本文介绍在基于 Windows Server 2012 R2 的域控制器上使用(gMSAs)功能时出现的一些问题。 你可以使用本文中的更新修复这些问题。 在安装此更新之前,请参阅先决条件部分。
症状
如果域控制器帐户不位于域控制器组织单元(OU)的根中,你可能会遇到以下问题之一,并收到相应的错误消息:
-
Microsoft 密钥分发服务(KDS)启动失败:
出现系统错误1064。 处理控制请求时,在服务中发生异常。
-
KDS 根密钥生成失败:
该进程无法访问该文件,因为另一个进程正在使用该文件。 (来自 HRESULT 的异常:0x80070020)
原因
出现此问题的原因是 KDS 假设域控制器位于域控制器 OU 中,而不是域控制器的子 OU 中。
解决方案
更新将更改 KDS 服务域控制器搜索行为,以在 "域控制器" OU 下的子树中查找。
如何获取此更新
重要说明 如果在安装此更新后安装语言包,则必须重新安装此更新。 因此,我们建议先安装所需的全部语言包,然后再安装此更新。 有关更多信息,请参阅。
方法 1: Windows 更新
此更新作为 Windows 更新的推荐更新提供。 有关如何运行 Windows 更新的详细信息,请参阅。
方法 2: Microsoft 下载中心
可从 Microsoft 下载中心下载更新:
立即下载 Windows Server 2012 R2 程序包。 
如何从联机服务获取 Microsoft 支持文件 Microsoft 已对该文件进行病毒扫描。 Microsoft 使用的是文件发布时可以获得的最新病毒检测软件。 该文件存储在安全性得到增强的服务器上,以防止对文件进行未经授权的更改。
更新详细信息
先决条件
若要应用此更新,必须在 Windows Server 2919355 R2 中安装。
注册表信息
若要应用此更新,不必对注册表进行任何更改。
重启要求
应用此更新后可能需要重启计算机。
更新替换信息
此更新不会替换先前发布的任何更新。
更多信息
如果将 Dc 移出域控制器 OU,组策略的默认设置将不再应用于域控制器,因为大多数重要设置都是通过 "域控制器" OU 应用的。请参阅以下 对此问题发出警告的TechNet 文章:
重要提示:不要将任何域控制器帐户移出默认域控制器 OU,即使某些管理员登录到这些帐户才能运行管理任务。移动这些帐户将中断对所有域的域控制器策略的一致性应用,并且不受支持。
许多搜索域控制器计算机帐户的功能都可搜索 "域控制器" OU 的子树。 因此,将计算机帐户放在子树中可能会提供许多软件解决方案。
但是,可能有一些服务和应用程序(包括分析工具)仅搜索 Dc 的域控制器 OU (通过检查 GUID_DOMAIN_CONTROLLERS_CONTAINER_W 值和设置 "单级" 的搜索基础)。 在这种情况下,不会找到子 Ou 中的 Dc。
无论该解决方案的所有者如何将此问题视为一个有效的问题,都可以创建一个更新以允许帐户位于 "域控制器" 的子 Ou 中。
状态
Microsoft 已确认这是在“适用范围”部分中列出的 Microsoft 产品存在的问题。
参考
请参阅 reference 获取众所周知的广告对象:
文件信息
此软件更新的英语(美国)版本将安装具有下表中列出的属性的文件。这些文件的日期和时间按协调通用时间(UTC)列出。请注意,你的本地计算机上的这些文件的日期和时间将以你的本地时间和当前的夏时制偏差显示。在对文件执行某些操作时,日期和时间也可能会更改。
注意
-
通过检查在下表中显示的文件版本号,可以识别应用于特定产品、里程碑(RTM、SPn)和服务分支(LDR、GDR)的文件:
-
为每个环境安装的清单文件(manifest)和妈妈文件(妈妈)在 "其他文件信息" 部分单独列出。 MUM 文件、MANIFEST 文件以及关联的安全目录 (.cat) 文件对于维护更新组件的状态非常重要。 未列出其属性的安全目录文件使用 Microsoft 数字签名进行签名。
x64 Windows Server 2012 R2
