Get-ADGroupMember renvoie l’erreur pour groupe local de domaine aux membres à partir de forêts à distance

IMPORTANT : Cet article est issu d'une traduction automatique réalisée par un logiciel Microsoft et non par un traducteur professionnel. Cette traduction automatique a pu aussi être révisée par la communauté Microsoft grâce à la technologie Community Translation Framework (CTF). Pour en savoir plus sur cette technologie, veuillez consulter la page http://support.microsoft.com/gp/machine-translation-corrections/fr. Microsoft vous propose en effet des articles traduits par des professionnels, des articles issus de traductions automatiques et des articles issus de traductions automatiques révisées par la communauté Microsoft, de manière à ce que vous ayez accès à tous les articles de notre Base de connaissances dans votre langue. Il est important de noter que les articles issus de la traduction automatique, y compris ceux révisés par la communauté Microsoft, peuvent contenir des erreurs de vocabulaire, de syntaxe ou de grammaire. Microsoft ne pourra être tenu responsable des imprécisions, erreurs, ainsi que de tout dommage résultant d’une traduction incorrecte du contenu ou de son utilisation par les clients.

La version anglaise de cet article est la suivante: 3171600
Symptômes
Supposons que vous utilisez l’applet de commande Get-ADGroupMemberpour identifier les membres d’un groupe dans les Services de domaine Active Directory (AD DS). Toutefois, lorsque vous exécutez l’applet de commande pour un groupe de domaine local, le message d’erreur suivant est renvoyé :

Get-ADGroupMember -verbose -identity "CN=Test-Local1,OU=Test Accounts,DC=contoso,DC=com"Get-ADGroupMember : An unspecified error has occurredAt line:1 char:1+ Get-ADGroupMember -verbose -identity "CN=Test-Local1,OU=Test Accounts,DC=contoso ...+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~    + CategoryInfo          : NotSpecified: (CN=Test-Local1,...bertm-w7,DC=com:ADGroup) [Get-ADGroupMember], ADExcepti onon    + FullyQualifiedErrorId : ActiveDirectoryServer:0,Microsoft.ActiveDirectory.Management.Commands.GetADGroupMember
Cause
Ce problème se produit si le groupe possède un membre d’une autre forêt dont le compte a été supprimé de la forêt de comptes. Le membre est représenté dans le domaine local par un étranger sécurité Principal (FSP). Dans l’exportation LDIFDE du groupe, une appartenance est comme suite :
dn: CN=Test-Local1,OU=Test Accounts,DC=contoso,DC=com…member:  CN=S-1-5-21-3110691720-3620623707-1182478234-698540,CN=ForeignSecurityPrincipals,DC=contoso,DC=commember:  CN=S-1-5-21-3110691720-3620623707-1182478234-695739,CN=ForeignSecurityPrincipals,DC=contoso,DC=com
Lors de la suppression du compte source par le SID, le FSP n’est pas mis à jour ou supprimé afin de refléter cette suppression. Vous devez manuallyverify ces références FSP sont supprimés.
Résolution
Pour résoudre ce problème, activez la journalisation pour la résolution de requêtes qui concernent ces SID et qui sont effectuées par Active Directory Webservice. De cette façon, vous pouvez identifier les comptes qui ont échoué de résolution. Pour ce faire, exécutez l’applet de commande Get-ADGroupMember sur le contrôleur de domaine Contoso.com (où l’espace réservé représente le domaine en question).

Pour activer la journalisation, exécutez les lignes de commande suivantes :

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgInfoLevel -Value 0x800 -Type dword -Force Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgTraceOptions -Value 0x1 -Type dword -ForcePlease remember turning the logging off when you have the log:Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgInfoLevel -Value 0x0 -Type dword -Force 
Vous verrez tente d’un fichier a nomméc:\windows\debug\lsp.log, qui effectue le suivi de la résolution du nom de l’identificateur de sécurité. Lorsque vous exécutez de nouveau l’applet de commande sur le contrôleur de domaine où l’applet de commande a été exécutée, le fichier enregistre les défaillances et aura l’aspect suivant :

LspDsLookup - Entering function LsapLookupSidsLspDsLookup - LookupSids request for 1 SIDs with level=1, mappedcount=0, options=0x0, clientRevision=2 is being processed. SIDs are;LspDsLookup -         Sids[ 0 ] = S-1-5-21-3110691720-3620623707-1182478234-698540LspDsLookup -   Requestor details: Local Machine, Process ID = 1408, Process Name = C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exeLspDsLookup - Entering function LsapDbLookupSidsUsingIdentityCacheLspDsLookup - 1 sids remain unmappedLspDsLookup - Exiting function LsapDbLookupSidsUsingIdentityCache with status 0x0LspDsLookup - LookupSids chain request (using Netlogon) to \\dc3.northwindsails.com for 1 sids will be made with level=6, mappedcount=0, options=0x0, serverRevision=0. Sids are;LspDsLookup -         Sids[ 0 ] = S-1-5-21-3110691720-3620623707-1182478234-698540LspDsLookup - Lookup request (using Netlogon) to \\dc3.northwindsails.com returned with 0xc0000073 and mappedcount=0, serverRevision=0LspDsLookup - Exiting function LsapLookupSids with status 0xc0000073
Vérifiez l’afin d’éléments suivant qu’il s’agit de la section appropriée pour ce problème (dans l’exemple de sortie précédent) :
  • Le processus est C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe.
  • La demande est envoyée à un contrôleur de domaine dans une forêt différente, par exemple, northwindsails.com.
  • Le code de retour est 0xc0000073, qui est égal à STATUS_NONE_MAPPED.

Pour rechercher l’objet FSP, exécutez la commande suivante (remplacer les noms de domaine et SID) :
get-AdObject -Searchbase "CN=ForeignSecurityPrincipals,DC=contoso,DC=com" -ldapfilter "(cn=S-1-5-21-3110691720-3620623707-1182478234-698540)"

L’objet d’origine pour cette FSP n’existe plus, donc vous pouvez le supprimer en toute sécurité. Cela effacera également de tous les groupes dont il est membre de :

get-AdObject -Searchbase "CN=ForeignSecurityPrincipals,DC=contoso,DC=com" -ldapfilter "(cn=S-1-5-21-3110691720-3620623707-1182478234-698540)" | Remove-AdObject -Confirm:$false

Avertissement : Cet article a été traduit automatiquement.

Propriétés

ID d'article : 3171600 - Dernière mise à jour : 06/23/2016 21:48:00 - Révision : 3.0

Windows Server 2008 Standard, Windows Server 2008 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Windows Server 2012 Standard, Windows Server 2012 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Datacenter

  • kbmt KB3171600 KbMtfr
Commentaires