Get-ADGroupMember Fehlermeldung für lokale Gruppen der Domäne Mitglieder von remote Gesamtstrukturen

Wichtig: Dieser Artikel wurde maschinell übersetzt und wird dann möglicherweise mithilfe des Community Translation Framework (CTF) von Mitgliedern unserer Microsoft Community nachbearbeitet. Weitere Informationen zu CTF finden Sie unter http://support.microsoft.com/gp/machine-translation-corrections/de.

Den englischen Originalartikel können Sie über folgenden Link abrufen: 3171600
Problembeschreibung
Angenommen Sie, Sie das Cmdlet " Get-ADGroupMember" Identifizieren der Gruppe in Active Directory-Domänendienste (AD DS) verwenden. Beim Ausführen des Cmdlets für lokale Gruppe einer Domäne wird die folgende Fehlermeldung zurückgegeben:

Get-ADGroupMember -verbose -identity "CN=Test-Local1,OU=Test Accounts,DC=contoso,DC=com"Get-ADGroupMember : An unspecified error has occurredAt line:1 char:1+ Get-ADGroupMember -verbose -identity "CN=Test-Local1,OU=Test Accounts,DC=contoso ...+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~    + CategoryInfo          : NotSpecified: (CN=Test-Local1,...bertm-w7,DC=com:ADGroup) [Get-ADGroupMember], ADExcepti onon    + FullyQualifiedErrorId : ActiveDirectoryServer:0,Microsoft.ActiveDirectory.Management.Commands.GetADGroupMember
Ursache
Dieses Problem tritt auf, wenn die Gruppe Mitglied einer anderen Gesamtstruktur hat, dessen Konto aus der Gesamtstruktur entfernt wurde. Das Element wird in der lokalen Domäne von einem Foreign Security Principal (FSP) dargestellt. LDIFDE Exportieren der Gruppe ist Mitglied wie folgt angezeigt:
dn: CN=Test-Local1,OU=Test Accounts,DC=contoso,DC=com…member:  CN=S-1-5-21-3110691720-3620623707-1182478234-698540,CN=ForeignSecurityPrincipals,DC=contoso,DC=commember:  CN=S-1-5-21-3110691720-3620623707-1182478234-695739,CN=ForeignSecurityPrincipals,DC=contoso,DC=com
Beim Löschen des Quellkontos mit der SID des Faxdienstanbieters nicht aktualisiert oder entfernt diese Streichung. Sie müssen Manuallyverify, die diese FSP Verweise entfernt.
Lösung
Um dieses Problem zu beheben, Protokollierung für die Auflösung von Active Directory Webservice Anfragen, die diese SIDs und, ausgeführt werden. Auf diese Weise können Sie die Konten festlegen, die Auflösung nicht. Dazu führen Sie das Cmdlet " Get-ADGroupMember " auf den Domänencontroller Contoso.com (wo die fragliche Domäne steht).

Um die Protokollierung zu aktivieren, führen Sie die folgenden Befehlszeilen:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgInfoLevel -Value 0x800 -Type dword -Force Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgTraceOptions -Value 0x1 -Type dword -ForcePlease remember turning the logging off when you have the log:Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgInfoLevel -Value 0x0 -Type dword -Force 
Sie sehen eine Datei mitc:\windows\debug\lsp.logwurde der SID-Name Auflösung verfolgt versucht. Wenn das Cmdlet auf dem Domänencontroller erneut, das Cmdlet ausgeführt wurde, wird die Datei protokolliert den Fehler und wird folgendermaßen aussehen:

LspDsLookup - Entering function LsapLookupSidsLspDsLookup - LookupSids request for 1 SIDs with level=1, mappedcount=0, options=0x0, clientRevision=2 is being processed. SIDs are;LspDsLookup -         Sids[ 0 ] = S-1-5-21-3110691720-3620623707-1182478234-698540LspDsLookup -   Requestor details: Local Machine, Process ID = 1408, Process Name = C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exeLspDsLookup - Entering function LsapDbLookupSidsUsingIdentityCacheLspDsLookup - 1 sids remain unmappedLspDsLookup - Exiting function LsapDbLookupSidsUsingIdentityCache with status 0x0LspDsLookup - LookupSids chain request (using Netlogon) to \\dc3.northwindsails.com for 1 sids will be made with level=6, mappedcount=0, options=0x0, serverRevision=0. Sids are;LspDsLookup -         Sids[ 0 ] = S-1-5-21-3110691720-3620623707-1182478234-698540LspDsLookup - Lookup request (using Netlogon) to \\dc3.northwindsails.com returned with 0xc0000073 and mappedcount=0, serverRevision=0LspDsLookup - Exiting function LsapLookupSids with status 0xc0000073
Überprüfen Sie für die folgenden Elemente Toverify dieser Abschnitt relevant für dieses Problem (im vorherigen Beispielausgabe):
  • C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exeist.
  • Anfrage an einen Domänencontroller in einer anderen Gesamtstruktur – z. B. northwindsails.com.
  • Der Rückgabecode ist 0xc0000073, die STATUS_NONE_MAPPED entspricht.

Führen Sie den folgenden Befehl (Domänennamen ersetzen und SIDs), FSP-Objekt zu finden:
get-AdObject -Searchbase "CN=ForeignSecurityPrincipals,DC=contoso,DC=com" -ldapfilter "(cn=S-1-5-21-3110691720-3620623707-1182478234-698540)"

Das ursprüngliche Objekt für diese FSP ist nicht mehr vorhanden, damit Sie unbesorgt löschen können. Dadurch werden auch alle Gruppen entfernt, denen er angehört:

get-AdObject -Searchbase "CN=ForeignSecurityPrincipals,DC=contoso,DC=com" -ldapfilter "(cn=S-1-5-21-3110691720-3620623707-1182478234-698540)" | Remove-AdObject -Confirm:$false

Warnung: Dieser Artikel wurde automatisch übersetzt.

Eigenschaften

Artikelnummer: 3171600 – Letzte Überarbeitung: 06/23/2016 21:50:00 – Revision: 3.0

Windows Server 2008 Standard, Windows Server 2008 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Windows Server 2012 Standard, Windows Server 2012 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Datacenter

  • kbmt KB3171600 KbMtde
Feedback