获得 ADGroupMember 返回错误的域本地组成员从远程目录林

重要说明:本文是由 Microsoft 机器翻译软件进行的翻译并可能由 Microsoft 社区通过社区翻译机构(CTF)技术进行后期编辑,或可能是由人工进行的翻译。Microsoft 同时向您提供机器翻译、人工翻译及社区后期编辑的文章,以便对我们知识库中的所有文章以多种语言提供访问。翻译的文章可能存在词汇、句法和/或语法方面的错误。Microsoft 对由于内容的误译或客户对内容的使用所导致的任何不准确、错误或损失不承担责任。

点击这里察看该文章的英文版: 3171600
症状
假定您使用Get ADGroupMember命令 标识的活动目录域服务 (AD DS) 中的组成员。但是,当您运行该 命令 的域本地组,则返回以下错误 ︰

Get-ADGroupMember -verbose -identity "CN=Test-Local1,OU=Test Accounts,DC=contoso,DC=com"Get-ADGroupMember : An unspecified error has occurredAt line:1 char:1+ Get-ADGroupMember -verbose -identity "CN=Test-Local1,OU=Test Accounts,DC=contoso ...+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~    + CategoryInfo          : NotSpecified: (CN=Test-Local1,...bertm-w7,DC=com:ADGroup) [Get-ADGroupMember], ADExcepti onon    + FullyQualifiedErrorId : ActiveDirectoryServer:0,Microsoft.ActiveDirectory.Management.Commands.GetADGroupMember
原因
如果组从其帐户已从帐户目录林中的另一个目录林中的某个成员,则会出现此问题。该成员在本地域中的外部安全主体 (FSP) 表示。在组的 LDIFDE 导出,成员如下所示 ︰
dn: CN=Test-Local1,OU=Test Accounts,DC=contoso,DC=com…member:  CN=S-1-5-21-3110691720-3620623707-1182478234-698540,CN=ForeignSecurityPrincipals,DC=contoso,DC=commember:  CN=S-1-5-21-3110691720-3620623707-1182478234-695739,CN=ForeignSecurityPrincipals,DC=contoso,DC=com
在删除源帐户 SID 与后,FSP 不更新或删除,以反映此删除操作。Manuallyverify,您必须删除这些 FSP 引用。
解决方案
若要解决此问题,请启用日志记录的关注这些 Sid 和它的请求都由活动目录 web 服务执行的解决方法。这种方式,您可以标识失败解析的帐户。为此,运行Get ADGroupMember 命令 的域控制器上 contoso.com (其中,占位符代表问题的域)。

若要启用日志记录,请运行以下命令行 ︰

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgInfoLevel -Value 0x800 -Type dword -Force Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgTraceOptions -Value 0x1 -Type dword -ForcePlease remember turning the logging off when you have the log:Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgInfoLevel -Value 0x0 -Type dword -Force 
您将看到具有名为c:\windows\debug\lsp.log,它可以跟踪的 SID 名称解析的文件的尝试。当您重新运行该 命令 命令 执行其中的域控制器上时,该文件将记录失败并将如下所示 ︰

LspDsLookup - Entering function LsapLookupSidsLspDsLookup - LookupSids request for 1 SIDs with level=1, mappedcount=0, options=0x0, clientRevision=2 is being processed. SIDs are;LspDsLookup -         Sids[ 0 ] = S-1-5-21-3110691720-3620623707-1182478234-698540LspDsLookup -   Requestor details: Local Machine, Process ID = 1408, Process Name = C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exeLspDsLookup - Entering function LsapDbLookupSidsUsingIdentityCacheLspDsLookup - 1 sids remain unmappedLspDsLookup - Exiting function LsapDbLookupSidsUsingIdentityCache with status 0x0LspDsLookup - LookupSids chain request (using Netlogon) to \\dc3.northwindsails.com for 1 sids will be made with level=6, mappedcount=0, options=0x0, serverRevision=0. Sids are;LspDsLookup -         Sids[ 0 ] = S-1-5-21-3110691720-3620623707-1182478234-698540LspDsLookup - Lookup request (using Netlogon) to \\dc3.northwindsails.com returned with 0xc0000073 and mappedcount=0, serverRevision=0LspDsLookup - Exiting function LsapLookupSids with status 0xc0000073
检查以下项目 toverify,这是这一问题 (在前面的示例输出) 的相关部分 ︰
  • 该进程是C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe
  • 该请求被发送到不同林中的域控制器 — — 例如, northwindsails.com
  • 返回代码是0xc0000073,它等于 STATUS_NONE_MAPPED。

若要查找 FSP 对象,请运行以下命令 (替换域名名称和 Sid) ︰
get-AdObject -Searchbase "CN=ForeignSecurityPrincipals,DC=contoso,DC=com" -ldapfilter "(cn=S-1-5-21-3110691720-3620623707-1182478234-698540)"

不再存在此 FSP 的原始对象,因此您可以安全地删除它。这样将删除它从它的成员的所有组 ︰

get-AdObject -Searchbase "CN=ForeignSecurityPrincipals,DC=contoso,DC=com" -ldapfilter "(cn=S-1-5-21-3110691720-3620623707-1182478234-698540)" | Remove-AdObject -Confirm:$false

警告:本文已自动翻译

属性

文章 ID:3171600 - 上次审阅时间:06/23/2016 17:08:00 - 修订版本: 3.0

Windows Server 2008 Standard, Windows Server 2008 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Windows Server 2012 Standard, Windows Server 2012 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Datacenter

  • kbmt KB3171600 KbMtzh
反馈