Restauration faisant autorité des groupes peut entraîner informations d'appartenance incohérentes entre les contrôleurs de domaine

Traductions disponibles Traductions disponibles
Numéro d'article: 280079 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Symptômes

Après avoir effectué une restauration faisant autorité des utilisateurs et groupes, l'appartenance dans les groupes restaurées peut-être ne pas entre les contrôleurs de domaine.

Si le groupe est vide sur le contrôleur de domaine restauré, mais est rempli sur un contrôleur de domaine réplica, puis lorsqu'un utilisateur est ajouté au groupe sur le contrôleur de domaine restauré, les utilisateurs sont supprimés à partir du groupe sur les contrôleurs de domaine réplica.

Le même comportement peut se produire avec l'attribut ManagedBy, qui peut être vide après une restauration faisant autorité.

Pour plus d'informations sur ces types de problèmes, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la base de connaissances Microsoft :
840001Comment restaurer des comptes d'utilisateurs supprimés et leur appartenance aux groupes dans Active Directory


Remarque L'article 840001 remplace cet article.

Cause

Ce problème peut se produire car l'appartenance au groupe est stocké en tant qu'attribut de membre sur l'objet de groupe. Lorsqu'une entité de sécurité (utilisateur, groupe ou ordinateur) est ajouté à un groupe, un backlink est ajouté à l'attribut MemberOf sur objet de l'entité de sécurité. Pendant une restauration faisant autoritée, si l'objet de groupe est restauré avant de l'objet utilisateur, puis Active Directory supprime la valeur de l'attribut de membre sur le groupe car un utilisateur n'existe pas possédant un backlink correspondante.

Après la restauration faisant autoritée, les informations de version sur l'attribut de membre des groupes restaurées sont cohérentes sur chaque contrôleur de domaine, même si les valeurs dans cet attribut ne sont pas. Chaque fois que l'appartenance au groupe est modifié, le numéro de version est incrémenté et le contenu de ce groupe est répliqué sur tous les contrôleurs de domaine. Si le groupe est modifié sur un contrôleur de domaine qui possède une appartenance de groupe valide, puis le contenu complet du groupe est répliqué et données ne sont pas perdues. Toutefois, si le groupe est modifié sur le contrôleur de domaine restauré, puis uniquement les utilisateurs ajoutés sont répliqués et les utilisateurs sont retirés du groupe sur les contrôleurs de domaine réplica.

Remarque Ce problème peut se produire même si les utilisateurs sont restaurés faisant autorité et les groupes ne sont pas. Si une restauration de l'état du système est effectuée et seuls les utilisateurs sont marqués comme faisant autorité, leur appartenance de groupe va être restaurée sur le contrôleur de domaine où la restauration a été effectuée sur (car les liens vers l'avant dans le groupe d'objets, ont été restaurés dans l'état du système restaure). Si la liste des membres des groupes n'a pas changé depuis la sauvegarde de l'état du système a été effectuée, aucune réplication pour les groupes n'est effectuée après la restauration. Ainsi, l'appartenance à un groupe incohérentes entre les contrôleurs de domaine. Modifier l'appartenance au groupe sur un contrôleur de domaine va répliquer le contenu actuel de ce groupe sur ce contrôleur de domaine sur les autres contrôleurs de domaine.

Résolution

Avertissement : lire attentivement les informations suivantes avant d'effectuer la procédure décrite dans cette section. Informations sur les utilisateurs et les groupes peuvent être irrémédiablement perdues si vous ne suivez pas cette procédure exactement. Pensez à effectuer et vérifier un fichier de sauvegarde d'Active Directory sur le contrôleur de domaine faisant autorité avant de continuer.

Pour résoudre ce problème, des tous les objets d'entités de sécurité (utilisateurs, groupes et ordinateurs) doivent être faisant autorité restaurées et répliquées hors sur tous les contrôleurs de domaine et tous les objets de groupe doivent être faisant autorité restaurées et répliquées hors sur tous les contrôleurs de domaine à nouveau. Lorsque vous utilisez cette procédure, le potentiel tous les membres du groupe (les utilisateurs, groupes et ordinateurs) sont dans la base de données avant la deuxième restauration et les liens inverses sont gérés.

Lors de la restauration faisant autorité des comptes d'utilisateur et leur appartenance aux groupes, trouver un contrôleur de domaine des informations suffisantes pour être marqué comme faisant autorité et puis déconnectez ce contrôleur de domaine à partir du réseau. Ce serveur devient le contrôleur de domaine faisant autorité.

Pour résoudre ce problème, procédez comme suit :
  1. Effectuer une sauvegarde complète de l'état de l'ordinateur pour sauvegarder cette copie d'Active Directory faisant autoritée au cas où une erreur se produit au cours de cette procédure.
  2. Désactivez les deux intra-site et inter-sites de génération de topologie. Pour plus d'informations sur la façon de désactiver intra-site et de topologie inter-site, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la base de connaissances Microsoft :
    242780Comment faire pour désactiver la base de connaissances cohérence vérificateur à partir de la création automatique de topologie de réplication
  3. Démarrer le Active Directory Sites et le composant logiciel enfichable Services, puis supprimez tous les objets de connexion sous l'objet Paramètres NTDS du contrôleur de domaine faisant autorité.

    Lorsque vous réalisez cette étape, le contrôleur de domaine ne peut pas répliquer les modifications au cours de cette procédure. Les partenaires de réplication du contrôleur de domaine faisant autorité ont toujours des objets de connexion qui pointent vers ce serveur qui permettent à extraire les données faisant autoritées du serveur.
  4. Redémarrez l'ordinateur en mode de restauration de Active Directory.
  5. Effectuez une restauration faisant autorité chaque compte requis individuellement. Par exemple, pour restaurer le compte d'utilisateur de James Smith dans la comptabilité, unité d'organisation dans nwtraders.msft, utilisez la syntaxe suivante :
    restauration faisant autorité : restore subtree "cn = Jean Veunenkoor, ou = comptabilité, dc = nwtraders, dc = msft"
    Remarque : étant donné que l'outil Ntdsutil peut faire l'objet d'un script, vous pouvez générer une liste des comptes d'utilisateur pour être restaurée et passer ensuite que votre script. Un exemple de script est décrit dans la section «Informations complémentaires» dans cet article.

    Vous pouvez également restaurer une unité d'organisation entière ici s'il contient principalement des utilisateurs et groupes.
  6. Redémarrez l'ordinateur en mode normal.
  7. Autoriser les utilisateurs restaurés à répliquer normalement.

    Pour forcer les partenaires à répliquer à partir du contrôleur de domaine faisant autorité, utilisez soit l'outil ReplMon, ou les sites et Active Directory composant logiciel enfichable Services.
  8. Lorsque les utilisateurs sont répliquées sur tous les contrôleurs de domaine, redémarrez l'ordinateur en mode de restauration de Active Directory.
  9. Effectuez une restauration faisant autorité de chaque compte de groupe qui contenue les objets précédemment restaurés. Par exemple, pour restaurer l'administrateur Web groupe dans l'unité d'organisation de ITG dans nwtraders.msft, utilisez la syntaxe suivante :
    restauration faisant autorité : restore subtree "cn = Web Administrator, ou = le groupe ITG, dc = nwtraders, dc = msft"
    Remarque : étant donné que l'outil Ntdsutil peut faire l'objet d'un script, vous pouvez générer une liste de groupes à être restaurés et passer ensuite que votre script. Un exemple de script est décrit dans la section «Informations complémentaires» dans cet article.
  10. Redémarrez l'ordinateur en mode normal.
  11. Permettre à des groupes restaurés de répliquer normalement.

    Pour forcer les partenaires à répliquer à partir du contrôleur de domaine faisant autorité, utilisez soit l'outil ReplMon, ou les sites et Active Directory composant logiciel enfichable Services.
  12. Annuler les modifications sur l'objet du site que vous avez effectuée à l'étape deux de cette procédure.

Statut

Microsoft a confirmé l'existence de ce problème dans les produits Microsoft répertoriés dans la section "S'applique à".

Plus d'informations

Lorsque le contrôleur de domaine faisant autorité a été débranché du réseau, vous pouvez exécuter le script suivant avant le démarrage de l'ordinateur en mode restauration de Active Directory pour obtenir la liste des utilisateurs :
List.vbs
--------
Set strOU = GetObject("LDAP://localhost/ou=layer two,ou=layer one,ou=test,dc=i,dc=j,dc=com")
strOU.Filter = Array("user")

For Each Member in strOU 
  Wscript.Echo Chr(92) & Chr(34) & member.distinguishedname & Chr(92) & Chr(34)
Next
					
Remarque : Assurez-vous que vous modifiez le chemin d'accès d'unité d'organisation dans la première ligne pour pointer vers le chemin d'accès qui contient les utilisateurs et les groupes à restaurer. En outre, vous pouvez utiliser ce même script pour créer une liste d'utilisateurs ou groupes.

Pour répertorier les groupes, modifiez le filtre dans la deuxième ligne à :
oU.Filter=Array("group")
					
Pour exécuter ce script et obtenir la sortie vers un fichier texte, tapez la commande suivante à l'invite de commande (exécutez cette commande dans le même dossier que le script) :
cscript //nologo list.vbs > users.txt
Une fois que vous avez créé la liste des utilisateurs et de la liste des groupes, vous pouvez utiliser Ntdsutil pour effectuer une restauration faisant autorité chaque entrée :
Authrest.cmd
------------
@echo off
ntdsutil "popups off" "authoritative restore" "restore subtree %1" quit quit
					
Pour exécuter ce script pour chaque entrée dans la liste des utilisateurs ou groupes, utilisez la commande pour lire l'entrée dans la liste et de les passer au fichier de commandes décrit précédemment. Tapez la commande suivante à la ligne de commande (créer ces fichiers dans le même dossier que les fichiers deux texte que vous avez créé précédemment) :
pour /f "jetons = *" %i in (users.txt) faire authrest %i
Cette commande effectue une boucle dans chaque ligne du fichier texte et faisant autorité restaure l'utilisateur.

Propriétés

Numéro d'article: 280079 - Dernière mise à jour: lundi 3 décembre 2007 - Version: 11.4
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
Mots-clés : 
kbmt kbprb KB280079 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 280079
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com