Este artigo descreve alguns problemas que ocorrem em um controlador de domínio baseado no Windows Server 2012 R2. Um hotfix está disponível para resolver esses problemas. O hotfix tem um pré-requisito.
Sintomas
Suponha que você tenha um controlador de domínio que esteja executando o Windows Server 2012 R2, você pode encontrar um dos seguintes problemas.
Ao processar uma alteração para o nome de Host DNS para um objeto, os valores de nome Principal do serviço não puderam ser mantidos em sincronia.
Após a reinicialização, o computador reportar-se como um membro do domínio, mas o logon interativo com uma conta de domínio falhará e você receberá a seguinte mensagem de erro:
O banco de dados de segurança no servidor não tem uma conta de computador para a relação de confiança desta estação de trabalho.
Além disso, você receberá a seguinte mensagem de erro no arquivo Netsetup log:
0: 000021C 7: DSID-03200BA6, problema 1005 (CONSTRAINT_ATT_TYPE), dados 0, Att 90303 (servicePrincipalName) NetpModifyComputerObjectInDs: falha ldap_modify_s: 0x13 0x57
Problema 2: Migração entre florestas Se você executar uma migração de usuário entre florestas que tem o nome principal de serviço (SPN) ou o nome principal do usuário (UPN) definido ou migração de computador entre florestas, a migração falhará porque a conta ainda existe no catálogo global, como o objeto é introduzido no domínio de destino que tenha esses atributos preenchidos. Se o objeto foi salvo no novo domínio, seria criado um SPN duplicado. Observação: As ferramentas para conduzir as migrações podem ser a ferramenta Active Directory Migration (ADMT), ferramentas de migração externa ou mova-ADObject cmdlet usando o Active Directory PowerShell. Problema 3: SPN está em conflito com SPN no objeto restaurado Você teve uma conta com SPNs em uso em uma conta que seja excluída agora. Adicionar um SPN para o objeto que costumava ter outra conta de usuário ou computador na floresta. Quando você agora tentar restaurar uma conta excluída, a ação falhará devido o SPN duplicado. Observação: Em todos os três problemas, evento ID 2974 semelhante à seguinte é registrado no log do serviço de diretório do controlador de domínio: O número do erro 8647 converte simbólico para nome é ERROR_DS_SPN_VALUE_NOT_UNIQUE_IN_FOREST. Para deplicate UPN, o erro seria o número 8648 e ERROR_DS_UPN_VALUE_NOT_UNIQUE_IN_FOREST.
Causa
Windows Server 2012 R2 introduziu restritivas verificação da exclusividade UPN e do SPN. Ele com êxito impede duplicado SPN e UPN quando eles são controlados através de ferramentas administrativas sem exigir a ferramenta para executar uma verificação de exclusividade.
Os problemas descritos neste artigo, ele impede que tarefas administrativas, onde o efeito não é óbvio.Resolução
Em alguns casos, você pode excluir os objetos que bloqueiam a ação para que a ação seja bem-sucedida. Para migrações entre florestas e restaurações, você também pode excluir os SPNs e/ou UPN que seria duplicado e potencialmente adicioná-los novamente na conta.
Tal alteração de preparação pode não ser possível em todos os casos. Portanto, a Microsoft desenvolveu uma atualização que permite controlar o comportamento do controlador de domínio. Esta atualização aplica-se a controladores de domínio baseados no Windows Server 2012 R2. Você também pode instalar essa atualização em servidores membro que são candidatos para a promoção para um controlador de domínio no futuro. Com essa atualização, a Microsoft fornece uma opção de nível de floresta para desativar ou ativar a verificação de exclusividade por meio do atributo dSHeuristics. A seguir estão os valores de dSHeuristics com suporte:-
dSHeuristic = 1: AD DS permite adicionar nomes principais de usuário duplicado (UPNs)
-
dSHeuristic = 2: AD DS permite adicionar nomes principais de serviço duplicado (SPNs)
-
dSHeuristic = 3: AD DS permite adicionar SPNs duplicados e os UPNs
-
dSHeuristic = qualquer outro valor: AD DS impõe verificar exclusividade SPNs e UPNs
Exemplos:
-
Para desabilitar a verificação de exclusividade do UPN, definir o caractere de 21 de dSHeuristics como "1" (000000000100000000021)
-
Para desabilitar a verificação de exclusividade do SPN, definir o caractere de 21 de dSHeuristics para "2" (000000000100000000022)
-
Para desabilitar as verificações de exclusividade de UPN e do SPN, definir o caractere de 21 de dSHeuristics como "3" (000000000100000000023)
Para obter informações detalhadas sobre como modificar dSHeuristic, consulte 6.1.1.2.4.1.2 dSHeuristics. É recomendável que você definir o valor para 0 quando você sabe problemáticas alterações não estiverem ocorrendo mais. Isso pode ser o caso especialmente para migrações entre florestas.
Informações sobre o hotfix
Importante: Se você instalar um pacote de idiomas depois de instalar esse hotfix, você deverá reinstalar esse hotfix. Portanto, recomendamos que você instale qualquer idioma pacotes necessárias antes de instalar esse hotfix. Para obter mais informações, consulte Adicionar pacotes de idiomas para o Windows Um hotfix compatível foi disponibilizado pela Microsoft. No entanto, esse hotfix destina-se a corrigir somente o problema descrito neste artigo. Aplique este hotfix somente aos sistemas que apresentarem esse problema específico. Se o hotfix estiver disponível para download, há uma seção "Download de Hotfix disponível" na parte superior deste artigo da Base de Conhecimento. Se essa seção não for exibida, envie uma solicitação ao suporte e atendimento ao cliente Microsoft para obter o hotfix. Observação: caso outros problemas estejam ocorrendo ou caso qualquer solução de problemas seja necessária, talvez você precise criar uma solicitação de serviço separada. Os custos normais de suporte serão aplicados a questões de suporte adicionais e problemas que não sejam específicos deste hotfix. Para obter uma lista completa dos números de telefone do Atendimento Microsoft e suporte ou para criar uma solicitação de serviço separada, visite o seguinte site da Microsoft:
http://support.microsoft.com/contactus/?ws=supportObservação: "Download de Hotfix disponível" exibe os idiomas para os quais o hotfix está disponível. Caso você não veja seu idioma, é porque um hotfix não está disponível para esse idioma.
Pré-requisitos:
Para aplicar esse hotfix, você deve ter a abril de 2014 update rollup para o Windows RT 8.1, 8.1 para Windows e Windows Server 2012 R2 (2919355) instalado no Windows Server 2012 R2 ou no Windows 8.1.
Informações do registro:
Para usar o hotfix neste pacote, não é necessário efetuar quaisquer alterações no registro.
Requisitos de reinicialização:
Você terá que reiniciar o computador após aplicar esse hotfix.
Informações de substituição do hotfix:
Esse hotfix não substitui um hotfix lançado anteriormente.
A versão global deste hotfix instala arquivos que possuam os atributos listados nas tabelas a seguir. As datas e horas desses arquivos estão listadas no Tempo Universal Coordenado (UTC). As datas e horas desses arquivos em seu computador local são exibidas em sua hora local com a diferença de horário de verão (DST) atual. Além disso, as datas e as horas podem ser alteradas quando você realizar determinadas operações nos arquivos.
Notas e informações sobre o arquivo para o Windows 8.1 e para o Windows Server 2012 R2:
Importante: do Windows 8.1 e hotfixes do Windows Server 2012 R2 estão incluídos nos mesmos pacotes. No entanto, os hotfixes na página solicitação de Hotfix estão listados em ambos os sistemas operacionais. Para solicitar o pacote de hotfix que se aplica a um ou ambos os sistemas operacionais, selecione o hotfix listado em "Windows 8.1/Windows Server 2012 R2" na página. Sempre consulte a seção "Aplica-se a" nos artigos para determinar o sistema operacional real que cada hotfix se aplica.
-
Os arquivos que se aplicam a um produto, etapa (RTM, SPn) e ramificação do serviço (LDR, GDR) específicos podem ser identificados examinando os números de versão do arquivo, conforme exibido na seguinte tabela:
Versão
Produto
Etapa do projeto
Ramificação do serviço
6.3.960 0.17xxx
para Windows 8.1 e o Windows Server 2012 R2
RTM
GDR
-
Os arquivos MANIFEST (.manifest) e os arquivos MUM (.mum) instalados para cada ambiente são listados separadamente na seção "informações adicionais sobre os arquivos". Os arquivos de catálogo de segurança associados (.cat), MUM e MANIFEST, são muito importantes para manter o estado dos componentes atualizados. Os arquivos do catálogo de segurança, para os quais os atributos não estejam listados, são assinados com uma assinatura digital da Microsoft.
Para todas as versões compatíveis do Windows 8.1 x86:
Nome do Arquivo |
Versão do arquivo |
Tamanho do arquivo |
Data |
Hora |
Plataforma |
---|---|---|---|---|---|
Ntdsa.mof |
Não aplicável |
227,765 |
18-Jun-2013 |
12:21 |
Não aplicável |
Ntdsai.dll |
6.3.9600.17901 |
2,576,896 |
09-Jun-2015 |
20:43 |
x86 |
Para todas as versões compatíveis do Windows 8.1 x64 e do Windows Server 2012 R2
Nome do Arquivo |
Versão do arquivo |
Tamanho do arquivo |
Data |
Hora |
Plataforma |
---|---|---|---|---|---|
Ntdsa.mof |
Não aplicável |
227,765 |
18-Jun-2013 |
14:45 |
Não aplicável |
Ntdsai.dll |
6.3.9600.17901 |
3,684,864 |
09-Jun-2015 |
20:49 |
x64 |
Informações adicionais sobre os arquivos:
Informações adicionais sobre o arquivo para o Windows 8.1 e para o Windows Server 2012 R2:
Arquivos adicionais para todas as versões compatíveis do Windows 8.1 x86
Propriedade de arquivo |
Valor |
---|---|
Nome do Arquivo |
X86_4c2f5adc88a0d6ac17ccdccf2255c6b7_31bf3856ad364e35_6.3.9600.17901_none_ba36e2d18bbebef8.manifest |
Versão do arquivo |
Não aplicável |
Tamanho do arquivo |
712 |
Data (UTC) |
10-Jun-2015 |
Hora (UTC) |
12:46 |
Plataforma |
Não aplicável |
Nome do Arquivo |
X86_microsoft-windows-d..toryservices-ntdsai_31bf3856ad364e35_6.3.9600.17901_none_85b97991d47e36db.manifest |
Versão do arquivo |
Não aplicável |
Tamanho do arquivo |
3,352 |
Data (UTC) |
09-Jun-2015 |
Hora (UTC) |
23:14 |
Plataforma |
Não aplicável |
Arquivos adicionais para todas as versões com suporte para o Windows 8.1 x64 e para o Windows Server 2012 R2
Propriedade de arquivo |
Valor |
---|---|
Nome do Arquivo |
Amd64_94aab516433aef4e5f0c8db414ae7999_31bf3856ad364e35_6.3.9600.17901_none_34c8efb13ae81094.manifest |
Versão do arquivo |
Não aplicável |
Tamanho do arquivo |
716 |
Data (UTC) |
10-Jun-2015 |
Hora (UTC) |
12:46 |
Plataforma |
Não aplicável |
Nome do Arquivo |
Amd64_microsoft-windows-d..toryservices-ntdsai_31bf3856ad364e35_6.3.9600.17901_none_e1d815158cdba811.manifest |
Versão do arquivo |
Não aplicável |
Tamanho do arquivo |
3,356 |
Data (UTC) |
09-Jun-2015 |
Hora (UTC) |
23:49 |
Plataforma |
Não aplicável |
Status
A Microsoft confirma que este é um problema em seus produtos listados na seção "Aplica-se a".
Mais informações
Consulte informações detalhadas sobre o recurso de exclusividade SPN e UPN no Windows Server 2012 R2. Você também poderá ver ID de evento 11 — configuração de nome Principal de serviço para obter mais informações. Pergunte ao engenheiro de campo Premiere (PFE) plataformas blog: Ferramentas de migração de terceiros Active Directory e 3070083 KB.
Referências
Consulte a terminologia usada pela Microsoft para descrever as atualizações de software.