Controllo SPN duplicati su controller di dominio basato su Windows Server 2012 R2 provoca il ripristino, aggiunta a un dominio e la migrazione degli errori

IMPORTANTE: il presente articolo è stato tradotto tramite un software di traduzione automatica di Microsoft ed eventualmente revisionato dalla community Microsoft tramite la tecnologia CTF (Community Translation Framework) o da un traduttore professionista. Microsoft offre articoli tradotti manualmente e altri tradotti automaticamente e rivisti dalla community con l’obiettivo di consentire all'utente di accedere a tutti gli articoli della Knowledge Base nella propria lingua. Tuttavia, un articolo tradotto automaticamente, anche se rivisto dalla community, non sempre è perfetto. Potrebbe contenere errori di vocabolario, di sintassi o di grammatica. Microsoft declina ogni responsabilità per imprecisioni, errori o danni causati da una traduzione sbagliata o dal relativo utilizzo da parte dei clienti. Microsoft aggiorna frequentemente il software e gli strumenti di traduzione automatica per continuare a migliorare la qualità della traduzione.

Clicca qui per visualizzare la versione originale in inglese dell’articolo: 3070083
In questo articolo vengono descritti alcuni problemi che si verificano su un controller di dominio basato su Windows Server 2012 R2. Un hotfix è disponibile per risolvere questi problemi. L'aggiornamento rapido è unaprerequisito.
Sintomi
Si supponga che si dispone di un controller di dominio che esegue Windows Server 2012 R2, è possibile riscontrare uno dei seguenti problemi.

Problema 1: Aggiunta a un dominio

È un nuovo computer che si desidera aggiungerlo toa dominio della foresta. Lo stesso nome host è già utilizzato in un altro dominio. In questo caso, l'operazione di join dominio segnala l'esito positivo. Dopo youclickOK, vedrete la seguente finestra di dialogo. Le stringhe cancellate sono il vecchio e il nuovo suffisso primario del computer:

Questa è la schermata del cambiamenti dominio/nome Computer

Proprietà errormessage simile al seguente:

Durante l'elaborazione di una modifica al nome Host DNS per un oggetto, i valori di nome principale servizio Impossibile mantenere sincronizzati.

Dopo il riavvio, il computer verrà rilevato come un membro di dominio, ma accesso interattivo con un account di dominio avrà esito negativo e viene visualizzato il seguente messaggio di errore:

Il database di protezione sul server non dispone di un account computer per la relazione di trust della workstation.

Potrai alsoreceive il messaggio followingerror nel file Netsetup:

0: 7 000021C: DSID-03200BA6, problema 1005 (CONSTRAINT_ATT_TYPE), dati 0, Att 90303 (servicePrincipalName)
NetpModifyComputerObjectInDs: non è risultato di ldap_modify_s: 0x13 0x57

Rilascio 2:Intra-migrazione tra insiemi di strutture

Se si esegue la migrazione di utente un insieme di strutture che ha il nome dell'entità servizio (SPN) o user principal name (UPN) definito o la migrazione computer insieme di strutture, la migrazione non riesce perché l'account è ancora presente nel catalogo globale come l'oggetto è stato introdotto nel dominio di destinazione che dispone di questi attributi popolati. Se l'oggetto è stato salvato nel nuovo dominio, verrebbe creato un SPN duplicato.

Nota Gli strumenti per guidare le migrazioni potrebbero essere ADMT Active Directory Migration Tool (), strumenti di migrazione esterna o di spostare- cmdletADObjectda usingActive DirectoryPowerShell.

Problema 3: SPN è in conflitto con SPN sull'oggetto ripristinato

Si dispone di un account con SPN in uso su un account che viene eliminato subito. Youadd un SPN per l'oggetto utilizzato per disporre di un altro account utente o computer nell'insieme di strutture. Quando si prova a ripristinare l'account eliminato, l'azione non riesce a causa di SPN duplicati.

Nota In tutti e tre i problemi, nel registro del servizio Directory del controller di dominio viene registrato l'evento ID 2974 analogo al seguente:


Nome di registro: Servizio di Directory
Origine: Microsoft-Windows-ActiveDirectory_DomainService
ID evento: 2974
Categoria di attività: Catalogo globale
Livello: errore
Parole chiave: classico
Descrizione: Il valore dell'attributo fornito non è univoco di strutture o partizione. Attributo: servicePrincipalName Value=HOST/server1.contoso.com
CN = Server1, OU = Server membro, DC = contoso, DC = com Winerror: 8647

Il numero di errore 8647 traduce simbolico a nome è ERROR_DS_SPN_VALUE_NOT_UNIQUE_IN_FOREST. Per deplicate UPN, l'errore potrebbe essere numero 8648 ed ERROR_DS_UPN_VALUE_NOT_UNIQUE_IN_FOREST.
Cause
Windows Server 2012 R2 ha introdotto restrittive verifica l'univocità UPN e SPN. Correttamente impedisce UPN e SPN quando essi sono gestiti tramite strumenti di amministrazione senza richiedere lo strumento per eseguire un controllo di univocità.

Problemi che sono stati descritti in questo articolo, impedisce le attività amministrative in cui l'effetto non è ovvio.
Risoluzione
In alcuni casi, è possibile eliminare gli oggetti che bloccano l'azione in modo che l'operazione viene completata. Per le migrazioni di insieme di strutture e i ripristini, è inoltre possibile eliminare il SPN e/o UPN che essere duplicato e potenzialmente aggiungerli nuovamente sul conto.

Tale modifica preparazione potrebbe non essere possibile in tutti i casi. Di conseguenza, Microsoft ha sviluppato un aggiornamento che consente di controllare il comportamento di controller di dominio. Questo aggiornamento si applica ai controller di dominio basato su Windows Server 2012 R2. È anche possibile installare questo aggiornamento sui server membri che sono candidati per la promozione a controller di dominio in futuro.

Con questo aggiornamento, Microsoft offre un'opzione del livello di insieme di strutture per disattivare o attivare il controllo di univocità mediante l'attributo dSHeuristics.

Di seguito sono i valori dSHeuristics supportati:
  1. dSHeuristic = 1: dominio Active Directory consente l'aggiunta di nomi principali utente duplicati (UPN)
  2. dSHeuristic = 2: dominio Active Directory consente l'aggiunta di nomi principali di servizio duplicato (SPN)
  3. dSHeuristic = 3: dominio Active Directory consente l'aggiunta di UPN e SPN
  4. dSHeuristic = qualsiasi altro valore: dominio Active Directory impone il controllo di univocità per UPN e SPN
Esempi:
  1. Per disabilitare il controllo di univocità UPN, impostare il carattere 21 di dSHeuristics a "1" (000000000100000000021)
  2. Per disabilitare il controllo di univocità SPN, impostare il carattere 21 di dSHeuristics a "2" (000000000100000000022)
  3. Per disabilitare i controlli di univocità dell'UPN e SPN, impostare il carattere 21 di dSHeuristics su "3" (000000000100000000023)
Per informazioni dettagliate sulle modalità di modifica dSHeuristic, vedere 6.1.1.2.4.1.2 dSHeuristics.

Si consiglia di impostare il valore su 0 quando si conoscono le modifiche di un problema non si verificano più. Può essere il caso in particolare per le migrazioni di insieme di strutture.

Informazioni sull'hotfix

Importante Se si installa un language pack dopo aver installato questo hotfix, è necessario reinstallare questo aggiornamento rapido. Pertanto, si consiglia di installare qualsiasi language pack necessari prima di installare questo hotfix. Per ulteriori informazioni, vedere Aggiungere un language pack per Windows.

Un hotfix supportato è disponibile da Microsoft. Tuttavia, questo hotfix è destinato esclusivamente alla correzione del problema descritto in questo articolo. Applicare questo hotfix solo ai sistemi in cui si verificano questo problema specifico.

Se l'hotfix è disponibile per il download, vi è una sezione "Hotfix Download disponibile" nella parte superiore di questo articolo della Knowledge Base. Se non viene visualizzato in questa sezione, inviare una richiesta al servizio clienti Microsoft e supporto tecnico per ottenere l'hotfix.

Nota Se si verificano ulteriori problemi o se è necessaria attività di risoluzione aggiuntiva, potrebbe essere necessario creare una richiesta di assistenza separata. I costi di supporto normale verranno applicati per eventuali ulteriori domande e problemi che non dovessero rientrare specifico hotfix in questione. Per un elenco completo dei numeri di telefono del servizio clienti Microsoft e supporto tecnico o per creare una richiesta di assistenza separata, visitare il seguente sito Web Microsoft: Nota Il modulo "Hotfix Download disponibile" Visualizza le lingue per cui è disponibile l'hotfix. Se non viene visualizzata la lingua, è perché un aggiornamento rapido non è disponibile per tale lingua.

Prerequisiti

Per applicare questo hotfix, è necessario disporre di Aprile 2014 aggiornamento cumulativo per Windows RT 8.1, 8.1 di Windows e Windows Server 2012 R2 (2919355) installato in Windows 8.1 o Windows Server 2012 R2.

Informazioni del Registro di sistema

Per utilizzare l'hotfix in questo pacchetto, non è necessario apportare modifiche al Registro di sistema.

Richiesta di riavvio

Potrebbe essere necessario riavviare il computer dopo avere applicato questo hotfix.

Informazioni sulla sostituzione dell'aggiornamento rapido

Questo hotfix non sostituisce un aggiornamento rapido precedentemente rilasciato.

Informazioni sui file

La versione globale di questo hotfix consente di installare file con gli attributi elencati nelle tabelle seguenti. Le date e ore per questi file sono elencate nel tempo universale coordinato (UTC). Le date e le ore dei file sul computer locale vengono visualizzate nell'ora locale con la differenza dell'ora legale (DST). Inoltre, le date e gli orari possono cambiare quando si eseguono determinate operazioni sui file.

Note e informazioni sui file di Windows 8.1 e Windows Server 2012 R2

Importante Gli aggiornamenti rapidi Windows 8.1 e aggiornamenti rapidi di Windows Server 2012 R2 sono inclusi nel pacchetto stesso. Tuttavia, gli aggiornamenti rapidi nella pagina richiesta Hotfix sono elencati in entrambi i sistemi operativi. Per richiedere il pacchetto di hotfix che si applica a uno o entrambi i sistemi operativi, selezionare l'hotfix elencato nella pagina in "Windows 8.1 e Windows Server 2012 R2". Fare sempre riferimento alla sezione "Si applica a" negli articoli per determinare il sistema operativo effettivo a cui si applica ogni aggiornamento rapido .
  • I file che si applicano a un prodotto, un'attività cardine (RTM, SPn), e un ramo del servizio (LDR, GDR specifici) può essere identificato esaminando i numeri di versione del file come indicato nella tabella seguente:
    VersioneProdottoAttività cardineRamo del servizio
    6.3.960 0,17xxx8.1 di Windows e Windows Server 2012 R2RTMGDR
  • I file MANIFEST (manifest) e il MUM (mum) installati per ogni ambiente sono elencati separatamente Nella sezione "ulteriori informazioni sui file". MUM, manifesto e i file di catalogo (CAT) di protezione associati sono molto importanti per mantenere lo stato dei componenti aggiornati. I file catalogo di protezione elencati senza attributi sono firmati con firma digitale Microsoft.
Per tutte le versioni basate su x86 di Windows 8.1
Nome del fileVersione del fileDimensione del fileDataOraPiattaforma
Ntdsa.MOFNon applicabile227,76518-Giu-201312:21Non applicabile
Ntdsai.dll6.3.9600.179012,576,89609-Giu-201520:43x86
Per tutte le versioni x64 di Windows Server 2012 R2 e Windows 8.1
Nome del fileVersione del fileDimensione del fileDataOraPiattaforma
Ntdsa.MOFNon applicabile227,76518-Giu-201314:45Non applicabile
Ntdsai.dll6.3.9600.179013,684,86409-Giu-201520:49x64

Ulteriori informazioni sui file

Ulteriori informazioni sui file per Windows 8.1 e per Windows Server 2012 R2
File aggiuntivi per tutte le versioni x86 supportate di Windows 8.1
Proprietà fileValore
Nome del fileX86_4c2f5adc88a0d6ac17ccdccf2255c6b7_31bf3856ad364e35_6.3.9600.17901_none_ba36e2d18bbebef8.manifest
Versione del fileNon applicabile
Dimensione del file712
Data (UTC)10-Giu-2015
Ora (UTC)12:46
PiattaformaNon applicabile
Nome del fileX86_microsoft-windows-d... toryservices-ntdsai_31bf3856ad364e35_6.3.9600.17901_none_85b97991d47e36db.manifest
Versione del fileNon applicabile
Dimensione del file3,352
Data (UTC)09-Giu-2015
Ora (UTC)23:14
PiattaformaNon applicabile
File aggiuntivi per tutte versioni supportate di Windows 8.1 e Windows Server 2012 R2 basate su x64
Proprietà fileValore
Nome del fileAmd64_94aab516433aef4e5f0c8db414ae7999_31bf3856ad364e35_6.3.9600.17901_none_34c8efb13ae81094.manifest
Versione del fileNon applicabile
Dimensione del file716
Data (UTC)10-Giu-2015
Ora (UTC)12:46
PiattaformaNon applicabile
Nome del fileAmd64_microsoft-windows-d... toryservices-ntdsai_31bf3856ad364e35_6.3.9600.17901_none_e1d815158cdba811.manifest
Versione del fileNon applicabile
Dimensione del file3,356
Data (UTC)09-Giu-2015
Ora (UTC)23:49
PiattaformaNon applicabile
Status
Microsoft ha confermato che questo è un problema per i prodotti Microsoft elencati nella sezione "Si applica a".
Informazioni
Informazioni dettagliate Funzionalità di univocità SPN e UPN in Windows Server 2012 R2.

È inoltre possibile visualizzare ID evento 11-Configurazione nome dell'entità servizio Per ulteriori informazioni.

Chiedere al blog di piattaforme Premiere campo tecnico (PFE): Strumenti di migrazione di Active Directory di terze parti e 3070083 KB.
Riferimenti
Vedere la terminologia utilizzata da Microsoft per descrivere gli aggiornamenti software.

Avviso: questo articolo è stato tradotto automaticamente

Proprietà

ID articolo: 3070083 - Ultima revisione: 09/07/2015 20:23:00 - Revisione: 3.0

Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows 8.1 Enterprise, Windows 8.1 Pro, Windows 8.1

  • kbqfe kbsurveynew kbfix kbhotfixserver kbautohotfix kbexpertiseinter kbmt KB3070083 KbMtit
Feedback