Get-ADGroupMember devuelve el error para el grupo local de dominio a los miembros de bosques remotos

IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.

Haga clic aquí para ver el artículo original (en inglés): 3171600
Síntomas
Se supone que usa el cmdlet Get-ADGroupMemberpara identificar a los miembros de un grupo en los servicios de dominio de Active Directory (AD DS). Sin embargo, cuando se ejecuta el cmdlet para un grupo local de dominio, se devolvió el siguiente error:

Get-ADGroupMember -verbose -identity "CN=Test-Local1,OU=Test Accounts,DC=contoso,DC=com"Get-ADGroupMember : An unspecified error has occurredAt line:1 char:1+ Get-ADGroupMember -verbose -identity "CN=Test-Local1,OU=Test Accounts,DC=contoso ...+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~    + CategoryInfo          : NotSpecified: (CN=Test-Local1,...bertm-w7,DC=com:ADGroup) [Get-ADGroupMember], ADExcepti onon    + FullyQualifiedErrorId : ActiveDirectoryServer:0,Microsoft.ActiveDirectory.Management.Commands.GetADGroupMember
Causa
Este problema se produce si el grupo tiene un miembro de otro bosque, cuya cuenta se quitó del bosque de cuentas. El miembro está representado en el dominio local por un extranjero seguridad Principal (FSP). En la exportación LDIFDE del grupo, una suscripción se muestra como sigue:
dn: CN=Test-Local1,OU=Test Accounts,DC=contoso,DC=com…member:  CN=S-1-5-21-3110691720-3620623707-1182478234-698540,CN=ForeignSecurityPrincipals,DC=contoso,DC=commember:  CN=S-1-5-21-3110691720-3620623707-1182478234-695739,CN=ForeignSecurityPrincipals,DC=contoso,DC=com
Cuando se elimina la cuenta de origen con el SID, el FSP no se actualiza o quita para reflejar esta eliminación. Debe manuallyverify que se han eliminado estas referencias FSP.
Solución
Para resolver este problema, habilite el registro para la resolución de las solicitudes que se refieren estos SID y que se realizan por Active Directory Webservice. De este modo, puede identificar las cuentas que no resolución. Para ello, ejecute el cmdlet Get-ADGroupMember en el controlador de dominio de contoso.com (donde el marcador de posición representa el dominio en cuestión).

Para habilitar el registro, ejecute las siguientes líneas de comando:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgInfoLevel -Value 0x800 -Type dword -Force Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgTraceOptions -Value 0x1 -Type dword -ForcePlease remember turning the logging off when you have the log:Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgInfoLevel -Value 0x0 -Type dword -Force 
Verá un archivo que se denominac:\windows\debug\lsp.log, que realiza un seguimiento de la resolución de nombres de SID intentos. Al volver a ejecutar el cmdlet en el controlador de dominio donde se ejecuta el cmdlet, el archivo registrará los errores y será similar al siguiente:

LspDsLookup - Entering function LsapLookupSidsLspDsLookup - LookupSids request for 1 SIDs with level=1, mappedcount=0, options=0x0, clientRevision=2 is being processed. SIDs are;LspDsLookup -         Sids[ 0 ] = S-1-5-21-3110691720-3620623707-1182478234-698540LspDsLookup -   Requestor details: Local Machine, Process ID = 1408, Process Name = C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exeLspDsLookup - Entering function LsapDbLookupSidsUsingIdentityCacheLspDsLookup - 1 sids remain unmappedLspDsLookup - Exiting function LsapDbLookupSidsUsingIdentityCache with status 0x0LspDsLookup - LookupSids chain request (using Netlogon) to \\dc3.northwindsails.com for 1 sids will be made with level=6, mappedcount=0, options=0x0, serverRevision=0. Sids are;LspDsLookup -         Sids[ 0 ] = S-1-5-21-3110691720-3620623707-1182478234-698540LspDsLookup - Lookup request (using Netlogon) to \\dc3.northwindsails.com returned with 0xc0000073 and mappedcount=0, serverRevision=0LspDsLookup - Exiting function LsapLookupSids with status 0xc0000073
Compruebe el siguiente para verificar de elementos que se trata de la sección correspondiente de este problema (en el resultado del ejemplo anterior):
  • El proceso es C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe.
  • La solicitud se envía a un controlador de dominio en un bosque diferente, por ejemplo, northwindsails.com.
  • El código devuelto es 0xc0000073, que es igual a STATUS_NONE_MAPPED.

Para buscar el objeto FSP, ejecute el comando siguiente (nombres de dominio de reemplazo y SID):
get-AdObject -Searchbase "CN=ForeignSecurityPrincipals,DC=contoso,DC=com" -ldapfilter "(cn=S-1-5-21-3110691720-3620623707-1182478234-698540)"

El objeto original de este FSP ya no existe, por lo que puede eliminar sin ningún riesgo. Esto también quitará de todos los grupos a los que es miembro de:

get-AdObject -Searchbase "CN=ForeignSecurityPrincipals,DC=contoso,DC=com" -ldapfilter "(cn=S-1-5-21-3110691720-3620623707-1182478234-698540)" | Remove-AdObject -Confirm:$false

Propiedades

Id. de artículo: 3171600 - Última revisión: 06/23/2016 21:49:00 - Revisión: 3.0

Windows Server 2008 Standard, Windows Server 2008 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Windows Server 2012 Standard, Windows Server 2012 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Datacenter

  • kbmt KB3171600 KbMtes
Comentarios