SPN-dublettkontroll av Windows Server 2012 R2-basert domenekontroller fører til at Systemgjenoppretting, til domenet og overføring feil

VIKTIG: Denne artikkelen ble oversatt med maskinoversettelsesprogramvare fra Microsoft og muligens redigert av Microsoft Community via CTF-teknologi i stedet for av en oversetter. Microsoft tilbyr både menneskelig oversatte og maskinoversatte/Community-redigerte artikler, slik at du får tilgang til alle artiklene i vår Knowledge Base på ditt eget språk. En maskinoversatt eller Community-redigert artikkel er imidlertid ikke alltid perfekt. Den kan inneholde feil i vokabular, syntaks eller grammatikk, mye likt en fremmedspråklig som forsøker å snakke språket ditt. Microsoft har ikke ansvar for unøyaktige opplysninger, feil eller skade forårsaket av feilaktig oversettelse av innholdet eller kundenes bruk av informasjonen. Microsoft oppdaterer jevnlig maskinoversettelsesprogramvaren og -verktøyene for å forbedre redigering av maskinoversatte tekster.

Den engelske versjonen av denne artikkelen er den følgende: 3070083
Denne artikkelen beskriver noen problemer som oppstår på en Windows Server 2012 R2-basert domenekontroller. En hurtigreparasjon er tilgjengelig for å løse disse problemene. Hurtigreparasjonen er enforutsetning.
Symptom
Anta at du har en domenekontroller som kjører Windows Server 2012 R2, ett av følgende problemer kan oppstå.

Problem 1: Domenet

Du har en ny datamaskin, og du vil bli med i toa domenet i skogen. Det samme maskinen vertsnavnet er allerede brukt i et annet domene. I dette tilfellet rapporterer domain join-operasjonen var vellykket. Etter youclickOKvises følgende dialogboks. Utviskede strengene er gammelt og det nye primære suffikset for datamaskinen:

Dette er skjermbildet for endring av datamaskinnavn/domene

Errormessage ligner på følgende:

Under behandling av en endring i DNS-vertsnavnet for et objekt, kan tjenestens hovednavn verdiene ikke holdes synkroniserte.

Etter omstart, datamaskinen rapporterer seg selv som medlem av et domene, men mislykkes interaktiv pålogging med en domenekonto, og får du følgende feilmelding:

Sikkerhetsdatabasen på serveren har ikke konto for denne arbeidsstasjonens klareringsforhold.

Vil du alsoreceive den followingerror meldingen i filen Netsetup.log:

0: 000021C 7: DSID-03200BA6, problemet 1005 (CONSTRAINT_ATT_TYPE) data 0, Att 90303 (servicePrincipalName)
NetpModifyComputerObjectInDs: ldap_modify_s mislyktes: 0x13 0x57

Utstede 2:Intra-skogen overføring

Hvis du utfører en intra-skogen brukeroverføring som har hovednavn for tjeneste (SPN) eller brukernavnet (UPN) definert eller intra-skogen datamaskinen på nytt, overføringen mislykkes fordi kontoen fremdeles finnes i den globale katalogen som objektet er innført i måldomenet med disse attributtene som er fylt ut. Hvis objektet ble lagret i det nye domenet, blir også opprettet en like SPN.

Obs! Verktøy for å drive overføringer kan være Active Directory Migration Tool (ADMT), eksterne verktøy eller flytte-ADObject-cmdlet ved usingActive DirectoryPowerShell.

3-problem: SPN er i konflikt med SPN for gjenopprettede objekt

Du har en konto med SPNer i bruk på en konto som er nå slettet. Youadd et SPN til objektet som brukes til å ha en annen konto for brukeren eller datamaskinen i skogen. Når du prøver å gjenopprette en slettet konto nå, vil handlingen mislykkes på grunn av dupliserte SPN.

Obs! Hendelses-ID 2974 som ligner på følgende, logges i katalogtjenesten loggen på domenekontrolleren i alle tre problemer:


Loggnavn: Katalogtjenesten
Kilde: Microsoft-Windows-ActiveDirectory_DomainService
Hendelses-ID: 2974
Oppgavekategori: Global katalog
Nivå: feil
Nøkkelord: klassisk
Beskrivelse: Den angitte attributtverdien er ikke unik i skogen eller partisjon. Attributt: servicePrincipalName Value=HOST/server1.contoso.com
CN = Server1, OU = medlemsservere, DC = contoso, DC = com Winerror: 8647

Feilnummer 8647 oversetter til symbolsk navn er ERROR_DS_SPN_VALUE_NOT_UNIQUE_IN_FOREST. Feilen vil være antall 8648 og ERROR_DS_UPN_VALUE_NOT_UNIQUE_IN_FOREST for deplicate UPN.
Årsak
Windows Server 2012 R2 introdusert restriktive ser etter UPN og SPN unikhet. Klarer hindrer like SPN og UPN når de drives gjennom administrative verktøy uten å måtte bruke verktøyet til å utføre et unikhet av seg selv.

I problemene som er beskrevet i denne artikkelen, hindrer det administrative oppgaver der effekten ikke er innlysende.
Løsning
I noen tilfeller kan du slette objekter som blokkerer handlingen slik at handlingen var vellykket. Intra-skogen overføringer og gjenoppretter, kan du også slette SPNer og/eller UPN som ville være like, og potensielt kan legge dem tilbake på kontoen.

Slik forberedelse endring kan ikke brukes i alle tilfeller. Derfor har Microsoft utviklet en oppdatering som muliggjør kontrollere domenekontroller virkemåten. Denne oppdateringen gjelder for Windows Server 2012 R2-baserte domenekontrollere. Du kan også installere denne oppdateringen på medlemsservere som kandidat for forfremmelse til en domenekontroller i fremtiden.

Microsoft tilbyr en skog nivå bryter for å slå av eller på unikhet Sjekk via dSHeuristics-attributt med denne oppdateringen.

Følgende er de støttede dSHeuristics verdiene:
  1. dSHeuristic = 1: AD DS gjør det mulig å legge til like brukerhovednavn (UPNer)
  2. dSHeuristic = 2: AD DS gjør det mulig å legge til like service principal navn (SPNer)
  3. dSHeuristic = 3: AD DS gjør det mulig å legge til like SPNer og UPNer
  4. dSHeuristic = en hvilken som helst annen verdi: AD DS fremtvinger entydighet av både SPNer og UPNer
Eksempler:
  1. For å deaktivere UPN unikhet av, kan du angi 21 tegnet av dSHeuristics til "1" (000000000100000000021)
  2. For å deaktivere SPN unikhet av, kan du angi 21 tegnet av dSHeuristics til "2" (000000000100000000022)
  3. For å deaktivere UPN og SPN unikhet sjekker, angi 21 tegnet av dSHeuristics til "3" (000000000100000000023)
Hvis du vil ha detaljert informasjon om hvordan du endrer dSHeuristic, se 6.1.1.2.4.1.2 dSHeuristics.

Vi anbefaler at du setter verdien tilbake til 0 når du vet problematiske endringer ikke oppstår lenger. Dette kan være tilfellet spesielt for intra-skogen overføringer.

Informasjon om hurtigreparasjon

Viktig Hvis du installerer en språkpakke etter at du har installert denne hurtigreparasjonen, må du installere denne hurtigreparasjonen på nytt. Vi anbefaler derfor at du installerer alle språk pakker før du installerer denne hurtigreparasjonen. Hvis du vil ha mer informasjon, se Legge til språkpakker i Windows.

En støttet hurtigreparasjon er tilgjengelig fra Microsoft. Denne hurtigreparasjonen er imidlertid ment å løse problemet som er beskrevet i denne artikkelen. Bruk denne hurtigreparasjonen bare på systemer som har dette bestemte problemet.

Hvis hurtigreparasjonen er tilgjengelig for nedlasting, finnes delen "Nedlasting av hurtigreperasjon tilgjengelig" øverst i denne Knowledge Base-artikkelen. Hvis denne delen ikke vises, kan du sende en forespørsel til Microsofts kundeservice og kundestøtte for å få hurtigreparasjonen.

Obs! Hvis det oppstår andre problemer, eller hvis feilsøkingstips, må du kanskje opprette en separat forespørsel om. Vanlige kundestøttekostnader gjelder for ytterligere kundestøttespørsmål og problemer som ikke dekkes av denne oppdateringen. For en fullstendig liste over telefonnumre for Microsofts kundeservice og kundestøtte eller opprette en separat forespørsel om, kan du gå til følgende Microsoft-webområde: Obs! Hotfix Download Available-skjemaet viser språkene som hurtigreparasjonen er tilgjengelig på. Hvis du ikke ser språket ditt, er det fordi en hurtigreparasjon ikke er tilgjengelig for dette språket.

Forutsetninger

Hvis du vil bruke denne hurtigreparasjonen, må du ha April 2014 Samleoppdatering for Windows RT 8.1 8.1 for Windows og Windows Server 2012 R2 (2919355) installert i Windows 8.1 eller Windows Server 2012 R2.

Registerinformasjon

Hvis du vil bruke denne hurtigreparasjonen i denne pakken, trenger du ikke foreta endringer i registret.

Krav om omstart

Du må kanskje starte datamaskinen på nytt etter at du har installert denne hurtigreparasjonen.

Informasjon om erstatning av hurtigreparasjoner

Denne hurtigreparasjonen erstatter ikke tidligere utgitte hurtigreparasjoner.

Filinformasjon

Den globale versjonen av denne hurtigreparasjonen installerer filer med attributtene som er oppført i tabellene nedenfor. Datoene og klokkeslettene for disse filene er oppført i Coordinated Universal Time (UTC). Datoene og klokkeslettene for disse filene på den lokale datamaskinen din, vises i lokal tid sammen med den gjeldende tidsforskjellen for sommertid (DST). I tillegg kan datoene og klokkeslettene endres når du utfører bestemte operasjoner på filene.

Informasjon om 8.1 for Windows og Windows Server 2012 R2 og notater

Viktig Hurtigreparasjoner for Windows Server 2012 R2 og Windows 8.1 hurtigreparasjoner er inkludert i de samme pakkene. Hurtigreparasjoner på siden "Be om hurtigreparasjonen" er imidlertid oppført under begge operativsystemene. Hvis du vil be om hurtigreparasjonspakken som gjelder ett eller begge operativsystemene, kan du velge hurtigreparasjonen som er oppført under "Windows 8.1/Windows Server 2012 R2" på siden. Se delen "Gjelder" i artiklene for å fastslå det faktiske operativsystemet som hver hurtigreparasjon gjelder for.
  • Filene som gjelder for et bestemt produkt, en bestemt milepæl (RTM, SPn), og gren (LDR, GDR), kan identifiseres ved å kontrollere filversjonsnumrene, som vist i følgende tabell:
    VersjonProduktMilepælAvdeling
    6.3.960 0.17xxx8.1 for Windows og Windows Server 2012 R2RTMGDR
  • MANIFEST-filene (.manifest) og MUM-filene (.mum) som installeres for hvert miljø, er oppført separat i delen "mer informasjon". MUM, MANIFEST og tilknyttede sikkerhetskatalogfiler (.cat)-filer, er svært viktige for å opprettholde statusen til de oppdaterte komponentene. Sikkerhetskatalogfilene, hvor attributtene ikke er oppført, er signert med Microsofts digitale signatur.
For alle støttede x86-baserte versjoner av Windows 8.1
FilnavnFilversjonFilstørrelseDatoTidPlattform
Ntdsa.MOFIkke tilgjengelig227,76518-Jun-201312:21Ikke tilgjengelig
Ntdsai.dll6.3.9600.179012,576,89609-Jun-201520:43x 86
For alle støttede x 64-baserte versjoner av Windows 8.1 og Windows Server 2012 R2
FilnavnFilversjonFilstørrelseDatoTidPlattform
Ntdsa.MOFIkke tilgjengelig227,76518-Jun-201314:45Ikke tilgjengelig
Ntdsai.dll6.3.9600.179013,684,86409-Jun-201520:49x 64

Informasjon om tilleggsfiler

Mer filinformasjon for Windows 8.1 og for Windows Server 2012 R2
Tilleggsfiler for alle støttede x86-baserte versjoner av Windows 8.1
FilegenskapenVerdi
FilnavnX86_4c2f5adc88a0d6ac17ccdccf2255c6b7_31bf3856ad364e35_6.3.9600.17901_none_ba36e2d18bbebef8.manifest
FilversjonIkke tilgjengelig
Filstørrelse712
Dato (UTC)10-Jun-2015
Tid (UTC)12:46
PlattformIkke tilgjengelig
FilnavnX86_microsoft-windows-d... toryservices-ntdsai_31bf3856ad364e35_6.3.9600.17901_none_85b97991d47e36db.manifest
FilversjonIkke tilgjengelig
Filstørrelse3,352
Dato (UTC)09-Jun-2015
Tid (UTC)23:14
PlattformIkke tilgjengelig
Tilleggsfiler for alle støttede x64-baserte versjoner av Windows 8.1 og Windows Server 2012 R2
FilegenskapenVerdi
FilnavnAmd64_94aab516433aef4e5f0c8db414ae7999_31bf3856ad364e35_6.3.9600.17901_none_34c8efb13ae81094.manifest
FilversjonIkke tilgjengelig
Filstørrelse716
Dato (UTC)10-Jun-2015
Tid (UTC)12:46
PlattformIkke tilgjengelig
FilnavnAmd64_microsoft-windows-d... toryservices-ntdsai_31bf3856ad364e35_6.3.9600.17901_none_e1d815158cdba811.manifest
FilversjonIkke tilgjengelig
Filstørrelse3,356
Dato (UTC)09-Jun-2015
Tid (UTC)23:49
PlattformIkke tilgjengelig
Status
Microsoft har bekreftet at dette er et problem i Microsoft-produktene som er oppført i delen "Gjelder for".
Mer informasjon
Se detaljert informasjon SPN og UPN unikhet-funksjonen i Windows Server 2012 R2.

Du kan også se Hendelses-ID 11 – Konfigurasjon for tjenestens hovednavn for mer informasjon.

Spør blogg plattformer Premiere feltet utvikling (PFE): Overføringsverktøy fra tredjeparter Active Directory og KB 3070083.
Referanser
Se den terminologi som Microsoft bruker for å beskrive programvareoppdateringer.

Advarsel: Denne artikkelen er autooversatt

Egenskaper

Artikkel-ID: 3070083 – Forrige gjennomgang: 09/07/2015 20:26:00 – Revisjon: 3.0

Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows 8.1 Enterprise, Windows 8.1 Pro, Windows 8.1

  • kbqfe kbsurveynew kbfix kbhotfixserver kbautohotfix kbexpertiseinter kbmt KB3070083 KbMtno
Tilbakemelding