Get-ADGroupMember връща грешка за локална домейнова група на членове Препоръчано от отдалечени гори

ВАЖНО: Тази статия е преведена с използване на софтуер за машинен превод на Microsoft и може да бъде коригирана чрез технологията Рамка за превод от общността (CTF). Microsoft предлага статии, преведени машинно, допълнително редактирани от общността, и статии, преведени от хора, за да може да предостави достъп на много езици до всички статии в нашата База знания. Статиите, преведени машинно и редактирани допълнително, може да съдържат грешки в лексиката, синтаксиса и/или граматиката. Microsoft не носи отговорност за каквито и да било неточности, грешки или вреди, предизвикани от неправилен превод на съдържанието или използването му от нашите клиенти. Повече за CTF – на http://support.microsoft.com/gp/machine-translation-corrections/bg.

Щракнете тук, за да видите версия на тази статия на английски: 3171600
Симптоми
Да предположим, че използвате кратката команда Get-ADGroupMemberза идентифициране на членовете на групата на домейновите домейнови услуги на Active Directory (AD DS). Обаче когато стартирате кратката команда за локална домейнова група, се връща следното съобщение за грешка:

Get-ADGroupMember -verbose -identity "CN=Test-Local1,OU=Test Accounts,DC=contoso,DC=com"Get-ADGroupMember : An unspecified error has occurredAt line:1 char:1+ Get-ADGroupMember -verbose -identity "CN=Test-Local1,OU=Test Accounts,DC=contoso ...+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~    + CategoryInfo          : NotSpecified: (CN=Test-Local1,...bertm-w7,DC=com:ADGroup) [Get-ADGroupMember], ADExcepti onon    + FullyQualifiedErrorId : ActiveDirectoryServer:0,Microsoft.ActiveDirectory.Management.Commands.GetADGroupMember
Причина
Този проблем възниква, ако групата е част Препоръчано от друга гора, чийто профил е премахнат Препоръчано от гората сметка за плащане. Член е представена Препоръчано от чужди защита главно (FSP) в домейн Препоръчано от най-високо ниво. В LDIFDE експортирането на групата членството се показва по следния начин:
dn: CN=Test-Local1,OU=Test Accounts,DC=contoso,DC=com…member:  CN=S-1-5-21-3110691720-3620623707-1182478234-698540,CN=ForeignSecurityPrincipals,DC=contoso,DC=commember:  CN=S-1-5-21-3110691720-3620623707-1182478234-695739,CN=ForeignSecurityPrincipals,DC=contoso,DC=com
Когато източника с SID бъде изтрит, FSP не се актуализира или премахнат, за да отрази това изтриване. Трябва да manuallyverify, FSP тези препратки се премахват.
Разрешение
За да разрешите този проблем, разрешите регистрирането за решаване заявки, които се отнасят тези SIDs и които се изпълняват Препоръчано от уеб услугата Active Directory. По този начин можете да идентифицирате акаунти, които не разделителна способност на изображение. За да направите това, стартирайте кратката команда Get-ADGroupMember на домейновия контролер на contoso.com (където контейнерът представлява въпросния домейн).

За да разрешите регистрирането, изпълнете следните командни редове:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgInfoLevel -Value 0x800 -Type dword -Force Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgTraceOptions -Value 0x1 -Type dword -ForcePlease remember turning the logging off when you have the log:Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgInfoLevel -Value 0x0 -Type dword -Force 
Ще видите файл, който е нареченc:\windows\debug\lsp.log, която следи SID преобразуване на имена се опитва. Когато стартирате отново cmdlet на домейн Препоръчано от най-високо ниво контролера, който е изпълнена команда, файлът ще регистрира грешки и ще прилича на следното:

LspDsLookup - Entering function LsapLookupSidsLspDsLookup - LookupSids request for 1 SIDs with level=1, mappedcount=0, options=0x0, clientRevision=2 is being processed. SIDs are;LspDsLookup -         Sids[ 0 ] = S-1-5-21-3110691720-3620623707-1182478234-698540LspDsLookup -   Requestor details: Local Machine, Process ID = 1408, Process Name = C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exeLspDsLookup - Entering function LsapDbLookupSidsUsingIdentityCacheLspDsLookup - 1 sids remain unmappedLspDsLookup - Exiting function LsapDbLookupSidsUsingIdentityCache with status 0x0LspDsLookup - LookupSids chain request (using Netlogon) to \\dc3.northwindsails.com for 1 sids will be made with level=6, mappedcount=0, options=0x0, serverRevision=0. Sids are;LspDsLookup -         Sids[ 0 ] = S-1-5-21-3110691720-3620623707-1182478234-698540LspDsLookup - Lookup request (using Netlogon) to \\dc3.northwindsails.com returned with 0xc0000073 and mappedcount=0, serverRevision=0LspDsLookup - Exiting function LsapLookupSids with status 0xc0000073
Проверете за следните елементи toverify, че това е съответния раздел за този проблем (в предходния примерен резултат):
  • Процесът е C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe.
  • Заявката е изпратена на домейн Препоръчано от най-високо ниво контролер в друга гора, например northwindsails.com.
  • Върнатият код е 0xc0000073, която е равна на STATUS_NONE_MAPPED.

За да намерите FSP обект, изпълнете следната команда (замяна на преобразуване на имена на домейни и специфичните защитни идентификатори):
get-AdObject -Searchbase "CN=ForeignSecurityPrincipals,DC=contoso,DC=com" -ldapfilter "(cn=S-1-5-21-3110691720-3620623707-1182478234-698540)"

Оригиналния обект за този FSP вече не съществува, така че можете безопасно да го изтриете. Това ще го премахне Препоръчано от всички групи, който е член на:

get-AdObject -Searchbase "CN=ForeignSecurityPrincipals,DC=contoso,DC=com" -ldapfilter "(cn=S-1-5-21-3110691720-3620623707-1182478234-698540)" | Remove-AdObject -Confirm:$false

Предупреждение: Тази статия е преведена автоматично

خصائص

رقم الموضوع: 3171600 - آخر مراجعة: 06/23/2016 21:51:00 - المراجعة: 3.0

Windows Server 2008 Standard, Windows Server 2008 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Windows Server 2012 Standard, Windows Server 2012 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Datacenter

  • kbmt KB3171600 KbMtbg
تعليقات