Artikel ini menjelaskan beberapa masalah yang terjadi pada kontroler domain berbasis Windows Server 2012 R2. Perbaikan terbaru tersedia untuk mengatasi masalah ini. Hotfix ini memiliki prasyarat.
Gejala
Mengasumsikan bahwa Anda memiliki kontroler domain yang menjalankan Windows Server 2012 R2, Anda mungkin mengalami salah satu masalah berikut ini.
Masalah 1: Gabung Domain
Anda memiliki komputer baru, dan Anda ingin bergabung ke domain hutan. Nama host komputer yang sama telah digunakan di domain lainnya. Dalam situasi ini, operasi bergabung dengan domain melaporkan keberhasilan. Setelah Anda mengklik OK, Anda akan melihat kotak dialog berikut. Terhapus string yang lama dan baru sufiks utama komputer:
Pesan galat yang menyerupai berikut ini:
Saat memroses mengubah nama Host DNS untuk objek, nilai nama prinsipal Layanan dapat tidak disimpan di sync.
Setelah restart, komputer akan melaporkan diri sendiri sebagai anggota domain, namun interaktif logon dengan akun domain akan gagal, dan Anda akan menerima pesan galat berikut:
Pangkalan data keamanan di server tidak memiliki account komputer ini hubungan kepercayaan workstation.
Anda juga akan menerima pesan galat berikut dalam berkas Netsetup.log:
0: 000021C 7: DSID-03200BA6, masalah 1005 (CONSTRAINT_ATT_TYPE), data 0, Att 90303 (servicePrincipalName)
NetpModifyComputerObjectInDs: ldap_modify_s gagal: 0x13 0x57
Masalah 2: Intra-hutan migrasi
Apabila Anda melakukan migrasi pengguna intra-hutan yang memiliki nama prinsip Layanan (SPN) atau pimpinan (UPN nama pengguna) ditetapkan atau intra-hutan komputer migrasi, migrasi gagal karena account masih ada di katalog global sebagai objek diperkenalkan di domain target yang memiliki atribut ini diisi. Jika objek disimpan di domain baru, SPN duplikat akan dibuat.
Catatan Alat untuk drive migrasi mungkin Active Directory migrasi alat (ADMT), alat migrasi eksternal atau memindahkan- cmdletADObject menggunakan PowerShell direktori aktif.
Masalah 3: SPN konflik dengan SPN dipulihkan objek
Anda memiliki akun dengan SPNs menggunakan akun yang dihapus sekarang. Anda menambahkan SPN objek yang digunakan untuk akun pengguna atau komputer lain di hutan. Ketika Anda sekarang mencoba untuk memulihkan akun dihapus, tindakan gagal karena SPN duplikat.
Catatan Di semua masalah tiga, peristiwa ID 2974 yang menyerupai berikut ini dicatat di log layanan direktori kontroler domain: nomor galat 8647 diterjemahkan ke simbolik nama adalah ERROR_DS_SPN_VALUE_NOT_UNIQUE_IN_FOREST. Untuk deplicate UPN, galat akan nomor 8648 dan ERROR_DS_UPN_VALUE_NOT_UNIQUE_IN_FOREST.
Penyebab
Windows Server 2012 R2 memperkenalkan ketat memeriksa keunikan UPN dan SPN. Berhasil mencegah duplikat SPN dan UPN saat mereka dikendalikan melalui Alat administratif tanpa memerlukan alat untuk melakukan pemeriksaan keunikan itu sendiri.
Masalah yang dijelaskan di artikel ini, hal ini mencegah tugas administratif mana efek tidak jelas.
Pemecahan masalah
Dalam beberapa kasus, Anda dapat menghapus objek yang memblokir tindakan Anda sehingga tindakan tersebut berhasil. Untuk migrasi intra-hutan dan mengembalikan, Anda juga dapat menghapus SPNs dan/atau UPN yang akan duplikat, dan berpotensi menambahkannya kembali pada akun.
Persiapan perubahan tersebut mungkin tidak tersedia pada semua kasus. Oleh karena itu, Microsoft telah dikembangkan pemutakhiran yang memungkinkan mengontrol perilaku kontroler domain. Pemutakhiran ini berlaku untuk pengendali domain berbasis Windows Server 2012 R2. Anda juga dapat menginstal pembaruan ini di server anggota yang calon promosi ke kontroler domain di masa mendatang.
Dengan pembaruan ini, Microsoft menyediakan switch tingkat hutan untuk menonaktifkan atau mengaktifkan keunikan centang hingga atribut dSHeuristics.
Berikut ini adalah nilai yang didukung dSHeuristics:
-
dSHeuristic = 1: AD DS memungkinkan menambahkan nama prinsip duplikat pengguna (UPN)
-
dSHeuristic = 2: AD DS memungkinkan menambahkan nama prinsip Layanan duplikat (SPNs)
-
dSHeuristic = 3: AD DS memungkinkan menambahkan duplikat SPNs dan UPN
-
dSHeuristic = salah satu nilai lainnya: AD DS memberlakukan Periksa keunikan SPNs dan UPN
Contoh:
-
Untuk menonaktifkan pemeriksaan keunikan UPN, rangkaian 21 karakter dSHeuristics "1" (000000000100000000021)
-
Untuk menonaktifkan pemeriksaan keunikan SPN, rangkaian 21 karakter dSHeuristics "2" (000000000100000000022)
-
Untuk menonaktifkan pemeriksaan keunikan UPN dan SPN, rangkaian 21 karakter dSHeuristics "3" (000000000100000000023)
Untuk rincian informasi tentang cara mengubah dSHeuristic, lihat 6.1.1.2.4.1.2 dSHeuristics.
Kami menyarankan Anda menyetel nilai kembali ke 0 bila Anda tahu bermasalah perubahan tidak terjadi lagi. Hal ini dapat terjadi terutama untuk migrasi intra-forest.
Informasi Hotfix
Penting Jika Anda menginstal paket bahasa setelah Anda menginstal perbaikan terbaru ini, Anda harus menginstal perbaikan terbaru ini. Oleh karena itu, kami menyarankan Anda menginstal bahasa setiap paket yang Anda butuhkan sebelum Anda menginstal perbaikan terbaru ini. Untuk informasi selengkapnya, lihat Tambah paket bahasa untuk Windows.
Tersedia hotfix yang didukung dari Microsoft. Namun, hotfix ini ditujukan untuk memperbaiki masalah yang dijelaskan di artikel ini. Menerapkan hotfix ini hanya ke sistem yang mengalami masalah khusus ini.
Apabila hotfix tersedia untuk diunduh, ada bagian "Tersedia Unduhan Hotfix" di bagian atas artikel Pangkalan Pengetahuan ini. Jika bagian ini tidak muncul, kirimkan permintaan ke layanan pelanggan Microsoft dan dukungan untuk mendapatkan hotfix.
Catatan Jika terjadi masalah tambahan atau apabila pemecahan masalah apa pun diperlukan, Anda mungkin harus membuat permintaan layanan secara terpisah. Biaya dukungan biasa akan berlaku untuk dukungan tambahan pertanyaan dan masalah yang tidak memenuhi syarat untuk hotfix ini. Untuk daftar lengkap nomor telepon layanan pelanggan Microsoft dan dukungan atau untuk membuat permintaan layanan terpisah, kunjungi situs web Microsoft berikut:
http://support.microsoft.com/contactus/?ws=supportCatatan Formulir "Tersedia Unduhan Hotfix" menampilkan bahasa hotfix tersedia. Jika Anda tidak melihat bahasa Anda, hal ini karena hotfix tidak tersedia untuk bahasa tersebut.
Prasyarat
Untuk menerapkan hotfix ini, Anda harus memiliki April 2014 update rollup untuk Windows RT 8.1, Windows 8.1, dan Windows Server 2012 R2 (2919355) diinstal di Windows 8.1 atau Windows Server 2012 R2.
Informasi registri
Untuk menggunakan hotfix dalam paket ini, Anda tidak perlu melakukan perubahan apa pun pada registri.
Persyaratan menghidupkan ulang
Anda mungkin harus memulai ulang komputer setelah menerapkan hotfix ini.
Informasi penggantian hotfix
Hotfix ini tidak menggantikan hotfix yang diedarkan sebelumnya.
Versi global dari hotfix ini menginstal berkas yang memiliki atribut yang tercantum dalam tabel berikut. Tanggal dan waktu untuk berkas-berkas tersebut dicantumkan dalam Waktu Universal Terkoordinasi (UTC). Tanggal dan waktu untuk berkas-berkas tersebut di komputer lokal Anda ditampilkan dalam waktu lokal disertai selisih waktu daylight saving (DST) saat. Selain itu, tanggal dan waktu dapat berubah saat Anda menjalankan pengoperasian tertentu pada berkas.
Catatan informasi berkas Windows 8.1 dan Windows Server 2012 R2 dan
Penting Windows Server 2012 R2 dan hotfix Windows 8.1 disertakan dalam paket yang sama. Namun, hotfix pada halaman Permintaan Hotfix dicantumkan pada kedua sistem operasi. Untuk meminta paket hotfix yang berlaku untuk salah satu atau kedua sistem operasi, pilih hotfix yang tercantum di bawah "Windows 8.1/Windows Server 2012 R2" di halaman. Selalu rujuk ke bagian "Berlaku untuk" di artikel untuk menentukan sistem operasi aktual yang diterapkan untuk setiap hotfix.
-
File yang berlaku untuk produk tertentu, peristiwa penting (RTM, SPn), dan cabang layanan (LDR, GDR) dapat diidentifikasi dengan memeriksa nomor versi file seperti yang ditunjukkan pada tabel berikut ini:
Versi
Produk
Peristiwa Penting
Cabang Layanan
6.3.960 0.17xxx
Windows 8.1 dan Windows Server 2012 R2
RTM
GDR
-
Berkas MANIFEST (.manifest) dan berkas MUM (.mum) yang diinstal untuk setiap lingkungan yang dicantumkan secara terpisah di bagian "informasi berkas tambahan". File MUM dan MANIFEST dan terkait keamanan file Katalog (.cat), yang sangat penting untuk mempertahankan status komponen pemutakhiran. File Katalog keamanan, di mana atribut tidak dicantumkan, ditandai dengan tanda tangan digital Microsoft.
Untuk semua Windows 8.1 versi x86 yang didukung
|
Nama file |
Versi file |
Ukuran file |
Tanggal |
Waktu |
Platform |
|---|---|---|---|---|---|
|
Ntdsa.mof |
Tidak dapat diterapkan |
227,765 |
18-Jun-2013 |
12:21 |
Tidak dapat diterapkan |
|
Ntdsai.dll |
6.3.9600.17901 |
2,576,896 |
09-Jun-2015 |
20:43 |
x86 |
Untuk semua versi berbasis x64 Windows 8.1 dan Windows Server 2012 R2 yang didukung
|
Nama file |
Versi file |
Ukuran file |
Tanggal |
Waktu |
Platform |
|---|---|---|---|---|---|
|
Ntdsa.mof |
Tidak dapat diterapkan |
227,765 |
18-Jun-2013 |
14:45 |
Tidak dapat diterapkan |
|
Ntdsai.dll |
6.3.9600.17901 |
3,684,864 |
09-Jun-2015 |
20:49 |
x64 |
Informasi file tambahan
Informasi berkas tambahan untuk Windows 8.1 dan untuk Windows Server 2012 R2
File tambahan untuk semua Windows 8.1 versi x86 yang didukung
|
Properti file |
Nilai |
|---|---|
|
Nama file |
X86_4c2f5adc88a0d6ac17ccdccf2255c6b7_31bf3856ad364e35_6.3.9600.17901_none_ba36e2d18bbebef8.manifest |
|
Versi file |
Tidak dapat diterapkan |
|
Ukuran file |
712 |
|
Tanggal (UTC) |
10-Jun-2015 |
|
Waktu (UTC) |
12:46 |
|
Platform |
Tidak dapat diterapkan |
|
Nama file |
X86_microsoft-windows-d..toryservices-ntdsai_31bf3856ad364e35_6.3.9600.17901_none_85b97991d47e36db.manifest |
|
Versi file |
Tidak dapat diterapkan |
|
Ukuran file |
3,352 |
|
Tanggal (UTC) |
09-Jun-2015 |
|
Waktu (UTC) |
23:14 |
|
Platform |
Tidak dapat diterapkan |
Berkas tambahan untuk semua versi Windows 8.1 dan Windows Server 2012 R2 berbasis x64 yang didukung
|
Properti file |
Nilai |
|---|---|
|
Nama file |
Amd64_94aab516433aef4e5f0c8db414ae7999_31bf3856ad364e35_6.3.9600.17901_none_34c8efb13ae81094.manifest |
|
Versi file |
Tidak dapat diterapkan |
|
Ukuran file |
716 |
|
Tanggal (UTC) |
10-Jun-2015 |
|
Waktu (UTC) |
12:46 |
|
Platform |
Tidak dapat diterapkan |
|
Nama file |
Amd64_microsoft-windows-d..toryservices-ntdsai_31bf3856ad364e35_6.3.9600.17901_none_e1d815158cdba811.manifest |
|
Versi file |
Tidak dapat diterapkan |
|
Ukuran file |
3,356 |
|
Tanggal (UTC) |
09-Jun-2015 |
|
Waktu (UTC) |
23:49 |
|
Platform |
Tidak dapat diterapkan |
Status
Microsoft telah memastikan bahwa ini merupakan masalah di dalam produk Microsoft sebagaimana tercantum di bagian "Berlaku untuk".
Informasi lebih lanjut
Lihat informasi rinci tentang fitur keunikan SPN dan UPN di Windows Server 2012 R2.
Anda juga dapat melihat nomor peristiwa 11-konfigurasi nama prinsip Layanan untuk informasi selengkapnya.
Meminta Premiere bidang teknisi (Rachmadi) platform blog: pihak ketiga alat migrasi direktori aktif dan KB 3070083.
Referensi
Lihat peristilahan yang digunakan untuk menjelaskan pemutakhiran perangkat lunak Microsoft.
