Get-ADGroupMember tagastab tõrke domeeni Kohalik rühm liikmed kaugtöölaua metsade

NB! Artikkel on tõlgitud Microsofti masintõlketarkvaraga ja seda saab parandada Kogukonnapõhise tõlkeraamistiku (CTF) tehnoloogiaga. Microsoft pakub masintõlgitud, kogukonna järeltöödeldud ja inimtõlgitud artikleid, et anda mitmekeelne juurdepääs kõigile meie teabebaasi artiklitele. Masintõlgitud ja järeltöödeldud artiklites võib olla sõnavara-, süntaksi- ja/või grammatikavigu. Microsoft ei vastuta mingite ebatäpsuste, tõrgete ega kahjude eest, mis on tulenenud sisu valest tõlkest või selle kasutamisest meie klientide poolt. Lisateavet CTF-i kohta leiate aadressilt http://support.microsoft.com/gp/machine-translation-corrections/et.

Artikli ingliskeelse versiooni kuvamiseks klõpsake siin: 3171600
Sümptomid
Oletame, et kasutada cmdlet-käsu Get-ADGroupMembertuvastamiseks Active Directory domeeniteenused (AD DS) rühma liikmed. Domeeni Kohalik rühm cmdleti käitamisel tagastatakse järgmise tõrketeate:

Get-ADGroupMember -verbose -identity "CN=Test-Local1,OU=Test Accounts,DC=contoso,DC=com"Get-ADGroupMember : An unspecified error has occurredAt line:1 char:1+ Get-ADGroupMember -verbose -identity "CN=Test-Local1,OU=Test Accounts,DC=contoso ...+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~    + CategoryInfo          : NotSpecified: (CN=Test-Local1,...bertm-w7,DC=com:ADGroup) [Get-ADGroupMember], ADExcepti onon    + FullyQualifiedErrorId : ActiveDirectoryServer:0,Microsoft.ActiveDirectory.Management.Commands.GetADGroupMember
Põhjus
See probleem ilmneb, kui rühma liige, kelle konto on eemaldatud konto metsa teise metsa. Liikme tähistab kohaliku domeeni, on Keelevigadele Security Principal (FSP). Rühma LDIFDE eksportimiseks liikmelisus kuvatakse järgmiselt:
dn: CN=Test-Local1,OU=Test Accounts,DC=contoso,DC=com…member:  CN=S-1-5-21-3110691720-3620623707-1182478234-698540,CN=ForeignSecurityPrincipals,DC=contoso,DC=commember:  CN=S-1-5-21-3110691720-3620623707-1182478234-695739,CN=ForeignSecurityPrincipals,DC=contoso,DC=com
SID allikas konto kustutamisel FSP on uuendatud või eemaldada selle kustutamise kajastamiseks. Te peate manuallyverify FSP viited eemaldatakse.
Lahendus
Taotlus, mis on seotud nende sid ja mis tehakse Active Directory veebiteenuse lahendus logimise lubamine selle probleemi lahendamiseks. Sel viisil saate tuvastada kontot, mis ei suuda lahendust. Selleks käivitage cmdlet-käsu Get-ADGroupMember domeenikontroller contoso.com (kus kohatäite tähistab kõnealuse domeeni).

Logimise lubamiseks käivitage järgmised käsud:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgInfoLevel -Value 0x800 -Type dword -Force Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgTraceOptions -Value 0x1 -Type dword -ForcePlease remember turning the logging off when you have the log:Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgInfoLevel -Value 0x0 -Type dword -Force 
Näete faili, mille nimi onc:\windows\debug\lsp.log, mis jälgib SID-nime resolvimine ühenduskatsete arvu. Kui te uuesti käivitada cmdleti domeenikontrolleris, kui on täidetud cmdlet-i, faili Logi on vead ja näeb välja järgmine:

LspDsLookup - Entering function LsapLookupSidsLspDsLookup - LookupSids request for 1 SIDs with level=1, mappedcount=0, options=0x0, clientRevision=2 is being processed. SIDs are;LspDsLookup -         Sids[ 0 ] = S-1-5-21-3110691720-3620623707-1182478234-698540LspDsLookup -   Requestor details: Local Machine, Process ID = 1408, Process Name = C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exeLspDsLookup - Entering function LsapDbLookupSidsUsingIdentityCacheLspDsLookup - 1 sids remain unmappedLspDsLookup - Exiting function LsapDbLookupSidsUsingIdentityCache with status 0x0LspDsLookup - LookupSids chain request (using Netlogon) to \\dc3.northwindsails.com for 1 sids will be made with level=6, mappedcount=0, options=0x0, serverRevision=0. Sids are;LspDsLookup -         Sids[ 0 ] = S-1-5-21-3110691720-3620623707-1182478234-698540LspDsLookup - Lookup request (using Netlogon) to \\dc3.northwindsails.com returned with 0xc0000073 and mappedcount=0, serverRevision=0LspDsLookup - Exiting function LsapLookupSids with status 0xc0000073
Kontrollige järgmiste üksuste toverify et see on see probleem (eelmise näite väljund) osakonnas.
  • Protsess on C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe.
  • Taotlus saadetakse domeenikontrolleri erinevas metsas asuvalt litsentsiserverilt – näiteks northwindsails.com.
  • Return code on 0xc0000073, mis on võrdne STATUS_NONE_MAPPED.

FSP objekti leidmiseks käivitage järgmine käsk (asendamine domeeninimede ja SID-d):
get-AdObject -Searchbase "CN=ForeignSecurityPrincipals,DC=contoso,DC=com" -ldapfilter "(cn=S-1-5-21-3110691720-3620623707-1182478234-698540)"

Algses objektis selle FSP enam pole, nii et te võite ohutult kustutada. Nii ka eemaldab kõik rühmad, mis ei kuulu:

get-AdObject -Searchbase "CN=ForeignSecurityPrincipals,DC=contoso,DC=com" -ldapfilter "(cn=S-1-5-21-3110691720-3620623707-1182478234-698540)" | Remove-AdObject -Confirm:$false

Hoiatus. See artikkel on masintõlgitud.

Propriétés

ID d'article : 3171600 - Dernière mise à jour : 06/23/2016 21:49:00 - Révision : 3.0

Windows Server 2008 Standard, Windows Server 2008 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Windows Server 2012 Standard, Windows Server 2012 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Datacenter

  • kbmt KB3171600 KbMtet
Commentaires