Este artigo descreve alguns problemas que ocorrem num controlador de domínio baseado no Windows Server R2 de 2012. Uma correcção está disponível para resolver estes problemas. A correcção tem um pré-requisito.
Sintomas
Suponha que tem um controlador de domínio que esteja a executar o Windows Server R2 de 2012, poderá detectar um dos seguintes problemas.1 problema: Associação de domínioUm novo computador e pretender associá-lo a um domínio da floresta. O mesmo nome de anfitrião do computador já está a ser utilizado noutro domínio. Nesta situação, a operação de adesão de domínio relatórios com êxito. Depois de clicar em OK, verá a caixa de diálogo seguinte. As cadeias apagadas são antigo e o novo sufixo principal do computador:
Ao processar uma alteração ao nome de anfitrião de DNS para um objecto, os valores de nome Principal de serviço não puderam ser mantidos em sincronia.
Após o reinício, apresentará um relatório próprio computador como membro de domínio, mas início de sessão interactivo com uma conta de domínio irá falhar e receberá a seguinte mensagem de erro:
A base de dados de segurança no servidor não tem uma conta de computador para esta relação de fidedignidade da estação de trabalho.
Também receberá a seguinte mensagem de erro no ficheiro Netsetup.log:
0: 7 de 000021C: DSID-03200BA6, problema 1005 (CONSTRAINT_ATT_TYPE), dados de 0, Att 90303 (servicePrincipalName)NetpModifyComputerObjectInDs: falha de ldap_modify_s: 0x13 0x57
2 problema: Migração intraflorestasSe efectuar uma migração de utilizador intraflorestas que tenha o nome principal do serviço (SPN) ou nome de principal de utilizador (UPN) definido ou migração de computadores intraflorestas, a migração falha porque a conta ainda existe no catálogo global como o objecto é introduzido no domínio de destino que tem estes atributos preenchidos. Se o objecto foi guardado no novo domínio, seria possível criar um SPN duplicado.Nota As ferramentas para a unidade de migrações poderão ser a migração do Active Directory ferramenta (ADMT), ferramentas de migração externos ou a Mover- cmdletADObject utilizando o Active Directory PowerShell.Problema 3: SPN está em conflito com SPN no objecto restauradoSe tinha uma conta com SPNs na utilização de uma conta que é eliminada agora. Adicionar um SPN para o objecto utilizado para que outra conta de utilizador ou computador na floresta. Quando tenta agora restaurar a conta excluída, a acção falha devido ao SPN duplicado.Nota Em todos os três problemas, o evento ID 2974 semelhante à seguinte é registado no registo do serviço de directório do controlador de domínio: O número de erro 8647 converte simbólicas para o nome é ERROR_DS_SPN_VALUE_NOT_UNIQUE_IN_FOREST. Para deplicate UPN, o erro seria número 8648 e ERROR_DS_UPN_VALUE_NOT_UNIQUE_IN_FOREST.
Causa
Windows Server 2012 R2 introduzidos restritivas Verificar exclusividade UPN e SPN. -Com êxito impede duplicados SPN e UPN quando são controlados através das ferramentas administrativas sem necessidade da ferramenta para efectuar uma verificação de exclusividade propriamente dito.Os problemas descritos neste artigo, impede que as tarefas administrativas em que o efeito não for óbvio.
Resolução
Em alguns casos, pode eliminar os objectos que bloqueiam a acção para que a acção é efectuada com êxito. Para migrações intraflorestas e restaura, também pode eliminar o SPN e/ou UPN que seria duplicados e potencialmente adicioná-los novamente na conta.Essa alteração preparação poderá não ser possível em todos os casos. Por conseguinte, a Microsoft desenvolveu uma actualização que permite controlar o comportamento de controlador de domínio. Esta actualização aplica-se aos controladores de domínio baseado no Windows Server R2 de 2012. Também pode instalar esta actualização em servidores membros que são candidatos para promoção para controlador de domínio no futuro.Com esta actualização, a Microsoft fornece um parâmetro de nível da floresta para activar ou desactivar a verificação de exclusividade através do atributo dSHeuristics.Seguem-se os valores de dSHeuristics suportados:
-
dSHeuristic = 1: AD DS permite adicionar nomes principais de utilizador duplicados (UPNs)
-
dSHeuristic = 2: AD DS permite adicionar nomes principais de serviço duplicado (SPNs)
-
dSHeuristic = 3: AD DS permite adicionar SPNs duplicados e de UPN
-
dSHeuristic = qualquer outro valor: AD DS impõe exclusividade procurar SPNs e UPN
Exemplos:
-
Para desactivar a verificação de exclusividade UPN, definir o carácter de 21 de dSHeuristics para "1" (000000000100000000021)
-
Para desactivar a verificação de exclusividade SPN, definir o carácter de 21 de dSHeuristics para "2" (000000000100000000022)
-
Para desactivar as verificações de exclusividade de UPN e SPN, definir o carácter de 21 de dSHeuristics para "3" (000000000100000000023)
Para obter informações detalhadas sobre como modificar dSHeuristic, consulte 6.1.1.2.4.1.2 dSHeuristics.Recomendamos que defina o valor novamente como 0 quando souber problemáticas alterações não estão a ocorrer já. Isto pode ser o caso, especialmente para migrações intraflorestas.
Informações sobre correção
Importante Se instalar um language pack depois de instalar esta correcção, terá de reinstalar esta correcção. Por conseguinte, recomendamos que instalar quaisquer language packs que necessita antes de instalar esta correcção. Para mais informações, consulte adicionar language packs para Windows.Existe uma correção suportada pela Microsoft. No entanto, esta correção destina-se apenas a corrigir o problema descrito neste artigo. Aplique esta correcção apenas em sistemas que tenham este problema específico.Se a correção está disponível para transferência, existe uma secção de "Transferência de Correção Disponível" na parte superior deste artigo da Base de Dados de Conhecimento. Se esta secção não for apresentado, submeta um pedido de suporte e serviço de cliente Microsoft para obter a correcção.Nota Caso ocorram problemas adicionais ou se for necessária a resolução de problemas, poderá ter de criar um pedido de assistência separado. Os custos de normais do suporte serão aplicados a questões de suporte adicional e problemas incluídos nesta correção específica. Para uma lista completa dos números de telefone de suporte e serviço de cliente da Microsoft ou para criar um pedido de assistência separado, visite o seguinte Web site da Microsoft:
http://support.microsoft.com/contactus/?ws=supportNota O formulário "Transferência de correcção disponível" apresenta os idiomas nos quais a correcção está disponível. Se não visualizar o seu idioma, é porque uma correcção não está disponível para esse idioma.
Pré-requisitos
Para aplicar esta correcção, tem de ter de Abril de 2014 update rollup para o Windows RT 8.1, 8.1 do Windows e Windows Server 2012 R2 (2919355) instalado no Windows 8.1 ou Windows Server R2 de 2012.
Informações de registo
Para utilizar a correção neste pacote, não é necessário efetuar alterações ao registo.
Requisito de reinício
Poderá ter de reiniciar o computador depois de aplicar esta correção.
Informações sobre substituição da correção
Esta correção não substitui uma correção disponibilizada anteriormente.
A versão global desta correção instala ficheiros que têm os atributos listados nas tabelas seguintes. As datas e horas destes ficheiros são listadas na Hora Universal Coordenada (UTC). As datas e horas destes ficheiros no computador local são apresentadas na hora local em conjunto com a compensação de hora de Verão (DST) atual. Além disso, as datas e horas podem ser alteradas quando são executadas determinadas operações nos ficheiros.
Informações sobre o ficheiro Windows 8.1 e Windows Server R2 de 2012 e notas
Importante Windows 8.1 hotfixes e correcções do Windows Server 2012 R2 são incluídas nos pacotes mesmos. No entanto, as correcções na página de pedido de correcção estão listadas em ambos os sistemas operativos. Para pedir o pacote de correcções que se aplica a um ou ambos os sistemas operativos, seleccione a correcção listada em "Windows 8.1/Windows Server 2012 R2" na página. Consulte a secção "Aplica-se a" nos artigos para determinar o sistema operativo real que cada correcção aplica-se para sempre.
-
Os ficheiros aplicáveis a um determinado produto, marco (RTM, SPn) e ramo de serviço (LDR, GDR) podem ser identificados examinando os números de versão do ficheiro, conforme mostrado na seguinte tabela:
Versão
Produto
Marco
Ramo de serviço
6.3.960 0.17xxx
8.1 do Windows e Windows Server 2012 R2
RTM
GDR
-
Os ficheiros MANIFEST (. manifest) e MUM (. mum) instalados em cada ambiente é listados em separado na secção "informações sobre ficheiros adicionais". MUM, MANIFESTO e os ficheiros de catálogo (. cat) de segurança associados, são muito importantes para manter o estado dos componentes atualizados. Os ficheiros de catálogo de segurança, para os quais os atributos não são listados são assinados com uma assinatura digital da Microsoft.
Para todas as versões baseadas em x86 do Windows 8.1
|
Nome do ficheiro |
Versão do ficheiro |
Tamanho do ficheiro |
Data |
Hora |
Plataforma |
|---|---|---|---|---|---|
|
Ntdsa.mof |
Não aplicável |
227,765 |
18-Jun-2013 |
12:21 |
Não aplicável |
|
Ntdsai.dll |
6.3.9600.17901 |
2,576,896 |
09-Jun-2015 |
20:43 |
x86 |
Para todas as versões baseadas em x64 do Windows 8.1 e do Windows Server R2 de 2012
|
Nome do ficheiro |
Versão do ficheiro |
Tamanho do ficheiro |
Data |
Hora |
Plataforma |
|---|---|---|---|---|---|
|
Ntdsa.mof |
Não aplicável |
227,765 |
18-Jun-2013 |
14:45 |
Não aplicável |
|
Ntdsai.dll |
6.3.9600.17901 |
3,684,864 |
09-Jun-2015 |
20:49 |
x64 |
Informações sobre ficheiros adicionais
Informações sobre ficheiros adicionais para Windows 8.1 e do Windows Server R2 de 2012
Ficheiros adicionais para todas as versões suportadas baseadas em x86 do Windows 8.1
|
Propriedade de ficheiro |
Valor |
|---|---|
|
Nome do ficheiro |
X86_4c2f5adc88a0d6ac17ccdccf2255c6b7_31bf3856ad364e35_6.3.9600.17901_none_ba36e2d18bbebef8.manifest |
|
Versão do ficheiro |
Não aplicável |
|
Tamanho do ficheiro |
712 |
|
Data (UTC) |
10-Jun-2015 |
|
Hora (UTC) |
12:46 |
|
Plataforma |
Não aplicável |
|
Nome do ficheiro |
X86_microsoft-windows-d..toryservices-ntdsai_31bf3856ad364e35_6.3.9600.17901_none_85b97991d47e36db.manifest |
|
Versão do ficheiro |
Não aplicável |
|
Tamanho do ficheiro |
3,352 |
|
Data (UTC) |
09-Jun-2015 |
|
Hora (UTC) |
23:14 |
|
Plataforma |
Não aplicável |
Ficheiros adicionais para todas as versões suportadas baseadas em x64 do Windows 8.1 e do Windows Server 2012 R2
|
Propriedade de ficheiro |
Valor |
|---|---|
|
Nome do ficheiro |
Amd64_94aab516433aef4e5f0c8db414ae7999_31bf3856ad364e35_6.3.9600.17901_none_34c8efb13ae81094.manifest |
|
Versão do ficheiro |
Não aplicável |
|
Tamanho do ficheiro |
716 |
|
Data (UTC) |
10-Jun-2015 |
|
Hora (UTC) |
12:46 |
|
Plataforma |
Não aplicável |
|
Nome do ficheiro |
Amd64_microsoft-windows-d..toryservices-ntdsai_31bf3856ad364e35_6.3.9600.17901_none_e1d815158cdba811.manifest |
|
Versão do ficheiro |
Não aplicável |
|
Tamanho do ficheiro |
3,356 |
|
Data (UTC) |
09-Jun-2015 |
|
Hora (UTC) |
23:49 |
|
Plataforma |
Não aplicável |
Estado
A Microsoft confirmou que este é um problema nos produtos da Microsoft listados na secção "Aplica-se a".
Mais informações
Ver informações detalhadas sobre a funcionalidade de exclusividade SPN e UPN no Windows Server R2 de 2012.Também poderá ver ID de evento 11, configuração de nome Principal do serviço para obter mais informações.Peça ao blogue de plataformas de engenharia de campo Premiere (PFE): Ferramentas de migração do terceiros Active Directory e 3070083 da KB.
Referências
Consulte a terminologia utilizada pela Microsoft para descrever actualizações de software.
