In questo articolo vengono descritti alcuni problemi che si verificano su un controller di dominio basato su Windows Server 2012 R2. Un hotfix è disponibile per risolvere questi problemi. L'aggiornamento rapido è un prerequisito.
Sintomi
Si supponga che si dispone di un controller di dominio che esegue Windows Server 2012 R2, è possibile riscontrare uno dei seguenti problemi.
Problema 1: Aggiunta a un dominio
È un nuovo computer che si desidera associarlo a un dominio dell'insieme di strutture. Lo stesso nome host è già utilizzato in un altro dominio. In questo caso, l'operazione di join dominio segnala l'esito positivo. Dopo aver scelto OK, si vedrà la seguente finestra di dialogo. Le stringhe cancellate sono il vecchio e il nuovo suffisso primario del computer:
Il messaggio di errore analogo al seguente:
Durante l'elaborazione di una modifica al nome Host DNS per un oggetto, i valori di nome principale servizio Impossibile mantenere sincronizzati.
Dopo il riavvio, il computer verrà rilevato come un membro di dominio, ma accesso interattivo con un account di dominio avrà esito negativo e viene visualizzato il seguente messaggio di errore:
Il database di protezione sul server non dispone di un account computer per la relazione di trust della workstation.
Riceverai inoltre il seguente messaggio di errore nel file Netsetup:
0: 7 000021C: DSID-03200BA6, problema 1005 (CONSTRAINT_ATT_TYPE), dati 0, Att 90303 (servicePrincipalName)
NetpModifyComputerObjectInDs: non è risultato di ldap_modify_s: 0x13 0x57
2 problema: Migrazione di insieme di strutture
Se si esegue la migrazione di utente un insieme di strutture che ha il nome dell'entità servizio (SPN) o user principal name (UPN) definito o la migrazione computer insieme di strutture, la migrazione non riesce perché l'account è ancora presente nel catalogo globale come l'oggetto è stato introdotto nel dominio di destinazione che dispone di questi attributi popolati. Se l'oggetto è stato salvato nel nuovo dominio, verrebbe creato un SPN duplicato.
Nota: Gli strumenti per guidare le migrazioni sia Active Directory Migration Tool (ADMT), strumenti di migrazione esterna o di spostare-ADObject cmdlet utilizzando Active Directory PowerShell.
Problema 3: SPN è in conflitto con SPN sull'oggetto ripristinato
Si dispone di un account con SPN in uso su un account che viene eliminato subito. Aggiungere un SPN per l'oggetto utilizzato per disporre di un altro account utente o computer nell'insieme di strutture. Quando si prova a ripristinare l'account eliminato, l'azione non riesce a causa di SPN duplicati.
Nota: In tutti e tre i problemi, viene registrato l'evento ID 2974 analogo al seguente nel registro del servizio Directory del controller di dominio: il numero di errore 8647 traduce simbolico a nome è ERROR_DS_SPN_VALUE_NOT_UNIQUE_IN_FOREST. Per deplicate UPN, l'errore potrebbe essere numero 8648 ed ERROR_DS_UPN_VALUE_NOT_UNIQUE_IN_FOREST.
Causa
Windows Server 2012 R2 ha introdotto restrittive verifica l'univocità UPN e SPN. Correttamente impedisce UPN e SPN quando essi sono gestiti tramite strumenti di amministrazione senza richiedere lo strumento per eseguire un controllo di univocità.
Problemi che sono stati descritti in questo articolo, impedisce le attività amministrative in cui l'effetto non è ovvio.
Risoluzione
In alcuni casi, è possibile eliminare gli oggetti che bloccano l'azione in modo che l'operazione viene completata. Per le migrazioni di insieme di strutture e i ripristini, è inoltre possibile eliminare il SPN e/o UPN che essere duplicato e potenzialmente aggiungerli nuovamente sul conto.
Tale modifica preparazione potrebbe non essere possibile in tutti i casi. Di conseguenza, Microsoft ha sviluppato un aggiornamento che consente di controllare il comportamento di controller di dominio. Questo aggiornamento si applica ai controller di dominio basato su Windows Server 2012 R2. È anche possibile installare questo aggiornamento sui server membri che sono candidati per la promozione a controller di dominio in futuro.
Con questo aggiornamento, Microsoft offre un'opzione del livello di insieme di strutture per disattivare o attivare il controllo di univocità mediante l'attributo dSHeuristics.
Di seguito sono i valori dSHeuristics supportati:
-
dSHeuristic = 1: dominio Active Directory consente l'aggiunta di nomi principali utente duplicati (UPN)
-
dSHeuristic = 2: dominio Active Directory consente l'aggiunta di nomi principali di servizio duplicato (SPN)
-
dSHeuristic = 3: dominio Active Directory consente l'aggiunta di UPN e SPN
-
dSHeuristic = qualsiasi altro valore: dominio Active Directory impone il controllo di univocità per UPN e SPN
Esempi:
-
Per disabilitare il controllo di univocità UPN, impostare il carattere 21 di dSHeuristics a "1" (000000000100000000021)
-
Per disabilitare il controllo di univocità SPN, impostare il carattere 21 di dSHeuristics a "2" (000000000100000000022)
-
Per disabilitare i controlli di univocità dell'UPN e SPN, impostare il carattere 21 di dSHeuristics su "3" (000000000100000000023)
Per informazioni dettagliate sulle modalità di modifica dSHeuristic, vedere 6.1.1.2.4.1.2 dSHeuristics.
Si consiglia di impostare il valore su 0 quando si conoscono le modifiche di un problema non si verificano più. Può essere il caso in particolare per le migrazioni di insieme di strutture.
Informazioni sull'hotfix
Importante Se si installa un language pack dopo aver installato questo hotfix, è necessario reinstallare questo aggiornamento rapido. Pertanto, si consiglia di installare qualsiasi language pack necessari prima di installare questo hotfix. Per ulteriori informazioni, vedere aggiunta di language pack per Windows.
Un hotfix supportato è disponibile da Microsoft. Tuttavia, questo hotfix è destinato esclusivamente alla correzione del problema descritto in questo articolo. Applicare questo hotfix solo ai sistemi in cui si verificano questo problema specifico.
Se l'hotfix è disponibile per il download, vi è una sezione "Hotfix Download disponibile" nella parte superiore di questo articolo della Knowledge Base. Se non viene visualizzato in questa sezione, inviare una richiesta al servizio clienti Microsoft e supporto tecnico per ottenere l'hotfix.
Nota: Se si verificano ulteriori problemi o se è necessaria attività di risoluzione aggiuntiva, potrebbe essere necessario creare una richiesta di assistenza separata. I costi di supporto normale verranno applicati per eventuali ulteriori domande e problemi che non dovessero rientrare specifico hotfix in questione. Per un elenco completo dei numeri di telefono del servizio clienti Microsoft e supporto tecnico o per creare una richiesta di assistenza separata, visitare il seguente sito Web Microsoft:
http://support.microsoft.com/contactus/?ws=supportNota: Il modulo "Hotfix Download disponibile" Visualizza le lingue per cui è disponibile l'hotfix. Se non viene visualizzata la lingua, è perché un aggiornamento rapido non è disponibile per tale lingua.
Prerequisiti
Per applicare questo hotfix, è necessario disporre di aprile 2014 aggiornamento cumulativo per Windows RT 8.1, 8.1, a Windows e Windows Server 2012 R2 (2919355) installato in Windows 8.1 o Windows Server 2012 R2.
Informazioni del Registro di sistema
Per utilizzare l'hotfix in questo pacchetto, non è necessario apportare modifiche al Registro di sistema.
Richiesta di riavvio
Potrebbe essere necessario riavviare il computer dopo avere applicato questo hotfix.
Informazioni sulla sostituzione dell'aggiornamento rapido
Questo hotfix non sostituisce un aggiornamento rapido precedentemente rilasciato.
La versione globale di questo hotfix consente di installare file con gli attributi elencati nelle tabelle seguenti. Le date e ore per questi file sono elencate nel tempo universale coordinato (UTC). Le date e le ore dei file sul computer locale vengono visualizzate nell'ora locale con la differenza dell'ora legale (DST). Inoltre, le date e gli orari possono cambiare quando si eseguono determinate operazioni sui file.
Note e informazioni sui file di Windows 8.1 e Windows Server 2012 R2
Importante Gli aggiornamenti rapidi Windows 8.1 e aggiornamenti rapidi di Windows Server 2012 R2 sono inclusi nel pacchetto stesso. Tuttavia, gli aggiornamenti rapidi nella pagina richiesta Hotfix sono elencati in entrambi i sistemi operativi. Per richiedere il pacchetto di hotfix che si applica a uno o entrambi i sistemi operativi, selezionare l'hotfix elencato nella pagina in "Windows 8.1 e Windows Server 2012 R2". Fare sempre riferimento alla sezione "Si applica a" negli articoli per determinare il sistema operativo effettivo a cui si applica ogni aggiornamento rapido .
-
I file relativi a un prodotto, un'attività cardine (RTM, SPn) e un ramo (LDR, GDR specifici) del servizio possono essere identificati esaminando i numeri di versione del file come indicato nella tabella seguente:
Versione
Prodotto
Attività cardine
Ramo del servizio
6.3.960 0,17xxx
Windows 8.1 e Windows Server 2012 R2
RTM
GDR
-
I file MANIFEST (manifest) e il MUM (mum) installati per ogni ambiente sono elencati separatamente nella sezione "Ulteriori informazioni sui file". MUM, manifesto e i file di catalogo (CAT) di protezione associati sono molto importanti per mantenere lo stato dei componenti aggiornati. I file catalogo di protezione elencati senza attributi sono firmati con firma digitale Microsoft.
Per tutte le versioni basate su x86 di Windows 8.1
|
Nome del file |
Versione del file |
Dimensione del file |
Data |
Ora |
Piattaforma |
|---|---|---|---|---|---|
|
Ntdsa.mof |
Non applicabile |
227,765 |
18-Jun-2013 |
12:21 |
Non applicabile |
|
Ntdsai.dll |
6.3.9600.17901 |
2,576,896 |
09-Jun-2015 |
20:43 |
x86 |
Per tutte le versioni basate su x64 di Windows Server 2012 R2 e Windows 8.1
|
Nome del file |
Versione del file |
Dimensione del file |
Data |
Ora |
Piattaforma |
|---|---|---|---|---|---|
|
Ntdsa.mof |
Non applicabile |
227,765 |
18-Jun-2013 |
14:45 |
Non applicabile |
|
Ntdsai.dll |
6.3.9600.17901 |
3,684,864 |
09-Jun-2015 |
20:49 |
x64 |
Ulteriori informazioni sui file
Ulteriori informazioni sui file per Windows 8.1 e per Windows Server 2012 R2
File aggiuntivi per tutte le versioni x86 supportate di Windows 8.1
|
Proprietà file |
Valore |
|---|---|
|
Nome del file |
X86_4c2f5adc88a0d6ac17ccdccf2255c6b7_31bf3856ad364e35_6.3.9600.17901_none_ba36e2d18bbebef8.manifest |
|
Versione del file |
Non applicabile |
|
Dimensione del file |
712 |
|
Data (UTC) |
10-Jun-2015 |
|
Ora (UTC) |
12:46 |
|
Piattaforma |
Non applicabile |
|
Nome del file |
X86_microsoft-windows-d..toryservices-ntdsai_31bf3856ad364e35_6.3.9600.17901_none_85b97991d47e36db.manifest |
|
Versione del file |
Non applicabile |
|
Dimensione del file |
3,352 |
|
Data (UTC) |
09-Jun-2015 |
|
Ora (UTC) |
23:14 |
|
Piattaforma |
Non applicabile |
File aggiuntivi per tutte versioni supportate di Windows 8.1 e Windows Server 2012 R2 basate su x64
|
Proprietà file |
Valore |
|---|---|
|
Nome del file |
Amd64_94aab516433aef4e5f0c8db414ae7999_31bf3856ad364e35_6.3.9600.17901_none_34c8efb13ae81094.manifest |
|
Versione del file |
Non applicabile |
|
Dimensione del file |
716 |
|
Data (UTC) |
10-Jun-2015 |
|
Ora (UTC) |
12:46 |
|
Piattaforma |
Non applicabile |
|
Nome del file |
Amd64_microsoft-windows-d..toryservices-ntdsai_31bf3856ad364e35_6.3.9600.17901_none_e1d815158cdba811.manifest |
|
Versione del file |
Non applicabile |
|
Dimensione del file |
3,356 |
|
Data (UTC) |
09-Jun-2015 |
|
Ora (UTC) |
23:49 |
|
Piattaforma |
Non applicabile |
Stato
Microsoft ha confermato che questo è un problema dei prodotti Microsoft elencati nella sezione "Si applica a".
Ulteriori informazioni
Visualizzare informazioni dettagliate sulle funzionalità di univocità SPN e UPN in Windows Server 2012 R2.
È inoltre possibile visualizzare ID evento 11-configurazione del nome principale servizio per ulteriori informazioni.
Chiedere il blog di piattaforme Premiere campo tecnico (PFE): Strumenti di migrazione di terze parti Active Directory e 3070083 KB.
Riferimenti
Vedere la terminologia utilizzata da Microsoft per descrivere gli aggiornamenti software.
