W tym artykule opisano kilka problemów, które występują na kontrolerze domeny z systemem Windows Server 2012 R2. Poprawka jest dostępna w celu rozwiązania tych problemów. Poprawka jest warunkiem wstępnym.
Objawy
Załóżmy, że masz kontroler domeny z systemem Windows Server 2012 R2, może pojawić się jeden z następujących problemów.
Problem 1: Przyłączanie do domeny
Masz nowy komputer i chcesz przyłączyć go do domeny w lesie. Ta sama nazwa hosta komputera jest już używana w innej domenie. W tej sytuacji operacji przyłączania do domeny zgłasza sukces. Po kliknięciu przycisku OKpojawi się następujące okno dialogowe. Skasowane ciągi znaków są stare i nowe sufiks podstawowej domeny komputera:
Komunikat o błędzie podobny do następującego:
Podczas przetwarzania zmian nazwy hosta DNS obiektu, wartości głównej nazwy usługi mogą nie zostać zsynchronizowane.
Po ponownym uruchomieniu komputera zgłasza się jako członek domeny, ale interakcyjnego logowania przy użyciu konta domeny zakończy się niepowodzeniem i otrzymasz następujący komunikat o błędzie:
Baza danych zabezpieczeń na serwerze nie ma konta komputerowego dla relacji zaufania tej stacji roboczej.
Również otrzymasz następujący komunikat o błędzie w pliku Netsetup.log:
0: 000021C 7: 03200BA6 DSID, problem 1005 (CONSTRAINT_ATT_TYPE), dane 0, Att 90303 (servicePrincipalName)
NetpModifyComputerObjectInDs: ldap_modify_s nie powiodło się: 0x13 0x57
Problem 2: Migracja wewnątrz lasu
Jeśli dokonywana jest migracja wewnątrz lasu użytkownika zawierający główna nazwa usługi (SPN) lub główna nazwa użytkownika (UPN) zdefiniowane lub migracji komputera wewnątrz lasu, migracja nie powiedzie się, ponieważ konto nadal istnieje w katalogu globalnym wprowadzoną obiektu w domenie docelowej, który ma następujące atrybuty wypełnione. Jeśli obiekt został zapisany w nowej domenie, będzie można utworzyć zduplikowane nazwy SPN.
Uwaga Narzędzia do kierowania migracja może być Active Directory migracji Tool (ADMT), narzędzia migracji zewnętrznych lub przenieść-apletu Poleceniaadobjectprzez polecenia cmdlet, za pomocą Active Directory środowiska PowerShell.
Problem 3: SPN konfliktów z nazwy SPN na przywróconych obiektów
Miał konto nazwy SPN w użyciu konta, które jest teraz usuwany. Możesz dodać nazwę SPN do obiektu, który użyte do innego konta użytkownika lub komputera w lesie. A teraz spróbuj przywrócić usunięte konto, akcja kończy się niepowodzeniem z powodu zduplikowane nazwy SPN.
Uwaga We wszystkich trzech zagadnień, zdarzenie ID 2974, podobny do następującego jest rejestrowane w dzienniku usługi katalogowej na kontrolerze domeny: numer błędu 8647 przekłada się do symboliczne nazwy jest ERROR_DS_SPN_VALUE_NOT_UNIQUE_IN_FOREST. Dla deplicate głównej nazwy użytkownika błąd będzie numer 8648 i ERROR_DS_UPN_VALUE_NOT_UNIQUE_IN_FOREST.
Przyczyna
Windows Server 2012 R2 wprowadzono restrykcyjne sprawdzanie unikalności głównej nazwy użytkownika i nazwy SPN. Pomyślnie zapobiega zduplikowane nazwy SPN i nazwy UPN gdy są prowadzone przez program Narzędzia administracyjne bez konieczności narzędzie do sprawdzania unikatowości sam.
W kwestiach, które zostały opisane w tym artykule zapobiega zadań administracyjnych, gdzie efekt nie jest oczywiste.
Rozwiązanie
W niektórych przypadkach można usunąć obiekty, które blokują swoje działania, tak aby akcji zakończy się pomyślnie. Dla migracji wewnątrz lasu i przywraca można również usunąć nazwy SPN i/lub głównej nazwy użytkownika, który zostanie zduplikowany i potencjalnie dodać je ponownie na koncie.
Zmiana preparat nie może być możliwe we wszystkich przypadkach. W związku z tym firma Microsoft przygotowała aktualizacja, która umożliwia kontrolowanie zachowania kontrolera domeny. Ta aktualizacja dotyczy kontrolerów domeny z systemem Windows Server 2012 R2. Tę aktualizację można zainstalować także na serwerach członkowskich, które są kandydatem do promocji z kontrolerem domeny w przyszłości.
Dzięki tej aktualizacji firma Microsoft udostępnia przełącznik poziomu lasu, aby włączyć lub wyłączyć na unikatowość wyboru za pomocą atrybutu dSHeuristics.
Poniżej przedstawiono wartości obsługiwanych dSHeuristics:
-
dSHeuristic = 1: AD DS pozwala na dodanie użytkownika zduplikowane nazwy główne (UPN)
-
dSHeuristic = 2: AD DS pozwala na dodanie zduplikowanych usługa główne nazwy (usług SPN)
-
dSHeuristic = 3: AD DS pozwala na dodanie zduplikowane nazwy SPN i UPN
-
dSHeuristic = Any inna wartość: AD DS Wymusza unikatowość Sprawdź zarówno nazwy SPN, jak i nazw UPN
Przykłady:
-
Wyłączanie wyboru unikatowość nazwy UPN, ustawić 21 znak dsheuristics na "1" (000000000100000000021)
-
Wyłączanie wyboru unikatowość nazwy SPN, ustawić 21 znak dsheuristics na "2" (000000000100000000022)
-
Wyłączanie kontroli unikatowości głównej nazwy użytkownika i nazwy SPN, ustawić 21 znak dsheuristics na "3" (000000000100000000023)
Aby uzyskać szczegółowe informacje na temat sposobu modyfikacji dSHeuristic, zobacz 6.1.1.2.4.1.2 dSHeuristics.
Firma Microsoft zaleca, ustaw wartość na 0 , gdy wiadomo, że problematyczne zmiany są już nie występuje. Może to być szczególnie w przypadku migracji wewnątrz lasu.
Informacje o poprawce
Ważne Po zainstalowaniu tej poprawki należy zainstalować pakiet językowy, należy ponownie zainstalować tę poprawkę. Dlatego zaleca się zainstalowanie dowolnego języka pakiety, które potrzebne przed zainstalowanie tej poprawki. Aby uzyskać więcej informacji zobacz Dodawanie pakietów językowych systemu Windows.
Obsługiwana poprawka jest udostępniana przez firmę Microsoft. Jednak ta poprawka jest przeznaczona tylko do usunięcia problemu opisanego w tym artykule. Tylko w systemach, których dotyczy ten problem, należy zastosować tę poprawkę.
Jeśli poprawka jest dostępna do pobrania, pojawi się sekcja "Poprawka dostępna do pobrania" na początku tego artykułu z bazy wiedzy Knowledge Base. Jeśli nie ma tej sekcji, należy przesłać żądanie do centrum obsługi klienta firmy Microsoft i obsługi technicznej w celu uzyskania poprawki.
Uwaga Jeśli wystąpią dodatkowe błędy lub konieczność rozwiązania problemu, być może trzeba będzie utworzyć osobne zlecenie usługi. Zwykłe koszty obsługi będą zastosowane do dodatkowych pytań i problemów, których nie można rozwiązać przy użyciu określonej poprawki. Aby uzyskać pełną listę numerów telefonów działu obsługi klienta firmy Microsoft lub utworzyć osobne zlecenie usługi odwiedź następujące witryny firmy Microsoft:
http://support.microsoft.com/contactus/?ws=supportUwaga "Poprawka dostępna do pobrania" zawiera listę języków, dla których dostępna jest poprawka. Jeśli odpowiedni język nie jest widoczny, to dlatego, że poprawka nie jest dostępna dla danego języka.
Wymagania wstępne
Aby zastosować tę poprawkę, musi mieć zainstalowany w systemie Windows 8.1 lub systemu Windows Server 2012 R2, kwietnia 2014 pakiet zbiorczy aktualizacji dla systemu Windows RT 8.1, 8.1 systemu Windows i systemu Windows Server 2012 R2 (2919355) .
Informacje dotyczące rejestru
Aby użyć poprawki w tym pakiecie, nie trzeba wprowadzać żadnych zmian w rejestrze.
Wymagania dotyczące ponownego uruchomienia
Może być konieczne ponowne uruchomienie komputera po zastosowaniu tej poprawki.
Informacje dotyczące zastępowania poprawek
Ta poprawka nie zastępuje wcześniej wydanej poprawki.
Wersja globalna tej poprawki instaluje pliki, których atrybuty wymieniono w poniższych tabelach. Daty i godziny odpowiadające tym plikom są podane w formacie uniwersalnego czasu koordynowanego (UTC, Coordinated Universal Time). Daty i godziny odpowiadające tym plikom na komputerze lokalnym są wyświetlane w formacie czasu lokalnego, wraz z Twoim bieżącym bias czasu letniego (DST). Dodatkowo, daty mogą ulec zmianie podczas wykonywania pewnych operacji na plikach.
Informacje o plikach systemu Windows Server 2012 R2 i Windows 8.1 i notatki
Ważne Poprawki systemu Windows 8.1 i systemu Windows Server 2012 R2 są zawarte w tych samych opakowaniach. Jednak poprawki na stronie żądanie poprawki są wymienione w obu systemach operacyjnych. Aby zażądać pakietu poprawek, który dotyczy jednej lub obu systemów operacyjnych, wybierz poprawkę, która jest wyświetlana w obszarze "Windows 8.1/Windows Server 2012 R2" na stronie. Zawsze sprawdzaj w sekcji „Stosuje się do”, do jakiego systemu operacyjnego dotyczy każda z poprawek.
-
Pliki dotyczące określonego produktu, etapu rozwoju (RTM, SPn) i składnika usługi (LDR, GDR) można zidentyfikować przez sprawdzenie wersji pliku, jak pokazano w poniższej tabeli:
Wersja
Produkt
Kamień milowy
Składnik usługi
6.3.960 0,17xxx
Windows 8.1 i Windows Server 2012
RTM
GDR
-
Pliki MANIFEST (.manifest) i pliki MUM (.mum) zainstalowane dla każdego środowiska są wymienione osobno w sekcji „Informacje o dodatkowych plikach". Pliki MUM, MANIFESTU oraz skojarzone pliki wykazu zabezpieczeń (.cat), muszą posiadać zaktualizowane składniki. Pliki katalogu zabezpieczeń, których atrybuty nie zostały wymienione, są podpisane za pomocą podpisu cyfrowego firmy Microsoft.
Dla wszystkich obsługiwanych wersji systemu Windows 8.1 opartych na procesorach x 86
|
Nazwa pliku |
Wersja pliku |
Rozmiar pliku |
Data |
Godzina |
Platforma |
|---|---|---|---|---|---|
|
Ntdsa.mof |
Nie dotyczy |
227,765 |
18-Jun-2013 |
12:21 |
Nie dotyczy |
|
Ntdsai.dll |
6.3.9600.17901 |
2,576,896 |
09-Jun-2015 |
20:43 |
x86 |
Dla wszystkich obsługiwanych wersji systemu Windows 8.1 i systemu Windows Server 2012 R2 opartych na procesorach x64
|
Nazwa pliku |
Wersja pliku |
Rozmiar pliku |
Data |
Godzina |
Platforma |
|---|---|---|---|---|---|
|
Ntdsa.mof |
Nie dotyczy |
227,765 |
18-Jun-2013 |
14:45 |
Nie dotyczy |
|
Ntdsai.dll |
6.3.9600.17901 |
3,684,864 |
09-Jun-2015 |
20:49 |
x64 |
Informacje o dodatkowych plikach
Informacje o dodatkowych plikach dla systemu Windows 8.1 i dla systemu Windows Server 2012 R2
Dodatkowe pliki dla wszystkich obsługiwanych wersji Windows 8.1 z procesorem x 86
|
Właściwości pliku |
Wartość |
|---|---|
|
Nazwa pliku |
X86_4c2f5adc88a0d6ac17ccdccf2255c6b7_31bf3856ad364e35_6.3.9600.17901_none_ba36e2d18bbebef8.manifest |
|
Wersja pliku |
Nie dotyczy |
|
Rozmiar pliku |
712 |
|
Data (UTC) |
10-Jun-2015 |
|
Godzina (UTC) |
12:46 |
|
Platforma |
Nie dotyczy |
|
Nazwa pliku |
X86_microsoft-windows-d..toryservices-ntdsai_31bf3856ad364e35_6.3.9600.17901_none_85b97991d47e36db.manifest |
|
Wersja pliku |
Nie dotyczy |
|
Rozmiar pliku |
3,352 |
|
Data (UTC) |
09-Jun-2015 |
|
Godzina (UTC) |
23:14 |
|
Platforma |
Nie dotyczy |
Dodatkowe pliki dla wszystkich obsługiwanych 64-bitowych wersji systemu Windows 8.1 i systemu Windows Server 2012 R2
|
Właściwości pliku |
Wartość |
|---|---|
|
Nazwa pliku |
Amd64_94aab516433aef4e5f0c8db414ae7999_31bf3856ad364e35_6.3.9600.17901_none_34c8efb13ae81094.manifest |
|
Wersja pliku |
Nie dotyczy |
|
Rozmiar pliku |
716 |
|
Data (UTC) |
10-Jun-2015 |
|
Godzina (UTC) |
12:46 |
|
Platforma |
Nie dotyczy |
|
Nazwa pliku |
Amd64_microsoft-windows-d..toryservices-ntdsai_31bf3856ad364e35_6.3.9600.17901_none_e1d815158cdba811.manifest |
|
Wersja pliku |
Nie dotyczy |
|
Rozmiar pliku |
3,356 |
|
Data (UTC) |
09-Jun-2015 |
|
Godzina (UTC) |
23:49 |
|
Platforma |
Nie dotyczy |
Stan
Firma Microsoft potwierdziła, że jest to problem występujący w produktach firmy Microsoft wymienionych w sekcji „Dotyczy”.
Więcej informacji
Zobacz szczegółowe informacje na temat funkcji unikatowość nazwy SPN i UPN w systemie Windows Server 2012 R2.
Może być również wyświetlony identyfikator zdarzenia 11 — konfiguracja nazwy głównej usługi uzyskać więcej informacji.
Poproś blog platformy Premiere inżynier pola (PFE): firm narzędzia migracji usługi Active Directory i KB 3070083.
Powiązane artykuły
Zobacz terminologię stosowaną przez firmę Microsoft do opisywania aktualizacji oprogramowania.
