Принудительное восстановление группы может привести сведения о членстве несовместимость между контроллерами домена

Переводы статьи Переводы статьи
Код статьи: 280079 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

Проблема

После принудительного восстановления пользователей и группы, членство в восстановленной группы могут отличаться по домену контроллеры.

Если группа пуста на восстановленном домена контроллер, но и заполняется в реплика контроллера домена, а затем, когда пользователь добавляется в группу на восстановленного контроллера домена, пользователи будут удалены из группы на контроллерах домена реплики.

Подобное поведение может возникающие в атрибут ManagedBy, который может быть пустым после принудительного восстановление.

Для получения дополнительных сведений о подобных проблемах щелкните следующий номер статьи базы знаний Майкрософт:
840001Восстановление удаленных учетных записей пользователей и их членства в Active Directory


Примечание Статья базы Знаний 840001, имеет приоритет над этой статьи.

Причина

Такое поведение наблюдается, поскольку членство в группе хранится как очередь Член атрибут объекта группы. Когда участник безопасности (пользователя, Группа или компьютер) добавляется к группе, наследуемым добавляется Член групп атрибут объекта principal. Во время принудительного восстановление, если объект групповой восстанавливается до объекта-пользователя, а затем активный Каталог удаляет значение из Член атрибут группы, так как пользователь не существует, имеет соответствие наследуемым.

После принудительного восстановления версии Информация о Член атрибут восстановленной группы согласованной в каждом домене даже если значения этого атрибута не контроллера. Каждый раз, когда изменен состав группы, номер версии увеличивается и содержимое этой группы являются реплицировать на все контроллеры домена. Если изменить группу на контроллере домена, имеющую членство допустимая группа затем реплицируются все содержимое группы и данные не потеряны. Тем не менее если группа была изменена на восстановленного контроллера домена, затем только реплицируются добавляемых пользователей и пользователей, удаляются из группы на реплики контроллеров домена.

Примечание Эта проблема может возникнуть даже в том случае, если принудительное восстановление пользователей и групп не. Если выполняется восстановление состояния системы и только пользователи, помечаются как заслуживающий доверия, их членства в группах будет восстановлен на контроллере домена, восстановление было сделано на (прямые ссылки в группе объекты будут восстановлены в состояние системы восстановления). Если членство в группах не был изменен с момента завершения резервного копирования состояния системы, репликация групп не будет выполняться после восстановления. Это приводит к несогласованности членства в группах между контроллерами домена. Изменение членства в группе на одном контроллере домена текущее содержимое группы на этом контроллере домена будут реплицироваться на другие контроллеры домена.

Решение

Предупреждение: Следующая информация внимательно прочтите перед выполнением процедуры, описанные в данном разделе. Сведения о пользователе и группе может быть безвозвратно потеряны, если не точно выполняйте эту процедуру. Помните, что сделать и проверить файл резервной копии службы каталогов Active Directory для уполномоченного домена контроллер, прежде чем продолжить.

Чтобы устранить эту проблему, все параметры безопасности объектов-участников (пользователей, групп и компьютеров), должно быть принудительно восстановлена и реплицировать на все контроллеры домена и все группы объекты необходимо принудительно восстановить и реплицировать все домена контроллеры еще раз. При использовании этой процедуры все потенциальные члены группы (пользователи, группы и компьютеры), в базе данных до начала второго восстановления и backlinks, сохраняются.

После принудительного восстановления учетные записи пользователей и их членство в группах, найти контроллер домена с достаточно сведений, чтобы пометить как удостоверяющий, а затем отключить контроллер домена из сети. Этот сервер становится основным сервером времени контроллер домена.

Для решения этой проблемы:
  1. Полную резервную копию состояния компьютера резервное копирование это во время этого возникает достоверная копия службы каталогов Active Directory в случае об ошибке процедура.
  2. Отключите оба внутри узла и межсайтовый Создание топологии.Для получения дополнительных сведений о том, как отключить внутрисайтовой и межсайтовой топологии, щелкните следующий номер статьи для просмотра в статье базы знаний Майкрософт:
    242780 Как средство для отключения знания проверки согласованности от автоматического создания топологии репликации
  3. Запустите оснастку Active Directory — сайты и службы, и Удалите все объекты подключения в группе объект параметров NTDS для контроллер домена доверенным.

    После завершения этого шага контроллер домена будет запрещено выполнение репликации изменений во время этого процедура. Партнеры репликации контроллера домена доверенным по-прежнему имеются объекты подключения, указывающие на этот сервер, и подключить их к по запросу удостоверяющие данные с сервера.
  4. Перезагрузите компьютер в режиме восстановления Active Directory.
  5. Принудительное восстановление каждой нужной учетной записи по отдельности. Например, для восстановления учетной записи пользователя Ивана Кузнецова в учет организационное подразделение в NWTRADERS.MSFT, используйте следующий синтаксис:
    Принудительное восстановление: Восстановление поддерева "cn = Джеймс Иванов, ou = Бухгалтерия, dc = nwtraders, dc = msft "
    Примечание: Поскольку средство Ntdsutil можно написать сценарии, создание список учетных записей пользователей для восстановления и передать его в сценарии. A пример сценария, описанного в разделе «Дополнительная информация» этой статьи.

    Можно также восстановить всего Подразделения, в основном содержит пользователей и группы.
  6. Перезагрузите компьютер в обычном режиме.
  7. Разрешить восстановленных пользователей обычно репликации.

    Для принудительной репликации с контроллера домена доверенным партнерам используйте средство ReplMon или оснастке «Active Directory — сайты и службы».
  8. Когда пользователи, реплицируются на все контроллеры домена, Перезагрузите компьютер в режиме восстановления Active Directory.
  9. Принудительно восстановить каждую учетную запись группы, содержащихся ранее восстановленных объектов. Например, чтобы восстановить веб-администратора Группа в подразделении ITG в NWTRADERS.MSFT, используйте следующие синтаксис:
    Принудительное восстановление: Восстановление поддерева "cn = Web Администратор, ou = ITG, dc = nwtraders, dc = msft "
    Примечание: Поскольку средство Ntdsutil можно написать сценарии, создание список групп для восстановления и передать его в сценарии. Образец сценарий описан в разделе «Дополнительная информация» этой статьи.
  10. Перезагрузите компьютер в обычном режиме.
  11. Разрешить восстановленной группы репликации в обычном режиме.

    Для принудительной репликации с контроллера домена доверенным партнерам используйте средство ReplMon или оснастке «Active Directory — сайты и службы».
  12. Отменить изменения, внесенные в объект узла, созданного на шаге два из этой процедуры.

Статус

Корпорация Майкрософт подтверждает, что это проблема в продуктах Microsoft, перечисленных в разделе «Относится к».

Дополнительная информация

После того, как контроллер домена доверенным не подключен по сети, запустите следующий сценарий перед компьютер запущен в режиме восстановления Active Directory для получения списка пользователи:
List.vbs
--------
Set strOU = GetObject("LDAP://localhost/ou=layer two,ou=layer one,ou=test,dc=i,dc=j,dc=com")
strOU.Filter = Array("user")

For Each Member in strOU 
  Wscript.Echo Chr(92) & Chr(34) & member.distinguishedname & Chr(92) & Chr(34)
Next
					
Примечание: Сделать необходимо, измените путь к подразделению в Первая строка для указания пути, которая содержит пользователей и группы, чтобы быть восстановлен. Кроме того можно использовать этот же сценарий для создания списка пользователей, либо или группы.

Список групп, измените фильтр во второй строке, чтобы:
oU.Filter=Array("group")
					
Чтобы запустить этот сценарий и получить результат в текст файл, введите следующую команду в командной строке (выполнить эту команду в же папке, что сценарий):
Cscript //nologo list.vbs > users.txt
После создания списка пользователей и список групп, с помощью программы Ntdsutil для принудительного восстановления каждой записи:
Authrest.cmd
------------
@echo off
ntdsutil "popups off" "authoritative restore" "restore subtree %1" quit quit
					
Для выполнения данного сценария для каждой записи в списке Пользователи или группы, используйте Дополнительные Команда чтения запись в списке и передать его в пакет файл, описанный выше. Введите следующую команду в командной строке (Создание Эти файлы в той же папке, как две текстовые файлы, созданные в более ранней версии):
for/f» маркеры = * "%i в (users.txt) у authrest %i
Эта команда выполняет цикл по каждой строке текстового файла и Принудительное восстановление пользователя.

Свойства

Код статьи: 280079 - Последний отзыв: 5 июня 2011 г. - Revision: 5.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Advanced Server
  • операционная система Microsoft Windows 2000 Server
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
Ключевые слова: 
kbprb kbmt KB280079 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:280079

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com