Kirjaudu sisään Microsoft-tilillä
Kirjaudu sisään tai luo tili.
Hei,
Käytä toista tiliä.
Sinulla on useita tilejä
Valitse tili, jolla haluat kirjautua sisään.

Johdanto

Active Directoryyn tallennetut objektit voivat vanhentua, vioittua tai orpoutua replikointiristiriitojen vuoksi.

Tässä artikkelissa keskitytään luottamusobjekteihin, jotka voidaan tunnistaa userAccountControl-määritteen "INTERDOMAIN_TRUST_ACCOUNT"-bitillä. Lisätietoja tästä bitistä on artikkelissa userAccountControl Bits.

Oireet

Luottamussuhteet esitetään Active Directoryssa seuraavasti:

  • Käyttäjätili, johon on kiinnitetty lopussa $-merkki.

  • Luotettu toimialueobjekti (TDO), joka on tallennettu toimialueen hakemistoosion Järjestelmä-säilöön.

Päällekkäisten luottamustietojen luominen luo kaksi objektia, joilla on päällekkäiset Suojaustilien hallinnan (SAM) tilien nimet. Toisessa objektissa SAM ratkaisee ristiriidan nimeämällä objektin uudelleen $DUPLICATE-<tilin RID->. Objektin kaksoiskappaletta ei voi poistaa ja siitä tulee "orpo".

Huomautus Active Directory -objektin sanotaan olevan "orpo", kun se edustaa elävää aliobjektia, joka on tallennettu Active Directoryyn ja jonka pääsäilö puuttuu. Termiä käytetään joskus myös viittaamaan Active Directoryn uudestisyntyneeseen tai vioittuneeseen objektiin, jota ei voi poistaa normaalin työnkulun avulla.

Luottamussuhteen perustilanteita on kaksi:

  • Skenaario 1: Luota käyttäjään ristiriitojen tilassa

    Luottamuskäyttäjä on ehkä poistettava tilanteissa, joissa on kaksi toimialuetta ja näiden toimialueiden välille on aiemmin luotu luottamus. Kun luottamus luotiin ensimmäisen kerran, ilmeni ongelma, joka esti replikoinnin. Järjestelmänvalvoja on saattanut siirtää tai takavarikoida ensisijaisen toimialueen ohjauskoneen (PDC) joustavan yhden päätoiminnon (FSMO) roolin ja luonut luottamuksen uudelleen toiseen toimialueen ohjauskoneeseen (DC).

    Myöhemmin, kun Active Directory -replikointi muodostetaan uudelleen, kaksi luottamuskäyttäjää replikoivat samaan dc:hen, mikä aiheuttaa nimeämisristiriidan. Luottamuskäyttäjäobjektille määritetään ristiriita (CNF)-mangled DN; esimerkiksi:

    CN=contoso$\0ACNF:a6e22a25-f60c-4f07-b629-64720c6d8b08,CN=Users,DC=northwindsales,DC=com

    SamAccountName näkyy myös ruhjottuna:

    $DUPLICATE-3159f

    Objekti, jossa ei ole nimiristiriitoja, näyttäisi normaalilta ja toimisi oikein. Luottamus voidaan poistaa ja luoda uudelleen.

  • Skenaario 2: Luota siihen, että käyttäjä on orpo

    Kuten skenaariossa 1, luottamuskäyttäjää on ehkä muokattava tai poistettava, jos luottamuskumppania ei enää ole, mutta luottamuskäyttäjä on edelleen Active Directory -tietokannassa. Yleensä näiden tilien salasana on vanha, jolloin kyseinen tili merkitään suojauksen tarkistustyökaluilla.

Virhesanomat, kun järjestelmänvalvoja yrittää muokata luottamussuhteen määritteitä

Avainmääritteitä ei voi muuttaa tai poistaa orpoluottamuskäyttäjäobjektia. Seuraava virhe annetaan sen jälkeen, kun objektia suojaavia määritteitä on yritetty muuttaa:

Virhe-valintaikkuna

Virheilmoitus

Toiminto epäonnistui. Virhekoodin 0x209a

Toiminto epäonnistui. Virhekoodi: 0x209a
Määritteen käyttö ei ole sallittua, koska määritteen omistaa Suojaustilien hallinta (SAM).

0000209A: SvcErr: DSID-031A1021, ongelma 5003 (WILL_NOT_PERFORM), tiedot 0

Kun järjestelmänvalvoja yrittää poistaa objektin, se epäonnistuu virhesanomalla 0x5, joka vastaa "Käyttö estetty". Ristiriitainen luottamusobjekti ei ehkä näy Active Directoryn Toimialueet ja luottamus -laajennuksessa.

Virhe-valintaikkuna

Virheilmoitus

Toiminto epäonnistui. Virhekoodi 0x5

Toiminto epäonnistui. Virhekoodi: 0x5
Käyttö on estetty.


00000005:SecErr:DSID-031A11ED,problem 4003 (INSUFF_ACCESS_RIGHTS), data 0.

Syy

Tämä ongelma ilmenee, koska luottamusobjektit ovat järjestelmän omistuksessa, ja vain Active Directory -toimialueita ja luottamustoimialueita käyttävät järjestelmänvalvojat voivat muokata niitä tai poistaa niitä. Tämä toiminto on rakenteen mukaan.

Ratkaisu

Kun olet asentanut 14.5.2024 julkaistut Windows-päivitykset toimialueen ohjauskoneisiin, joissa on Windows Server 2019 tai uudempi Windows Server -versio, voit nyt poistaa orpoluottamustilejä käyttämällä schemaUpgradeInProgress-toimintoa. Voit tehdä tämän seuraavasti:

  1. Tunnista toimialueesi orpoluottamuskäyttäjätili. Esimerkiksi tämä tulos LDP.exe; näyttää userAccountControl-merkinnän0x800 , joka tunnistaa luottamuskäyttäjän:

    Laajennuskanta ' CN=northwindsales$,CN=Users,DC=contoso,DC=com'...
    Haetaan 1 merkintää:
    Dn: CN=northwindsales$,CN=Users,DC=contoso,DC=com

    primaryGroupID: 513 = ( GROUP_RID_USERS );
    pwdLastSet: 27.4.2013 10:03:05 Koordinoitu universaali aika;
    sAMAccountName: NORTHWINDSALES$;
    sAMAccountType: 805306370 = ( TRUST_ACCOUNT );
    userAccountControl: 0x820 = ( PASSWD_NOTREQD | INTERDOMAIN_TRUST_ACCOUNT )
    ;…

  2. Lisää tarvittaessa toimialueen järjestelmänvalvojan tili stale trust accounts -toimialueesta toimialueen "Rakennejärjestelmänvalvojat" -ryhmään toimialueen päätoimialueella. (Poistossa käytettävällä tilillä on oltava Ohjausobjekti-Rakenne-Master-hallintaoikeus suoraan rakenteen NC-replikan juuressa JA sen on pystyttävä kirjautumaan dc:hen, jossa on orpotili.)

  3. Varmista, että 14.5.2024 tai sitä uudemmat Windows-päivitykset on asennettu kirjoitettavaan DC:hen stadd trust accounts -toimialueeseen.

  4. Kirjaudu kyseiseen dc:hen rakenteen järjestelmänvalvojan tilillä. Jos lisäsit tilin vaiheessa 2 olevaan Rakennejärjestelmänvalvojat-ryhmään, käytä kyseistä tiliä.

  5. Valmistele LDIFDE-tuontitiedosto, jotta voit muokata SchemaUpgradeInProgressia ja poistaa objektin.

    Alla oleva teksti voidaan esimerkiksi liittää LDIFDE-tuontitiedostoon vaiheessa 1 tunnistetun objektin poistamiseksi:

    Dn:
    changetype: muokkaa
    lisää: SchemaUpgradeInProgress
    SchemaUpgradeInProgress: 1
    -

    dn: CN=northwindsales$,CN=Users,DC=contoso,DC=com
    changetype: delete

    Vihjeitä LDIFDE-syntaksista:

    • Viiva, jossa on vain yhdysmerkki ("-"), on elintärkeä, sillä se lopettaa muutossarjan muokkaamalla muutostyyppiä.

    • Yhdysmerkin sisältävän viivan jälkeen oleva tyhjä viiva on myös elintärkeä, sillä LDIFDE-funktio näyttää, että kaikki objektin muutokset on tehty ja muutokset on tehtävä.

  6. Tuo LDIFDE-tiedosto seuraavalla syntaksilla:

    ldifde /i /f nameOfLDIFFileCreatedInStep5.txt /j

    Huomautukset

    • /i-parametri osoittaa tuontitoiminnon.

    • /f-parametri ja tiedostonimi ilmaisevat muutokset sisältävän tiedoston.

    • /j-parametri ja sen jälkeen logfile-polku kirjoittavat ldif.log ja ldif.err-tiedoston päivityksen tuloksilla, toimiko toimintosarja ja jos ei, virheen, joka tapahtui mod:n aikana.

    • Kauden määrittäminen (".") /j-parametrin avulla lokit kirjoitetaan nykyiseen työhakemistoon.

  7. Poista tarvittaessa vaiheessa 2 aiemmin lisätty toimialueen järjestelmänvalvoja Rakennejärjestelmänvalvojat-ryhmästä.

Facebook LinkedIn Sähköposti
TILAA RSS-SYÖTTEET

Tarvitsetko lisäohjeita?

Haluatko lisää vaihtoehtoja?

Tutustu Yhteisö

Tutustu tilausetuihin, selaa harjoituskursseja, opi suojaamaan laitteesi ja paljon muuta.

Microsoft 365 -tilaukseen kuuluvat edut

Microsoft 365 -koulutus

Microsoftin suojaus

Helppokäyttökeskus

Osallistumalla yhteisöihin voit kysyä kysymyksiä ja vastata niihin, antaa palautetta sekä kuulla lisää asiantuntijoilta, joilla on runsaasti tietoa.

Kysy Microsoftin yhteisöltä

Microsoft Tech Community -verkosto

Windows Insider -käyttäjät

Microsoft 365 Insider -jäsenet

Oliko näistä tiedoista hyötyä?

Kuinka tyytyväinen olet käännöksen laatuun?
Mikä vaikutti kokemukseesi?
Kun valitset Lähetä, palautettasi käytetään Microsoftin tuotteiden ja palveluiden parantamiseen. IT-järjestelmänvalvojasi voi kerätä nämä tiedot. Tietosuojatiedot.

Kiitos palautteesta!

×