Get-ADGroupMember повертає помилку локальна група домену членів з віддаленого лісів

ВАЖЛИВО! Ця стаття перекладена засобами машинного перекладу Microsoft. Статтю можна редагувати в середовищі Community Translation Framework (CTF). Щоб якомога швидше перекласти всі статті у своїй базі знань різними мовами, компанія Microsoft не лише звертається до професійних перекладачів, але й вдається до машинного перекладу, який потім редагується спільнотою. Такі статті можуть містити лексичні, синтаксичні та граматичні помилки. Microsoft не несе відповідальності за будь-які неточності, помилки або збитки, до яких може призвести неправильний переклад статей або їх використання. Докладніше про CTF див. на веб-сторінці http://support.microsoft.com/gp/machine-translation-corrections/uk-ua.

Клацніть тут, щоб переглянути цю статтю англійською мовою: 3171600
Ознаки
Припустімо, що ви використовуєте командлет Get-ADGroupMember, для визначення учасників групи, у служби доменів служба Active Directory (AD DS). Однак під Вільний час запуску на командлета, якщо локальна група домену, повернуто помилку:

Get-ADGroupMember -verbose -identity "CN=Test-Local1,OU=Test Accounts,DC=contoso,DC=com"Get-ADGroupMember : An unspecified error has occurredAt line:1 char:1+ Get-ADGroupMember -verbose -identity "CN=Test-Local1,OU=Test Accounts,DC=contoso ...+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~    + CategoryInfo          : NotSpecified: (CN=Test-Local1,...bertm-w7,DC=com:ADGroup) [Get-ADGroupMember], ADExcepti onon    + FullyQualifiedErrorId : ActiveDirectoryServer:0,Microsoft.ActiveDirectory.Management.Commands.GetADGroupMember
причина
Ця проблема виникає, якщо Група члена з іншого лісу, рахунок якого було видалено із лісу обліковий запис А комп'ютера. Учасник представлено локального домену, в іноземній безпеки учасника (FSP). Експорту LDIFDE, групи членство показано нижче:
dn: CN=Test-Local1,OU=Test Accounts,DC=contoso,DC=com…member:  CN=S-1-5-21-3110691720-3620623707-1182478234-698540,CN=ForeignSecurityPrincipals,DC=contoso,DC=commember:  CN=S-1-5-21-3110691720-3620623707-1182478234-695739,CN=ForeignSecurityPrincipals,DC=contoso,DC=com
Після видалення джерела обліковий запис А комп'ютера з SID FSP не оновлено або видалено з урахуванням цього видалення. Ви повинні manuallyverify, посилання на ці FSP буде видалено.
Розв'язанн
Щоб вирішити цю проблему, увімкніть, ведення журналу, для їх усунення, що виконує запити, які стосуються цих-ідентифікаторів SID і служба Active Directory веб-служба. Таким чином можна визначити облікові запис А бізнес-партнера, які не роздільної здатності. Для цього запустити командлет Get-ADGroupMember на контролері домену з contoso.com (де покажчик місця заповнення представляє в домені).

Увімкнення запису подій, виконайте такі команди.

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgInfoLevel -Value 0x800 -Type dword -Force Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgTraceOptions -Value 0x1 -Type dword -ForcePlease remember turning the logging off when you have the log:Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgInfoLevel -Value 0x0 -Type dword -Force 
Ви побачите, що файл, який має назву,c:\windows\debug\lsp.log, який відстежує SID імен, спроб. Повторно запустити службу на контролері домену, якому було виконано командлета командлет файл записуватиме до журналу неполадок і може виглядати так:

LspDsLookup - Entering function LsapLookupSidsLspDsLookup - LookupSids request for 1 SIDs with level=1, mappedcount=0, options=0x0, clientRevision=2 is being processed. SIDs are;LspDsLookup -         Sids[ 0 ] = S-1-5-21-3110691720-3620623707-1182478234-698540LspDsLookup -   Requestor details: Local Machine, Process ID = 1408, Process Name = C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exeLspDsLookup - Entering function LsapDbLookupSidsUsingIdentityCacheLspDsLookup - 1 sids remain unmappedLspDsLookup - Exiting function LsapDbLookupSidsUsingIdentityCache with status 0x0LspDsLookup - LookupSids chain request (using Netlogon) to \\dc3.northwindsails.com for 1 sids will be made with level=6, mappedcount=0, options=0x0, serverRevision=0. Sids are;LspDsLookup -         Sids[ 0 ] = S-1-5-21-3110691720-3620623707-1182478234-698540LspDsLookup - Lookup request (using Netlogon) to \\dc3.northwindsails.com returned with 0xc0000073 and mappedcount=0, serverRevision=0LspDsLookup - Exiting function LsapLookupSids with status 0xc0000073
Перевірте такі елементи-toverify що це відповідному розділі цієї проблеми (в попередньому приклад).
  • Цей процес працює, C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe.
  • Запит надіслано контролеру домену в іншому лісі, наприклад, northwindsails.com.
  • Повернений код-це 0xc0000073, що дорівнює STATUS_NONE_MAPPED.

Щоб знайти FSP об'єкт, виконайте таку команду (заміна доменні імена та ідентифікаторів SID)
get-AdObject -Searchbase "CN=ForeignSecurityPrincipals,DC=contoso,DC=com" -ldapfilter "(cn=S-1-5-21-3110691720-3620623707-1182478234-698540)"

Початковий об'єкт для цього FSP більше не існує, таким чином, ви можете безпечно видалити. Це призведе до видалення його з усіх груп, який є членом:

get-AdObject -Searchbase "CN=ForeignSecurityPrincipals,DC=contoso,DC=com" -ldapfilter "(cn=S-1-5-21-3110691720-3620623707-1182478234-698540)" | Remove-AdObject -Confirm:$false

Попередження. Цю статтю переведено автоматично

Властивості

Ідентифікатор статті: 3171600 – останній перегляд: 06/23/2016 17:10:00 – виправлення: 2.0

Windows Server 2008 Standard, Windows Server 2008 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Windows Server 2012 Standard, Windows Server 2012 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Datacenter

  • kbmt KB3171600 KbMtuk
Зворотний зв’язок