Bài viết này mô tả một số vấn đề xảy ra trên bộ điều khiển miền chạy trên Windows Server 2012 R2. Hotfix có sẵn để khắc phục các sự cố. Hotfix này có một điều kiện tiên quyết.
Triệu chứng
Giả sử rằng bạn có bộ điều khiển vùng đang chạy Windows Server 2012 R2, bạn có thể gặp phải một trong những vấn đề sau.
Vấn đề 1: Tên miền tham gia
Bạn có một máy tính mới, và bạn muốn kết nối với miền của nhóm. Tên máy chủ cùng một máy tính đã được sử dụng trong một miền. Trong trường hợp này, hoạt động liên kết vùng báo cáo thành công. Sau khi bạn bấm OK, bạn sẽ thấy hộp thoại. Chuỗi bị xóa là cũ và hậu tố chính mới của máy tính:
Thông báo lỗi tương tự như sau:
Trong khi xử lý thay đổi tên máy chủ DNS cho đối tượng, giá trị dịch vụ tên có thể không được giữ đồng bộ.
Sau khi khởi động lại, máy sẽ báo cáo chính là thành viên miền, nhưng tương tác đăng nhập bằng tài khoản miền sẽ thất bại và bạn sẽ nhận được thông báo lỗi sau:
Cơ sở dữ liệu bảo mật trên máy chủ không có tài khoản máy tính cho mối quan hệ tin cậy trạm làm việc này.
Bạn cũng sẽ nhận được thông báo lỗi sau trong tệp Netsetup.log:
0: 000021C 7: DSID-03200BA6, vấn đề 1005 (CONSTRAINT_ATT_TYPE), dữ liệu 0 Att 90303 (servicePrincipalName)
NetpModifyComputerObjectInDs: ldap_modify_s thất bại: 0x13 0x57
Vấn đề 2: Nội nhóm di chuyển
Nếu bạn thực hiện một di chuyển người dùng bên trong khu rừng có tên chính Dịch vụ (SPN) hoặc tên người dùng chính (UPN) xác định nội nhóm tính di chuyển, di chuyển không thành công vì tài khoản vẫn tồn tại trong danh mục chung như các đối tượng được miền đích có các thuộc tính xác định. Nếu các đối tượng được lưu trong miền mới, SPN trùng lặp sẽ được tạo ra.
Lưu ý Công cụ di chuyển các ổ đĩa có thể Active Directory di chuyển công cụ (ADMT), công cụ di chuyển bên ngoài hoặc di chuyển-ADObject lệnh bằng cách sử dụng Active Directory PowerShell.
Vấn đề 3: SPN xung đột với SPN khôi phục đối tượng
Bạn có một tài khoản với SPN sử dụng tài khoản bị xoá ngay bây giờ. Bạn thêm một SPN cho đối tượng có tài khoản người dùng hoặc máy tính khác trong nhóm. Khi bây giờ bạn thử khôi phục tài khoản đã xóa, hành động không thành công vì SPN trùng lặp.
Lưu ý Tất cả ba vấn đề, sự kiện ID 2974 giống như sau được ghi vào Nhật ký dịch vụ của bộ điều khiển miền: lỗi số 8647 người dịch đến biểu tượng là ERROR_DS_SPN_VALUE_NOT_UNIQUE_IN_FOREST. Đối với deplicate UPN, lỗi là số 8648 và ERROR_DS_UPN_VALUE_NOT_UNIQUE_IN_FOREST.
Nguyên nhân
Windows Server 2012 R2 giới thiệu kiểm tra giới hạn UPN và SPN duy nhất. Thành công ngăn trùng lặp SPN và UPN khi chúng được điều khiển thông qua công cụ quản trị mà không cần các công cụ để thực hiện kiểm tra duy nhất chính nó.
Sự cố được mô tả trong bài viết này, ngăn tác vụ quản trị mà ảnh không rõ ràng.
Giải pháp
Trong một số trường hợp, bạn có thể xoá các đối tượng chặn hành động của bạn để có các hành động thành công. Đối với nhóm nội di chuyển và khôi phục, bạn cũng có thể xoá SPN và/hoặc UPN sẽ bị trùng lặp, và có thể thêm về tài khoản.
Thay đổi chuẩn bị có thể không thể trong mọi trường hợp. Do đó, Microsoft đã phát triển một bản Cập Nhật cho phép kiểm soát hành vi điều khiển miền. Bản cập nhật này áp dụng cho bộ điều khiển miền chạy trên Windows Server 2012 R2. Bạn cũng có thể cài đặt bản cập nhật này trên máy chủ thành viên là thử nghiệm quảng cáo lên bộ kiểm soát miền trong tương lai.
Với bản cập nhật này, Microsoft cung cấp một nhóm cấp chuyển đổi tắt hoặc bật duy nhất kiểm tra các thuộc tính dSHeuristics.
Sau đây là các giá trị được hỗ trợ dSHeuristics:
-
dSHeuristic = 1: AD DS cho phép thêm bản sao chính tên (UPNs)
-
dSHeuristic = 2: AD DS cho phép thêm tên chính lặp lại dịch vụ (SPN)
-
dSHeuristic = 3: AD DS cho phép thêm SPN trùng lặp và UPNs
-
dSHeuristic = bất kỳ giá trị khác: AD DS thi hành duy nhất kiểm tra SPN và UPNs
Ví dụ:
-
Để vô hiệu hoá UPN duy nhất kiểm tra, đặt nhân vật 21 dSHeuristics "1" (000000000100000000021)
-
Để vô hiệu hoá SPN duy nhất kiểm tra, đặt nhân vật 21 dSHeuristics "2" (000000000100000000022)
-
Để vô hiệu hoá UPN và SPN duy nhất kiểm tra, đặt nhân vật 21 dSHeuristics "3" (000000000100000000023)
Thông tin chi tiết về cách sửa đổi dSHeuristic, xem 6.1.1.2.4.1.2 dSHeuristics.
Chúng tôi khuyên bạn đặt giá trị về 0 khi bạn biết vấn đề thay đổi không xảy ra nữa. Điều này có thể là trường hợp đặc biệt đối với nhóm nội di chuyển.
Thông tin về cập nhật nóng
Quan trọng Nếu bạn cài đặt gói ngôn ngữ sau khi bạn cài đặt hotfix này, bạn phải cài đặt hotfix này. Do đó, chúng tôi khuyến nghị bạn cài đặt bất kỳ ngôn ngữ gói mà bạn cần trước khi bạn cài đặt hotfix này. Để biết thêm thông tin, hãy xem Thêm gói ngôn ngữ vào Windows
Cập nhật nóng được hỗ trợ do Microsoft cung cấp. Tuy nhiên, cập nhật nóng này chỉ được dùng để khắc phục sự cố được mô tả trong bài viết này. Chỉ áp dụng cập nhật nóng này cho hệ thống đang gặp sự cố cụ thể này.
Nếu cập nhật nóng này sẵn có để tải xuống, có phần "Tải xuống Hotfix sẵn có" ở đầu bài viết Cơ sở Kiến thức này. Nếu phần này không xuất hiện, hãy gửi một yêu cầu tới bộ phận Hỗ trợ và Dịch vụ Khách hàng của Microsoft để nhận hotfix.
Lưu ý Nếu sự cố khác xảy ra hoặc nếu cần khắc phục sự cố, bạn có thể phải tạo một yêu cầu dịch vụ riêng. Chi phí hỗ trợ thông thường sẽ tính cho các câu hỏi hỗ trợ bổ sung và các sự cố không phù hợp với cập nhật nóng cụ thể này. Để có danh sách đầy đủ số điện thoại hỗ trợ và dịch vụ khách hàng của Microsoft hoặc để tạo yêu cầu dịch vụ riêng, hãy ghé thăm website sau của Microsoft:
http://support.microsoft.com/contactus/?ws=supportLưu ý "Tải xuống Hotfix sẵn có" Hiển thị các ngôn ngữ mà hotfix này sẵn có. Nếu bạn không thấy ngôn ngữ của mình thì đó là do cập nhật nóng này hiện không có ngôn ngữ đó.
Điều kiện tiên quyết
Để áp dụng hotfix này, bạn phải có ngày 2014 update rollup cho Windows RT 8.1, Windows 8.1, và Windows Server 2012 R2 (2919355) được cài đặt trong Windows 8.1 hoặc Windows Server 2012 R2.
Thông tin đăng ký
Để sử dụng hotfix trong gói này, bạn không phải thực hiện bất kỳ thay đổi sổ đăng ký.
Yêu cầu khởi động lại
Bạn có thể phải khởi động lại máy tính sau khi áp dụng cập nhật nóng này.
Thông tin thay thế cập nhật nóng
Cập nhật nóng này không thay thế cập nhật nóng được phát hành trước đó.
Phiên bản toàn cầu của cập nhật nóng này cài đặt các tệp có các thuộc tính được liệt kê trong bảng sau. Ngày và giờ của các tệp này được liệt kê theo Giờ Phối hợp Quốc tế (UTC). Ngày và giờ của các tệp này trên máy tính cục bộ của bạn được hiển thị theo giờ địa phương cùng với độ lệch giờ mùa hè (DST) hiện tại của bạn. Ngoài ra, ngày và giờ cũng có thể thay đổi khi bạn thực hiện các thao tác nhất định trên tệp.
Thông tin tệp Windows 8.1 và Windows Server 2012 R2 và ghi chú
Quan trọng Các hotfix Windows 8.1 và Windows Server 2012 R2 được bao gồm trong cùng gói. Tuy nhiên, cập nhật nóng trên trang Yêu cầu Cập nhật nóng được liệt kê trong cả hai hệ điều hành. Để yêu cầu gói hotfix áp dụng cho một hoặc cả hai hệ điều hành, hãy chọn hotfix được liệt kê trong "Windows 8.1/Windows Server 2012 R2" trên trang. Luôn tham khảo phần "Áp dụng Cho" trong bài viết để xác định hệ điều hành thực mà mỗi cập nhật nóng áp dụng cho.
-
Các tệp áp dụng cho một sản phẩm cụ thể, bản gốc (RTM, SPn) và chi nhánh dịch vụ (LDR, GDR) có thể được xác định bằng cách kiểm tra các số phiên bản tệp như trình bày ở bảng sau:
Phiên bản
Sản phẩm
Bản gốc
Chi nhánh dịch vụ
6.3.960 0,17xxx
Windows 8.1 và Windows Server 2012 R2
RTM
GDR
-
Tệp MANIFEST (.manifest) và các tệp MUM (.mum) được cài đặt cho từng môi trường là liệt kê riêng trong phần "thông tin tệp bổ sung". MUM, MANIFEST và các tệp danh mục bảo mật liên quan (.cat) có ý nghĩa rất quan trọng để duy trì trạng thái của các cấu phần được cập nhật. Các tệp danh mục bảo mật, không được liệt kê các thuộc tính, được ký bằng chữ kỹ số của Microsoft.
Đối với tất cả phiên bản dựa trên x86 được hỗ trợ của Windows 8.1
Tên tệp |
Phiên bản tệp |
Kích thước tệp |
Ngày |
Giờ |
Nền tảng |
---|---|---|---|---|---|
Ntdsa.mof |
Không áp dụng |
227,765 |
18-Jun-2013 |
12:21 |
Không áp dụng |
Ntdsai.dll |
6.3.9600.17901 |
2,576,896 |
09-Jun-2015 |
20:43 |
x86 |
Đối với tất cả phiên bản x64 dựa trên Windows 8.1 và Windows Server 2012 R2
Tên tệp |
Phiên bản tệp |
Kích thước tệp |
Ngày |
Giờ |
Nền tảng |
---|---|---|---|---|---|
Ntdsa.mof |
Không áp dụng |
227,765 |
18-Jun-2013 |
14:45 |
Không áp dụng |
Ntdsai.dll |
6.3.9600.17901 |
3,684,864 |
09-Jun-2015 |
20:49 |
x64 |
Thông tin tệp bổ sung
Thông tin tệp bổ sung dành cho Windows 8.1 và Windows Server 2012 R2
Các tệp bổ sung cho tất cả phiên bản dựa trên x86 của Windows 8.1
Thuộc tính tệp |
Giá trị |
---|---|
Tên tệp |
X86_4c2f5adc88a0d6ac17ccdccf2255c6b7_31bf3856ad364e35_6.3.9600.17901_none_ba36e2d18bbebef8.manifest |
Phiên bản tệp |
Không áp dụng |
Kích thước tệp |
712 |
Ngày (UTC) |
10-Jun-2015 |
Thời gian (UTC) |
12:46 |
Nền tảng |
Không áp dụng |
Tên tệp |
X86_microsoft-windows-d..toryservices-ntdsai_31bf3856ad364e35_6.3.9600.17901_none_85b97991d47e36db.manifest |
Phiên bản tệp |
Không áp dụng |
Kích thước tệp |
3,352 |
Ngày (UTC) |
09-Jun-2015 |
Thời gian (UTC) |
23:14 |
Nền tảng |
Không áp dụng |
Tệp bổ sung cho tất cả phiên bản dựa trên x64 được hỗ trợ của Windows 8.1 và Windows Server 2012 R2
Thuộc tính tệp |
Giá trị |
---|---|
Tên tệp |
Amd64_94aab516433aef4e5f0c8db414ae7999_31bf3856ad364e35_6.3.9600.17901_none_34c8efb13ae81094.manifest |
Phiên bản tệp |
Không áp dụng |
Kích thước tệp |
716 |
Ngày (UTC) |
10-Jun-2015 |
Thời gian (UTC) |
12:46 |
Nền tảng |
Không áp dụng |
Tên tệp |
Amd64_microsoft-windows-d..toryservices-ntdsai_31bf3856ad364e35_6.3.9600.17901_none_e1d815158cdba811.manifest |
Phiên bản tệp |
Không áp dụng |
Kích thước tệp |
3.356 người |
Ngày (UTC) |
09-Jun-2015 |
Thời gian (UTC) |
23:49 |
Nền tảng |
Không áp dụng |
Trạng thái
Microsoft đã xác nhận rằng đây là sự cố trong sản phẩm của Microsoft được liệt kê trong phần "Áp dụng cho".
Thông tin
Xem thông tin chi tiết về tính năng SPN và UPN duy nhất trong Windows Server 2012 R2.
Bạn cũng có thể thấy ID sự kiện 11-cấu hình dịch vụ chính tên để biết thêm thông tin.
Yêu cầu kỹ sư trường Premiere (PFE) nền tảng blog: công cụ di chuyển thư mục hoạt động bên thứ ba và KB 3070083.
Tham khảo
Xem thuật ngữ Microsoft sử dụng để miêu tả các bản cập nhật phần mềm.