Artikel ini menjelaskan beberapa masalah yang terjadi pada kontroler domain berbasis Windows Server 2012 R2. Perbaikan terbaru tersedia untuk mengatasi masalah ini. Hotfix ini memiliki prasyarat.

Gejala

Mengasumsikan bahwa Anda memiliki kontroler domain yang menjalankan Windows Server 2012 R2, Anda mungkin mengalami salah satu masalah berikut ini.

Masalah 1: Gabung Domain

Anda memiliki komputer baru, dan Anda ingin bergabung ke domain hutan. Nama host komputer yang sama telah digunakan di domain lainnya. Dalam situasi ini, operasi bergabung dengan domain melaporkan keberhasilan. Setelah Anda mengklik OK, Anda akan melihat kotak dialog berikut. Terhapus string yang lama dan baru sufiks utama komputer:



Pesan galat yang menyerupai berikut ini:


Saat memroses mengubah nama Host DNS untuk objek, nilai nama prinsipal Layanan dapat tidak disimpan di sync.


Setelah restart, komputer akan melaporkan diri sendiri sebagai anggota domain, namun interaktif logon dengan akun domain akan gagal, dan Anda akan menerima pesan galat berikut:


Pangkalan data keamanan di server tidak memiliki account komputer ini hubungan kepercayaan workstation.


Anda juga akan menerima pesan galat berikut dalam berkas Netsetup.log:


0: 000021C 7: DSID-03200BA6, masalah 1005 (CONSTRAINT_ATT_TYPE), data 0, Att 90303 (servicePrincipalName)
NetpModifyComputerObjectInDs: ldap_modify_s gagal: 0x13 0x57


Masalah 2: Intra-hutan migrasi

Apabila Anda melakukan migrasi pengguna intra-hutan yang memiliki nama prinsip Layanan (SPN) atau pimpinan (UPN nama pengguna) ditetapkan atau intra-hutan komputer migrasi, migrasi gagal karena account masih ada di katalog global sebagai objek diperkenalkan di domain target yang memiliki atribut ini diisi. Jika objek disimpan di domain baru, SPN duplikat akan dibuat.

CatatanĀ Alat untuk drive migrasi mungkin Active Directory migrasi alat (ADMT), alat migrasi eksternal atau memindahkan- cmdletADObject menggunakan PowerShell direktori aktif.

Masalah 3: SPN konflik dengan SPN dipulihkan objek

Anda memiliki akun dengan SPNs menggunakan akun yang dihapus sekarang. Anda menambahkan SPN objek yang digunakan untuk akun pengguna atau komputer lain di hutan. Ketika Anda sekarang mencoba untuk memulihkan akun dihapus, tindakan gagal karena SPN duplikat.

CatatanĀ Di semua masalah tiga, peristiwa ID 2974 yang menyerupai berikut ini dicatat di log layanan direktori kontroler domain: nomor galat 8647 diterjemahkan ke simbolik nama adalah ERROR_DS_SPN_VALUE_NOT_UNIQUE_IN_FOREST. Untuk deplicate UPN, galat akan nomor 8648 dan ERROR_DS_UPN_VALUE_NOT_UNIQUE_IN_FOREST.

Penyebab

Windows Server 2012 R2 memperkenalkan ketat memeriksa keunikan UPN dan SPN. Berhasil mencegah duplikat SPN dan UPN saat mereka dikendalikan melalui Alat administratif tanpa memerlukan alat untuk melakukan pemeriksaan keunikan itu sendiri.

Masalah yang dijelaskan di artikel ini, hal ini mencegah tugas administratif mana efek tidak jelas.

Pemecahan masalah

Dalam beberapa kasus, Anda dapat menghapus objek yang memblokir tindakan Anda sehingga tindakan tersebut berhasil. Untuk migrasi intra-hutan dan mengembalikan, Anda juga dapat menghapus SPNs dan/atau UPN yang akan duplikat, dan berpotensi menambahkannya kembali pada akun.

Persiapan perubahan tersebut mungkin tidak tersedia pada semua kasus. Oleh karena itu, Microsoft telah dikembangkan pemutakhiran yang memungkinkan mengontrol perilaku kontroler domain. Pemutakhiran ini berlaku untuk pengendali domain berbasis Windows Server 2012 R2. Anda juga dapat menginstal pembaruan ini di server anggota yang calon promosi ke kontroler domain di masa mendatang.

Dengan pembaruan ini, Microsoft menyediakan switch tingkat hutan untuk menonaktifkan atau mengaktifkan keunikan centang hingga atribut dSHeuristics.

Berikut ini adalah nilai yang didukung dSHeuristics:

  1. dSHeuristic = 1: AD DS memungkinkan menambahkan nama prinsip duplikat pengguna (UPN)

  2. dSHeuristic = 2: AD DS memungkinkan menambahkan nama prinsip Layanan duplikat (SPNs)

  3. dSHeuristic = 3: AD DS memungkinkan menambahkan duplikat SPNs dan UPN

  4. dSHeuristic = salah satu nilai lainnya: AD DS memberlakukan Periksa keunikan SPNs dan UPN

Contoh:

  1. Untuk menonaktifkan pemeriksaan keunikan UPN, rangkaian 21 karakter dSHeuristics "1" (000000000100000000021)

  2. Untuk menonaktifkan pemeriksaan keunikan SPN, rangkaian 21 karakter dSHeuristics "2" (000000000100000000022)

  3. Untuk menonaktifkan pemeriksaan keunikan UPN dan SPN, rangkaian 21 karakter dSHeuristics "3" (000000000100000000023)

Untuk rincian informasi tentang cara mengubah dSHeuristic, lihat 6.1.1.2.4.1.2 dSHeuristics.

Kami menyarankan Anda menyetel nilai kembali ke 0 bila Anda tahu bermasalah perubahan tidak terjadi lagi. Hal ini dapat terjadi terutama untuk migrasi intra-forest.

Informasi Hotfix

Penting Jika Anda menginstal paket bahasa setelah Anda menginstal perbaikan terbaru ini, Anda harus menginstal perbaikan terbaru ini. Oleh karena itu, kami menyarankan Anda menginstal bahasa setiap paket yang Anda butuhkan sebelum Anda menginstal perbaikan terbaru ini. Untuk informasi selengkapnya, lihat Tambah paket bahasa untuk Windows.

Tersedia hotfix yang didukung dari Microsoft. Namun, hotfix ini ditujukan untuk memperbaiki masalah yang dijelaskan di artikel ini. Menerapkan hotfix ini hanya ke sistem yang mengalami masalah khusus ini.

Apabila hotfix tersedia untuk diunduh, ada bagian "Tersedia Unduhan Hotfix" di bagian atas artikel Pangkalan Pengetahuan ini. Jika bagian ini tidak muncul, kirimkan permintaan ke layanan pelanggan Microsoft dan dukungan untuk mendapatkan hotfix.

Catatan Jika terjadi masalah tambahan atau apabila pemecahan masalah apa pun diperlukan, Anda mungkin harus membuat permintaan layanan secara terpisah. Biaya dukungan biasa akan berlaku untuk dukungan tambahan pertanyaan dan masalah yang tidak memenuhi syarat untuk hotfix ini. Untuk daftar lengkap nomor telepon layanan pelanggan Microsoft dan dukungan atau untuk membuat permintaan layanan terpisah, kunjungi situs web Microsoft berikut:

http://support.microsoft.com/contactus/?ws=supportCatatan Formulir "Tersedia Unduhan Hotfix" menampilkan bahasa hotfix tersedia. Jika Anda tidak melihat bahasa Anda, hal ini karena hotfix tidak tersedia untuk bahasa tersebut.

Prasyarat

Untuk menerapkan hotfix ini, Anda harus memiliki April 2014 update rollup untuk Windows RT 8.1, Windows 8.1, dan Windows Server 2012 R2 (2919355) diinstal di Windows 8.1 atau Windows Server 2012 R2.

Informasi registri

Untuk menggunakan hotfix dalam paket ini, Anda tidak perlu melakukan perubahan apa pun pada registri.

Persyaratan menghidupkan ulang

Anda mungkin harus memulai ulang komputer setelah menerapkan hotfix ini.

Informasi penggantian hotfix

Hotfix ini tidak menggantikan hotfix yang diedarkan sebelumnya.

Versi global dari hotfix ini menginstal berkas yang memiliki atribut yang tercantum dalam tabel berikut. Tanggal dan waktu untuk berkas-berkas tersebut dicantumkan dalam Waktu Universal Terkoordinasi (UTC). Tanggal dan waktu untuk berkas-berkas tersebut di komputer lokal Anda ditampilkan dalam waktu lokal disertai selisih waktu daylight saving (DST) saat. Selain itu, tanggal dan waktu dapat berubah saat Anda menjalankan pengoperasian tertentu pada berkas.

Catatan informasi berkas Windows 8.1 dan Windows Server 2012 R2 dan

Penting Windows Server 2012 R2 dan hotfix Windows 8.1 disertakan dalam paket yang sama. Namun, hotfix pada halaman Permintaan Hotfix dicantumkan pada kedua sistem operasi. Untuk meminta paket hotfix yang berlaku untuk salah satu atau kedua sistem operasi, pilih hotfix yang tercantum di bawah "Windows 8.1/Windows Server 2012 R2" di halaman. Selalu rujuk ke bagian "Berlaku untuk" di artikel untuk menentukan sistem operasi aktual yang diterapkan untuk setiap hotfix.

  • File yang berlaku untuk produk tertentu, peristiwa penting (RTM, SPn), dan cabang layanan (LDR, GDR) dapat diidentifikasi dengan memeriksa nomor versi file seperti yang ditunjukkan pada tabel berikut ini:

    Versi

    Produk

    Peristiwa Penting

    Cabang Layanan

    6.3.960 0.17xxx

    Windows 8.1 dan Windows Server 2012 R2

    RTM

    GDR

  • Berkas MANIFEST (.manifest) dan berkas MUM (.mum) yang diinstal untuk setiap lingkungan yang dicantumkan secara terpisah di bagian "informasi berkas tambahan". File MUM dan MANIFEST dan terkait keamanan file Katalog (.cat), yang sangat penting untuk mempertahankan status komponen pemutakhiran. File Katalog keamanan, di mana atribut tidak dicantumkan, ditandai dengan tanda tangan digital Microsoft.

Untuk semua Windows 8.1 versi x86 yang didukung

Nama file

Versi file

Ukuran file

Tanggal

Waktu

Platform

Ntdsa.mof

Tidak dapat diterapkan

227,765

18-Jun-2013

12:21

Tidak dapat diterapkan

Ntdsai.dll

6.3.9600.17901

2,576,896

09-Jun-2015

20:43

x86

Untuk semua versi berbasis x64 Windows 8.1 dan Windows Server 2012 R2 yang didukung

Nama file

Versi file

Ukuran file

Tanggal

Waktu

Platform

Ntdsa.mof

Tidak dapat diterapkan

227,765

18-Jun-2013

14:45

Tidak dapat diterapkan

Ntdsai.dll

6.3.9600.17901

3,684,864

09-Jun-2015

20:49

x64

Informasi file tambahan

Informasi berkas tambahan untuk Windows 8.1 dan untuk Windows Server 2012 R2

File tambahan untuk semua Windows 8.1 versi x86 yang didukung

Properti file

Nilai

Nama file

X86_4c2f5adc88a0d6ac17ccdccf2255c6b7_31bf3856ad364e35_6.3.9600.17901_none_ba36e2d18bbebef8.manifest

Versi file

Tidak dapat diterapkan

Ukuran file

712

Tanggal (UTC)

10-Jun-2015

Waktu (UTC)

12:46

Platform

Tidak dapat diterapkan

Nama file

X86_microsoft-windows-d..toryservices-ntdsai_31bf3856ad364e35_6.3.9600.17901_none_85b97991d47e36db.manifest

Versi file

Tidak dapat diterapkan

Ukuran file

3,352

Tanggal (UTC)

09-Jun-2015

Waktu (UTC)

23:14

Platform

Tidak dapat diterapkan

Berkas tambahan untuk semua versi Windows 8.1 dan Windows Server 2012 R2 berbasis x64 yang didukung

Properti file

Nilai

Nama file

Amd64_94aab516433aef4e5f0c8db414ae7999_31bf3856ad364e35_6.3.9600.17901_none_34c8efb13ae81094.manifest

Versi file

Tidak dapat diterapkan

Ukuran file

716

Tanggal (UTC)

10-Jun-2015

Waktu (UTC)

12:46

Platform

Tidak dapat diterapkan

Nama file

Amd64_microsoft-windows-d..toryservices-ntdsai_31bf3856ad364e35_6.3.9600.17901_none_e1d815158cdba811.manifest

Versi file

Tidak dapat diterapkan

Ukuran file

3,356

Tanggal (UTC)

09-Jun-2015

Waktu (UTC)

23:49

Platform

Tidak dapat diterapkan

Status

Microsoft telah memastikan bahwa ini merupakan masalah di dalam produk Microsoft sebagaimana tercantum di bagian "Berlaku untuk".

Informasi lebih lanjut

Lihat informasi rinci tentang fitur keunikan SPN dan UPN di Windows Server 2012 R2.

Anda juga dapat melihat nomor peristiwa 11-konfigurasi nama prinsip Layanan untuk informasi selengkapnya.

Meminta Premiere bidang teknisi (Rachmadi) platform blog: pihak ketiga alat migrasi direktori aktif dan KB 3070083.

Referensi

Lihat peristilahan yang digunakan untuk menjelaskan pemutakhiran perangkat lunak Microsoft.

Perlu bantuan lainnya?

Kembangkan keterampilan Anda

JELAJAHI PELATIHAN >

Dapatkan fitur baru terlebih dahulu

GABUNG MICROSOFT INSIDER >

Apakah informasi ini bermanfaat?

Seberapa puaskah Anda dengan kualitas bahasanya?
Apa yang memengaruhi pengalaman Anda?

Terima kasih atas umpan balik Anda!

×