Momentan sunteți offline, așteptați să vă reconectați la internet

Get-ADGroupMember retorna erro de grupo local de domínio para membros de florestas remotas

IMPORTANTE: Este artigo foi traduzido pelo software de tradução automática da Microsoft e eventualmente pode ter sido editado pela Microsoft Community através da tecnologia Community Translation Framework (CTF) ou por um tradutor profissional. A Microsoft oferece artigos traduzidos automaticamente por software, por tradutores profissionais e editados pela comunidade para que você tenha acesso a todos os artigos de nossa Base de Conhecimento em diversos idiomas. No entanto, um artigo traduzido pode conter erros de vocabulário, sintaxe e/ou gramática. A Microsoft não é responsável por qualquer inexatidão, erro ou dano causado por qualquer tradução imprecisa do conteúdo ou por seu uso pelos nossos clientes.

Clique aqui para ver a versão em Inglês deste artigo: 3171600
Sintomas
Suponha que você use o cmdlet Get-ADGroupMemberpara identificar os membros de um grupo nos serviços de domínio Active Directory (AD DS). No entanto, quando você executa o cmdlet para um grupo de domínio local, é retornado o seguinte erro:

Get-ADGroupMember -verbose -identity "CN=Test-Local1,OU=Test Accounts,DC=contoso,DC=com"Get-ADGroupMember : An unspecified error has occurredAt line:1 char:1+ Get-ADGroupMember -verbose -identity "CN=Test-Local1,OU=Test Accounts,DC=contoso ...+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~    + CategoryInfo          : NotSpecified: (CN=Test-Local1,...bertm-w7,DC=com:ADGroup) [Get-ADGroupMember], ADExcepti onon    + FullyQualifiedErrorId : ActiveDirectoryServer:0,Microsoft.ActiveDirectory.Management.Commands.GetADGroupMember
Causa
Esse problema ocorre se o grupo tiver um membro de outra floresta cuja conta foi removida da floresta de conta. O membro é representado por um estrangeiro segurança Principal (FSP) no domínio local. Na exportação LDIFDE do grupo, uma associação é mostrada a seguir:
dn: CN=Test-Local1,OU=Test Accounts,DC=contoso,DC=com…member:  CN=S-1-5-21-3110691720-3620623707-1182478234-698540,CN=ForeignSecurityPrincipals,DC=contoso,DC=commember:  CN=S-1-5-21-3110691720-3620623707-1182478234-695739,CN=ForeignSecurityPrincipals,DC=contoso,DC=com
Quando a conta de origem com o SID é excluída, o FSP não seja atualizado ou removido para refletir esta exclusão. Você deve manuallyverify que essas referências FSP são removidas.
Resolução
Para resolver esse problema, ative o log para a resolução de solicitações que se referem a esses SIDs e que são executadas pelo Webservice diretório ativo. Dessa forma, você pode identificar as contas de resolução de falhas. Para fazer isso, execute o cmdlet Get-ADGroupMember no controlador de domínio do Contoso.com (onde o espaço reservado representa o domínio em questão).

Para habilitar o log, execute as seguintes linhas de comando:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgInfoLevel -Value 0x800 -Type dword -Force Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgTraceOptions -Value 0x1 -Type dword -ForcePlease remember turning the logging off when you have the log:Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgInfoLevel -Value 0x0 -Type dword -Force 
Você verá um arquivo que foi chamadoc:\windows\debug\lsp.log, que controla a resolução de nome SID tentativas. Quando você executar novamente o cmdlet no controlador de domínio onde o cmdlet foi executado, o arquivo registrará as falhas e será semelhante ao seguinte:

LspDsLookup - Entering function LsapLookupSidsLspDsLookup - LookupSids request for 1 SIDs with level=1, mappedcount=0, options=0x0, clientRevision=2 is being processed. SIDs are;LspDsLookup -         Sids[ 0 ] = S-1-5-21-3110691720-3620623707-1182478234-698540LspDsLookup -   Requestor details: Local Machine, Process ID = 1408, Process Name = C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exeLspDsLookup - Entering function LsapDbLookupSidsUsingIdentityCacheLspDsLookup - 1 sids remain unmappedLspDsLookup - Exiting function LsapDbLookupSidsUsingIdentityCache with status 0x0LspDsLookup - LookupSids chain request (using Netlogon) to \\dc3.northwindsails.com for 1 sids will be made with level=6, mappedcount=0, options=0x0, serverRevision=0. Sids are;LspDsLookup -         Sids[ 0 ] = S-1-5-21-3110691720-3620623707-1182478234-698540LspDsLookup - Lookup request (using Netlogon) to \\dc3.northwindsails.com returned with 0xc0000073 and mappedcount=0, serverRevision=0LspDsLookup - Exiting function LsapLookupSids with status 0xc0000073
Verifique a seguir verificar itens que esta é a seção relevante para esse problema (na saída do exemplo anterior):
  • O processo é C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe.
  • A solicitação é enviada para um controlador de domínio em uma floresta diferente — por exemplo, northwindsails.com.
  • O código de retorno é 0xc0000073, que é igual a STATUS_NONE_MAPPED.

Para localizar o objeto FSP, execute o seguinte comando (SIDs e substituir nomes de domínio):
get-AdObject -Searchbase "CN=ForeignSecurityPrincipals,DC=contoso,DC=com" -ldapfilter "(cn=S-1-5-21-3110691720-3620623707-1182478234-698540)"

O objeto original para esta FSP não existe, portanto, você poderá excluí-la com segurança. Isso removerá de todos os grupos que ele é um membro de:

get-AdObject -Searchbase "CN=ForeignSecurityPrincipals,DC=contoso,DC=com" -ldapfilter "(cn=S-1-5-21-3110691720-3620623707-1182478234-698540)" | Remove-AdObject -Confirm:$false

Aviso: este artigo foi traduzido automaticamente

Proprietăți

ID articol: 3171600 - Ultima examinare: 06/23/2016 20:34:00 - Revizie: 3.0

Windows Server 2008 Standard, Windows Server 2008 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Windows Server 2012 Standard, Windows Server 2012 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Datacenter

  • kbmt KB3171600 KbMtpt
Feedback
img style="display:none;" onerror="var m=document.createElement('meta');m.name='ms.dqp0';m.content='true';document.getElementsByTagName('head')[0].appendChild(m);" onload="var m=document.createElement('meta');m.name='ms.dqp0';m.content='false';document.getElementsByTagName('head')[0].appendChild(m);" src="http://c1.microsoft.com/c.gif?">