομέα που εκτελεί Windows Server 2012 R2, ενδέχεται να αντιμετωπίσετε ένα από τα ακόλουθα ζητήματα.

Θέμα 1: Συμμετοχή σε τομέα

Έχετε έναν νέο υπολογιστή και θέλετε να τη συνδέσετε toa τομέα του συμπλέγματος δομών. Το ίδιο όνομα κεντρικού υπολογιστή του υπολογιστή χρησιμοποιείται ήδη σε άλλον τομέα. Σε αυτήν την περίπτωση, η λειτουργία σύνδεσης τομέα αναφέρει επιτυχίας. Μετά την youclickOK, θα δείτε το παρακάτω παράθυρο διαλόγου. Οι συμβολοσειρές σβηστούν είναι το παλιό και το νέο επίθημα πρωτεύοντος του υπολογιστή:

Πρόκειται για το στιγμιότυπο αλλαγές ονόματος/τομέα υπολογιστή

Το μήνυμα σφάλματος παρόμοιο με το ακόλουθο:

Κατά την επεξεργασία μιας αλλαγής στο όνομα κεντρικού υπολογιστή DNS για ένα αντικείμενο, το κύριο όνομα υπηρεσίας τιμές θα μπορούσε να δεν είναι συγχρονισμένη.

Μετά την επανεκκίνηση, ο υπολογιστής θα αναφέρεται ως μέλος του τομέα, αλλά θα αποτύχει η αλληλεπιδραστική σύνδεση με ένα λογαριασμό τομέα και θα λάβετε το ακόλουθο μήνυμα λάθους:

Η βάση δεδομένων ασφαλείας στο διακομιστή δεν διαθέτει λογαριασμό υπολογιστή για τη σχέση αξιοπιστίας αυτού του σταθμού εργασίας.

Θα alsoreceive το μήνυμα followingerror στο αρχείο Netsetup.log:

0: 000021C 7: DSID-03200BA6, το ζήτημα 1005 (CONSTRAINT_ATT_TYPE), δεδομένα 0, Att 90303 (servicePrincipalName)
NetpModifyComputerObjectInDs: το ldap_modify_s απέτυχε: 0x13 0x57

Έκδοση 2:Intra-των δασών μετεγκατάστασης

Εάν εκτελείτε μια μετεγκατάσταση χρήστη ενδο-συμπλέγματος δομών με κύριο όνομα υπηρεσίας (SPN) ή το κύριο όνομα χρήστη (UPN) ορίζεται ή μετεγκατάσταση υπολογιστή εντός δασών, τη μετεγκατάσταση αποτυγχάνει, επειδή ο λογαριασμός εξακολουθεί να υπάρχει στον καθολικό κατάλογο καθώς το αντικείμενο προστίθεται στον τομέα προορισμού με αυτά τα χαρακτηριστικά που έχουν συμπληρωθεί. Εάν το αντικείμενο έχει αποθηκευτεί στον νέο τομέα, θα δημιουργηθεί ένα διπλότυπα SPN.

Σημείωση Τα εργαλεία για την οδήγηση τις μετεγκαταστάσεις θα Active Directory Migration Tool (ADMT), εργαλεία μετεγκατάστασης εξωτερικό ή Μετακίνηση- cmdletADObjectαπό usingActive DirectoryPowerShell.

Θέμα 3: SPN διενέξεων με SPN σε επαναφορά αντικειμένου

Είχε ένα λογαριασμό με SPN χρησιμοποιείται σε λογαριασμό που έχει διαγραφεί τώρα. Youadd ένα SPN για το αντικείμενο που χρησιμοποιείται για έναν άλλο λογαριασμό χρήστη ή τον υπολογιστή του συμπλέγματος δομών. Όταν κάνετε επαναφορά του διαγραμμένου λογαριασμού, η ενέργεια αποτύχει λόγω διπλότυπα SPN.

Σημείωση Σε όλα τα τρία θέματα, event ID 2974 παρόμοιο με το ακόλουθο καταγράφεται στο αρχείο καταγραφής της υπηρεσίας καταλόγου του ελεγκτή τομέα:


Όνομα αρχείου καταγραφής: Υπηρεσία καταλόγου
Προέλευση: Microsoft-Windows-ActiveDirectory_DomainService
Το Αναγνωριστικό συμβάντος: 2974
Κατηγορία εργασίας: Καθολικού καταλόγου
Επίπεδο: σφάλμα
Λέξεις-κλειδιά: κλασικό
Περιγραφή: Η παρεχόμενη τιμή για το χαρακτηριστικό δεν είναι μοναδικό στο σύμπλεγμα δομών ή διαμέρισμα. Χαρακτηριστικό: servicePrincipalName Value=HOST/server1.contoso.com
CN = Server1, OU = διακομιστές-μέλη, DC = contoso, DC = com: Winerror: 8647

Ο αριθμός σφάλματος 8647 μεταφράζεται σε συμβολική όνομα είναι ERROR_DS_SPN_VALUE_NOT_UNIQUE_IN_FOREST. Για deplicate UPN, το σφάλμα θα αριθμό 8648 και ERROR_DS_UPN_VALUE_NOT_UNIQUE_IN_FOREST.
Αιτία
Windows Server 2012 R2 εισήγαγε περιοριστικά έλεγχος μοναδικότητας UPN και SPN. Με επιτυχία εμποδίζει διπλότυπα SPN και UPN όταν αυτά οδηγούνται μέσω Εργαλεία διαχείρισης χωρίς να απαιτείται το εργαλείο για να πραγματοποιήσετε έναν έλεγχο μοναδικότητας ίδια.

Τα ζητήματα που περιγράφηκαν σε αυτό το άρθρο, εμποδίζει εργασίες διαχείρισης, όπου το αποτέλεσμα δεν είναι προφανής.
Προτεινόμενη αντιμετώπιση
Σε ορισμένες περιπτώσεις, μπορείτε να διαγράψετε τα αντικείμενα που εμποδίζουν την ενέργειά σας, έτσι ώστε η ενέργεια είναι επιτυχής. Για μετεγκαταστάσεις ενδο-συμπλέγματος δομών και επαναφέρει, μπορείτε επίσης να διαγράψετε το SPN ή/και UPN που αποτελεί διπλότυπο και ενδεχομένως να τα προσθέσετε πίσω στο λογαριασμό.

Τέτοια αλλαγή προετοιμασία ίσως δεν είναι δυνατή σε όλες τις περιπτώσεις. Επομένως, η Microsoft έχει αναπτύξει μια ενημέρωση η οποία επιτρέπει τον έλεγχο της συμπεριφοράς του ελεγκτή τομέα. Αυτή η ενημερωμένη έκδοση εφαρμόζεται σε ελεγκτές τομέα με Windows Server 2012 R2. Μπορείτε επίσης να εγκαταστήσετε αυτήν την ενημερωμένη έκδοση σε διακομιστές-μέλη που είναι υποψήφια για την προώθηση σε έναν ελεγκτή τομέα στο μέλλον.

Με αυτήν την ενημερωμένη έκδοση, η Microsoft παρέχει ένα διακόπτη επιπέδου συμπλέγματος δομών για να απενεργοποιήσετε ή να ενεργοποιήσετε τη μοναδικότητα ελέγχου με το χαρακτηριστικό dSHeuristics.

Ακολουθούν οι τιμές dSHeuristics που υποστηρίζονται:
  1. dSHeuristic = 1: AD DS επιτρέπει την προσθήκη κύρια ονόματα αναπαραγωγή χρήστη (UPN)
  2. dSHeuristic = 2: AD DS επιτρέπει την προσθήκη των κύριων ονομάτων διπλότυπες υπηρεσίας (SPN)
  3. dSHeuristic = 3: AD DS επιτρέπει την προσθήκη διπλότυπα SPN και UPN
  4. dSHeuristic = οποιαδήποτε άλλη τιμή: επιβάλλει τη μοναδικότητα ελέγχου για κύρια ονόματα υπηρεσίας και UPN AD DS
Παραδείγματα:
  1. Για την απενεργοποίηση της UPN μοναδικότητας ελέγχου, ορίστε την 21η χαρακτήρας dSHeuristics σε "1" (000000000100000000021)
  2. Για την απενεργοποίηση ελέγχου μοναδικότητας SPN, ορίστε τον 21ο χαρακτήρα του dSHeuristics σε "2" (000000000100000000022)
  3. Για την απενεργοποίηση της ελέγχους μοναδικότητας UPN και SPN, ορίστε τον 21ο χαρακτήρα του dSHeuristics σε "3" (000000000100000000023)
Για λεπτομερείς πληροφορίες σχετικά με την τροποποίηση dSHeuristic, ανατρέξτε στο θέμα 6.1.1.2.4.1.2 dSHeuristics.

Συνιστούμε να ορίσετε την τιμή ξανά σε 0 , όταν γνωρίζετε ότι δεν παρουσιάζονται πλέον τα προβληματικά αλλαγές. Αυτό μπορεί να συμβαίνει ιδιαίτερα για μετεγκαταστάσεις ενδο-συμπλέγματος δομών.

Πληροφορίες άμεσης επιδιόρθωσης

Σημαντικό Εάν εγκαταστήσετε ένα πακέτο γλώσσας μετά την εγκατάσταση αυτής της επείγουσας επιδιόρθωσης, πρέπει να εγκαταστήσετε εκ νέου αυτήν την επείγουσα επιδιόρθωση. Επομένως, συνιστούμε να εγκαταστήσετε οποιαδήποτε γλώσσα πακέτα που χρειάζεστε, πριν να εγκαταστήσετε αυτήν την επείγουσα επιδιόρθωση. Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Προσθέστε τα πακέτα γλωσσών στα Windows.

Μια υποστηριζόμενη άμεση επιδιόρθωση είναι διαθέσιμη από τη Microsoft. Ωστόσο, αυτή η άμεση επιδιόρθωση προορίζεται για τη διόρθωση μόνο του προβλήματος που περιγράφεται σε αυτό το άρθρο. Εφαρμόστε αυτήν την άμεση επιδιόρθωση μόνο σε συστήματα που αντιμετωπίζουν το συγκεκριμένο πρόβλημα.

Εάν η άμεση επιδιόρθωση είναι διαθέσιμη για λήψη, θα υπάρχει μια ενότητα "Διαθέσιμη λήψη άμεσης επιδιόρθωσης" στην αρχή αυτού του άρθρου της Γνωσιακής βάσης. Εάν αυτή η ενότητα δεν εμφανίζεται, υποβάλετε μια αίτηση στο τμήμα Εξυπηρέτησης και υποστήριξης πελατών της Microsoft για να αποκτήσετε την άμεση επιδιόρθωση.

Σημείωση Εάν προκύψουν πρόσθετα ζητήματα ή απαιτείται αντιμετώπιση προβλημάτων, ίσως χρειαστεί να δημιουργήσετε ξεχωριστή αίτηση εξυπηρέτησης. Για πρόσθετες ερωτήσεις υποστήριξης και θέματα που δεν αφορούν τη συγκεκριμένη άμεση επιδιόρθωση, ισχύουν οι συνηθισμένες χρεώσεις υποστήριξης. Για την πλήρη λίστα αριθμών τηλεφώνου υποστήριξης και εξυπηρέτησης πελατών της Microsoft ή για να δημιουργήσετε ξεχωριστή αίτηση εξυπηρέτησης, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web: Σημείωση Η φόρμα "Διαθέσιμη λήψη άμεσης επιδιόρθωσης" εμφανίζει τις γλώσσες για τις οποίες είναι διαθέσιμη η άμεση επιδιόρθωση. Εάν η γλώσσα σας δεν εμφανίζεται, τότε η άμεση επιδιόρθωση δεν είναι διαθέσιμη για αυτήν τη γλώσσα.

Προϋποθέσεις

Για να εφαρμόσετε αυτήν την επείγουσα επιδιόρθωση, πρέπει να έχετε Απριλίου 2014 συνάθροιση ενημερώσεων για Windows RT 8.1, Windows 8.1 και Windows Server 2012 R2 (2919355) εγκατάσταση σε Windows 8.1 ή του Windows Server 2012 R2.

Πληροφορίες μητρώου

Για να χρησιμοποιήσετε αυτό το πακέτο της επείγουσας επιδιόρθωσης, δεν χρειάζεται να κάνετε αλλαγές στο μητρώο.

Απαίτηση επανεκκίνησης

Ίσως χρειαστεί να κάνετε επανεκκίνηση του υπολογιστή μετά την εφαρμογή αυτής της επείγουσας επιδιόρθωσης.

Πληροφορίες αντικατάστασης άμεσης επιδιόρθωσης

Αυτή η επείγουσα επιδιόρθωση δεν αντικαθιστά μια επείγουσα επιδιόρθωση που κυκλοφόρησε στο παρελθόν.

Πληροφορίες αρχείων

Η καθολική έκδοση αυτής της επείγουσας επιδιόρθωσης εγκαθιστά αρχεία με χαρακτηριστικά που αναφέρονται στους παρακάτω πίνακες. Οι ημερομηνίες και οι ώρες για αυτά τα αρχεία αναφέρονται σε Συντονισμένη παγκόσμια ώρα (UTC). Οι ημερομηνίες και οι ώρες για αυτά τα αρχεία στον τοπικό υπολογιστή, εμφανίζονται στην τοπική σας ώρα μαζί με την τρέχουσα διόρθωση θερινής ώρας (DST). Επιπλέον, οι ημερομηνίες και οι ώρες ενδέχεται να αλλάξουν όταν εκτελείτε συγκεκριμένες λειτουργίες στα αρχεία.

Πληροφορίες αρχείου και σημειώσεις για Windows 8.1 και Windows Server 2012 R2

Σημαντικό Οι επείγουσες επιδιορθώσεις των Windows 8.1 και Windows Server 2012 R2 επείγουσες επιδιορθώσεις περιλαμβάνονται στα ίδια πακέτα. Ωστόσο, οι άμεσες επιδιορθώσεις στη σελίδα αίτησης άμεσων επιδιορθώσεων παρατίθενται κάτω από τα δύο λειτουργικά συστήματα. Για να ζητήσετε το πακέτο άμεσης επιδιόρθωσης που εφαρμόζεται σε ένα ή και τα δύο λειτουργικά συστήματα, επιλέξτε την επείγουσα επιδιόρθωση που παρατίθεται στην ενότητα "Windows 8.1/Windows Server 2012 R2" στη σελίδα. Να ανατρέχετε πάντα στην ενότητα "Ισχύει για" των άρθρων για να προσδιορίσετε το πραγματικό λειτουργικό σύστημα που αφορά σε κάθε άμεση επιδιόρθωση.
  • Τα αρχεία που σχετίζονται με ένα συγκεκριμένο προϊόν, με ορόσημα (εκδόσεις RTM, SPn), και κλάδο υπηρεσιών (LDR, GDR) μπορούν να αναγνωριστούν εξετάζοντας τους αριθμούς έκδοσης των αρχείων, όπως φαίνεται στον ακόλουθο πίνακα:
    ΈκδοσηΠροϊόνΟρόσημοΚλάδος υπηρεσιών
    6.3.960 0.17xxxΤα Windows 8.1 και Windows Server 2012 R2RTMGDR
  • Τα αρχεία MANIFEST (.manifest) και τα αρχεία MUM (.mum) που εγκαθίστανται για κάθε περιβάλλον είναι παρατίθενται ξεχωριστά στην ενότητα "πρόσθετες πληροφορίες αρχείων". Τα αρχεία MUM, MANIFEST και τα συσχετισμένα αρχεία καταλόγου ασφαλείας (.cat), είναι πολύ σημαντικά για τη διατήρηση της κατάστασης των ενημερωμένων στοιχείων. Τα αρχεία καταλόγου ασφαλείας, των οποίων τα χαρακτηριστικά δεν αναφέρονται, είναι υπογεγραμμένα με ψηφιακή υπογραφή της Microsoft.
Για όλες τις υποστηριζόμενες εκδόσεις x86 των Windows 8.1
Όνομα αρχείουΈκδοση αρχείουΜέγεθος αρχείουΗμ/νίαΏραΠλατφόρμα
Ntdsa.MOFΔεν ισχύει227,76518-Jun-201312:21Δεν ισχύει
Ntdsai.dll6.3.9600.179012,576,89609-Jun-201520:43x86
Για όλες τις υποστηριζόμενες εκδόσεις των Windows 8.1 και Windows Server 2012 R2 που βασίζονται σε x 64
Όνομα αρχείουΈκδοση αρχείουΜέγεθος αρχείουΗμ/νίαΏραΠλατφόρμα
Ntdsa.MOFΔεν ισχύει227,76518-Jun-201314:45Δεν ισχύει
Ntdsai.dll6.3.9600.179013,684,86409-Jun-201520:49x64

Πρόσθετες πληροφορίες αρχείων

Πρόσθετες πληροφορίες αρχείων για Windows 8.1 και για Windows Server 2012 R2
Πρόσθετα αρχεία για όλες τις υποστηριζόμενες εκδόσεις των Windows 8.1 που βασίζονται σε τεχνολογία x86
Ιδιότητα αρχείουΤιμή
Όνομα αρχείουX86_4c2f5adc88a0d6ac17ccdccf2255c6b7_31bf3856ad364e35_6.3.9600.17901_none_ba36e2d18bbebef8.manifest
Έκδοση αρχείουΔεν ισχύει
Μέγεθος αρχείου712
Ημερομηνία (UTC)10-Ιουν-2015
Ώρα (UTC)12:46
ΠλατφόρμαΔεν ισχύει
Όνομα αρχείουX86_microsoft-windows-δ... toryservices-ntdsai_31bf3856ad364e35_6.3.9600.17901_none_85b97991d47e36db.manifest
Έκδοση αρχείουΔεν ισχύει
Μέγεθος αρχείου3,352
Ημερομηνία (UTC)09-Jun-2015
Ώρα (UTC)23:14
ΠλατφόρμαΔεν ισχύει
Πρόσθετα αρχεία για όλες τις υποστηριζόμενες εκδόσεις των Windows 8.1 και του Windows Server 2012 R2 που βασίζονται σε τεχνολογία x64
Ιδιότητα αρχείουΤιμή
Όνομα αρχείουAmd64_94aab516433aef4e5f0c8db414ae7999_31bf3856ad364e35_6.3.9600.17901_none_34c8efb13ae81094.manifest
Έκδοση αρχείουΔεν ισχύει
Μέγεθος αρχείου716
Ημερομηνία (UTC)10-Ιουν-2015
Ώρα (UTC)12:46
ΠλατφόρμαΔεν ισχύει
Όνομα αρχείουAmd64_microsoft-windows-δ... toryservices-ntdsai_31bf3856ad364e35_6.3.9600.17901_none_e1d815158cdba811.manifest
Έκδοση αρχείουΔεν ισχύει
Μέγεθος αρχείου3,356
Ημερομηνία (UTC)09-Jun-2015
Ώρα (UTC)23:49
ΠλατφόρμαΔεν ισχύει
Κατάσταση
Η Microsoft έχει επιβεβαιώσει ότι πρόκειται για ένα ζήτημα των προϊόντων της Microsoft που παρατίθενται στην ενότητα "Ισχύει για".
Περισσότερες πληροφορίες
Δείτε λεπτομερείς πληροφορίες σχετικά με Δυνατότητα μοναδικότητας SPN και UPN στον Windows Server 2012 R2.

Μπορείτε επίσης να δείτε Το Αναγνωριστικό συμβάντος 11 — Παραμέτρων κύριο όνομα υπηρεσίας Για περισσότερες πληροφορίες.

Ζητήστε από ιστολόγιο πλατφόρμες μηχανικός Premiere πεδίο (PFE): Εργαλεία μετεγκατάστασης της υπηρεσίας καταλόγου Active Directory κατασκευαστών και KB 3070083.
Αναφορές
Δείτε το ορολογία που χρησιμοποιεί η Microsoft για την περιγραφή των ενημερώσεων λογισμικού.

Προειδοποίηση: Αυτό το άρθρο έχει μεταφραστεί αυτόματα

Ιδιότητες

Αναγνωριστικό άρθρου: 3070083 - Τελευταία αναθεώρηση: 09/06/2015 09:12:00 - Αναθεώρηση: 3.0

Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows 8.1 Enterprise, Windows 8.1 Pro, Windows 8.1

  • kbqfe kbsurveynew kbfix kbhotfixserver kbautohotfix kbexpertiseinter kbmt KB3070083 KbMtel
Σχόλια