Momentálne ste offline a čaká sa, kým sa znova pripojíte na internet

Získať ADGroupMember vráti chybu lokálna skupina domény členom vzdialenej lesov

DÔLEŽITÉ: Tento článok je preložený pomocou softvéru na strojový preklad od spoločnosti Microsoft a možno ho opraviť prostredníctvom technológie Community Translation Framework (CTF). Microsoft ponúka strojovo preložené články, články upravené komunitou aj články preložené prekladateľmi, aby zabezpečil prístup ku všetkým článkom databázy Knowledge Base vo viacerých jazykoch. Strojovo preložené články aj upravené články môžu obsahovať chyby týkajúce sa slovnej zásoby, syntaxe alebo gramatiky. Microsoft nenesie zodpovednosť za akékoľvek nepresnosti, chyby alebo škody spôsobené neprávnym prekladom obsahu alebo jeho použitím zo strany našich zákazníkov. Ďalšie informácie o technológii CTF nájdete na lokalite http://support.microsoft.com/gp/machine-translation-corrections/sk.

Pokiaľ chcete vidieť anglickú verziu článku, kliknite sem: 3171600
Príznaky
Predpokladajme, že používate rutiny cmdlet Get-ADGroupMemberidentifikovať členovia skupiny Doménové služby Active Directory (AD DS). Však pri spustení rutiny cmdlet lokálnej skupiny domény, nasledujúce vráti chybu:

Get-ADGroupMember -verbose -identity "CN=Test-Local1,OU=Test Accounts,DC=contoso,DC=com"Get-ADGroupMember : An unspecified error has occurredAt line:1 char:1+ Get-ADGroupMember -verbose -identity "CN=Test-Local1,OU=Test Accounts,DC=contoso ...+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~    + CategoryInfo          : NotSpecified: (CN=Test-Local1,...bertm-w7,DC=com:ADGroup) [Get-ADGroupMember], ADExcepti onon    + FullyQualifiedErrorId : ActiveDirectoryServer:0,Microsoft.ActiveDirectory.Management.Commands.GetADGroupMember
Príčina
Tento problém sa vyskytuje, ak skupina členom z iného lesa, ktorej bola odstránená z lesa konta. Člen vystupuje v lokálnej domény v cudzích zabezpečenia autority (FSP). V skupine export LDIFDE, členstvo uvedené takto:
dn: CN=Test-Local1,OU=Test Accounts,DC=contoso,DC=com…member:  CN=S-1-5-21-3110691720-3620623707-1182478234-698540,CN=ForeignSecurityPrincipals,DC=contoso,DC=commember:  CN=S-1-5-21-3110691720-3620623707-1182478234-695739,CN=ForeignSecurityPrincipals,DC=contoso,DC=com
Po odstránení zdroja konto s IDENTIFIKÁTOROM FSP nie aktualizovať alebo odstrániť, aby toto odstránenie. Musíte manuallyverify, tieto odkazy FSP odstránia.
Riešenie
Ak chcete odstrániť tento problém, povoliť zapisovanie do denníka riešenia požiadaviek, týkajúcich sa týchto sid a ktoré vykonávajú Active Directory Webservice. Takto môžete určiť kontá, ktoré riešenie. Na spustenie rutiny cmdlet Get-ADGroupMember na radič contoso.com (kde predstavuje v doméne).

Povolenie zapisovania do denníka, spustite nasledujúce príkazy:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgInfoLevel -Value 0x800 -Type dword -Force Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgTraceOptions -Value 0x1 -Type dword -ForcePlease remember turning the logging off when you have the log:Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgInfoLevel -Value 0x0 -Type dword -Force 
Zobrazí sa pokúsi súbor, ktorý sa nazývac:\windows\debug\lsp.log, ktorý sleduje SID názvov. Pri ďalšom spustení rutiny cmdlet na radiči domény, kde bola vykonaná cmdlet, súbor sa prihlásiť chyby a vyzerať takto:

LspDsLookup - Entering function LsapLookupSidsLspDsLookup - LookupSids request for 1 SIDs with level=1, mappedcount=0, options=0x0, clientRevision=2 is being processed. SIDs are;LspDsLookup -         Sids[ 0 ] = S-1-5-21-3110691720-3620623707-1182478234-698540LspDsLookup -   Requestor details: Local Machine, Process ID = 1408, Process Name = C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exeLspDsLookup - Entering function LsapDbLookupSidsUsingIdentityCacheLspDsLookup - 1 sids remain unmappedLspDsLookup - Exiting function LsapDbLookupSidsUsingIdentityCache with status 0x0LspDsLookup - LookupSids chain request (using Netlogon) to \\dc3.northwindsails.com for 1 sids will be made with level=6, mappedcount=0, options=0x0, serverRevision=0. Sids are;LspDsLookup -         Sids[ 0 ] = S-1-5-21-3110691720-3620623707-1182478234-698540LspDsLookup - Lookup request (using Netlogon) to \\dc3.northwindsails.com returned with 0xc0000073 and mappedcount=0, serverRevision=0LspDsLookup - Exiting function LsapLookupSids with status 0xc0000073
Kontrola nasledujúcich položiek toverify, že ide o relevantnú časť tohto problému (v predchádzajúcom vzorový výstup):
  • Proces je C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe.
  • Požiadavka bola odoslaná na radič domény v inom lese – napríklad northwindsails.com.
  • Návratový kód je 0xc0000073, ktorá sa rovná STATUS_NONE_MAPPED.

Nájsť objekt FSP, spustite nasledujúci príkaz (nahradiť domén a sid):
get-AdObject -Searchbase "CN=ForeignSecurityPrincipals,DC=contoso,DC=com" -ldapfilter "(cn=S-1-5-21-3110691720-3620623707-1182478234-698540)"

Pôvodný objekt pre tento FSP neexistuje, takže môžete bezpečne odstrániť. To tiež odstráni zo všetkých skupín, ktoré je členom skupiny:

get-AdObject -Searchbase "CN=ForeignSecurityPrincipals,DC=contoso,DC=com" -ldapfilter "(cn=S-1-5-21-3110691720-3620623707-1182478234-698540)" | Remove-AdObject -Confirm:$false

Upozornenie: Tento článok bol preložený automaticky.

Vlastnosti

ID článku: 3171600 – Posledná kontrola: 06/23/2016 20:33:00 – Revízia: 3.0

Windows Server 2008 Standard, Windows Server 2008 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Windows Server 2012 Standard, Windows Server 2012 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Datacenter

  • kbmt KB3171600 KbMtsk
Pripomienky