Seleção SPN duplicada no controlador de domínio baseado no Windows Server 2012 R2 faz com que a restauração, a junção de domínio e migração de falhas

Este artigo descreve alguns problemas que ocorrem em um controlador de domínio baseado no Windows Server 2012 R2. Um hotfix está disponível para resolver esses problemas. O hotfix tem um pré-requisito.

Sintomas

Suponha que você tenha um controlador de domínio que esteja executando o Windows Server 2012 R2, você pode encontrar um dos seguintes problemas.

Problema 1: Associação de domínio

Você tem um novo computador e deseja ingressar em um domínio da floresta. O mesmo nome de host do computador já é usado em outro domínio. Nessa situação, a operação de associação de domínio reporta êxito. Após você clicar em OK, você verá a seguinte caixa de diálogo. As sequências de caracteres apagadas são o antigo e o novo sufixo primário do computador:

This is the screenshot of Computer Name/Domain Changes

A mensagem de erro semelhante à seguinte:


Ao processar uma alteração para o nome de Host DNS para um objeto, os valores de nome Principal do serviço não puderam ser mantidos em sincronia.


Após a reinicialização, o computador reportar-se como um membro do domínio, mas o logon interativo com uma conta de domínio falhará e você receberá a seguinte mensagem de erro:


O banco de dados de segurança no servidor não tem uma conta de computador para a relação de confiança desta estação de trabalho.


Além disso, você receberá a seguinte mensagem de erro no arquivo Netsetup log:


0: 000021C 7: DSID-03200BA6, problema 1005 (CONSTRAINT_ATT_TYPE), dados 0, Att 90303 (servicePrincipalName)
NetpModifyComputerObjectInDs: falha ldap_modify_s: 0x13 0x57


Problema 2: Migração entre florestas

Se você executar uma migração de usuário entre florestas que tem o nome principal de serviço (SPN) ou o nome principal do usuário (UPN) definido ou migração de computador entre florestas, a migração falhará porque a conta ainda existe no catálogo global, como o objeto é introduzido no domínio de destino que tenha esses atributos preenchidos. Se o objeto foi salvo no novo domínio, seria criado um SPN duplicado.

Observação: As ferramentas para conduzir as migrações podem ser a ferramenta Active Directory Migration (ADMT), ferramentas de migração externa ou mova-ADObject cmdlet usando o Active Directory PowerShell.

Problema 3: SPN está em conflito com SPN no objeto restaurado

Você teve uma conta com SPNs em uso em uma conta que seja excluída agora. Adicionar um SPN para o objeto que costumava ter outra conta de usuário ou computador na floresta. Quando você agora tentar restaurar uma conta excluída, a ação falhará devido o SPN duplicado.

Observação: Em todos os três problemas, evento ID 2974 semelhante à seguinte é registrado no log do serviço de diretório do controlador de domínio: O número do erro 8647 converte simbólico para nome é ERROR_DS_SPN_VALUE_NOT_UNIQUE_IN_FOREST. Para deplicate UPN, o erro seria o número 8648 e ERROR_DS_UPN_VALUE_NOT_UNIQUE_IN_FOREST.

Causa

Windows Server 2012 R2 introduziu restritivas verificação da exclusividade UPN e do SPN. Ele com êxito impede duplicado SPN e UPN quando eles são controlados através de ferramentas administrativas sem exigir a ferramenta para executar uma verificação de exclusividade.

Os problemas descritos neste artigo, ele impede que tarefas administrativas, onde o efeito não é óbvio.

Resolução

Em alguns casos, você pode excluir os objetos que bloqueiam a ação para que a ação seja bem-sucedida. Para migrações entre florestas e restaurações, você também pode excluir os SPNs e/ou UPN que seria duplicado e potencialmente adicioná-los novamente na conta.

Tal alteração de preparação pode não ser possível em todos os casos. Portanto, a Microsoft desenvolveu uma atualização que permite controlar o comportamento do controlador de domínio. Esta atualização aplica-se a controladores de domínio baseados no Windows Server 2012 R2. Você também pode instalar essa atualização em servidores membro que são candidatos para a promoção para um controlador de domínio no futuro.

Com essa atualização, a Microsoft fornece uma opção de nível de floresta para desativar ou ativar a verificação de exclusividade por meio do atributo dSHeuristics.

A seguir estão os valores de dSHeuristics com suporte:

  1. dSHeuristic = 1: AD DS permite adicionar nomes principais de usuário duplicado (UPNs)

  2. dSHeuristic = 2: AD DS permite adicionar nomes principais de serviço duplicado (SPNs)

  3. dSHeuristic = 3: AD DS permite adicionar SPNs duplicados e os UPNs

  4. dSHeuristic = qualquer outro valor: AD DS impõe verificar exclusividade SPNs e UPNs

Exemplos:

  1. Para desabilitar a verificação de exclusividade do UPN, definir o caractere de 21 de dSHeuristics como "1" (000000000100000000021)

  2. Para desabilitar a verificação de exclusividade do SPN, definir o caractere de 21 de dSHeuristics para "2" (000000000100000000022)

  3. Para desabilitar as verificações de exclusividade de UPN e do SPN, definir o caractere de 21 de dSHeuristics como "3" (000000000100000000023)

Para obter informações detalhadas sobre como modificar dSHeuristic, consulte .

É recomendável que você definir o valor para 0 quando você sabe problemáticas alterações não estiverem ocorrendo mais. Isso pode ser o caso especialmente para migrações entre florestas.

Informações sobre o hotfix

Importante: Se você instalar um pacote de idiomas depois de instalar esse hotfix, você deverá reinstalar esse hotfix. Portanto, recomendamos que você instale qualquer idioma pacotes necessárias antes de instalar esse hotfix. Para obter mais informações, consulte

Um hotfix compatível foi disponibilizado pela Microsoft. No entanto, esse hotfix destina-se a corrigir somente o problema descrito neste artigo. Aplique este hotfix somente aos sistemas que apresentarem esse problema específico.

Se o hotfix estiver disponível para download, há uma seção "Download de Hotfix disponível" na parte superior deste artigo da Base de Conhecimento. Se essa seção não for exibida, envie uma solicitação ao suporte e atendimento ao cliente Microsoft para obter o hotfix.

Observação: caso outros problemas estejam ocorrendo ou caso qualquer solução de problemas seja necessária, talvez você precise criar uma solicitação de serviço separada. Os custos normais de suporte serão aplicados a questões de suporte adicionais e problemas que não sejam específicos deste hotfix. Para obter uma lista completa dos números de telefone do Atendimento Microsoft e suporte ou para criar uma solicitação de serviço separada, visite o seguinte site da Microsoft:

Observação: "Download de Hotfix disponível" exibe os idiomas para os quais o hotfix está disponível. Caso você não veja seu idioma, é porque um hotfix não está disponível para esse idioma.

Pré-requisitos:

Para aplicar esse hotfix, você deve ter a instalado no Windows Server 2012 R2 ou no Windows 8.1.

Informações do registro:

Para usar o hotfix neste pacote, não é necessário efetuar quaisquer alterações no registro.

Requisitos de reinicialização:

Você terá que reiniciar o computador após aplicar esse hotfix.

Informações de substituição do hotfix:

Esse hotfix não substitui um hotfix lançado anteriormente.

A versão global deste hotfix instala arquivos que possuam os atributos listados nas tabelas a seguir. As datas e horas desses arquivos estão listadas no Tempo Universal Coordenado (UTC). As datas e horas desses arquivos em seu computador local são exibidas em sua hora local com a diferença de horário de verão (DST) atual. Além disso, as datas e as horas podem ser alteradas quando você realizar determinadas operações nos arquivos.

Notas e informações sobre o arquivo para o Windows 8.1 e para o Windows Server 2012 R2:

Importante: do Windows 8.1 e hotfixes do Windows Server 2012 R2 estão incluídos nos mesmos pacotes. No entanto, os hotfixes na página solicitação de Hotfix estão listados em ambos os sistemas operacionais. Para solicitar o pacote de hotfix que se aplica a um ou ambos os sistemas operacionais, selecione o hotfix listado em "Windows 8.1/Windows Server 2012 R2" na página. Sempre consulte a seção "Aplica-se a" nos artigos para determinar o sistema operacional real que cada hotfix se aplica.

  • Os arquivos que se aplicam a um produto, etapa (RTM, SPn) e ramificação do serviço (LDR, GDR) específicos podem ser identificados examinando os números de versão do arquivo, conforme exibido na seguinte tabela:

  • Os arquivos MANIFEST (.manifest) e os arquivos MUM (.mum) instalados para cada ambiente são listados separadamente na seção "informações adicionais sobre os arquivos". Os arquivos de catálogo de segurança associados (.cat), MUM e MANIFEST, são muito importantes para manter o estado dos componentes atualizados. Os arquivos do catálogo de segurança, para os quais os atributos não estejam listados, são assinados com uma assinatura digital da Microsoft.

Status

A Microsoft confirma que este é um problema em seus produtos listados na seção "Aplica-se a".

Mais informações

Consulte informações detalhadas sobre o .

Você também poderá ver para obter mais informações.

Pergunte ao engenheiro de campo Premiere (PFE) plataformas blog: .

Referências

Consulte a usada pela Microsoft para descrever as atualizações de software.

Precisa de mais ajuda?

Expanda suas habilidades
Explore o treinamento
Obtenha novos recursos primeiro
Ingressar no Microsoft Insider

Estas informações foram úteis?

Qual é o seu grau de satisfação com a qualidade da tradução?

O que afetou sua experiência?

Algum comentário adicional? (Opcional)

Obrigado por seus comentários!

×