Seleção SPN duplicada no controlador de domínio baseado no Windows Server 2012 R2 faz com que a restauração, a junção de domínio e migração de falhas

IMPORTANTE: Este artigo foi traduzido pelo software de tradução automática da Microsoft e eventualmente pode ter sido editado pela Microsoft Community através da tecnologia Community Translation Framework (CTF) ou por um tradutor profissional. A Microsoft oferece artigos traduzidos automaticamente por software, por tradutores profissionais e editados pela comunidade para que você tenha acesso a todos os artigos de nossa Base de Conhecimento em diversos idiomas. No entanto, um artigo traduzido pode conter erros de vocabulário, sintaxe e/ou gramática. A Microsoft não é responsável por qualquer inexatidão, erro ou dano causado por qualquer tradução imprecisa do conteúdo ou por seu uso pelos nossos clientes.

Clique aqui para ver a versão em Inglês deste artigo: 3070083
Este artigo descreve alguns problemas que ocorrem em um controlador de domínio baseado no Windows Server 2012 R2. Um hotfix está disponível para resolver esses problemas. O hotfix tem umpré-requisito.
Sintomas
Suponha que você tenha um controlador de domínio que esteja executando o Windows Server 2012 R2, você pode encontrar um dos seguintes problemas.

Problema 1: Associação de domínio

Você tem um novo computador e você deseja associá-lo a domínio de TOA da floresta. O mesmo nome de host do computador já é usado em outro domínio. Nessa situação, a operação de associação de domínio reporta êxito. Após youclickOK, você verá a seguinte caixa de diálogo. As seqüências de caracteres apagadas são o antigo e o novo sufixo primário do computador:

Esta é a captura de tela das alterações de nome/domínio do computador

O errormessage semelhante à seguinte:

Ao processar uma alteração para o nome de Host DNS para um objeto, os valores de nome Principal do serviço não puderam ser mantidos em sincronia.

Após a reinicialização, o computador reportar-se como um membro do domínio, mas o logon interativo com uma conta de domínio falhará e você receberá a seguinte mensagem de erro:

O banco de dados de segurança no servidor não tem uma conta de computador para a relação de confiança desta estação de trabalho.

Você irá alsoreceive a mensagem followingerror no arquivo Netsetup log:

0: 000021C 7: DSID-03200BA6, problema 1005 (CONSTRAINT_ATT_TYPE), dados 0, Att 90303 (servicePrincipalName)
NetpModifyComputerObjectInDs: falha ldap_modify_s: 0x13 0x57

Emitir 2:Intra-migração da floresta

Se você executar uma migração de usuário entre florestas que tem o nome principal de serviço (SPN) ou o nome principal do usuário (UPN) definido ou migração de computador entre florestas, a migração falhará porque a conta ainda existe no catálogo global, como o objeto é introduzido no domínio de destino que tenha esses atributos preenchidos. Se o objeto foi salvo no novo domínio, seria criado um SPN duplicado.

Observação: As ferramentas para conduzir as migrações podem ser a ferramenta Active Directory Migration (ADMT), ferramentas de migração externa ou mova-ADObjectcmdlet por usingActive DirectoryPowerShell.

Problema 3: SPN está em conflito com SPN no objeto restaurado

Você teve uma conta com SPNs em uso em uma conta que seja excluída agora. Youadd um SPN para o objeto que costumava ter outra conta de usuário ou computador na floresta. Quando você agora tentar restaurar uma conta excluída, a ação falhará devido o SPN duplicado.

Observação: Em todos os três problemas, evento ID 2974 semelhante à seguinte é registrado no log do serviço de diretório do controlador de domínio:


Nome do log: Serviço de diretório
Fonte: Microsoft-Windows-ActiveDirectory_DomainService
Identificação do evento: 2974
Categoria da tarefa: Catálogo Global
Nível: erro
Palavras-chave: clássico
Descrição: O valor do atributo fornecido não é exclusivo na floresta ou partição. Atributo: servicePrincipalName Value=HOST/server1.contoso.com
CN = servidor1, UO = servidores membro, DC = contoso, DC = com Winerror: 8647

O número do erro 8647 converte simbólico para nome é ERROR_DS_SPN_VALUE_NOT_UNIQUE_IN_FOREST. Para deplicate UPN, o erro seria o número 8648 e ERROR_DS_UPN_VALUE_NOT_UNIQUE_IN_FOREST.
Causa
Windows Server 2012 R2 introduziu restritivas verificação da exclusividade UPN e do SPN. Ele com êxito impede duplicado SPN e UPN quando eles são controlados através de ferramentas administrativas sem exigir a ferramenta para executar uma verificação de exclusividade.

Os problemas descritos neste artigo, ele impede que tarefas administrativas, onde o efeito não é óbvio.
Resolução
Em alguns casos, você pode excluir os objetos que bloqueiam a ação para que a ação seja bem-sucedida. Para migrações entre florestas e restaurações, você também pode excluir os SPNs e/ou UPN que seria duplicado e potencialmente adicioná-los novamente na conta.

Tal alteração de preparação pode não ser possível em todos os casos. Portanto, a Microsoft desenvolveu uma atualização que permite controlar o comportamento do controlador de domínio. Esta atualização aplica-se a controladores de domínio baseados no Windows Server 2012 R2. Você também pode instalar essa atualização em servidores membro que são candidatos para a promoção para um controlador de domínio no futuro.

Com essa atualização, a Microsoft fornece uma opção de nível de floresta para desativar ou ativar a verificação de exclusividade por meio do atributo dSHeuristics.

A seguir estão os valores de dSHeuristics com suporte:
  1. dSHeuristic = 1: AD DS permite adicionar nomes principais de usuário duplicado (UPNs)
  2. dSHeuristic = 2: AD DS permite adicionar nomes principais de serviço duplicado (SPNs)
  3. dSHeuristic = 3: AD DS permite adicionar SPNs duplicados e os UPNs
  4. dSHeuristic = qualquer outro valor: AD DS impõe verificar exclusividade SPNs e UPNs
Exemplos:
  1. Para desabilitar a verificação de exclusividade do UPN, definir o caractere de 21 de dSHeuristics como "1" (000000000100000000021)
  2. Para desabilitar a verificação de exclusividade do SPN, definir o caractere de 21 de dSHeuristics para "2" (000000000100000000022)
  3. Para desabilitar as verificações de exclusividade de UPN e do SPN, definir o caractere de 21 de dSHeuristics como "3" (000000000100000000023)
Para obter informações detalhadas sobre como modificar dSHeuristic, consulte 6.1.1.2.4.1.2 dSHeuristics.

É recomendável que você definir o valor para 0 quando você sabe problemáticas alterações não estiverem ocorrendo mais. Isso pode ser o caso especialmente para migrações entre florestas.

Informações sobre o hotfix

Importante: Se você instalar um pacote de idiomas depois de instalar esse hotfix, você deverá reinstalar esse hotfix. Portanto, recomendamos que você instale qualquer idioma pacotes necessárias antes de instalar esse hotfix. Para obter mais informações, consulte Adicionar pacotes de idiomas para o Windows.

Um hotfix compatível foi disponibilizado pela Microsoft. No entanto, esse hotfix destina-se a corrigir somente o problema descrito neste artigo. Aplique este hotfix somente aos sistemas que apresentarem esse problema específico.

Se o hotfix estiver disponível para download, há uma seção "Download de Hotfix disponível" na parte superior deste artigo da Base de Conhecimento. Se essa seção não for exibida, envie uma solicitação ao suporte e atendimento ao cliente Microsoft para obter o hotfix.

Observação: Caso outros problemas estejam ocorrendo ou caso qualquer solução de problemas seja necessária, talvez você precise criar uma solicitação de serviço separada. Os custos normais de suporte serão aplicados a questões de suporte adicionais e problemas que não sejam específicos deste hotfix. Para obter uma lista completa dos números de telefone do Atendimento Microsoft e suporte ou para criar uma solicitação de serviço separada, visite o seguinte site da Microsoft: Observação: "Download de Hotfix disponível" exibe os idiomas para os quais o hotfix está disponível. Caso você não veja seu idioma, é porque um hotfix não está disponível para esse idioma.

Pré-requisitos:

Para aplicar esse hotfix, você deve ter Conjunto de actualizações de abril de 2014 para Windows RT 8.1, 8.1 para Windows e Windows Server 2012 R2 (2919355) instalado em Windows 8.1 ou o Windows Server 2012 R2.

Informações do registro:

Para usar o hotfix neste pacote, não é necessário efetuar quaisquer alterações no registro.

Requisitos de reinicialização:

Você terá que reiniciar o computador após aplicar esse hotfix.

Informações de substituição do hotfix:

Esse hotfix não substitui um hotfix lançado anteriormente.

Informações sobre o arquivo:

A versão global deste hotfix instala arquivos que possuam os atributos listados nas tabelas a seguir. As datas e horas desses arquivos estão listadas no tempo Universal Coordenado (UTC). As datas e horas desses arquivos em seu computador local são exibidas em sua hora local com a diferença de horário de verão (DST) atual. Além disso, as datas e as horas podem ser alteradas quando você realizar determinadas operações nos arquivos.

Notas e informações sobre o arquivo para o Windows 8.1 e para o Windows Server 2012 R2:

Importante: do Windows 8.1 e hotfixes do Windows Server 2012 R2 estão incluídos nos mesmos pacotes. No entanto, os hotfixes na página solicitação de Hotfix estão listados em ambos os sistemas operacionais. Para solicitar o pacote de hotfix que se aplica a um ou ambos os sistemas operacionais, selecione o hotfix listado em "Windows 8.1/Windows Server 2012 R2" na página. Sempre consulte a seção "Aplica-se a" nos artigos para determinar o sistema operacional real que cada hotfix se aplica.
  • Os arquivos que se aplicam a um produto, etapa (RTM, SPn), e ramificação do serviço (LDR, GDR) pode ser identificada ao examinar os números da versão do arquivo conforme mostrado na tabela a seguir:
    VersãoProdutoEtapa do projetoRamificação do serviço
    6.3.960 0.17xxxpara Windows 8.1 e o Windows Server 2012 R2RTMGDR
  • Os arquivos MANIFEST (. manifest) e os arquivos MUM (. mum) instalados para cada ambiente são listados separadamente na seção "informações de arquivo adicionais". Os arquivos de catálogo de segurança associados (.cat), MUM e MANIFEST, são muito importantes para manter o estado dos componentes atualizados. Os arquivos do catálogo de segurança, para os quais os atributos não estejam listados, são assinados com uma assinatura digital da Microsoft.
Para todas as versões compatíveis do Windows 8.1 x86:
Nome do ArquivoVersão do arquivoTamanho do arquivoDataHoraPlataforma
Ntdsa.MOFNão aplicável227,76518 de junho de 201312:21Não aplicável
Ntdsai.dll6.3.9600.179012,576,89609 de junho de 201520:43x86
Para todas as versões compatíveis do Windows 8.1 x64 e do Windows Server 2012 R2
Nome do ArquivoVersão do arquivoTamanho do arquivoDataHoraPlataforma
Ntdsa.MOFNão aplicável227,76518 de junho de 201314:45Não aplicável
Ntdsai.dll6.3.9600.179013,684,86409 de junho de 201520:49x64

Informações adicionais sobre o arquivo:

Informações adicionais sobre o arquivo para o Windows 8.1 e para o Windows Server 2012 R2:
Arquivos adicionais para todas as versões compatíveis do Windows 8.1 x86
Propriedade de arquivoValor
Nome do ArquivoX86_4c2f5adc88a0d6ac17ccdccf2255c6b7_31bf3856ad364e35_6.3.9600.17901_none_ba36e2d18bbebef8.manifest
Versão do arquivoNão aplicável
Tamanho do arquivo712
Data (UTC)10 de junho de 2015
Hora (UTC)12:46
PlataformaNão aplicável
Nome do ArquivoX86_microsoft-windows-d... toryservices-ntdsai_31bf3856ad364e35_6.3.9600.17901_none_85b97991d47e36db.manifest
Versão do arquivoNão aplicável
Tamanho do arquivo3,352
Data (UTC)09 de junho de 2015
Hora (UTC)23:14
PlataformaNão aplicável
Arquivos adicionais para todas as versões com suporte para o Windows 8.1 x64 e para o Windows Server 2012 R2
Propriedade de arquivoValor
Nome do ArquivoAmd64_94aab516433aef4e5f0c8db414ae7999_31bf3856ad364e35_6.3.9600.17901_none_34c8efb13ae81094.manifest
Versão do arquivoNão aplicável
Tamanho do arquivo716
Data (UTC)10 de junho de 2015
Hora (UTC)12:46
PlataformaNão aplicável
Nome do ArquivoAmd64_microsoft-windows-d... toryservices-ntdsai_31bf3856ad364e35_6.3.9600.17901_none_e1d815158cdba811.manifest
Versão do arquivoNão aplicável
Tamanho do arquivo3,356
Data (UTC)09 de junho de 2015
Hora (UTC)23:49
PlataformaNão aplicável
Situação
A Microsoft confirma que este é um problema em seus produtos listados na seção "Aplica-se a".
Mais Informações
Ver informações detalhadas Recurso de exclusividade SPN e UPN no Windows Server 2012 R2.

Você também poderá ver ID de evento 11 — Configuração Nome Principal do serviço Para obter mais informações.

Pergunte ao blog de plataformas de engenheiro de campo Premiere (PFE): Ferramentas de migração do Active Directory de terceiros e KB 3070083.
Referências
Consulte o terminologia que a Microsoft usa para descrever as atualizações de software.

Propriedades

ID do Artigo: 3070083 - Última Revisão: 09/08/2015 03:23:00 - Revisão: 3.0

Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows 8.1 Enterprise, Windows 8.1 Pro, Windows 8.1

  • kbqfe kbsurveynew kbfix kbhotfixserver kbautohotfix kbexpertiseinter kbmt KB3070083 KbMtpt
Comentários