Duplikaatide SPN kontrolli Windows Server 2012 R2-l töötavasse domeenikontrollerisse põhjustab taastamine, domeeniga ühenduse loomise ja migreerimise tõrked

Selles artiklis kirjeldatakse probleeme, mis ilmnevad Windows Server 2012 R2-l töötavasse domeenikontrollerisse. Kiirparandus on saadaval nende probleemide lahendamiseks. Kiirparandus on a nõutav.

Sümptomid

Oletame, et teil on domeenikontroller, mis töötab Windows Server 2012 R2, võib ilmneda üks järgmistest probleemidest.

1. probleem: Domeeniga liitumine

Teil on uus arvuti ja soovite metsa domeeniga liituda. Sama arvuti hosti nimi on juba kasutusel mõnes teises domeenis. Sellisel juhul teatab domeeniga liitumise operatsiooni edu. Pärast seda, kui klõpsate nuppu OK, kuvatakse järgmine dialoogiboks. Kustutatud stringi on vanade ja uute esmane sufiks arvuti:

This is the screenshot of Computer Name/Domain Changes

Tõrketeade sarnaneb järgmisega:

DNS-i hostinime objekti muuta töötlemisel SPN – Service Principal Name väärtused võivad ei säilitata sünkroonis.

Pärast taaskäivitamist, arvuti aru enda domeeni liige, aga domeenikontot Interaktiivne sisselogimine nurjub ja kuvatakse järgmine tõrketeade:

Turvalisuse andmebaasi server on arvuti konto selle tööjaama usaldussuhe.

Kuvatakse järgmine tõrketeade alsoreceive failis:

0: 000021C 7: DSID-03200BA6, probleemi 1005 (CONSTRAINT_ATT_TYPE) andmete 0, Att 90303 (andke)
NetpModifyComputerObjectInDs: ldap_modify_s nurjus: 0x13 0x57

2. probleem: Sisese metsa migratsioon

Kui te sooritate sisese metsa kasutaja migratsioon, millel on teenuse põhilist nime (SPN) või kasutajanimi (UPN) määratletud või sisese metsa arvuti migratsiooni siirdamine nurjub, kuna konto püsib ka globaalse kataloogi, kui objekt on kehtestatud target domeeni atribuutidega need asustatud. Objekt salvestati uue domeeni, dubleeritud SPN ei looda.

Märkus. Draiv on migratsiooni tööriistad võib Active Directory siirdamise tööriista (ADMT), rände tööriistad või selle teisaldamine-ADObject , kasutades Active Directory PowerShelli cmdlet.

Küsimus 3: SPN-ga vastuolus SPN taastatud objekti

Teil oli konto SPN-de kasutamise sisse kontolt, millel on nüüd kustutatud. Lisate SPN objekti, mis oleks teine kasutaja või arvuti konto metsa. Kui püüate nüüd taastada kustutatud konto, tegevus nurjub tõttu dubleeritud SPN.

Märkus. Kõik kolm probleemide korral logitakse sündmus ID 2974, mis sarnaneb järgmise domeenikontrolleri kataloogiteenuse logisse: tõrke number 8647 tõlgib – sümboolne nimi on ERROR_DS_SPN_VALUE_NOT_UNIQUE_IN_FOREST. Deplicate UPN oleks tõrke number 8648 ja ERROR_DS_UPN_VALUE_NOT_UNIQUE_IN_FOREST.

Põhjus

Windows Server 2012 R2 kasutusele piiravad otsimine UPN ja SPN unikaalsuse. See edukalt takistab dubleeritud SPN ja UPN-i, kui nad on sunnitud Haldusriistad kaudu ei ole vaja vahend unikaalsuse kontrolli ise teha.

Selles artiklis kirjeldatud probleeme ei võimalda haldustoimingute kui mõju ei ilmne.

Lahendus

Mõnel juhul võite kustutada objekte, mis blokeerib teie tegevus, et toiming on edukas. Sisese metsa migreerimist ja taastab, saate ka kustutada SPN-id ja/või UPN, mis on dubleeritud, ja potentsiaalselt õigele kontole lisada.

Ettevalmistamine muutus ei pruugi olla alati võimalik. Seetõttu on Microsoft välja töötanud värskendus, mis võimaldab teha domain controller käitumine. See värskendus kehtib Windows Server 2012 R2-põhiste domeenikontrollerite. Samuti saate installida selle värskenduse on testversiooni edutamine domeenikontrolleri tulevikus liikmesserverite.

See värskendus pakub Microsoft metsa taseme lüliti välja lülitada või unikaalsuse kontrolli dSHeuristics atribuudi kaudu sisse lülitada.

Toetatud dSHeuristics väärtused on järgmised:
  1. dSHeuristic = 1: AD DS võimaldab lisada dubleeritud peamine kasutajanimed (UPN-ID)
  2. dSHeuristic = 2: AD DS võimaldab lisada dubleeritud teenuse põhilist nime (SPN)
  3. dSHeuristic = 3: AD DS võimaldab lisada dubleeritud SPN-id ja UPN-ID
  4. dSHeuristic = mõnda muud väärtust: AD DS jõustab unikaalsuse kontrolli SPN-id ja UPN-ID
Näited:
  1. UPN unikaalsuse kontrolli keelamine seadke dSHeuristics "1" 21. märgi (000000000100000000021)
  2. SPN unikaalsuse kontrolli keelamine seadke dSHeuristics "2" 21. märgi (000000000100000000022)
  3. UPN ja SPN unikaalsuse kontrolli keelamine seadke dSHeuristics "3" 21. märgi (000000000100000000023)
Üksikasjalikku teavet selle kohta, kuidas muuta dSHeuristic, 6.1.1.2.4.1.2 dSHeuristics.

Soovitame seada väärtus tagasi väärtuseks 0 , kui probleemne muudatusi ei toimi enam. See võib olla nii eelkõige sisese metsa migreerimist.

Kiirparanduse teave

NB! Kui keelepaketi installimine pärast selle kiirparanduse installimist, peate selle käigultparanduse uuesti installima. Seetõttu soovitame teil installida mis tahes keeles see enne kiirparanduse installimist. Lisateabe saamiseks lugege Keelepakettide lisamine Windowsi.

Toetatud käiguparandus on saadaval Microsoftilt. See kiirparandus on ette nähtud üksnes käesolevas artiklis kirjeldatud probleemi lahendamiseks. Kasutage seda parandust ainult selle konkreetse probleemiga süsteemides.

Kui kiirparandus on allalaadimiseks saadaval, on selle teabebaasi artikli alguses jaotis Kiirparandus on saadaval. Kui seda jaotist ei ole, saatke Microsofti klienditeenindusele ja -toele taotlus kiirparanduse hankimiseks.

Märkus. Kui ilmneb veel probleeme või kui on tarvis teha tõrkeotsing, peate looma eraldi tugiteenuse taotluse. Tavapärane tugiteenuse tasu kehtib täiendavatele tugiteenustega seotud küsimustele ning probleemidele, mis pole lahendatavad konkreetse kiirparandusega. Täieliku loetelu Microsofti klienditeeninduse ja -toe telefoninumbrite või eraldi tugiteenuse taotluse loomiseks külastage järgmist Microsofti veebisaiti:Märkus. Vormil Kiirparandus on allalaadimiseks saadaval kuvatakse keeled, mille jaoks kiirparandus on saadaval. Kui te ei näe oma keelt, ei ole kiirparandus selles keeles saadaval.

Eeltingimused

Selle kiirparanduse rakendamiseks peab teil olema aprillil 2014 värskenduskomplekt Windows RT 8.1, Windows 8.1 ja Windows Server 2012 R2 (2919355) installitud Windows 8.1 või Windows Server 2012 R2.

Registri teave

Et kasutada seda kiirparandust, ei pea sa tegema mingeid parandusi registrisse.

Taaskäivitamise nõue

Võibolla peate te oma arvuti pärast kiirparandust taaskäivitama.

Kiirparanduse asendamise teave

See kiirparandus ei asenda varem välja antud Kiirparandusi.
Failiteave

Olek

Microsoft on kinnitanud, et see probleem esineb jaotises "Kehtib järgmiste toodete kohta" loetletud Microsofti toodetel.

Lisateabe saamiseks

Vaadake üksikasjalikku teavet SPN ja UPN unikaalsuse funktsiooni Windows Server 2012 R2.

Võite vaadata ka Event ID 11 – Service Principal Name konfigureerimine lisateabe saamiseks.

Küsige Premiere välja töötaja (PFE) platvormide ajaveebi: kolmanda osapoole Active Directory siirdamise tööriistade ja 3070083.

Viited

Vaadake Microsofti tarkvaravärskenduste iseloomustamiseks kasutatavat terminoloogiat.
Atribuudid

Artikli ID: 3070083 – viimati läbi vaadatud: 25. jaan 2017 – redaktsioon: 1

Tagasiside