أدجروبميمبير الحصول على إرجاع الخطأ لمجموعة المجال المحلية إلى أعضاء من الغابات النائية

هام: تمت ترجمة هذه المقالة باستخدام برامج مايكروسوفت للترجمة الآلية ومن المحتمل ان يتم تحريرها او تدقيقها بعد ذلك من خلال تكنولوجيا منصة مجموعات الترجمة(CTF) او من خلال مترجم بشري. تقدم لك شركة مايكروسوفت هذه المقالات المترجمة بشكل آلي او بالترجمة البشرية او بعد تحريرها وتدقيقها من قبل مجموعات الترجمة حتى تمكنكم من الوصول إلى جميع المقالات الموجودة في قواعد المعرفة لديها بلغات مختلفة. إلا أن المقالات المترجمة قد تحتوي على أخطاء في المفردات او بناء الجمل او النحو. وعليه، فإن شركة مايكروسوفت ليست مسؤولة عن اية أخطاء او عدم دقة في الترجمة او أية أضرار قد تحدث نتيجة أخطاء في ترجمة محتويات النص او استخدامه من قبل العملاء.

اضغط هنا لرابط المقالة باللغة الانجليزية3171600
الأعراض
بافتراض استخدام cmdlet أدجروبميمبير الحصول علىتعريف أعضاء المجموعة في "خدمات مجال خدمة active Directory" (AD DS). ومع ذلك، عند تشغيل cmdlet لمجموعة مجال محلية، يتم إرجاع الخطأ التالي:

Get-ADGroupMember -verbose -identity "CN=Test-Local1,OU=Test Accounts,DC=contoso,DC=com"Get-ADGroupMember : An unspecified error has occurredAt line:1 char:1+ Get-ADGroupMember -verbose -identity "CN=Test-Local1,OU=Test Accounts,DC=contoso ...+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~    + CategoryInfo          : NotSpecified: (CN=Test-Local1,...bertm-w7,DC=com:ADGroup) [Get-ADGroupMember], ADExcepti onon    + FullyQualifiedErrorId : ActiveDirectoryServer:0,Microsoft.ActiveDirectory.Management.Commands.GetADGroupMember
السبب
تحدث هذه المشكلة إذا كانت المجموعة تحتوي على عضو من مجموعة تفرعات أخرى تمت إزالة حسابه من حساب المجموعة. يتم تمثيل الأعضاء في المجال المحلي بالأجانب الأمان الأساسي (FSP). في LDIFDE تصدير مجموعة، عضوية يظهر كما يلي:
dn: CN=Test-Local1,OU=Test Accounts,DC=contoso,DC=com…member:  CN=S-1-5-21-3110691720-3620623707-1182478234-698540,CN=ForeignSecurityPrincipals,DC=contoso,DC=commember:  CN=S-1-5-21-3110691720-3620623707-1182478234-695739,CN=ForeignSecurityPrincipals,DC=contoso,DC=com
عند حذف حساب المصدر مع SID FSP تحديث أو إزالة لتعكس هذا الحذف. يجب أن مانواليفيريفي التي تتم إزالة هذه المراجع FSP.
الحل
لحل هذه المشكلة، تمكين التسجيل لتحليل الطلبات المتعلقة بهذه الدول الجزرية الصغيرة النامية والتي يتم تنفيذها بواسطة "خدمة ويب الدليل النشط". وبهذه الطريقة، يمكنك تحديد الحسابات التي تفشل دقة. للقيام بذلك، تشغيل cmdlet أدجروبميمبير الحصول على وحدة تحكم المجال من contoso.com (حيث يمثل العنصر النائب المجال المعني).

لتمكين تسجيل الدخول، قم بتشغيل أسطر الأوامر التالية:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgInfoLevel -Value 0x800 -Type dword -Force Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgTraceOptions -Value 0x1 -Type dword -ForcePlease remember turning the logging off when you have the log:Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgInfoLevel -Value 0x0 -Type dword -Force 
سوف تشاهد ملف اسمc:\windows\debug\lsp.log، الذي يتتبع دقة اسم SID محاولات. عند إعادة تشغيل cmdlet على وحدة تحكم المجال حيث تم تنفيذها cmdlet، سيسجل الفشل الملف وسوف تشبه ما يلي:

LspDsLookup - Entering function LsapLookupSidsLspDsLookup - LookupSids request for 1 SIDs with level=1, mappedcount=0, options=0x0, clientRevision=2 is being processed. SIDs are;LspDsLookup -         Sids[ 0 ] = S-1-5-21-3110691720-3620623707-1182478234-698540LspDsLookup -   Requestor details: Local Machine, Process ID = 1408, Process Name = C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exeLspDsLookup - Entering function LsapDbLookupSidsUsingIdentityCacheLspDsLookup - 1 sids remain unmappedLspDsLookup - Exiting function LsapDbLookupSidsUsingIdentityCache with status 0x0LspDsLookup - LookupSids chain request (using Netlogon) to \\dc3.northwindsails.com for 1 sids will be made with level=6, mappedcount=0, options=0x0, serverRevision=0. Sids are;LspDsLookup -         Sids[ 0 ] = S-1-5-21-3110691720-3620623707-1182478234-698540LspDsLookup - Lookup request (using Netlogon) to \\dc3.northwindsails.com returned with 0xc0000073 and mappedcount=0, serverRevision=0LspDsLookup - Exiting function LsapLookupSids with status 0xc0000073
التحقق من وجود توفيريفي العناصر التالية أنها الأقسام ذات الصلة لهذه المشكلة (في السابق عينة الإخراج):
  • هذه العملية هي C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe.
  • يتم إرسال الطلب إلى وحدة تحكم مجال في مجموعة تفرعات مختلفة — على سبيل المثال، northwindsails.com.
  • رمز الإرجاع موجود 0xc0000073، أي ما يعادل STATUS_NONE_MAPPED.

للعثور على كائن FSP، بتشغيل الأمر التالي (استبدال أسماء المجالات والدول الجزرية الصغيرة النامية):
get-AdObject -Searchbase "CN=ForeignSecurityPrincipals,DC=contoso,DC=com" -ldapfilter "(cn=S-1-5-21-3110691720-3620623707-1182478234-698540)"

الكائن الأصلي لهذا FSP لم يعد موجوداً، حيث يمكنك حذفه بأمان. هذا الإجراء أيضا إزالة من كافة المجموعات التي يكون عضوا:

get-AdObject -Searchbase "CN=ForeignSecurityPrincipals,DC=contoso,DC=com" -ldapfilter "(cn=S-1-5-21-3110691720-3620623707-1182478234-698540)" | Remove-AdObject -Confirm:$false

تحذير: تمت ترجمة هذه المقالة تلقائيًا

Eigenschaften

Artikelnummer: 3171600 – Letzte Überarbeitung: 06/23/2016 21:51:00 – Revision: 3.0

Windows Server 2008 Standard, Windows Server 2008 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Windows Server 2012 Standard, Windows Server 2012 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Datacenter

  • kbmt KB3171600 KbMtar
Feedback