Dubblettkontroll SPN på Windows Server 2012 R2-baserad domänkontrollant gör domänanslutning, migrering och återställa fel

Den här artikeln beskrivs några problem som kan uppstår på en domänkontrollant med Windows Server 2012 R2. Det finns en snabbkorrigering för att lösa dessa problem. Snabbkorrigeringen har en förutsättning.

Symptom

Anta att du har en domänkontrollant som kör Windows Server 2012 R2 och något av följande problem kan uppstå.

Problem 1: Anslut till domän

Du har en ny dator och du vill ansluta till en domän i skogen. Samma dator värdnamn används redan i en annan domän. I det här fallet rapporterar en domänanslutningsåtgärd framgång. När du klickar på OKvisas följande dialogruta. Raderade strängar är gammalt och det nya primära suffixet för datorn:

This is the screenshot of Computer Name/Domain Changes

Felmeddelandet liknar följande:


När en ändring till DNS-värdnamnet för ett objekt, kan tjänstens huvudnamn värden inte hållas synkroniserade.


Efter omstart, datorn rapporterar sig själv som medlem av en domän men interaktiv inloggning med ett domänkonto misslyckas och följande felmeddelande visas:


Säkerhetsdatabasen på servern har inte något datorkonto för denna arbetsstations förtroenderelation.


Du ska också få följande felmeddelande i filen Netsetup.log:


0: 000021C 7: DSID-03200BA6 problem 1005 (CONSTRAINT_ATT_TYPE) data 0, Att 90303 (servicePrincipalName)
NetpModifyComputerObjectInDs: Det gick inte att ldap_modify_s: 0x13 0x57


Problem 2: Inom skogen migrering

Om du utför en migrering inom samma skog användarmigrering tjänstens huvudnamn (SPN) eller användarens huvudnamn (UPN) definieras eller migrering av datorer inom skogen, migreringen misslyckas eftersom kontot fortfarande finns i den globala katalogen som införs i måldomänen som har dessa attribut fylls i objektet. Om objektet har sparats i den nya domänen skapas dubbla SPN.

Obs!  Verktyg att driva Överflyttningarna kanske migrering verktyget ADMT (Active Directory), extern migrationsverktyg eller Flytta-ADObject med hjälp av Active Directory PowerShell-cmdlet.

Problem 3: SPN-namnet står i konflikt med SPN för återställda objekt

Du har ett konto med SPN-namn som används på ett konto som tas bort nu. Du kan lägga till ett SPN-namn till det objekt som har ett annat användar- eller datorkonto i skogen. När du nu försöker återställa Borttaget konto misslyckas åtgärden på grund av dubbla SPN-namnet.

Obs!  I alla tre problem händelse-ID 2974 av följande slag loggas i loggen för katalogtjänsten i domänkontrollanten: felnummer 8647 översätts till symboliska namn är ERROR_DS_SPN_VALUE_NOT_UNIQUE_IN_FOREST. Deplicate UPN vore fel antal 8648 och ERROR_DS_UPN_VALUE_NOT_UNIQUE_IN_FOREST.

Orsak

Windows Server 2012 R2 introducerade begränsande kontroll för SPN och UPN unika. Den har förhindrar att dubbla SPN och UPN när de drivs genom administrativa verktyg verktyget utan att kontrollera unika själva.

Den förhindrar att administrativa uppgifter om effekten inte är uppenbara i de problem som beskrivs i denna artikel.

Lösning

I vissa fall kan du ta bort de objekt som blockerar åtgärden så att åtgärden lyckades. Du kan också ta bort SPN-namn eller UPN som skulle vara dubbletter och eventuellt lägga till dem på kontot för migrering inom samma skog migreringar och återställer.

Sådan beredning ändring kanske inte är möjligt i alla fall. Microsoft har därför utvecklat en uppdatering som gör att styra beteendet domain controller. Den här uppdateringen gäller Windows Server 2012 R2-baserade domänkontrollanter. Du kan också installera den här uppdateringen på medlemsservrar som är kandidat befordras till en domänkontrollant i framtiden.

Med den här uppdateringen ger Microsoft en skog nivå växel om du vill inaktivera eller aktivera unika check via attributet dSHeuristics.

Värdena som stöds dSHeuristics är följande:

  1. dSHeuristic = 1: AD DS kan du lägga till samma användarhuvudnamn (UPN)

  2. dSHeuristic = 2: AD DS tillåter lägger till dubbla tjänsternas huvudnamn (SPN)

  3. dSHeuristic = 3: AD DS kan du lägga till dubbla SPN och UPN

  4. dSHeuristic = alla andra värden: AD DS upprätthåller unika kontroll för både SPN och UPN

Exempel:

  1. Ange 21 tecken av dSHeuristics till "1" för att inaktivera UPN unika check (000000000100000000021)

  2. Ange 21 tecken av dSHeuristics till "2" för att inaktivera SPN unika check (000000000100000000022)

  3. Ange 21 tecken av dSHeuristics till "3" för att inaktivera SPN och UPN unika kontroller (000000000100000000023)

Detaljerad information om hur du ändrar dSHeuristic finns i .

Vi rekommenderar att du anger värdet till 0 när du vet problematiska ändringar inte sker längre. Detta kan vara fallet särskilt för migrering inom samma skog migreringar.

Information om snabbkorrigeringen

Viktigt Om du installerar ett språkpaket efter installation av den här snabbkorrigeringen måste du installera om den här snabbkorrigeringen. Därför rekommenderar vi att du installerar alla språk Pack innan du installerar den här snabbkorrigeringen. Mer information finns i .

En snabbkorrigering är tillgänglig från Microsoft. Den här snabbkorrigeringen är emellertid avsedd att åtgärda det problem som beskrivs i denna artikel. Använd bara den här snabbkorrigeringen för system med just detta problem.

Om snabbkorrigeringen är tillgänglig för hämtning finns "Snabbkorrigeringen tillgänglig för hämtning" överst i den här Knowledge Base-artikeln. Om det här avsnittet inte visas, skicka en begäran till Microsofts kundtjänst och Support för att få snabbkorrigeringen.

Obs! Om det uppstår ytterligare problem eller krävs felsökning, kan du behöva skapa en serviceförfrågan. De vanliga supportkostnaderna gäller för övriga supportfrågor och problem som inte uppfyller kraven för den här snabbkorrigeringen. En fullständig lista över telefonnummer för Microsofts kundtjänst och Support eller skapa en serviceförfrågan finns på följande Microsoft-webbplats:

Obs! "Snabbkorrigering tillgänglig för hämtning" formuläret visar de språk som snabbkorrigeringen är tillgänglig på. Om ditt språk inte visas beror det på att ingen snabbkorrigering är tillgänglig för språket.

Förutsättningar

Om du vill installera den här snabbkorrigeringen måste du ha installeras i Windows 8.1 eller Windows Server 2012 R2.

Registerinformation

För att kunna använda snabbkorrigeringen i det här paketet behöver du inte göra några ändringar i registret.

Krav på omstart

Du kan behöva starta om datorn när du har installerat den här snabbkorrigeringen.

Ersättningsinformation för Hotfix

Den här snabbkorrigeringen ersätter inte någon tidigare utgiven snabbkorrigering.

Den globala versionen av den här snabbkorrigeringen installerar filer med de filattribut som visas i följande tabeller. Datum och tider för dessa filer anges i UTC-tid (UTC). Datum och tider för dessa filer på den lokala datorn visas i lokal tid tillsammans med din aktuella sommartid (DST). Datum och tider kan dessutom ändras när du utför vissa åtgärder på filerna.

8.1 för Windows och Windows Server 2012 R2 Filinformation och anteckningar

Viktigt Snabbkorrigeringar för Windows 8.1 och Windows Server 2012 R2 snabbkorrigeringar ingår i samma paket. Dock finns snabbkorrigeringar på sidan snabbkorrigeringen begäran under båda operativsystemen. Om du vill begära snabbkorrigeringspaket som gäller för en eller båda operativsystemen markerar du snabbkorrigeringen som anges under "Windows 8.1/Windows Server 2012 R2" på sidan. Alltid finns i avsnittet "Gäller för" i artiklarna för att fastställa själva operativsystemet som avser varje snabbkorrigering.

  • De filer som gäller en viss produkt, milstolpe (RTM, SPn) och verksamhetsgren (LDR, GDR) framgår av att undersöka versionsnumren som visas i följande tabell:

  • MANIFEST-filerna (.manifest) och MUM-filerna (.mum) som installeras för varje miljö är listade separat i avsnittet "Ytterligare filinformation". MUM, MANIFEST och tillhörande säkerhetskatalogfiler (.cat) filer, är mycket viktigt att bibehålla statusen för de uppdaterade komponenterna. Säkerhetskatalogfilerna attribut som inte finns listade, är signerade med en digital Microsoft-signatur

Status

Microsoft har bekräftat att detta är ett problem i Microsoft-produkterna som nämns i avsnittet "Gäller".

Mer Information

Visa detaljerad information om .

Du kan också se för mer information.

Be Premiere fältet tekniker (PFE) plattformar blogg: .

Referenser

Se den som Microsoft använder för att beskriva programuppdateringar.

Behöver du mer hjälp?

Utöka dina kunskaper
Utforska utbildning
Få nya funktioner först
Anslut till Microsoft Insiders

Hade du nytta av den här informationen?

Tack för din feedback!

Tack för din feedback! Det låter som att det kan vara bra att koppla dig till en av våra Office-supportrepresentanter.

×