ドメイン コント ローラー間でグループの権限のある復元で一貫性のないメンバーシップ情報可能性があります。

文書翻訳 文書翻訳
文書番号: 280079
すべて展開する | すべて折りたたむ

現象

ユーザーの権限のある復元を実行した後、グループでは、復元されたグループ メンバーシップをドメイン間で矛盾する可能性コント ローラー。

復元したドメインにグループ空場合コント ローラー、レプリカ ドメイン コント ローラーで、使用するときに、ユーザーに表示されますが、追加、復元されたドメイン コント ローラー上のグループのユーザーの削除からレプリカのドメイン コント ローラー上のグループです。

同様の問題があります。ManagedBy 属性は、権限と空にすることがありますが発生します。復元します。

この種の問題の詳細については、Knowledge Base の資料を参照するのには、次の資料番号をクリックしてください。
840001削除されたユーザー アカウントとを Active Directory 内のグループ メンバーシップを復元する方法


メモ KB 資料 840001 にこの資料よりも優先されます。

原因

グループ メンバーシップとして保存されているためこの問題が発生することができます。は、 メンバー オブジェクトの属性にグループします。セキュリティ プリンシパル (ユーザー場合に、グループ、またはコンピューター) をグループに追加した、後方リンクに追加されます、 所属するグループ プリンシパルのオブジェクトの属性。権限の中にユーザー オブジェクトをアクティブな前に、グループ オブジェクトが復元されると、復元します。ディレクトリから値を削除、 メンバー ユーザーが存在しないので、グループの属性を持つ、対応する後方リンクします。

権限のある復元後、バージョンについては、 メンバー 属性が復元されたグループのドメインごとに一貫性のあります。コント ローラーは、その属性に値がない場合でも。たびに、グループのメンバーシップの変更、バージョン番号がインクリメントし、グループの内容をすべてのドメイン コント ローラーにレプリケートされます。場合は、有効なグループ メンバーシップを持つドメイン コント ローラーでグループが変更されます。グループの完全な内容がレプリケートされる、され、データが失われない。ただし場合は、グループに復元されたドメイン コント ローラーで、[変更のみです追加するユーザーがレプリケートされ、ユーザーは削除、グループからのドメイン コント ローラーのレプリカ。

メモ この問題は、正式に復元されたユーザーとグループがない場合でも発生する可能性があります。システム状態の復元が行われ、ユーザーのみが権限があるとマークされている場合は、(オブジェクトがシステム状態に復元されている場合、グループ内の前方リンクを復元するためにリストアが行われたドメイン コント ローラー上のグループ メンバーシップが復元されます。システム状態のバックアップが実行された後、グループのメンバーシップが変更されていない場合は、レプリケーション グループのリストア後行われません。これは、矛盾のグループ メンバーシップをドメイン コント ローラー間で発生します。1 つのドメイン コント ローラー上のグループ メンバーシップを変更するドメイン コント ローラー上でそのグループの現在の内容は、他のドメイン コント ローラーにレプリケートされます。

解決方法

警告: 次の情報は、実行する前に読み、プロシージャのこのセクションで説明します。ユーザーとグループの情報があります。この手順を正確に実行しない場合、復元が失われました。注意してください。確認し、権限のあるドメインの Active Directory バックアップ ファイルを確認してください。続行する前にコント ローラーです。

すべてのセキュリティ問題を解決するのにはプリンシパル オブジェクト (ユーザー、グループ、およびコンピューター) が正式にする必要があります。復元してすべてのドメイン コント ローラーとすべてに、レプリケートされた、グループオブジェクトする必要がある正式復元し、外にすべてのドメインを複製します。もう一度コント ローラー。この手順、可能性があるすべてのグループのメンバーを使用する場合(ユーザー、グループ、およびコンピューター)、2 回目のリストア前にデータベース内にある、後方リンクが維持されます。

場合、権限のある復元ユーザー アカウントやグループ メンバーシップをドメイン コント ローラーを検索します。十分な情報を authoritative としてマークし、接続を切断するのにはドメイン コント ローラーをネットワークから。このサーバーが、権威を持つになりますドメイン コント ローラーです。

この問題を解決するのには:
  1. これをバックアップするのには、コンピューターの状態の完全バックアップを実行します。Active Directory の権限のコピーの場合も、エラーが発生中にこれが発生します。プロシージャです。
  2. サイト内のサイトの両方を無効にして、サイト間トポロジ生成します。方法についての追加を無効にします。サイト内およびサイト間トポロジを表示するのには、次の文書番号をクリックして、資料は、マイクロソフト サポート技術。
    242780 整合性の Checker 知識を無効にする方法、レプリケーション トポロジを自動的に作成されません。
  3. Active Directory サイトとサービス スナップインを起動し、NTDS 設定オブジェクトの下のすべての接続オブジェクトを削除し、権限のあるドメイン コント ローラーです。

    この手順を完了すると、ドメイン コント ローラーの間にすべての変更をレプリケートできなくなりますプロシージャです。権限のあるドメイン コント ローラーのレプリケーション パートナーしても、そのサーバーをポイントする接続オブジェクトをまだがあります。サーバーから権限のあるデータを引き出します。
  4. アクティブなディレクトリ サービス復元モードでコンピューターを再起動します。
  5. 権限のある復元の各アカウントを個別に必要。たとえば、James Smith のユーザー アカウントでは、計算で復元するのにはnwtraders の組織単位。次に、次の構文を使用します。
    権限のある復元: サブツリーを復元する"cn ジェイムズ =Smith、ou アカウンティング]、[dc = nwtraders、= dc = msft」
    メモ: Ntdsutil ツールがスクリプト化できるので、生成できます、復元して、そのスクリプトに渡すには、ユーザー アカウントの一覧です。Aサンプル スクリプトでは、この資料の「関連情報」セクションに記載されていますいます。

    ほとんどのユーザーが含まれている場合は、ここでは全体の OU を復元することもでき、グループ。
  6. コンピューターを通常モードで再起動します。
  7. 復元されたユーザーを通常どおりレプリケートできるようにします。

    パートナーが権限のあるドメイン コント ローラーからの複製を強制的に使用します。ReplMon ツールまたは Active Directory サイトとサービス] スナップイン。
  8. ユーザー ドメイン内のすべてのドメイン コント ローラーにレプリケートする場合アクティブなディレクトリ サービス復元モードでコンピューターを再起動します。
  9. 正式に含まれる各グループ アカウントを復元します。以前復元したオブジェクト。たとえば、Web 管理者を復元するのにはnwtraders の ITG 組織単位のグループです。次に、以下を使用します。構文:
    権限のある復元: サブツリーを復元する"cn = の Web管理者、ou = の ITG、dc nwtraders、= dc = msft」
    メモ: Ntdsutil ツールがスクリプト化できるので、生成できます、復元して、そのスクリプトに渡すには、グループの一覧です。サンプルスクリプトは、この資料の「関連情報」セクションに記載されていますいます。
  10. コンピューターを通常モードで再起動します。
  11. 復元されたグループが通常どおりレプリケートできるようにします。

    パートナーが権限のあるドメイン コント ローラーからの複製を強制的に使用します。ReplMon ツールまたは Active Directory サイトとサービス] スナップイン。
  12. 手順で作成した、サイト オブジェクトに対する変更を元に戻すこの手順の 2 つ。

状況

マイクロソフトでは、この「対象」に記載されているマイクロソフト製品の問題として認識しています。

詳細

権限のあるドメイン コント ローラーにした後ネットワークから取り外して、する前に、次のスクリプトを実行できます、コンピューターの一覧を取得するのには、Active ディレクトリ サービス復元モードで開始します。ユーザー:
List.vbs
--------
Set strOU = GetObject("LDAP://localhost/ou=layer two,ou=layer one,ou=test,dc=i,dc=j,dc=com")
strOU.Filter = Array("user")

For Each Member in strOU 
  Wscript.Echo Chr(92) & Chr(34) & member.distinguishedname & Chr(92) & Chr(34)
Next
					
メモ: 作成ことを確認して、組織単位 (ou) のパスに変更すること、ユーザーおよびグループを含むパスを指定するのには、最初の行復元します。このスクリプトを使用して、いずれかのユーザーの一覧を作成するのにも、またはグループ。

グループの一覧を表示するには、フィルターで、2 番目の行に変更します。
oU.Filter=Array("group")
					
このスクリプトを実行して、テキストの出力を取得するのにはファイルは、コマンド プロンプトで次のコマンドを入力 (次のコマンドを実行するのは同じフォルダーにスクリプト):
cscript//nologo list.vbs > users.txt
ユーザーの一覧とグループの一覧を作成した後、各エントリを正式に復元するのには、Ntdsutil を使用できます。
Authrest.cmd
------------
@echo off
ntdsutil "popups off" "authoritative restore" "restore subtree %1" quit quit
					
このスクリプトのすべてのエントリの一覧でを実行するのにはユーザまたはグループを使用して、 一覧内のエントリを読み取るして、バッチに渡すコマンド前に説明したファイル。コマンド ・ ラインで次のコマンドを入力する (作成これらのファイルは、上記で作成した 2 つのテキスト ファイルと同じフォルダーに)。
for/f で指定「トークン = *"authrest %i %i (users.txt) での操作を行います
このコマンドは、テキスト ファイルの各行をループ処理し、権限のあるユーザーを復元します。

プロパティ

文書番号: 280079 - 最終更新日: 2011年7月25日 - リビジョン: 2.0
キーワード:?
kbprb kbmt KB280079 KbMtja
機械翻訳の免責
重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。
英語版 KB:280079
Microsoft Knowledge Base の免責: Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com