DNS 後綴更改後,客戶端無法更新 dNSHostName 屬性
我們有一堆屬於 domain 的 Windows 7 和 Windows Vista 客戶端
contoso.com。客戶端在 DNS 中註冊到client.contoso.com. 我們已通過 GPO 將 DNS 後綴從 更改client.contoso.com為contoso.com. 這對大多數客戶來說都很好——servicePrincipalNames自動更新,包括電腦對象dNSHostName屬性。但是,一些客戶端一直無法更新屬性,這會導致以下錯誤消息:
日誌名稱:系統
來源:NETLOGON
事件編號:5789
級別:錯誤
電腦:someClient
嘗試更新 Active Directory 中電腦對象的 DNS 主機名失敗。更新後的值為“someClient.contoso.com”。發生以下錯誤:請求的資源正在使用中。
到目前為止,解決此問題的唯一方法是將客戶端從域中刪除並將其放回,這是解決此問題的一種蠻力方法。AD 對像似乎必須更正權限才能更新上述屬性。
設置-ADComputer -Identity someClient -DNSHostName someClient.contoso.com
Set-ADComputer : While processing a change to the DNS Host Name for an object, the Service Principal Name values could not be kept in sync At line:1 char:1 + Set-ADComputer someClient -DNSHostName someClient.contoso.com + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : NotSpecified: (someClient:ADComputer) [Set-ADComputer], ADException + FullyQualifiedErrorId : While processing a change to the DNS Host Name for an object, the Service Principal Name values could not be kept in sync,Micros oft.ActiveDirectory.Management.Commands.SetADComputer獲取廣告電腦 someCliemt
DistinguishedName : [...] DNSHostName : someClient.client.contoso.com Enabled : True Name : someClient ObjectClass : computer ObjectGUID : fdddd6ec-44f3-5b63-xxxx-55229cexxxxx SamAccountName : comeClient$ SID : S-1-5-21-1815460242-1203374957-4236298635-xxxxxx UserPrincipalName :到目前為止我嘗試過的事情:
- 執行 gpupdate /force 幾次…當然要重新啟動
- 已驗證客戶端從 GPO 接收到正確的 DNS 後綴設置
- 驗證內置對像
SELF有Validated write to DNS host Name和Validated write to Service principal Name權限關於如何解決這個問題的任何想法,而不必重新加入電腦?
我找到了一個簡單的解決方案。如果我首先“重置”它的屬性,
$null它會按預期工作……Set-ADComputer -Identity someClient -DNSHostName $null Set-ADComputer -Identity someClient -DNSHostname someClient.contoso.com
我使用 dcdiag 對其進行了分析
DCDIAG /TEST:DNS /V /E /F:<filename.log>
這暴露了一個
RCP not available錯誤。有很多文件如何處理此錯誤,但沒有任何幫助。最後我安裝了wireshark,並且是來自未知IP的一些奇怪的流量:我的伺服器為介面定義了第二個IP。刪除第二個 IP 後一切正常。