Pemulihan otoritatif kelompok dapat mengakibatkan informasi keanggotaan tidak konsisten di pengontrol domain

Terjemahan Artikel Terjemahan Artikel
ID Artikel: 280079 - Melihat produk di mana artikel ini berlaku.
Perbesar semua | Perkecil semua

GEJALA

Setelah Anda menjalankan pemulihan otoritatif pengguna dan kelompok, keanggotaan dalam kelompok-kelompok dipulihkan mungkin tidak konsisten di seluruh domain controller.

Jika grup kosong pada domain dipulihkan controller, tapi ini diisi pada kontroler domain replika, maka ketika pengguna ditambahkan ke grup pada kontroler domain dipulihkan, pengguna akan dihapus dari kelompok pada pengontrol domain replika.

Perilaku yang sama mungkin terjadi dengan atribut ManagedBy, yang mungkin menjadi kosong setelah otoritatif mengembalikan.

Untuk informasi tambahan tentang masalah jenis ini, klik nomor artikel di bawah ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft:
840001Cara memulihkan dihapus pengguna account dan keanggotaan grup mereka dalam Active Directory


Catatan Artikel KB 840001 menggantikan artikel ini.

PENYEBAB

Masalah ini dapat terjadi karena keanggotaan grup disimpan sebagai The Anggota atribut pada objek grup. Ketika kepala keamanan (pengguna, kelompok, atau komputer) ditambahkan ke grup, backlink ditambahkan ke MemberOf atribut pada objek dari kepala sekolah. Selama otoritatif memulihkan, jika objek grup dikembalikan sebelum objek pengguna, lalu aktif Direktori menghapus nilai dari Anggota atribut pada kelompok karena tidak ada yang telah Pencocokan backlink.

Setelah pemulihan otoritatif, versi informasi tentang Anggota atribut dari kelompok-kelompok dipulihkan konsisten di setiap domain controller, meskipun nilai-nilai dalam atribut yang tidak. Setiap kali keanggotaan grup diubah, nomor versi bertambah, dan isi kelompok yang direplikasi keluar ke semua pengontrol domain. Jika kelompok diubah pada kontroler domain yang memiliki keanggotaan grup berlaku, kemudian isi lengkap kelompok direplikasi, dan data itu tidak hilang. Namun, jika kelompok diubah pada kontroler domain dipulihkan, kemudian hanya pengguna yang ditambahkan direplikasi, dan pengguna akan dihapus dari grup pada replika pengontrol domain.

Catatan Masalah ini dapat terjadi bahkan jika pengguna otoritatif dipulihkan dan kelompok-kelompok tidak. Jika pemulihan status sistem dilakukan dan hanya pengguna ditandai sebagai berwibawa, keanggotaan grup mereka akan dikembalikan pada kontroler domain yang pemulihan dilakukan pada (karena link ke depan dalam kelompok objek ini akan dikembalikan dalam status sistem restore). Jika keanggotaan grup tidak berubah sejak cadangan status sistem dilakukan, tidak ada replikasi untuk kelompok-kelompok akan dilakukan setelah pemulihan. Hal ini mengakibatkan keanggotaan grup tidak konsisten antara pengontrol domain. Mengubah keanggotaan untuk grup pada satu kontroler domain saja akan mengulangi isi saat ini kelompok pada kontroler domain yang pengontrol domain lainnya.

PEMECAHAN MASALAH

Warning: Bacalah informasi berikut dengan hati-hati sebelum Anda melakukan prosedur yang dijelaskan dalam bagian ini. Informasi pengguna dan grup dapat irretrievably lost jika Anda tidak mengikuti prosedur ini persis. Ingatlah untuk membuat dan memverifikasi file cadangan dari Active Directory pada domain otoritatif controller sebelum melanjutkan.

Untuk mengatasi masalah ini, semua keamanan objek dasar (pengguna, grup, dan komputer) harus otoritatif dipulihkan dan direplikasi ke semua pengontrol domain, dan kemudian semua kelompok objek harus otoritatif dipulihkan dan direplikasi ke semua domain kontroler lagi. Ketika Anda menggunakan prosedur ini, semua potensi anggota kelompok (pengguna, grup, dan komputer) berada di database sebelum pemulihan kedua, dan link balik yang dikelola.

Ketika Anda otoritatif memulihkan account pengguna dan keanggotaan grup, menemukan pengontrol domain dengan informasi yang cukup untuk ditandai sebagai berwibawa, dan kemudian memutus yang kontroler domain dari jaringan. Server ini menjadi otoritatif kontroler domain.

Untuk mengatasi masalah ini:
  1. Melakukan full backup komputer negara cadangan ini otoritatif salinan direktori aktif dalam kasus sebuah kesalahan terjadi selama ini prosedur.
  2. Menonaktifkan kedua intra-situs dan inter-site topologi generasi.Untuk informasi tambahan mengenai cara menonaktifkan intra-situs dan inter-site topologi, klik nomor artikel di bawah ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft:
    242780 Bagaimana untuk menonaktifkan pengetahuan konsistensi Checker dari secara otomatis membuat replikasi topologi
  3. Mulai aktif direktori situs dan layanan snap-in, dan kemudian hapus semua objek sambungan di bawah objek NTDS pengaturan untuk kontroler domain otoritatif.

    Ketika Anda menyelesaikan langkah ini, kontroler domain dicegah dari mereplikasi perubahan selama ini prosedur. Mitra replikasi kontroler domain otoritatif masih memiliki objek sambungan yang mengarah ke server yang memungkinkan mereka untuk menarik data yang berwibawa dari server.
  4. Restart komputer ke Active Directory Kembalikan mode.
  5. Otoritatif memulihkan setiap account yang diperlukan secara individual. Sebagai contoh, untuk mengembalikan account pengguna James Smith dalam akuntansi unit organisasi di NWTRADERS.MSFT, gunakan sintaks berikut:
    otoritatif pemulihan: memulihkan sub "cn = James Smith, ou = akuntansi, dc = nwtraders, dc = msft "
    Catatan: Karena alat Ntdsutil dapat scripted, Anda dapat menghasilkan Daftar account pengguna untuk dikembalikan dan kemudian menyampaikan bahwa untuk skrip. A sampel script dijelaskan di bagian "Informasi selengkapnya" di artikel ini.

    Anda juga dapat mengembalikan seluruh OU di sini jika sebagian besar berisi pengguna dan kelompok-kelompok.
  6. Restart komputer ke Normal mode.
  7. Memungkinkan pengguna dipulihkan untuk mereplikasi biasanya.

    Untuk memaksa mitra untuk mereplikasi dari kontroler domain otoritatif, menggunakan alat ReplMon, atau situs direktori aktif dan layanan snap-in.
  8. Ketika pengguna direplikasi ke semua pengontrol domain, restart komputer ke Active Directory Kembalikan mode.
  9. Otoritatif memulihkan setiap account grup yang berisi objek sebelumnya dipulihkan. Sebagai contoh, untuk memulihkan Web Administrator kelompok dalam unit organisasi ITG di NWTRADERS.MSFT, menggunakan berikut Sintaks:
    otoritatif pemulihan: memulihkan sub "cn = Web Administrator, ou = ITG, dc = nwtraders, dc = msft "
    Catatan: Karena alat Ntdsutil dapat scripted, Anda dapat menghasilkan Daftar kelompok dapat dipulihkan dan kemudian menyampaikan bahwa untuk skrip. Sampel script dijelaskan di bagian "Informasi selengkapnya" di artikel ini.
  10. Restart komputer ke Normal mode.
  11. Memungkinkan kelompok dipulihkan untuk mereplikasi biasanya.

    Untuk memaksa mitra untuk mereplikasi dari kontroler domain otoritatif, menggunakan alat ReplMon, atau situs direktori aktif dan layanan snap-in.
  12. Membatalkan perubahan pada situs objek yang Anda buat di langkah dua dari prosedur ini.

STATUS

Microsoft telah mengkonfirmasi bahwa ini adalah masalah di dalam produk Microsoft sebagaimana tercantum di bagian "Berlaku untuk".

INFORMASI LEBIH LANJUT

Setelah kontroler domain otoritatif telah unplugged dari jaringan, Anda dapat menjalankan script berikut sebelum komputer mulai ke Active Directory memulihkan mode untuk mendapatkan daftar pengguna:
List.vbs
--------
Set strOU = GetObject("LDAP://localhost/ou=layer two,ou=layer one,ou=test,dc=i,dc=j,dc=com")
strOU.Filter = Array("user")

For Each Member in strOU 
  Wscript.Echo Chr(92) & Chr(34) & member.distinguishedname & Chr(92) & Chr(34)
Next
					
Catatan: Membuat yakin bahwa Anda mengubah jalan unit organisasi di baris pertama untuk menunjuk ke jalan yang berisi pengguna dan grup harus dikembalikan. Juga, Anda dapat menggunakan script ini sama untuk membuat daftar pengguna baik atau kelompok.

Untuk daftar grup, mengubah filter di baris kedua untuk:
oU.Filter=Array("group")
					
Untuk menjalankan script ini dan mendapatkan output teks file, ketik perintah berikut pada prompt perintah (menjalankan perintah ini folder sama sebagai script):
Cscript //nologo list.vbs mengatakan users.txt
Setelah membuat daftar pengguna dan daftar grup, Anda dapat menggunakan Ntdsutil untuk otoritatif memulihkan setiap entri:
Authrest.cmd
------------
@echo off
ntdsutil "popups off" "authoritative restore" "restore subtree %1" quit quit
					
Untuk menjalankan script ini untuk setiap entri dalam daftar pengguna atau grup, menggunakan untuk perintah untuk membaca entri dalam daftar dan menyebarkannya ke bets file yang dijelaskan sebelumnya. Ketik perintah berikut pada baris perintah (membuat ini file dalam folder yang sama sebagai file dua teks yang Anda buat sebelumnya):
untuk/f "token = *" %i (users.txt) melakukan authrest %i
Perintah ini loop melalui setiap baris file teks dan otoritatif mengembalikan pengguna.

Properti

ID Artikel: 280079 - Kajian Terakhir: 23 September 2011 - Revisi: 2.0
Berlaku bagi:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
Kata kunci: 
kbprb kbmt KB280079 KbMtid
Penerjemahan Mesin
PENTING: Artikel ini diterjemahkan menggunakan perangkat lunak mesin penerjemah Microsoft dan bukan oleh seorang penerjemah. Microsoft menawarkan artikel yang diterjemahkan oleh seorang penerjemah maupun artikel yang diterjemahkan menggunakan mesin sehingga Anda akan memiliki akses ke seluruh artikel baru yang diterbitkan di Pangkalan Pengetahuan (Knowledge Base) dalam bahasa yang Anda gunakan. Namun, artikel yang diterjemahkan menggunakan mesin tidak selalu sempurna. Artikel tersebut mungkin memiliki kesalahan kosa kata, sintaksis, atau tata bahasa, hampir sama seperti orang asing yang berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab terhadap akurasi, kesalahan atau kerusakan yang disebabkan karena kesalahan penerjemahan konten atau penggunaannya oleh para pelanggan. Microsoft juga sering memperbarui perangkat lunak mesin penerjemah.
Klik disini untuk melihat versi Inggris dari artikel ini:280079

Berikan Masukan

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com