Windows Server 2012, R2 기반 도메인 컨트롤러에서 중복 된 SPN 확인 하면 복원, 도메인 가입 및 마이그레이션 실패

이 문서는 Microsoft 기계 번역 소프트웨어를 이용하여 번역되었으며 Microsoft Community에 의한 Community Translation Framework(CTF) 기술 혹은 사람이 번역한 내용에 의하여 사후 편집될 수 있습니다. Microsoft는 Knowledge Base에 있는 모든 문서에 다양한 언어로 접근할 수 있도록 하기 위하여 기계 번역, 사람에 의한 번역 및 커뮤니티가 편집한 내용을 모두 제공합니다. 번역된 문서는 어휘, 구문 및/혹은 문법에 오류가 있을 수 있습니다. Microsoft는 번역 오류로 인한 부정확성, 오류 및/또는 손해와 이를 고객이 사용하는 데에 대하여 책임을 지지 않습니다.

이 문서의 영문 버전 보기:3070083
Windows Server 2012, R2 기반 도메인 컨트롤러에서 발생 하는 몇 가지 문제를 설명 합니다. 핫픽스는 이러한 문제를 해결할 수 있습니다. 에 한필수 구성 요소.
현상
Windows Server 2012 r 2를 실행 하는 도메인 컨트롤러는 다음 문제 중 하나가 발생할 수 있습니다 가정 합니다.

문제 1: 도메인 가입

새 컴퓨터를 있고 toa 포리스트의 도메인에 참여 하 려 합니다. 같은 컴퓨터의 호스트 이름은 이미 다른 도메인의 사용입니다. 이 상황에서 도메인 가입 작업 성공을 보고합니다. Youclick확인을 후 다음과 같은 대화 상자가 나타납니다. 지워진 하면 이전 길이 새 주 접미사의 컴퓨터가.

이 컴퓨터 이름/도메인 변경의 스크린샷

errormessage는 다음과 같습니다.

개체에 대 한 DNS 호스트 이름에 대 한 변경 처리를 하는 동안 서비스 사용자 이름 값 수 없습니다 동기화 되어야 합니다.

컴퓨터를 다시 시작 컴퓨터를 도메인 멤버로 보고 합니다 있지만 도메인 계정 사용 하 여 대화형 로그온 실패 하 고 다음과 같은 오류 메시지가 나타납니다.

서버의 보안 데이터베이스가이 워크스테이션 트러스트 관계에 대 한 컴퓨터 계정이 없는 경우

Netsetup.log 파일에 followingerror 메시지를 alsoreceive 합니다.

0: 000021C 7: DSID 03200BA6, 1005 (CONSTRAINT_ATT_TYPE) 데이터를 0 (쓰기) 90303 Att 문제
NetpModifyComputerObjectInDs: ldap_modify_s 실패: 0x57 0x13

2:Intra 발행-포리스트 마이그레이션

서비스 사용자 이름 (SPN) 나 사용자 계정 이름 (UPN) 정의 포리스트 내의 사용자 마이그레이션을 수행 하면 포리스트 내 컴퓨터 마이그레이션 마이그레이션이 실패 계정은 글로벌 카탈로그에 이러한 특성을 가진 대상 도메인에서 개체가 도입 되었습니다 대로 여전히 존재 하기 때문에 경우. 개체를 새 도메인에 저장 된 경우 중복 된 SPN 만들어집니다.

참고: Active Directory 마이그레이션 도구 (ADMT)를 외부 마이그레이션 도구 또는 이동-usingActive DirectoryPowerShell에서ADObjectcmdlet를 마이그레이션 도구 수도 있습니다.

복원 된 개체에 SPN SPN 충돌 문제 3:

이제 삭제 됩니다 있는 계정에서 사용 중인 Spn 사용 하 여 계정을 했습니다. 포리스트에 있는 다른 사용자 또는 컴퓨터 계정에 사용 되는 개체에 대 한 SPN Youadd. 삭제 된 계정 복원 하려고, 중복 된 SPN 때문에 작업이 실패 합니다.

참고: 모든 세 문제에서 다음과 유사한 이벤트 ID 2974 도메인 컨트롤러의 디렉터리 서비스 로그에 기록 됩니다.


디렉터리 서비스 로그 이름:
원본: Microsoft Windows ActiveDirectory_DomainService
이벤트 ID: 2974
작업 범주: 글로벌 카탈로그
수준: 오류
키워드: 클래식
설명: 제공 하는 특성 값은 고유 하지 않습니다 파티션 또는 포리스트. Value=HOST/server1.contoso.com 특성: 쓰기
CN = Server1 OU 구성원 서버, DC = contoso, DC = com = Winerror: 8647

8647 오류 번호에 기호 변환 이름은 ERROR_DS_SPN_VALUE_NOT_UNIQUE_IN_FOREST입니다. UPN deplicate 오류 번호 8648 및 ERROR_DS_UPN_VALUE_NOT_UNIQUE_IN_FOREST 것입니다.
원인
Windows Server 2012 R2 UPN 및 SPN 고유성 확인 제한적 도입 되었습니다. 성공적으로 수 없습니다 중복 된 SPN 및 UPN 제어 경우에 하는 관리 도구를 통해 도구를 요구 하지 않고 자체 고유성 검사를 수행할 수 있습니다.

이 문서에 설명 된 문제점은의 효과가 명확 하지 않은 경우 관리 작업을 할 수 없습니다.
해결 방법
경우에 따라 작업이 성공적으로 수행 되도록 동작을 차단 하는 개체를 삭제할 수 있습니다. 포리스트 내 마이그레이션 하 고 복원에 대 한 Spn 및/또는 중복 되 고 계정에 다시 추가할 수 있는 UPN을 삭제할 수 있습니다.

이러한 준비 변경 항상에서 하지 못할 수도 있습니다. 따라서 Microsoft 도메인 컨트롤러의 동작을 제어할 수 있도록 업데이트를 개발 했습니다. 이 업데이트는 Windows Server 2012, R2 기반 도메인 컨트롤러에 적용 됩니다. 또한 나중에 도메인 컨트롤러로 승격 될 수 있는 구성원 서버에이 업데이트를 설치할 수 있습니다.

이 업데이트를 사용 하 여 Microsoft dSHeuristics 특성을 통해 고유 체크 시 기능을 설정 하거나 해제 하려면 포리스트 수준 스위치를 제공 합니다.

다음은 지원 되는 dSHeuristics 값입니다.
  1. dSHeuristic = 1: AD DS를 사용 하면 중복 된 사용자 이름 (Upn) 추가
  2. dSHeuristic = 2: AD DS를 사용 하면 중복 서비스 사용자 이름 (Spn)을 추가 합니다.
  3. dSHeuristic = 3: AD DS를 사용 하면 중복 된 Spn 및 Upn 추가
  4. dSHeuristic = 모두 다른 값: AD DS에서는 Upn 및 Spn 고유성 확인
예:
  1. UPN 고유성 검사를 비활성화 하기 위해 21 문자 dSHeuristics "1"의 설정 (000000000100000000021)
  2. SPN 고유성 검사를 비활성화 하기 위해 21 문자 "2"에 있는 dSHeuristics의 설정 (000000000100000000022)
  3. UPN 및 SPN 고유성 검사를 비활성화 하는 것에 대 한 설정의 "3"으로 dSHeuristics 21 문자 (000000000100000000023)
DSHeuristic를 수정 하는 방법에 대 한 자세한 정보를 참조 하십시오. 6.1.1.2.4.1.2 dSHeuristics.

변경 문제가 더 이상 발생 하지 모를 때 다시 0 으로 값을 설정 하는 것이 좋습니다. 포리스트 내 마이그레이션의 경우 특히 수 있습니다.

핫픽스 정보

중요: 이 핫픽스를 설치한 후 언어 팩을 설치한 경우이 핫픽스를 다시 설치 해야 합니다. 따라서 것이 좋습니다 모든 언어를 설치 하면이 핫픽스를 설치 하기 전에 필요한 팩입니다. 자세한 내용은 참조 하십시오. Windows에 언어 팩을 추가 합니다..

지원되는 핫픽스를 Microsoft에서 구할 수 있습니다. 그러나 이 핫픽스는 오직 이 문서에서 설명하는 문제를 해결하는 작업에만 사용됩니다. 이 문제가 발생하는 시스템에만 이 핫픽스를 적용해야 합니다.

핫픽스를 다운로드할 수 있는 경우, 이 기술 자료 문서의 상단에 "핫픽스 다운로드 가능" 절이 있습니다. 이 섹션이 표시 되지 않으면 Microsoft 고객 서비스 및 지원 핫픽스를 구하는 요청을 제출 합니다.

참고: 추가 문제가 발생하거나 문제 해결이 필요한 경우, 별도로 서비스를 요청해야 할 수도 있습니다. 추가 지원 질문과 이 특정 핫픽스가 필요하지 않은 문제에는 일반 지원 비용이 적용됩니다. Microsoft 고객 서비스 및 지원 전화 번호의 전체 목록이 필요하거나 별도로 서비스를 요청하려면, 다음 Microsoft 웹 사이트를 방문하십시오. 참고: 핫픽스를 사용할 수 있는 언어 "핫픽스 다운로드 사용 가능한" 폼을 표시 합니다. 사용자 언어가 표시되지 않는 것은 핫픽스를 해당 언어로 사용할 수 없기 때문입니다.

전제 조건

이 핫픽스를 적용. 2014 년 4 월 업데이트 롤업 Windows RT 8.1, 8.1 Windows 및 Windows Server 2012 R2 (2919355) 8.1 Windows 또는 Windows Server 2012 r 2를 설치합니다.

레지스트리 정보

이 패키지에서 핫픽스를 사용 하려면 레지스트리를 변경할 필요가 없습니다.

다시 시작이 필요함

이 핫픽스를 적용한 후 컴퓨터를 다시 시작 해야 할 수 있습니다.

핫픽스 대체정보

이 핫픽스는 이전에 릴리스된 핫픽스를 대체하지 않습니다.

파일정보

이 핫픽스의 글로벌 버전은 다음 표에 나열된 특성을 갖는 파일을 설치합니다. 이러한 파일의 시간과 날짜는 협정 세계시(UTC)로 나열됩니다. 로컬 컴퓨터에서 이러한 파일의 시간과 날짜는 현재 일광 절약 시간제(DST) 바이어스와 함께 현지 시간으로 표시됩니다. 또한, 날짜와 시간은 파일에 대해 특정 작업을 수행할 때 변경될 수 있습니다.

Windows 8.1 및 Windows Server 2012 R2 파일 정보 및 노트

중요: 8.1 Windows 핫픽스 및 핫픽스를 Windows Server 2012 R2 동일한 패키지에 포함 됩니다. 그러나 핫픽스 요청 페이지에 있는 핫픽스는 두 운영 체제 아래에 나열됩니다. 하나 또는 두 운영 체제에 적용 되는 핫픽스 패키지를 요청 하려면 페이지에서 "Windows 8.1/Windows Server 2012 R2" 아래에 나열 된 핫픽스를 선택 합니다. 각 핫픽스가 적용하는 실제 운영 체제를 확인하려면 문서에서 "적용 대상" 절을 항상 참조하십시오.
  • 특정 제품, 중요 시점 (RTM, SP에 적용 되는 파일n), 서비스 분기 (LDR, GDR) 다음 표에 나와 있는 것 처럼 파일 버전 번호를 검토 하 여 식별할 수 있습니다.
    버전제품중요 시점서비스 분기
    6.3.960 0.17xxxWindows 8.1 및 Windows Server 2012 R2RTMGDR
  • 매니페스트 파일 (.manifest) 및 MUM 파일 (.mum) 설치 되어 있는 각 환경에 대해 개별적으로 나열 "파일 정보" 섹션입니다. MUM, 매니페스트 및 관련된 보안 카탈로그(.cat) 파일은 업데이트된 구성 요소의 상태를 유지하기 위해 매우 중요합니다. 해당 특성이 나열되지 않은 보안 카탈로그 파일은 Microsoft 디지털 서명으로 서명됩니다.
지원되는 모든 x86 기반 버전의 Windows 8.1
파일 이름파일 버전파일 크기날짜시간플랫폼
Ntdsa.mof적용할 수 없음227,7652013년 6월 18일12:21적용할 수 없음
Ntdsai.dll6.3.9600.179012,576,89609-6 월-201520:43x86
지원되는 모든 x64 기반 버전의 Windows 8.1 및 Windows Server 2012 R2
파일 이름파일 버전파일 크기날짜시간플랫폼
Ntdsa.mof적용할 수 없음227,7652013년 6월 18일14:45적용할 수 없음
Ntdsai.dll6.3.9600.179013,684,86409-6 월-201520:49x64

추가 파일 정보

Windows 8.1 및 Windows Server 2012 R2에 대한 추가 파일 정보
Windows 8.1의 모든 지원되는 x86 기반 버전에 대한 추가 파일
파일 속성
파일 이름X86_4c2f5adc88a0d6ac17ccdccf2255c6b7_31bf3856ad364e35_6.3.9600.17901_none_ba36e2d18bbebef8.manifest
파일 버전적용할 수 없음
파일 크기712
날짜(UTC)10-6 월-2015
시간(UTC)12:46
플랫폼적용할 수 없음
파일 이름X86_microsoft-windows-d... toryservices ntdsai_31bf3856ad364e35_6.3.9600.17901_none_85b97991d47e36db.manifest
파일 버전적용할 수 없음
파일 크기3,352
날짜(UTC)09-6 월-2015
시간(UTC)23:14
플랫폼적용할 수 없음
Windows 8.1 및 Windows Server 2012 R2의 모든 지원되는 x64 기반 버전에 대한 추가 파일
파일 속성
파일 이름Amd64_94aab516433aef4e5f0c8db414ae7999_31bf3856ad364e35_6.3.9600.17901_none_34c8efb13ae81094.manifest
파일 버전적용할 수 없음
파일 크기716
날짜(UTC)10-6 월-2015
시간(UTC)12:46
플랫폼적용할 수 없음
파일 이름Amd64_microsoft-windows-d... toryservices ntdsai_31bf3856ad364e35_6.3.9600.17901_none_e1d815158cdba811.manifest
파일 버전적용할 수 없음
파일 크기3,356
날짜(UTC)09-6 월-2015
시간(UTC)23:49
플랫폼적용할 수 없음
현재 상태
Microsoft는 이 문제가 '적용 대상' 섹션에 나열된 Microsoft 제품의 문제임을 확인했습니다.
추가 정보
에 대 한 자세한 정보를 참조 하십시오. Windows Server 2012 R2에서 UPN 및 SPN 고유 기능.

나타날 수 있습니다. 이벤트 ID 11-서비스 사용자 이름 구성 자세한 내용은.

Premiere 필드 엔지니어 (PFE) 플랫폼을 블로그를 확인 하십시오. 다른 공급 업체 Active Directory 마이그레이션 도구 및 3070083 KB.
참조
참조는 용어 용어를 참조하십시오.

경고: 이 문서는 자동으로 번역되었습니다.

속성

문서 ID: 3070083 - 마지막 검토: 09/07/2015 20:24:00 - 수정: 3.0

Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows 8.1 Enterprise, Windows 8.1 Pro, Windows 8.1

  • kbqfe kbsurveynew kbfix kbhotfixserver kbautohotfix kbexpertiseinter kbmt KB3070083 KbMtko
피드백