Bạn hiện đang ngoại tuyến, hãy chờ internet để kết nối lại

Get-ADGroupMember trả lại lỗi cho miền địa phương nhóm cho các thành viên từ rừng từ xa

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch thuật của Microsoft và có thể được Cộng đồng Microsoft chỉnh sửa lại thông qua công nghệ CTF thay vì một biên dịch viên chuyên nghiệp. Microsoft cung cấp các bài viết được cả biên dịch viên và phần mềm dịch thuật thực hiện và cộng đồng chỉnh sửa lại để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng nhiều ngôn ngữ Tuy nhiên, bài viết do máy dịch hoặc thậm chí cộng đồng chỉnh sửa sau không phải lúc nào cũng hoàn hảo. Các bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này: 3171600
Triệu chứng
Giả sử rằng bạn sử dụng lệnh Get-ADGroupMemberđể xác định các thành viên của nhóm trong bản ghi dịch vụ miền danh mục hiện hoạt (AD DS). Tuy nhiên, khi bạn chạy lệnh cho một nhóm cục bộ miền, các lỗi sau đây được trả về:

Get-ADGroupMember -verbose -identity "CN=Test-Local1,OU=Test Accounts,DC=contoso,DC=com"Get-ADGroupMember : An unspecified error has occurredAt line:1 char:1+ Get-ADGroupMember -verbose -identity "CN=Test-Local1,OU=Test Accounts,DC=contoso ...+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~    + CategoryInfo          : NotSpecified: (CN=Test-Local1,...bertm-w7,DC=com:ADGroup) [Get-ADGroupMember], ADExcepti onon    + FullyQualifiedErrorId : ActiveDirectoryServer:0,Microsoft.ActiveDirectory.Management.Commands.GetADGroupMember
Nguyên nhân
Sự cố này xảy ra nếu có một thành viên từ một nhóm có tài khoản đã bị xoá khỏi nhóm tài khoản. Thành viên đại diện cho miền địa phương bằng một ngoại bảo mật chính (FSP). Xuất khẩu LDIFDE nhóm, một thành viên được hiển thị như sau:
dn: CN=Test-Local1,OU=Test Accounts,DC=contoso,DC=com…member:  CN=S-1-5-21-3110691720-3620623707-1182478234-698540,CN=ForeignSecurityPrincipals,DC=contoso,DC=commember:  CN=S-1-5-21-3110691720-3620623707-1182478234-695739,CN=ForeignSecurityPrincipals,DC=contoso,DC=com
Khi tài khoản nguồn có SID bị xoá, FSP không Cập Nhật và loại bỏ để phản ánh này xoá. Bạn phải manuallyverify có các tham chiếu FSP bị xoá.
Giải pháp
Để khắc phục sự cố này, hãy bật ghi nhật ký để giải quyết yêu cầu liên quan đến Sid và đã được thực hiện bởi Thư mục Họat động Webservice. Bằng cách này, bạn có thể xác định tài khoản không thể giải quyết. Để thực hiện việc này, chạy lệnh Get-ADGroupMember trên bộ điều khiển miền của contoso.com (trong đó trình giữ chỗ đại diện cho miền trong câu hỏi).

Để kích hoạt ghi nhật ký, chạy dòng lệnh sau:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgInfoLevel -Value 0x800 -Type dword -Force Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgTraceOptions -Value 0x1 -Type dword -ForcePlease remember turning the logging off when you have the log:Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgInfoLevel -Value 0x0 -Type dword -Force 
Bạn sẽ thấy một tệp có tênc:\windows\debug\lsp.log, mà theo dõi giải pháp tên SID nỗ lực. Khi bạn chạy lệnh trên bộ điều khiển miền khi lệnh được thực hiện, tệp sẽ kí nhập thất bại và sẽ giống như sau:

LspDsLookup - Entering function LsapLookupSidsLspDsLookup - LookupSids request for 1 SIDs with level=1, mappedcount=0, options=0x0, clientRevision=2 is being processed. SIDs are;LspDsLookup -         Sids[ 0 ] = S-1-5-21-3110691720-3620623707-1182478234-698540LspDsLookup -   Requestor details: Local Machine, Process ID = 1408, Process Name = C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exeLspDsLookup - Entering function LsapDbLookupSidsUsingIdentityCacheLspDsLookup - 1 sids remain unmappedLspDsLookup - Exiting function LsapDbLookupSidsUsingIdentityCache with status 0x0LspDsLookup - LookupSids chain request (using Netlogon) to \\dc3.northwindsails.com for 1 sids will be made with level=6, mappedcount=0, options=0x0, serverRevision=0. Sids are;LspDsLookup -         Sids[ 0 ] = S-1-5-21-3110691720-3620623707-1182478234-698540LspDsLookup - Lookup request (using Netlogon) to \\dc3.northwindsails.com returned with 0xc0000073 and mappedcount=0, serverRevision=0LspDsLookup - Exiting function LsapLookupSids with status 0xc0000073
Kiểm tra toverify mục sau đây là phần thích hợp cho vấn đề này (trong kết quả mẫu trước):
  • Quá trình này là C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe.
  • Yêu cầu được gửi đến bộ điều khiển miền trong một nhóm khác nhau — ví dụ: northwindsails.com.
  • Mã trả lại là 0xc0000073, mà bằng STATUS_NONE_MAPPED.

Để tìm các đối tượng FSP, chạy lệnh sau (thay thế tên miền và Sid):
get-AdObject -Searchbase "CN=ForeignSecurityPrincipals,DC=contoso,DC=com" -ldapfilter "(cn=S-1-5-21-3110691720-3620623707-1182478234-698540)"

Đối tượng ban đầu cho FSP này không tồn tại, vì vậy bạn có thể an toàn xoá. Việc này sẽ cũng xoá khỏi tất cả các nhóm là thành viên của:

get-AdObject -Searchbase "CN=ForeignSecurityPrincipals,DC=contoso,DC=com" -ldapfilter "(cn=S-1-5-21-3110691720-3620623707-1182478234-698540)" | Remove-AdObject -Confirm:$false

Cảnh báo: Bài viết này được dịch tự động

Thuộc tính

ID Bài viết: 3171600 - Xem lại Lần cuối: 06/23/2016 17:09:00 - Bản sửa đổi: 3.0

Windows Server 2008 Standard, Windows Server 2008 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Windows Server 2012 Standard, Windows Server 2012 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Datacenter

  • kbmt KB3171600 KbMtvi
Phản hồi
>