Restauração autoritativa dos grupos pode resultar em informações de participação inconsistente entre controladores de domínio

Traduções deste artigo Traduções deste artigo
ID do artigo: 280079 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Sintomas

Depois de executar uma restauração autoritativa do usuários e grupos, a participação nos grupos restaurados pode ser inconsistente entre controladores de domínio.

Se o grupo está vazio no controlador de domínio restaurado, mas é preenchido em um controlador de domínio réplica, em seguida, quando um usuário é adicionado ao grupo no controlador de domínio restaurado, os usuários são removidos do grupo nos controladores de domínio de réplica.

O mesmo comportamento pode ocorrer com o atributo ManagedBy, que pode estar em branco após uma restauração autoritativa.

Para obter informações adicionais sobre esses tipos de problemas, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
840001Como restaurar contas de usuário excluídas e suas associações de grupo no Active Directory


Observação O artigo 840001 substitui este artigo.

Causa

Esse problema pode ocorrer porque a participação no grupo é armazenada como o atributo Member no objeto de grupo. Quando uma entidade de segurança (usuário, grupo ou computador) é adicionado a um grupo, um backlink é adicionado ao atributo MemberOf no objeto da entidade. Durante uma restauração autoritativa, se o objeto de grupo for restaurado antes do objeto de usuário, em seguida, Active Directory remove o valor do atributo de membro no grupo porque um usuário não existe que tenha um backlink correspondente.

Após a restauração autoritativa, as informações de versão no atributo de membro de grupos restaurados são consistentes em cada controlador de domínio, mesmo que os valores no atributo que não são. Sempre que a participação do grupo for modificada, o número de versão é incrementado e o conteúdo desse grupo é duplicado check-out para todos os controladores de domínio. Se o grupo for modificado em um controlador de domínio que tem uma associação de grupo válido, em seguida todo o conteúdo do grupo é replicado e dados não serão perdidos. No entanto, se o grupo foi modificado no controlador de domínio restaurado, em seguida, apenas os usuários adicionados são replicados, e os usuários são removidos do grupo nos controladores de domínio de réplica.

Observação Esse problema pode ocorrer mesmo se os usuários são restaurados com autoridade e os grupos não são. Se uma restauração de estado do sistema é feita e somente os usuários são marcados como autoritativo, sua participação no grupo será restaurada no controlador de domínio que a restauração foi feita em (porque os vínculos direta no grupo objetos seriam foram restaurados no estado do sistema restaurar). Se a membros de grupos de não foram alteradas desde o backup foi feito, nenhuma duplicação para os grupos será feita após a restauração. Isso resulta em membros do grupo inconsistente entre controladores de domínio. Alterar a associação para o grupo em um controlador de domínio duplicará o conteúdo atual do que grupo nesse controlador de domínio em outros controladores de domínio.

Resolução

Aviso : ler as seguintes informações cuidadosamente antes de executar o procedimento descrito nesta seção. Informações de usuários e grupos podem ser irremediavelmente perdidos se você não seguir esse procedimento exatamente. Lembre-se fazer e verifique se um arquivo de backup do Active Directory no controlador de domínio autoritativo antes de prosseguir.

Para resolver esse problema, todos os objetos de segurança (usuários, grupos e computadores) devem ser autoritativamente restaurados e replicados check-out para todos os controladores de domínio e, em seguida, todos os objetos de grupo devem ser autoritativamente restaurados e replicados check-out para todos os controladores de domínio novamente. Quando você usa este procedimento, membros do grupo todos os possíveis (usuários, grupos e computadores) estão no banco de dados antes da restauração segundo e os backlinks são mantidos.

Quando você restaura autoritativamente contas de usuário e suas participações em grupos, localizar um controlador de domínio com informações suficientes para ser marcado como autoritativo e desconectar esse controlador de domínio da rede. Este servidor se torna o controlador de domínio autoritativo.

Para resolver esse problema:
  1. Execute um backup completo do estado do computador para fazer backup esta cópia com autoridade do Active Directory, caso ocorra um erro durante esse procedimento.
  2. Desative ambos intra-sites e entre sites geração da topologia. Para obter informações adicionais sobre como desativar topologia entre sites e intra-sites, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
    242780Como desativar o Knowledge Consistency Verificador de criar automaticamente a topologia de duplicação
  3. Inicie o snap-in Serviços e sites do Active Directory e exclua todos os objetos de conexão sob o objeto Configurações NTDS para o controlador de domínio autoritativo.

    Quando você concluir esta etapa, o controlador de domínio será impedido de replicar as alterações durante esse procedimento. Os parceiros de replicação do controlador de domínio autoritativo ainda objetos de conexão que apontam para o servidor que permitem receber os dados com autoridade do servidor.
  4. Reinicie o computador no modo de restauração do Active Directory.
  5. Restaure com autorização necessária cada conta individualmente. Por exemplo, para restaurar a conta de usuário do Jorge Santos no Contabilidade unidade organizacional em nwtraders.msft, use a seguinte sintaxe:
    restauração autoritativa: restaurar a subárvore "cn = José de Oliveira, ou = Accounting, dc = nwtraders, dc = msft"
    Observação : como a ferramenta Ntdsutil pode ser executado por script, você pode gerar uma lista de contas de usuário para ser restaurado e, em seguida, passar que para o seu script. Um script de exemplo é descrito na seção "Informações adicionais" neste artigo.

    Você também pode restaurar uma inteira OU aqui se ele contiver principalmente usuários e grupos.
  6. Reinicie o computador em modo normal.
  7. Permitir que os usuários restaurados replicar normalmente.

    Para forçar parceiros para replicar do controlador de domínio autoritativo, use a ferramenta ReplMon, ou a sites do Active Directory e snap-in Serviços.
  8. Quando os usuários são replicados para todos os controladores de domínio, reinicie o computador no modo de restauração do Active Directory.
  9. Restaure com autorização cada conta de grupo que contenha os objetos restaurados anteriormente. Por exemplo, para restaurar o administrador da Web grupo na unidade organizacional ITG em nwtraders.msft, use a seguinte sintaxe:
    restauração autoritativa: restaurar a subárvore "cn = Web administrador, ou = ITG, dc = nwtraders, dc = msft"
    Observação : como a ferramenta Ntdsutil pode ser executado por script, você pode gerar uma lista de grupos para ser restaurado e, em seguida, passar que para o seu script. Um script de exemplo é descrito na seção "Informações adicionais" neste artigo.
  10. Reinicie o computador em modo normal.
  11. Permitir que os grupos restaurados replicar normalmente.

    Para forçar parceiros para replicar do controlador de domínio autoritativo, use a ferramenta ReplMon, ou a sites do Active Directory e snap-in Serviços.
  12. Desfazer as alterações no objeto de site que você fez na etapa dois deste procedimento.

Situação

A Microsoft confirmou que este é um problema nos produtos da Microsoft listados na seção "Aplica-se a".

Mais Informações

Depois que o controlador de domínio autoritativo tenha sido desconectado da rede, você pode executar o script a seguir antes que o computador seja iniciado no modo de restauração do Active Directory para obter a lista de usuários:
List.vbs
--------
Set strOU = GetObject("LDAP://localhost/ou=layer two,ou=layer one,ou=test,dc=i,dc=j,dc=com")
strOU.Filter = Array("user")

For Each Member in strOU 
  Wscript.Echo Chr(92) & Chr(34) & member.distinguishedname & Chr(92) & Chr(34)
Next
					
Observação : Certifique-se de que alterar o caminho de unidade organizacional na primeira linha para apontar para o caminho que contém os usuários e grupos a serem restaurados. Além disso, você pode usar esse mesmo script para criar uma lista de usuários ou grupos.

Para listar os grupos, alterar o filtro na segunda linha para:
oU.Filter=Array("group")
					
Para executar esse script e obter a saída para um arquivo de texto, digite o seguinte comando no prompt de comando (executar este comando na mesma pasta que o script):
cscript //nologo list.vbs > usuários.txt
Após você ter criado a lista de usuários e a lista de grupos, você pode usar Ntdsutil para restaurar cada entrada de modo autoritativo:
Authrest.cmd
------------
@echo off
ntdsutil "popups off" "authoritative restore" "restore subtree %1" quit quit
					
Para executar esse script para cada entrada na lista de usuários ou grupos, use o comando para ler a entrada na lista e passá-lo para o arquivo em lotes descrito anteriormente. Digite o seguinte comando na linha de comando (criar esses arquivos na mesma pasta dos arquivos de duas texto que você criou anteriormente):
para /f "tokens = *" %i in (usuários.txt) fazer authrest %i
Esse comando percorre cada linha do arquivo de texto e restaura o usuário com autoridade.

Propriedades

ID do artigo: 280079 - Última revisão: segunda-feira, 3 de dezembro de 2007 - Revisão: 11.4
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
Palavras-chave: 
kbmt kbprb KB280079 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 280079

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com