Ripristino autorevole dei gruppi pu˛ comportare informazioni di appartenenza incoerente tra controller di dominio

Traduzione articoli Traduzione articoli
Identificativo articolo: 280079 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

Sintomi

Dopo aver eseguito un ripristino autorevole di utenti e gruppi, l'appartenenza dei gruppi ripristinato potrebbe non essere in controller di dominio coerente.

Se il gruppo Ŕ vuoto nel controller di dominio ripristinato, ma viene compilato in un controller di dominio replica, quindi quando un utente viene aggiunto al gruppo controller di dominio ripristinato, gli utenti vengono rimossi dal gruppo sui controller di dominio replica.

Lo stesso comportamento pu˛ verificarsi con l'attributo di ManagedBy, che pu˛ essere vuoto dopo un ripristino autorevole.

Per ulteriori informazioni su questi tipi di problemi, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
840001Come ripristinare account utente eliminati e l'appartenenza al gruppo in Active Directory


Nota Articolo della Microsoft Knowledge Base 840001 sostituisce in questo articolo.

Cause

Questo problema pu˛ verificarsi poichÚ l'appartenenza ai gruppi viene memorizzata come attributo di membro dell'oggetto gruppo. Quando un'identitÓ di protezione (utente, gruppo o computer) viene aggiunto a un gruppo, l'attributo MemberOf oggetto dell'identitÓ viene aggiunto un backlink. Durante un ripristino autorevole, se l'oggetto di gruppo viene ripristinato prima l'oggetto utente, quindi Active Directory rimuove il valore dall'attributo membro nel gruppo perchÚ un utente non Ŕ presente con un backlink corrispondente.

Dopo il ripristino autorevole, le informazioni versione l'attributo Member dei gruppi ripristinati sono coerenti su ciascun controller di dominio, anche se i valori di tale attributo non sono. Ogni volta che viene modificato l'appartenenza al gruppo, il numero di versione viene incrementato e il contenuto di tale gruppo viene replicato in uscita a tutti i controller di dominio. Se il gruppo viene modificato in un controller di dominio che dispone di appartenenza a un gruppo valido, quindi in cui il contenuto completo del gruppo viene replicato e dati non vadano persi. Tuttavia, se il gruppo viene modificato nel controller di dominio ripristinato, quindi solo gli utenti aggiunti non vengono replicati e gli utenti vengono rimossi dal gruppo sui controller di dominio replica.

Nota Questo problema pu˛ verificarsi anche se gli utenti autorevole vengono ripristinati e i gruppi non sono. Se viene eseguito un ripristino dello stato del sistema e solo gli utenti vengono contrassegnati come attendibile, l'appartenenza di gruppo viene ripristinato sul controller di dominio (perchÚ ripristino i collegamenti Avanti il gruppo di oggetti si sono stati ripristinati nello stato del sistema), il ripristino Ŕ stato eseguito su. Se l'appartenenza dei gruppi non Ŕ stato modificato poichÚ Ŕ stato eseguito il backup dello stato del sistema, dopo il ripristino non viene eseguita alcuna replica per i gruppi. In questo modo appartenenza incoerente tra controller di dominio. Modificare l'appartenenza al gruppo su un controller di dominio replicherÓ il contenuto corrente di tale gruppo sul controller di dominio in altri controller di dominio.

Risoluzione

avviso : leggere attentamente le seguenti informazioni prima di eseguire la procedura descritta in questa sezione. Le informazioni relative agli utenti e ai gruppi pu˛ essere definitiva persi se non si segue esattamente questa procedura. Ricordarsi di verificare un file di backup di Active Directory sul controller di dominio attendibile prima di procedere e.

Per risolvere il problema, tutti gli oggetti identitÓ di protezione (utenti, gruppi e computer) devono essere autorevole ripristinati e replicati in uscita in tutti i controller di dominio e quindi tutti gli oggetti gruppo devono essere autorevole ripristinati e replicati uscita in tutti i controller di dominio nuovamente. Quando si utilizza questa procedura, tutti i potenziali membri del gruppo (utenti, gruppi e i computer) si trovano nel database prima del ripristino secondo e il backlinks vengono gestiti.

Quando si Ripristina autorevolmente gli account utente e delle relative appartenenze, individuare un controller di dominio con informazioni sufficienti per essere contrassegnato come autorevole e quindi disconnettersi tale controller di dominio dalla rete. Tale server diventa il controller di dominio autorevole.

Per risolvere il problema:
  1. Eseguire un backup completo dello stato del computer per il backup questa copia autorevole di Active Directory nel caso in cui si verifica un errore durante la procedura.
  2. Disattivare entrambi all'interno del sito e tra siti di generazione della topologia. Per ulteriori informazioni su come disattivare all'interno del sito e della topologia tra siti, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
    242780Come disattivare le informazioni della coerenza correttore From Automatically Creating Replication Topology
  3. Avviare lo snap-in e siti e quindi eliminare tutti gli oggetti connessione sotto l'oggetto Impostazioni NTDS del controller di dominio attendibile.

    Quando si completa questo passaggio, il controller di dominio viene impedito la replica di modifiche durante questa procedura. Partner di replica del controller di dominio autorevole contiene ancora oggetti connessione che fanno riferimento a tale server che consentono di estrarre dati attendibili dal server.
  4. Riavviare il computer in modalitÓ di ripristino di Active Directory.
  5. Ripristina autorevolmente singolarmente ogni account richiesti. Ad esempio, per ripristinare l'account utente di James Smith nell'accounting unitÓ organizzativa, in nwtraders.msft, utilizzare la sintassi seguente:
    ripristino autorevole: restore subtree "cn = James rossi, ou = ContabilitÓ, dc = nwtraders, dc = msft"
    Nota : poichÚ lo strumento Ntdsutil Ŕ possibile creare uno script, Ŕ possibile generare un elenco degli account utente per essere ripristinato e passa quindi che lo script. Uno script di esempio Ŕ descritto nella sezione "Informazioni" in questo articolo.

    ╚ inoltre possibile ripristinare un'unitÓ ORGANIZZATIVA intera qui se contiene principalmente utenti e gruppi.
  6. Riavviare il computer in modalitÓ normale.
  7. Il ripristinato consentono in genere la replica.

    Per forzare il partner per replicare dal controller di dominio attendibile, utilizzare lo strumento ReplMon, o i siti e snap-in.
  8. Quando gli utenti vengono replicati in tutti i controller di dominio, riavviare il computer in modalitÓ di ripristino di Active Directory.
  9. Ripristino autorevole di ogni account di gruppo che contiene gli oggetti ripristinati in precedenza. Ad esempio, per ripristinare l'amministrazione Web gruppo nell'unitÓ organizzativa gruppo ITG in nwtraders.msft, utilizzare la seguente sintassi:
    ripristino autorevole: restore subtree "cn = Web Administrator, ou = il gruppo ITG, dc = nwtraders, dc = msft"
    Nota : poichÚ lo strumento Ntdsutil Ŕ possibile creare uno script, Ŕ possibile generare un elenco di gruppi da ripristinare e quindi passare che lo script. Uno script di esempio Ŕ descritto nella sezione "Informazioni" in questo articolo.
  10. Riavviare il computer in modalitÓ normale.
  11. Consente di replicare in genere i gruppi di ripristinato.

    Per forzare il partner per replicare dal controller di dominio attendibile, utilizzare lo strumento ReplMon, o i siti e snap-in.
  12. Annullare le modifiche sull'oggetto sito apportate nel passaggio 2 di questa procedura.

Status

Microsoft ha confermato che questo problema riguarda i prodotti sono elencati nella sezione "Si applica a".

Informazioni

Dopo che il controller di dominio autorevole Ŕ stato scollegato dalla rete, Ŕ possibile eseguire lo script seguente prima di avviare il computer Ŕ in modalitÓ di ripristino di Active Directory per ottenere l'elenco di utenti:
List.vbs
--------
Set strOU = GetObject("LDAP://localhost/ou=layer two,ou=layer one,ou=test,dc=i,dc=j,dc=com")
strOU.Filter = Array("user")

For Each Member in strOU 
  Wscript.Echo Chr(92) & Chr(34) & member.distinguishedname & Chr(92) & Chr(34)
Next
					
Nota : assicurarsi che Ŕ modificare del percorso di unitÓ organizzativa nella prima riga per puntare il percorso che contiene gli utenti e gruppi da ripristinare. Inoltre, Ŕ possibile utilizzare questo stesso script per creare un elenco di utenti o gruppi.

Per elencare i gruppi, modificare il filtro nella seconda riga per:
oU.Filter=Array("group")
					
Per eseguire questo script e otterrÓ l'output in un file di testo, digitare il seguente comando al prompt dei comandi (eseguire il comando nella stessa cartella dello script):
cscript //nologo list.vbs > users.txt
Dopo avere creato l'elenco degli utenti e l'elenco dei gruppi, Ŕ possibile utilizzare Ntdsutil ripristino autorevole ogni voce:
Authrest.cmd
------------
@echo off
ntdsutil "popups off" "authoritative restore" "restore subtree %1" quit quit
					
Per eseguire questo script per ogni voce nell'elenco di utenti o gruppi, Ŕ necessario utilizzare il comando per la lettura della voce nell'elenco e le passa al file batch descritto in precedenza. Digitare il seguente comando nella riga di comando (Crea di questi file nella stessa cartella i file di due testo creato in precedenza):
per /f "token = *" %i in (users.txt) si authrest %i
Questo comando scorre in ciclo ogni riga di file di testo e Ripristina autorevolmente l'utente.

ProprietÓ

Identificativo articolo: 280079 - Ultima modifica: lunedý 3 dicembre 2007 - Revisione: 11.4
Le informazioni in questo articolo si applicano a:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
Chiavi:á
kbmt kbprb KB280079 KbMtit
Traduzione automatica articoli
Il presente articolo Ŕ stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell?utente. Tuttavia, un articolo tradotto in modo automatico non Ŕ sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, pi¨ o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non Ŕ la sua. Microsoft non Ŕ responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell?utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 280079
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com