Powoduje sprawdzenie duplikatów SPN dla kontrolera domeny z systemem Windows Server 2012 R2 przywracania, przyłączanie do domeny i migracji błędy

WAŻNE: Ten artykuł został przetłumaczony przy użyciu oprogramowania firmy Microsoft do tłumaczenia maszynowego i może być poprawiony przy użyciu technologii Community Translation Framework (CTF). Firma Microsoft udostępnia artykuły tłumaczone maszynowo, poprawione przez społeczność, a także tłumaczone przez tłumaczy profesjonalnych, aby zapewnić dostęp do wszystkich artykułów w bazie wiedzy w wielu językach. Artykuły tłumaczone maszynowo i poprawione mogą zawierać błędy pisowni, składniowe i gramatyczne. Firma Microsoft nie ponosi odpowiedzialności za żadne nieścisłości, błędy ani szkody spowodowane przez niepoprawne tłumaczenia zawartości ani przez korzystanie z niej przez klientów. Więcej o strukturze CTF: http://support.microsoft.com/gp/machine-translation-corrections/pl.

Anglojęzyczna wersja tego artykułu to: 3070083
W tym artykule opisano kilka problemów, które występują na kontrolerze domeny z systemem Windows Server 2012 R2. Poprawka jest dostępna rozwiązać te problemy. Poprawka jestwymagania wstępne.
Symptomy
Załóżmy, że masz kontroler domeny z systemem Windows Server 2012 R2, może pojawić się jeden z następujących problemów.

Problem 1: Przyłączanie do domeny

Masz nowy komputer i chcesz dołączyć go toa domeny w lesie. Ta sama nazwa hosta komputera jest już używana w innej domenie. W tej sytuacji operacji przyłączania do domeny zgłasza sukces. Po youclickOKzobaczą następujące okno dialogowe. Skasowane ciągi znaków są stare i nowe sufiks podstawowej domeny komputera:

To jest zrzut ekranu programu zmiany nazwy komputera/domeny

Komunikat o błędzie podobny do następującego:

Podczas przetwarzania zmian nazwy hosta DNS obiektu, wartości głównej nazwy usługi mogą nie zostać zsynchronizowane.

Po ponownym uruchomieniu komputer zgłasza się jako członek domeny, ale interakcyjnego logowania przy użyciu konta domeny zakończy się niepowodzeniem, a otrzymasz następujący komunikat o błędzie:

Baza danych zabezpieczeń na serwerze nie ma konta komputerowego dla relacji zaufania tej stacji roboczej.

Alsoreceive będzie komunikatu followingerror w pliku Netsetup.log:

0: 000021C 7: 03200BA6 DSID, problem 1005 (CONSTRAINT_ATT_TYPE), 0, dane Att 90303 (servicePrincipalName)
NetpModifyComputerObjectInDs: ldap_modify_s nie powiodło się: 0x13 0x57

Wydania 2:Intra-forest migracji

Jeśli dokonywana jest migracja wewnątrz lasu użytkownika zawierający głównej nazwy usługi (SPN) lub główna nazwa użytkownika (UPN) zdefiniowany lub migracji komputera wewnątrz lasu, migracja nie działa, ponieważ konto nadal istnieje w katalogu globalnym wprowadzoną obiektu w domenie docelowej, który ma następujące atrybuty wypełnione. Jeśli obiekt został zapisany w nowej domenie, czy tworzone zduplikowane nazwy SPN.

Uwaga: Narzędzia do kierowania migracja może być Active Directory migracji Tool (ADMT), narzędzia migracji zewnętrznych lub przenieść- apletu poleceniaADObjectprzez usingActive DirectoryPowerShell.

Problem 3: SPN konfliktów z nazwy SPN na przywróconych obiektów

Miał konto nazwy SPN w użyciu na konto, które jest teraz usuwany. Youadd nazwy SPN do obiektu, który użyte do innego konta użytkownika lub komputera w lesie. Podczas próby teraz przywrócić usunięte konto, akcja kończy się niepowodzeniem z powodu zduplikowane nazwy SPN.

Uwaga: We wszystkich trzech zagadnień zdarzenie ID 2974, podobny do następującego jest rejestrowane w dzienniku usługi katalogowej na kontrolerze domeny:


Nazwa dziennika: Usługa katalogowa
Źródło: Microsoft-Windows-ActiveDirectory_DomainService
Identyfikator zdarzenia: 2974
Kategorii zadań: Wykaz globalny
Poziom: Błąd
Słowa kluczowe: Klasyczne
Opis: Podana wartość atrybutu nie unikatowe w lesie lub partycji. Atrybut: servicePrincipalName Value=HOST/server1.contoso.com
CN = serwer1, OU = serwerów członkowskich, DC = contoso, DC = com powiodło: 8647

Numer błędu 8647 przekłada się do symboliczne nazwy jest ERROR_DS_SPN_VALUE_NOT_UNIQUE_IN_FOREST. Dla deplicate głównej nazwy użytkownika błąd będzie numer 8648 i ERROR_DS_UPN_VALUE_NOT_UNIQUE_IN_FOREST.
Przyczyna
Windows Server 2012 R2 wprowadzono restrykcyjne sprawdzanie unikalności głównej nazwy użytkownika i nazwy SPN. Pomyślnie zapobiega zduplikowane nazwy SPN i nazwy UPN gdy są prowadzone przez program Narzędzia administracyjne bez konieczności narzędzie sprawdzania unikatowości, sam.

W kwestiach, które zostały opisane w tym artykule zapobiega zadań administracyjnych, jeżeli efekt nie jest oczywiste.
Rozwiązanie
W niektórych przypadkach można usuwać obiekty, które blokują swoje działania, tak, że akcja jest pomyślne. Dla migracji wewnątrz lasu i przywraca można również usunąć nazwy SPN i/lub głównej nazwy użytkownika, który zostanie zduplikowany, a potencjalnie dodać je ponownie na koncie.

Taka zmiana preparat nie może być możliwe we wszystkich przypadkach. W związku z tym firma Microsoft przygotowała aktualizacji, która umożliwia kontrolowanie zachowania kontrolera domeny. Ta aktualizacja dotyczy kontrolerów domeny z systemem Windows Server 2012 R2. Można również zainstalować tę aktualizację na serwerach członkowskich, które są kandydatem do promocji z kontrolerem domeny w przyszłości.

Dzięki tej aktualizacji firma Microsoft udostępnia przełącznik poziomu lasu, aby włączyć lub wyłączyć na unikatowość wyboru za pomocą atrybutu dSHeuristics.

Poniżej przedstawiono wartości obsługiwanych dSHeuristics:
  1. dSHeuristic = 1: AD DS pozwala na dodanie zduplikowane nazwy główne (UPN)
  2. dSHeuristic = 2: AD DS pozwala na dodanie zduplikowanych usługa główne nazwy (usług SPN)
  3. dSHeuristic = 3: AD DS pozwala na dodanie zduplikowane nazwy SPN i nazw UPN
  4. dSHeuristic = Any inna wartość: AD DS Wymusza unikatowość Sprawdź zarówno nazwy SPN, jak i nazw UPN
Przykłady:
  1. Wyłączanie wyboru unikatowość nazwy UPN, ustawić 21 znak dSHeuristics na "1" (000000000100000000021)
  2. Wyłączanie wyboru unikatowość nazwy SPN, ustawić 21 znak dSHeuristics do "2" (000000000100000000022)
  3. Wyłączenie kontroli unikatowości głównej nazwy użytkownika i nazwy SPN, ustawić 21 znak dSHeuristics na "3" (000000000100000000023)
Aby uzyskać szczegółowe informacje na temat sposobu modyfikacji dSHeuristic zobacz 6.1.1.2.4.1.2 dSHeuristics.

Zaleca się ustawić wartość na 0 , gdy wiadomo, że problematyczne zmiany już nie występuje. Może to być szczególnie w przypadku migracji wewnątrz lasu.

Informacje o poprawce

Ważne: Jeśli po zainstalowaniu tej poprawki należy zainstalować pakiet językowy, należy ponownie zainstalować tę poprawkę. Dlatego zaleca się zainstalowanie dowolnego języka pakiety, które potrzebne przed zainstalowanie tej poprawki. Aby uzyskać więcej informacji zobacz Dodawanie pakietu językowego do systemu Windows.

Obsługiwana poprawka jest dostępna od firmy Microsoft. Jednak ta poprawka jest przeznaczona tylko do usunięcia problemu opisanego w tym artykule. Tylko w systemach, w których występuje ten problem, należy zastosować tę poprawkę.

Jeśli poprawka jest dostępna do pobrania, pojawi się sekcja "Poprawka dostępna do pobrania" na początku tego artykułu z bazy wiedzy Knowledge Base. Jeśli nie ma tej sekcji, należy przesłać żądanie do centrum obsługi klienta firmy Microsoft i obsługi technicznej w celu uzyskania poprawki.

Uwaga: Jeśli wystąpią dodatkowe błędy lub konieczność rozwiązania problemu, być może trzeba będzie utworzyć osobne zlecenie usługi. Zwykłe koszty obsługi będą zastosowane do dodatkowych pytań i problemów, których nie można rozwiązać przy użyciu określonej poprawki. Aby uzyskać pełną listę numerów telefonów pomocy technicznej i obsługi klienta firmy Microsoft lub utworzyć osobne zlecenie usługi odwiedź następujące witryny firmy Microsoft: Uwaga: "Poprawka dostępna do pobrania" zawiera listę języków, dla których dostępna jest poprawka. Jeśli odpowiedni język nie jest widoczny, to dlatego, że poprawka nie jest dostępna dla danego języka.

Wymagania wstępne

Aby zastosować tę poprawkę, musi mieć Pakiet zbiorczy aktualizacji kwietnia 2014 r. dla Windows RT 8.1, 8.1 systemu Windows i systemu Windows Server 2012 R2 (2919355) zainstalowane w Windows 8.1 lub Windows Server 2012 R2.

Informacje dotyczące rejestru

Aby użyć poprawki w tym pakiecie, nie trzeba wprowadzać żadnych zmian w rejestrze.

Wymagania dotyczące ponownego uruchomienia

Może być konieczne ponowne uruchomienie komputera po zastosowaniu tej poprawki.

Informacje dotyczące zastępowania poprawek

Ta poprawka nie zastępuje wcześniej wydanej poprawki.

Informacje o pliku

Wersja globalna tej poprawki instaluje pliki, których atrybuty wymieniono w poniższych tabelach. Daty i godziny odpowiadające tym plikom są podane w formacie uniwersalnego czasu koordynowanego (UTC, Coordinated Universal Time). Daty i godziny odpowiadające tym plikom na komputerze lokalnym są wyświetlane w formacie czasu lokalnego, wraz z Twoim bieżącym bias czasu letniego (DST). Dodatkowo, daty mogą ulec zmianie podczas wykonywania pewnych operacji na plikach.

Informacje o plikach Windows 8.1 i Windows Server 2012 R2 i notatki

Ważne: Poprawki Windows 8.1 i systemu Windows Server 2012 R2 są zawarte w tych samych opakowaniach. Jednak poprawki na stronie żądanie poprawki są wymienione w obu systemach operacyjnych. Zażądać pakietu poprawek, który dotyczy jednej lub obu systemów operacyjnych, należy wybrać poprawkę, która jest wyświetlana w obszarze "Windows 8.1/Windows Server 2012 R2" na stronie. Zawsze można znaleźć w sekcji "Stosuje się do" artykuły, aby określić rzeczywiste systemu operacyjnego, którego dotyczy każdej poprawki.
  • Pliki dotyczące określonego produktu, etapu rozwoju (RTM, SPn), i składnika usługi (LDR, GDR) można zidentyfikować przez sprawdzenie wersji pliku, jak pokazano w poniższej tabeli:
    WersjaProduktKamień milowySkładnik usługi
    6.3.960 0,17xxxWindows 8.1 i Windows Server 2012RTMGDR
  • Pliki MANIFESTU (manifest) i pliki MUM (mum) zainstalowanych dla każdego środowiska są wymienione osobno w sekcji "informacje o dodatkowych plikach". Pliki MUM, MANIFESTU oraz skojarzone pliki wykazu zabezpieczeń (.cat), muszą posiadać zaktualizowane składniki. Pliki wykazu zabezpieczeń, których atrybuty nie zostały wymienione, są podpisane za pomocą podpisu cyfrowego firmy Microsoft.
Dla wszystkich obsługiwanych wersji systemu Windows 8.1 opartych na procesorach x 86
Nazwa plikuWersja plikuRozmiar plikuDataCzasPlatforma
Ntdsa.MOFNie dotyczy227,76518-cze-201312:21Nie dotyczy
Ntdsai.dll6.3.9600.179012,576,89609-cze-201520:43x86
Dla wszystkich obsługiwanych wersji systemu Windows 8.1 i systemu Windows Server 2012 R2 opartych na procesorach x64
Nazwa plikuWersja plikuRozmiar plikuDataCzasPlatforma
Ntdsa.MOFNie dotyczy227,76518-cze-201314:45Nie dotyczy
Ntdsai.dll6.3.9600.179013,684,86409-cze-201520:49x64

Informacje o dodatkowych plikach

Informacje o dodatkowych plikach dla systemu Windows 8.1 i systemu Windows Server 2012 R2
Dodatkowe pliki dla wszystkich obsługiwanych wersji Windows 8.1 z procesorem x 86
Właściwości plikuWartość
Nazwa plikuX86_4c2f5adc88a0d6ac17ccdccf2255c6b7_31bf3856ad364e35_6.3.9600.17901_none_ba36e2d18bbebef8.manifest
Wersja plikuNie dotyczy
Rozmiar pliku712
Data (UTC)10-cze-2015
Godzina (UTC)12:46
PlatformaNie dotyczy
Nazwa plikuX86_microsoft-windows w... toryservices-ntdsai_31bf3856ad364e35_6.3.9600.17901_none_85b97991d47e36db.manifest
Wersja plikuNie dotyczy
Rozmiar pliku3,352
Data (UTC)09-cze-2015
Godzina (UTC)23:14
PlatformaNie dotyczy
Dodatkowe pliki dla wszystkich obsługiwanych 64-bitowych wersji systemu Windows 8.1 i systemu Windows Server 2012 R2
Właściwości plikuWartość
Nazwa plikuAmd64_94aab516433aef4e5f0c8db414ae7999_31bf3856ad364e35_6.3.9600.17901_none_34c8efb13ae81094.manifest
Wersja plikuNie dotyczy
Rozmiar pliku716
Data (UTC)10-cze-2015
Godzina (UTC)12:46
PlatformaNie dotyczy
Nazwa plikuAmd64_microsoft-windows w... toryservices-ntdsai_31bf3856ad364e35_6.3.9600.17901_none_e1d815158cdba811.manifest
Wersja plikuNie dotyczy
Rozmiar pliku3,356
Data (UTC)09-cze-2015
Godzina (UTC)23:49
PlatformaNie dotyczy
Stan
Firma Microsoft potwierdziła, że jest to problem występujący w produktach firmy Microsoft wymienionych w sekcji „Dotyczy”.
Więcej informacji
Informacje szczegółowe Funkcja unikatowość nazwy SPN i głównej nazwy użytkownika w systemie Windows Server 2012 R2.

Może być również wyświetlony Identyfikator zdarzenia 11 — Głównej nazwy usługi konfiguracji Aby uzyskać więcej informacji.

Poproś blog platformy Premiere inżynier pola (PFE): Narzędzia migracji usługi Active Directory w innych firm i KB 3070083.
Materiały referencyjne
Zobacz terminologia używaną przez firmę Microsoft do opisywania aktualizacji oprogramowania.

Ostrzeżenie: ten artykuł przetłumaczono automatycznie

Właściwości

Identyfikator artykułu: 3070083 — ostatni przegląd: 09/08/2015 03:23:00 — zmiana: 3.0

Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows 8.1 Enterprise, Windows 8.1 Pro, Windows 8.1

  • kbqfe kbsurveynew kbfix kbhotfixserver kbautohotfix kbexpertiseinter kbmt KB3070083 KbMtpl
Opinia