ADGroupMember get 원격 포리스트의 구성원으로 도메인 로컬 그룹에 대 한 오류를 반환

이 문서는 Microsoft 기계 번역 소프트웨어를 이용하여 번역되었으며 Microsoft Community에 의한 Community Translation Framework(CTF) 기술 혹은 사람이 번역한 내용에 의하여 사후 편집될 수 있습니다. Microsoft는 Knowledge Base에 있는 모든 문서에 다양한 언어로 접근할 수 있도록 하기 위하여 기계 번역, 사람에 의한 번역 및 커뮤니티가 편집한 내용을 모두 제공합니다. 번역된 문서는 어휘, 구문 및/혹은 문법에 오류가 있을 수 있습니다. Microsoft는 번역 오류로 인한 부정확성, 오류 및/또는 손해와 이를 고객이 사용하는 데에 대하여 책임을 지지 않습니다.

이 문서의 영문 버전 보기:3171600
현상
Active Directory 도메인 서비스 (AD DS)에 그룹의 구성원을 식별 하기 위해 Get ADGroupMembercmdlet를 사용 하는 가정 합니다. 그러나 도메인 로컬 그룹에 대 한 cmdlet을 실행 하면 다음과 같은 오류가 반환 됩니다.

Get-ADGroupMember -verbose -identity "CN=Test-Local1,OU=Test Accounts,DC=contoso,DC=com"Get-ADGroupMember : An unspecified error has occurredAt line:1 char:1+ Get-ADGroupMember -verbose -identity "CN=Test-Local1,OU=Test Accounts,DC=contoso ...+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~    + CategoryInfo          : NotSpecified: (CN=Test-Local1,...bertm-w7,DC=com:ADGroup) [Get-ADGroupMember], ADExcepti onon    + FullyQualifiedErrorId : ActiveDirectoryServer:0,Microsoft.ActiveDirectory.Management.Commands.GetADGroupMember
원인
그룹에 다른 포리스트의 계정 포리스트에서 제거 되었습니다 계정을 가진 멤버가 하는 경우이 문제가 발생 합니다. 구성원으로는 외부 보안 사용자 (FSP) 로컬 도메인에 표시 됩니다. LDIFDE 내보내기는 그룹의 구성원 자격이 다음과 같이 표시 됩니다.
dn: CN=Test-Local1,OU=Test Accounts,DC=contoso,DC=com…member:  CN=S-1-5-21-3110691720-3620623707-1182478234-698540,CN=ForeignSecurityPrincipals,DC=contoso,DC=commember:  CN=S-1-5-21-3110691720-3620623707-1182478234-695739,CN=ForeignSecurityPrincipals,DC=contoso,DC=com
원본 계정의 SID 사용 하 여 삭제 되 면 FSP는 업데이트 또는이 삭제를 반영 하도록 제거 되지. Manuallyverify 수행 해야 이러한 FSP 참조를 제거 하는.
해결 방법
이 문제를 해결 하려면 이러한 Sid와 관련 된 요청은 Active Directory 웹 서비스에 의해 수행 됩니다 해결 방법에 대 한 로깅을 활성화 합니다. 이렇게에서 확인에 실패 하는 계정을 식별할 수 있습니다. 이렇게 하려면 도메인 컨트롤러의 ADGroupMember Get cmdlet를 실행 contoso.com (여기서 자리 표시자를 나타냅니다 해당 도메인을).

로깅을 설정 하려면 다음 명령줄을 실행 합니다.

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgInfoLevel -Value 0x800 -Type dword -Force Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgTraceOptions -Value 0x1 -Type dword -ForcePlease remember turning the logging off when you have the log:Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgInfoLevel -Value 0x0 -Type dword -Force 
파일의 이름은c:\windows\debug\lsp.log, SID 이름 확인 추적을 시도 하는 것이 나타납니다. Cmdlet을 실행 하는 도메인 컨트롤러에서 cmdlet을 다시 실행 파일 오류를 기록 합니다 있으며 다음과 유사 합니다.

LspDsLookup - Entering function LsapLookupSidsLspDsLookup - LookupSids request for 1 SIDs with level=1, mappedcount=0, options=0x0, clientRevision=2 is being processed. SIDs are;LspDsLookup -         Sids[ 0 ] = S-1-5-21-3110691720-3620623707-1182478234-698540LspDsLookup -   Requestor details: Local Machine, Process ID = 1408, Process Name = C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exeLspDsLookup - Entering function LsapDbLookupSidsUsingIdentityCacheLspDsLookup - 1 sids remain unmappedLspDsLookup - Exiting function LsapDbLookupSidsUsingIdentityCache with status 0x0LspDsLookup - LookupSids chain request (using Netlogon) to \\dc3.northwindsails.com for 1 sids will be made with level=6, mappedcount=0, options=0x0, serverRevision=0. Sids are;LspDsLookup -         Sids[ 0 ] = S-1-5-21-3110691720-3620623707-1182478234-698540LspDsLookup - Lookup request (using Netlogon) to \\dc3.northwindsails.com returned with 0xc0000073 and mappedcount=0, serverRevision=0LspDsLookup - Exiting function LsapLookupSids with status 0xc0000073
다음 항목 toverify (위의 예제 출력)에서이 문제에 대 한 관련 섹션 인지 확인 합니다.
  • 이 프로세스는 C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe.
  • 요청이 다른 포리스트의 도메인 컨트롤러에 전송 됩니다-예를 들어, northwindsails.com.
  • 반환 코드는 0xc0000073, STATUS_NONE_MAPPED가 있습니다.

FSP 개체를 찾으려면 (도메인 이름 바꾸기 및 Sid) 다음 명령을 실행 합니다.
get-AdObject -Searchbase "CN=ForeignSecurityPrincipals,DC=contoso,DC=com" -ldapfilter "(cn=S-1-5-21-3110691720-3620623707-1182478234-698540)"

이 FSP 원본 개체로 존재 안전 하 게 삭제할 수 있도록 합니다. 이 모든 그룹의 멤버인에서 제거 됩니다.

get-AdObject -Searchbase "CN=ForeignSecurityPrincipals,DC=contoso,DC=com" -ldapfilter "(cn=S-1-5-21-3110691720-3620623707-1182478234-698540)" | Remove-AdObject -Confirm:$false

경고: 이 문서는 자동으로 번역되었습니다.

속성

문서 ID: 3171600 - 마지막 검토: 06/23/2016 20:36:00 - 수정: 3.0

Windows Server 2008 Standard, Windows Server 2008 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Windows Server 2012 Standard, Windows Server 2012 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Datacenter

  • kbmt KB3171600 KbMtko
피드백