Get-ADGroupMember menghasilkan galat untuk domain grup lokal ke anggota dari jauh hutan

PENTING: Artikel ini diterjemahkan oleh perangkat lunak penerjemahan mesin Microsoft, dan mungkin telah diedit oleh Masyarakat Microsoft melalui teknologi CTF dan bukan oleh seorang penerjemah profesional. Microsoft menawarkan baik artikel yang diterjemahkan oleh manusia maupun artikel hasil editan terjemahan oleh mesin/komunitas, sehingga Anda dapat mengakses semua artikel di Sentra Pengetahuan yang kami miliki dalam berbagai bahasa. Namun artikel hasil editan mesin atau bahkan komunitas tidak selalu sempurna. Artikel ini dapat mengandung kesalahan dalam hal kosa kata, sintaksis atau tatabahasa, sangat mirip dengan penutur asing yang membuat kekeliruan ketika berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab atas ketidakakuratan, kesalahan atau kerugian apa pun akibat dari kekeliruan dalam penerjemahan isi atau penggunaannya oleh pelanggan kami. Microsoft juga akan senantiasa memperbarui perangkat lunak penerjemahan mesin dan alat untuk menyempurnakan Editan Hasil Penerjemahan Mesin.

Klik disini untuk melihat versi Inggris dari artikel ini: 3171600
Gejala
Misalnya Anda menggunakan cmdlet Get-ADGroupMemberuntuk mengidentifikasi Kelompok anggota dalam Layanan Domain direktori aktif (AD DS). Namun, bila Anda menjalankan cmdlet untuk grup lokal domain, galat berikut ini akan ditampilkan:

Get-ADGroupMember -verbose -identity "CN=Test-Local1,OU=Test Accounts,DC=contoso,DC=com"Get-ADGroupMember : An unspecified error has occurredAt line:1 char:1+ Get-ADGroupMember -verbose -identity "CN=Test-Local1,OU=Test Accounts,DC=contoso ...+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~    + CategoryInfo          : NotSpecified: (CN=Test-Local1,...bertm-w7,DC=com:ADGroup) [Get-ADGroupMember], ADExcepti onon    + FullyQualifiedErrorId : ActiveDirectoryServer:0,Microsoft.ActiveDirectory.Management.Commands.GetADGroupMember
Penyebab
Masalah ini terjadi jika kelompok anggota dari lain forest akun yang telah dihapus dari akun forest. Anggota ditunjukkan di domain lokal dengan asing keamanan pimpinan (FSP). Dalam ekspor LDIFDE grup, keanggotaan ditampilkan sebagai berikut:
dn: CN=Test-Local1,OU=Test Accounts,DC=contoso,DC=com…member:  CN=S-1-5-21-3110691720-3620623707-1182478234-698540,CN=ForeignSecurityPrincipals,DC=contoso,DC=commember:  CN=S-1-5-21-3110691720-3620623707-1182478234-695739,CN=ForeignSecurityPrincipals,DC=contoso,DC=com
Ketika akun sumber dengan SID dihapus, FSP tidak diperbarui atau dihapus untuk mencerminkan penghapusan ini. Anda harus manuallyverify yang referensi FSP ini akan dihapus.
Pemecahan masalah
Untuk mengatasi masalah ini, Aktifkan pengelogan resolusi permintaan yang terkait dengan SID ini dan yang dilakukan oleh Webservice direktori aktif. Cara ini, Anda dapat mengidentifikasi akun yang gagal resolusi. Untuk melakukannya, Jalankan cmdlet Get-ADGroupMember pada pengendali domain dari contoso.com (di mana placeholder mewakili domain yang dimaksud).

Untuk mengaktifkan pengelogan, jalankan baris perintah berikut ini:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgInfoLevel -Value 0x800 -Type dword -Force Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgTraceOptions -Value 0x1 -Type dword -ForcePlease remember turning the logging off when you have the log:Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgInfoLevel -Value 0x0 -Type dword -Force 
Anda akan melihat berkas yang telah bernamac:\windows\debug\lsp.log, yang melacak resolusi nama SID upaya. Ketika Anda jalankan kembali cmdlet pada pengendali domain di mana cmdlet dieksekusi, berkas akan mencatat kegagalan dan akan menyerupai berikut ini:

LspDsLookup - Entering function LsapLookupSidsLspDsLookup - LookupSids request for 1 SIDs with level=1, mappedcount=0, options=0x0, clientRevision=2 is being processed. SIDs are;LspDsLookup -         Sids[ 0 ] = S-1-5-21-3110691720-3620623707-1182478234-698540LspDsLookup -   Requestor details: Local Machine, Process ID = 1408, Process Name = C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exeLspDsLookup - Entering function LsapDbLookupSidsUsingIdentityCacheLspDsLookup - 1 sids remain unmappedLspDsLookup - Exiting function LsapDbLookupSidsUsingIdentityCache with status 0x0LspDsLookup - LookupSids chain request (using Netlogon) to \\dc3.northwindsails.com for 1 sids will be made with level=6, mappedcount=0, options=0x0, serverRevision=0. Sids are;LspDsLookup -         Sids[ 0 ] = S-1-5-21-3110691720-3620623707-1182478234-698540LspDsLookup - Lookup request (using Netlogon) to \\dc3.northwindsails.com returned with 0xc0000073 and mappedcount=0, serverRevision=0LspDsLookup - Exiting function LsapLookupSids with status 0xc0000073
Periksa toverify item berikut ini adalah bagian yang relevan untuk masalah ini (dalam output contoh sebelumnya):
  • Proses ini C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe.
  • Permintaan dikirim ke pengendali domain di hutan berbeda-misalnya, northwindsails.com.
  • Kode yang dihasilkan adalah 0xc0000073, yang sama dengan STATUS_NONE_MAPPED.

Untuk menemukan objek FSP, jalankan perintah berikut ini (mengganti nama domain dan SID):
get-AdObject -Searchbase "CN=ForeignSecurityPrincipals,DC=contoso,DC=com" -ldapfilter "(cn=S-1-5-21-3110691720-3620623707-1182478234-698540)"

Objek asli untuk FSP ini tidak ada, sehingga Anda dapat dengan aman menghapusnya. Melakukan hal ini juga akan menghapus it dari semua kelompok yang merupakan anggota dari:

get-AdObject -Searchbase "CN=ForeignSecurityPrincipals,DC=contoso,DC=com" -ldapfilter "(cn=S-1-5-21-3110691720-3620623707-1182478234-698540)" | Remove-AdObject -Confirm:$false

Peringatan: Artikel ini telah diterjemahkan secara otomatis

Properti

ID Artikel: 3171600 - Tinjauan Terakhir: 06/23/2016 20:37:00 - Revisi: 3.0

Windows Server 2008 Standard, Windows Server 2008 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Windows Server 2012 Standard, Windows Server 2012 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Datacenter

  • kbmt KB3171600 KbMtid
Tanggapan