Autorisierende Wiederherstellung der Gruppen kann inkonsistente Mitgliedschaftsinformationen zu allen Domänencontrollern führen

Artikel-ID: 280079 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Maschinell übersetzter ArtikelHinweis: Dies ist ein maschinell übersetzter Artikel.
Alles erweitern | Alles schließen

Problembeschreibung

Nach der Durchführung einer autorisierenden Wiederherstellung von Benutzern und Gruppen, die Mitgliedschaft in den wiederhergestellten Gruppen können auf Domänencontrollern inkonsistent sein.

Wenn die Gruppe auf dem wiederhergestellten Domänencontroller leer ist, jedoch wird aufgefüllt auf einem Domänencontroller Replikat dann, wenn ein Benutzer der Gruppe auf den wiederhergestellten Domänencontroller hinzugefügt wird, sind Benutzer aus der Gruppe der Replikat-Domänencontroller entfernt.

Dasselbe Verhalten kann mit dem Attribut ManagedBy auftreten, die nach einer autorisierenden Wiederherstellung eventuell leer ist.

Weitere Informationen über diese Art von Problemen finden Sie die folgende KB-Artikelnummer:
840001
(http://support.microsoft.com/kb/840001/ )
Zum Wiederherstellen gelöschter Benutzerkonten und ihrer Gruppenmitgliedschaften in Active Directory


Hinweis: Knowledge Base-Artikel 840001 ersetzt in diesem Artikel.
Zum Anfang | Ihr Feedback an uns

Ursache

Dieses Problem kann auftreten, da die Gruppenmitgliedschaft als des Mitgliedsattributs für das Gruppenobjekt gespeichert wird. Wenn ein Sicherheitsprinzipal ist (Benutzer, Gruppe oder Computer) zu einer Gruppe, hinzugefügt ein Rückverweis das MemberOf -Attribut auf der Principal-Objekt hinzugefügt wird. Während einer autorisierenden Wiederherstellung Wenn die Objekt-Gruppe, bevor das Benutzerobjekt wiederhergestellt wird entfernt Active Directory den Wert aus des Mitgliedsattributs für die Gruppe da ein Benutzer nicht vorhanden ist, die eine übereinstimmende Rückverweis verfügt.

Nach der autorisierenden Wiederherstellung ist die Versionsinformationen für das Element -Attribut der wiederhergestellten Gruppen auf allen Domänencontrollern konsistent, obwohl die Werte in diesem Attribut nicht sind. Wenn die Mitgliedschaft der Gruppe geändert wird, wird die Versionsnummer erhöht, und der Inhalt dieser Gruppe sind auf alle Domänencontroller repliziert. Wenn die Gruppe auf einem Domänencontroller, die eine gültige Gruppenmitgliedschaft verfügt geändert wird, dann der vollständige Inhalt der Gruppe repliziert werden, und Daten nicht verloren gehen. Jedoch, wenn die Gruppe auf dem wiederhergestellten Domänencontroller anschließend geändert wird nur der hinzugefügten Benutzer repliziert, und Benutzer aus der Gruppe der Replikat-Domänencontroller entfernt werden.

Hinweis: Dieses Problem kann auftreten, selbst wenn die Benutzer autorisierend wiederhergestellt sind und die Gruppen nicht. Wenn eine Systemstatuswiederherstellung erfolgt, und nur Benutzer als autorisierend gekennzeichnet sind, wird die Gruppenmitgliedschaft auf dem Domänencontroller wiederhergestellt werden, die auf die Wiederherstellung durchgeführt wurde, (da die forward Verknüpfungen in der Gruppe Objekte in den Systemstatus würde wiederhergestellt wurden wiederherstellen). Wenn die Mitgliedschaft der Gruppen nicht geändert wurde, da die Systemstatus-Sicherung durchgeführt wurde, erfolgt keine Replikation für die Gruppen nach der Wiederherstellung. Dies führt zu inkonsistenten Gruppenmitgliedschaft zwischen Domänencontrollern. Ändern der Mitgliedschaft der Gruppe auf einem Domänencontroller wird den aktuellen Inhalt von der Gruppe auf dem Domänencontroller auf andere Domänencontroller repliziert.
Zum Anfang | Ihr Feedback an uns

Lösung

Warnung : die folgende Informationen sorgfältig lesen, bevor Sie das in diesem Abschnitt beschriebenen Verfahren ausführen. Benutzer- und Gruppeninformationen können unwiderruflich verloren, wenn Sie dieses Verfahren nicht genau befolgen. Denken Sie daran, vornehmen und eine Sicherungsdatei der Active Directory auf dem autorisierenden Domänencontroller überprüfen, bevor Sie fortfahren.

Um dieses Problem zu beheben, alle Sicherheitsprinzipal-Objekten (Benutzer, Gruppen und Computer) müssen werden autorisierend wiederhergestellt und aus auf alle Domänencontroller repliziert und dann alle Objekte der Gruppe müssen autorisierend wiederhergestellt und erneut auf alle Domänencontroller replizierten. Wenn Sie verwenden diese Prozedur, die alle möglichen Mitglieder (Benutzer, Gruppen und Computer) in der Datenbank vor der zweiten Wiederherstellung sind, und die Backlinks werden verwaltet.

Wenn Sie eine autorisierende Wiederherstellung von Benutzerkonten und ihrer Gruppenmitgliedschaften wiederherstellen, suchen Sie einen Domänencontroller mit genügend Informationen als autorisierend gekennzeichnet werden, und trennen Sie den Domänencontroller vom Netzwerk. Dieser Server wird dem autorisierenden Domänencontroller.

Um dieses Problem zu beheben:
  1. Führen Sie eine vollständige Sicherung des den Zustand des Computers diese autorisierende Kopie von Active Directory sichern, Fall eines während dieses Vorgangs Fehlers.
  2. Deaktivieren Sie beide standortinternen und standortübergreifenden Sie Topologie Generation. Weitere Informationen dazu, wie deaktivieren Sie standortinternen und standortübergreifenden Topologie zu, finden Sie die Artikelnummer unten klicken, um der Microsoft Knowledge Base:
    242780
    (http://support.microsoft.com/kb/242780/EN-US/ )
    Anleitungen zum Deaktivieren der Knowledge Consistency Checker von Replikationstopologie automatisch erstellen
  3. Starten Sie Active Directory-Standorte und Dienste-Snap-in, und löschen Sie alle Verbindungsobjekte unter dem Objekt NTDS-Einstellungen für den autorisierenden Domänencontroller.

    Nach Abschluss dieser Schritt wird der Domänencontroller daran gehindert, Replizieren von Änderungen während dieses Vorgangs. Die Replikationspartner des Domänencontrollers autorisierenden müssen noch Verbindungsobjekte, die auf dem Server zeigen, mit der die autorisierenden Daten vom Server abrufen.
  4. Starten den Computer in Active Directory Restore-Modus neu.
  5. Eine autorisierende Wiederherstellung jedes erforderliche Konto einzeln. Um das Benutzerkonto für James Smith wiederherstellen beispielsweise in der Buchhaltung verwenden Organisationseinheit in nwtraders.msft, die folgende Syntax:
    autorisierende Wiederherstellung: restore Subtree "Cn = James Smith, Ou = Buchhaltung, dc = Nwtraders, dc = Msft"
    Hinweis : Da Tool Ntdsutil Skripts verwendet werden kann, können Sie eine Liste von Benutzerkonten wiederhergestellt werden, und übergeben, das Skript erstellen. Ein Beispielskript wird in den Abschnitt "Weitere Informationen" in diesem Artikel beschrieben.

    Sie können auch hier eine ganze ORGANISATIONSEINHEIT wiederherstellen, wenn es vor allem Benutzer und Gruppen enthält.
  6. Starten Sie den Computer im normalen Modus neu.
  7. Benutzern Sie die wiederhergestellten normalerweise replizieren.

    Partner aus dem autorisierenden Domänencontroller replizieren erzwingen möchten, verwenden Sie das Tool ReplMon, oder die Active Directory-Standorte und Dienste-Snap-in.
  8. Wenn der Benutzer auf alle Domänencontroller repliziert werden, starten den Computer in Active Directory Restore-Modus neu.
  9. Eine autorisierende Wiederherstellung jedes Gruppenkonto, das die zuvor wiederhergestellten Objekte enthalten. Um beispielsweise Web Administrator wiederherstellen in der Organisationseinheit ITG in nwtraders.msft gruppieren, verwenden Sie die folgende Syntax:
    autorisierende Wiederherstellung: restore Subtree "Cn = Web Administrator, Ou = ITG, dc = Nwtraders, dc = Msft"
    Hinweis : Da das Befehlszeilenprogramm Ntdsutil kann Skripts verwendet werden können Sie eine Liste der Gruppen wiederhergestellt werden, und übergeben, das Skript erstellen. Ein Beispielskript wird in den Abschnitt "Weitere Informationen" in diesem Artikel beschrieben.
  10. Starten Sie den Computer im normalen Modus neu.
  11. Ermöglichen Sie die wiederhergestellten Gruppen normalerweise replizieren.

    Partner aus dem autorisierenden Domänencontroller replizieren erzwingen möchten, verwenden Sie das Tool ReplMon, oder die Active Directory-Standorte und Dienste-Snap-in.
  12. Die Änderungen des Standortobjekts, die Sie im Schritt vorgenommen rückgängig zu machen zwei dieser Prozedur.
Zum Anfang | Ihr Feedback an uns

Status

Microsoft hat bestätigt, dass dies ein Problem in Microsoft-Produkten handelt, die im Abschnitt "Gilt für" aufgeführt sind.
Zum Anfang | Ihr Feedback an uns

Weitere Informationen

Nachdem der autorisierenden Domänencontroller vom Netzwerk getrennt wurde, können Sie das folgende Skript ausführen, bevor der Computer in Active Directory Restore Modus beim Abrufen der Liste von Benutzern gestartet wird: 
List.vbs
--------
Set strOU = GetObject("LDAP://localhost/ou=layer two,ou=layer one,ou=test,dc=i,dc=j,dc=com")
strOU.Filter = Array("user")

For Each Member in strOU 
  Wscript.Echo Chr(92) & Chr(34) & member.distinguishedname & Chr(92) & Chr(34)
Next
Hinweis : Stellen Sie sicher, dass Sie den Organisationseinheit-Pfad in der ersten Zeile, auf den Pfad verweisen, die wiederhergestellt werden Benutzer und Gruppen enthält, ändern. Diese dasselbe Skript können Sie auch eine Liste von Benutzern oder Gruppen erstellen.

Liste Gruppen, den Filter in der zweiten Zeile zu ändern: 
oU.Filter=Array("group")
Geben Sie dieses Skript ausführen, und erhalten die Ausgabe in eine Textdatei, den folgenden Befehl an der Eingabeaufforderung (dieser Befehl im gleichen Ordner wie das Skript ausgeführt):
Cscript //nologo list.vbs > users.txt
Nachdem Sie die Liste der Benutzer und die Liste der Gruppen erstellt haben, können Sie Ntdsutil verwenden, um jeden Eintrag eine autorisierende Wiederherstellung: 
Authrest.cmd
------------
@echo off
ntdsutil "popups off" "authoritative restore" "restore subtree %1" quit quit
Verwenden Sie dieses Skript für jeden Eintrag in der Liste der Benutzer oder Gruppen ausführen, den Befehl für Eintrag in der Liste lesen und an die oben beschriebene Batchdatei übergeben ein. Geben Sie den folgenden Befehl an der Befehlszeile (diese Dateien in demselben Ordner wie die zwei Textdateien, die Sie zuvor erstellt haben erstellen):
für/f "Tokens = *" %i in (users.txt) führen %i Authrest
Dieser Befehl durchläuft jede Zeile der Textdatei und den Benutzer autorisierend wiederhergestellt.
Zum Anfang | Ihr Feedback an uns

Eigenschaften

Artikel-ID: 280079 - Geändert am: Montag, 3. Dezember 2007 - Version: 11.4
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
Keywords: 
kbmt kbprb KB280079 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 280079
(http://support.microsoft.com/kb/280079/en-us/ )
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.
Zum Anfang | Ihr Feedback an uns

Ihr Feedback an uns

 
Zum AnfangZum Anfang