Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Riassunto
L'individuazione dei gruppi di Active Directory (Scoperta gruppi AD) in Configuration Manager utilizza algoritmi diversi per i cicli di scoperta incrementale e completa. Durante il processo di scoperta delta, Configuration Manager potrebbe non rilevare le modifiche all'appartenenza ai gruppi quando i gruppi appartengono a unità organizzative annidate all'interno degli ambiti di individuazione.
Questo articolo consente di identificare questo problema nell'ambiente e offre soluzioni alternative per assicurarsi che Configuration Manager rilevi tutte le modifiche all'appartenenza ai gruppi.
Sintomi
È possibile configurare gli ambiti di individuazione per l'individuazione dei gruppi di Active Directory in modo che sia destinato a gruppi di Active Directory Domain Services (AD DS), come descritto in Configurare l'individuazione dei gruppi di Active Directory. Il ciclo di individuazione completo iniziale individua correttamente i gruppi in tutte le unità organizzative nell'ambito.
Al termine del ciclo di individuazione completo iniziale, si modifica l'appartenenza di un gruppo che appartiene a un'unità organizzativa figlio di un'altra unità organizzativa. Dopo l'esecuzione del ciclo di individuazione delta, si nota che Configuration Manager non ha rilevato le modifiche. Tuttavia, se si forza l'esecuzione di un ciclo di individuazione completo, il problema viene risolto quando il ciclo di individuazione completo individua le modifiche in tutti i gruppi nelle unità organizzative nell'ambito.
In particolare, il problema si verifica quando si definiscono ambiti simili all'esempio seguente:
- Ambito A: Gruppo A, nell'unità organizzativa OU-A
- Ambito B: Gruppo B, nell'unità organizzativa OU-B
- OU-B è un'unità organizzativa figlia di OU-A
In questo esempio, il ciclo delta dell'individuazione gruppi di Active Directory non rileva le modifiche nell'appartenenza del Gruppo B.
Per esaminare le voci di log per verificare questo comportamento nel sistema, vedere Altre informazioni.
Motivo
Durante il ciclo differenziale dell'individuazione dei gruppi di Active Directory, Configuration Manager identifica i gruppi di destinazione negli ambiti di individuazione e le unità organizzative a cui appartengono tali gruppi. Costruisce una struttura ad albero di tali unità organizzative. Tuttavia, tale albero non include unità organizzative figlie di quelle unità organizzative.
Durante il ciclo completo di individuazione del gruppo di Active Directory, Configuration Manager usa un algoritmo diverso che non ignora le unità organizzative secondarie. Pertanto, il processo di individuazione funziona come previsto.
Soluzione
Microsoft è a conoscenza di questo problema. Per risolvere questo problema, usare uno dei metodi seguenti:
- Spostare i gruppi interessati in unità organizzative di livello superiore. Per l'esempio precedente, questa azione indica lo spostamento del gruppo B in un'altra unità organizzativa che non è un elemento figlio di OU-A (o di qualsiasi altra unità organizzativa negli ambiti di individuazione).
- Riconfigurare gli ambiti di individuazione per includere le unità organizzative figlio come unità organizzative di destinazione. Per l'esempio precedente, questa azione significa includere OU-B negli ambiti di individuazione come unità organizzativa.
- Usare solo il processo di individuazione completo per l'individuazione dei gruppi di Active Directory.
Maggiori informazioni
Per visualizzare l'aspetto di questo comportamento nel file ADSGDis.log, seguire questa procedura:
Aprire ADSGDis.log in uno strumento come CMTrace e quindi esaminare le voci di log per identificare qualsiasi ciclo di individuazione.
Per tale ciclo di individuazione, creare un elenco degli ambiti di individuazione che compaiono nei registri di log.
Verificare il percorso LDAP (Lightweight Directory Access Protocol) di ogni ambito. In particolare, verificare che il gruppo interessato si trova in un'unità organizzativa figlio di un'altra nell'elenco. Nell'esempio usato da questo articolo, gli ambiti e i percorsi sono simili all'esempio seguente:
!!!!Valid Search Scope Name: Unaffected Group Search Path: LDAP://CN=GROUP-A,OU=OU-A,DC=FOURTHCOFFEE,DC=COM IsValidPath: TRUE !!!!Valid Search Scope Name: Affected Group Search Path: LDAP://CN=GROUP-B,OU=OU-B,OU=OU-A,DC=FOURTHCOFFEE,DC=COM IsValidPath: TRUEEsaminare le voci di log per identificare qualsiasi ciclo di individuazione del delta. Cercare una voce simile all'esempio seguente e quindi usare l'ID thread per filtrare le voci di log.
INFO: CADSource::incrementalSync returning 0x00000000~Esaminare le voci di log per il ciclo di individuazione differenziale. Le voci dovrebbero essere simili agli esempi seguenti:
La scoperta delta elabora l'elenco di ambiti.
INFO: -------- Starting to process search scope (Unaffected Group) -------- INFO: -------- Finished to process search scope (Unaffected Group) -------- INFO: -------- Starting to process search scope (Affected Group) -------- INFO: -------- Finished to process search scope (Affected Group) --------L'individuazione differenziale elabora i percorsi di ricerca LDAP, a partire da
immediate search base.INFO: -------- Starting to process search scope (Immediate search base) -------- INFO: Processing search path: 'LDAP://OU=OU-A,DC=FOURTHCOFFEE,DC=COM'.~La scoperta Delta identifica il percorso di ricerca dell'OU figlio (OU-B nell'esempio) come non valido e lo salta per elaborare il percorso successivo.
INFO: Found invalid Search Path: LDAP://OU=OU-B,OU=OU-A,DC=FOURTHCOFFEE,DC=COM. Probably it's sub search path of other search path and will be covered by them. INFO: -------- Finished to process search scope (Immediate search base) --------