我们有一批属于域 的 Windows 7 和 Windows Vista 客户端contoso.com。这些客户端在 DNS 中注册为client.contoso.com。我们已通过 GPO 将 DNS 后缀从 更改为client.contoso.com。contoso.com这对大多数客户端来说都很好用 -servicePrincipalNames包括计算机对象属性都自动更新了dNSHostName。
但是一些客户端始终无法更新属性,从而导致出现以下错误消息:
日志名称:系统
来源:NETLOGON
事件 ID:5789
级别:错误
计算机:someClient
尝试更新 Active Directory 中计算机对象的 DNS 主机名失败。更新后的值为“someClient.contoso.com”。发生以下错误:请求的资源正在使用中。
到目前为止,解决此问题的唯一方法是将客户端从域中移除,然后再放回去,这是一种解决这个问题的蛮力方法。AD 对象似乎必须更正权限才能更新上述属性。
设置 ADComputer -Identity someClient -DNSHostName someClient.contoso.com
Set-ADComputer : While processing a change to the DNS Host Name for an object, the Service Principal Name values could not be kept in sync
At line:1 char:1
+ Set-ADComputer someClient -DNSHostName someClient.contoso.com
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : NotSpecified: (someClient:ADComputer) [Set-ADComputer], ADException
+ FullyQualifiedErrorId : While processing a change to the DNS Host Name for an object, the Service Principal Name values could not be kept in sync,Micros
oft.ActiveDirectory.Management.Commands.SetADComputer
获取广告计算机 someCliemt
DistinguishedName : [...]
DNSHostName : someClient.client.contoso.com
Enabled : True
Name : someClient
ObjectClass : computer
ObjectGUID : fdddd6ec-44f3-5b63-xxxx-55229cexxxxx
SamAccountName : comeClient$
SID : S-1-5-21-1815460242-1203374957-4236298635-xxxxxx
UserPrincipalName :
到目前为止我尝试过的事情:
- 运行 gpupdate /force 几次...当然要重新启动
- 已验证客户端是否从 GPO 接收到正确的 DNS 后缀设置
- 已验证内置对象
SELF具有Validated write to DNS host Name和Validated write to Service principal Name权限
有什么办法可以解决这个问题,而不需要重新连接计算机?
答案1
我找到了一个简单的解决方案。如果我首先将属性“重置”为,$null它就会按预期工作...
Set-ADComputer -Identity someClient -DNSHostName $null
Set-ADComputer -Identity someClient -DNSHostname someClient.contoso.com
答案2
我使用 dcdiag 进行了分析
DCDIAG /TEST:DNS /V /E /F:<文件名.log>
这暴露了一个RCP not available错误。
有很多文档介绍如何处理此错误,但都无济于事。最后我安装了 wireshark,发现有一些来自未知 IP 的奇怪流量:我的服务器为接口定义了第二个 IP。删除第二个 IP 后,一切正常。