บทความนี้อธิบายปัญหาที่เกิดขึ้นบนตัวควบคุมโดเมนที่ใช้ Windows Server 2012 R2 ของ โปรแกรมแก้ไขด่วนมีพร้อมใช้งานเมื่อต้องการแก้ไขปัญหาเหล่านี้ โปรแกรมแก้ไขด่วนมีข้อกำหนดเบื้องต้น
อาการ
สมมติว่า คุณมีตัวควบคุมโดเมนที่กำลังเรียกใช้ Windows Server 2012 R2 ของ คุณอาจพบปัญหาต่อไปนี้อย่างใดอย่างหนึ่ง
ฉบับที่ 1: การเข้าร่วมโดเมน
คุณมีคอมพิวเตอร์ใหม่ และคุณต้องการเข้าร่วมกับโดเมนของฟอเรสต์ ชื่อโฮสต์คอมพิวเตอร์เดียวกันถูกใช้ในโดเมนอื่น ในสถานการณ์นี้ ดำเนินการเข้าร่วมโดเมนที่รายงานความสำเร็จ หลังจากที่คุณคลิกตกลงคุณจะเห็นกล่องโต้ตอบต่อไปนี้ สายอักขระที่มีการลบอยู่เดิมและส่วนต่อท้ายหลักใหม่ของคอมพิวเตอร์:
ข้อความแสดงข้อผิดพลาดคล้ายกับต่อไปนี้:
ในขณะที่กำลังประมวลผลการเปลี่ยนแปลงให้เป็นชื่อโฮสต์ DNS สำหรับออบเจ็กต์ ค่าชื่อบริการหลักอาจไม่สามารถซิงค์
หลังจากเริ่มการทำงาน คอมพิวเตอร์จะรายงานตัวเองเป็นสมาชิกโดเมน แต่จะไม่เข้าสู่ระบบแบบโต้ตอบกับบัญชีโดเมน และคุณจะได้รับข้อความแสดงข้อผิดพลาดต่อไปนี้:
ฐานข้อมูลการรักษาความปลอดภัยบนเซิร์ฟเวอร์ไม่มีบัญชีคอมพิวเตอร์สำหรับความสัมพันธ์แบบเชื่อถือได้นี้เวิร์กสเตชัน
นอกจากนี้คุณจะได้รับข้อความแสดงข้อผิดพลาดต่อไปนี้ในแฟ้ม Netsetup.log:
0:000021C 7: DSID-03200BA6 ปัญหา 1005 (CONSTRAINT_ATT_TYPE), 0 ข้อมูล Att 90303 (servicePrincipalName)
NetpModifyComputerObjectInDs: ล้มเหลว ldap_modify_s: 0x13 0x57
ปัญหาที่ 2: การโยกย้ายภายในฟอเรสต์
ถ้าคุณดำเนินการการโยกย้ายผู้ใช้ภายในฟอเรสต์ที่มีชื่อบริการหลัก (SPN) หรือชื่อผู้ใช้หลัก (UPN) กำหนด หรือภายในฟอเรสต์โยกย้ายคอมพิวเตอร์ การโยกย้ายล้มเหลวเนื่องจากบัญชีผู้ใช้ยังคงมีอยู่ในแค็ตตาล็อกส่วนกลางเป็นวัตถุจะนำมาใช้ในโดเมนปลายทางที่มีการเติมข้อมูลแอตทริบิวต์ ถ้าวัตถุถูกบันทึกอยู่ในโดเมนใหม่ SPN ซ้ำกันจะสามารถสร้าง
หมายเหตุ เครื่องมือไปยังไดรฟ์ที่ migrations อาจใช้งานไดเรกทอรีการโยกย้ายเครื่องมือ (ADMT) , เครื่องมือการโยกย้ายภายนอกหรือการย้าย- cmdletADObjectโดยใช้ PowerShell ไดเรกทอรีที่ใช้งานอยู่
ปัญหาที่ 3: SPN ข้อขัดแย้งกับ SPN บนวัตถุที่ถูกคืนค่า
คุณมีบัญชีผู้ใช้ที่ SPNs ใช้บนบัญชีผู้ใช้ที่ถูกลบในขณะนี้ คุณสามารถเพิ่ม SPN มีออบเจ็กต์ที่ใช้เพื่อกำหนดบัญชีผู้ใช้หรือคอมพิวเตอร์อื่นในฟอเรสต์ เมื่อคุณพยายามคืนค่าบัญชีผู้ใช้ถูกลบ การดำเนินการล้มเหลวเนื่องจาก มี SPN ซ้ำกัน
หมายเหตุ ในประเด็นที่สามทั้งหมด เหตุการณ์ 2974 ID ที่คล้ายกับต่อไปนี้ถูกบันทึกไว้ในแฟ้มบันทึกของบริการไดเรกทอรีของตัวควบคุมโดเมน: หมายเลขข้อผิดพลาด 8647 แปลเป็นสัญลักษณ์ถึงชื่อเป็น ERROR_DS_SPN_VALUE_NOT_UNIQUE_IN_FOREST สำหรับ deplicate UPN ข้อผิดพลาดจะเป็นหมายเลข 8648 และ ERROR_DS_UPN_VALUE_NOT_UNIQUE_IN_FOREST
สาเหตุ
Windows Server 2012 R2 การแนะนำการตรวจสอบข้อจำกัดที่ไม่ซ้ำกันของ UPN และ SPN ดังกล่าวเรียบร้อยแล้วป้องกันไม่ให้ซ้ำ SPN และ UPN เมื่อพวกเขาจะควบคุมผ่านเครื่องมือการจัดการโดยไม่ต้องใช้เครื่องมือเพื่อทำการตรวจสอบไม่ซ้ำกันของตัวเอง
ในปัญหาที่ได้อธิบายไว้ในบทความนี้ ดังกล่าวป้องกันไม่ให้งานด้านการจัดการที่ให้ผลไม่ชัดเจน
การแก้ปัญหา
ในบางกรณี คุณสามารถลบออบเจ็กต์ที่บล็อคการกระทำของคุณเพื่อให้การดำเนินการเป็นผลสำเร็จ สำหรับ migrations ภายในฟอเรสต์และคืนค่า คุณยังสามารถลบ SPNs และ/หรือ UPN ที่ทำซ้ำ และอาจเพิ่มกลับในบัญชี
การเตรียมการเปลี่ยนอาจใช้ไม่ได้ในทุกกรณี ดังนั้น Microsoft ได้พัฒนาโปรแกรมปรับปรุงที่ช่วยให้การควบคุมลักษณะการทำงานตัวควบคุมโดเมน โปรแกรมปรับปรุงนี้นำไปใช้กับตัวควบคุมโดเมนที่ใช้ Windows Server 2012 R2 ของ คุณยังสามารถติดตั้งโปรแกรมปรับปรุงนี้บนเซิร์ฟเวอร์ของสมาชิกที่เป็น candidate สำหรับโปรโมชันไปยังตัวควบคุมโดเมนในอนาคต
ด้วยการอัพเดทนี้ Microsoft มีสวิตช์ระดับฟอเรสต์การปิด หรือเปิดการตรวจสอบไม่ผ่านแอตทริบิวต์ dSHeuristics
ต่อไปนี้คือ ค่า dSHeuristics ที่ได้รับการสนับสนุน:
-
dSHeuristic = 1: DS โฆษณาอนุญาตให้เพิ่มชื่อหลักของผู้ใช้ที่ซ้ำกัน (UPNs)
-
dSHeuristic = 2: DS โฆษณาอนุญาตให้เพิ่มชื่อหลักของบริการซ้ำ (SPNs)
-
dSHeuristic = 3: DS โฆษณาช่วยให้การเพิ่ม SPNs และ UPNs ซ้ำ
-
dSHeuristic =ค่าอื่นใด ๆ: DS โฆษณาบังคับใช้การตรวจสอบไม่ซ้ำกันสำหรับทั้ง SPNs และ UPNs
ตัวอย่าง:
-
สำหรับการปิดใช้งานการตรวจสอบไม่ซ้ำกันของ UPN ตั้งค่าอักขระจนถึงวันที่ 21 ของ dSHeuristics เป็น "1" (000000000100000000021)
-
สำหรับการปิดใช้งานการตรวจสอบไม่ซ้ำกันของ SPN ตั้งค่าอักขระจนถึงวันที่ 21 ของ dSHeuristics เป็น "2" (000000000100000000022)
-
สำหรับการปิดใช้งานการตรวจสอบไม่ซ้ำกันของ UPN และ SPN ตั้งค่าอักขระจนถึงวันที่ 21 ของ dSHeuristics เป็น "3" (000000000100000000023)
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการปรับเปลี่ยน dSHeuristic ดู6.1.1.2.4.1.2 dSHeuristics
เราขอแนะนำให้ คุณตั้งค่ากลับเป็น0เมื่อคุณทราบว่า ตัวที่มีปัญหาในการเปลี่ยนแปลงจะเกิดขึ้นอีกต่อไป นี่อาจเป็นกรณีและปัญหาโดยเฉพาะอย่างยิ่งสำหรับ migrations ภายในฟอเรสต์
ข้อมูลโปรแกรมแก้ไขด่วน
สิ่งสำคัญ ถ้าคุณติดตั้งชุดภาษาหลังจากที่คุณติดตั้งโปรแกรมแก้ไขด่วนนี้ คุณต้องติดตั้งโปรแกรมแก้ไขด่วนนี้ ดังนั้น เราขอแนะนำให้ คุณติดตั้งภาษาใด ๆ ชุดที่คุณต้องการก่อนที่คุณติดตั้งโปรแกรมแก้ไขด่วนนี้ สำหรับข้อมูลเพิ่มเติม ดูชุดภาษาเพิ่มลงใน Windows
มีโปรแกรมแก้ไขด่วนที่รองรับพร้อมให้บริการจาก Microsoft อย่างไรก็ตาม โปรแกรมแก้ไขด่วนนี้มุ่งหวังเพื่อการแก้ไขเฉพาะปัญหาที่อธิบายไว้ในบทความนี้ ใช้ hotfix นี้เฉพาะกับระบบต่าง ๆ ที่พบปัญหานี้
หากโปรแกรมแก้ไขด่วนพร้อมสำหรับการดาวน์โหลด คุณจะเห็นส่วน "มีการดาวน์โหลดโปรแกรมแก้ไขด่วน" ที่ด้านบนของบทความฐานข้อมูลองค์ความรู้นี้ หากส่วนนี้ไม่ปรากฏขึ้น ส่งคำขอถึงฝ่ายบริการและการสนับสนุนลูกค้าของ Microsoft และวิธีการขอรับโปรแกรมแก้ไขด่วน
หมายเหตุ ถ้ามีปัญหาอื่น ๆ เกิดขึ้น หรือถ้าจำเป็นต้องแก้ไขปัญหาใด ๆ คุณอาจต้องสร้างคำขอรับบริการแยกต่างหาก จะมีค่าใช้จ่ายในการสนับสนุนปกติกับคำถามเพิ่มเติมและเรื่องอื่น ๆ ที่ไม่มีสิทธิได้รับโปรแกรมแก้ไขด่วนเฉพาะนี้ สำหรับรายชื่อทั้งหมด ของหมายเลขโทรศัพท์ของฝ่ายบริการลูกค้าของ Microsoft และการสนับสนุน หรือ เพื่อสร้างการร้องขอบริการแยกต่างหาก แวะไปที่เว็บไซต์ของ Microsoft ต่อไปนี้:
http://support.microsoft.com/contactus/?ws=supportหมายเหตุ แบบฟอร์ม "โปรแกรมแก้ไขด่วนดาวน์โหลดพร้อมใช้งาน" แสดงภาษาโปรแกรมแก้ไขด่วนจะพร้อมใช้งาน ถ้าคุณไม่เห็นภาษาของคุณ อาจเป็น เพราะไม่มีโปรแกรมแก้ไขด่วนพร้อมใช้งานสำหรับภาษานั้น
ข้อกำหนดเบื้องต้น
เมื่อต้องการใช้โปรแกรมแก้ไขด่วนนี้ คุณต้องมีเดือน 2014 เมษายนปรับปรุงสะสมสำหรับ Windows RT 8.1, Windows 8.1 และ Windows Server 2012 R2 การ (2919355)ติดตั้งไว้ใน Windows 8.1 หรือ R2 Windows Server 2012
ข้อมูลรีจิสทรี
เมื่อต้องการใช้โปรแกรมแก้ไขด่วนในแพ็คเกจนี้ คุณไม่มีการเปลี่ยนแปลงใด ๆ ในรีจิสทรี
ข้อกำหนดการรีสตาร์ท
คุณอาจต้องรีสตาร์ทคอมพิวเตอร์หลังจากใช้โปรแกรมแก้ไขด่วนนี้
ข้อมูลการแทนที่โปรแกรมแก้ไขด่วน
โปรแกรมแก้ไขด่วนนี้ไม่ได้ใช้แทนโปรแกรมแก้ไขด่วนที่มีการนำออกใช้ก่อนหน้านี้
รุ่นสากลของโปรแกรมแก้ไขด่วนนี้ติดตั้งแฟ้มที่มีแอตทริบิวต์ที่แสดงในตารางต่อไปนี้ วันที่และเวลาสำหรับแฟ้มเหล่านี้จะแสดงรายการไว้ในรูปแบบเวลามาตรฐานสากล (UTC) วันที่และเวลาสำหรับแฟ้มเหล่านี้บนเครื่องคอมพิวเตอร์เฉพาะที่ของคุณจะแสดงผลตามเวลาท้องถิ่นของคุณร่วมกับความโน้มเอียงของเวลาตามฤดูกาล (DST) ในปัจจุบันของคุณ นอกจากนี้ วันที่และเวลาอาจจะเปลี่ยนแปลงไปได้อีกด้วยเมื่อคุณดำเนินการบางอย่างกับแฟ้มนี้
แฟ้มข้อมูลและบันทึกย่อ Windows 8.1 และ Windows Server 2012 R2
สิ่งสำคัญ โปรแกรมแก้ไขด่วน 8.1 ของ Windows และโปรแกรมแก้ไขด่วนของ Windows Server 2012 R2 การรวมอยู่ในแพคเกจเดียวกัน อย่างไรก็ตาม โปรแกรมแก้ไขด่วนบนเพจคำขอโปรแกรมแก้ไขด่วนปรากฏอยู่ภายใต้ระบบปฏิบัติการทั้งสอง เมื่อต้องการร้องขอแพคเกจโปรแกรมแก้ไขด่วนที่ใช้กับระบบปฏิบัติการหนึ่ง หรือทั้งสอง เลือกโปรแกรมแก้ไขด่วนที่อยู่ภายใต้ "Windows 8.1/Windows Server 2012 R2"ในหน้า อ้างอิงส่วน "นำไปใช้กับ" ในบทความเสมอเพื่อกำหนดระบบปฏิบัติการจริงที่จะนำโปรแกรมแก้ไขด่วนแต่ละโปรแกรมไปใช้ด้วย
-
แฟ้มที่นำไปใช้กับผลิตภัณฑ์เจาะจง หลักเป้าหมาย (RTM, SPn), และสาขาเซอร์วิส (LDR, GDR) สามารถระบุได้ ด้วยการตรวจสอบหมายเลขรุ่นของแฟ้มดังที่ปรากฏในตารางต่อไปนี้:
รุ่น
ผลิตภัณฑ์
หลักเป้าหมาย
สาขาเซอร์วิส
6.3.960 0.17xxx
Windows 8.1 และ Windows Server 2012 R2
RTM
GDR
-
แฟ้ม MANIFEST (.manifest) และแฟ้ม MUM (.mum) ซึ่งติดตั้งสำหรับแต่ละสภาพแวดล้อมจะแสดงรายการแยกต่างหากในส่วน "ข้อมูลแฟ้มเพิ่มเติม" แฟ้ม MUM, MANIFESTและ แฟ้มแค็ตตาล็อก (.cat) การรักษาความปลอดภัยที่เกี่ยวข้อง มีความสำคัญมากในการรักษาสถานะของคอมโพเนนต์ปรับปรุงแล้ว แฟ้มแค็ตตาล็อกการรักษาความปลอดภัยซึ่งแอตทริบิวต์ไม่ได้แสดงรายการไว้จะได้รับการลงชื่อด้วยลายเซ็นดิจิทัลของ Microsoft
สำหรับ Windows 8.1 รุ่นที่ใช้ x86 ทั้งหมดที่สนับสนุน
|
ชื่อแฟ้ม |
รุ่นของแฟ้ม |
ขนาดของแฟ้ม |
วันที่ |
เวลา |
แพลตฟอร์ม |
|---|---|---|---|---|---|
|
Ntdsa.mof |
ไม่มีข้อมูล |
227,765 |
18-Jun-2013 |
12:21 |
ไม่มีข้อมูล |
|
Ntdsai.dll |
6.3.9600.17901 |
2,576,896 |
09-Jun-2015 |
20:43 |
x86 |
สำหรับทั้งหมดได้รับการสนับสนุนใช้ x64 รุ่น ของ Windows 8.1 และ R2 Windows Server 2012
|
ชื่อแฟ้ม |
รุ่นของแฟ้ม |
ขนาดของแฟ้ม |
วันที่ |
เวลา |
แพลตฟอร์ม |
|---|---|---|---|---|---|
|
Ntdsa.mof |
ไม่มีข้อมูล |
227,765 |
18-Jun-2013 |
14:45 |
ไม่มีข้อมูล |
|
Ntdsai.dll |
6.3.9600.17901 |
3,684,864 |
09-Jun-2015 |
20:49 |
x64 |
ข้อมูลแฟ้มเพิ่มเติม
ข้อมูลแฟ้มเพิ่มเติมสำหรับ Windows 8.1 และ Windows Server 2012 R2
แฟ้มเพิ่มเติมสำหรับ Windows 8.1 รุ่นที่ใช้ x86 ทั้งหมดที่สนับสนุน
|
คุณสมบัติแฟ้ม |
ค่า |
|---|---|
|
ชื่อแฟ้ม |
X86_4c2f5adc88a0d6ac17ccdccf2255c6b7_31bf3856ad364e35_6.3.9600.17901_none_ba36e2d18bbebef8.manifest |
|
รุ่นของแฟ้ม |
ไม่มีข้อมูล |
|
ขนาดของแฟ้ม |
712 |
|
วัน (UTC) |
10-Jun-2015 |
|
เวลา (UTC) |
12:46 |
|
แพลตฟอร์ม |
ไม่มีข้อมูล |
|
ชื่อแฟ้ม |
X86_microsoft-windows-d..toryservices-ntdsai_31bf3856ad364e35_6.3.9600.17901_none_85b97991d47e36db.manifest |
|
รุ่นของแฟ้ม |
ไม่มีข้อมูล |
|
ขนาดของแฟ้ม |
3,352 |
|
วัน (UTC) |
09-Jun-2015 |
|
เวลา (UTC) |
23:14 |
|
แพลตฟอร์ม |
ไม่มีข้อมูล |
แฟ้มเพิ่มเติมสำหรับ Windows 8.1 และ Windows Server 2012 R2 รุ่นที่ใช้ x64 ทั้งหมดที่สนับสนุน
|
คุณสมบัติแฟ้ม |
ค่า |
|---|---|
|
ชื่อแฟ้ม |
Amd64_94aab516433aef4e5f0c8db414ae7999_31bf3856ad364e35_6.3.9600.17901_none_34c8efb13ae81094.manifest |
|
รุ่นของแฟ้ม |
ไม่มีข้อมูล |
|
ขนาดของแฟ้ม |
716 |
|
วัน (UTC) |
10-Jun-2015 |
|
เวลา (UTC) |
12:46 |
|
แพลตฟอร์ม |
ไม่มีข้อมูล |
|
ชื่อแฟ้ม |
Amd64_microsoft-windows-d..toryservices-ntdsai_31bf3856ad364e35_6.3.9600.17901_none_e1d815158cdba811.manifest |
|
รุ่นของแฟ้ม |
ไม่มีข้อมูล |
|
ขนาดของแฟ้ม |
3,356 |
|
วัน (UTC) |
09-Jun-2015 |
|
เวลา (UTC) |
23:49 |
|
แพลตฟอร์ม |
ไม่มีข้อมูล |
สถานะ
Microsoft ยืนยันว่านี่เป็นปัญหาในผลิตภัณฑ์ของ Microsoft ซึ่งแสดงไว้ในส่วน "นำไปใช้กับ"
ข้อมูลเพิ่มเติม
ดูข้อมูลรายละเอียดเกี่ยวกับSPN และ UPN ไม่ซ้ำกันของลักษณะการทำงานใน Windows Server 2012 R2 ของ
คุณอาจจะเห็นEvent ID 11 — กำหนดค่าชื่อหลักของบริการสำหรับข้อมูลเพิ่มเติมได้
ขอให้บล็อกแพลตฟอร์ Premiere ฟิลด์วิศวกรรม (PFE):บุคคลที่สามเครื่องมือการโยกย้ายไดเรกทอรีที่ใช้งานอยู่และ 3070083 กิโลไบต์
ข้อมูลอ้างอิง
ดูคำศัพท์เฉพาะทางที่ Microsoft ใช้เพื่ออธิบายการปรับปรุงซอฟต์แวร์
