Este artículo describe algunos problemas que se producen en un controlador de dominio basado en Windows Server R2 de 2012. Hay una revisión resolver estos problemas. La revisión tiene un requisito previo.
Síntomas
Supongamos que tiene un controlador de dominio que ejecuta Windows Server 2012 R2, puede encontrar uno de los siguientes problemas.
Problema 1: Unirse a un dominio
Tiene un equipo nuevo y desea unirse a un dominio del bosque. El mismo nombre de host del equipo ya se utiliza en otro dominio. En esta situación, la operación de unión de dominio informa de éxito. Después de hacer clic en Aceptar, verá el siguiente cuadro de diálogo. Las cadenas ocultas son el antiguo y el nuevo sufijo principal del equipo:
El mensaje de error similar al siguiente:
Al procesar un cambio en el nombre de Host DNS para un objeto, los valores de nombre Principal de servicio no pueden estar sincronizados.
Después de reiniciar, el equipo se presenta como un miembro del dominio, pero se producirá un error de inicio de sesión interactivo con una cuenta de dominio, y recibirá el siguiente mensaje de error:
La base de datos de seguridad en el servidor no tiene una cuenta de equipo para esta relación de confianza de estación de trabajo.
También recibirá el siguiente mensaje de error en el archivo Netsetup.log:
0: 000021C 7: DSID-03200BA6, problema 1005 (CONSTRAINT_ATT_TYPE), datos 0, Att 90303 (NombrePrincipalDeServicio)
NetpModifyComputerObjectInDs: error ldap_modify_s: 0x13 0x57
Problema 2: Migraciones dentro del bosque
Si realiza una migración de usuario dentro del bosque que tiene el nombre principal de servicio (SPN) o el nombre principal de usuario (UPN) definido o migración de equipos dentro del bosque, se produce un error en la migración porque la cuenta todavía existe en el catálogo global como se introduce el objeto en el dominio de destino que tiene estos atributos rellenados. Si el objeto se ha guardado en el nuevo dominio, se creará un SPN duplicado.
Nota: Las herramientas para impulsar las migraciones pueden ser la herramienta Active Directory migración (ADMT), herramientas de migración externa o el mover-ID cmdlet mediante PowerShell de Active Directory.
Problema 3: SPN entra en conflicto con SPN en el objeto restaurado
Tenía una cuenta con SPN en uso en una cuenta que está eliminada ahora. Agregar un SPN para el objeto que solía tener otra cuenta de usuario o de equipo en el bosque. Cuando intenta restaurar la cuenta eliminada, la acción falla debido a lo SPN duplicado.
Nota: En todos los tres problemas, se registra el suceso ID 2974 similar al siguiente en el registro del servicio de directorio del controlador de dominio: el número de error 8647 se traduce a simbólico nombre es ERROR_DS_SPN_VALUE_NOT_UNIQUE_IN_FOREST. Para deplicate UPN, el error sería número 8648 y ERROR_DS_UPN_VALUE_NOT_UNIQUE_IN_FOREST.
Causa
Windows Server 2012 R2 introdujo restrictivo comprobando el carácter único UPN y SPN. Correctamente previene duplicados SPN y UPN cuando están controlados a través de herramientas administrativas sin necesidad de la herramienta para realizar una comprobación de unicidad.
En los problemas que se describen en este artículo, impide que las tareas administrativas que el efecto no es obvio.
Solución
En algunos casos, puede eliminar los objetos que bloqueen la acción para que la acción tenga éxito. Para las migraciones dentro del bosque y restores, también puede eliminar el SPN o UPN que sería duplicados y potencialmente agregarlos en la cuenta.
Este cambio de preparación podría no ser posible en todos los casos. Por lo tanto, Microsoft ha desarrollado una actualización que permite controlar el comportamiento del controlador de dominio. Esta actualización se aplica a controladores de dominio basados en Windows Server R2 de 2012. También puede instalar esta actualización en los servidores miembro que son candidatos para la promoción a controlador de dominio en el futuro.
Con esta actualización, Microsoft proporciona un modificador de nivel de bosque para desactivar o activar la verificación de unicidad a través del atributo dSHeuristics.
Los siguientes son los valores dSHeuristics compatibles:
-
dSHeuristic = 1: AD DS permite agregar nombres principales de usuario duplicados (UPN)
-
dSHeuristic = 2: AD DS permite agregar nombres principales de servicio duplicados (SPN)
-
dSHeuristic = 3: AD DS permite agregar duplicados SPN y UPN
-
dSHeuristic = cualquier otro valor: AD DS exige la comprobación de unicidad de SPN y UPN
Ejemplos:
-
Para deshabilitar la comprobación de unicidad UPN, establecer el carácter 21 de dSHeuristics en "1" (000000000100000000021)
-
Para deshabilitar la comprobación de unicidad SPN, establecer el carácter 21 de dSHeuristics a "2" (000000000100000000022)
-
Para deshabilitar las comprobaciones de unicidad UPN y SPN, establecer el carácter 21 de dSHeuristics a "3" (000000000100000000023)
Para obtener información detallada acerca de cómo modificar dSHeuristic, consulte 6.1.1.2.4.1.2 dSHeuristics.
Se recomienda establecer el valor en 0 cuando no se realizan los cambios problemáticos ya sabe. Esto puede ser el caso especialmente para migraciones dentro del bosque.
Información de la revisión
Importante: Si instala un paquete de idioma después de instalar este hotfix, debe volver a instalar este hotfix. Por lo tanto, recomendamos que instale cualquier lenguaje Pack que se necesitan antes de instala este hotfix. Para obtener más información, vea Agregar paquetes de idioma para Windows.
Existe un hotfix disponible desde Microsoft. Sin embargo, esta revisión se diseñó para corregir únicamente el problema que se describe en este artículo. Aplíquela sólo a sistemas que experimenten este problema específico.
Si la revisión está disponible para su descarga, entonces podrá ver una sección de "Descarga de revisión disponible" en la parte superior de este artículo de Knowledge Base. Si esta sección no aparece, envíe una solicitud al servicio de atención al cliente y soporte técnico para obtener la revisión.
Nota: Si se producen problemas adicionales o si se requiere cualquier otra solución, será necesario crear una solicitud de revisión independiente. Los costos habituales de soporte se aplicarán a las preguntas de soporte técnico adicionales y problemas que no califican para esta revisión específica. Para obtener una lista completa de los números de teléfono de servicio al cliente de Microsoft o para crear una solicitud de servicio independiente, visite el siguiente sitio Web de Microsoft:
http://support.microsoft.com/contactus/?ws=supportNota: El formulario de "Descarga de revisión disponible" muestra los idiomas para los que la revisión está disponible. Si no ve su idioma, es porque no hay una revisión para ese idioma.
Requisitos previos
Para aplicar este hotfix, debe tener abril 2014 update rollup para Windows RT 8.1, 8.1 de Windows y Windows Server 2012 R2 (2919355) instalado en Windows 8.1 o R2 de Windows Server 2012.
Información del registro
Para utilizar la revisión de este paquete, no es necesario realizar ningún cambio en el registro.
Requisito de reinicio
Tendrá que reiniciar el equipo después de aplicar este hotfix.
Información de reemplazo de revisión
Esta revisión no sustituye a ninguna revisión publicada previamente.
La versión global de esta revisión instala archivos que tienen los atributos enumerados en las tablas siguientes. Las fechas y las horas de estos archivos se muestran en la hora Universal coordinada (UTC). Las fechas y las horas de estos archivos en el equipo local se muestran en horario local junto con la diferencia de horario de verano (DST) actual. Además, las fechas y las horas pueden cambiar cuando realiza determinadas operaciones en los archivos.
Notas e información de archivo de Windows 8.1 y Windows Server R2 de 2012
Importante: Correcciones urgentes de Windows 8.1 y R2 de Windows Server 2012 se incluyen en los mismos paquetes. Sin embargo, las revisiones en la página solicitud de revisión se enumeran en ambos sistemas operativos. Para solicitar el paquete de revisiones que se aplica a uno o ambos sistemas operativos, seleccione la revisión que aparece en "Windows 8.1 o Windows Server R2 de 2012" en la página. Siempre consulte la sección "Aplicable a" de los artículos para determinar el sistema operativo real a la que se aplica cada revisión.
-
Los archivos que se aplican a un producto, hito (RTM, SPn) y el servicio (LDR, GDR) se pueden identificar examinando los números de versión de archivo, como se muestra en la siguiente tabla:
Versión
Producto
Hito
Tipo de servicio
6.3.960 0.17xxx
Windows 8.1 y Windows Server 2012 R2
RTM
GDR
-
Los archivos MANIFEST (.manifest) y el MUM (.mum) instalados para cada entorno están enumerados por separado en la sección "información adicional de archivos". MUM, MANIFEST y los archivos de catálogo (.cat) de seguridad asociados son muy importantes para mantener el estado de los componentes actualizados. Los archivos de catálogo de seguridad, para los cuales no se muestran los atributos, están firmados con una firma digital de Microsoft.
Para todas las versiones basadas en x86 compatibles de Windows 8.1
|
Nombre del archivo |
Versión del archivo |
Tamaño de archivo |
Fecha |
Hora |
Plataforma |
|---|---|---|---|---|---|
|
Ntdsa.mof |
No aplicable |
227,765 |
18-Jun-2013 |
12:21 |
No aplicable |
|
Ntdsai.dll |
6.3.9600.17901 |
2,576,896 |
09-Jun-2015 |
20:43 |
x86 |
Para todas las versiones basadas en x64 de 8.1 de Windows y de Windows Server R2 de 2012
|
Nombre del archivo |
Versión del archivo |
Tamaño de archivo |
Fecha |
Hora |
Plataforma |
|---|---|---|---|---|---|
|
Ntdsa.mof |
No aplicable |
227,765 |
18-Jun-2013 |
14:45 |
No aplicable |
|
Ntdsai.dll |
6.3.9600.17901 |
3,684,864 |
09-Jun-2015 |
20:49 |
x64 |
Información adicional de archivos
Información de archivo adicional para Windows 8.1 y Windows Server 2012 R2
Archivos adicionales para todas las versiones basadas en x86 compatibles de Windows 8.1
|
Propiedad de archivo |
Valor |
|---|---|
|
Nombre del archivo |
X86_4c2f5adc88a0d6ac17ccdccf2255c6b7_31bf3856ad364e35_6.3.9600.17901_none_ba36e2d18bbebef8.manifest |
|
Versión del archivo |
No aplicable |
|
Tamaño de archivo |
712 |
|
Fecha (UTC) |
10-Jun-2015 |
|
Hora (UTC) |
12:46 |
|
Plataforma |
No aplicable |
|
Nombre del archivo |
X86_microsoft-windows-d..toryservices-ntdsai_31bf3856ad364e35_6.3.9600.17901_none_85b97991d47e36db.manifest |
|
Versión del archivo |
No aplicable |
|
Tamaño de archivo |
3,352 |
|
Fecha (UTC) |
09-Jun-2015 |
|
Hora (UTC) |
23:14 |
|
Plataforma |
No aplicable |
Admiten de archivos adicionales para todas las versiones basadas en x64 de Windows 8.1 y de Windows Server R2 2012
|
Propiedad de archivo |
Valor |
|---|---|
|
Nombre del archivo |
Amd64_94aab516433aef4e5f0c8db414ae7999_31bf3856ad364e35_6.3.9600.17901_none_34c8efb13ae81094.manifest |
|
Versión del archivo |
No aplicable |
|
Tamaño de archivo |
716 |
|
Fecha (UTC) |
10-Jun-2015 |
|
Hora (UTC) |
12:46 |
|
Plataforma |
No aplicable |
|
Nombre del archivo |
Amd64_microsoft-windows-d..toryservices-ntdsai_31bf3856ad364e35_6.3.9600.17901_none_e1d815158cdba811.manifest |
|
Versión del archivo |
No aplicable |
|
Tamaño de archivo |
3.356 |
|
Fecha (UTC) |
09-Jun-2015 |
|
Hora (UTC) |
23:49 |
|
Plataforma |
No aplicable |
Estado
Microsoft ha confirmado que se trata de un problema de los productos de Microsoft que se enumeran en la sección "Aplicable a".
Más información
Ver información detallada acerca de la característica de exclusividad SPN y UPN en Windows Server R2 de 2012.
También puede ver identificador de evento 11: configuración de nombres principales de servicio para obtener más información.
Pregunte el blog de plataformas de ingeniería de campo Premier (PFE): Herramientas de migración de terceros Active Directory y 3070083 de KB.
Referencias
Vea la terminología que usa Microsoft para describir las actualizaciones de software.
