我们有一堆属于 domain 的 Windows 7 和 Windows Vista 客户端contoso.com。客户端在 DNS 中注册到client.contoso.com. 我们已通过 GPO 将 DNS 后缀从 更改client.contoso.com为contoso.com. 这对大多数客户来说都很好——servicePrincipalNames自动更新,包括计算机对象dNSHostName属性。
但是,一些客户端一直无法更新属性,这会导致以下错误消息:
日志名称:系统
来源:NETLOGON
事件编号:5789
级别:错误
电脑:someClient
尝试更新 Active Directory 中计算机对象的 DNS 主机名失败。更新后的值为“someClient.contoso.com”。发生以下错误:请求的资源正在使用中。
到目前为止,解决此问题的唯一方法是将客户端从域中删除并将其放回,这是解决此问题的一种蛮力方法。AD 对象似乎必须更正权限才能更新上述属性。
设置-ADComputer -Identity someClient -DNSHostName someClient.contoso.com
Set-ADComputer : While processing a change to the DNS Host Name for an object, the Service Principal Name values could not be kept in sync
At line:1 char:1
+ Set-ADComputer someClient -DNSHostName someClient.contoso.com
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : NotSpecified: (someClient:ADComputer) [Set-ADComputer], ADException
+ FullyQualifiedErrorId : While processing a change to the DNS Host Name for an object, the Service Principal Name values could not be kept in sync,Micros
oft.ActiveDirectory.Management.Commands.SetADComputer
获取广告计算机 someCliemt
DistinguishedName : [...]
DNSHostName : someClient.client.contoso.com
Enabled : True
Name : someClient
ObjectClass : computer
ObjectGUID : fdddd6ec-44f3-5b63-xxxx-55229cexxxxx
SamAccountName : comeClient$
SID : S-1-5-21-1815460242-1203374957-4236298635-xxxxxx
UserPrincipalName :
到目前为止我尝试过的事情:
- 运行 gpupdate /force 几次...当然要重新启动
- 已验证客户端从 GPO 接收到正确的 DNS 后缀设置
- 验证内置对象
SELF有Validated write to DNS host Name和Validated write to Service principal Name权限
关于如何解决这个问题的任何想法,而不必重新加入计算机?
我找到了一个简单的解决方案。如果我首先“重置”它的属性,
$null它会按预期工作......我使用 dcdiag 对其进行了分析
这暴露了一个
RCP not available错误。有很多文档如何处理此错误,但没有任何帮助。最后我安装了wireshark,并且是来自未知IP的一些奇怪的流量:我的服务器为接口定义了第二个IP。删除第二个 IP 后一切正常。