Bạn hiện đang ngoại tuyến, hãy chờ internet để kết nối lại

Kiểm tra SPN trùng lặp trên bộ điều khiển miền chạy trên Windows Server 2012 R2 khiến khôi phục, tham gia miền và di chuyển thất bại

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch thuật của Microsoft và có thể được Cộng đồng Microsoft chỉnh sửa lại thông qua công nghệ CTF thay vì một biên dịch viên chuyên nghiệp. Microsoft cung cấp các bài viết được cả biên dịch viên và phần mềm dịch thuật thực hiện và cộng đồng chỉnh sửa lại để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng nhiều ngôn ngữ Tuy nhiên, bài viết do máy dịch hoặc thậm chí cộng đồng chỉnh sửa sau không phải lúc nào cũng hoàn hảo. Các bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này: 3070083
Bài viết này mô tả một số vấn đề xảy ra trên bộ điều khiển miền chạy trên Windows Server 2012 R2. Một hotfix có sẵn để khắc phục các sự cố. Hotfix này có mộtđiều kiện tiên quyết.
Triệu chứng
Giả sử rằng bạn có bộ bộ kiểm soát miền đang chạy Windows Server 2012 R2, bạn có thể gặp một sự cố sau.

Vấn đề 1: Tên miền tham gia

Bạn có một máy tính mới, và bạn muốn tham gia toa miền của nhóm. tên máy (ứng dụng) phục vụ cùng một máy tính đã được sử dụng trong một miền. Trong trường hợp này, hoạt động tham gia miền báo cáo thành công. Sau khi youclickOK, bạn sẽ thấy hộp thoại. Chuỗi bị xóa là cũ và hậu tố chính mới của máy tính:

Đây là ảnh chụp màn hình máy tính tên/miền thay đổi

Errormessage giống như sau:

Trong khi xử lý thay đổi tên máy (ứng dụng) phục vụ DNS cho một đối tượng, giá trị bản ghi dịch vụ tên có thể không được giữ đồng bộ.

Sau khi khởi động lại, máy tính sẽ báo cáo chính là một thành viên miền, nhưng tương tác kí nhập bằng tài khoản miền sẽ thất bại và bạn sẽ nhận được thông báo lỗi sau:

bộ máy cơ sở dữ liệu bảo mật trên máy chủ không có tài khoản máy tính cho mối quan hệ tin cậy trạm làm việc này.

Bạn sẽ alsoreceive thư followingerror Netsetup.log tệp:

0: 000021C 7: DSID-03200BA6, vấn đề 1005 (CONSTRAINT_ATT_TYPE), dữ liệu 0, Att 90303 (servicePrincipalName)
NetpModifyComputerObjectInDs: ldap_modify_s thất bại: 0x13 0x57

Vấn đề 2:Intra-rừng di trú

Nếu bạn thực hiện một di Đổi Người dùng bên trong khu rừng có tên chính bản ghi dịch vụ (SPN) hoặc tên người dùng chính (UPN) xác định nội nhóm tính di chuyển, di chuyển không thành công vì tài khoản vẫn tồn tại trong danh mục chung như các đối tượng được miền đích có các thuộc tính được xác định. Nếu các đối tượng được lưu trong miền mới, SPN trùng lặp sẽ được tạo ra.

Lưu ý: Công cụ di chuyển các ổ đĩa có thể cụ Thư mục Họat động di trú (ADMT), công cụ di chuyển bên ngoài hoặc di chuyển-ADObjectlệnh ghép ngắn của usingActive DirectoryPowerShell.

Vấn đề 3: SPN xung đột với SPN khôi phục đối tượng

Bạn có một tài khoản với SPN sử dụng tài khoản bị xoá ngay bây giờ. Youadd SPN cho đối tượng được sử dụng để có tài khoản người dùng hoặc máy tính khác trong nhóm. Khi bạn bây giờ cố gắng khôi phục tài khoản đã xóa, tác vụ không thành công do SPN trùng lặp.

Lưu ý: Tất cả các vấn đề ba, sự kiện ID 2974 tương tự như sau được ghi nhật ký bản ghi dịch vụ của bộ điều khiển miền:


Nhật ký tên: bản ghi dịch vụ mục tin thư thoại
Nguồn: Microsoft-Windows-ActiveDirectory_DomainService
ID sự kiện: 2974
Danh mục tác vụ: Danh mục chung
Mức: lỗi
Từ khoá: cổ điển
Mô tả: Giá trị thuộc tính được cung cấp không duy nhất trong nhóm hoặc phân vùng. Thuộc tính: servicePrincipalName Value=HOST/server1.contoso.com
CN = Server1, OU = máy chủ thành viên, DC = contoso, DC = com Winerror: 8647 người

số hiệu lỗi 8647 người dịch để biểu tượng là ERROR_DS_SPN_VALUE_NOT_UNIQUE_IN_FOREST. Đối với deplicate UPN, lỗi sẽ có số 8648 và ERROR_DS_UPN_VALUE_NOT_UNIQUE_IN_FOREST.
Nguyên nhân
Windows Server 2012 R2 đưa ra giới hạn kiểm tra UPN và SPN duy nhất. Thành công ngăn trùng lặp SPN và UPN khi chúng được điều khiển thông qua công cụ quản trị mà không cần công cụ để thực hiện kiểm tra duy nhất chính nó.

Sự cố được mô tả trong bài viết này, ngăn tác vụ quản trị mà các hiệu ứng không rõ ràng.
Giải pháp
Trong một số trường hợp, bạn có thể xoá các đối tượng ngăn tác vụ của bạn để có các hành động thành công. Đối với nhóm nội di chuyển và khôi phục, bạn cũng có thể xoá SPN và/hoặc UPN sẽ được lặp lại, và có thể thêm về tài khoản.

Thay đổi chuẩn bị có thể không thể trong mọi trường hợp. Vì vậy, Microsoft đã phát triển một bản Cập Nhật cho phép kiểm soát hành vi điều khiển miền. Bản cập nhật này áp dụng cho bộ điều khiển miền chạy trên Windows Server 2012 R2. Bạn cũng có thể cài đặt chuyên biệt bản cập nhật này trên máy chủ thành viên là thử nghiệm quảng cáo lên bộ kiểm soát miền trong tương lai.

Với bản cập nhật này, Microsoft cung cấp một nhóm cấp chuyển đổi tắt hoặc bật kiểm tra duy nhất thông qua các thuộc tính dSHeuristics.

Sau đây là các giá trị được hỗ trợ dSHeuristics:
  1. dSHeuristic = 1: AD DS cho phép thêm trùng lặp chính tên (UPNs)
  2. dSHeuristic = 2: AD DS cho phép thêm tên chính trùng lặp bản ghi dịch vụ (SPN)
  3. dSHeuristic = 3: AD DS cho phép thêm trùng lặp SPN và UPNs
  4. dSHeuristic = bất kỳ giá trị khác: AD DS thi hành duy nhất kiểm tra SPN và UPNs
Ví dụ:
  1. Để vô hiệu hoá UPN duy nhất kiểm tra, đặt 21 nhân vật dSHeuristics "1" (000000000100000000021)
  2. Để vô hiệu hoá SPN duy nhất kiểm tra, đặt 21 nhân vật dSHeuristics "2" (000000000100000000022)
  3. Để vô hiệu hoá UPN và SPN duy nhất kiểm tra, đặt 21 nhân vật dSHeuristics "3" (000000000100000000023)
Thông tin chi tiết về cách sửa đổi dSHeuristic, hãy xem 6.1.1.2.4.1.2 dSHeuristics.

Chúng tôi khuyên bạn đặt giá trị về 0 khi bạn biết vấn đề thay đổi không xảy ra nữa. Điều này có thể là trường hợp đặc biệt đối với nhóm nội di chuyển.

Thông tin về cập nhật nóng

Quan trọng Nếu bạn cài đặt chuyên biệt gói ngôn ngữ sau khi bạn cài đặt chuyên biệt hotfix này, bạn phải cài đặt chuyên biệt hotfix này. Do đó, chúng tôi khuyến nghị bạn cài đặt chuyên biệt bất kỳ ngôn ngữ gói mà bạn cần trước khi bạn cài đặt chuyên biệt hotfix này. Để biết thêm thông tin, hãy xem Thêm gói ngôn ngữ Windows.

Cập nhật nóng được hỗ trợ do Microsoft cung cấp. Tuy nhiên, cập nhật nóng này chỉ được dùng để khắc phục sự cố được mô tả trong bài viết này. Chỉ áp dụng cập nhật nóng này cho hệ thống đang gặp sự cố cụ thể này.

Nếu cập nhật nóng này sẵn có để tải xuống, có phần "Tải xuống Hotfix sẵn có" ở đầu bài viết Cơ sở Kiến thức này. Nếu phần này không xuất hiện, hãy gửi một yêu cầu tới bộ phận Hỗ trợ và bản ghi dịch vụ Khách hàng của Microsoft để nhận hotfix.

Lưu ý: Nếu sự cố khác xảy ra hoặc nếu cần khắc phục sự cố, bạn có thể phải tạo một yêu cầu bản ghi dịch vụ riêng. Chi phí hỗ trợ thông thường sẽ tính cho các câu hỏi hỗ trợ bổ sung và các sự cố không phù hợp với cập nhật nóng cụ thể này. Để có danh sách đầy đủ số điện thoại của Bộ phận Hỗ trợ và bản ghi dịch vụ Khách hàng của Microsoft hoặc để tạo yêu cầu bản ghi dịch vụ riêng, hãy truy cập website sau của Microsoft: Lưu ý: "Tải xuống Hotfix sẵn có" Hiển thị các ngôn ngữ mà hotfix này sẵn có. Nếu bạn không thấy ngôn ngữ của mình thì đó là do cập nhật nóng này hiện không có ngôn ngữ đó.

Điều kiện tiên quyết

Để áp dụng hotfix này, bạn phải Tháng 4 năm 2014 bản Cập Nhật cho Windows RT 8.1, Windows 8.1 và Windows Server 2012 R2 (2919355) cài đặt chuyên biệt Windows 8.1 hoặc Windows Server 2012 R2.

Thông tin kiểm nhập

Để sử dụng hotfix trong gói này, bạn không phải thực hiện bất kỳ thay đổi sổ kiểm nhập.

Yêu cầu khởi động lại

Bạn có thể phải khởi động lại máy tính sau khi áp dụng cập nhật nóng này.

Thông tin thay thế cập nhật nóng

Cập nhật nóng này không thay thế cập nhật nóng được phát hành trước đó.

Thông tin về tệp

Phiên bản toàn cầu của cập nhật nóng này cài đặt chuyên biệt các tệp có các thuộc tính được liệt kê trong bảng sau. Ngày và giờ của các tệp được liệt kê theo giờ chuẩn quốc tế (UTC). Ngày và giờ của các tệp trên máy tính cục bộ của bạn được hiển thị theo giờ địa phương cùng với độ lệch giờ mùa hè (DST) hiện tại của bạn. Ngoài ra, ngày và giờ có thể thay đổi khi bạn thực hiện các thao tác nhất định trên tệp.

Thông tin tệp Windows 8.1 và Windows Server 2012 R2 và ghi chú

Quan trọng Windows Server 2012 R2 và Windows 8.1 hotfix được bao gồm trong cùng gói. Tuy nhiên, cập nhật nóng trên trang Yêu cầu Cập nhật nóng được liệt kê trong cả hai hệ điều hành. Để yêu cầu gói hotfix áp dụng cho một hoặc cả hai hệ điều hành, hãy chọn hotfix được liệt kê trong "Windows 8.1/Windows Server 2012 R2" trên trang. Luôn tham khảo phần "Áp dụng Cho" trong bài viết để xác định hệ điều hành thực mà mỗi cập nhật nóng áp dụng cho.
  • Các tệp áp dụng cho một sản phẩm cụ thể, bản gốc (RTM, SPn), và chi nhánh bản ghi dịch vụ (LDR, GDR) có thể được xác định bằng cách kiểm tra các số phiên bản tệp như trình bày ở bảng sau:
    Phiên bảnSản phẩmBản gốcChi nhánh bản ghi dịch vụ
    6.3.960 0.17XXXWindows 8.1 và Windows Server 2012 R2RTMGDR
  • Tệp MANIFEST (.manifest) và các tệp MUM (.mum) được cài đặt chuyên biệt cho từng môi trường liệt kê riêng trong phần "thông tin tệp bổ sung". MUM, MANIFEST và các tệp danh mục bảo mật liên quan (.cat) có ý nghĩa rất quan trọng để duy trì trạm đậu của các cấu phần được cập nhật. Các tệp danh mục bảo mật, không được liệt kê các thuộc tính, được ký bằng chữ kỹ số của Microsoft.
Đối với tất cả phiên bản dựa trên x86 được hỗ trợ của Windows 8.1
Tên tệpPhiên bản tệpKích thước tệpNgàyGiờNền tảng
Ntdsa.MOFkhông áp dụng227,76518 tháng 6 năm 201312:21không áp dụng
Ntdsai.dll6.3.9600.179012,576,89609 tháng 6 năm 201520:43x 86
Đối với tất cả phiên bản dựa vào x 64 của Windows 8.1 và Windows Server 2012 R2
Tên tệpPhiên bản tệpKích thước tệpNgàyGiờNền tảng
Ntdsa.MOFkhông áp dụng227,76518 tháng 6 năm 201314:45không áp dụng
Ntdsai.dll6.3.9600.179013,684,86409 tháng 6 năm 201520:49x64

Thông tin tệp bổ sung

Thông tin tệp bổ sung dành cho Windows 8.1 và Windows Server 2012 R2
Các tệp bổ sung cho tất cả phiên bản Windows 8.1 trên x86
Thuộc tính tệpGiá trị
Tên tệpX86_4c2f5adc88a0d6ac17ccdccf2255c6b7_31bf3856ad364e35_6.3.9600.17901_none_ba36e2d18bbebef8.manifest
Phiên bản tệpkhông áp dụng
Kích thước tệp712
Ngày (UTC)10 tháng 6 năm 2015
Thời gian (UTC)12:46
Nền tảngkhông áp dụng
Tên tệpX86_microsoft-windows-d... toryservices-ntdsai_31bf3856ad364e35_6.3.9600.17901_none_85b97991d47e36db.manifest
Phiên bản tệpkhông áp dụng
Kích thước tệp3,352
Ngày (UTC)09 tháng 6 năm 2015
Thời gian (UTC)23:14
Nền tảngkhông áp dụng
Các tệp bổ sung cho tất cả phiên bản dựa vào x 64 của Windows 8.1 và Windows Server 2012 R2
Thuộc tính tệpGiá trị
Tên tệpAmd64_94aab516433aef4e5f0c8db414ae7999_31bf3856ad364e35_6.3.9600.17901_none_34c8efb13ae81094.manifest
Phiên bản tệpkhông áp dụng
Kích thước tệp716
Ngày (UTC)10 tháng 6 năm 2015
Thời gian (UTC)12:46
Nền tảngkhông áp dụng
Tên tệpAmd64_microsoft-windows-d... toryservices-ntdsai_31bf3856ad364e35_6.3.9600.17901_none_e1d815158cdba811.manifest
Phiên bản tệpkhông áp dụng
Kích thước tệp3.356 người
Ngày (UTC)09 tháng 6 năm 2015
Thời gian (UTC)23:49
Nền tảngkhông áp dụng
Tình trạng
Microsoft đã xác nhận rằng đây là sự cố trong sản phẩm của Microsoft được liệt kê trong phần "Áp dụng cho".
Thông tin thêm
Xem thông tin chi tiết Tính năng duy nhất SPN và UPN trong Windows Server 2012 R2.

Bạn cũng có thể thấy ID sự kiện 11-Dịch vụ tên cấu hình để biết thêm chi tiết.

Yêu cầu kỹ sư trường Premiere (PFE) nền tảng blog: Công cụ di chuyển Thư mục Họat động bên thứ ba và KB 3070083.
Tham khảo
Xem các thuật ngữ mà Microsoft sử dụng để mô tả bản cập nhật phần mềm.

Cảnh báo: Bài viết này được dịch tự động

Thuộc tính

ID Bài viết: 3070083 - Xem lại Lần cuối: 09/08/2015 07:43:00 - Bản sửa đổi: 3.0

Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows 8.1 Enterprise, Windows 8.1 Pro, Windows 8.1

  • kbqfe kbsurveynew kbfix kbhotfixserver kbautohotfix kbexpertiseinter kbmt KB3070083 KbMtvi
Phản hồi