In dit artikel worden enkele problemen beschreven die zich voordoen op een domeincontroller met Windows Server 2012 R2. Er is een hotfix beschikbaar voor het oplossen van deze problemen. De hotfix is een vereiste.
Symptomen
Stel dat u een domeincontroller waarop Windows Server 2012 R2 wordt uitgevoerd, kunnen de volgende problemen optreden.
Probleem 1: Domeinlidmaatschap
U een nieuwe computer hebt en u wilt toevoegen aan een domein van het forest. Dezelfde computer host-naam wordt al gebruikt in een ander domein. In deze situatie meldt de join-domeinlidmaatschapsbewerking succes. Nadat u op OKklikt, ziet u het volgende dialoogvenster. De gewiste tekenreeksen zijn de oude en de nieuwe primaire achtervoegsel van de computer:
Het foutbericht de volgende strekking weergegeven:
Tijdens het verwerken van een wijziging in de DNS-hostnaam voor een object, kunnen de waarden van de SPN niet synchroon worden gehouden.
Na de herstart wordt de computer zal worden gerapporteerd als lid van een domein, maar zijn niet interactief aanmelden met een domeinaccount en ontvangt u het volgende foutbericht weergegeven:
De database op de server beschikt niet over een account voor deze vertrouwensrelatie met werkstation.
U ontvangt ook het volgende foutbericht in het bestand Netsetup.log:
0: 7 000021C: DSID-03200BA6, probleem 1005 (CONSTRAINT_ATT_TYPE), data 0, Att 90303 (servicePrincipalName)
NetpModifyComputerObjectInDs: ldap_modify_s is mislukt: 0x13 0x57
Probleem 2: Interforest-migratie
Als u een interforest-migratie van gebruikers die service principal name (SPN) of een UPN (user Principal name) gedefinieerd uitvoeren of interforest-migratie van computer, de migratie mislukt, omdat de account nog in de globale catalogus bestaat als het object is opgenomen in het doeldomein met deze kenmerken gevuld. Als het object is opgeslagen in het nieuwe domein, zou een dubbele SPN worden gemaakt.
Opmerking De hulpprogramma's voor de migratie mogelijk Active Directory Migration Tool (ADMT), hulpprogramma's voor migratie van externe of het verplaatsen-ADObject cmdlet met behulp van Active Directory PowerShell.
Probleem 3: SPN is strijdig met de SPN voor herstelde object
U heeft een account met SPN's in gebruik op een rekening die nu is verwijderd. U toevoegen een SPN-naam aan het object dat wordt gebruikt om een andere gebruiker of computer account hebben in het forest. Wanneer u nu probeert te herstellen van de verwijderde account, de actie is mislukt vanwege de dubbele SPN.
Opmerking In alle drie problemen, 2974-ID die lijkt op de volgende gebeurtenis vastgelegd in het logboek voor Active Directory van de domeincontroller: het foutnummer 8647 vertaalt naar symbolische naam is ERROR_DS_SPN_VALUE_NOT_UNIQUE_IN_FOREST. Voor deplicate UPN, zou de fout nummer 8648 en ERROR_DS_UPN_VALUE_NOT_UNIQUE_IN_FOREST zijn.
Oorzaak
Windows Server 2012 R2 geïntroduceerd en UPN-SPN uniekheid beperkend controleren. Met succes kunnen dubbele SPN en UPN-wanneer worden gestuurd via Systeembeheer zonder het hulpprogramma uniekheid controleren zelf.
In de problemen die in dit artikel zijn beschreven, kunnen administratieve taken, waarbij het effect niet duidelijk is.
Oplossing
In sommige gevallen kunt u de objecten die de actie blokkeren zodat de actie geslaagd is verwijderen. Voor interforest-migraties en herstelt, kunt u ook de SPN's en/of de UPN die zou worden dubbele en kunnen ze terug op de rekening toevoegen verwijderen.
Dergelijke wijziging preparaat mogelijk niet in alle gevallen. Daarom heeft Microsoft een update die u kunt beheren van het domeincontroller gedrag ontwikkeld. Deze update geldt voor domeincontrollers met Windows Server 2012 R2. U kunt deze update ook installeren op lidservers die kandidaat voor promotie naar een domeincontroller in de toekomst zijn.
Met deze update biedt Microsoft een forest-niveau switch uit te schakelen of het selectievakje uniekheid via het kenmerk dSHeuristics inschakelen.
De ondersteunde dSHeuristics waarden zijn:
-
dSHeuristic = 1: AD DS kunt u dubbele UPN-namen (UPN's) toe te voegen
-
dSHeuristic = 2: AD DS kunt u dubbele SPN-namen (SPN's) toe te voegen
-
dSHeuristic = 3: AD DS kunt u dubbele SPN's en UPN-namen toe te voegen
-
dSHeuristic = een andere waarde: uniekheid controleren op SPN's en de UPN door AD DS wordt afgedwongen
Voorbeelden:
-
Instellen UPN uniekheid selectievakje is uitgeschakeld, de 21e teken van dSHeuristics op "1" (000000000100000000021)
-
Stel de 21e teken van dSHeuristics op "2" voor het uitschakelen van SPN uniek selectievakje (000000000100000000022)
-
Voor het uitschakelen van de controles op de uniciteit en UPN-SPN instellen de 21e teken van dSHeuristics naar "3" (000000000100000000023)
Zie voor gedetailleerde informatie over het wijzigen van dSHeuristic 6.1.1.2.4.1.2 dSHeuristics.
Wij raden de waarde terug naar 0 te stellen wanneer u wijzigingen problemen niet meer optreden. Dit kan bijvoorbeeld het geval met name voor interforest-migraties.
Informatie over de hotfix
Belangrijk Als u een taalpakket installeert nadat u deze hotfix hebt geïnstalleerd, moet u deze hotfix opnieuw te installeren. Daarom wordt aangeraden dat u de taal installeren packs die u nodig voordat u hebt deze hotfix hebt geïnstalleerd. Zie voor meer informatie Taalpakketten toevoegen aan Windows.
Een ondersteunde hotfix is beschikbaar bij Microsoft. Deze hotfix is echter alleen bedoeld voor het probleem dat wordt beschreven in dit artikel. Voer deze hotfix alleen uit op systemen waarop dit specifieke probleem zich voordoet.
Als er een hotfix beschikbaar is om te downloaden, ziet u een sectie 'Hotfix kan worden gedownload' boven aan dit Knowledge Base-artikel. Als deze sectie niet wordt weergegeven, dien dan een verzoek in bij Microsoft Customer Service and Support om de hotfix te verkrijgen.
Opmerking Als er andere problemen optreden of als probleemoplossing is vereist, moet u wellicht een apart serviceverzoek indienen. De normale ondersteuningskosten gelden voor extra ondersteuningsvragen en problemen die niet in aanmerking komen voor deze specifieke hotfix. Voor een volledige lijst met telefoonnummers van Microsoft Customer Service and Support of een afzonderlijk serviceverzoek maken, gaat u naar de volgende Microsoft-website:
http://support.microsoft.com/contactus/?ws=supportOpmerking Het formulier 'Hotfix kan worden gedownload' geeft de talen weer waarin de hotfix beschikbaar is. Als uw taal niet wordt weergegeven, is dit omdat een hotfix niet voor die taal beschikbaar is.
Vereisten
U moet deze hotfix hebben April 2014 updatepakket voor Windows RT 8.1, Windows 8.1, en Windows Server 2012 R2 (2919355) in Windows 8.1 of Windows Server 2012 R2 is geïnstalleerd.
Informatie over het register
Voor het gebruik van de hotfix in dit pakket hoeft u geen wijzigingen aan te brengen in het register.
Opnieuw opstarten
Mogelijk moet u de computer opnieuw opstarten nadat u deze hotfix hebt toegepast.
Informatie over het vervangen van hotfixes
Deze hotfix vervangt geen eerder uitgebrachte hotfix.
De algemene versie van deze hotfix installeert bestanden met de bestandskenmerken die in de volgende tabellen worden weergegeven. De datums en tijden voor deze bestanden worden weergegeven in Coordinated Universal Time (UTC). De datums en tijden voor deze bestanden op uw lokale computer worden weergegeven in uw lokale tijd samen met het huidige verschil met de zomertijd (DST). Bovendien kunnen de datums en tijden veranderen wanneer u bepaalde bewerkingen op de bestanden uitvoert.
Windows 8.1 en Windows Server 2012 R2 - bestandsgegevens en notities
Belangrijk Hotfixes voor Windows 8.1 en Windows Server 2012 R2 zijn opgenomen in dezelfde pakketten. Hotfixes op de pagina Hotfix aanvragen worden echter vermeld onder de beide besturingssystemen. Als u het hotfix-pakket wordt toegepast op een of beide besturingssystemen, schakelt u de hotfix die wordt vermeld onder 'Windows 8.1/Windows Server 2012 R2' op de pagina. Raadpleeg altijd de sectie 'Van toepassing op' in de artikelen om het besturingssysteem te bepalen waarop elke hotfix van toepassing is.
-
De bestanden die gelden voor een specifiek product, specifieke mijlpaal (RTM, SPn) en servicestructuur (LDR, GDR) kunnen worden geïdentificeerd door het nummer van de bestandsversie zoals aangegeven in de volgende tabel:
Versie
Product
Mijlpaal
Servicestructuur
6.3.960 0.17xxx
Windows 8.1 en Windows Server 2012 R2
RTM
GDR
-
De MANIFEST-bestanden (.manifest) en MUM-bestanden (.mum) die zijn geïnstalleerd voor elke omgeving zijn apart vermeld in de sectie 'extra informatie'. MUM, MANIFEST en de bijbehorende beveiligingscatalogusbestanden (.cat) zijn zeer belangrijk voor het statusbeheer van de bijgewerkte onderdelen. De beveiligingscatalogusbestanden, waarvan de kenmerken niet worden vermeld, zijn ondertekend met een digitale handtekening van Microsoft.
Voor alle ondersteunde x86-versies van Windows 8.1
|
Bestandsnaam |
Bestandsversie |
Bestandsgrootte |
Datum |
Tijd |
Platform |
|---|---|---|---|---|---|
|
Ntdsa.mof |
Niet van toepassing |
227,765 |
18-Jun-2013 |
12:21 |
Niet van toepassing |
|
Ntdsai.dll |
6.3.9600.17901 |
2,576,896 |
09-Jun-2015 |
20:43 |
x86 |
Voor alle ondersteunde x64-versies van Windows 8.1 en Windows Server 2012 R2
|
Bestandsnaam |
Bestandsversie |
Bestandsgrootte |
Datum |
Tijd |
Platform |
|---|---|---|---|---|---|
|
Ntdsa.mof |
Niet van toepassing |
227,765 |
18-Jun-2013 |
14:45 |
Niet van toepassing |
|
Ntdsai.dll |
6.3.9600.17901 |
3,684,864 |
09-Jun-2015 |
20:49 |
x64 |
Aanvullende bestandsinformatie
Aanvullende bestandsinformatie voor Windows 8.1 en Windows Server 2012 R2
Extra bestanden voor alle ondersteunde x86-versies van Windows 8.1
|
Bestandseigenschap |
Waarde |
|---|---|
|
Bestandsnaam |
X86_4c2f5adc88a0d6ac17ccdccf2255c6b7_31bf3856ad364e35_6.3.9600.17901_none_ba36e2d18bbebef8.manifest |
|
Bestandsversie |
Niet van toepassing |
|
Bestandsgrootte |
712 |
|
Datum (UTC) |
10-Jun-2015 |
|
Tijd (UTC) |
12:46 |
|
Platform |
Niet van toepassing |
|
Bestandsnaam |
X86_microsoft-windows-d..toryservices-ntdsai_31bf3856ad364e35_6.3.9600.17901_none_85b97991d47e36db.manifest |
|
Bestandsversie |
Niet van toepassing |
|
Bestandsgrootte |
3,352 |
|
Datum (UTC) |
09-Jun-2015 |
|
Tijd (UTC) |
23:14 |
|
Platform |
Niet van toepassing |
Extra bestanden voor alle ondersteunde x64-versies van Windows 8.1 en Windows Server 2012 R2
|
Bestandseigenschap |
Waarde |
|---|---|
|
Bestandsnaam |
Amd64_94aab516433aef4e5f0c8db414ae7999_31bf3856ad364e35_6.3.9600.17901_none_34c8efb13ae81094.manifest |
|
Bestandsversie |
Niet van toepassing |
|
Bestandsgrootte |
716 |
|
Datum (UTC) |
10-Jun-2015 |
|
Tijd (UTC) |
12:46 |
|
Platform |
Niet van toepassing |
|
Bestandsnaam |
Amd64_microsoft-windows-d..toryservices-ntdsai_31bf3856ad364e35_6.3.9600.17901_none_e1d815158cdba811.manifest |
|
Bestandsversie |
Niet van toepassing |
|
Bestandsgrootte |
3,356 |
|
Datum (UTC) |
09-Jun-2015 |
|
Tijd (UTC) |
23:49 |
|
Platform |
Niet van toepassing |
Status
Microsoft heeft bevestigd dat dit probleem kan optreden in de Microsoft-producten die worden vermeld in de sectie 'Van toepassing op'.
Meer informatie
Gedetailleerde informatie bekijken over SPN en UPN-uniek-functie in Windows Server 2012 R2.
U kunt ook zien gebeurtenis-ID 11, configuratie van de Service Principal Name voor meer informatie.
Vraag Premiere veld Engineer (PFE) Platforms blog: derden Active Directory-migratieprogramma en KB 3070083.
Referenties
Zie de terminologie die door Microsoft wordt gebruikt om software-updates te beschrijven.
