Momentan sunteți offline, așteptați să vă reconectați la internet

Get-ADGroupMember returnează eroarea pentru grup local în domeniu membri din păduri la distanță

IMPORTANT: Acest articol este tradus cu ajutorul software-ului Microsoft de traducere automată și poate fi corectat prin intermediul tehnologiei Community Translation Framework (CTF). Microsoft oferă articole traduse automat, post-editate de comunitate și articole traduse de oameni, pentru a permite accesul la toate articolele din Baza noastră de cunoștințe în mai multe limbi. Articolele traduse automat și post-editate pot conține greșeli de vocabular, sintaxă și/sau gramatică. Microsoft nu este responsabil de inexactitățile, erorile sau daunele cauzate de traducerea greșită a conținutului sau de utilizarea acestuia de către clienți. Găsiți mai multe informații despre traducerea în colaborare la http://support.microsoft.com/gp/machine-translation-corrections/ro.

Faceți clic aici pentru a vizualiza versiunea în limba engleză a acestui articol: 3171600
Simptome
Să presupunem că Utilizați cmdletul Get-ADGroupMemberpentru a identifica membri dintr-un grup în consolidare servicii de domeniu Active Directory (AD DS). Cu toate acestea, atunci când executați cmdletul pentru un grup local în domeniu, se returnează următoarea eroare:

Get-ADGroupMember -verbose -identity "CN=Test-Local1,OU=Test Accounts,DC=contoso,DC=com"Get-ADGroupMember : An unspecified error has occurredAt line:1 char:1+ Get-ADGroupMember -verbose -identity "CN=Test-Local1,OU=Test Accounts,DC=contoso ...+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~    + CategoryInfo          : NotSpecified: (CN=Test-Local1,...bertm-w7,DC=com:ADGroup) [Get-ADGroupMember], ADExcepti onon    + FullyQualifiedErrorId : ActiveDirectoryServer:0,Microsoft.ActiveDirectory.Management.Commands.GetADGroupMember
Cauză
Această problemă apare dacă grupul are un membru din altă pădure al cărui cont a fost eliminat din contul pădure. Membru este reprezentat în domeniul local de un străine securitate Principal (FSP). În exportul LDIFDE de grup, un membru este afișat după cum urmează:
dn: CN=Test-Local1,OU=Test Accounts,DC=contoso,DC=com…member:  CN=S-1-5-21-3110691720-3620623707-1182478234-698540,CN=ForeignSecurityPrincipals,DC=contoso,DC=commember:  CN=S-1-5-21-3110691720-3620623707-1182478234-695739,CN=ForeignSecurityPrincipals,DC=contoso,DC=com
Atunci când se elimină contul sursă cu SID-ul, FSP nu este actualizat sau eliminat pentru a reflecta acest ștergerea. Trebuie să vă manuallyverify care aceste referințe FSP sunt eliminate.
Rezoluţie
Pentru a rezolva această problemă, activați înregistrarea în jurnal pentru rezolvarea cererilor care se referă la aceste Sid-uri și care sunt efectuate de Active Directory Webservice. În acest fel, poate identifica conturile care nu reușesc rezolvare. Pentru aceasta, executați cmdletul Get-ADGroupMember pe controlerul de domeniu de contoso.com (unde substituentul reprezintă domeniul în cauză).

Pentru a activa înregistrarea în jurnal, executați următoarele linii de comandă:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgInfoLevel -Value 0x800 -Type dword -Force Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgTraceOptions -Value 0x1 -Type dword -ForcePlease remember turning the logging off when you have the log:Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgInfoLevel -Value 0x0 -Type dword -Force 
Veți vedea un fișier care a numitc:\windows\debug\lsp.log, care urmărește rezolvarea numelui SID încearcă. Atunci când executați din nou cmdletul pe controlerul de domeniu în cazul în care s-a executat cmdlet, fișierul va jurnalul de erori și seamănă cu următorul:

LspDsLookup - Entering function LsapLookupSidsLspDsLookup - LookupSids request for 1 SIDs with level=1, mappedcount=0, options=0x0, clientRevision=2 is being processed. SIDs are;LspDsLookup -         Sids[ 0 ] = S-1-5-21-3110691720-3620623707-1182478234-698540LspDsLookup -   Requestor details: Local Machine, Process ID = 1408, Process Name = C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exeLspDsLookup - Entering function LsapDbLookupSidsUsingIdentityCacheLspDsLookup - 1 sids remain unmappedLspDsLookup - Exiting function LsapDbLookupSidsUsingIdentityCache with status 0x0LspDsLookup - LookupSids chain request (using Netlogon) to \\dc3.northwindsails.com for 1 sids will be made with level=6, mappedcount=0, options=0x0, serverRevision=0. Sids are;LspDsLookup -         Sids[ 0 ] = S-1-5-21-3110691720-3620623707-1182478234-698540LspDsLookup - Lookup request (using Netlogon) to \\dc3.northwindsails.com returned with 0xc0000073 and mappedcount=0, serverRevision=0LspDsLookup - Exiting function LsapLookupSids with status 0xc0000073
Căutați următoarele elemente toverify că aceasta este secțiunea relevantă pentru această problemă (în rezultatele eșantion anterior):
  • Procesul se C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe.
  • Solicitarea este trimisă la un controler de domeniu în altă pădure — de exemplu, northwindsails.com.
  • Cod de retur este 0xc0000073, care este egal cu STATUS_NONE_MAPPED.

Pentru a găsi obiectul FSP, executaţi următoarea comandă (numele de domeniu înlocuire și Sid-uri):
get-AdObject -Searchbase "CN=ForeignSecurityPrincipals,DC=contoso,DC=com" -ldapfilter "(cn=S-1-5-21-3110691720-3620623707-1182478234-698540)"

Obiectul original pentru această FSP nu mai există, astfel încât o puteți șterge în siguranță. Astfel, de asemenea, o elimină din toate grupurile care este membru al:

get-AdObject -Searchbase "CN=ForeignSecurityPrincipals,DC=contoso,DC=com" -ldapfilter "(cn=S-1-5-21-3110691720-3620623707-1182478234-698540)" | Remove-AdObject -Confirm:$false

Avertisment: acest articol a fost tradus automat

Proprietăți

ID articol: 3171600 - Ultima examinare: 06/23/2016 20:33:00 - Revizie: 3.0

Windows Server 2008 Standard, Windows Server 2008 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Windows Server 2012 Standard, Windows Server 2012 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Datacenter

  • kbmt KB3171600 KbMtro
Feedback
lementsByTagName("head")[0].appendChild(m);