Autoritativní obnovení skupin mohou mít za následek nekonzistentní členství informace mezi řadiči domény

Podpora pro Windows Server 2003 byla ukončena 14. července 2015

Společnost Microsoft ukončila podporu pro Windows Server 2003 dne 14. července 2015. Tato změna ovlivnila aktualizace softwaru a možnosti zabezpečení. Další informace o tom, co to pro vás znamená a jak zajistit ochranu.

Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.

Projděte si také anglickou verzi článku:280079
Tento článek byl archivován. Je nabízen v takovém stavu, v jakém je, a nebude již nadále aktualizován.
Příznaky
Po provedení autoritativního obnovení uživatelů a skupin, členství ve skupinách obnovená může být nekonzistentní mezi řadiči domény.

Pokud skupiny je na řadiči domény obnovená prázdný, ale je naplněna na řadiči domény replik potom při přidání uživatele do skupiny v řadiči domény obnovená, budou uživatelé odebráni ze skupiny v řadičích domény replik.

Stejné chování může dojít s atributem ManagedBy může být prázdné po autoritativní obnovení.

Další informace o těchto typech problémy klepněte na následující číslo článku databáze Microsoft Knowledge Base:
840001Jak obnovit odstraněné uživatelských účtů a jejich členství ve službě Active Directory


Poznámka: Tento článek nahrazuje článek 840001.
Příčina
Tento problém může nastat, protože členství ve skupině je uložen jako atribut člena na objekt skupiny. Při zaregistrovaný objekt zabezpečení (uživatele, skupiny nebo počítače) je přidán do skupiny backlink je přidán do atributu MemberOf na objekt zaregistrovaný objekt. Během autoritativní obnovení objekt skupiny obnovena před objekt uživatele pak Active Directory odebere hodnotu z atributu Member na skupině protože uživatel, který má odpovídající backlink neexistuje.

Po autoritativní obnovení je informace o verzi na atribut členů skupin obnovená konzistentní na každém řadiči domény, přestože hodnoty atributu nejsou. Kdykoli upravit členství ve skupině je zvýšen číslo verze a obsah skupiny jsou replikovaných do všech řadičů domény. Skupiny je změněn na řadiči domény, který má platné členství, potom jsou replikovány úplný obsah skupiny a data nejsou ztraceny. Však Pokud skupiny je změněn na řadiči domény obnovené poté pouze přidané uživatele jsou replikovány a jsou uživatelé odebráni ze skupiny v řadičích domény replik.

Poznámka: Problém může nastat, i když jsou autoritativně obnovit uživatelé a skupiny nejsou. Pokud provádí obnovení stavu systému a pouze uživatelé jsou označeny jako autoritativní, jejich členství ve skupině obnoven na řadič domény obnovení byla provedena na (protože vpřed odkazy ve skupině by objekty byly obnoveny v stav systému obnovit). Pokud členství skupin nezměnil od dokončení zálohy dat Stav systému, bude provedeno žádné replikace pro skupiny po obnovení. Výsledkem nekonzistentní členství mezi řadiči domény. Změna členství ve skupině na jeden řadič domény replikovat aktuální obsah skupiny řadiči domény do ostatních řadičů domény.
Řešení
Upozornění: před provést postup popsaný v této části pečlivě přečíst následující informace. Informace o uživatelích a skupinách mohou být irretrievably ztraceny, pokud nebudete postupovat podle tohoto postupu přesně. Nezapomeňte provést a před pokračováním ověřte záložní soubor Active Directory v řadiči domény autoritativní.

Chcete-li tento problém vyřešit všechny objekty zabezpečení komitenta zabezpečení (uživatelů, skupin a počítačů) musí být autoritativně obnovit a replikovaných do všech řadičů domény a potom všechny objekty skupiny musí být autoritativně obnovit a replikovaných do všech řadičů domény. Použijte tento postup, všechny potenciální členy skupiny jsou v databázi před druhý obnovení (uživatelů, skupin a počítačů) a jsou udržovány backlinks.

Při vynuceně obnovit uživatelské účty a členství ve skupinách najít řadič domény s dostatečné informace označeny jako autoritativní a odpojit řadič domény ze sítě. Tento server stane řadič domény autoritativní.

Tento problém vyřešíte takto:
 1. Provést úplné zálohování stav počítače zálohovat tuto autoritativní kopii Active Directory v případě během tohoto postupu dojde k chybě.
 2. Zakázat i uvnitř sítě a mezisíťové topologie generování. Další informace o zakázání uvnitř sítě a topologii mezi sítěmi, klepněte na článek číslo článku databáze Microsoft Knowledge Base:
  242780Jak zakázání Knowledge konzistence Checker od vytvoření automaticky topologii replikace
 3. Spuštění sítě a modul snap-in služby a odstranit všechny objekty připojení pod objekt nastavení NTDS řadiče domény autoritativní.

  Po dokončení tohoto kroku řadič domény je zabráněno replikaci změn během tohoto postupu. Partnery replikace řadiče domény autoritativní ještě objektů připojení, přejděte na server, které umožňují jejich vyžádanou autoritativních dat ze serveru.
 4. Restartujte počítač do režimu obnovení adresářových Active.
 5. Vynuceně obnovit každý požadovaný účet jednotlivě. Například obnovit Novák James uživatelský účet v účetnictví organizační jednotku v NWTRADERS.MSFT, použijte následující syntaxi:
  autoritativní obnovení: obnovit podstrom "cn = James Novák, ou = Accounting, dc = nwtraders, dc = msft"
  Poznámka: protože nástroj Ntdsutil můžete být scripted, můžete vygenerovat seznam uživatelských účtů být obnovena a předat, které do skriptu. Ukázkový skript je popsána v části "Další informace" v tomto článku.

  Pokud většinou obsahuje uživatele a skupiny můžete také obnovit celý OU.
 6. Restartujte počítač do režimu Normální.
 7. Povolit uživatelům obnovená replikovat normálně.

  Vynutit partnery replikace z řadiče domény autoritativní použít buď nástroj ReplMon nebo sítě a modul snap-in služby.
 8. Když uživatelé jsou replikovány do všech řadičů domény, restartujte počítač do režimu obnovení adresářových Active.
 9. Každý účet skupiny obsažené dříve Obnovené objekty autoritativně obnovit. Například obnovit webový správce skupiny ITG organizační jednotku v NWTRADERS.MSFT, použijte následující syntaxi:
  autoritativní obnovení: obnovit podstrom "cn = webový správce, ou = ITG, dc = nwtraders, dc = msft"
  Poznámka: protože nástroj Ntdsutil můžete být scripted, můžete vygenerovat seznam skupin obnoveny a předávat, které do skriptu. Ukázkový skript je popsána v části "Další informace" v tomto článku.
 10. Restartujte počítač do režimu Normální.
 11. Povolit obnovená skupin replikovat normálně.

  Vynutit partnery replikace z řadiče domény autoritativní použít buď nástroj ReplMon nebo sítě a modul snap-in služby.
 12. Vrátit zpět změny v objektu sítě, které jste provedli v kroku dvě tento postup.
Prohlášení
Společnost Microsoft potvrzuje, že se jedná o problém v produktech této společnosti, které jsou uvedeny v části Informace v tomto článku jsou určeny pro produkt.
Další informace
Po řadič domény autoritativní byl odpojen od sítě, spusťte následující skript před spuštění počítače do režimu obnovení Active adresářových získat seznam uživatelů:
List.vbs--------Set strOU = GetObject("LDAP://localhost/ou=layer two,ou=layer one,ou=test,dc=i,dc=j,dc=com")strOU.Filter = Array("user")For Each Member in strOU  Wscript.Echo Chr(92) & Chr(34) & member.distinguishedname & Chr(92) & Chr(34)Next					
Poznámka: Zkontrolujte, zda změnit cestu organizační jednotky v prvním řádku přejděte na cestu, která obsahuje uživatele a skupiny být obnovena. Můžete také použít tento skript stejné vytvořit seznam uživatelů nebo skupin.

Chcete-li zobrazit seznam skupin, změnit filtr v druhém řádku:
oU.Filter=Array("group")					
Chcete-li spustit tento skript a získat výstup do textového souboru, zadejte následující příkaz příkazového řádku (Tento příkaz Spustit ve stejné složce jako skript):
cscript //nologo list.vbs > users.txt
Po vytvoření seznamu uživatelů a seznamu skupin můžete použít Ntdsutil vynuceně obnovit jednotlivé položky:
Authrest.cmd------------@echo offntdsutil "popups off" "authoritative restore" "restore subtree %1" quit quit					
Spustit tento skript pro každou položku v seznamu uživatelů nebo skupin pomocí příkazu pro čtení položky v seznamu a předávat do dávkového souboru popsané výše. Na příkazovém řádku zadejte následující příkaz (vytvoření těchto souborů ve stejné složce jako dva textové soubory, které jste vytvořili):
pro /f "tokeny = *" %i (users.txt) proveďte authrest %i
Tento příkaz prochází každý řádek textového souboru a obnoví autoritativně uživatele.

Upozornění: Tento článek je přeložený automaticky

Vlastnosti

ID článku: 280079 - Poslední kontrola: 12/05/2015 22:52:54 - Revize: 11.4

Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Server, Microsoft Windows Small Business Server 2003 Premium Edition, Microsoft Windows Small Business Server 2003 Standard Edition

 • kbnosurvey kbarchive kbmt kbprb KB280079 KbMtcs
Váš názor