Проверка имени участника-службы на контроллере домена под управлением Windows Server 2012 R2 вызывает восстановление, присоединение к домену и перенос ошибок

ВНИМАНИЕ! Данная статья переведена с использованием программного обеспечения Майкрософт для машинного перевода и, возможно, отредактирована посредством технологии Community Translation Framework (CTF). Корпорация Майкрософт предлагает вам статьи, обработанные средствами машинного перевода, отредактированные членами сообщества Майкрософт и переведенные профессиональными переводчиками, чтобы вы могли ознакомиться со всеми статьями нашей базы знаний на нескольких языках. Статьи, переведенные с использованием средств машинного перевода и отредактированные сообществом, могут содержать смысловое, синтаксические и (или) грамматические ошибки. Корпорация Майкрософт не несет ответственности за любые неточности, ошибки или ущерб, вызванные неправильным переводом контента или его использованием нашими клиентами. Подробнее об CTF можно узнать по адресу http://support.microsoft.com/gp/machine-translation-corrections/ru.

Эта статья на английском языке: 3070083
В данной статье описаны некоторые проблемы, возникающие на контроллере домена под управлением Windows Server 2012 R2. Доступно исправление для устранения этих проблем. Содержит исправленияПредварительное условие.
Проблема
Предположим, что имеется контроллер домена под управлением Windows Server 2012 R2, может появиться одно из следующих проблем.

Проблема 1: Присоединение к домену

У вас есть новый компьютер и нужно присоединиться к ней toa домена леса. То же имя узла компьютера уже используется в другом домене. В этом случае операции подключения к домену сообщает успеха. После youclickОКпоявится следующее диалоговое окно. Удалять строки являются старой и новой основной суффикс компьютера:

Это снимок экрана изменение имени компьютера или домена

Сообщение об ошибке следующего вида:

При изменении имени узла DNS для объекта, значения имени участника-службы может не быть синхронизованы.

После перезагрузки компьютера будет сообщает о себе как член домена, но интерактивный вход в систему с учетной записью домена не удастся и появится следующее сообщение об ошибке:

База данных защиты на сервере не имеет учетную запись компьютера для этого отношения доверия рабочей станции.

Alsoreceive будет followingerror сообщения в файл Netsetup.log:

0: 000021C 7: DSID 03200BA6, проблема 1005 (CONSTRAINT_ATT_TYPE), данных 0, Att 90303 (безопасности servicePrincipalName)
NetpModifyComputerObjectInDs: ошибка ldap_modify_s: 0x13 0x57

Проблема 2:Intra-леса миграции

Если выполнить миграцию пользователя внутри леса, имеющего имя участника службы (SPN) или основное имя пользователя (UPN) определены внутри леса, миграции произошел сбой миграции, так как учетная запись продолжает существовать в глобальный каталог как объект представлена в конечном домене, имеющий эти атрибуты заполнения. Если объект был сохранен в новом домене, повторяющееся имя участника-службы будет создан.

Примечание Средства для миграции может быть Active Directory миграции инструмент (ADMT), Сервис внешней миграции или перемещения-ADObjectкомандлета, usingActive DirectoryPowerShell.

Проблема 3: SPN вступает в противоречие с SPN для восстановленного объекта

У учетной записи с SPN используется для учетной записи, которая теперь удаляется. Youadd имя SPN для объекта, который используется для другой учетной записи пользователя или компьютера в лесу. При попытке восстановления удаленной учетной записи, действие завершается неудачей из-за повторяющихся SPN.

Примечание Все три проблемы в журнале службы каталогов контроллера домена регистрируется событие ID 2974, подобное приведенному ниже.


Имя журнала: Служба каталогов
Источник: Microsoft-Windows-ActiveDirectory_DomainService
Код события: 2974
Категория задачи: Глобальный каталог
Уровень: ошибка
Ключевые слова: классический
Описание: Значение атрибута не является уникальным в лесу или раздела. Атрибут: servicePrincipalName Value=HOST/server1.contoso.com
CN = Server1, OU = рядовых серверов, DC = contoso, DC = com Winerror: 8647

Номер ошибки 8647 преобразуется в символьную называется ERROR_DS_SPN_VALUE_NOT_UNIQUE_IN_FOREST. Для deplicate имени участника-пользователя ошибка будет номер 8648 и ERROR_DS_UPN_VALUE_NOT_UNIQUE_IN_FOREST.
Причина
Windows Server 2012 R2 введен строгий проверка уникальности имени участника-пользователя и имя участника-службы. Он успешно предотвращает дублирование имени участника-службы и имя участника-пользователя при событиями Администрирование без необходимости средство проверки уникальности сам.

Проблемы, описанные в этой статье не административных задач, где эффект не является очевидным.
Решение
В некоторых случаях можно удалить объекты, блокирующие действие, действие выполнено успешно. Для миграции внутри леса и восстановления также можно удалить имена участников-служб и/или имя участника-пользователя, который бы дублируется и потенциально добавить их обратно на счет.

Изменение подготовки возможно не во всех случаях. Таким образом корпорация Майкрософт разработала обновление, которое включает управление поведением контроллера домена. Это обновление относится к контроллерам домена под управлением Windows Server 2012 R2. Можно также установить это обновление на рядовых серверах, кандидатом для повышения роли контроллера домена в будущем.

С помощью этого обновления корпорация Майкрософт предоставляет переключатель уровня леса выключить или включить проверку на уникальность посредством атрибута dSHeuristics.

Ниже приведены поддерживаемые dSHeuristics значения.
  1. dSHeuristic = 1: AD DS позволяет добавлять имена участников-пользователя (UPN)
  2. dSHeuristic = 2: AD DS позволяет добавлять имена участников повторяющихся службы (SPN)
  3. dSHeuristic = 3: AD DS позволяет добавление повторяющихся имен SPN и UPN
  4. dSHeuristic = любое другое значение: службы AD DS применяет проверка уникальности имен SPN и UPN
Примеры:
  1. Для отключения проверки уникальности имени участника-пользователя, установите 21 символ dSHeuristics значение «1» (000000000100000000021)
  2. Для отключения проверки уникальности имени участника-службы, значение 21 символ dSHeuristics «2» (000000000100000000022)
  3. Для отключения проверки уникальности имени участника-пользователя и имя участника-службы, значение 21 символ dSHeuristics на «3» (000000000100000000023)
Дополнительные сведения об изменении dSHeuristic см 6.1.1.2.4.1.2 dSHeuristics.

Рекомендуется установить значение обратно на 0 , когда вы знаете, что проблемные изменения больше не выполняются. Это может быть случай, особенно для миграции внутри леса.

Сведения об исправлении

Важно: Если установить языковой пакет после установки данного исправления, необходимо переустановить это исправление. Таким образом, рекомендуется установить все языковые пакеты, которые прежде чем установить данное исправление. Дополнительные сведения см. Добавление языковых пакетов для Windows.

Существует исправление от корпорации Майкрософт. Однако данное исправление предназначено для устранения только проблемы, описанной в этой статье. Применяйте данное исправление только в тех системах, которые имеют данную проблему.

Если исправление доступно для загрузки, имеется раздел «Исправление загрузки доступно» в верхней части этой статьи базы знаний. Если этого раздела нет, отправьте запрос в службу технической поддержки и поддержки для получения исправления.

Примечание Если наблюдаются другие проблемы или необходимо устранить неполадки, вам может понадобиться создать отдельный запрос на обслуживание. Обычные затраты на поддержку будет применяться к дополнительные вопросы и проблемы, которые не соответствуют требованиям конкретного исправления. Для получения полного списка телефонов поддержки и обслуживания клиентов корпорации Майкрософт, или для создания отдельного запроса на обслуживание, посетите следующий веб-сайт Майкрософт: Примечание В форме «Доступна загрузка исправления» отображаются языки, для которых доступно исправление. Если нужный язык не отображается, это потому, что исправление для данного языка отсутствует.

Предварительные условия

Для установки этого исправления необходимо иметь Апреля 2014 накопительный пакет обновления для Windows RT 8.1, Windows 8.1 и Windows Server 2012 R2 (2919355) установить в Windows Server 2012 R2 или Windows 8.1.

Сведения о реестре

Для использования исправления из этого пакета, нет необходимости вносить изменения в реестр.

Необходимость перезагрузки

Может потребоваться перезагрузить компьютер после установки данного исправления.

Сведения о замене исправлений

Это исправление не заменяет ранее выпущенные исправления.

Сведения о файлах

Глобальная версия этого исправления устанавливает файлы с атрибутами, указанными в приведенных ниже таблицах. Дата и время для файлов указаны в формате UTC. Дата и время для файлов на локальном компьютере отображаются в местном времени с вашим текущим смещением летнего времени (DST). Кроме того, при выполнении определенных операций с файлами, даты и время могут изменяться.

Сведения о файле Windows 8.1 и Windows Server 2012 R2 и заметки

Важно: Windows Server 2012 R2 исправления и исправления Windows 8.1 включаются в тех же самых пакетов. Однако исправления на странице запрос исправления перечислены под обеими операционными системами. Для получения пакета исправлений, который применяется к одной или обеих операционных систем, установите исправления, перечисленные в разделе «Windows 8.1/Windows Server 2012 R2» на странице. Всегда смотрите раздел "Информация в данной статье относится к следующим продуктам" статьи для определения фактических операционных систем, к которым применяется каждое исправление.
  • Файлы, относящиеся к определенному продукту, этапу разработки (RTM, SPn), и обслуживания (LDR, GDR) можно определить путем проверки номера версий файлов, как показано в следующей таблице:
    ВерсияПродуктаВехиВетвь обслуживания
    6.3.960 0.17xxxWindows 8.1 и Windows Server 2012 R2RTMGDR
  • Файлы МАНИФЕСТА (.manifest) и MUM (.mum), устанавливаемые для каждой среды указаны отдельно в разделе "Сведения о дополнительных файлах". MUM, MANIFEST и связанные файлы каталога безопасности (.cat) очень важны для поддержания состояния обновленных компонентов. Файлы каталога безопасности, для которых не перечислены атрибуты, подписаны цифровой подписью корпорации Майкрософт.
Для всех поддерживаемых 32-разрядных версиях Windows 8.1
Имя файлаВерсия файлаРазмер файлаДатаВремяПлатформа
Ntdsa.MOFНеприменимо227,76518 июня 201312:21Неприменимо
Ntdsai.dll6.3.9600.179012,576,89609 июня 2015 г.20:43x86
Для всех поддерживаемых 64-разрядных версий Windows 8.1 и Windows Server 2012 R2
Имя файлаВерсия файлаРазмер файлаДатаВремяПлатформа
Ntdsa.MOFНеприменимо227,76518 июня 201314:45Неприменимо
Ntdsai.dll6.3.9600.179013,684,86409 июня 2015 г.20:49x64

Сведения о дополнительных файлах

Сведения о дополнительных файлах для Windows 8.1 и для Windows Server 2012 R2
Дополнительные файлы для всех поддерживаемых 32-разрядных версий Windows 8.1
Свойства файлаЗначение
Имя файлаX86_4c2f5adc88a0d6ac17ccdccf2255c6b7_31bf3856ad364e35_6.3.9600.17901_none_ba36e2d18bbebef8.manifest
Версия файлаНеприменимо
Размер файла712
Дата (UTC)10 июня 2015 г.
Время (UTC)12:46
ПлатформаНеприменимо
Имя файлаX86_microsoft-windows-d... toryservices ntdsai_31bf3856ad364e35_6.3.9600.17901_none_85b97991d47e36db.manifest
Версия файлаНеприменимо
Размер файла3,352
Дата (UTC)09 июня 2015 г.
Время (UTC)23:14
ПлатформаНеприменимо
Дополнительные файлы для всех поддерживаемых 64-разрядных версий Windows Server 2012 R2 и Windows 8.1
Свойства файлаЗначение
Имя файлаAmd64_94aab516433aef4e5f0c8db414ae7999_31bf3856ad364e35_6.3.9600.17901_none_34c8efb13ae81094.manifest
Версия файлаНеприменимо
Размер файла716
Дата (UTC)10 июня 2015 г.
Время (UTC)12:46
ПлатформаНеприменимо
Имя файлаAmd64_microsoft-windows-d... toryservices ntdsai_31bf3856ad364e35_6.3.9600.17901_none_e1d815158cdba811.manifest
Версия файлаНеприменимо
Размер файла3,356
Дата (UTC)09 июня 2015 г.
Время (UTC)23:49
ПлатформаНеприменимо
Статус
Корпорация Майкрософт подтверждает, что это проблема продуктов Майкрософт, перечисленных в разделе "Относится к".
Дополнительная информация
Просмотр подробных сведений Функция уникальности имени участника-службы и имя участника-пользователя в Windows Server 2012 R2.

Кроме того Событие с кодом 11 — Настройка имени участника-службы для получения дополнительных сведений.

Спросите у блогов платформ Premiere поле инженер (PFE): Средства миграции Active Directory независимых производителей и 3070083 КБ.
Ссылки
См. Терминология , которые корпорация Майкрософт использует для описания обновлений программного обеспечения.

Внимание! Эта статья переведена автоматически

Свойства

Номер статьи: 3070083 — последний просмотр: 09/08/2015 03:26:00 — редакция: 3.0

Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows 8.1 Enterprise, Windows 8.1 Pro, Windows 8.1

  • kbqfe kbsurveynew kbfix kbhotfixserver kbautohotfix kbexpertiseinter kbmt KB3070083 KbMtru
Отзывы и предложения