本文將說明在 Windows Server 2012 R2 為基礎的網域控制站上就會發生一些問題。Hotfix 是可以解決這些問題。此 hotfix 的必要條件。
狀況
假設您有正在執行 Windows Server 2012 R2 的網域控制站,您可能會遇到下列問題之一。
問題 1︰ 網域加入
您有新的電腦,而您想要加入的樹系網域。另一個網域中已經使用相同的電腦主機名稱。在此情況下,網域加入操作會報告成功。按一下[確定]之後,您會看到下列對話方塊。刪除的字串是舊和新電腦的主要尾碼︰
類似下列的錯誤訊息︰
在處理物件的 DNS 主機名稱變更時,服務主體名稱值無法保持同步。
重新啟動之後,電腦會報告為網域成員,但使用網域帳戶的互動式登入將會失敗,並且您會收到下列錯誤訊息︰
在伺服器上的安全性資料庫沒有此工作站信任關係的電腦帳戶。
您也會在 Netsetup.log 檔案中收到下列錯誤訊息︰
0: 000021C 7: DSID-03200BA6,問題 1005 (CONSTRAINT_ATT_TYPE),0,資料體 90303 (servicePrincipalName)
NetpModifyComputerObjectInDs: ldap_modify_s 失敗︰ 0x13 0x57
問題 2︰ 樹系內移轉
如果您執行的服務主要名稱 (SPN) 或使用者主要名稱 (UPN) 定義的樹系內使用者遷移或樹系內的電腦遷移,移轉失敗,因為帳戶仍存在於通用類別目錄中如有填入這些屬性的目標網域中引入物件。如果物件儲存在新網域,就會建立重複的 SPN。
注意磁碟機的遷移工具可能使用中目錄遷移工具 (ADMT),外部的移轉工具或移動-藉由使用中的目錄 PowerShellADObject指令程式。
SPN 與還原的物件上的問題 3: SPN 衝突
您必須擁有的帳戶的 Spn 使用中現在會被刪除的帳戶。您可以新增 SPN 以前曾有另一個使用者或電腦帳戶樹系中的物件。您現在嘗試還原已刪除的帳戶,當動作失敗,因為發生重複的 SPN。
注意所有的三個問題,在網域控制站的目錄服務記錄檔中記錄事件識別碼 2974 類似下列的︰ 錯誤編號 8647 會轉譯為符號名稱是 ERROR_DS_SPN_VALUE_NOT_UNIQUE_IN_FOREST。Deplicate UPN,數字 8648 和 ERROR_DS_UPN_VALUE_NOT_UNIQUE_IN_FOREST,就會是一個錯誤。
原因
Windows Server 2012 R2 引入限制檢查 UPN 和 SPN 的唯一性。它順利可避免重複的 SPN 而 UPN 時它們皆是透過系統管理工具而不需要此工具執行唯一性檢查本身。
在本文所述的問題,它會防止效果不明顯的系統管理工作。
解決方案
在某些情況下,您可以刪除封鎖您的動作,這樣的動作是成功的物件。樹系內移轉和還原,您也可以刪除 Spn 和 (或),就會重複,並可能會將它們加入入帳戶的 UPN。
這類準備變更可能無法在所有情況下。因此,Microsoft 開發的更新,可讓您控制網域控制站的行為。此更新程式適用於 Windows Server 2012 R2 為基礎的網域控制站。您也可以是用於在未來升級為網域控制站的候選的成員伺服器上安裝此更新程式。
這個更新,Microsoft 會提供要關閉或開啟透過 dSHeuristics 屬性的唯一性核取的樹系層級切換。
以下是支援的 dSHeuristics 值︰
-
dSHeuristic = 1: AD DS 可讓您允許新增重複的使用者主要名稱 (Upn)
-
dSHeuristic = 2: AD DS 可讓您允許新增重複的服務主要名稱 (Spn)
-
dSHeuristic = 3: AD DS 允許將重複的 Spn 和 upn,請加入
-
dSHeuristic = 任何其他值︰ AD DS 會強制執行的 Spn] 及 [Upn 的唯一性核取
範例︰
-
停用 UPN 的唯一性核取,設定為"1"的 dSHeuristics 的 21st 字元 (000000000100000000021)
-
停用 SPN 唯一性核取,設定為"2"的 dSHeuristics 的 21st 字元 (000000000100000000022)
-
停用 UPN 和 SPN 唯一性檢查,設定 「 3 」 的 dSHeuristics 的 21st 字元 (000000000100000000023)
如需有關如何修改 dSHeuristic 的詳細資訊,請參閱6.1.1.2.4.1.2 dSHeuristics。
我們建議您將值設回0 ,當您知道有問題的變更不會再發生。這可能是特別是樹系內移轉的情況。
Hotfix 資訊
重要如果您安裝此 hotfix 之後,您可以安裝語言套件,您必須重新安裝此 hotfix。因此,我們建議您安裝任何語言套件,您需要在您之前安裝這個 hotfix。如需詳細資訊,請參閱新增Windows 語言套件。
支援的 hotfix 可從 Microsoft 取得。不過,此 Hotfix 僅用於修正本文中所述的問題。此 Hotfix 只適用於發生此特定問題的系統上。
如果 Hotfix 可供下載,在此知識庫文件頂端將出現<有可用的 Hotfix 供您下載>區段。如果這個區段不會出現,將要求提交給 Microsoft 客戶服務及支援取得 Hotfix。
注意如果發生其他問題,或如果需要進行疑難排解,您可能必須建立個別的服務要求。收取支援費用會套用到其他支援問題和此特定 hotfix 無法解決的問題。如 Microsoft 客戶服務及支援的電話號碼或建立個別的服務要求的完整清單,請造訪下列 Microsoft 網站︰
http://support.microsoft.com/contactus/?ws=support注意「 可下載 Hotfix 」表單會顯示 hotfix 可用的語言。如果看不到您的語言,是因為未提供該語言的 Hotfix 。
先決條件
若要套用此 hotfix,您必須擁有2014 年 4 月更新 Windows RT 8.1、 Windows 8.1 和 Windows Server 2012 R2 (2919355) 的彙總套件安裝在 Windows 8.1 或 Windows Server 2012 R2。
登錄資訊
若要使用此套件中的 hotfix,您不需對登錄進行任何變更。
重新啟動需求
您可能必須套用此 hotfix 之後,請重新啟動電腦。
Hotfix 取代資訊
此 hotfix 不會取代先前發行的 hotfix。
此 hotfix 的全域版本安裝檔案具有下列表格中所列的屬性。這些檔案的日期和時間均以國際標準時間 (UTC) 列出。本機電腦上這些檔案是以您當地的時間與目前的日光節約時間 (DST) 的時差來顯示日期和時間。此外,當您在檔案上執行特定作業時,日期和時間可能會變更。
Windows 8.1 和 Windows Server 2012 R2 檔案資訊和注意事項
重要Windows 8.1 hotfix 及 Windows Server 2012 R2 hotfix 隨附在相同的套件中。不過,在 [Hotfix 要求] 頁面上的 Hotfix 會在這兩個作業系統下列出。若要要求 hotfix 套件套用至一或兩個作業系統,選取列在 「 Windows 8.1/Windows Server 2012 R2 」 下,在頁面的 hotfix。永遠參考文件的〈套用〉一節以判斷實際套用每個 hotfix 的作業系統。
-
可以藉由檢查檔案版本號碼來識別套用至特定產品、里程碑 (RTM、SPn) 及服務分支 (LDR、 GDR) 的檔案,如下列表格中所示:
版本
產品
里程碑
服務分支
6.3.960 0.17xxx
Windows 8.1 和 Windows Server 2012 R2
RTM
GDR
-
在<其他檔案資訊>一節中,會分別列出針對每個環境所安裝的資訊清單檔案 (.manifest) 及 MUM 檔案 (.mum)。若要維護更新元件的狀態,MUM、資訊清單,以及相關的安全性類別目錄 (.cat) 檔案是不可或缺的。安全性類別目錄檔案 (將不會為其列出屬性) 是使用 Microsoft 數位簽章簽署的。
適用於所有支援的 Windows 8.1 的 x86 版本
檔案名稱 |
檔案版本 |
檔案大小 |
日期 |
時間 |
平台 |
---|---|---|---|---|---|
Ntdsa.mof |
不適用 |
227,765 |
18-Jun-2013 |
12:21 |
不適用 |
Ntdsai.dll |
6.3.9600.17901 |
2,576,896 |
09-Jun-2015 |
20:43 |
x86 |
適用於所有支援的 Windows 8.1 x64 版本和 Windows Server 2012 R2
檔案名稱 |
檔案版本 |
檔案大小 |
日期 |
時間 |
平台 |
---|---|---|---|---|---|
Ntdsa.mof |
不適用 |
227,765 |
18-Jun-2013 |
14:45 |
不適用 |
Ntdsai.dll |
6.3.9600.17901 |
3,684,864 |
09-Jun-2015 |
20:49 |
x64 |
其他檔案資訊
Windows Server 2012 R2 和 Windows 8.1 的會產生額外的檔案資訊。
支援 x86 版本的 Windows 8.1 的其他檔案
檔案屬性 |
值 |
---|---|
檔案名稱 |
X86_4c2f5adc88a0d6ac17ccdccf2255c6b7_31bf3856ad364e35_6.3.9600.17901_none_ba36e2d18bbebef8.manifest |
檔案版本 |
不適用 |
檔案大小 |
712 |
日期 (UTC) |
10-Jun-2015 |
時間 (UTC) |
12:46 |
平台 |
不適用 |
檔案名稱 |
X86_microsoft-windows-d..toryservices-ntdsai_31bf3856ad364e35_6.3.9600.17901_none_85b97991d47e36db.manifest |
檔案版本 |
不適用 |
檔案大小 |
3,352 |
日期 (UTC) |
09-Jun-2015 |
時間 (UTC) |
23:14 |
平台 |
不適用 |
所有支援 x64 型版本的 Windows 8.1 和 Windows Server 2012 R2 的其他檔案
檔案屬性 |
值 |
---|---|
檔案名稱 |
Amd64_94aab516433aef4e5f0c8db414ae7999_31bf3856ad364e35_6.3.9600.17901_none_34c8efb13ae81094.manifest |
檔案版本 |
不適用 |
檔案大小 |
716 |
日期 (UTC) |
10-Jun-2015 |
時間 (UTC) |
12:46 |
平台 |
不適用 |
檔案名稱 |
Amd64_microsoft-windows-d..toryservices-ntdsai_31bf3856ad364e35_6.3.9600.17901_none_e1d815158cdba811.manifest |
檔案版本 |
不適用 |
檔案大小 |
3,356 |
日期 (UTC) |
09-Jun-2015 |
時間 (UTC) |
23:49 |
平台 |
不適用 |
狀態
Microsoft 已確認這是<套用>一節所列出的 Microsoft 產品的問題。
更多的資訊
在 Windows Server 2012 R2 SPN 和 UPN 的唯一性功能的詳細的資訊,請參閱。
您也可能會看到事件 ID 11 — 服務主體名稱設定如需詳細資訊。
要求 Premiere 欄位工程 」 (PFE) 平台的部落格︰第三方使用中目錄遷移工具及 KB 3070083。
參考
請參閱 Microsoft 用來描述軟體更新的術語。