Cheque duplicado de SPN no controlador de domínio baseado no Windows Server 2012 R2 faz com que o restauro, a adesão ao domínio e a migração de falhas

IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática… erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.

Clique aqui para ver a versão em Inglês deste artigo: 3070083
Este artigo descreve alguns problemas que ocorrem num controlador de domínio baseado no Windows Server R2 de 2012. Uma correcção está disponível para resolver estes problemas. A correcção tem umpré-requisito.
Sintomas
Suponha que tem um controlador de domínio que esteja a executar o Windows Server R2 de 2012, poderá detectar um dos seguintes problemas.

1 problema: Associação de domínio

Um novo computador e pretender associá-lo toa domínio da floresta. O mesmo nome de anfitrião do computador já está a ser utilizado noutro domínio. Nesta situação, a operação de adesão de domínio relatórios com êxito. Após youclickOK, verá a caixa de diálogo seguinte. As cadeias apagadas são antigo e o novo sufixo principal do computador:

Esta é a captura de ecrã de alterações de nome/domínio do computador

O ' errorMessage ' é semelhante ao seguinte:

Ao processar uma alteração ao nome de anfitrião de DNS para um objecto, os valores de nome Principal de serviço não puderam ser mantidos em sincronia.

Após o reinício, apresentará um relatório próprio computador como membro de domínio, mas início de sessão interactivo com uma conta de domínio irá falhar e receberá a seguinte mensagem de erro:

A base de dados de segurança no servidor não tem uma conta de computador para esta relação de fidedignidade da estação de trabalho.

Vai alsoreceive a mensagem de followingerror no ficheiro Netsetup.log:

0: 7 de 000021C: DSID-03200BA6, problema 1005 (CONSTRAINT_ATT_TYPE), dados de 0, Att 90303 (servicePrincipalName)
NetpModifyComputerObjectInDs: falha de ldap_modify_s: 0x13 0x57

Emitir 2:Intra-migração da floresta

Se efectuar uma migração de utilizador intraflorestas que tenha o nome principal do serviço (SPN) ou nome de principal de utilizador (UPN) definido ou migração de computadores intraflorestas, a migração falha porque a conta ainda existe no catálogo global como o objecto é introduzido no domínio de destino que tem estes atributos preenchidos. Se o objecto foi guardado no novo domínio, seria possível criar um SPN duplicado.

Nota As ferramentas para a unidade de migrações poderão ser a migração do Active Directory ferramenta (ADMT), ferramentas de migração externos ou a Mover- cmdletADObjectpor usingActive DirectoryPowerShell.

Problema 3: SPN está em conflito com SPN no objecto restaurado

Se tinha uma conta com SPNs na utilização de uma conta que é eliminada agora. Youadd um SPN para o objecto utilizado para que outra conta de utilizador ou computador na floresta. Quando tenta agora restaurar a conta excluída, a acção falha devido ao SPN duplicado.

Nota Em todos os três problemas, o evento ID 2974 semelhante à seguinte é registado no registo do serviço de directório do controlador de domínio:


Nome do registo: Serviço de directório
Origem: Microsoft-Windows-ActiveDirectory_DomainService
ID do evento: 2974
Categoria de tarefa: Catálogo Global
Nível: Erro
Palavras-chave: clássico
Descrição: O valor de atributo fornecido não é exclusivo na floresta ou partição. Atributo: servicePrincipalName Value=HOST/server1.contoso.com
CN = servidor1, UO = servidores membro, DC = contoso, DC = com Winerror: 8647

O número de erro 8647 converte simbólicas para o nome é ERROR_DS_SPN_VALUE_NOT_UNIQUE_IN_FOREST. Para deplicate UPN, o erro seria número 8648 e ERROR_DS_UPN_VALUE_NOT_UNIQUE_IN_FOREST.
Causa
Windows Server 2012 R2 introduzidos restritivas Verificar exclusividade UPN e SPN. -Com êxito impede duplicados SPN e UPN quando são controlados através das ferramentas administrativas sem necessidade da ferramenta para efectuar uma verificação de exclusividade propriamente dito.

Os problemas descritos neste artigo, impede que as tarefas administrativas em que o efeito não for óbvio.
Resolução
Em alguns casos, pode eliminar os objectos que bloqueiam a acção para que a acção é efectuada com êxito. Para migrações intraflorestas e restaura, também pode eliminar o SPN e/ou UPN que seria duplicados e potencialmente adicioná-los novamente na conta.

Essa alteração preparação poderá não ser possível em todos os casos. Por conseguinte, a Microsoft desenvolveu uma actualização que permite controlar o comportamento de controlador de domínio. Esta actualização aplica-se aos controladores de domínio baseado no Windows Server R2 de 2012. Também pode instalar esta actualização em servidores membros que são candidatos para promoção para controlador de domínio no futuro.

Com esta actualização, a Microsoft fornece um parâmetro de nível da floresta para activar ou desactivar a verificação de exclusividade através do atributo dSHeuristics.

Seguem-se os valores de dSHeuristics suportados:
  1. dSHeuristic = 1: AD DS permite adicionar nomes principais de utilizador duplicados (UPNs)
  2. dSHeuristic = 2: AD DS permite adicionar nomes principais de serviço duplicado (SPNs)
  3. dSHeuristic = 3: AD DS permite adicionar SPNs duplicados e de UPN
  4. dSHeuristic = qualquer outro valor: AD DS impõe exclusividade procurar SPNs e UPN
Exemplos:
  1. Para desactivar a verificação de exclusividade UPN, definir o carácter de 21 de dSHeuristics para "1" (000000000100000000021)
  2. Para desactivar a verificação de exclusividade SPN, definir o carácter de 21 de dSHeuristics para "2" (000000000100000000022)
  3. Para desactivar as verificações de exclusividade de UPN e SPN, definir o carácter de 21 de dSHeuristics para "3" (000000000100000000023)
Para obter informações detalhadas sobre como modificar dSHeuristic, consulte 6.1.1.2.4.1.2 dSHeuristics.

Recomendamos que defina o valor novamente como 0 quando souber problemáticas alterações não estão a ocorrer já. Isto pode ser o caso, especialmente para migrações intraflorestas.

Informações sobre correção

Importante Se instalar um language pack depois de instalar esta correcção, terá de reinstalar esta correcção. Por conseguinte, recomendamos que instalar quaisquer language packs que necessita antes de instalar esta correcção. Para mais informações, consulte Adicionar language packs para Windows.

Existe uma correção suportada pela Microsoft. No entanto, esta correção destina-se apenas a corrigir o problema descrito neste artigo. Aplique esta correcção apenas em sistemas que tenham este problema específico.

Se a correção está disponível para transferência, existe uma secção de "Transferência de Correção Disponível" na parte superior deste artigo da Base de Dados de Conhecimento. Se esta secção não for apresentado, submeta um pedido de suporte e serviço de cliente Microsoft para obter a correcção.

Nota Caso ocorram problemas adicionais ou se for necessária a resolução de problemas, poderá ter de criar um pedido de assistência separado. Os custos de normais do suporte serão aplicados a questões de suporte adicional e problemas incluídos nesta correção específica. Para uma lista completa dos números de telefone de suporte e serviço de cliente da Microsoft ou para criar um pedido de assistência separado, visite o seguinte site da Microsoft: Nota O formulário "Transferência de correcção disponível" apresenta os idiomas nos quais a correcção está disponível. Se não visualizar o seu idioma, é porque uma correcção não está disponível para esse idioma.

Pré-requisitos

Para aplicar esta correcção, tem de ter Conjunto de actualizações de Abril de 2014 para Windows RT 8.1, 8.1 do Windows e Windows Server 2012 R2 (2919355) instalado no Windows 8.1 ou Windows Server R2 de 2012.

Informações de registo

Para utilizar a correção neste pacote, não é necessário efetuar alterações ao registo.

Requisito de reinício

Poderá ter de reiniciar o computador depois de aplicar esta correção.

Informações sobre substituição da correção

Esta correção não substitui uma correção disponibilizada anteriormente.

Informações de ficheiro

A versão global desta correção instala ficheiros que têm os atributos listados nas tabelas seguintes. As datas e horas destes ficheiros são listadas na Hora Universal Coordenada (UTC). As datas e horas destes ficheiros no computador local são apresentadas na hora local em conjunto com a compensação de hora de Verão (DST) atual. Além disso, as datas e horas podem ser alteradas quando são executadas determinadas operações nos ficheiros.

Informações sobre o ficheiro Windows 8.1 e Windows Server R2 de 2012 e notas

Importante Windows 8.1 hotfixes e correcções do Windows Server 2012 R2 são incluídas nos pacotes mesmos. No entanto, as correcções na página de pedido de correcção estão listadas em ambos os sistemas operativos. Para pedir o pacote de correcções que se aplica a um ou ambos os sistemas operativos, seleccione a correcção listada em "Windows 8.1/Windows Server 2012 R2" na página. Consulte a secção "Aplica-se a" nos artigos para determinar o sistema operativo real que cada correcção aplica-se para sempre.
  • Os ficheiros aplicáveis a um determinado produto, marco (RTM, SPn), e ramo de serviço (LDR, GDR) pode ser identificado examinando os números de versão do ficheiro, conforme mostrado na seguinte tabela:
    VersãoProdutoMarcoRamo de serviço
    6.3.960 0.17xxx8.1 do Windows e Windows Server 2012 R2RTMGDR
  • Os ficheiros MANIFEST (. manifest) e MUM (. mum) instalados em cada ambiente são listados em separado na secção "Informações sobre ficheiros adicionais". MUM, MANIFESTO e os ficheiros de catálogo (. cat) de segurança associados, são muito importantes para manter o estado dos componentes atualizados. Os ficheiros de catálogo de segurança, para os quais os atributos não são listados são assinados com uma assinatura digital da Microsoft.
Para todas as versões baseadas em x86 do Windows 8.1
Nome do ficheiroVersão do ficheiroTamanho do ficheiroDataHoraPlataforma
Ntdsa.MOFNão aplicável227,76518-Jun-201312:21Não aplicável
Ntdsai.dll6.3.9600.179012,576,89609-Jun-201520:43x86
Para todas as versões baseadas em x64 do Windows 8.1 e do Windows Server R2 de 2012
Nome do ficheiroVersão do ficheiroTamanho do ficheiroDataHoraPlataforma
Ntdsa.MOFNão aplicável227,76518-Jun-201314:45Não aplicável
Ntdsai.dll6.3.9600.179013,684,86409-Jun-201520:49x64

Informações sobre ficheiros adicionais

Informações sobre ficheiros adicionais para Windows 8.1 e do Windows Server R2 de 2012
Ficheiros adicionais para todas as versões suportadas baseadas em x86 do Windows 8.1
Propriedade de ficheiroValor
Nome do ficheiroX86_4c2f5adc88a0d6ac17ccdccf2255c6b7_31bf3856ad364e35_6.3.9600.17901_none_ba36e2d18bbebef8.manifest
Versão do ficheiroNão aplicável
Tamanho do ficheiro712
Data (UTC)10-Jun-2015
Hora (UTC)12:46
PlataformaNão aplicável
Nome do ficheiroX86_microsoft-windows-d... toryservices-ntdsai_31bf3856ad364e35_6.3.9600.17901_none_85b97991d47e36db.manifest
Versão do ficheiroNão aplicável
Tamanho do ficheiro3,352
Data (UTC)09-Jun-2015
Hora (UTC)23:14
PlataformaNão aplicável
Ficheiros adicionais para todas as versões suportadas baseadas em x64 do Windows 8.1 e do Windows Server 2012 R2
Propriedade de ficheiroValor
Nome do ficheiroAmd64_94aab516433aef4e5f0c8db414ae7999_31bf3856ad364e35_6.3.9600.17901_none_34c8efb13ae81094.manifest
Versão do ficheiroNão aplicável
Tamanho do ficheiro716
Data (UTC)10-Jun-2015
Hora (UTC)12:46
PlataformaNão aplicável
Nome do ficheiroAmd64_microsoft-windows-d... toryservices-ntdsai_31bf3856ad364e35_6.3.9600.17901_none_e1d815158cdba811.manifest
Versão do ficheiroNão aplicável
Tamanho do ficheiro3,356
Data (UTC)09-Jun-2015
Hora (UTC)23:49
PlataformaNão aplicável
Ponto Da Situação
A Microsoft confirmou que este é um problema nos produtos da Microsoft listados na secção "Aplica-se a".
Mais Informação
Ver informações detalhadas Funcionalidade de exclusividade SPN e UPN no Windows Server R2 de 2012.

Também poderá ver ID de evento 11 — Configuração de nome Principal de serviço Para mais informações.

Peça ao blogue de plataformas de engenharia de campo Premiere (PFE): Ferramentas de migração do Active Directory de outros fabricantes e KB 3070083.
Referências
Consulte o terminologia que a Microsoft utiliza para descrever atualizações de software.

Aviso: Este artigo foi traduzido automaticamente

Propriedades

ID do Artigo: 3070083 - Última Revisão: 09/08/2015 03:24:00 - Revisão: 3.0

Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows 8.1 Enterprise, Windows 8.1 Pro, Windows 8.1

  • kbqfe kbsurveynew kbfix kbhotfixserver kbautohotfix kbexpertiseinter kbmt KB3070083 KbMtpt
Comentários
ERROR: at System.Diagnostics.Process.Kill() at Microsoft.Support.SEOInfrastructureService.PhantomJS.PhantomJSRunner.WaitForExit(Process process, Int32 waitTime, StringBuilder dataBuilder, Boolean isTotalProcessTimeout)