Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Zusammenfassung
Active Directory Group Discovery (AD Group Discovery) in Configuration Manager verwendet verschiedene Algorithmen für Delta- und vollständige Ermittlungszyklen. Während des Delta-Ermittlungsprozesses kann es vorkommen, dass der Configuration Manager Änderungen der Gruppenmitgliedschaft übersieht, wenn die Gruppen zu geschachtelten Organisationseinheiten innerhalb Ihrer Ermittlungsbereiche gehören.
Dieser Artikel hilft Ihnen, dieses Problem in Ihrer Umgebung zu identifizieren, und bietet Problemumgehungen, um sicherzustellen, dass Configuration Manager alle Änderungen der Gruppenmitgliedschaft erkennt.
Symptome
Sie richten Ermittlungsbereiche für AD Group Discovery ein, um bestimmte Active Directory Domain Services (AD DS)-Gruppen als Ziel festzulegen, wie unter Konfigurieren der Active Directory-Gruppenermittlung beschrieben. Der anfängliche vollständige Ermittlungszyklus entdeckt die Gruppen in allen relevanten Organisationseinheiten (OUs) korrekt.
Einige Zeit nach Abschluss des anfänglichen vollständigen Ermittlungszyklus ändern Sie die Mitgliedschaft einer Gruppe, die zu einer untergeordneten OU einer anderen OU gehört. Nachdem der Delta-Ermittlungszyklus ausgeführt wurde, stellen Sie fest, dass Configuration Manager Ihre Änderungen nicht erkannt hat. Wenn Sie jedoch einen vollständigen Discovery-Zyklus erzwingen, wird das Problem behoben, da der vollständige Discovery-Zyklus Änderungen in allen Gruppen in den einbezogenen OUs erkennt.
Insbesondere tritt das Problem auf, wenn Sie Bereiche definieren, die dem folgenden Beispiel ähneln:
- Bereich A: Gruppe A, in Organisationseinheit OU-A
- Bereich B: Gruppe B in Organisationseinheit OU-B
- OU-B ist eine untergeordnete OU von OU-A
In diesem Beispiel erkennt der Delta-Zyklus der AD-Gruppenermittlung keine Änderungen in der Mitgliedschaft von Gruppe B.
Wenn Sie Protokolleinträge überprüfen möchten, um dieses Verhalten in Ihrem System zu überprüfen, lesen Sie weitere Informationen.
Ursache
Während des Delta-Zyklus der AD-Gruppenermittlung identifiziert Configuration Manager die Zielgruppen in den Ermittlungsbereichen und die OUs, zu denen diese Gruppen gehören. Es erstellt eine Baumstruktur dieser OUs. Diese Struktur enthält jedoch keine Unter-OUs dieser OUs.
Während des vollständigen Ermittlungszyklus der AD-Gruppenermittlung verwendet Configuration Manager einen anderen Algorithmus, der untergeordnete OUs nicht ignoriert. Daher funktioniert der Ermittlungsprozess erwartungsgemäß.
Zwischenlösung
Microsoft ist sich dieses Problems bewusst. Verwenden Sie eine der folgenden Methoden, um dieses Problem zu umgehen:
- Verschieben Sie die betroffenen Gruppen auf OUs höherer Ebene. Für das frühere Beispiel bedeutet diese Aktion, dass Gruppe B in eine andere OU verschoben wird, die kein untergeordnetes Element von OU-A (oder einer anderen OU in den Ermittlungsbereichen) ist.
- Konfigurieren Sie die Entdeckungsbereiche neu, um die untergeordneten OUs als Ziel-OUs zu umfassen. Im vorherigen Beispiel bedeutet diese Aktion, OU-B in die Ermittlungsbereiche als Organisationseinheit einzuschließen.
- Verwenden Sie nur den vollständigen Ermittlungsprozess für AD Group Discovery.
Mehr Informationen
Führen Sie die folgenden Schritte aus, um zu sehen, wie dieses Verhalten in der ADSGDis.log-Datei aussieht:
Öffnen Sie ADSGDis.log in einem Tool wie CMTrace, und überprüfen Sie dann die Protokolleinträge, um einen Ermittlungszyklus zu identifizieren.
Erstellen Sie für diesen Ermittlungszyklus eine Liste der Ermittlungsbereiche, die in den Protokolleinträgen angezeigt werden.
Überprüfen Sie den LDAP-Pfad (Lightweight Directory Access Protocol) jedes Bereichs. Überprüfen Sie insbesondere, ob sich die betroffene Gruppe in einer untergeordneten Organisationseinheit einer anderen Organisationseinheit aus der Liste befindet. Im in diesem Artikel verwendeten Beispiel ähneln die Bereiche und Pfade dem folgenden Beispiel:
!!!!Valid Search Scope Name: Unaffected Group Search Path: LDAP://CN=GROUP-A,OU=OU-A,DC=FOURTHCOFFEE,DC=COM IsValidPath: TRUE !!!!Valid Search Scope Name: Affected Group Search Path: LDAP://CN=GROUP-B,OU=OU-B,OU=OU-A,DC=FOURTHCOFFEE,DC=COM IsValidPath: TRUEÜberprüfen Sie die Protokolleinträge, um jeden Delta-Ermittlungszyklus zu identifizieren. Suchen Sie nach einem Eintrag, der dem folgenden Beispiel ähnelt, und verwenden Sie dann die Thread-ID, um Protokolleinträge zu filtern.
INFO: CADSource::incrementalSync returning 0x00000000~Überprüfen Sie die Protokolleinträge für den Delta-Ermittlungszyklus. Die Einträge sollten den folgenden Beispielen ähneln:
Delta Discovery verarbeitet die Liste der Bereiche.
INFO: -------- Starting to process search scope (Unaffected Group) -------- INFO: -------- Finished to process search scope (Unaffected Group) -------- INFO: -------- Starting to process search scope (Affected Group) -------- INFO: -------- Finished to process search scope (Affected Group) --------Delta Discovery verarbeitet die LDAP-Suchpfade ab
immediate search base.INFO: -------- Starting to process search scope (Immediate search base) -------- INFO: Processing search path: 'LDAP://OU=OU-A,DC=FOURTHCOFFEE,DC=COM'.~Die Delta-Ermittlung identifiziert den Suchpfad für die untergeordnete OU (OU-B im Beispiel) als ungültigen Pfad und überspringt ihn, um den nächsten Pfad zu verarbeiten.
INFO: Found invalid Search Path: LDAP://OU=OU-B,OU=OU-A,DC=FOURTHCOFFEE,DC=COM. Probably it's sub search path of other search path and will be covered by them. INFO: -------- Finished to process search scope (Immediate search base) --------