Denne artikkelen beskriver noen problemer som oppstår på en Windows Server 2012 R2-basert domenekontroller. En hurtigreparasjon er tilgjengelig for å løse disse problemene. Hurtigreparasjonen er en forutsetning.
Symptomer
Anta at du har en domenekontroller som kjører Windows Server 2012 R2, ett av følgende problemer kan oppstå.
Problem 1: Domenet
Du har en ny datamaskin, og du vil koble den til et domene i skogen. Det samme maskinen vertsnavnet er allerede brukt i et annet domene. I dette tilfellet rapporterer domain join-operasjonen var vellykket. Når du klikker OK, vises følgende dialogboks. Utviskede strengene er gammelt og det nye primære suffikset for datamaskinen:
Feilmeldingen ligner på følgende:
Under behandling av en endring i DNS-vertsnavnet for et objekt, kan tjenestens hovednavn verdiene ikke holdes synkroniserte.
Etter omstart, datamaskinen rapporterer seg selv som medlem av et domene, men mislykkes interaktiv pålogging med en domenekonto, og får du følgende feilmelding:
Sikkerhetsdatabasen på serveren har ikke konto for denne arbeidsstasjonens klareringsforhold.
Du vil også få følgende feilmelding i filen Netsetup.log:
0: 000021C 7: DSID-03200BA6, problemet 1005 (CONSTRAINT_ATT_TYPE) data 0, Att 90303 (servicePrincipalName)
NetpModifyComputerObjectInDs: ldap_modify_s mislyktes: 0x13 0x57
Problem 2: Intra-skogen overføring
Hvis du utfører en intra-skogen brukeroverføring som har hovednavn for tjeneste (SPN) eller brukernavnet (UPN) definert eller intra-skogen datamaskinen på nytt, overføringen mislykkes fordi kontoen fremdeles finnes i den globale katalogen som objektet er innført i måldomenet med disse attributtene som er fylt ut. Hvis objektet ble lagret i det nye domenet, blir også opprettet en like SPN.
Obs! Verktøy for å drive overføringer kan være Active Directory Migration Tool (ADMT), eksterne verktøy eller flytte-ADObject -cmdlet ved hjelp av Active Directory-PowerShell.
3-problem: SPN er i konflikt med SPN for gjenopprettede objekt
Du har en konto med SPNer i bruk på en konto som er nå slettet. Du legger til et SPN objektet som brukes til å ha en annen konto for brukeren eller datamaskinen i skogen. Når du prøver å gjenopprette en slettet konto nå, vil handlingen mislykkes på grunn av dupliserte SPN.
Obs! Hendelses-ID 2974 som ligner på følgende logges i alle tre problemer i katalogtjenesten loggen på domenekontrolleren: feilnummer 8647 oversetter til symbolsk navn er ERROR_DS_SPN_VALUE_NOT_UNIQUE_IN_FOREST. Feilen vil være antall 8648 og ERROR_DS_UPN_VALUE_NOT_UNIQUE_IN_FOREST for deplicate UPN.
Årsak
Windows Server 2012 R2 introdusert restriktive ser etter UPN og SPN unikhet. Klarer hindrer like SPN og UPN når de drives gjennom administrative verktøy uten å måtte bruke verktøyet til å utføre et unikhet av seg selv.
I problemene som er beskrevet i denne artikkelen, hindrer det administrative oppgaver der effekten ikke er innlysende.
Oppløsning
I noen tilfeller kan du slette objekter som blokkerer handlingen slik at handlingen var vellykket. Intra-skogen overføringer og gjenoppretter, kan du også slette SPNer og/eller UPN som ville være like, og potensielt kan legge dem tilbake på kontoen.
Slik forberedelse endring kan ikke brukes i alle tilfeller. Derfor har Microsoft utviklet en oppdatering som muliggjør kontrollere domenekontroller virkemåten. Denne oppdateringen gjelder for Windows Server 2012 R2-baserte domenekontrollere. Du kan også installere denne oppdateringen på medlemsservere som kandidat for forfremmelse til en domenekontroller i fremtiden.
Microsoft tilbyr en skog nivå bryter for å slå av eller på unikhet Sjekk via dSHeuristics-attributt med denne oppdateringen.
Følgende er de støttede dSHeuristics verdiene:
-
dSHeuristic = 1: AD DS gjør det mulig å legge til like brukerhovednavn (UPNer)
-
dSHeuristic = 2: AD DS gjør det mulig å legge til like service principal navn (SPNer)
-
dSHeuristic = 3: AD DS gjør det mulig å legge til like SPNer og UPNer
-
dSHeuristic = en hvilken som helst annen verdi: AD DS fremtvinger entydighet av både SPNer og UPNer
Eksempler:
-
For å deaktivere UPN unikhet av, kan du angi 21 tegnet av dSHeuristics til "1" (000000000100000000021)
-
For å deaktivere SPN unikhet av, kan du angi 21 tegnet av dSHeuristics til "2" (000000000100000000022)
-
For å deaktivere UPN og SPN unikhet sjekker, angi 21 tegnet av dSHeuristics til "3" (000000000100000000023)
Hvis du vil ha detaljert informasjon om hvordan du endrer dSHeuristic, se 6.1.1.2.4.1.2 dSHeuristics.
Vi anbefaler at du setter verdien tilbake til 0 når du vet problematiske endringer ikke oppstår lenger. Dette kan være tilfellet spesielt for intra-skogen overføringer.
Informasjon om hurtigreparasjon
Viktig Hvis du installerer en språkpakke etter at du har installert denne hurtigreparasjonen, må du installere denne hurtigreparasjonen på nytt. Vi anbefaler derfor at du installerer alle språk pakker før du installerer denne hurtigreparasjonen. Hvis du vil ha mer informasjon, se legge til språkpakker i Windows.
En støttet hurtigreparasjon er tilgjengelig fra Microsoft. Denne hurtigreparasjonen er imidlertid ment å løse problemet som er beskrevet i denne artikkelen. Bruk denne hurtigreparasjonen bare på systemer som har dette bestemte problemet.
Hvis hurtigreparasjonen er tilgjengelig for nedlasting, finnes delen "Hotfix Download-Available" øverst i denne Knowledge Base-artikkelen. Hvis denne delen ikke vises, kan du sende en forespørsel til Microsofts kundeservice og kundestøtte for å få hurtigreparasjonen.
Obs! Hvis det oppstår andre problemer, eller hvis feilsøkingstips, må du kanskje opprette en separat forespørsel om. Vanlige kundestøttekostnader gjelder for ytterligere kundestøttespørsmål og problemer som ikke dekkes av denne oppdateringen. For en fullstendig liste over telefonnumre for Microsofts kundeservice og kundestøtte eller opprette en separat forespørsel om, kan du gå til følgende Microsoft-webområde:
http://support.microsoft.com/contactus/?ws=supportObs! "Hotfix Download-Available" skjemaet viser språk hurtigreparasjonen er tilgjengelig. Hvis du ikke ser språket ditt, er det fordi en hurtigreparasjon ikke er tilgjengelig for dette språket.
Forutsetninger
Hvis du vil bruke denne hurtigreparasjonen, må du ha April 2014 Samleoppdatering for Windows RT 8.1, 8.1 for Windows, og Windows Server 2012 R2 (2919355) installert i Windows 8.1 eller Windows Server 2012 R2.
Informasjonen i registeret
Hvis du vil bruke denne hurtigreparasjonen i denne pakken, har du ikke foreta endringer i registret.
Krav om omstart
Du må kanskje starte datamaskinen på nytt etter at du har installert denne hurtigreparasjonen.
Informasjon om erstatning av hurtigreparasjoner
Denne hurtigreparasjonen erstatter ikke tidligere utgitte hurtigreparasjoner.
Den globale versjonen av denne hurtigreparasjonen installerer filer med attributtene som er oppført i tabellene nedenfor. Datoene og klokkeslettene for disse filene er oppført i Coordinated Universal Time (UTC). Datoene og klokkeslettene for disse filene på den lokale datamaskinen, vises i lokal tid sammen med din gjeldende tidsforskjell for sommertid (DST). I tillegg kan til datoene og klokkeslettene endres når du utfører bestemte operasjoner på filene.
Informasjon om 8.1 for Windows og Windows Server 2012 R2 og notater
Viktig Hurtigreparasjoner for Windows Server 2012 R2 og Windows 8.1 hurtigreparasjoner er inkludert i de samme pakkene. Hurtigreparasjoner på siden Be om hurtigreparasjonen er imidlertid oppført under begge operativsystemene. Hvis du vil be om hurtigreparasjonspakken som gjelder ett eller begge operativsystemene, kan du velge hurtigreparasjonen som er oppført under "Windows 8.1/Windows Server 2012 R2" på siden. Se delen "Gjelder" i artiklene for å fastslå det faktiske operativsystemet som gjelder hver hurtigreparasjon for alltid.
-
Filene som gjelder for et bestemt produkt, en bestemt milepæl (RTM, SPn) og avdeling (LDR, GDR), kan identifiseres ved å kontrollere filversjonsnumrene, som vist i følgende tabell:
Versjon
Produkt
Milepæl
Avdeling
6.3.960 0.17xxx
8.1 for Windows og Windows Server 2012 R2
RTM
GDR
-
MANIFEST-filene (.manifest) og MUM-filene (.mum) som installeres for hvert miljø, er oppført separat i delen "mer informasjon". MUM, MANIFEST og tilknyttede sikkerhetskatalogfiler (.cat)-filer, er svært viktig å opprettholde statusen for de oppdaterte komponentene. Sikkerhetskatalogfilene, som attributtene ikke er oppført, er signert med Microsofts digitale signatur.
For alle støttede x86-baserte versjoner av Windows 8.1
|
Filnavn |
Filversjon |
Filstørrelse |
Dato |
Tid |
Plattform |
|---|---|---|---|---|---|
|
Ntdsa.mof |
Ikke tilgjengelig |
227,765 |
18-Jun-2013 |
12:21 |
Ikke tilgjengelig |
|
Ntdsai.dll |
6.3.9600.17901 |
2,576,896 |
09-Jun-2015 |
20:43 |
x86 |
For alle støttede x64-baserte versjoner av Windows 8.1 og Windows Server 2012 R2
|
Filnavn |
Filversjon |
Filstørrelse |
Dato |
Tid |
Plattform |
|---|---|---|---|---|---|
|
Ntdsa.mof |
Ikke tilgjengelig |
227,765 |
18-Jun-2013 |
14:45 |
Ikke tilgjengelig |
|
Ntdsai.dll |
6.3.9600.17901 |
3,684,864 |
09-Jun-2015 |
20:49 |
x64 |
Mer filinformasjon
Mer filinformasjon for Windows 8.1 og for Windows Server 2012 R2
Tilleggsfiler for alle støttede x86-baserte versjoner av Windows 8.1
|
Filegenskapen |
Verdi |
|---|---|
|
Filnavn |
X86_4c2f5adc88a0d6ac17ccdccf2255c6b7_31bf3856ad364e35_6.3.9600.17901_none_ba36e2d18bbebef8.manifest |
|
Filversjon |
Ikke tilgjengelig |
|
Filstørrelse |
712 |
|
Dato (UTC) |
10-Jun-2015 |
|
Tid (UTC) |
12:46 |
|
Plattform |
Ikke tilgjengelig |
|
Filnavn |
X86_microsoft-windows-d..toryservices-ntdsai_31bf3856ad364e35_6.3.9600.17901_none_85b97991d47e36db.manifest |
|
Filversjon |
Ikke tilgjengelig |
|
Filstørrelse |
3,352 |
|
Dato (UTC) |
09-Jun-2015 |
|
Tid (UTC) |
23:14 |
|
Plattform |
Ikke tilgjengelig |
Tilleggsfiler for alle støttede x64-baserte versjoner av Windows 8.1 og Windows Server 2012 R2
|
Filegenskapen |
Verdi |
|---|---|
|
Filnavn |
Amd64_94aab516433aef4e5f0c8db414ae7999_31bf3856ad364e35_6.3.9600.17901_none_34c8efb13ae81094.manifest |
|
Filversjon |
Ikke tilgjengelig |
|
Filstørrelse |
716 |
|
Dato (UTC) |
10-Jun-2015 |
|
Tid (UTC) |
12:46 |
|
Plattform |
Ikke tilgjengelig |
|
Filnavn |
Amd64_microsoft-windows-d..toryservices-ntdsai_31bf3856ad364e35_6.3.9600.17901_none_e1d815158cdba811.manifest |
|
Filversjon |
Ikke tilgjengelig |
|
Filstørrelse |
3,356 |
|
Dato (UTC) |
09-Jun-2015 |
|
Tid (UTC) |
23:49 |
|
Plattform |
Ikke tilgjengelig |
Status
Microsoft har bekreftet at dette er et problem i Microsoft-produktene som er oppført i delen "Gjelder for".
Hvis du vil ha mer informasjon
Se detaljert informasjon om SPN og UPN unikhet-funksjonen i Windows Server 2012 R2.
Du kan også se hendelses-ID 11 – tjenestekonfigurasjon Principal Name for mer informasjon.
Spør Premiere feltet utvikling (PFE)-plattformer blogg: Active Directory Migration tredjepartsverktøy og KB 3070083.
Referanser
Se terminologien som Microsoft bruker til å beskrive oppdateringer av programvare.
