Autorisierende Wiederherstellung der Gruppen kann inkonsistente Mitgliedschaftsinformationen zu allen Domänencontrollern führen

Der Support für Windows Server 2003 ist am 14. Juli 2015 abgelaufen.

Microsoft beendete den Support für Windows Server 2003 am 14. Juli 2015. Diese Änderung wirkt sich auf Ihre Softwareupdates und Sicherheitsoptionen aus. Erfahren Sie, was das für Sie bedeutet und wie Sie Ihren Schutz aufrechterhalten können.

Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.

Den englischen Originalartikel können Sie über folgenden Link abrufen: 280079
Dieser Artikel wurde archiviert. Er wird im vorliegenden Zustand bereitgestellt und nicht mehr aktualisiert.
Problembeschreibung
Nach der Durchführung einer autorisierenden Wiederherstellung von Benutzern und Gruppen, die Mitgliedschaft in den wiederhergestellten Gruppen können auf Domänencontrollern inkonsistent sein.

Wenn die Gruppe auf dem wiederhergestellten Domänencontroller leer ist, jedoch wird aufgefüllt auf einem Domänencontroller Replikat dann, wenn ein Benutzer der Gruppe auf den wiederhergestellten Domänencontroller hinzugefügt wird, sind Benutzer aus der Gruppe der Replikat-Domänencontroller entfernt.

Dasselbe Verhalten kann mit dem Attribut ManagedBy auftreten, die nach einer autorisierenden Wiederherstellung eventuell leer ist.

Weitere Informationen über diese Art von Problemen finden Sie die folgende KB-Artikelnummer:
840001Zum Wiederherstellen gelöschter Benutzerkonten und ihrer Gruppenmitgliedschaften in Active Directory


Hinweis: Knowledge Base-Artikel 840001 ersetzt in diesem Artikel.
Ursache
Dieses Problem kann auftreten, da die Gruppenmitgliedschaft als des Mitgliedsattributs für das Gruppenobjekt gespeichert wird. Wenn ein Sicherheitsprinzipal ist (Benutzer, Gruppe oder Computer) zu einer Gruppe, hinzugefügt ein Rückverweis das MemberOf -Attribut auf der Principal-Objekt hinzugefügt wird. Während einer autorisierenden Wiederherstellung Wenn die Objekt-Gruppe, bevor das Benutzerobjekt wiederhergestellt wird entfernt Active Directory den Wert aus des Mitgliedsattributs für die Gruppe da ein Benutzer nicht vorhanden ist, die eine übereinstimmende Rückverweis verfügt.

Nach der autorisierenden Wiederherstellung ist die Versionsinformationen für das Element -Attribut der wiederhergestellten Gruppen auf allen Domänencontrollern konsistent, obwohl die Werte in diesem Attribut nicht sind. Wenn die Mitgliedschaft der Gruppe geändert wird, wird die Versionsnummer erhöht, und der Inhalt dieser Gruppe sind auf alle Domänencontroller repliziert. Wenn die Gruppe auf einem Domänencontroller, die eine gültige Gruppenmitgliedschaft verfügt geändert wird, dann der vollständige Inhalt der Gruppe repliziert werden, und Daten nicht verloren gehen. Jedoch, wenn die Gruppe auf dem wiederhergestellten Domänencontroller anschließend geändert wird nur der hinzugefügten Benutzer repliziert, und Benutzer aus der Gruppe der Replikat-Domänencontroller entfernt werden.

Hinweis: Dieses Problem kann auftreten, selbst wenn die Benutzer autorisierend wiederhergestellt sind und die Gruppen nicht. Wenn eine Systemstatuswiederherstellung erfolgt, und nur Benutzer als autorisierend gekennzeichnet sind, wird die Gruppenmitgliedschaft auf dem Domänencontroller wiederhergestellt werden, die auf die Wiederherstellung durchgeführt wurde, (da die forward Verknüpfungen in der Gruppe Objekte in den Systemstatus würde wiederhergestellt wurden wiederherstellen). Wenn die Mitgliedschaft der Gruppen nicht geändert wurde, da die Systemstatus-Sicherung durchgeführt wurde, erfolgt keine Replikation für die Gruppen nach der Wiederherstellung. Dies führt zu inkonsistenten Gruppenmitgliedschaft zwischen Domänencontrollern. Ändern der Mitgliedschaft der Gruppe auf einem Domänencontroller wird den aktuellen Inhalt von der Gruppe auf dem Domänencontroller auf andere Domänencontroller repliziert.
Lösung
Warnung : die folgende Informationen sorgfältig lesen, bevor Sie das in diesem Abschnitt beschriebenen Verfahren ausführen. Benutzer- und Gruppeninformationen können unwiderruflich verloren, wenn Sie dieses Verfahren nicht genau befolgen. Denken Sie daran, vornehmen und eine Sicherungsdatei der Active Directory auf dem autorisierenden Domänencontroller überprüfen, bevor Sie fortfahren.

Um dieses Problem zu beheben, alle Sicherheitsprinzipal-Objekten (Benutzer, Gruppen und Computer) müssen werden autorisierend wiederhergestellt und aus auf alle Domänencontroller repliziert und dann alle Objekte der Gruppe müssen autorisierend wiederhergestellt und erneut auf alle Domänencontroller replizierten. Wenn Sie verwenden diese Prozedur, die alle möglichen Mitglieder (Benutzer, Gruppen und Computer) in der Datenbank vor der zweiten Wiederherstellung sind, und die Backlinks werden verwaltet.

Wenn Sie eine autorisierende Wiederherstellung von Benutzerkonten und ihrer Gruppenmitgliedschaften wiederherstellen, suchen Sie einen Domänencontroller mit genügend Informationen als autorisierend gekennzeichnet werden, und trennen Sie den Domänencontroller vom Netzwerk. Dieser Server wird dem autorisierenden Domänencontroller.

Um dieses Problem zu beheben:
  1. Führen Sie eine vollständige Sicherung des den Zustand des Computers diese autorisierende Kopie von Active Directory sichern, Fall eines während dieses Vorgangs Fehlers.
  2. Deaktivieren Sie beide standortinternen und standortübergreifenden Sie Topologie Generation. Weitere Informationen dazu, wie deaktivieren Sie standortinternen und standortübergreifenden Topologie zu, finden Sie die Artikelnummer unten klicken, um der Microsoft Knowledge Base:
    242780Anleitungen zum Deaktivieren der Knowledge Consistency Checker von Replikationstopologie automatisch erstellen
  3. Starten Sie Active Directory-Standorte und Dienste-Snap-in, und löschen Sie alle Verbindungsobjekte unter dem Objekt NTDS-Einstellungen für den autorisierenden Domänencontroller.

    Nach Abschluss dieser Schritt wird der Domänencontroller daran gehindert, Replizieren von Änderungen während dieses Vorgangs. Die Replikationspartner des Domänencontrollers autorisierenden müssen noch Verbindungsobjekte, die auf dem Server zeigen, mit der die autorisierenden Daten vom Server abrufen.
  4. Starten den Computer in Active Directory Restore-Modus neu.
  5. Eine autorisierende Wiederherstellung jedes erforderliche Konto einzeln. Um das Benutzerkonto für James Smith wiederherstellen beispielsweise in der Buchhaltung verwenden Organisationseinheit in nwtraders.msft, die folgende Syntax:
    autorisierende Wiederherstellung: restore Subtree "Cn = James Smith, Ou = Buchhaltung, dc = Nwtraders, dc = Msft"
    Hinweis : Da Tool Ntdsutil Skripts verwendet werden kann, können Sie eine Liste von Benutzerkonten wiederhergestellt werden, und übergeben, das Skript erstellen. Ein Beispielskript wird in den Abschnitt "Weitere Informationen" in diesem Artikel beschrieben.

    Sie können auch hier eine ganze ORGANISATIONSEINHEIT wiederherstellen, wenn es vor allem Benutzer und Gruppen enthält.
  6. Starten Sie den Computer im normalen Modus neu.
  7. Benutzern Sie die wiederhergestellten normalerweise replizieren.

    Partner aus dem autorisierenden Domänencontroller replizieren erzwingen möchten, verwenden Sie das Tool ReplMon, oder die Active Directory-Standorte und Dienste-Snap-in.
  8. Wenn der Benutzer auf alle Domänencontroller repliziert werden, starten den Computer in Active Directory Restore-Modus neu.
  9. Eine autorisierende Wiederherstellung jedes Gruppenkonto, das die zuvor wiederhergestellten Objekte enthalten. Um beispielsweise Web Administrator wiederherstellen in der Organisationseinheit ITG in nwtraders.msft gruppieren, verwenden Sie die folgende Syntax:
    autorisierende Wiederherstellung: restore Subtree "Cn = Web Administrator, Ou = ITG, dc = Nwtraders, dc = Msft"
    Hinweis : Da das Befehlszeilenprogramm Ntdsutil kann Skripts verwendet werden können Sie eine Liste der Gruppen wiederhergestellt werden, und übergeben, das Skript erstellen. Ein Beispielskript wird in den Abschnitt "Weitere Informationen" in diesem Artikel beschrieben.
  10. Starten Sie den Computer im normalen Modus neu.
  11. Ermöglichen Sie die wiederhergestellten Gruppen normalerweise replizieren.

    Partner aus dem autorisierenden Domänencontroller replizieren erzwingen möchten, verwenden Sie das Tool ReplMon, oder die Active Directory-Standorte und Dienste-Snap-in.
  12. Die Änderungen des Standortobjekts, die Sie im Schritt vorgenommen rückgängig zu machen zwei dieser Prozedur.
Status
Microsoft hat bestätigt, dass dies ein Problem in Microsoft-Produkten handelt, die im Abschnitt "Gilt für" aufgeführt sind.
Weitere Informationen
Nachdem der autorisierenden Domänencontroller vom Netzwerk getrennt wurde, können Sie das folgende Skript ausführen, bevor der Computer in Active Directory Restore Modus beim Abrufen der Liste von Benutzern gestartet wird:
List.vbs--------Set strOU = GetObject("LDAP://localhost/ou=layer two,ou=layer one,ou=test,dc=i,dc=j,dc=com")strOU.Filter = Array("user")For Each Member in strOU   Wscript.Echo Chr(92) & Chr(34) & member.distinguishedname & Chr(92) & Chr(34)Next					
Hinweis : Stellen Sie sicher, dass Sie den Organisationseinheit-Pfad in der ersten Zeile, auf den Pfad verweisen, die wiederhergestellt werden Benutzer und Gruppen enthält, ändern. Diese dasselbe Skript können Sie auch eine Liste von Benutzern oder Gruppen erstellen.

Liste Gruppen, den Filter in der zweiten Zeile zu ändern:
oU.Filter=Array("group")					
Geben Sie dieses Skript ausführen, und erhalten die Ausgabe in eine Textdatei, den folgenden Befehl an der Eingabeaufforderung (dieser Befehl im gleichen Ordner wie das Skript ausgeführt):
Cscript //nologo list.vbs > users.txt
Nachdem Sie die Liste der Benutzer und die Liste der Gruppen erstellt haben, können Sie Ntdsutil verwenden, um jeden Eintrag eine autorisierende Wiederherstellung:
Authrest.cmd------------@echo offntdsutil "popups off" "authoritative restore" "restore subtree %1" quit quit					
Verwenden Sie dieses Skript für jeden Eintrag in der Liste der Benutzer oder Gruppen ausführen, den Befehl für Eintrag in der Liste lesen und an die oben beschriebene Batchdatei übergeben ein. Geben Sie den folgenden Befehl an der Befehlszeile (diese Dateien in demselben Ordner wie die zwei Textdateien, die Sie zuvor erstellt haben erstellen):
für/f "Tokens = *" %i in (users.txt) führen %i Authrest
Dieser Befehl durchläuft jede Zeile der Textdatei und den Benutzer autorisierend wiederhergestellt.

Warnung: Dieser Artikel wurde automatisch übersetzt.

Eigenschaften

Artikelnummer: 280079 – Letzte Überarbeitung: 12/05/2015 22:52:55 – Revision: 11.4

Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Server, Microsoft Windows Small Business Server 2003 Premium Edition, Microsoft Windows Small Business Server 2003 Standard Edition

  • kbnosurvey kbarchive kbmt kbprb KB280079 KbMtde
Feedback