Duplikaatide SPN kontrolli Windows Server 2012 R2-l töötavasse domeenikontrollerisse põhjustab taastamine, domeeniga ühenduse loomise ja migreerimise nurjumine

NB! Artikkel on tõlgitud Microsofti masintõlketarkvaraga ja seda saab parandada Kogukonnapõhise tõlkeraamistiku (CTF) tehnoloogiaga. Microsoft pakub masintõlgitud, kogukonna järeltöödeldud ja inimtõlgitud artikleid, et anda mitmekeelne juurdepääs kõigile meie teabebaasi artiklitele. Masintõlgitud ja järeltöödeldud artiklites võib olla sõnavara-, süntaksi- ja/või grammatikavigu. Microsoft ei vastuta mingite ebatäpsuste, tõrgete ega kahjude eest, mis on tulenenud sisu valest tõlkest või selle kasutamisest meie klientide poolt. Lisateavet CTF-i kohta leiate aadressilt http://support.microsoft.com/gp/machine-translation-corrections/et.

Artikli ingliskeelse versiooni kuvamiseks klõpsake siin: 3070083
Selles artiklis kirjeldatakse teatud probleemid, mis ilmnevad Windows Server 2012 R2-l töötavasse domeenikontrollerisse. Kiirparandus on saadaval probleemide lahendamisel. Kiirparandus on anõutav.
Sümptomid
Oletame, et teil on domeenikontroller, mis töötab Windows Server 2012 R2, võib ilmneda üks järgmistest probleemidest.

1. probleem: Domeeniga liitumine

Teil on uus arvuti ja soovite metsa käsu domeeniga liituda. Sama arvuti hosti nimi on juba kasutusel mõnes teises domeenis. Sellisel juhul teatab domeeniga liitumise operatsiooni edu. Pärast youclickOK, kuvatakse järgmine dialoogiboks. Kustutatud stringi on vanade ja uute esmane sufiks arvuti:

See on arvuti nime/domeeni muutmine pilt

Selle errormessage meenutab järgmist:

DNS-i hostinime objekti muuta töötlemisel SPN – Service Principal Name väärtused võivad ei säilitata sünkroonis.

Pärast taaskäivitamist, arvuti aru enda domeeni liige, aga domeenikontot Interaktiivne sisselogimine nurjub ja kuvatakse järgmine tõrketeade:

Serveri andmebaasi turvalisus on see tööjaam usaldussuhe arvuti konto.

Siis alsoreceive failis Netsetup.log followingerror sõnum:

0: 000021C 7: DSID-03200BA6, probleemi 1005 (CONSTRAINT_ATT_TYPE) andmete 0, Att 90303 (andke)
NetpModifyComputerObjectInDs: ldap_modify_s nurjus: 0x13 0x57

Probleem 2:Intra-metsa migratsioon

Kui te sooritate sisese metsa kasutaja migratsioon, millel on teenuse põhilist nime (SPN) või kasutajanimi (UPN) määratletud või sisese metsa arvuti migratsiooni Siirdamine nurjub, kuna konto püsib ka globaalse kataloogi, kui objekt on kehtestatud target domeeni atribuutidega need asustatud. Objekt salvestati uue domeeni, dubleeritud SPN ei looda.

Märkus. Draiv on migratsiooni tööriistad võib Active Directory siirdamise Tööriista (ADMT), väline siirdamise tööriistade või on teisaldamine-ADObjectcmdlet-i poolt usingActive DirectoryPowerShell.

Küsimus 3: SPN-ga vastuolus SPN taastatud objekti

Teil oli konto SPN-de kasutamise sisse kontolt, millel on nüüd kustutatud. Youadd on SPN objekti, mis oleks teine kasutaja või arvuti konto metsa. Kui püüate nüüd taastada kustutatud konto, tegevus nurjub tõttu dubleeritud SPN.

Märkus. Kõik kolm probleemi, logitakse kataloogiteenuse logisse domeenikontrolleri sündmuse ID 2974, mis sarnaneb järgmisega:


Logi nimi: Kataloogiteenus
Allikas: Microsoft-Windows-ActiveDirectory_DomainService
Sündmuse ID: 2974
Ülesande kategooria: Globaalse kataloogi
Tase: tõrge
Märksõnad: klassikaline
Kirjeldus: Selle atribuudi väärtus ei kordumatu metsadest või partitsiooni. Atribuut: Andke Value=HOST/server1.contoso.com
CN = Server1, OU = liikmesserverite, DC = contoso, DC = com Winerror: 8647

Tõrke number 8647 tõlgib-sümboolne nimi on ERROR_DS_SPN_VALUE_NOT_UNIQUE_IN_FOREST. Deplicate UPN oleks tõrke number 8648 ja ERROR_DS_UPN_VALUE_NOT_UNIQUE_IN_FOREST.
Põhjus
Windows Server 2012 R2 kasutusele piiravad otsimine UPN ja SPN unikaalsuse. See edukalt takistab dubleeritud SPN ja UPN-i, kui nad on sunnitud Haldusriistad kaudu ei ole vaja vahend unikaalsuse kontrolli ise teha.

Selles artiklis kirjeldatud probleeme ei võimalda haldustoimingute kui mõju ei ilmne.
Lahendus
Mõnel juhul võite kustutada objekte, mis blokeerib teie tegevus, et toiming on edukas. Sisese metsa migreerimist ja taastab, saate ka kustutada SPN-i ja/või UPN, mis on dubleeritud, ja potentsiaalselt õigele kontole lisada.

Ettevalmistamine muutus ei pruugi olla alati võimalik. Seetõttu on Microsoft välja töötanud värskendus, mis võimaldab teha domain controller käitumine. See värskendus kehtib Windows Server 2012 R2-põhiste domeenikontrollerite. Selle värskenduse saate installida on testversiooni edutamine domeenikontrolleri tulevikus liikmesserverite.

See värskendus pakub Microsoft metsa taseme lüliti välja lülitada või unikaalsuse kontrolli dSHeuristics atribuudi kaudu sisse lülitada.

Toetatud dSHeuristics väärtused on järgmised:
  1. dSHeuristic = 1: AD DS võimaldab lisada dubleeritud peamine kasutajanimed (UPN-ID)
  2. dSHeuristic = 2: AD DS võimaldab lisada dubleeritud teenuse põhilist nime (SPN)
  3. dSHeuristic = 3: AD DS võimaldab lisada dubleeritud SPN-id ja UPN-ID
  4. dSHeuristic = mõnda muud väärtust: AD DS jõustab unikaalsuse kontrolli SPN-id ja UPN-ID
Näited:
  1. UPN unikaalsuse kontrolli keelamine seadke 21. märgi dSHeuristics "1" (000000000100000000021)
  2. SPN unikaalsuse kontrolli keelamine seadke 21. märgi dSHeuristics "2" (000000000100000000022)
  3. UPN ja SPN unikaalsuse kontrolli keelamine seadke 21. märgi dSHeuristics "3" (000000000100000000023)
Üksikasjalikku teavet selle kohta, kuidas muuta dSHeuristic, 6.1.1.2.4.1.2 dSHeuristics.

Soovitame teil seada väärtus tagasi väärtuseks 0 , kui probleemne muudatusi ei toimi enam. See võib olla nii eelkõige sisese metsa migreerimist.

Kiirparanduse teave

NB! Kui keelepaketi installimine pärast selle kiirparanduse installimist, peate selle käigultparanduse uuesti installima. Seetõttu soovitame teil installida mis tahes keeles ning see enne kiirparanduse installimist. Lisateabe saamiseks vaadake teemat Lisage keelepaketid Windows.

Toetatud käiguparandus on saadaval Microsoftilt. See kiirparandus on ette nähtud üksnes käesolevas artiklis kirjeldatud probleemi lahendamiseks. Kasutage seda parandust ainult selle konkreetse probleemiga süsteemides.

Kui kiirparandus on allalaadimiseks saadaval, on selle teabebaasi artikli alguses jaotis Kiirparandus on saadaval. Kui seda jaotist ei ole, saatke Microsofti klienditeenindusele ja -toele taotlus kiirparanduse hankimiseks.

Märkus. Kui ilmneb veel probleeme või kui on tarvis teha tõrkeotsing, peate looma eraldi tugiteenuse taotluse. Tavapärane tugiteenuse tasu kehtib täiendavatele tugiteenustega seotud küsimustele ning probleemidele, mis pole lahendatavad konkreetse kiirparandusega. Microsofti klienditeeninduse ja -toe telefoninumbrite täieliku loendi vaatamiseks või eraldi tugiteenuse taotluse loomiseks külastage järgmist Microsofti veebisaiti: Märkus. Vormil Kiirparandus on allalaadimiseks saadaval kuvatakse keeled, mille jaoks kiirparandus on saadaval. Kui te ei näe oma keelt, ei ole kiirparandus selles keeles saadaval.

Eeltingimused

Selle kiirparanduse rakendamiseks peab teil olema Aprillil 2014 värskenduskomplekt Windows RT 8.1, Windows 8.1 ja Windows Server 2012 R2 (2919355) installitud Windows 8.1 või Windows Server 2012 R2.

Registri teave

Et kasutada seda kiirparandust, ei pea sa tegema mingeid parandusi registrisse.

Taaskäivitamise nõue

Võibolla peate te oma arvuti pärast kiirparandust taaskäivitama.

Kiirparanduse asendamise teave

See kiirparandus ei asenda varem avaldatud kiirparandust.

Failiteave

Globaalne versioon sellest kiirparanduse installi failist millel on nimetatud omadused järgmistes tabelites. Kuupäevad ja kellaajad nendele failidele on loetletud koordineeritud maailmaaja järgi (UTC). Kuupäevad ja kellaajad nende failide jaoks kuvatakse teie arvutis kohaliku aja järgi, arvestades praegust suveaega. Lisaks võivad kuupäevad ja kellaajad muutuda, kui teete failidega teatud toiminguid.

Windows 8.1 ja Windows Server 2012 R2 failiteave ja märkused

NB! Windows 8.1 ja Windows Server 2012 R2 käigultparandused on kaasatud samades pakettides. Kuid kiirparanduse taotluse lehel on Kiirparandused loetletud mõlema operatsioonisüsteemi all. Ühele või mõlemale operatsioonisüsteemile kehtiva kiirparanduspaketi taotlemiseks valige kiirparandus, mis on loetletud leheküljel "Windows 8.1/Windows Server 2012 R2". Vaadake alati artiklites jaotist "Applies To", et teha kindlaks, millisele tegelikule operatsioonisüsteemile iga kiirparandus kehtib.
  • Konkreetse toote, vaheetapi (RTM, SP rakenduvad failidn), ja teenuseharu (LDR, GDR) saab tuvastada failiversiooni numbri kontrollimisega, nagu on näidatud järgmises tabelis:
    VersioonToodeTähtaegTeenuseharu
    6.3.960 0,17xxxWindows 8.1 ja Windows Server 2012 R2RTMGDR
  • MANIFEST-failid (.manifest) ja MUM-failid (.mum) on paigaldatud iga keskkonna puhul on loetletud eraldi Klõpsake jaotises "Lisafailiteave". MUM- ja MANIFEST-failid ning nendega seotud turbekataloogifailid (.cat) on värskendatavate komponentide oleku säilitamiseks äärmiselt olulised. Turbekataloogifailid, mille atribuudid on nimetamata, on allkirjastatud Microsofti digitaalallkirjaga.
Kõik toetatud Windows 8.1 x86-põhised versioonid
Faili nimiFaili versioonFaili mahtKuupäevAegPlatvorm
Ntdsa.MOFPole rakendatav227,76518 – juuni 201312:21Pole rakendatav
Ntdsai.dll6.3.9600.179012,576,89609-juuni-201520:43x 86
Kõik toetatud x 64-põhised versioonid Windows 8.1 ja Windows Server 2012 R2
Faili nimiFaili versioonFaili mahtKuupäevAegPlatvorm
Ntdsa.MOFPole rakendatav227,76518 – juuni 201314:45Pole rakendatav
Ntdsai.dll6.3.9600.179013,684,86409-juuni-201520:49x 64

Täiendav failiteave

Lisafailiteave Windows 8.1 ja Windows Server 2012 R2
Lisafailid kõigi toetatud Windows 8.1 x 86-põhiste versioonide jaoks
Faili atribuutVäärtus
Faili nimiX86_4c2f5adc88a0d6ac17ccdccf2255c6b7_31bf3856ad364e35_6.3.9600.17901_none_ba36e2d18bbebef8.manifest
Faili versioonPole rakendatav
Faili maht712
Kuupäev (UTC)10-juuni-2015
Kellaaeg (UTC)12:46
PlatvormPole rakendatav
Faili nimiX86_microsoft-windows-d... toryservices-ntdsai_31bf3856ad364e35_6.3.9600.17901_none_85b97991d47e36db.manifest
Faili versioonPole rakendatav
Faili maht3,352
Kuupäev (UTC)09-juuni-2015
Kellaaeg (UTC)23:14
PlatvormPole rakendatav
Lisafailid kõigi toetatud x 64-põhised versioonid Windows 8.1 ja Windows Server 2012 R2
Faili atribuutVäärtus
Faili nimiAmd64_94aab516433aef4e5f0c8db414ae7999_31bf3856ad364e35_6.3.9600.17901_none_34c8efb13ae81094.manifest
Faili versioonPole rakendatav
Faili maht716
Kuupäev (UTC)10-juuni-2015
Kellaaeg (UTC)12:46
PlatvormPole rakendatav
Faili nimiAmd64_microsoft-windows-d... toryservices-ntdsai_31bf3856ad364e35_6.3.9600.17901_none_e1d815158cdba811.manifest
Faili versioonPole rakendatav
Faili maht3,356
Kuupäev (UTC)09-juuni-2015
Kellaaeg (UTC)23:49
PlatvormPole rakendatav
Olek
Microsoft on kinnitanud, et see probleem esineb jaotises "Kehtib järgmiste toodete kohta" loetletud Microsofti toodetel.
Lisateave
Üksikasjaliku teabe saamiseks SPN ja UPN unikaalsuse funktsiooni Windows Server 2012 R2.

Samuti võite näha Event ID 11 – Service Principal Name konfigureerimine Lisateabe saamiseks.

Küsige Premiere välja töötaja (PFE) platvormide ajaveebi: Kolmanda osapoole Active Directory siirdamise tööriistade ja 3070083 KB.
Viited
Vt selle terminoloogia mida Microsoft kasutab tarkvaravärskenduste kirjeldamiseks.

Hoiatus. See artikkel on masintõlgitud.

Ominaisuudet

Artikkelin tunnus: 3070083 – Viimeisin tarkistus: 09/06/2015 09:13:00 – Versio: 3.0

Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows 8.1 Enterprise, Windows 8.1 Pro, Windows 8.1

  • kbqfe kbsurveynew kbfix kbhotfixserver kbautohotfix kbexpertiseinter kbmt KB3070083 KbMtet
Palaute