Uvod
Objekti uskladišteni u usluzi Active Directory mogu da postanu zausebni, oštećeni ili zapušteni izazvani neusaglašenostima prilikom replikacije.
Ovaj članak se fokusira na pouzdane objekte koji se mogu identifikovati "INTERDOMAIN_TRUST_ACCOUNT" bitom u atributu userAccountControl . Detaljne informacije o ovom bitu potražite u članku userAccountControl Bits.
Simptome
Odnosi poverenja su predstavljeni u usluzi Active Directory na sledeći način:
-
Korisnički nalog povezan znakom $na početku.
-
Pouzdani objekat domena (TDO) uskladišten u sistemskom kontejneru particije direktorijuma domena.
Kreiranje dupliranih poverenja kreiraće dva objekta sa dupliranim imenima naloga menadžera bezbednosnih naloga (SAM). U drugom objektu, SAM razrešava neusaglašenost tako što preimenovanje objekta u $DUPLICATE-<Account RID>. Nije moguće izbrisati duplirani objekat i postati "nedodeljeni".
Napomena Za objekat aktivnog direktorijuma se kaže da je "nedodeljeno" kada predstavlja podređeni objekat uživo koji je uskladišten u usluzi Active Directory čiji nadređeni kontejner nedostaje. Termin se ponekad koristi i za upućivanje na zausebni ili oštećeni objekat u aktivnom direktorijumu koji nije moguće izbrisati pomoću normalnog toka posla.
Postoje dva primarna scenarija za zaostale pouzdanosti:
-
1. slučaj: Pouzdani korisnik u statusu neusaglašenosti
Pouzdani korisnik možda mora da se izbriše u scenarijima u kojima postoje dve šume, a prethodno je kreirano poverenje između domena u tim šumama. Kada je poverenje prvi put kreirano, pojavio se problem koji je sprečio replikaciju. Administrator je možda preneo ili konfiskuo primarni kontroler domena (PDC) Fleksibilnu ulogu jednostruke master operacije (FSMO) i ponovo je kreirao poverenje na drugom kontroleru domena (DC).
Kasnije, kada se ponovo uspostavi replikacija aktivnog direktorijuma, dva pouzdana korisnika će se replicirati u isti DC, što dovodi do neusaglašenosti imenovanja. Objektu pouzdanog korisnika će biti dodeljen neusaglašenost (CNF) sa upravljanjem DN; na primer:
CN=contoso$\0ACNF:a6e22a25-f60c-4f07-b629-64720c6d8b08,CN=Users,DC=northwindsales,DC=com
SamAccountName će se takođe pojaviti zanemareno:
$DUPLICATE-3159f
Objekat bez neusaglašenosti imena izgledao bi normalno i ispravno funkcionisao. Moguće je ukloniti i ponovo kreirati poverenje.
-
2. slučaj: Nedodeljeni korisnik smatra pouzdanim
Slično kao u 1. scenariju, možda će biti potrebe da se uredi ili izbriše pouzdani korisnik ako pouzdani partner više ne postoje, ali je pouzdani korisnik i dalje u bazi podataka aktivnog direktorijuma. Lozinka za ove naloge će obično biti stara, zbog čega će taj nalog biti označen zastavicom pomoću alatki za skeniranje bezbednosti.
Poruke o grešci kada administrator pokuša da uredi atribute poverenja
Nije moguće promeniti atribute ključa ili izbrisati nedodeljeni objekat pouzdanog korisnika. Došlo je do sledeće greške nakon pokušaja promene atributa koji štite objekat:
Error dialog box |
Poruka o grešci |
Operacija nije uspela. Kôd greške: 0x209a Pristup atributu nije dozvoljen zato što je atribut u vlasništvu Menadžera bezbednosnih naloga (SAM).0000209A: SvcErr: DSID-031A1021, problem 5003 (WILL_NOT_PERFORM), podaci 0 |
Kada administrator pokuša da ukloni objekat, on ne uspeva uz grešku 0x5, što je jednako "Pristup je odbijen". Ili se neusaglašeni objekat pouzdanosti možda neće pojaviti u proširenju konzole "Domeni i poverenja" aktivnog direktorijuma.
Error dialog box |
Poruka o grešci |
Operacija nije uspela. Kôd greške: 0x5 Pristup je odbijen.00000005:SecErr:DSID-031A11ED,problem 4003 (INSUFF_ACCESS_RIGHTS), podaci 0. |
Izazvati
Do ovog problema dolazi zato što su pouzdani objekti u vlasništvu sistema i mogu da ih izmene ili izbrišu samo administratori koji koriste MMC "Active Directory domeni i poverenja". Ova funkcionalnost je dizajnirana.
Rezoluciju
Nakon instalacije windows ispravki od 14. maja 2024. na upravljačima domena koji rade pod operativnim sistemom Windows Server 2019 ili novijom verzijom sistema Windows Server, sada je moguće izbrisati zapuštene naloge pouzdanosti pomoću operacije "ŠemaUpgradeInProgresss". Da biste to uradili, pratite ove korake:
-
Identifikujte nedodeljeni korisnički nalog pouzdanog u domenu. Na primer, ovaj rezultat iz LDP.exe; prikazuje zastavicu "userAccountControl" 0x800 koja identifikuje pouzdanog korisnika:
Razvijanje baze ' CN=northwindsales$,CN=Users,DC=contoso,DC=com'...
Pribavljanje 1 stavki: Dn: CN=northwindsales$,CN=Users,DC=contoso,DC=com …primaryGroupID: 513 = ( GROUP_RID_USERS );
pwdLastSet: 27/2013 10:03:05 Koordinisano univerzalno vreme; sAMAccountName: NORTHWINDSALES$; sAMAccountType: 805306370 = ( TRUST_ACCOUNT ); userAccountControl: 0x820 = ( PASSWD_NOTREQD | INTERDOMAIN_TRUST_ACCOUNT ) ;… -
Ako je neophodno, dodajte nalog administratora domena iz zastarelog domena naloga pouzdanosti u grupu "Administratori šeme" u osnovnom domenu šume. (Nalog koji se koristi za brisanje mora da ima pristup kontrole "Control-Schema-Master" direktno u korenu replike Šema NC I mora da bude u mogućnosti da se prijavi u DC koji sadrži nalog siročića.)
-
Uverite se da su 14. maj 2024. ili novije verzije windows ispravki instalirane na domenu za pisanje koji je moguće upisati u domen zastarelih pouzdanih naloga.
-
Prijavite se u taj DC pomoću administratorskog naloga šeme. Ako ste dodali nalog u grupu "Administratori šeme" u 2. koraku, koristite taj nalog.
-
Pripremite LDIFDE datoteku za uvoz da biste izmenili schemaUpgradeInProgress i izbrisali objekat. Na primer, tekst ispod može da se nalepi u LDIFDE datoteku za uvoz radi brisanja objekta identifikovanog u 1. koraku:
Dn:
changetype: modify add: SchemaUpgradeInProgress SchemaUpgradeInProgress: 1 -dn: CN=northwindsales$,CN=Users,DC=contoso,DC=com
changetype: deleteSaveti za LDIFDE sintaksu:
-
Linija koja sadrži samo crticu ("-") je vitalna jer obustavlja niz promena u okviru tipa promene "izmeni".
-
Prazan red iza linije sa crticom je takođe važan jer pokazuje funkciji LDIFDE da su sve izmene na objektu dovršene i da bi trebalo izvršiti promene.
-
-
Uvezite LDIFDE datoteku pomoću sledeće sintakse:
ldifde /i /f nameOfLDIFFileCreatedInStep5.txt /j
Beleške
-
Parametar /i ukazuje na operaciju uvoza.
-
Parametar /f praćen imenom datoteke ukazuje na datoteku koja sadrži promene.
-
Parametar /j praćen putanjom datoteke za evidenciju napisaće datoteku ldif.log i datoteku ldif.err sa rezultatima ažuriranja, da li je procedura funkcionisala, a ako nije, greška do koje je došlo tokom mod-a.
-
Navođenje tačke (".") sa parametrom /j upisuje evidencije u trenutni radni direktorijum.
-
-
Ako je potrebno, uklonite administratora domena koji je prethodno dodat u 2. koraku iz grupe "Administratori šeme".