Obter ADGroupMember devolve erro para o grupo local de domínio para membros de florestas remotos

IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática… erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.

Clique aqui para ver a versão em Inglês deste artigo: 3171600
Sintomas
Suponha que utilize o cmdlet Get-ADGroupMemberpara identificar membros de um grupo nos serviços de domínio do Active Directory (AD DS). No entanto, quando executar o cmdlet para um grupo local de domínio, é devolvido o seguinte erro:

Get-ADGroupMember -verbose -identity "CN=Test-Local1,OU=Test Accounts,DC=contoso,DC=com"Get-ADGroupMember : An unspecified error has occurredAt line:1 char:1+ Get-ADGroupMember -verbose -identity "CN=Test-Local1,OU=Test Accounts,DC=contoso ...+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~    + CategoryInfo          : NotSpecified: (CN=Test-Local1,...bertm-w7,DC=com:ADGroup) [Get-ADGroupMember], ADExcepti onon    + FullyQualifiedErrorId : ActiveDirectoryServer:0,Microsoft.ActiveDirectory.Management.Commands.GetADGroupMember
Causa
Este problema ocorre se o grupo tem um membro de outra floresta cuja conta foi removida da floresta de conta. O membro é representado no domínio local por um estrangeiro segurança Principal (FSP). A exportação LDIFDE do grupo, uma associação, é apresentada da seguinte forma:
dn: CN=Test-Local1,OU=Test Accounts,DC=contoso,DC=com…member:  CN=S-1-5-21-3110691720-3620623707-1182478234-698540,CN=ForeignSecurityPrincipals,DC=contoso,DC=commember:  CN=S-1-5-21-3110691720-3620623707-1182478234-695739,CN=ForeignSecurityPrincipals,DC=contoso,DC=com
Quando a conta de origem com o SID é eliminada, o FSP não é actualizado ou removido para reflectir esta eliminação. Tem de manuallyverify que estas referências FSP são removidas.
Resolução
Para resolver este problema, Active o registo para a resolução de pedidos que dizem respeito a estes SID e que são executados pelo Webservice directório activo. Desta forma, pode identificar as contas que falharem a resolução. Para tal, execute o cmdlet Get-ADGroupMember no controlador de domínio do contoso.com (onde o marcador de posição representa o domínio em questão).

Para activar o registo, execute as seguintes linhas de comando:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgInfoLevel -Value 0x800 -Type dword -Force Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgTraceOptions -Value 0x1 -Type dword -ForcePlease remember turning the logging off when you have the log:Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgInfoLevel -Value 0x0 -Type dword -Force 
Verá as tentativas de um ficheiro que tem com o nomec:\windows\debug\lsp.log, que controla a resolução de nomes de SID. Quando voltar a executar o cmdlet no controlador de domínio em que foi executado o cmdlet ', o ficheiro registará as falhas e será semelhante à seguinte:

LspDsLookup - Entering function LsapLookupSidsLspDsLookup - LookupSids request for 1 SIDs with level=1, mappedcount=0, options=0x0, clientRevision=2 is being processed. SIDs are;LspDsLookup -         Sids[ 0 ] = S-1-5-21-3110691720-3620623707-1182478234-698540LspDsLookup -   Requestor details: Local Machine, Process ID = 1408, Process Name = C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exeLspDsLookup - Entering function LsapDbLookupSidsUsingIdentityCacheLspDsLookup - 1 sids remain unmappedLspDsLookup - Exiting function LsapDbLookupSidsUsingIdentityCache with status 0x0LspDsLookup - LookupSids chain request (using Netlogon) to \\dc3.northwindsails.com for 1 sids will be made with level=6, mappedcount=0, options=0x0, serverRevision=0. Sids are;LspDsLookup -         Sids[ 0 ] = S-1-5-21-3110691720-3620623707-1182478234-698540LspDsLookup - Lookup request (using Netlogon) to \\dc3.northwindsails.com returned with 0xc0000073 and mappedcount=0, serverRevision=0LspDsLookup - Exiting function LsapLookupSids with status 0xc0000073
Verifique o seguinte toverify de itens que esta é a secção relevante para este problema (em saída de exemplo anterior):
  • O processo é C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe.
  • O pedido é enviado para um controlador de domínio numa floresta diferente — por exemplo, northwindsails.com.
  • O código de retorno é 0xc0000073, que é igual a STATUS_NONE_MAPPED.

Para localizar o objecto FSP, execute o seguinte comando (substituir os nomes de domínio e os SIDs):
get-AdObject -Searchbase "CN=ForeignSecurityPrincipals,DC=contoso,DC=com" -ldapfilter "(cn=S-1-5-21-3110691720-3620623707-1182478234-698540)"

O objecto original para este FSP já não existe, pelo que pode eliminar com segurança. Esta acção também removerá-lo de todos os grupos que é um membro de:

get-AdObject -Searchbase "CN=ForeignSecurityPrincipals,DC=contoso,DC=com" -ldapfilter "(cn=S-1-5-21-3110691720-3620623707-1182478234-698540)" | Remove-AdObject -Confirm:$false

Aviso: Este artigo foi traduzido automaticamente

Propriedades

ID do Artigo: 3171600 - Última Revisão: 06/23/2016 20:34:00 - Revisão: 3.0

Windows Server 2008 Standard, Windows Server 2008 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Windows Server 2012 Standard, Windows Server 2012 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Datacenter

  • kbmt KB3171600 KbMtpt
Comentários