在基于 Windows Server 2012 R2 的域控制器上重复的 SPN 检查会导致还原、 加入域和迁移失败

重要说明:本文是由 Microsoft 机器翻译软件进行的翻译并可能由 Microsoft 社区通过社区翻译机构(CTF)技术进行后期编辑,或可能是由人工进行的翻译。Microsoft 同时向您提供机器翻译、人工翻译及社区后期编辑的文章,以便对我们知识库中的所有文章以多种语言提供访问。翻译的文章可能存在词汇、句法和/或语法方面的错误。Microsoft 对由于内容的误译或客户对内容的使用所导致的任何不准确、错误或损失不承担责任。

点击这里察看该文章的英文版: 3070083
本文介绍了在基于 Windows Server 2012 R2 的域控制器上发生的一些问题。修补程序可以用来解决这些问题。此修补程序具有系统必备组件.
症状
假设您有一个域控制器运行 Windows Server 2012 R2,您可能会遇到以下问题之一。

问题 1: 加入域

您有一台新计算机,并且想要将它加入 toa 域的目录林。已在另一个域中使用相同的计算机主机名。在此情况下,加入域操作报告成功。后 youclick确定,您将看到下面的对话框。已拭除的字符串是旧和新主后缀的计算机:

这是计算机名/域更改的屏幕快照

Errormessage 如下所示:

在处理对象的 DNS 主机名称的更改时,服务主要名称数值无法保持同步。

重启动后,计算机将作为域成员,报告本身但交互式使用域帐户的登录将会失败,并且您将收到以下错误消息:

服务器上的安全数据库没有此工作站信任关系的计算机帐户。

您将 alsoreceive Netsetup.log 文件中的 followingerror 消息:

0: 000021C 7: DSID-03200BA6,问题 1005 (CONSTRAINT_ATT_TYPE) 数据 0,Att 90303 (servicePrincipalName)
NetpModifyComputerObjectInDs: ldap_modify_s 失败: 0x13 0x57

发出 2:Intra 的目录林迁移

如果执行林内用户迁移具有服务主体名称 (SPN) 或用户主体名称,(UPN) 定义或林内计算机迁移,迁移失败,因为帐户仍存在于全局编录为目标域具有填充这些属性中引入了对象。如果该对象保存在新域中,将创建一个重复的 SPN。

注意:迁移工具可能活动目录迁移工具 (ADMT),外部迁移工具或移动-通过 usingActive DirectoryPowerShellADObjectcmdlet。

问题 3: SPN 冲突与 SPN 还原的对象

您必须在使用立即删除帐户的 spn 帐户。Youadd 为对象,用来在树林中有另一个用户或计算机帐户的 SPN。如果您现在尝试还原已删除的帐户时,操作失败由于重复的 SPN。

注意:在所有的三个问题中, 域控制器的目录服务日志中记录类似于以下内容的事件 ID 2974:


日志名称: 目录服务
来源: Microsoft Windows ActiveDirectory_DomainService
事件 ID: 2974年
任务类别: 全局编录
级别: 错误
关键词: 经典
说明: 提供的属性值不是唯一的目录林或分区中。特性: servicePrincipalName Value=HOST/server1.contoso.com
CN = Server1,OU = 成员服务器,DC = contoso,DC = com Winerror: 8647

错误号 8647 转化为符号名称是 ERROR_DS_SPN_VALUE_NOT_UNIQUE_IN_FOREST。Deplicate UPN,则错误将编号 8648 和 ERROR_DS_UPN_VALUE_NOT_UNIQUE_IN_FOREST。
原因
Windows Server 2012 R2 引入严格检查 UPN 和 SPN 的唯一性。当他们驱动管理工具通过而无需工具执行唯一性检查自身成功地防止了重复的 SPN,UPN。

在本文中所描述的问题,它可以防止效果不明显的管理任务。
解决方案
在某些情况下,您可以删除,这样的操作是成功阻止您的操作的对象。林内迁移和恢复,您可以删除 Spn 和/或需要被重复,并可能将它们添加回分期付款的 UPN。

这种准备更改可能无法在所有情况下。因此,Microsoft 已开发出更新,使控制域控制器行为。此更新适用于基于 Windows Server 2012 R2 的域控制器。您还可以在将来升级到域控制器的候选成员服务器上安装此更新。

此更新之后,Microsoft 提供了目录林级开关关闭或开启唯一性检查通过林属性。

以下是支持的林值:
  1. dSHeuristic = 1: AD DS 可以添加重复的用户主体名称 (Upn)
  2. dSHeuristic = 2: AD DS 可以添加重复的服务主体名称 (Spn)
  3. dSHeuristic = 3: AD DS 可以添加重复的 Spn,upn,则
  4. dSHeuristic = 任何其他值: AD DS 强制唯一性检查 Spn 和 upn,则
示例:
  1. 用于禁用 UPN 唯一性检查,设置为"1"的林 21 字符 (000000000100000000021)
  2. 用于禁用 SPN 唯一性检查,设置为"2"林 21 字符 (000000000100000000022)
  3. 用于禁用 UPN 和 SPN 唯一性检查,设置为"3"林 21 字符 (000000000100000000023)
有关如何修改 dSHeuristic 的详细信息,请参阅 6.1.1.2.4.1.2 林.

我们建议设置值为0 ,如果知道有问题的更改未再发生。这可能是特别是林内迁移的情况。

修补程序信息

重要:如果您安装此修复程序后安装了语言包,则必须重新安装此修复程序。因此,我们建议您安装所有语言包之前,您需要都安装此修补程序。有关详细信息,请参阅 将语言包添加到 Windows.

Microsoft 提供了一个受支持的修补程序。然而,此修补程序仅用于解决本文中描述的问题。仅对出现这一特定问题的系统应用此修补程序。

如果此修复程序可供下载,则在此知识库文章顶部"提供修补程序下载"部分。如果未显示此部分,将申请提交到 Microsoft 客户服务和支持,以获取此修复程序。

注意:如果出现其他问题或需要任何故障诊断时,您可能需要创建单独的服务请求。对于此特定的修补程序不需要照常收取支持费用到其他支持问题和事项。Microsoft 客户服务和支持电话号码,或创建单独的服务请求的完整列表,请访问下面的 Microsoft 网站: 注意:"修补程序下载可用"窗体显示获取此修复程序的语言。如果看不到您的语言,则修补程序没有那种语言的版本。

系统必备组件

若要应用此修补程序,您必须 2014 年 4 月累积更新 Windows RT 8.1、 Windows 8.1 和 Windows Server 2012 R2 (2919355) 安装在 Windows 8.1 或 Windows Server 2012 R2 上。

注册表信息

若要使用此程序包中的修复程序,您不必对注册表进行任何更改。

重新启动要求

您可能需要在应用此修补程序后,重新启动计算机。

修补程序替换信息

此修补程序不替代以前发布的修补程序。

文件信息

此修复程序的全球版本将安装具有下表所列属性的文件。日期和这些文件的时间以协调世界时 (UTC) 列出。日期和您的本地计算机上这些文件的时间在您本地时间再加上当前夏令时 (DST) 偏差显示。此外,日期和时间可能会更改您执行某些操作的文件。

Windows 8.1 和 Windows Server 2012 R2 文件信息和备注

重要:在同一个包中包括 Windows 8.1 的修补程序和 Windows Server 2012 R2 的修复程序。但是,热修复程序请求页上的修补程序下列出这两个操作系统。若要申请到一个或两个操作系统的系统应用此修补程序包,选择此修补程序在"Windows 8.1/Windows Server 2012 R2"页上列出。始终参考"适用于"一节文章,以确定每个修补程序适用于实际的操作系统。
  • 应用于特定产品、 里程碑 (RTM、 SP 文件n),并通过检查下表中显示的文件版本号,可以识别服务分支 (LDR、 GDR):
    版本产品里程碑服务分支
    6.3.960 0.17xxxWindows 8.1 和 Windows Server 2012 R2RTMGDR
  • 清单文件 (.manifest) 和菊花安装的文件 (.mum) 为每个环境都是 分别列出 在"其他文件信息"部分中。MUM、 MANIFEST和相关的安全目录 (.cat) 文件,对要维护更新组件的状态非常重要。对其属性没有列出的安全目录文件已在 Microsoft 的数字签名签名。
对于所有受支持的基于 x86 的 Windows 8.1 版本
文件名称文件版本文件大小日期时间平台
Ntdsa.mof不适用227,7652013 年 6 月 18 日12:21不适用
Ntdsai.dll6.3.9600.179012,576,8962015 年 06 月 09-20:43x86
对于所有受支持的基于 x64 版本的 Windows 8.1 以及 Windows Server 2012 R2
文件名称文件版本文件大小日期时间平台
Ntdsa.mof不适用227,7652013 年 6 月 18 日14:45不适用
Ntdsai.dll6.3.9600.179013,684,8642015 年 06 月 09-20:49x64

附加文件的信息

对于 Windows 8.1 和 Windows Server 2012 R2 的附加文件信息
对于所有其他文件支持基于 x86 的 Windows 8.1 版本
文件属性
文件名称X86_4c2f5adc88a0d6ac17ccdccf2255c6b7_31bf3856ad364e35_6.3.9600.17901_none_ba36e2d18bbebef8.manifest
文件版本不适用
文件大小712
日期(UTC)2015 年 06 月 10-
时间 (UTC)12:46
平台不适用
文件名称X86_microsoft-windows-d.toryservices ntdsai_31bf3856ad364e35_6.3.9600.17901_none_85b97991d47e36db.manifest
文件版本不适用
文件大小3,352
日期(UTC)2015 年 06 月 09-
时间 (UTC)23:14
平台不适用
对于所有其他文件支持基于 x64 的 Windows 8.1 以及 Windows Server 2012 R2 的版本
文件属性
文件名称Amd64_94aab516433aef4e5f0c8db414ae7999_31bf3856ad364e35_6.3.9600.17901_none_34c8efb13ae81094.manifest
文件版本不适用
文件大小716
日期(UTC)2015 年 06 月 10-
时间 (UTC)12:46
平台不适用
文件名称Amd64_microsoft-windows-d.toryservices ntdsai_31bf3856ad364e35_6.3.9600.17901_none_e1d815158cdba811.manifest
文件版本不适用
文件大小3,356
日期(UTC)2015 年 06 月 09-
时间 (UTC)23:49
平台不适用
状态
Microsoft 已经确认这是"适用于"一节中列出的 Microsoft 产品中的问题。
更多信息
详细的信息,请参阅 Windows Server 2012 R2 中的 SPN,UPN 唯一性特征.

您还可能看到 事件 ID 11 — — 服务主体名称配置 有关详细信息。

要求字段卓越工程师 (PFE) 平台的博客: 第三方 活动目录(AD) 迁移工具和 KB 3070083.
参考
请参见 术语 Microsoft 用于描述软件更新。

警告:本文已自动翻译

属性

文章 ID:3070083 - 上次审阅时间:09/08/2015 07:43:00 - 修订版本: 3.0

Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows 8.1 Enterprise, Windows 8.1 Pro, Windows 8.1

  • kbqfe kbsurveynew kbfix kbhotfixserver kbautohotfix kbexpertiseinter kbmt KB3070083 KbMtzh
反馈