Den här artikeln beskrivs några problem som kan uppstår på en domänkontrollant med Windows Server 2012 R2. Det finns en snabbkorrigering för att lösa dessa problem. Snabbkorrigeringen har en förutsättning.
Symptom
Anta att du har en domänkontrollant som kör Windows Server 2012 R2 och något av följande problem kan uppstå.
Problem 1: Anslut till domän
Du har en ny dator och du vill ansluta till en domän i skogen. Samma dator värdnamn används redan i en annan domän. I det här fallet rapporterar en domänanslutningsåtgärd framgång. När du klickar på OKvisas följande dialogruta. Raderade strängar är gammalt och det nya primära suffixet för datorn:
Felmeddelandet liknar följande:
När en ändring till DNS-värdnamnet för ett objekt, kan tjänstens huvudnamn värden inte hållas synkroniserade.
Efter omstart, datorn rapporterar sig själv som medlem av en domän men interaktiv inloggning med ett domänkonto misslyckas och följande felmeddelande visas:
Säkerhetsdatabasen på servern har inte något datorkonto för denna arbetsstations förtroenderelation.
Du ska också få följande felmeddelande i filen Netsetup.log:
0: 000021C 7: DSID-03200BA6 problem 1005 (CONSTRAINT_ATT_TYPE) data 0, Att 90303 (servicePrincipalName)
NetpModifyComputerObjectInDs: Det gick inte att ldap_modify_s: 0x13 0x57
Problem 2: Inom skogen migrering
Om du utför en migrering inom samma skog användarmigrering tjänstens huvudnamn (SPN) eller användarens huvudnamn (UPN) definieras eller migrering av datorer inom skogen, migreringen misslyckas eftersom kontot fortfarande finns i den globala katalogen som införs i måldomänen som har dessa attribut fylls i objektet. Om objektet har sparats i den nya domänen skapas dubbla SPN.
Obs! Verktyg att driva Överflyttningarna kanske migrering verktyget ADMT (Active Directory), extern migrationsverktyg eller Flytta-ADObject med hjälp av Active Directory PowerShell-cmdlet.
Problem 3: SPN-namnet står i konflikt med SPN för återställda objekt
Du har ett konto med SPN-namn som används på ett konto som tas bort nu. Du kan lägga till ett SPN-namn till det objekt som har ett annat användar- eller datorkonto i skogen. När du nu försöker återställa Borttaget konto misslyckas åtgärden på grund av dubbla SPN-namnet.
Obs! I alla tre problem händelse-ID 2974 av följande slag loggas i loggen för katalogtjänsten i domänkontrollanten: felnummer 8647 översätts till symboliska namn är ERROR_DS_SPN_VALUE_NOT_UNIQUE_IN_FOREST. Deplicate UPN vore fel antal 8648 och ERROR_DS_UPN_VALUE_NOT_UNIQUE_IN_FOREST.
Orsak
Windows Server 2012 R2 introducerade begränsande kontroll för SPN och UPN unika. Den har förhindrar att dubbla SPN och UPN när de drivs genom administrativa verktyg verktyget utan att kontrollera unika själva.
Den förhindrar att administrativa uppgifter om effekten inte är uppenbara i de problem som beskrivs i denna artikel.
Lösning
I vissa fall kan du ta bort de objekt som blockerar åtgärden så att åtgärden lyckades. Du kan också ta bort SPN-namn eller UPN som skulle vara dubbletter och eventuellt lägga till dem på kontot för migrering inom samma skog migreringar och återställer.
Sådan beredning ändring kanske inte är möjligt i alla fall. Microsoft har därför utvecklat en uppdatering som gör att styra beteendet domain controller. Den här uppdateringen gäller Windows Server 2012 R2-baserade domänkontrollanter. Du kan också installera den här uppdateringen på medlemsservrar som är kandidat befordras till en domänkontrollant i framtiden.
Med den här uppdateringen ger Microsoft en skog nivå växel om du vill inaktivera eller aktivera unika check via attributet dSHeuristics.
Värdena som stöds dSHeuristics är följande:
-
dSHeuristic = 1: AD DS kan du lägga till samma användarhuvudnamn (UPN)
-
dSHeuristic = 2: AD DS tillåter lägger till dubbla tjänsternas huvudnamn (SPN)
-
dSHeuristic = 3: AD DS kan du lägga till dubbla SPN och UPN
-
dSHeuristic = alla andra värden: AD DS upprätthåller unika kontroll för både SPN och UPN
Exempel:
-
Ange 21 tecken av dSHeuristics till "1" för att inaktivera UPN unika check (000000000100000000021)
-
Ange 21 tecken av dSHeuristics till "2" för att inaktivera SPN unika check (000000000100000000022)
-
Ange 21 tecken av dSHeuristics till "3" för att inaktivera SPN och UPN unika kontroller (000000000100000000023)
Detaljerad information om hur du ändrar dSHeuristic finns i 6.1.1.2.4.1.2 dSHeuristics.
Vi rekommenderar att du anger värdet till 0 när du vet problematiska ändringar inte sker längre. Detta kan vara fallet särskilt för migrering inom samma skog migreringar.
Information om snabbkorrigeringen
Viktigt Om du installerar ett språkpaket efter installation av den här snabbkorrigeringen måste du installera om den här snabbkorrigeringen. Därför rekommenderar vi att du installerar alla språk Pack innan du installerar den här snabbkorrigeringen. Mer information finns i lägga till språkpaket i Windows.
En snabbkorrigering är tillgänglig från Microsoft. Den här snabbkorrigeringen är emellertid avsedd att åtgärda det problem som beskrivs i denna artikel. Använd bara den här snabbkorrigeringen för system med just detta problem.
Om snabbkorrigeringen är tillgänglig för hämtning finns "Snabbkorrigeringen tillgänglig för hämtning" överst i den här Knowledge Base-artikeln. Om det här avsnittet inte visas, skicka en begäran till Microsofts kundtjänst och Support för att få snabbkorrigeringen.
Obs! Om det uppstår ytterligare problem eller krävs felsökning, kan du behöva skapa en serviceförfrågan. De vanliga supportkostnaderna gäller för övriga supportfrågor och problem som inte uppfyller kraven för den här snabbkorrigeringen. En fullständig lista över telefonnummer för Microsofts kundtjänst och Support eller skapa en serviceförfrågan finns på följande Microsoft-webbplats:
http://support.microsoft.com/contactus/?ws=supportObs! "Snabbkorrigering tillgänglig för hämtning" formuläret visar de språk som snabbkorrigeringen är tillgänglig på. Om ditt språk inte visas beror det på att ingen snabbkorrigering är tillgänglig för språket.
Förutsättningar
Om du vill installera den här snabbkorrigeringen måste du ha April 2014 Samlad uppdatering för Windows RT 8.1, 8.1 för Windows, och Windows Server 2012 R2 (2919355) installeras i Windows 8.1 eller Windows Server 2012 R2.
Registerinformation
För att kunna använda snabbkorrigeringen i det här paketet behöver du inte göra några ändringar i registret.
Krav på omstart
Du kan behöva starta om datorn när du har installerat den här snabbkorrigeringen.
Ersättningsinformation för Hotfix
Den här snabbkorrigeringen ersätter inte någon tidigare utgiven snabbkorrigering.
Den globala versionen av den här snabbkorrigeringen installerar filer med de filattribut som visas i följande tabeller. Datum och tider för dessa filer anges i UTC-tid (UTC). Datum och tider för dessa filer på den lokala datorn visas i lokal tid tillsammans med din aktuella sommartid (DST). Datum och tider kan dessutom ändras när du utför vissa åtgärder på filerna.
8.1 för Windows och Windows Server 2012 R2 Filinformation och anteckningar
Viktigt Snabbkorrigeringar för Windows 8.1 och Windows Server 2012 R2 snabbkorrigeringar ingår i samma paket. Dock finns snabbkorrigeringar på sidan snabbkorrigeringen begäran under båda operativsystemen. Om du vill begära snabbkorrigeringspaket som gäller för en eller båda operativsystemen markerar du snabbkorrigeringen som anges under "Windows 8.1/Windows Server 2012 R2" på sidan. Alltid finns i avsnittet "Gäller för" i artiklarna för att fastställa själva operativsystemet som avser varje snabbkorrigering.
-
De filer som gäller en viss produkt, milstolpe (RTM, SPn) och verksamhetsgren (LDR, GDR) framgår av att undersöka versionsnumren som visas i följande tabell:
Version
Produkt
Milstolpe
Verksamhetsgren
6.3.960 0.17-xxx
Windows 8.1 och Windows Server 2012 R2
RTM
GDR
-
MANIFEST-filerna (.manifest) och MUM-filerna (.mum) som installeras för varje miljö är listade separat i avsnittet "Ytterligare filinformation". MUM, MANIFEST och tillhörande säkerhetskatalogfiler (.cat) filer, är mycket viktigt att bibehålla statusen för de uppdaterade komponenterna. Säkerhetskatalogfilerna attribut som inte finns listade, är signerade med en digital Microsoft-signatur
För alla x86-baserade versioner av Windows 8.1 som stöds
|
Filnamn |
Filversion |
Storlek |
Datum |
Tid |
Plattform |
|---|---|---|---|---|---|
|
Ntdsa.mof |
Ej tillämplig |
227,765 |
18-Jun-2013 |
12:21 |
Ej tillämplig |
|
Ntdsai.dll |
6.3.9600.17901 |
2,576,896 |
09-Jun-2015 |
20:43 |
x86 |
För alla x64-baserade versioner av Windows 8.1 och Windows Server 2012 R2
|
Filnamn |
Filversion |
Storlek |
Datum |
Tid |
Plattform |
|---|---|---|---|---|---|
|
Ntdsa.mof |
Ej tillämplig |
227,765 |
18-Jun-2013 |
14:45 |
Ej tillämplig |
|
Ntdsai.dll |
6.3.9600.17901 |
3,684,864 |
09-Jun-2015 |
20:49 |
x64 |
Ytterligare filinformation
Ytterligare filinformation för Windows 8.1 och Windows Server 2012 R2
Ytterligare filer för alla x86-baserade versioner av Windows 8.1 som stöds
|
Filegenskap |
Värde |
|---|---|
|
Filnamn |
X86_4c2f5adc88a0d6ac17ccdccf2255c6b7_31bf3856ad364e35_6.3.9600.17901_none_ba36e2d18bbebef8.manifest |
|
Filversion |
Ej tillämplig |
|
Storlek |
712 |
|
Datum (UTC) |
10-Jun-2015 |
|
Tid (UTC) |
12:46 |
|
Plattform |
Ej tillämplig |
|
Filnamn |
X86_microsoft-windows-d..toryservices-ntdsai_31bf3856ad364e35_6.3.9600.17901_none_85b97991d47e36db.manifest |
|
Filversion |
Ej tillämplig |
|
Storlek |
3,352 |
|
Datum (UTC) |
09-Jun-2015 |
|
Tid (UTC) |
23:14 |
|
Plattform |
Ej tillämplig |
Ytterligare filer för alla x64-baserade versioner av Windows 8.1 och Windows Server 2012 R2 som stöds
|
Filegenskap |
Värde |
|---|---|
|
Filnamn |
Amd64_94aab516433aef4e5f0c8db414ae7999_31bf3856ad364e35_6.3.9600.17901_none_34c8efb13ae81094.manifest |
|
Filversion |
Ej tillämplig |
|
Storlek |
716 |
|
Datum (UTC) |
10-Jun-2015 |
|
Tid (UTC) |
12:46 |
|
Plattform |
Ej tillämplig |
|
Filnamn |
Amd64_microsoft-windows-d..toryservices-ntdsai_31bf3856ad364e35_6.3.9600.17901_none_e1d815158cdba811.manifest |
|
Filversion |
Ej tillämplig |
|
Storlek |
3,356 |
|
Datum (UTC) |
09-Jun-2015 |
|
Tid (UTC) |
23:49 |
|
Plattform |
Ej tillämplig |
Status
Microsoft har bekräftat att detta är ett problem i Microsoft-produkterna som nämns i avsnittet "Gäller".
Mer Information
Visa detaljerad information om SPN och UPN unika funktion i Windows Server 2012 R2.
Du kan också se händelse-ID 11 – Service Principal Name konfiguration för mer information.
Be Premiere fältet tekniker (PFE) plattformar blogg: tredje parts Active Directory Migration Tools och 3070083 KB.
Referenser
Se den terminologi som Microsoft använder för att beskriva programuppdateringar.
