Johdanto
Active Directoryyn tallennetut objektit voivat vanhentua, vioittua tai orpoutua replikointiristiriitojen vuoksi.
Tässä artikkelissa keskitytään luottamusobjekteihin, jotka voidaan tunnistaa userAccountControl-määritteen "INTERDOMAIN_TRUST_ACCOUNT"-bitillä. Lisätietoja tästä bitistä on artikkelissa userAccountControl Bits.
Oireet
Luottamussuhteet esitetään Active Directoryssa seuraavasti:
-
Käyttäjätili, johon on kiinnitetty lopussa $-merkki.
-
Luotettu toimialueobjekti (TDO), joka on tallennettu toimialueen hakemistoosion Järjestelmä-säilöön.
Päällekkäisten luottamustietojen luominen luo kaksi objektia, joilla on päällekkäiset Suojaustilien hallinnan (SAM) tilien nimet. Toisessa objektissa SAM ratkaisee ristiriidan nimeämällä objektin uudelleen $DUPLICATE-<tilin RID->. Objektin kaksoiskappaletta ei voi poistaa ja siitä tulee "orpo".
Huomautus Active Directory -objektin sanotaan olevan "orpo", kun se edustaa elävää aliobjektia, joka on tallennettu Active Directoryyn ja jonka pääsäilö puuttuu. Termiä käytetään joskus myös viittaamaan Active Directoryn uudestisyntyneeseen tai vioittuneeseen objektiin, jota ei voi poistaa normaalin työnkulun avulla.
Luottamussuhteen perustilanteita on kaksi:
-
Skenaario 1: Luota käyttäjään ristiriitojen tilassa
Luottamuskäyttäjä on ehkä poistettava tilanteissa, joissa on kaksi toimialuetta ja näiden toimialueiden välille on aiemmin luotu luottamus. Kun luottamus luotiin ensimmäisen kerran, ilmeni ongelma, joka esti replikoinnin. Järjestelmänvalvoja on saattanut siirtää tai takavarikoida ensisijaisen toimialueen ohjauskoneen (PDC) joustavan yhden päätoiminnon (FSMO) roolin ja luonut luottamuksen uudelleen toiseen toimialueen ohjauskoneeseen (DC).
Myöhemmin, kun Active Directory -replikointi muodostetaan uudelleen, kaksi luottamuskäyttäjää replikoivat samaan dc:hen, mikä aiheuttaa nimeämisristiriidan. Luottamuskäyttäjäobjektille määritetään ristiriita (CNF)-mangled DN; esimerkiksi:
CN=contoso$\0ACNF:a6e22a25-f60c-4f07-b629-64720c6d8b08,CN=Users,DC=northwindsales,DC=com
SamAccountName näkyy myös ruhjottuna:
$DUPLICATE-3159f
Objekti, jossa ei ole nimiristiriitoja, näyttäisi normaalilta ja toimisi oikein. Luottamus voidaan poistaa ja luoda uudelleen.
-
Skenaario 2: Luota siihen, että käyttäjä on orpo
Kuten skenaariossa 1, luottamuskäyttäjää on ehkä muokattava tai poistettava, jos luottamuskumppania ei enää ole, mutta luottamuskäyttäjä on edelleen Active Directory -tietokannassa. Yleensä näiden tilien salasana on vanha, jolloin kyseinen tili merkitään suojauksen tarkistustyökaluilla.
Virhesanomat, kun järjestelmänvalvoja yrittää muokata luottamussuhteen määritteitä
Avainmääritteitä ei voi muuttaa tai poistaa orpoluottamuskäyttäjäobjektia. Seuraava virhe annetaan sen jälkeen, kun objektia suojaavia määritteitä on yritetty muuttaa:
Virhe-valintaikkuna |
Virheilmoitus |
Toiminto epäonnistui. Virhekoodi: 0x209a 0000209A: SvcErr: DSID-031A1021, ongelma 5003 (WILL_NOT_PERFORM), tiedot 0 |
Kun järjestelmänvalvoja yrittää poistaa objektin, se epäonnistuu virhesanomalla 0x5, joka vastaa "Käyttö estetty". Ristiriitainen luottamusobjekti ei ehkä näy Active Directoryn Toimialueet ja luottamus -laajennuksessa.
Virhe-valintaikkuna |
Virheilmoitus |
Toiminto epäonnistui. Virhekoodi: 0x5
|
Syy
Tämä ongelma ilmenee, koska luottamusobjektit ovat järjestelmän omistuksessa, ja vain Active Directory -toimialueita ja luottamustoimialueita käyttävät järjestelmänvalvojat voivat muokata niitä tai poistaa niitä. Tämä toiminto on rakenteen mukaan.
Ratkaisu
Kun olet asentanut 14.5.2024 julkaistut Windows-päivitykset toimialueen ohjauskoneisiin, joissa on Windows Server 2019 tai uudempi Windows Server -versio, voit nyt poistaa orpoluottamustilejä käyttämällä schemaUpgradeInProgress-toimintoa. Voit tehdä tämän seuraavasti:
-
Tunnista toimialueesi orpoluottamuskäyttäjätili. Esimerkiksi tämä tulos LDP.exe; näyttää userAccountControl-merkinnän0x800 , joka tunnistaa luottamuskäyttäjän:
Laajennuskanta ' CN=northwindsales$,CN=Users,DC=contoso,DC=com'...
Haetaan 1 merkintää:
Dn: CN=northwindsales$,CN=Users,DC=contoso,DC=com
…primaryGroupID: 513 = ( GROUP_RID_USERS );
pwdLastSet: 27.4.2013 10:03:05 Koordinoitu universaali aika;
sAMAccountName: NORTHWINDSALES$;
sAMAccountType: 805306370 = ( TRUST_ACCOUNT );
userAccountControl: 0x820 = ( PASSWD_NOTREQD | INTERDOMAIN_TRUST_ACCOUNT )
;… -
Lisää tarvittaessa toimialueen järjestelmänvalvojan tili stale trust accounts -toimialueesta toimialueen "Rakennejärjestelmänvalvojat" -ryhmään toimialueen päätoimialueella. (Poistossa käytettävällä tilillä on oltava Ohjausobjekti-Rakenne-Master-hallintaoikeus suoraan rakenteen NC-replikan juuressa JA sen on pystyttävä kirjautumaan dc:hen, jossa on orpotili.)
-
Varmista, että 14.5.2024 tai sitä uudemmat Windows-päivitykset on asennettu kirjoitettavaan DC:hen stadd trust accounts -toimialueeseen.
-
Kirjaudu kyseiseen dc:hen rakenteen järjestelmänvalvojan tilillä. Jos lisäsit tilin vaiheessa 2 olevaan Rakennejärjestelmänvalvojat-ryhmään, käytä kyseistä tiliä.
-
Valmistele LDIFDE-tuontitiedosto, jotta voit muokata SchemaUpgradeInProgressia ja poistaa objektin.
Alla oleva teksti voidaan esimerkiksi liittää LDIFDE-tuontitiedostoon vaiheessa 1 tunnistetun objektin poistamiseksi:Dn:
changetype: muokkaa
lisää: SchemaUpgradeInProgress
SchemaUpgradeInProgress: 1
-dn: CN=northwindsales$,CN=Users,DC=contoso,DC=com
changetype: deleteVihjeitä LDIFDE-syntaksista:
-
Viiva, jossa on vain yhdysmerkki ("-"), on elintärkeä, sillä se lopettaa muutossarjan muokkaamalla muutostyyppiä.
-
Yhdysmerkin sisältävän viivan jälkeen oleva tyhjä viiva on myös elintärkeä, sillä LDIFDE-funktio näyttää, että kaikki objektin muutokset on tehty ja muutokset on tehtävä.
-
-
Tuo LDIFDE-tiedosto seuraavalla syntaksilla:
ldifde /i /f nameOfLDIFFileCreatedInStep5.txt /j
Huomautukset
-
/i-parametri osoittaa tuontitoiminnon.
-
/f-parametri ja tiedostonimi ilmaisevat muutokset sisältävän tiedoston.
-
/j-parametri ja sen jälkeen logfile-polku kirjoittavat ldif.log ja ldif.err-tiedoston päivityksen tuloksilla, toimiko toimintosarja ja jos ei, virheen, joka tapahtui mod:n aikana.
-
Kauden määrittäminen (".") /j-parametrin avulla lokit kirjoitetaan nykyiseen työhakemistoon.
-
-
Poista tarvittaessa vaiheessa 2 aiemmin lisätty toimialueen järjestelmänvalvoja Rakennejärjestelmänvalvojat-ryhmästä.