La comprobación de SPN duplicados en el controlador de dominio basado en Windows Server 2012 R2 hace restore, unión a un dominio y migración de errores

IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.

Haga clic aquí para ver el artículo original (en inglés): 3070083
Este artículo describe algunos problemas que se producen en un controlador de dominio basado en Windows Server R2 de 2012. Hay una revisión resolver estos problemas. La revisión tiene unrequisito previo.
Síntomas
Supongamos que tiene un controlador de dominio que ejecuta Windows Server R2 de 2012, puede encontrar uno de los siguientes problemas.

Problema 1: Unión a un dominio

Tiene un equipo nuevo y desea unirse en dominio de TOA del bosque. El mismo nombre de host del equipo ya se utiliza en otro dominio. En esta situación, la operación de unión de dominio informa de éxito. Después de youclickOK, verá el siguiente cuadro de diálogo. Las cadenas ocultas son el antiguo y el nuevo sufijo principal del equipo:

Se trata de la captura de pantalla de cambios de dominio o el nombre de equipo

La propiedad errormessage es similar a la siguiente:

Al procesar un cambio en el nombre de Host DNS para un objeto, los valores de nombre Principal de servicio no pueden estar sincronizados.

Después de reiniciar, el equipo se presenta como un miembro del dominio, pero se producirá un error de inicio de sesión interactivo con una cuenta de dominio, y recibirá el siguiente mensaje de error:

La base de datos de seguridad en el servidor no tiene una cuenta de equipo para esta relación de confianza de estación de trabajo.

Podrá alsoreceive el mensaje errorsiguiente en el archivo Netsetup.log:

0: 000021C 7: DSID-03200BA6, problema 1005 (CONSTRAINT_ATT_TYPE), datos 0, Att 90303 (NombrePrincipalDeServicio)
NetpModifyComputerObjectInDs: error ldap_modify_s: 0x57 0 x 13

Emitir 2:Intra-migración del bosque

Si realiza una migración de usuario dentro del bosque que tiene el nombre principal de servicio (SPN) o el nombre principal de usuario (UPN) definido o la migración de equipos dentro del bosque, se produce un error en la migración porque la cuenta todavía existe en el catálogo global tal como se presenta el objeto en el dominio de destino con estos atributos rellenado. Si el objeto se ha guardado en el nuevo dominio, se creará un SPN duplicado.

Nota: Las herramientas para las migraciones de unidad podrían ser la herramienta Active Directory migración (ADMT), herramientas de migración externa o el mover- cmdletADObjectpor usingActive DirectoryPowerShell.

Problema 3: SPN entra en conflicto con SPN en el objeto restaurado

Había una cuenta con SPN en uso en una cuenta que se elimina ahora. Youadd un SPN para el objeto que tiene otra cuenta de usuario o de equipo en el bosque. Cuando intenta restaurar la cuenta eliminada, la acción se produce un error debido a que el SPN duplicado.

Nota: En todos los tres problemas, el evento ID 2974 similar al siguiente se registra en el registro del servicio de directorio del controlador de dominio:


Nombre de registro: Servicio de directorio
Fuente: Microsoft-Windows-ActiveDirectory_DomainService
ID. de suceso: 2974
La categoría de tarea: Catálogo Global
Nivel: Error
Palabras clave: clásico
Descripción: El valor del atributo proporcionado no es único en el bosque o partición. Atributo: servicePrincipalName Value=HOST/server1.contoso.com
CN = Servidor1, OU = servidores miembro, DC = contoso, DC = com archivo Winerror: 8647

El número de error 8647 se traduce a simbólico nombre es ERROR_DS_SPN_VALUE_NOT_UNIQUE_IN_FOREST. Para deplicate UPN, el error sería número 8648 y ERROR_DS_UPN_VALUE_NOT_UNIQUE_IN_FOREST.
Causa
Windows Server 2012 R2 introdujo restrictivo comprobando el carácter único UPN y SPN. Correctamente evita duplicados SPN y UPN cuando están controlados a través de herramientas administrativas sin necesidad de la herramienta para realizar una comprobación de unicidad.

En los problemas que se describen en este artículo, impide que las tareas administrativas que el efecto no es obvio.
Solución
En algunos casos, puede eliminar los objetos que bloquean la acción para que la acción tenga éxito. Para las migraciones dentro del bosque y restores, también puede eliminar el SPN o UPN que sería duplicados y agregarlos potencialmente en la cuenta.

Este cambio de preparación no sea posible en todos los casos. Por lo tanto, Microsoft ha desarrollado una actualización que permite controlar el comportamiento del controlador de dominio. Esta actualización se aplica a los controladores de dominio de Windows Server R2 de 2012. También puede instalar esta actualización en los servidores miembro que son candidatos para la promoción a controlador de dominio en el futuro.

Con esta actualización, Microsoft proporciona un interruptor del nivel del bosque para desactivar o activar la verificación de unicidad a través del atributo dSHeuristics.

Los siguientes son los valores de dSHeuristics compatibles:
  1. dSHeuristic = 1: AD DS permite agregar nombres principales de usuario duplicados (UPN)
  2. dSHeuristic = 2: AD DS permite agregar nombres principales de servicio duplicados (SPN)
  3. dSHeuristic = 3: AD DS permite agregar los SPN duplicados y los UPN
  4. dSHeuristic = cualquier otro valor: AD DS exige la verificación de la unicidad de los SPN y UPN
Ejemplos:
  1. Para deshabilitar la comprobación de la unicidad UPN, establecer el carácter 21 de dSHeuristics en "1" (000000000100000000021)
  2. Para deshabilitar la comprobación de la unicidad SPN, establecer el carácter 21 de dSHeuristics a "2" (000000000100000000022)
  3. Para deshabilitar las comprobaciones de unicidad de UPN y SPN, establecer el carácter 21 de dSHeuristics en "3" (000000000100000000023)
Para obtener información detallada acerca de cómo modificar dSHeuristic, vea 6.1.1.2.4.1.2 dSHeuristics.

Se recomienda establecer el valor en 0 cuando conozca los cambios problemáticos no se están produciendo ya. Esto puede ser el caso, especialmente para las migraciones dentro del bosque.

Información de la revisión

Importante: Si instala un paquete de idioma después de instalar este hotfix, debe volver a instalar este hotfix. Por lo tanto, se recomienda que instale cualquier lenguaje Pack que se necesitan antes de instalación este hotfix. Para obtener más información, vea Agregar paquetes de idioma para Windows.

Existe un hotfix disponible desde Microsoft. Sin embargo, esta revisión se diseñó para corregir únicamente el problema que se describe en este artículo. Aplíquela sólo a sistemas que experimenten este problema específico.

Si la revisión está disponible para su descarga, entonces podrá ver una sección de "Descarga de revisión disponible" en la parte superior de este artículo de Knowledge Base. Si esta sección no aparece, envíe una solicitud al servicio de atención al cliente y soporte técnico para obtener la revisión.

Nota: Si se producen problemas adicionales o cualquier solución de problemas es necesario, tendrá que crear una solicitud de servicio independiente. Los costos habituales de soporte se aplicarán a las cuestiones y problemas que no guarden relación con esta revisión en cuestión. Para obtener una lista completa de los números de teléfono de soporte técnico de Microsoft o para crear una solicitud de servicio independiente, visite el siguiente sitio Web de Microsoft: Nota: El formulario "Hotfix descargar disponible" muestra los idiomas para los que la revisión está disponible. Si no ve su idioma, es porque no hay una revisión para ese idioma.

Requisitos previos

Para aplicar esta revisión, debe tener Paquete acumulativo de actualizaciones de abril de 2014 para Windows RT 8.1, 8.1 de Windows y Windows Server 2012 R2 (2919355) instalar en Windows 8.1 o Windows Server R2 de 2012.

Información del registro

Para utilizar la revisión de este paquete, no es necesario realizar los cambios en el registro.

Requisito de reinicio

Tendrá que reiniciar el equipo después de aplicar este hotfix.

Información de reemplazo de revisión

Esta revisión no sustituye a ninguna revisión publicada previamente.

Información de archivo

La versión global de esta revisión instala archivos que tienen los atributos enumerados en las tablas siguientes. Las fechas y las horas de estos archivos se muestran en la hora Universal coordinada (UTC). Se muestran las fechas y las horas de estos archivos en el equipo local en horario local junto con la diferencia de horario de verano (DST) actual. Además, las fechas y las horas pueden cambiar cuando realiza determinadas operaciones en los archivos.

Notas e información de archivo 8.1 de Windows y Windows Server R2 de 2012

Importante: Las correcciones urgentes de Windows 8.1 y Windows Server R2 de 2012 se incluyen en los mismos paquetes. Sin embargo, las revisiones en la página de solicitud de revisión se enumeran en ambos sistemas operativos. Para solicitar el paquete de revisiones que se aplica a uno o ambos sistemas operativos, seleccione la revisión que aparece en "Windows 8.1/Windows Server R2 de 2012" en la página. Siempre hacen referencia a la sección "Se aplica a" de los artículos para determinar el sistema operativo real que se aplica cada revisión.
  • Los archivos que se aplican a un producto, hito (RTM, SPn), y el tipo de servicio (LDR, GDR) puede identificarse mediante el examen de los números de versión del archivo tal como se muestra en la siguiente tabla:
    VersiónProductoHitoTipo de servicio
    6.3.960 0,17xxxWindows 8.1 y Windows Server 2012 R2RTMGDR
  • Los archivos MANIFEST (.manifest) y los MUM archivos (.mum) que se instalan para cada entorno son enumerados por separado en la sección "información de archivo adicional". MUM, MANIFEST y los archivos de catálogo (.cat) de seguridad asociados son muy importantes para mantener el estado de los componentes actualizados. Los archivos de catálogo de seguridad, para los cuales no se muestran los atributos, están firmados con una firma digital de Microsoft.
Para todas las versiones basadas en x86 compatibles de Windows 8.1
Nombre del archivoVersión del archivoTamaño de archivoFechaHoraPlataforma
Ntdsa.MOFNo aplicable227,76518-Jun-201312:21No aplicable
Ntdsai.dll6.3.9600.179012,576,89609-Jun-201520:43x86
Para todas las versiones basadas en x 64 de 8.1 de Windows y de Windows Server R2 de 2012
Nombre del archivoVersión del archivoTamaño de archivoFechaHoraPlataforma
Ntdsa.MOFNo aplicable227,76518-Jun-201314:45No aplicable
Ntdsai.dll6.3.9600.179013,684,86409-Jun-201520:49x64

Información adicional de archivos

Información de archivo adicional para Windows 8.1 y para Windows Server R2 de 2012
Archivos adicionales para todas las versiones basadas en x86 compatibles de Windows 8.1
Propiedad de archivoValor
Nombre del archivoX86_4c2f5adc88a0d6ac17ccdccf2255c6b7_31bf3856ad364e35_6.3.9600.17901_none_ba36e2d18bbebef8.manifest
Versión del archivoNo aplicable
Tamaño de archivo712
Fecha (UTC)10-Jun-2015
Hora (UTC)12:46
PlataformaNo aplicable
Nombre del archivoX86_microsoft-windows-d... toryservices-ntdsai_31bf3856ad364e35_6.3.9600.17901_none_85b97991d47e36db.manifest
Versión del archivoNo aplicable
Tamaño de archivo3,352
Fecha (UTC)09-Jun-2015
Hora (UTC)23:14
PlataformaNo aplicable
Admiten de archivos adicionales para todas las versiones basadas en x 64 de Windows 8.1 y de Windows Server R2 de 2012
Propiedad de archivoValor
Nombre del archivoAmd64_94aab516433aef4e5f0c8db414ae7999_31bf3856ad364e35_6.3.9600.17901_none_34c8efb13ae81094.manifest
Versión del archivoNo aplicable
Tamaño de archivo716
Fecha (UTC)10-Jun-2015
Hora (UTC)12:46
PlataformaNo aplicable
Nombre del archivoAmd64_microsoft-windows-d... toryservices-ntdsai_31bf3856ad364e35_6.3.9600.17901_none_e1d815158cdba811.manifest
Versión del archivoNo aplicable
Tamaño de archivo3.356
Fecha (UTC)09-Jun-2015
Hora (UTC)23:49
PlataformaNo aplicable
Estado
Microsoft ha confirmado que se trata de un problema de los productos de Microsoft que se enumeran en la sección "Aplicable a".
Más información
Ver información detallada acerca de Característica de exclusividad SPN y UPN en Windows Server R2 de 2012.

También puede ver ID. de suceso 11: Configuración de nombre Principal de servicio Para obtener más información.

Solicitar el blog de plataformas de ingeniería de campo Premier (PFE): Herramientas de migración de Active Directory de terceros y KB 3070083.
Referencias
Consulte la terminología que utiliza Microsoft para describir las actualizaciones de software.

Advertencia: este artículo se tradujo automáticamente

Propiedades

Id. de artículo: 3070083 - Última revisión: 09/06/2015 09:12:00 - Revisión: 3.0

Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows 8.1 Enterprise, Windows 8.1 Pro, Windows 8.1

  • kbqfe kbsurveynew kbfix kbhotfixserver kbautohotfix kbexpertiseinter kbmt KB3070083 KbMtes
Comentarios