復元、ドメインへの参加、および移行すると、Windows Server 2012 R2 ベースのドメイン コント ローラーで重複した SPN のチェックの失敗

重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。

英語版 KB:3070083
ここでは、Windows Server 2012 R2 ベースのドメイン コント ローラーで発生する問題のいくつかを説明します。修正プログラムは、これらの問題を解決するのには使用できます。修正プログラムには、前提条件.
現象
Windows Server 2012 R2 を実行しているドメイン コント ローラーがあることは、次の問題のいずれかが発生する可能性がありますと仮定します。

問題 1: ドメインへの参加

新しいコンピューターがあり、toa フォレストのドメインに参加します。同じコンピューターのホスト名は既に別のドメインで使用します。このような状況では、ドメイン参加操作は、成功を報告します。[Ok]クリックすると後、は、次のダイアログ ボックスが表示されます。消去された文字列は、古いコンピューターの新しいプライマリ サフィックス。

これは、[コンピューター名/ドメイン名変更のスクリーン ショット

エラー メッセージは次のようになります。

オブジェクトの DNS ホスト名への変更を処理中にサービス プリンシパル名の値が保持されませんの同期。

再起動した後、コンピューターをドメイン メンバーは、報告自体が、ドメイン アカウントを使用して対話型ログオンが失敗し、次のエラー メッセージが表示されます。

サーバー上のセキュリティ データベースには、このワークステーションの信頼関係に対するコンピューター アカウントがありません。

Netsetup.log ファイルに次のエラー メッセージで、alsoreceive を行います。

0: 000021C 7: DSID 03200BA6、1005 (CONSTRAINT_ATT_TYPE)、データは 0、Att 90303 (サービス プリンシパル名) の問題
NetpModifyComputerObjectInDs: ldap_modify_s に失敗しました: 0x13 0x57

2:Intra を発行-フォレストの移行

サービス プリンシパル名 (SPN) またはユーザー プリンシパル名 (UPN) の定義を持つフォレスト内のユーザーの移行を実行するか、オブジェクトがこれらの属性が設定されているターゲット ドメインに導入されるよう、このアカウントは、まだグローバル カタログに存在するためにフォレスト内のコンピューターの移行、移行の失敗します。オブジェクトは、新しいドメインに保存されて、いる場合、重複した SPN が作成されます。

注: <b>移行を推進するためのツールは、アクティブ ディレクトリ移行ツール (ADMT)、外部移行ツールまたは、移動- usingActive DirectoryPowerShell、ADObjectコマンドレットで可能性があります。

復元されたオブジェクトで SPN との問題 3: SPN の競合

使用中で今すぐに削除されたアカウントの Spn を持つアカウントをする必要があります。フォレストの別のユーザーまたはコンピューター アカウントを使用するオブジェクトに SPN を追加します。今すぐ削除されたアカウントを復元しようとすると、重複した SPN のため操作が失敗します。

注: <b>3 つのすべての問題で次のようなイベント ID 2974 がドメイン コント ローラーのディレクトリ サービス ログに記録されます。


ディレクトリ サービスのログ名:
ソース: マイクロソフトの Windows-ActiveDirectory_DomainService
イベント ID: 2974年
タスクのカテゴリ: グローバル カタログ
レベル: エラー
キーワード: クラシック
説明: 指定された属性値一意ではありません、フォレスト、またはパーティションです。サービス プリンシパル名の属性: Value=HOST/server1.contoso.com
CN = Server1、OU = メンバー サーバーを DC = contoso 社、DC = com Winerror: 8647

エラー番号 8647 変換にシンボリック名は、ERROR_DS_SPN_VALUE_NOT_UNIQUE_IN_FOREST です。Deplicate UPN、番号 8648、ERROR_DS_UPN_VALUE_NOT_UNIQUE_IN_FOREST、エラーになります。
原因
Windows Server 2012 R2 では、UPN と SPN の一意性を確認して制限が導入されています。正常にできなくなります重複した SPN と UPN、駆動の管理ツールで、ツールを必要とせず自体の一意性のチェックを実行するとします。

この資料に記載されている問題の内容には、管理タスクの影響が明らかではありませんができなくなります。
解決方法
場合によっては、操作をブロックし、正常に処理されるようにするオブジェクトを削除できます。フォレスト内移行とリストアの場合は、Spn と重複しているし、可能性のあるアカウントに追加する UPN を削除することも。

このような準備の変更は、いずれの場合もできない場合があります。したがって、マイクロソフトでは、ドメイン コント ローラーの動作を制御することを可能にする更新プログラムを開発しました。この更新プログラムは、Windows Server 2012 R2 ベースのドメイン コント ローラーに適用されます。将来的にドメイン コント ローラーに昇格の候補は、メンバー サーバーにこの更新プログラムをインストールすることもできます。

この更新プログラムには、マイクロソフトは、フォレスト レベルのスイッチをオフにするか、dSHeuristics 属性の一意性のチェックを有効にするを提供します。

DSHeuristics がサポートされている値は、次のように。
  1. dSHeuristic = 1: AD DS では、重複するユーザー プリンシパル名 (Upn) を追加することができます
  2. dSHeuristic = 2: AD DS では、重複したサービス プリンシパル名 (Spn) を追加することができます
  3. dSHeuristic = 3: AD DS では、重複した Spn と Upn を追加することができます
  4. dSHeuristic = 任意の値: AD DS の Spn と Upn の両方の一意性のチェックを強制します。
例:
  1. UPN の一意性のチェックを無効にするには、「1」に dSHeuristics の 21 文字を設定します (000000000100000000021)
  2. SPN の一意性のチェックを無効にするには、「2」に dSHeuristics の 21 文字を設定します (000000000100000000022)
  3. UPN と SPN の一意性の確認を無効にするには、「3」に dSHeuristics の 21 文字を設定します (000000000100000000023)
DSHeuristic を変更する方法の詳細については、次を参照してください。 6.1.1.2.4.1.2 dSHeuristics.

問題のある変更ができなくなった場合に発生していないことがわかっている場合、 0に値を設定することをお勧めします。特にフォレスト内移行の場合、大文字と小文字を指定できます。

修正プログラムの情報

重要: この修正プログラムをインストールした後に言語パックをインストールする場合は、この修正プログラムを再インストールする必要があります。したがって、お勧め任意の言語をインストールするこの修正プログラムをインストールする前にする必要があるパックです。詳細については、 言語パックを Windows に追加します。.

サポートされている修正プログラムは、マイクロソフトから入手可能です。ただし、この修正プログラムは、ここで説明する問題のみを修正することを目的としたものです。この修正プログラムは、ここで説明する問題が発生しているコンピューターに対してのみ適用してください。

修正プログラムをダウンロードできる場合は、本サポート技術情報の資料の上部に「修正プログラムをダウンロードできます」というセクションがあります。このセクションが表示されていない場合は、マイクロソフト カスタマー サービス サポートにリクエストを送信し、修正プログラムを入手してください。

注: <b>さらなる問題が発生した場合、またはトラブルシューティングが必要な場合には、別のサービス リクエストの作成が必要な場合があります。この修正プログラムの対象外の追加の質問および問題については、通常のサポート料金が適用されます。マイクロソフト カスタマー サービス サポートの電話番号一覧または別のサービス リクエストの作成については、次のマイクロソフト Web サイトを参照してください。 注: <b>「修正プログラムのダウンロード利用可能」フォームは、修正プログラムで利用可能な言語を表示します。お使いの言語が表示されない場合は、その言語の修正プログラムが利用できないためです。

必要条件

この修正プログラムを適用するには、必要 Windows RT 8.1、Windows 8.1 では、Windows Server 2012 R2 (2919355) の更新プログラムのロールアップを 2014 年 4 月 Windows 8.1 または Windows Server 2012 R2 にインストールされている必要があります。

レジストリ情報

この修正プログラムを適用しても、以前にリリースされた修正プログラムが置き換えられることはありません。

再起動の必要性

この修正プログラムの適用後、コンピューターの再起動が必要な場合があります。

修正プログラムの置き換えに関する情報

この修正プログラムを適用しても、以前にリリースされた修正プログラムが置き換えられることはありません。

ファイル情報

この修正プログラムのグローバル版では、次の表に示す各属性を持つファイル群がインストールされます。各ファイルの日付および時刻は、世界協定時刻 (UTC) で示されています。お使いのローカル コンピューター上にあるこれらのファイルの日付および時刻は、現在の夏時間 (DST) との差と一緒にローカル時刻で表示されます。また、ファイルに対して特定の操作を実行すると、日時が変更される場合があります。

Windows 8.1 および Windows Server 2012 R2 のファイル情報とメモ

重要: 同じパッケージには、Windows 8.1 修正プログラムおよび Windows Server 2012 R2 の修正プログラムが含まれます。ただし、修正プログラムのリクエスト ページにある修正プログラムは各オペレーティング システムの下に一覧表示されています。1 つまたは両方のオペレーティング システムに適用される修正プログラム パッケージを要求するには、ページの「Windows 8.1/Windows Server 2012 R2"下に記載されている修正プログラムを選択します。必ず資料の「対象製品」を参照して、各修正プログラムの適用対象である実際のオペレーティング システムを確認してください。
  • 特定の製品、マイルス トーン (RTM、SP に適用されるファイルn)、区分 (LDR、GDR) は、次の表に示すようにファイルのバージョン番号を調べることで識別できるとします。
    バージョン製品マイルストーンサービス区分
    6.3.960 0.17xxxWindows 8.1 および Windows Server 2012 R2RTMGDR
  • マニフェスト ファイル (.manifest) および MUM ファイル (.mum) インストールされているそれぞれの環境には、します。 別に一覧表示 。MUM ファイル、MANIFEST ファイル、および関連するセキュリティ カタログ (.cat) ファイルは、更新されたコンポーネントの状態を維持するために不可欠です。属性が一覧表示されていないセキュリティ カタログ ファイルは、Microsoft デジタル署名で署名されています。
サポートされているすべての x86 ベース バージョンの Windows 8.1
ファイル名ファイル バージョンファイルのサイズ日付時刻プラットフォーム
Ntdsa.mof該当なし227,7652013 年 6 月 18 日12:21該当なし
Ntdsai.dll6.3.9600.179012,576,8962015-09-6 月 6 日20:43x86
サポートされているすべての x64 ベース バージョンの Windows 8.1 および Windows Server 2012 R2
ファイル名ファイル バージョンファイルのサイズ日付時刻プラットフォーム
Ntdsa.mof該当なし227,7652013 年 6 月 18 日14:45該当なし
Ntdsai.dll6.3.9600.179013,684,8642015-09-6 月 6 日20:49x64

追加ファイル情報

Windows 8.1 および Windows Server 2012 R2 用の追加ファイル情報
サポートされているすべての x86 ベース バージョンの Windows 8.1 用の追加ファイル
ファイルのプロパティ
ファイル名X86_4c2f5adc88a0d6ac17ccdccf2255c6b7_31bf3856ad364e35_6.3.9600.17901_none_ba36e2d18bbebef8.manifest
ファイル バージョン該当なし
ファイルのサイズ712
日付 (UTC)2015-10-6 月 6 日
時刻 (UTC)12:46
プラットフォーム該当なし
ファイル名X86_microsoft-windows-d.toryservices ntdsai_31bf3856ad364e35_6.3.9600.17901_none_85b97991d47e36db.manifest
ファイル バージョン該当なし
ファイルのサイズ3,352
日付 (UTC)2015-09-6 月 6 日
時刻 (UTC)23:14
プラットフォーム該当なし
サポートされているすべての x64 ベース バージョンの Windows 8.1 および Windows Server 2012 R2 用の追加ファイル
ファイルのプロパティ
ファイル名Amd64_94aab516433aef4e5f0c8db414ae7999_31bf3856ad364e35_6.3.9600.17901_none_34c8efb13ae81094.manifest
ファイル バージョン該当なし
ファイルのサイズ716
日付 (UTC)2015-10-6 月 6 日
時刻 (UTC)12:46
プラットフォーム該当なし
ファイル名Amd64_microsoft-windows-d.toryservices ntdsai_31bf3856ad364e35_6.3.9600.17901_none_e1d815158cdba811.manifest
ファイル バージョン該当なし
ファイルのサイズ3,356
日付 (UTC)2015-09-6 月 6 日
時刻 (UTC)23:49
プラットフォーム該当なし
状況
マイクロソフトは、この問題を「対象製品」セクションに記載されているマイクロソフト製品の問題として認識しています。
詳細
詳細情報を参照してください。 Windows Server 2012 R2 の SPN と UPN の一意性の機能.

表示することがあります。 イベント ID 11、サービス プリンシパル名の構成 詳細については。

Premiere フィールド エンジニア リング (PFE) プラットフォームのブログを確認してください。 サード ・ パーティ製の Active Directory 移行ツールおよび KB 3070083.
関連情報
参照してください、 用語集 を参照してください。

警告: この記事は自動翻訳されています

プロパティ

文書番号:3070083 - 最終更新日: 09/07/2015 20:24:00 - リビジョン: 3.0

Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows 8.1 Enterprise, Windows 8.1 Pro, Windows 8.1

  • kbqfe kbsurveynew kbfix kbhotfixserver kbautohotfix kbexpertiseinter kbmt KB3070083 KbMtja
フィードバック