Restauro autoritário dos grupos pode resultar em informações de membros inconsistentes através dos controladores de domínio

Traduções de Artigos Traduções de Artigos
Artigo: 280079 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Sintomas

Depois de efectuar um restauro autoritário dos utilizadores e grupos, os membros dos grupos restaurado poderá ser inconsistente em controladores de domínio.

Se o grupo está vazio no controlador de domínio restaurados, mas é preenchido num controlador de domínio réplica, em seguida, quando um utilizador é adicionado ao grupo no controlador de domínio restaurados, os utilizadores serão removidos do grupo nos controladores de domínio de réplica.

O mesmo comportamento poderá ocorrer com o atributo ManagedBy, que pode estar vazio depois de um restauro autoritário.

Para obter informações adicionais sobre estes tipos de problemas, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
840001Como restaurar contas de utilizador eliminadas e os respectivos membros do grupo no Active Directory


Nota Artigo da base de dados de conhecimento 840001 substitui deste artigo.

Causa

Este problema pode ocorrer dado que os membros do grupo é guardado como o atributo de membro no objecto de grupo. Quando um principal de segurança (utilizador, grupo ou computador) é adicionado a um grupo, é adicionado um backlink o atributo de membro no objecto do principal. Durante um restauro autoritário, se o objecto de grupo for restaurado antes do objecto de utilizador, em seguida, Active Directory remove o valor o atributo de membro no grupo porque um utilizador não existe que tenha um backlink correspondente.

Após o restauro autoritário, as informações de versão no atributo membros de grupos restaurados são consistentes em cada controlador de domínio, mesmo que os valores nesse atributo não são. Sempre que os membros do grupo for modificado, o número da versão é incrementado e o conteúdo desse grupo é replicado fora para todos os controladores de domínio. Se o grupo é modificado num controlador de domínio com um membro do grupo válido, em seguida, o conteúdo completo do grupo é replicado e dados não são perdidos. No entanto, se o grupo é modificado no controlador de domínio restaurados, em seguida, apenas os utilizadores adicionados são replicados e os utilizadores são removidos do grupo nos controladores de domínio de réplica.

Nota Este problema pode ocorrer mesmo se os utilizadores são restaurados com autoridade e os grupos não são. Se um restauro do estado do sistema é efectuado e apenas os utilizadores estão assinalados como autoritários, os membros do grupo serão restaurado no controlador de domínio que o restauro foi efectuado no (porque as hiperligações directas no grupo de objectos seriam foram restaurados no estado do sistema restaurar). Se aos membros dos grupos não mudou desde que foi efectuada cópia de segurança da estado do sistema, não será efectuada nenhuma replicação para os grupos depois do restauro. Isto resulta em membros do grupo inconsistentes entre controladores de domínio. Alterar os membros do grupo de um controlador de domínio irá replicar o conteúdo actual desse grupo no controlador de domínio para outros controladores de domínio.

Resolução

aviso : ler cuidadosamente as seguintes informações antes de efectuar o procedimento descrito nesta secção. Informações sobre utilizadores e grupos podem perder irretrievably se não seguir este procedimento exactamente. Lembre-se certifique e verifique se um ficheiro de cópia de segurança do Active Directory no controlador de domínio autoritários antes de continuar.

Para resolver este problema, todos os objectos principais de segurança (utilizadores, grupos e computadores) tem de estar em modo autoritário restaurados e replicados fora para todos os controladores de domínio e, em seguida, todos os objectos de grupo tem ser autoritariamente restaurados e replicados fora para todos os controladores de domínio novamente. Quando utilizar este procedimento, todos os potenciais membros do grupo (utilizadores, grupos e computadores) estão a ser a base de dados antes do restauro segundo e os backlinks são mantidas.

Quando restaurar em modo autoritário contas de utilizador e os respectivos membros do grupo, localizar um controlador de domínio com informações suficientes para ser marcado como detendo a autoridade e, em seguida, desligue esse controlador de domínio da rede. Este servidor torna-se o controlador de domínio com autoridade.

Para resolver este problema:
  1. Efectue uma cópia completa de segurança do estado do computador para cópia de segurança esta cópia autoritária do Active Directory no caso de ocorrer um erro durante este procedimento.
  2. Desactive os intra-local e geração de topologia inter-local. Para obter informações adicionais sobre como desactivar intra-local e topologia entre locais, clique no número de artigo existente abaixo para visualizar o artigo na base de dados de conhecimento da Microsoft:
    242780Como desactivar os dados de conhecimento da consistência Checker de criação automática de topologia de replicação
  3. Iniciar o snap-in Serviços e locais do Active Directory e, em seguida, elimine todos os objectos de ligação sob o objecto Definições NTDS (NTDS Settings) para o controlador de domínio com autoridade.

    Quando concluir este passo, o controlador de domínio é impedido de replicar as alterações durante este procedimento. Os parceiros de replicação do controlador de domínio autoritário ainda objectos de ligação que apontem para esse servidor que permitem que solicitar dados autoritários a partir do servidor.
  4. Reinicie o computador em modo de restauro de directório Active Directory.
  5. Restaure autoritariamente necessária cada conta individualmente. Por exemplo, para restaurar a conta de utilizador Jaime Silva na gestão de contas unidade organizacional no NWTRADERS.MSFT, utilize a sintaxe seguinte:
    restauro autoritário: Restaurar subárvore "cn = Jaime Silva, ou = a gestão de contas, dc = impexpgourmet, dc = msft"
    Nota : uma vez que a ferramenta Ntdsutil pode ser script, pode gerar uma lista de contas de utilizador sejam restaurados e, em seguida, passar que para o script. Um script de exemplo está descrito na secção "Mais informação" neste artigo.

    Pode também restaurar aqui um todo OU se contiver principalmente utilizadores e grupos.
  6. Reinicie o computador no modo normal.
  7. Permitir os utilizadores restaurados replicar normalmente.

    Para forçar a parceiros sejam replicadas do controlador de domínio autoritário, utilize o ferramenta ReplMon, ou o Active Directory e locais do snap-in Serviços.
  8. Quando os utilizadores são replicados para todos os controladores de domínio, reinicie o computador em modo de restauro de directório Active Directory.
  9. Restaure autoritariamente cada conta de grupo contendo os objectos restaurados anteriormente. Por exemplo, para restaurar o administrador da Web agrupar na unidade organizacional ITG em NWTRADERS.MSFT, utilize a seguinte sintaxe:
    restauro autoritário: Restaurar subárvore "cn = Web administrador, ou = ITG, dc = impexpgourmet, dc = msft"
    Nota : uma vez que a ferramenta Ntdsutil pode ser script, pode gerar uma lista dos grupos sejam restaurados e, em seguida, passar que para o script. Um script de exemplo está descrito na secção "Mais informação" neste artigo.
  10. Reinicie o computador no modo normal.
  11. Permitir que os grupos restaurados replicar normalmente.

    Para forçar a parceiros sejam replicadas do controlador de domínio autoritário, utilize o ferramenta ReplMon, ou o Active Directory e locais do snap-in Serviços.
  12. Anular as alterações no objecto de site que criou no passo dois deste procedimento.

Ponto Da Situação

A Microsoft confirmou que este é um problema nos produtos da Microsoft listados na secção "Aplica-se a".

Mais Informação

Depois do controlador de domínio com autoridade foi desligado da rede, pode executar o script a seguir antes do computador é iniciado no modo de restauro de directório Active Directory para obter a lista de utilizadores:
List.vbs
--------
Set strOU = GetObject("LDAP://localhost/ou=layer two,ou=layer one,ou=test,dc=i,dc=j,dc=com")
strOU.Filter = Array("user")

For Each Member in strOU 
  Wscript.Echo Chr(92) & Chr(34) & member.distinguishedname & Chr(92) & Chr(34)
Next
					
Nota : Certifique-se de que altere o caminho de unidade organizacional a primeira linha para apontar para o caminho que contém os utilizadores e grupos a ser restaurado. Além disso, pode utilizar este mesmo script para criar uma lista de utilizadores ou grupos.

Para listar grupos, alterar o filtro da segunda linha para:
oU.Filter=Array("group")
					
Para executar este script e obter a saída para um ficheiro de texto, escreva o seguinte comando na linha de comandos (executar este comando na mesma pasta que o script):
cscript //nologo list.vbs > utilizadores.txt
Depois de ter criado a lista de utilizadores e a lista de grupos, pode utilizar o Ntdsutil para restaurar autoritariamente cada entrada:
Authrest.cmd
------------
@echo off
ntdsutil "popups off" "authoritative restore" "restore subtree %1" quit quit
					
Para executar este script para cada entrada na lista de utilizadores ou grupos, utilize o comando para ler a entrada na lista e transmiti-las para o ficheiro batch descrito anteriormente. Escreva o seguinte comando na linha de comandos (criar estes ficheiros na mesma pasta que os ficheiros duas de texto que criou anteriormente):
para /f "tokens = *" %i in (utilizadores.txt) efectue authrest %i
Este comando ciclos através de cada linha do ficheiro de texto e autoritariamente restaura o utilizador.

Propriedades

Artigo: 280079 - Última revisão: 3 de dezembro de 2007 - Revisão: 11.4
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
Palavras-chave: 
kbmt kbprb KB280079 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 280079

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com