Šiuo metu esate neprisijungę, laukiama, kol iš naujo prisijungsite prie interneto

Get-ADGroupMember grąžina klaidos domeno vietos grupės nariams iš nuotolinio miškų

SVARBU: šis straipsnis išverstas naudojant „Microsoft“ mašininio vertimo programinę įrangą ir gali būti pataisytas naudojant „Community Translation Framework“ (CTF) technologiją. „Microsoft“ siūlo mašinos išverstus ir po to bendruomenės suredaguotus straipsnius, taip pat žmogaus išverstus straipsnius siekdama suteikti prieigą prie visų savo žinių bazės straipsnių daugeliu kalbų. Mašinos išverstuose ir vėliau paredaguotuose straipsniuose gali būti žodyno, sintaksės ir / arba gramatikos klaidų. „Microsoft“ neatsako už jokius netikslumus, klaidas arba žalą, patirtą dėl neteisingo turinio vertimo arba mūsų klientų naudojimosi juo. Daugiau apie CTF žr. http://support.microsoft.com/gp/machine-translation-corrections.

Spustelėkite čia, norėdami pamatyti šio straipsnio versiją anglų kalba: 3171600
Požymiai
Tarkime, jūs naudojate Get-ADGroupMembercmdlet nustatyti grupės Active Directory domenų tarnyba (AD DS) narių. Tačiau kai paleidžiate cmdlet domeno vietos grupės, grąžinama toliau nurodytas klaidos pranešimas:

Get-ADGroupMember -verbose -identity "CN=Test-Local1,OU=Test Accounts,DC=contoso,DC=com"Get-ADGroupMember : An unspecified error has occurredAt line:1 char:1+ Get-ADGroupMember -verbose -identity "CN=Test-Local1,OU=Test Accounts,DC=contoso ...+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~    + CategoryInfo          : NotSpecified: (CN=Test-Local1,...bertm-w7,DC=com:ADGroup) [Get-ADGroupMember], ADExcepti onon    + FullyQualifiedErrorId : ActiveDirectoryServer:0,Microsoft.ActiveDirectory.Management.Commands.GetADGroupMember
Priežastis
Ši problema iškyla, jei grupės narys iš kito miško, kurio abonementas buvo pašalintas iš į miško. Vietos domeno narys parodomas iš su užsienio saugos vadovo (FSP). LDIFDE eksportuojant grupės narystė rodoma taip:
dn: CN=Test-Local1,OU=Test Accounts,DC=contoso,DC=com…member:  CN=S-1-5-21-3110691720-3620623707-1182478234-698540,CN=ForeignSecurityPrincipals,DC=contoso,DC=commember:  CN=S-1-5-21-3110691720-3620623707-1182478234-695739,CN=ForeignSecurityPrincipals,DC=contoso,DC=com
Panaikinus šaltinio abonemento SID, FSP nėra atnaujinti arba pašalinti, kad atitiktų šį naikinimą. Jūs turite manuallyverify, šios FSP nuorodos bus pašalintos.
Sprendimas
Norėdami išspręsti šią problemą, įgalinti registravimą sprendimas reikalauja, kad šiuos SID ir kuris atlieka Active Directory tinklo tarnybą. Šiuo būdu, galite nustatyti paskyrų, kurių nepavyksta sprendimas. Norėdami tai padaryti, vykdykite Get-ADGroupMember cmdlet domeno valdiklyje contoso.com (kur vietos rezervavimo ženklas nurodo atitinkamas domeno).

Įgalinti registravimą, vykdykite šią komandą linijos:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgInfoLevel -Value 0x800 -Type dword -Force Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgTraceOptions -Value 0x1 -Type dword -ForcePlease remember turning the logging off when you have the log:Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgInfoLevel -Value 0x0 -Type dword -Force 
Bus rodomas failą, kuris buvo pavadintasc:\windows\debug\lsp.log, kurie stebi SID vardo Vertimas bandymai. Kai jūs iš naujo paleiskite cmdlet domeno valdiklyje, kai buvo įvykdyta cmdlet, failas bus registruojami gedimų ir bus panašus į šį:

LspDsLookup - Entering function LsapLookupSidsLspDsLookup - LookupSids request for 1 SIDs with level=1, mappedcount=0, options=0x0, clientRevision=2 is being processed. SIDs are;LspDsLookup -         Sids[ 0 ] = S-1-5-21-3110691720-3620623707-1182478234-698540LspDsLookup -   Requestor details: Local Machine, Process ID = 1408, Process Name = C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exeLspDsLookup - Entering function LsapDbLookupSidsUsingIdentityCacheLspDsLookup - 1 sids remain unmappedLspDsLookup - Exiting function LsapDbLookupSidsUsingIdentityCache with status 0x0LspDsLookup - LookupSids chain request (using Netlogon) to \\dc3.northwindsails.com for 1 sids will be made with level=6, mappedcount=0, options=0x0, serverRevision=0. Sids are;LspDsLookup -         Sids[ 0 ] = S-1-5-21-3110691720-3620623707-1182478234-698540LspDsLookup - Lookup request (using Netlogon) to \\dc3.northwindsails.com returned with 0xc0000073 and mappedcount=0, serverRevision=0LspDsLookup - Exiting function LsapLookupSids with status 0xc0000073
Ieškokite šių elementų toverify, tai yra atitinkamame skyriuje šios problemos (, ankstesnius išvesties pavyzdys):
  • Procesas yra C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe.
  • Prašymas siunčiamas į domeno valdiklis įvairių miško – pvz., northwindsails.com.
  • Grįžties kodas yra 0xc0000073, kuris yra lygus STATUS_NONE_MAPPED.

Norėdami rasti FSP objektas, vykdykite šią komandą (pakeisti domenų vardus ir SID):
get-AdObject -Searchbase "CN=ForeignSecurityPrincipals,DC=contoso,DC=com" -ldapfilter "(cn=S-1-5-21-3110691720-3620623707-1182478234-698540)"

Šis FSP pradinį objektą nebeegzistuoja, todėl jūs galite saugiai panaikinti. Tai taip pat ji bus pašalinta iš visų grupių, kad jis priklauso:

get-AdObject -Searchbase "CN=ForeignSecurityPrincipals,DC=contoso,DC=com" -ldapfilter "(cn=S-1-5-21-3110691720-3620623707-1182478234-698540)" | Remove-AdObject -Confirm:$false

Įspėjimas: šis straipsnis išverstas automatiškai

Savybės

Straipsnio ID: 3171600 – Paskutinė peržiūra: 06/23/2016 20:35:00 – Peržiūra: 3.0

Windows Server 2008 Standard, Windows Server 2008 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Windows Server 2012 Standard, Windows Server 2012 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Datacenter

  • kbmt KB3171600 KbMtlt
Atsiliepimai