Temos vários clientes do Windows 7 e do Windows Vista que pertencem ao domínio contoso.com
. Os clientes são registrados no DNS para client.contoso.com
. Alteramos o sufixo DNS por meio do GPO de client.contoso.com
para contoso.com
. Isso funcionou bem para a maioria dos clientes - servicePrincipalNames
foi atualizado automaticamente, incluindo o atributo dNSHostName
dos objetos do computador.
No entanto, alguns dos clientes não atualizam o atributo, o que resulta nas seguintes mensagens de erro:
Log Name: System
Source: NETLOGON
Event ID: 5789
Level: Error
Computer: someClient
Attempt to update DNS Host Name of the computer object in Active
Directory failed. The updated value was 'someClient.contoso.com'. The
following error occured: The requested resource is in use.
Até agora, a única solução para esse problema era remover o cliente do domínio e colocá-lo de volta, o que é um método de força bruta para resolver isso. Os objetos do AD parecem ter que corrigir permissões para atualizar o atributo mencionado.
Set-ADComputer -Identity someClient -DNSHostName someClient.contoso.com
Set-ADComputer : While processing a change to the DNS Host Name for an object, the Service Principal Name values could not be kept in sync
At line:1 char:1
+ Set-ADComputer someClient -DNSHostName someClient.contoso.com
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : NotSpecified: (someClient:ADComputer) [Set-ADComputer], ADException
+ FullyQualifiedErrorId : While processing a change to the DNS Host Name for an object, the Service Principal Name values could not be kept in sync,Micros
oft.ActiveDirectory.Management.Commands.SetADComputer
get-adcomputer someCliemt
DistinguishedName : [...]
DNSHostName : someClient.client.contoso.com
Enabled : True
Name : someClient
ObjectClass : computer
ObjectGUID : fdddd6ec-44f3-5b63-xxxx-55229cexxxxx
SamAccountName : comeClient$
SID : S-1-5-21-1815460242-1203374957-4236298635-xxxxxx
UserPrincipalName :
Coisas que tentei até agora:
- Executando o gpupdate / force várias vezes ... reiniciando claro
- Verificado, o cliente recebe as configurações corretas de sufixo DNS do GPO
- Verificado o objeto incorporado
SELF
tem as permissões Validated write to DNS host Name
e Validated write to Service principal Name
Alguma idéia de como resolver isso, sem ter que voltar aos computadores?