Cet article décrit certains problèmes qui se produisent sur un contrôleur de domaine Windows Server 2012 R2. Un correctif est disponible pour résoudre ces problèmes. Le correctif est une condition préalable.
Symptômes
Supposons que vous disposez d’un contrôleur de domaine qui exécute Windows Server 2012 R2, vous pouvez rencontrer un des problèmes suivants.
Problème 1 : Jonction de domaine
Vous avez un nouvel ordinateur, et que vous souhaitez joindre à un domaine de la forêt. Le même nom d’ordinateur hôte est déjà utilisé dans un autre domaine. Dans ce cas, l’opération de jonction de domaine signale une réussite. Après avoir cliqué sur OK, vous verrez la boîte de dialogue suivante. Les chaînes effacées sont l’ancien et le nouveau suffixe principal de l’ordinateur :
Le message d’erreur semblable au suivant :
Lors du traitement d’une modification au nom d’hôte DNS pour un objet, les valeurs du nom Principal de Service ne peuvent rester synchronisées.
Après le redémarrage, l’ordinateur signale lui-même en tant que membre d’un domaine, mais ouverture de session interactive avec un compte de domaine échoue et vous recevez le message d’erreur suivant :
La base de données de sécurité sur le serveur n’a pas de compte d’ordinateur pour cette relation d’approbation de station de travail.
Vous recevrez également le message d’erreur suivant dans le fichier Netsetup.log :
0 : 000021C 7 : DSID-03200BA6, problème 1005 (CONSTRAINT_ATT_TYPE), données 0, Att 90303 (servicePrincipalName)
NetpModifyComputerObjectInDs : échec ldap_modify_s : 0x13 0x57
Problème 2 : Migration Intra-forêt
Si vous effectuez une migration d’utilisateur intra-forêt qui a le nom principal de service (SPN) ou le nom d’utilisateur principal (UPN) définis ou migration intra-forêt, la migration échoue parce que le compte existe toujours dans le catalogue global que l’objet a été introduite dans le domaine cible possédant ces attributs. Si l’objet a été enregistré dans le nouveau domaine, un SPN en double sont créé.
Remarque Les outils pour la migration du lecteur peuvent être Active Directory outil de Migration (ADMT), les outils de migration externe ou du déplacer-ADObject applet de commande à l’aide de Active Directory PowerShell.
Problème 3 : Conflits de nom principal de service avec SPN sur l’objet restauré
Vous avez un compte avec les noms principaux de service en cours d’utilisation sur un compte qui est supprimé maintenant. Vous ajoutez un SPN pour l’objet qui permet de disposer d’un autre compte d’utilisateur ou d’ordinateur dans la forêt. Lorsque vous essayez maintenant restaurer le compte supprimé, l’action échoue en raison du SPN en double.
Remarque Dans tous les trois problèmes, événement 2974 de code semblable au suivant est enregistré dans le journal du Service d’annuaire du contrôleur de domaine : le numéro d’erreur 8647 traduit symbolique de nom est ERROR_DS_SPN_VALUE_NOT_UNIQUE_IN_FOREST. Pour deplicate UPN, l’erreur est numéro 8648 et ERROR_DS_UPN_VALUE_NOT_UNIQUE_IN_FOREST.
Cause
Windows Server 2012 R2 introduit une vérification restrictives de l’unicité de nom UPN et le SPN. Il empêche avec succès en double SPN et UPN lorsqu’où ils sont pilotés par le biais des outils d’administration sans avoir besoin de l’outil pour effectuer une vérification d’unicité lui-même.
Dans les problèmes qui ont été décrits dans cet article, il empêche les tâches d’administration lorsque l’effet n’est pas évidente.
Résolution
Dans certains cas, vous pouvez supprimer les objets qui bloquent votre action afin que l’action soit réussie. Pour les migrations intra-forêt et les restaurations, vous pouvez également supprimer les noms principaux de service et/ou de l’UPN en double, et éventuellement de les ajouter sur le compte.
Une telle modification de préparation n’est peut-être pas possible dans tous les cas. Par conséquent, Microsoft a développé une mise à jour qui permet de contrôler le comportement de contrôleur de domaine. Cette mise à jour s’applique aux contrôleurs de domaine Windows Server 2012 R2. Vous pouvez également installer cette mise à jour sur les serveurs membres qui sont des candidats pour la promotion d’un contrôleur de domaine dans le futur.
Cette mise à jour, Microsoft fournit un commutateur au niveau de la forêt pour désactiver ou activer le contrôle d’unicité à travers l’attribut dSHeuristics.
Les valeurs dSHeuristics pris en charge sont les suivantes :
-
dSHeuristic = 1 : les services AD DS permet d’ajouter des noms d’utilisateur dupliqués principal (UPN)
-
dSHeuristic = 2 : les services AD DS permet d’ajouter des noms principaux de service en double (SPN)
-
dSHeuristic = 3 : les services AD DS autorise l’ajout de SPN en double et les UPN
-
dSHeuristic = aucune autre valeur : AD DS met en œuvre le contrôle d’unicité pour les noms principaux de service et noms UPN
Exemples :
-
Pour désactiver la vérification de l’unicité de nom UPN, définissez le caractère 21 de dSHeuristics à « 1 » (000000000100000000021)
-
Pour désactiver la vérification de l’unicité de nom principal de service, définissez le caractère 21 de dSHeuristics sur « 2 » (000000000100000000022)
-
Pour désactiver les vérifications d’unicité de nom UPN et le SPN, définir le caractère 21 de dSHeuristics sur « 3 » (000000000100000000023)
Pour plus d’informations sur la modification dSHeuristic, voir 6.1.1.2.4.1.2 dSHeuristics.
Nous vous conseillons de définir la valeur à 0 lorsque vous savez que les modifications qui pose problème ne sont produisent pas plus. Cela peut être le cas en particulier pour les migrations intra-forêt.
Informations sur le correctif
Important Si vous installez un pack de langue après avoir installé ce correctif, vous devez réinstaller ce correctif. Par conséquent, nous vous conseillons d’installer tous les pack de langage dont vous avez besoin avant d’installer ce correctif. Pour plus d'informations, consultez Ajouter les modules linguistiques pour Windows.
Un correctif pris en charge est disponible auprès de Microsoft. Toutefois, ce correctif vise à corriger uniquement le problème décrit dans cet article. Appliquez ce correctif uniquement aux systèmes rencontrant ce problème spécifique.
Si le correctif est disponible pour le téléchargement, il existe une section « Téléchargement de correctif logiciel disponible » au début de cet article de la Base de connaissances. Si cette section n’apparaît pas, soumettez une demande au Service Clients et Support de Microsoft pour obtenir le correctif.
Remarque Si des problèmes supplémentaires se produisent ou si des procédures de dépannage sont nécessaires, vous devrez peut-être formuler une demande de service distincte. Les coûts habituels du support technique s'appliqueront aux questions et problèmes qui ne relèvent pas de ce correctif logiciel. Pour une liste complète des numéros de téléphone service clientèle de Microsoft ou pour créer une demande de service distincte, visitez le site Web Microsoft suivant :
http://support.microsoft.com/contactus/?ws=supportRemarque Le formulaire « Téléchargement de correctif logiciel disponible » affiche les langues pour lesquelles le correctif est disponible. Si vous ne voyez pas votre langue, c'est parce qu'il n'y a pas de correctif disponible pour cette langue.
Conditions préalables
Pour appliquer ce correctif, vous devez avoir la mise à jour cumulative [2919355] d'Avril 2014 pour : Windows RT 8.1, Windows 8.1 et Windows Server 2012 R2 installée dans Windows 8.1 ou Windows Server 2012 R2,.
Informations concernant le Registre
Pour utiliser le correctif dans ce package, il est inutile d'apporter des modifications au Registre.
Nécessite un redémarrage
Vous devrez peut-être redémarrer l'ordinateur après avoir appliqué ce correctif.
Informations de remplacement du correctif
Ce correctif ne remplace pas un correctif précédemment publié.
La version globale de ce correctif logiciel installe des fichiers dont les attributs sont répertoriés dans les tableaux ci-dessous. Les dates et heures de ces fichiers sont répertoriées en temps universel coordonné (UTC). Les dates et heures de ces fichiers sur votre ordinateur local sont affichées dans votre heure locale en tenant compte de l'heure d'été (DST). En outre, les dates et heures peuvent changer lorsque vous effectuez certaines opérations sur les fichiers.
Remarques et informations sur les fichiers Windows 8.1 et Windows Server 2012 R2
Important Les correctifs logiciels Windows 8.1 et Windows Server 2012 R2 sont inclus dans les mêmes packages. Toutefois, les correctifs dans la page de demande de correctif logiciel sont répertoriés sous les deux systèmes d’exploitation. Pour demander le package de correctif qui s’applique à un ou deux systèmes d’exploitation, sélectionnez le correctif logiciel qui est répertorié sous « Windows 8.1 et Windows Server 2012 R2 » sur la page. Reportez-vous toujours à la section « S’applique à » dans les articles pour déterminer le système d’exploitation actif auquel s’applique chaque correctif.
-
Les fichiers qui s'appliquent à un produit spécifique, un jalon (RTM, SPn) et à un dossier (LDR, GDR) peuvent être identifiés en examinant les numéros de version de fichier comme indiqué dans le tableau suivant :
Version francaise
Produit
Jalon
Dossier
6.3.960 0.17xxx
Windows 8.1 et Windows Server 2012 R2
RTM
GDR
-
Les fichiers MANIFEST (.manifest) et MUM (.mum) qui sont installés pour chaque environnement sont répertoriés séparément dans la section « informations supplémentaires sur les fichiers». Les fichiers MUM, MANIFEST et ceux du catalogue de sécurité (.cat) associés sont très importants pour conserver l'état des composants mis à jour. Les fichiers de catalogue de sécurité, pour lesquels les attributs ne sont pas répertoriés, sont signés avec une signature numérique Microsoft.
Pour toutes les versions x86 prises en charge de Windows 8.1
|
Nom de fichier |
Version de fichier |
Taille du fichier |
Date |
Heure |
Plateforme |
|---|---|---|---|---|---|
|
Ntdsa.mof |
Ne s'applique pas |
227,765 |
18-Jun-2013 |
12:21 |
Ne s'applique pas |
|
Ntdsai.dll |
6.3.9600.17901 |
2,576,896 |
09-Jun-2015 |
20:43 |
x86 |
Pour toutes les versions x64 prises en charge de Windows 8.1 et de Windows Server 2012 R2
|
Nom de fichier |
Version de fichier |
Taille du fichier |
Date |
Heure |
Plateforme |
|---|---|---|---|---|---|
|
Ntdsa.mof |
Ne s'applique pas |
227,765 |
18-Jun-2013 |
14:45 |
Ne s'applique pas |
|
Ntdsai.dll |
6.3.9600.17901 |
3,684,864 |
09-Jun-2015 |
20:49 |
x64 |
Informations sur les fichiers supplémentaires
Informations sur les fichiers supplémentaires pour Windows 8.1 et Windows Server 2012 R2
Fichiers supplémentaires pour toutes les versions x 86 prises en charge de Windows 8.1.
|
Propriété de fichier |
Valeur |
|---|---|
|
Nom de fichier |
X86_4c2f5adc88a0d6ac17ccdccf2255c6b7_31bf3856ad364e35_6.3.9600.17901_none_ba36e2d18bbebef8.manifest |
|
Version de fichier |
Ne s'applique pas |
|
Taille du fichier |
712 |
|
Date (UTC) |
10-Jun-2015 |
|
Heure (UTC) |
12:46 |
|
Plateforme |
Ne s'applique pas |
|
Nom de fichier |
X86_microsoft-windows-d..toryservices-ntdsai_31bf3856ad364e35_6.3.9600.17901_none_85b97991d47e36db.manifest |
|
Version de fichier |
Ne s'applique pas |
|
Taille du fichier |
3,352 |
|
Date (UTC) |
09-Jun-2015 |
|
Heure (UTC) |
23:14 |
|
Plateforme |
Ne s'applique pas |
Fichiers supplémentaires pour toutes les versions x64 prises en charge de Windows 8.1 et de Windows Server 2012 R2
|
Propriété de fichier |
Valeur |
|---|---|
|
Nom de fichier |
Amd64_94aab516433aef4e5f0c8db414ae7999_31bf3856ad364e35_6.3.9600.17901_none_34c8efb13ae81094.manifest |
|
Version de fichier |
Ne s'applique pas |
|
Taille du fichier |
716 |
|
Date (UTC) |
10-Jun-2015 |
|
Heure (UTC) |
12:46 |
|
Plateforme |
Ne s'applique pas |
|
Nom de fichier |
Amd64_microsoft-windows-d..toryservices-ntdsai_31bf3856ad364e35_6.3.9600.17901_none_e1d815158cdba811.manifest |
|
Version de fichier |
Ne s'applique pas |
|
Taille du fichier |
3,356 |
|
Date (UTC) |
09-Jun-2015 |
|
Heure (UTC) |
23:49 |
|
Plateforme |
Ne s'applique pas |
État
Microsoft a confirmé l'existence de ce problème dans les produits Microsoft répertoriés dans la section « S'applique à ».
Plus d'informations
Consultez des informations détaillées sur une fonctionnalité d’unicité SPN et UPN dans Windows Server 2012 R2.
Vous pouvez également voir ID d’événement 11 : Configuration de noms principaux de Service pour plus d’informations.
Demandez le blog de plates-formes d’ingénierie de champ Premiere (PFE) : Outils de Migration tiers Active Directory et 3070083 de la base de connaissances.
Références
Consultez la terminologie que Microsoft utilise pour décrire les mises à jour logicielles.
