Os clientes não podem atualizar o atributo dNSHostName após a mudança de sufixo DNS

3

Temos vários clientes do Windows 7 e do Windows Vista que pertencem ao domínio contoso.com . Os clientes são registrados no DNS para client.contoso.com . Alteramos o sufixo DNS por meio do GPO de client.contoso.com para contoso.com . Isso funcionou bem para a maioria dos clientes - servicePrincipalNames foi atualizado automaticamente, incluindo o atributo dNSHostName dos objetos do computador.

No entanto, alguns dos clientes não atualizam o atributo, o que resulta nas seguintes mensagens de erro:

Log Name: System

Source: NETLOGON

Event ID: 5789

Level: Error

Computer: someClient

Attempt to update DNS Host Name of the computer object in Active Directory failed. The updated value was 'someClient.contoso.com'. The following error occured: The requested resource is in use.

Até agora, a única solução para esse problema era remover o cliente do domínio e colocá-lo de volta, o que é um método de força bruta para resolver isso. Os objetos do AD parecem ter que corrigir permissões para atualizar o atributo mencionado.

Set-ADComputer -Identity someClient -DNSHostName someClient.contoso.com

Set-ADComputer : While processing a change to the DNS Host Name for an object, the Service Principal Name values could not be kept in sync
At line:1 char:1
+ Set-ADComputer someClient -DNSHostName someClient.contoso.com
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : NotSpecified: (someClient:ADComputer) [Set-ADComputer], ADException
    + FullyQualifiedErrorId : While processing a change to the DNS Host Name for an object, the Service Principal Name values could not be kept in sync,Micros
   oft.ActiveDirectory.Management.Commands.SetADComputer

get-adcomputer someCliemt

DistinguishedName : [...]
DNSHostName       : someClient.client.contoso.com
Enabled           : True
Name              : someClient
ObjectClass       : computer
ObjectGUID        : fdddd6ec-44f3-5b63-xxxx-55229cexxxxx
SamAccountName    : comeClient$
SID               : S-1-5-21-1815460242-1203374957-4236298635-xxxxxx
UserPrincipalName :

Coisas que tentei até agora:

  • Executando o gpupdate / force várias vezes ... reiniciando claro
  • Verificado, o cliente recebe as configurações corretas de sufixo DNS do GPO
  • Verificado o objeto incorporado SELF tem as permissões Validated write to DNS host Name e Validated write to Service principal Name

Alguma idéia de como resolver isso, sem ter que voltar aos computadores?

    
por Matze 05.02.2016 / 16:37

1 resposta

1

Eu encontrei uma solução simples para o problema. Se eu primeiro "redefinir" o atributo para $null , ele funciona como esperado ...

Set-ADComputer -Identity someClient -DNSHostName $null
Set-ADComputer -Identity someClient -DNSHostname someClient.contoso.com 
    
por 08.02.2016 / 12:47