Εισαγωγή
Τα αντικείμενα που είναι αποθηκευμένα στην υπηρεσία καταλόγου Active Directory μπορεί να γίνουν μπαγιάτικα, κατεστραμμένα ή ορφανά λόγω διενέξεων αναπαραγωγής.
Αυτό το άρθρο εστιάζει σε αντικείμενα αξιοπιστίας που μπορούν να αναγνωριστούν από το bit "INTERDOMAIN_TRUST_ACCOUNT" στο χαρακτηριστικό userAccountControl . Για λεπτομερείς πληροφορίες σχετικά με αυτό το bit, ανατρέξτε στο θέμα UserAccountControl Bits.
Συμπτώματα
Οι σχέσεις αξιοπιστίας απεικονίζονται στην υπηρεσία καταλόγου Active Directory με τα εξής:
-
Ένας λογαριασμός χρήστη που επικολλάται από έναν τελικό χαρακτήρα $.
-
Ένα αξιόπιστο αντικείμενο τομέα (TDO) αποθηκευμένο στο κοντέινερ συστήματος του διαμερίσματος καταλόγου τομέα.
Η δημιουργία διπλότυπων αξιοπιστίας θα δημιουργήσει δύο αντικείμενα με διπλότυπα ονόματα λογαριασμών Διαχείρισης λογαριασμών ασφάλειας (SAM). Στο δεύτερο αντικείμενο, η συνάρτηση SAM επιλύει τη διένεξη μετονομάζοντας το αντικείμενο σε $DUPLICATE-<account RID>. Το διπλότυπο αντικείμενο δεν μπορεί να διαγραφεί και γίνεται "ορφανό".
Σημείωση Ένα αντικείμενο της υπηρεσίας καταλόγου Active Directory λέγεται ότι είναι "ορφανό" όταν αντιπροσωπεύει ένα ενεργό θυγατρικό αντικείμενο που είναι αποθηκευμένο στην υπηρεσία καταλόγου Active Directory του οποίου λείπει το γονικό κοντέινερ. Ο όρος χρησιμοποιείται επίσης μερικές φορές για να αναφερθεί σε ένα μπαγιάτικο ή κατεστραμμένο αντικείμενο στην υπηρεσία καταλόγου Active Directory, το οποίο δεν μπορεί να διαγραφεί με τη χρήση κανονικής ροής εργασίας.
Υπάρχουν δύο κύρια μη ενημερωμένα σενάρια αξιοπιστίας:
-
Σενάριο 1: Αξιόπιστος χρήστης σε κατάσταση διένεξης
Ένας αξιόπιστος χρήστης μπορεί να πρέπει να διαγραφεί σε σενάρια όπου υπάρχουν δύο δάση και δημιουργήθηκε προηγουμένως μια αξιοπιστία μεταξύ τομέων σε αυτά τα δάση. Όταν δημιουργήθηκε για πρώτη φορά η αξιοπιστία, υπήρχε ένα πρόβλημα που απέτρεπε την αναπαραγωγή. Ένας διαχειριστής μπορεί να έχει μεταφέρει ή κατασχέσει το ρόλο ευέλικτης λειτουργίας μίας κύριας λειτουργίας (FSMO ) του πρωτεύοντα ελεγκτή τομέα (PDC) και έχει δημιουργήσει ξανά την αξιοπιστία σε έναν άλλο ελεγκτή τομέα (DC).
Αργότερα, όταν η αναπαραγωγή της υπηρεσίας καταλόγου Active Directory επανενεργοποιηθεί, οι δύο χρήστες αξιοπιστίας θα αναπαράγονται στον ίδιο ελεγκτή τομέα, προκαλώντας διένεξη ονοματοθεσίας. Στο αντικείμενο χρήστη αξιοπιστίας θα αντιστοιχιστεί ένα DN με διένεξη (CNF). για παράδειγμα:
CN=contoso$\0ACNF:a6e22a25-f60c-4f07-b629-64720c6d8b08,CN=Users,DC=northwindsales,DC=com
Ο samAccountName θα φαίνεται επίσης κατακρεουργημένος:
$DUPLICATE-3159f
Το αντικείμενο χωρίς τη διένεξη ονομάτων θα εμφανιζόταν κανονικά και θα λειτουργούσε σωστά. Μπορείτε να καταργήσετε και να αναδημιουργήσετε την αξιοπιστία.
-
Σενάριο 2: Αξιόπιστος χρήστης ορφανός
Όπως και στο Σενάριο 1, ίσως χρειαστεί να επεξεργαστείτε ή να διαγράψετε έναν αξιόπιστο χρήστη, εάν ο αξιόπιστος και αξιόπιστος συνεργάτης δεν υπάρχει πλέον, αλλά ο αξιόπιστος χρήστης εξακολουθεί να βρίσκεται στη βάση δεδομένων της υπηρεσίας καταλόγου Active Directory. Συνήθως, ο κωδικός πρόσβασης για αυτούς τους λογαριασμούς θα είναι παλιός, με αποτέλεσμα αυτός ο λογαριασμός να επισημαίνεται από εργαλεία σάρωσης ασφαλείας.
Μηνύματα σφάλματος όταν ένας διαχειριστής προσπαθεί να επεξεργαστεί τα χαρακτηριστικά μιας αξιοπιστίας
Δεν είναι δυνατή η αλλαγή των χαρακτηριστικών κλειδιού ή η διαγραφή του αντικειμένου χρήστη "ορφανή αξιοπιστία". Το ακόλουθο σφάλμα παρουσιάζεται αφού επιχειρήσετε να αλλάξετε χαρακτηριστικά που προστατεύουν το αντικείμενο:
|
Παράθυρο διαλόγου "Σφάλμα" |
Μήνυμα σφάλματος |
 |
Η λειτουργία απέτυχε. Κωδικός σφάλματος: 0x209a 0000209A: SvcErr: DSID-031A1021, πρόβλημα 5003 (WILL_NOT_PERFORM), δεδομένα 0 |
Όταν ένας διαχειριστής επιχειρεί να καταργήσει το αντικείμενο, αποτυγχάνει με σφάλμα 0x5, το οποίο είναι ισοδύναμο με το "Δεν επιτρέπεται η πρόσβαση". Εναλλακτικά, το αντικείμενο αξιοπιστίας σε διένεξη ενδέχεται να μην εμφανίζεται στο συμπληρωματικό πρόγραμμα "Τομείς και αξιοπιστία" της υπηρεσίας καταλόγου Active Directory.
|
Παράθυρο διαλόγου "Σφάλμα" |
Μήνυμα σφάλματος |
 |
Η λειτουργία απέτυχε. Κωδικός σφάλματος: 0x5
|
Αιτία
Αυτό το πρόβλημα παρουσιάζεται επειδή τα αντικείμενα αξιοπιστίας ανήκουν στο σύστημα και μπορούν να τροποποιηθούν ή να διαγραφούν μόνο από διαχειριστές που χρησιμοποιούν MMC τομέων και αξιοπιστίας της υπηρεσίας καταλόγου Active Directory. Αυτή η λειτουργικότητα είναι βάσει σχεδίασης.
Επίλυση
Μετά την εγκατάσταση των ενημερώσεων των Windows της 14ης Μαΐου 2024 σε ελεγκτές τομέα που εκτελούν τον Windows Server 2019 ή νεότερη έκδοση του Windows Server, είναι πλέον δυνατή η διαγραφή ορφανών λογαριασμών αξιοπιστίας χρησιμοποιώντας τη λειτουργία schemaUpgradeInProgress. Για να το κάνετε αυτό, ακολουθήστε αυτά τα βήματα:
-
Προσδιορίστε έναν ορφανό αξιόπιστο λογαριασμό χρήστη στον τομέα σας. Για παράδειγμα, αυτό το αποτέλεσμα από LDP.exe. Εμφανίζει μια σημαία userAccountControl0x800 που προσδιορίζει τον αξιόπιστο χρήστη:
Αναπτυσσόμενη βάση ' CN=northwindsales$,CN=Users,DC=contoso,DC=com'...
Λήψη 1 καταχωρήσεων:
Dn: CN=northwindsales$,CN=Users,DC=contoso,DC=com
…primaryGroupID: 513 = ( GROUP_RID_USERS );
pwdLastSet: 27/4/2013 10:03:05 ΜΜ Συντονισμένη παγκόσμια ώρα;
sAMAccountName: NORTHWINDSALES$;
sAMAccountType: 805306370 = ( TRUST_ACCOUNT );
userAccountControl: 0x820 = ( PASSWD_NOTREQD | INTERDOMAIN_TRUST_ACCOUNT )
;… -
Εάν είναι απαραίτητο, προσθέστε ένα λογαριασμό διαχειριστή τομέα από τον μη ενημερωμένο τομέα λογαριασμών αξιοπιστίας στην ομάδα "Διαχειριστές σχήματος" στον ριζικό τομέα του δάσους. (Ο λογαριασμός που χρησιμοποιείται για τη διαγραφή πρέπει να έχει την πρόσβαση ελέγχου "Control-Schema-Master" στη ρίζα της ρεπλίκας NC σχήματος AND πρέπει να μπορεί να συνδεθεί στον ελεγκτή τομέα που κρατάει τον ορφανό λογαριασμό.)
-
Βεβαιωθείτε ότι οι ενημερώσεις της 14ης Μαΐου 2024 ή μεταγενέστερες ενημερώσεις των Windows είναι εγκατεστημένες σε έναν εγγράψιμο dc στον μη ενημερωμένο τομέα λογαριασμών αξιοπιστίας.
-
Συνδεθείτε σε αυτόν τον ελεγκτή τομέα με ένα λογαριασμό διαχειριστή σχήματος. Εάν έχετε προσθέσει ένα λογαριασμό στην ομάδα "Διαχειριστές σχήματος" στο βήμα 2, χρησιμοποιήστε αυτόν το λογαριασμό.
-
Προετοιμάστε ένα αρχείο εισαγωγής LDIFDE για να τροποποιήσετε το SchemaUpgradeInProgress και να διαγράψετε το αντικείμενο.
Για παράδειγμα, το παρακάτω κείμενο θα μπορούσε να επικολληθεί σε ένα αρχείο εισαγωγής LDIFDE για τη διαγραφή του αντικειμένου που προσδιορίζεται στο Βήμα 1:ην:
τύπος_αλλαγής: τροποποίηση
προσθήκη: SchemaUpgradeInProgress
SchemaUpgradeInProgress: 1
-dn: CN=northwindsales$,CN=Users,DC=contoso,DC=com
τύπος_αλλαγής: διαγραφήΥποδείξεις σχετικά με τη σύνταξη LDIFDE:
-
Η γραμμή μόνο με ενωτικό ("-") είναι ζωτικής σημασίας, καθώς τερματίζει τη σειρά των αλλαγών κάτω από τον τύπο αλλαγής "τροποποίηση".
-
Η κενή γραμμή μετά τη γραμμή με το ενωτικό είναι επίσης ζωτικής σημασίας, καθώς δείχνει LDIFDE ότι όλες οι τροποποιήσεις στο αντικείμενο έχουν ολοκληρωθεί και θα πρέπει να γίνουν αλλαγές.
-
-
Εισαγάγετε το αρχείο LDIFDE χρησιμοποιώντας την ακόλουθη σύνταξη:
ldifde /i /f nameOfLDIFFileCreatedInStep5.txt /j
Σημειώσεις
-
Η παράμετρος /i υποδεικνύει μια λειτουργία εισαγωγής.
-
Η παράμετρος /f ακολουθούμενη από ένα όνομα αρχείου υποδεικνύει το αρχείο που περιέχει τις αλλαγές.
-
Η παράμετρος /j ακολουθούμενη από μια διαδρομή αρχείου καταγραφής θα εγγράψει ένα ldif.log και ένα αρχείο ldif.err με τα αποτελέσματα της ενημέρωσης, εάν η διαδικασία λειτούργησε και, εάν όχι, το σφάλμα που προέκυψε κατά τη διάρκεια του mod.
-
Καθορισμός τελείας (".") με την παράμετρο /j θα γραφούν τα αρχεία καταγραφής στον τρέχοντα κατάλογο εργασίας.
-
-
Εάν είναι απαραίτητο, καταργήστε το διαχειριστή τομέα που είχε προηγουμένως προστεθεί στο βήμα 2 από την ομάδα "Διαχειριστές σχήματος".
