Get-ADGroupMember restituisce errore per il gruppo locale di dominio ai membri di insiemi di strutture remoti

IMPORTANTE: il presente articolo è stato tradotto tramite un software di traduzione automatica di Microsoft ed eventualmente revisionato dalla community Microsoft tramite la tecnologia CTF (Community Translation Framework) o da un traduttore professionista. Microsoft offre articoli tradotti manualmente e altri tradotti automaticamente e rivisti dalla community con l’obiettivo di consentire all'utente di accedere a tutti gli articoli della Knowledge Base nella propria lingua. Tuttavia, un articolo tradotto automaticamente, anche se rivisto dalla community, non sempre è perfetto. Potrebbe contenere errori di vocabolario, di sintassi o di grammatica. Microsoft declina ogni responsabilità per imprecisioni, errori o danni causati da una traduzione sbagliata o dal relativo utilizzo da parte dei clienti. Microsoft aggiorna frequentemente il software e gli strumenti di traduzione automatica per continuare a migliorare la qualità della traduzione.

Clicca qui per visualizzare la versione originale in inglese dell’articolo: 3171600
Sintomi
Si supponga di utilizza il cmdlet Get-ADGroupMemberper identificare i membri di un gruppo in servizi di dominio Active Directory (AD DS). Tuttavia, quando si esegue il cmdlet per un gruppo locale di dominio, viene restituito il seguente errore:

Get-ADGroupMember -verbose -identity "CN=Test-Local1,OU=Test Accounts,DC=contoso,DC=com"Get-ADGroupMember : An unspecified error has occurredAt line:1 char:1+ Get-ADGroupMember -verbose -identity "CN=Test-Local1,OU=Test Accounts,DC=contoso ...+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~    + CategoryInfo          : NotSpecified: (CN=Test-Local1,...bertm-w7,DC=com:ADGroup) [Get-ADGroupMember], ADExcepti onon    + FullyQualifiedErrorId : ActiveDirectoryServer:0,Microsoft.ActiveDirectory.Management.Commands.GetADGroupMember
Cause
Questo problema si verifica se il gruppo dispone di un membro da un altro insieme di strutture il cui account è stato rimosso dall'insieme di strutture di account. Il membro è rappresentato nel dominio locale da un'esterna protezione principale (FSP). Nell'esportazione LDIFDE del gruppo, un'appartenenza appare come segue:
dn: CN=Test-Local1,OU=Test Accounts,DC=contoso,DC=com…member:  CN=S-1-5-21-3110691720-3620623707-1182478234-698540,CN=ForeignSecurityPrincipals,DC=contoso,DC=commember:  CN=S-1-5-21-3110691720-3620623707-1182478234-695739,CN=ForeignSecurityPrincipals,DC=contoso,DC=com
Quando viene eliminato l'account di origine con il SID, FSP non è aggiornato o rimosso in modo da riflettere l'eliminazione. È necessario manuallyverify che questi riferimenti FSP vengono rimossi.
Risoluzione
Per risolvere questo problema, attivare la registrazione per la risoluzione di richieste che riguardano i SID e che vengono eseguite da Active Directory Webservice. In questo modo, è possibile identificare gli account che non superano la risoluzione. A tale scopo, eseguire il cmdlet Get-ADGroupMember sul controller di dominio Contoso.com (dove il segnaposto rappresenta il dominio in questione).

Per attivare la registrazione, eseguire le seguenti righe di comando:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgInfoLevel -Value 0x800 -Type dword -Force Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgTraceOptions -Value 0x1 -Type dword -ForcePlease remember turning the logging off when you have the log:Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgInfoLevel -Value 0x0 -Type dword -Force 
Verrà visualizzato un file denominatoc:\windows\debug\lsp.log, che registra la risoluzione dei nomi di SID tenta. Quando si esegue nuovamente il cmdlet nel controller di dominio in cui è stato eseguito il cmdlet, il file registra gli errori e sarà simile alla seguente:

LspDsLookup - Entering function LsapLookupSidsLspDsLookup - LookupSids request for 1 SIDs with level=1, mappedcount=0, options=0x0, clientRevision=2 is being processed. SIDs are;LspDsLookup -         Sids[ 0 ] = S-1-5-21-3110691720-3620623707-1182478234-698540LspDsLookup -   Requestor details: Local Machine, Process ID = 1408, Process Name = C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exeLspDsLookup - Entering function LsapDbLookupSidsUsingIdentityCacheLspDsLookup - 1 sids remain unmappedLspDsLookup - Exiting function LsapDbLookupSidsUsingIdentityCache with status 0x0LspDsLookup - LookupSids chain request (using Netlogon) to \\dc3.northwindsails.com for 1 sids will be made with level=6, mappedcount=0, options=0x0, serverRevision=0. Sids are;LspDsLookup -         Sids[ 0 ] = S-1-5-21-3110691720-3620623707-1182478234-698540LspDsLookup - Lookup request (using Netlogon) to \\dc3.northwindsails.com returned with 0xc0000073 and mappedcount=0, serverRevision=0LspDsLookup - Exiting function LsapLookupSids with status 0xc0000073
Cercare il seguente toverify di elementi è la sezione appropriata per questo problema (per l'output dell'esempio precedente):
  • Il processo è C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe.
  • La richiesta viene inviata a un controller di dominio in una foresta diversa, ad esempio, northwindsails.com.
  • Il codice restituito è 0xc0000073, pari a STATUS_NONE_MAPPED.

Per trovare l'oggetto FSP, eseguire il comando seguente (SID e sostituire i nomi di dominio):
get-AdObject -Searchbase "CN=ForeignSecurityPrincipals,DC=contoso,DC=com" -ldapfilter "(cn=S-1-5-21-3110691720-3620623707-1182478234-698540)"

L'oggetto originale per questo FSP non esiste più, pertanto è possibile eliminarlo in modo sicuro. Questa operazione verrà rimossa anche da tutti i gruppi che è un membro di:

get-AdObject -Searchbase "CN=ForeignSecurityPrincipals,DC=contoso,DC=com" -ldapfilter "(cn=S-1-5-21-3110691720-3620623707-1182478234-698540)" | Remove-AdObject -Confirm:$false

Avviso: questo articolo è stato tradotto automaticamente

Properti

ID Artikel: 3171600 - Tinjauan Terakhir: 06/23/2016 20:37:00 - Revisi: 3.0

Windows Server 2008 Standard, Windows Server 2008 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Windows Server 2012 Standard, Windows Server 2012 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Datacenter

  • kbmt KB3171600 KbMtit
Tanggapan