В данной статье описаны некоторые проблемы, возникающие на контроллере домена под управлением Windows Server 2012 R2. Доступно исправление для устранения этих проблем. Исправление с условием.
Симптомы
Предположим, что имеется контроллер домена под управлением Windows Server 2012 R2, может появиться одно из следующих проблем.
Проблема 1: Присоединение к домену
У вас есть новый компьютер и нужно присоединить к домену леса. То же имя узла компьютера уже используется в другом домене. В этом случае операции подключения к домену сообщает успеха. После нажатия кнопки ОКпоявится следующее диалоговое окно. Удалять строки являются старой и новой основной суффикс компьютера:
Сообщение об ошибке следующего вида:
При изменении имени узла DNS для объекта, значения имени участника-службы может не быть синхронизованы.
После перезагрузки компьютера будет сообщает о себе как член домена, но интерактивный вход в систему с учетной записью домена не удастся и появится следующее сообщение об ошибке:
База данных защиты на сервере не имеет учетную запись компьютера для этого отношения доверия рабочей станции.
Вы также получите следующее сообщение об ошибке в файл Netsetup.log:
0: 000021C 7: DSID 03200BA6, проблема 1005 (CONSTRAINT_ATT_TYPE), данных 0, Att 90303 (безопасности servicePrincipalName)
NetpModifyComputerObjectInDs: ошибка ldap_modify_s: 0x13 0x57
Проблема 2: Миграция внутри леса
Если выполнить миграцию пользователя внутри леса, имеющего имя участника службы (SPN) или основное имя пользователя (UPN) определены внутри леса, миграции произошел сбой миграции, так как учетная запись продолжает существовать в глобальный каталог как объект представлена в конечном домене, имеющий эти атрибуты заполнения. Если объект был сохранен в новом домене, повторяющееся имя участника-службы будет создан.
Примечание. Средства для миграции может быть Active Directory миграции инструмент (ADMT), средства внешней миграции или перемещения-ADObject командлетов с помощью Active Directory PowerShell.
Проблема 3: SPN вступает в противоречие с SPN для восстановленного объекта
У учетной записи с SPN используется для учетной записи, которая теперь удаляется. Добавьте имя SPN для объекта, который используется для другой учетной записи пользователя или компьютера в лесу. При попытке восстановления удаленной учетной записи, действие завершается неудачей из-за повторяющихся SPN.
Примечание. Все три проблемы в журнал службы каталогов контроллера домена регистрируется событие 2974 код следующего вида: номер ошибки 8647 преобразуется в символьную называется ERROR_DS_SPN_VALUE_NOT_UNIQUE_IN_FOREST. Для deplicate имени участника-пользователя ошибка будет номер 8648 и ERROR_DS_UPN_VALUE_NOT_UNIQUE_IN_FOREST.
Причина
Windows Server 2012 R2 введен строгий проверка уникальности имени участника-пользователя и имя участника-службы. Он успешно предотвращает дублирование имени участника-службы и имя участника-пользователя при событиями Администрирование без необходимости средство проверки уникальности сам.
Проблемы, описанные в этой статье не административных задач, где эффект не является очевидным.
Решение
В некоторых случаях можно удалить объекты, блокирующие действие, действие выполнено успешно. Для миграции внутри леса и восстановления также можно удалить имена участников-служб и/или имя участника-пользователя, который бы дублируется и потенциально добавить их обратно на счет.
Изменение подготовки возможно не во всех случаях. Таким образом корпорация Майкрософт разработала обновление, которое включает управление поведением контроллера домена. Это обновление относится к контроллерам домена под управлением Windows Server 2012 R2. Можно также установить это обновление на рядовых серверах, кандидатом для повышения роли контроллера домена в будущем.
С помощью этого обновления корпорация Майкрософт предоставляет переключатель уровня леса выключить или включить проверку на уникальность посредством атрибута dSHeuristics.
Ниже приведены поддерживаемые dSHeuristics значения.
-
dSHeuristic = 1: AD DS позволяет добавлять имена участников-пользователя (UPN)
-
dSHeuristic = 2: AD DS позволяет добавлять имена участников повторяющихся службы (SPN)
-
dSHeuristic = 3: AD DS позволяет добавление повторяющихся имен SPN и UPN
-
dSHeuristic = любое другое значение: службы AD DS применяет проверка уникальности имен SPN и UPN
Примеры:
-
Для отключения проверки уникальности имени участника-пользователя, установите 21 символ dSHeuristics значение «1» (000000000100000000021)
-
Для отключения проверки уникальности имени участника-службы, значение 21 символ dSHeuristics «2» (000000000100000000022)
-
Для отключения проверки уникальности имени участника-пользователя и имя участника-службы, значение 21 символ dSHeuristics на «3» (000000000100000000023)
Дополнительные сведения об изменении dSHeuristic см 6.1.1.2.4.1.2 dSHeuristics.
Рекомендуется установить значение обратно на 0 , когда вы знаете, что проблемные изменения больше не выполняются. Это может быть случай, особенно для миграции внутри леса.
Сведения об исправлении
Важно. Если установить языковой пакет после установки данного исправления, необходимо переустановить это исправление. Таким образом, рекомендуется установить все языковые пакеты, которые прежде чем установить данное исправление. Дополнительные сведения содержатся в статье Установка языковых пакетов для Windows.
Существует исправление от корпорации Майкрософт. Однако данное исправление предназначено для устранения только проблемы, описанной в этой статье. Применяйте данное исправление только в тех системах, которые имеют данную проблему.
Если исправление доступно для скачивания, имеется раздел "Пакет исправлений доступен для скачивания" в верхней части этой статьи базы знаний. Если этого раздела нет, отправьте запрос в службу технической поддержки для получения исправления.
Примечание. Если наблюдаются другие проблемы или необходимо устранить неполадки, вам может понадобиться создать отдельный запрос на обслуживание. Стандартная оплата за поддержку будет взиматься только за дополнительные вопросы и проблемы, которые не соответствуют требованиям конкретного исправления. Полный список телефонов поддержки и обслуживания клиентов корпорации Майкрософт или создать отдельный запрос на обслуживание посетите следующий веб-узел корпорации Майкрософт:
http://support.microsoft.com/contactus/?ws=supportПримечание. В форме "Пакет исправлений доступен для скачивания" отображаются языки, для которых доступно исправление. Если нужный язык не отображается, значит исправление для данного языка отсутствует.
Предварительные условия
Для установки этого исправления необходимо иметь апреля 2014 накопительный пакет обновления для Windows RT 8.1, Windows 8.1 и Windows Server 2012 R2 (2919355) , установленной в Windows Server 2012 R2 или Windows 8.1.
Сведения о реестре
Для использования исправления из этого пакета нет необходимости вносить изменения в реестр.
Необходимость перезагрузки
Может потребоваться перезагрузить компьютер после установки данного исправления.
Сведения о замене исправлений
Это исправление не заменяет ранее выпущенные исправления.
Глобальная версия этого исправления устанавливает файлы с атрибутами, указанными в приведенных ниже таблицах. Дата и время для файлов указаны в формате UTC. Дата и время для файлов на локальном компьютере отображаются в местном времени с вашим текущим смещением летнего времени (DST). Кроме того, при выполнении определенных операций с файлами, даты и время могут изменяться.
Сведения о файлах Windows 8.1 и Windows Server 2012 R2 и заметки
Важно. Windows Server 2012 R2 исправления и исправления Windows 8.1 включаются в тех же самых пакетов. Однако исправления на странице запроса исправлений перечислены под обеими операционными системами. Для получения пакета исправлений, который применяется к одной или обеих операционных систем, установите исправления, перечисленные в разделе «Windows 8.1/Windows Server 2012 R2» на странице. Всегда смотрите раздел "Информация в данной статье относится к следующим продуктам" статьи для определения фактических операционных систем, к которым применяется каждое исправление.
-
Файлы, относящиеся к определенному продукту, этапу разработки (RTM, SPn) и направлению поддержки (LDR, GDR) можно определить по номерам версий, как показано в следующей таблице.
Версия
Продукт
Контрольная точка
Направление поддержки
6.3.960 0.17xxx
Windows 8.1 и Windows Server 2012 R2
RTM
GDR
-
Файлы MANIFEST (.manifest) и MUM (.mum), устанавливаемые для каждой среды, указаны отдельно в разделе "Сведения о дополнительных файлах". MUM, MANIFEST и связанные файлы каталога безопасности (.cat) очень важны для поддержания состояния обновленных компонентов. Файлы каталога безопасности, для которых не перечислены атрибуты, подписаны цифровой подписью корпорации Майкрософт.
Для всех поддерживаемых 32-разрядных версий Windows 8.1
|
Имя файла |
Версия файла |
Размер файла |
Дата |
Время |
Платформа |
|---|---|---|---|---|---|
|
Ntdsa.mof |
Неприменимо |
227,765 |
18-Jun-2013 |
12:21 |
Неприменимо |
|
Ntdsai.dll |
6.3.9600.17901 |
2,576,896 |
09-Jun-2015 |
20:43 |
x86 |
Для всех поддерживаемых 64-разрядных версий Windows 8.1 и Windows Server 2012 R2
|
Имя файла |
Версия файла |
Размер файла |
Дата |
Время |
Платформа |
|---|---|---|---|---|---|
|
Ntdsa.mof |
Неприменимо |
227,765 |
18-Jun-2013 |
14:45 |
Неприменимо |
|
Ntdsai.dll |
6.3.9600.17901 |
3,684,864 |
09-Jun-2015 |
20:49 |
x64 |
Сведения о дополнительных файлах
Сведения о дополнительных файлах для Windows 8.1 и для Windows Server 2012 R2
Дополнительные файлы для всех поддерживаемых 32-разрядных версий Windows 8.1
|
Свойства файла |
Значение |
|---|---|
|
Имя файла |
X86_4c2f5adc88a0d6ac17ccdccf2255c6b7_31bf3856ad364e35_6.3.9600.17901_none_ba36e2d18bbebef8.manifest |
|
Версия файла |
Неприменимо |
|
Размер файла |
712 |
|
Дата (UTC) |
10-Jun-2015 |
|
Время (UTC) |
12:46 |
|
Платформа |
Неприменимо |
|
Имя файла |
X86_microsoft-windows-d..toryservices-ntdsai_31bf3856ad364e35_6.3.9600.17901_none_85b97991d47e36db.manifest |
|
Версия файла |
Неприменимо |
|
Размер файла |
3,352 |
|
Дата (UTC) |
09-Jun-2015 |
|
Время (UTC) |
23:14 |
|
Платформа |
Неприменимо |
Дополнительные файлы для всех поддерживаемых версий на базе x64 Windows 8.1 и Windows Server 2012 R2
|
Свойства файла |
Значение |
|---|---|
|
Имя файла |
Amd64_94aab516433aef4e5f0c8db414ae7999_31bf3856ad364e35_6.3.9600.17901_none_34c8efb13ae81094.manifest |
|
Версия файла |
Неприменимо |
|
Размер файла |
716 |
|
Дата (UTC) |
10-Jun-2015 |
|
Время (UTC) |
12:46 |
|
Платформа |
Неприменимо |
|
Имя файла |
Amd64_microsoft-windows-d..toryservices-ntdsai_31bf3856ad364e35_6.3.9600.17901_none_e1d815158cdba811.manifest |
|
Версия файла |
Неприменимо |
|
Размер файла |
3,356 |
|
Дата (UTC) |
09-Jun-2015 |
|
Время (UTC) |
23:49 |
|
Платформа |
Неприменимо |
Статус
Корпорация Майкрософт подтверждает, что это проблема продуктов Майкрософт, перечисленных в разделе "Относится к".
Дополнительные сведения
Просмотреть подробную информацию о функции уникальности имени участника-службы и имя участника-пользователя в Windows Server 2012 R2.
Кроме того, идентификатор события 11 — настройки имени участника службы для получения дополнительных сведений.
Попросите блогов платформ Premiere поле инженер (PFE): сторонние средства миграции Active Directory и 3070083 КБ.
Ссылки
См. термины , которые корпорация Майкрософт использует для описания обновлений программного обеспечения.
