在基于 Windows Server 2012 R2 的域控制器上重复的 SPN 检查会导致还原、 加入域和迁移失败

本文介绍了在基于 Windows Server 2012 R2 的域控制器上发生的一些问题。修补程序可以用来解决这些问题。此热修复程序的系统必备组件

症状

假设您有一个域控制器运行 Windows Server 2012 R2,您可能会遇到以下问题之一。

问题 1︰ 加入域

您有一台新计算机,并且您希望将它加入到目录林中的域。已在另一个域中使用相同的计算机主机名。在此情况下,加入域操作报告成功。单击确定后,您将看到下面的对话框。已拭除的字符串是旧和新主后缀的计算机︰

This is the screenshot of Computer Name/Domain Changes

错误消息如下所示︰


在处理对象的 DNS 主机名称的更改时,服务主要名称数值无法保持同步。


重启动后,计算机将作为域成员,报告本身但交互式使用域帐户的登录将会失败,并且您将收到以下错误消息︰


服务器上的安全数据库没有此工作站信任关系的计算机帐户。


在 Netsetup.log 文件中,您还将收到以下错误消息︰


0: 000021C 7: DSID-03200BA6,问题 1005 (CONSTRAINT_ATT_TYPE) 数据 0,Att 90303 (servicePrincipalName)
NetpModifyComputerObjectInDs: ldap_modify_s 失败︰ 0x13 0x57


问题 2︰ 林内迁移

如果执行林内用户迁移具有服务主体名称 (SPN) 或用户主体名称,(UPN) 定义或林内计算机迁移,迁移失败,因为帐户仍存在于全局编录为目标域具有填充这些属性中引入了对象。如果该对象保存在新域中,将创建一个重复的 SPN。

注意:迁移工具可能活动目录迁移工具 (ADMT),外部迁移工具或移动-ADObject cmdlet 使用活动目录 PowerShell。

问题 3: SPN 冲突与 SPN 还原的对象

您必须在使用立即删除帐户的 spn 帐户。用于在树林中有另一个用户或计算机帐户对象中添加 SPN。如果您现在尝试还原已删除的帐户时,操作失败由于重复的 SPN。

注意:在所有三个问题,域控制器的目录服务日志中记录事件 ID 2974,如下所示︰ 错误号 8647 转化为符号名称是 ERROR_DS_SPN_VALUE_NOT_UNIQUE_IN_FOREST。Deplicate UPN,则错误将编号 8648 和 ERROR_DS_UPN_VALUE_NOT_UNIQUE_IN_FOREST。

原因

Windows Server 2012 R2 引入严格检查 UPN 和 SPN 的唯一性。当他们驱动管理工具通过而无需工具执行唯一性检查自身成功地防止了重复的 SPN,UPN。

在本文中所描述的问题,它可以防止效果不明显的管理任务。

解决方案

在某些情况下,您可以删除,这样的操作是成功阻止您的操作的对象。林内迁移和恢复,您可以删除 Spn 和/或需要被重复,并可能将它们添加回分期付款的 UPN。

这种准备更改可能无法在所有情况下。因此,Microsoft 已开发出更新,使控制域控制器行为。此更新适用于基于 Windows Server 2012 R2 的域控制器。您还可以在将来升级到域控制器的候选成员服务器上安装此更新。

此更新之后,Microsoft 提供了目录林级开关关闭或开启唯一性检查通过林属性。

以下是支持的林值︰

  1. dSHeuristic = 1: AD DS 可以添加重复的用户主体名称 (Upn)

  2. dSHeuristic = 2: AD DS 可以添加重复的服务主体名称 (Spn)

  3. dSHeuristic = 3: AD DS 可以添加重复的 Spn,upn,则

  4. dSHeuristic = 任何其他值︰ AD DS 强制唯一性检查 Spn 和 upn,则

示例︰

  1. 用于禁用 UPN 唯一性检查,设置为"1"的林 21 字符 (000000000100000000021)

  2. 用于禁用 SPN 唯一性检查,设置为"2"林 21 字符 (000000000100000000022)

  3. 用于禁用 UPN 和 SPN 唯一性检查,设置为"3"林 21 字符 (000000000100000000023)

有关如何修改 dSHeuristic 的详细信息,请参阅。

我们建议设置值为0 ,如果知道有问题的更改未再发生。这可能是特别是林内迁移的情况。

修补程序信息

重要:如果您安装此修复程序后安装了语言包,则必须重新安装此修复程序。因此,我们建议您安装所有语言包之前,您需要都安装此修补程序。有关详细信息,请参阅。

可以从 Microsoft 获得受支持的修复程序。然而,此修补程序仅用于解决本文中描述的问题。仅对出现这一特定问题的系统应用此修补程序。

如果此修复程序可供下载,则在此知识库文章顶部"提供修补程序下载"部分。如果未显示此部分,将申请提交到 Microsoft 客户服务和支持,以获取此修复程序。

注意:如果出现其他问题或需要任何故障诊断时,您可能需要创建单独的服务请求。对于不符合此特定的修补程序的其他支持问题和事项将照常收取费用。有关 Microsoft 客户服务和支持电话号码或创建单独的服务请求的完整列表,请访问下面的 Microsoft 网站︰

注意:"修补程序下载可用"窗体显示获取此修复程序的语言。如果看不到您的语言,则修补程序没有那种语言的版本。

系统必备组件

要应用此修补程序,您必须已在 Windows 8.1 或 Windows Server 2012 R2 中安装 。

注册表信息

若要使用此程序包中的修复程序,您不必对注册表进行任何更改。

重启要求

您可能需要在应用此修补程序后,重新启动计算机。

修补程序替换信息

此修补程序不替代以前发布的修补程序。

此修复程序的全球版本将安装具有下表所列属性的文件。这些文件的日期和时间以协调世界时 (UTC) 列出。您的本地计算机上这些文件的日期和时间以您的本地时间加上当前夏令时 (DST) 偏差显示。此外,当您对文件执行某些操作时,日期和时间可能会更改。

Windows 8.1 和 Windows Server 2012 R2 文件信息和备注

重要:Windows 8.1 的修补程序和 Windows Server 2012 R2 的修复程序在同一个包中 。但是,热修复程序请求页上的修补程序在这两个操作系统中列出。若要申请到一个或两个操作系统的系统应用此修补程序包,选择此修补程序在"Windows 8.1/Windows Server 2012 R2"页上列出。始终参考"适用于"一节文章,以确定每个修补程序适用于实际的操作系统。

  • 通过检查下表中显示的文件版本号,可以识别应用于特定产品、 里程碑 (RTM、 SPn) 和服务分支 (LDR、 GDR) 的文件:

  • 为每个环境安装的 MANIFEST 文件 (.manifest) 和 MUM 文件 (.mum) 都在"其他文件信息"部分中单独列出。MUM、 MANIFEST和相关的安全目录 (.cat) 文件,对要维护更新组件的状态非常重要。对其属性没有列出的安全目录文件已签署 Microsoft 数字签名。

状态

Microsoft 已经确认这是“适用于”一节中列出的 Microsoft 产品中的问题。

详细信息

有关的详细的信息,请参阅。

您还可能看到的详细信息。

让卓越字段工程 (PFE) 平台的博客︰。

参考资料

请参阅 Microsoft 用于描述软件更新。

需要更多帮助?

扩展你的技能
了解培训
抢先获得新功能
加入 Microsoft 内部人员

此信息是否有帮助?

谢谢您的反馈意见!

谢谢你的反馈! 可能需要转接到 Office 支持专员。

×