Aanmelden met Microsoft
Meld u aan of maak een account.
Hallo,
Selecteer een ander account.
U hebt meerdere accounts
Kies het account waarmee u zich wilt aanmelden.

Inleiding

Objecten die zijn opgeslagen in Active Directory, kunnen verlopen, beschadigd of zwevend raken vanwege replicatieconflicten.

Dit artikel is gericht op vertrouwensobjecten die kunnen worden geïdentificeerd door de bit 'INTERDOMAIN_TRUST_ACCOUNT' in het kenmerk userAccountControl . Zie userAccountControl Bits voor gedetailleerde informatie over deze bit.

Symptomen

Vertrouwensrelaties worden in Active Directory als volgt weergegeven:

  • Een gebruikersaccount dat is aangebracht met een volgteken $.

  • Een vertrouwd domeinobject (TDO) dat is opgeslagen in de systeemcontainer van de domeinmappartitie.

Als u dubbele vertrouwensrelaties maakt, worden er twee objecten gemaakt met dubbele SAM-accountnamen (Security Account Manager). Op het tweede object lost SAM het conflict op door de naam van het object te wijzigen in $DUPLICATE-<Account RID>. Het dubbele object kan niet worden verwijderd en wordt 'zwevend'.

Opmerking Een Active Directory-object wordt 'zwevend' genoemd wanneer het een live onderliggend object vertegenwoordigt dat is opgeslagen in Active Directory waarvan de bovenliggende container ontbreekt. De term wordt soms ook gebruikt om te verwijzen naar een verouderd of beschadigd object in Active Directory dat niet kan worden verwijderd met behulp van een normale werkstroom.

Er zijn twee primaire scenario's voor verouderde vertrouwensrelaties:

  • Scenario 1: Gebruiker vertrouwen in conflictstatus

    Een vertrouwensgebruiker moet mogelijk worden verwijderd in scenario's waarin er twee forests zijn en er eerder een vertrouwensrelatie is gemaakt tussen domeinen in die forests. Toen de vertrouwensrelatie voor het eerst werd gemaakt, was er een probleem waardoor replicatie werd verhinderd. Een beheerder heeft mogelijk de FSMO-rol (Flexible Single Master Operation ) van de primaire domeincontroller (PDC) overgedragen of overgenomen en de vertrouwensrelatie opnieuw gemaakt op een andere domeincontroller (DC).

    Later, wanneer de Active Directory-replicatie opnieuw tot stand wordt gebracht, worden de twee vertrouwensgebruikers gerepliceerd naar dezelfde domeincontroller, waardoor er een naamconflict ontstaat. Aan het vertrouwensgebruikersobject wordt een conflicterende DN (CNF) toegewezen; bijvoorbeeld:

    CN=contoso$\0ACNF:a6e22a25-f60c-4f07-b629-64720c6d8b08,CN=Users,DC=northwindsales,DC=com

    De samAccountName wordt ook mangleed weergegeven:

    $DUPLICATE-3159f

    Het object zonder het naamconflict zou normaal lijken en goed functioneren. Het is mogelijk om de vertrouwensrelatie te verwijderen en opnieuw te maken.

  • Scenario 2: Zwevende gebruiker vertrouwen

    Net als in scenario 1 kan het nodig zijn om een vertrouwensgebruiker te bewerken of te verwijderen als de vertrouwens- en vertrouwenspartner niet meer bestaat, maar de vertrouwensgebruiker zich nog steeds in de Active Directory-database bevindt. Meestal is het wachtwoord voor deze accounts oud, waardoor dat account wordt gemarkeerd door hulpprogramma's voor beveiligingsscans.

Foutberichten wanneer een beheerder probeert de kenmerken van een vertrouwensrelatie te bewerken

Het is niet mogelijk om sleutelkenmerken te wijzigen of het zwevende vertrouwensgebruikersobject te verwijderen. De volgende fout wordt weergegeven na een poging om kenmerken te wijzigen die het object beveiligen:

Dialoogvenster Fout

Foutbericht

Bewerking is mislukt. Foutcode 0x209a

De bewerking is mislukt. Foutcode: 0x209a
Toegang tot het kenmerk is niet toegestaan omdat het kenmerk eigendom is van Security Accounts Manager (SAM).

0000209A: SvcErr: DSID-031A1021, probleem 5003 (WILL_NOT_PERFORM), gegevens 0

Wanneer een beheerder probeert het object te verwijderen, mislukt dit met de fout 0x5, wat het equivalent is van 'Toegang geweigerd'. Of het conflicterende vertrouwensobject wordt mogelijk niet weergegeven in de Active Directory-module 'Domeinen en vertrouwensrelaties'.

Dialoogvenster Fout

Foutbericht

De bewerking is mislukt. Foutcode 0x5

De bewerking is mislukt. Foutcode: 0x5
De toegang wordt geweigerd.


00000005:SecErr:DSID-031A11ED, probleem 4003 (INSUFF_ACCESS_RIGHTS), gegevens 0.

Oorzaak

Dit probleem treedt op omdat vertrouwensobjecten eigendom zijn van het systeem en alleen kunnen worden gewijzigd of verwijderd door beheerders die de ACTIVE Directory-domeinen en vertrouwens-MMC gebruiken. Deze functionaliteit is standaard.

Oplossing

Na de installatie van de Windows-updates van 14 mei 2024 op domeincontrollers met Windows Server 2019 of een latere versie van Windows Server, is het nu mogelijk om zwevende vertrouwensaccounts te verwijderen met behulp van de bewerking schemaUpgradeInProgress. Ga hiervoor als volgt te werk:

  1. Identificeer een zwevend vertrouwensgebruikersaccount in uw domein. Deze uitvoer van bijvoorbeeld LDP.exe; toont een userAccountControl-vlag van 0x800 waarmee de vertrouwensgebruiker wordt geïdentificeerd:

    Uitbreidende basis CN=northwindsales$,CN=Users,DC=contoso,DC=com'...
    1 vermeldingen ophalen:
    Dn: CN=northwindsales$,CN=Users,DC=contoso,DC=com

    primaryGroupID: 513 = ( GROUP_RID_USERS );
    pwdLastSet: 4/27/2013 22:03:05 PM Coordinated Universal Time;
    sAMAccountName: NORTHWINDSALES$;
    sAMAccountType: 805306370 = ( TRUST_ACCOUNT );
    userAccountControl: 0x820 = ( PASSWD_NOTREQD | INTERDOMAIN_TRUST_ACCOUNT )
    ;…

  2. Voeg zo nodig een domeinbeheerdersaccount toe van het verouderde vertrouwensaccountdomein aan de groep Schema-beheerders in het foresthoofddomein. (Het account dat wordt gebruikt voor de verwijdering moet het besturingselement Control-Schema-Master hebben op de hoofdmap van de Schema NC-replica EN moet zich kunnen aanmelden bij de DC die het zwevende account bevat.)

  3. Zorg ervoor dat windows-updates van 14 mei 2024 of hoger zijn geïnstalleerd op een beschrijfbare DC in het verouderde vertrouwensaccountdomein.

  4. Meld u aan bij die domeincontroller met een schemabeheerdersaccount. Als u in stap 2 een account hebt toegevoegd aan de groep Schemabeheerders, gebruikt u dat account.

  5. Bereid een LDIFDE-importbestand voor om SchemaUpgradeInProgress te wijzigen en het object te verwijderen.

    De onderstaande tekst kan bijvoorbeeld worden geplakt in een LDIFDE-importbestand om het object te verwijderen dat in stap 1 is geïdentificeerd:

    dn:
    changetype: wijzigen
    toevoegen: SchemaUpgradeInProgress
    SchemaUpgradeInProgress: 1
    -

    dn: CN=northwindsales$,CN=Users,DC=contoso,DC=com
    changetype: verwijderen

    Hints over LDIFDE-syntaxis:

    • De regel met alleen een afbreekstreepje ('-') is essentieel, omdat hiermee de reeks wijzigingen onder het wijzigingstype 'wijzigen' wordt beëindigd.

    • De lege regel na de regel met het afbreekstreepje is ook essentieel, omdat LDIFDE hiermee laat zien dat alle wijzigingen in het object zijn voltooid en dat wijzigingen moeten worden doorgevoerd.

  6. Importeer het LDIFDE-bestand met behulp van de volgende syntaxis:

    ldifde /i /f nameOfLDIFFileCreatedInStep5.txt /j

    Opmerkingen

    • De /i parameter geeft een importbewerking aan.

    • De /f parameter gevolgd door een bestandsnaam geeft het bestand met de wijzigingen.

    • De /j parameter gevolgd door een logfile pad schrijft een ldif.log en een ldif.err bestand met de resultaten van de update, of de procedure heeft gewerkt, en zo niet, de fout die is opgetreden tijdens de mod.

    • Een punt opgeven ('.') met de /j parameter schrijven de logboeken in de huidige werkmap.

  7. Verwijder zo nodig de domeinbeheerder die eerder in stap 2 is toegevoegd uit de groep Schemaadministrators.

Facebook LinkedIn E-mail
RSS-FEEDS ABONNEREN

Meer hulp nodig?

Meer opties?

Ontdekken Community

Verken abonnementsvoordelen, blader door trainingscursussen, leer hoe u uw apparaat kunt beveiligen en meer.

Voordelen van Microsoft 365-abonnementen

Microsoft 365-training

Microsoft-beveiliging

Toegankelijkheidscentrum

Community's helpen u vragen te stellen en te beantwoorden, feedback te geven en te leren van experts met uitgebreide kennis.

Stel een vraag aan de Microsoft-Community

Microsoft Tech Community

Windows Insiders

Microsoft 365 Insiders

Was deze informatie nuttig?

Hoe tevreden bent u met de taalkwaliteit?
Wat heeft uw ervaring beïnvloed?
Als u op Verzenden klikt, wordt uw feedback gebruikt om producten en services van Microsoft te verbeteren. Uw IT-beheerder kan deze gegevens verzamelen. Privacyverklaring.

Hartelijk dank voor uw feedback.

×