Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In dit artikel wordt een fout opgelost die optreedt wanneer u de Get-ADGroupMember cmdlet uitvoert in een scenario waarin een groep lid van een extern forest heeft.
Oorspronkelijk KB-nummer: 3171600
Symptomen
Stel dat u de Get-ADGroupMember cmdlet gebruikt om de leden van een groep in Active Directory-domein Services (AD DS) te identificeren. Wanneer u echter de cmdlet voor een lokale domeingroep uitvoert, wordt de volgende fout geretourneerd:
Get-ADGroupMember -verbose -identity "CN=Test-Local1,OU=Test Accounts,DC=contoso,DC=com"
Get-ADGroupMember: er is een niet-opgegeven fout opgetreden
Op regel:1 teken:1
+ Get-ADGroupMember -verbose -identity "CN=Test-Local1,OU=Test Accounts,DC=contoso ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo: NotSpecified: (CN=Test-Local1,... bertm-w7,DC=com:ADGroup) [Get-ADGroupMember], ADExceptionon + FullyQualifiedErrorId : ActiveDirectoryServer:0, Microsoft.ActiveDirectory.Management.Commands.GetADGroupMember
Notitie
In een eenrichtingsvertrouwensrelatie ontvangt u, wanneer u de Get-ADGroupMember cmdlet voor een groep uit het vertrouwende forest gebruikt, de volgende fouten als de groep leden van het vertrouwde forest bevat:
- "Er is een niet-opgegeven fout opgetreden"
- "De server kan de aanvraag niet verwerken vanwege een interne fout"
Als tijdelijke oplossing gebruikt u de module Active Directory om de leden van de groep weer te geven of converteert u de eenrichtingsvertrouwensrelatie naar een tweerichtingsvertrouwensrelatie.
Oorzaak
Dit probleem treedt op als de groep lid is van een ander forest waarvan het account uit het accountforest is verwijderd. Het lid wordt weergegeven in het lokale domein door een Foreign Security Principal (FSP). In de LDIFDE-export van de groep wordt een lidmaatschap als volgt weergegeven:
dn: CN=Test-Local1,OU=Test Accounts,DC=contoso,DC=com
lid:
CN=S-1-5-21-3110691720-3620623707-1182478234-698540,CN=ForeignSecurityPrincipals,DC=contoso,DC=com
lid:
CN=S-1-5-21-3110691720-3620623707-1182478234-695739,CN=ForeignSecurityPrincipals,DC=contoso,DC=com
Wanneer het bronaccount met de SID wordt verwijderd, wordt de FSP niet bijgewerkt of verwijderd om deze verwijdering weer te geven. U moet handmatig controleren of deze FSP-verwijzingen zijn verwijderd.
Oplossing
U kunt dit probleem oplossen door logboekregistratie in te schakelen voor de oplossingsaanvragen die betrekking hebben op deze SID's en die worden uitgevoerd door de Active Directory-webservice. Op deze manier kunt u de accounts identificeren die niet kunnen worden opgelost. Voer hiervoor de Get-ADGroupMember cmdlet uit op de domeincontroller van contoso.com (waarbij de tijdelijke aanduiding het betreffende domein vertegenwoordigt).
Voer de volgende opdrachtregels uit om logboekregistratie in te schakelen:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgInfoLevel -Value 0x800 -Type dword -Force
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgTraceOptions -Value 0x1 -Type dword -Force
Vergeet niet de logboekregistratie uit te schakelen wanneer u het logboek hebt:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgInfoLevel -Value 0x0 -Type dword -Force
U ziet een bestand met de naam c:\windows\debug\lsp.log, waarmee de SID-naamomzettingspogingen worden bijgehouden. Wanneer u de cmdlet opnieuw uitvoert op de domeincontroller waarop de cmdlet is uitgevoerd, worden de fouten in het bestand vastgelegd en ziet het er ongeveer als volgt uit:
LspDsLookup - Functie LsapLookupSidsLspDsLookup - LookupSids request for 1 SIDs with level=1, mappedcount=0, options=0x0, clientRevision=2 wordt verwerkt. SID's zijn; LspDsLookup - Sids[ 0 ] = S-1-5-21-3110691720-3620623707-1182478234-698540LspDsLookup - Requestor details: Lokale machine, proces-id = 1408, Procesnaam = C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe LspDsLookup - Functie LsapDbLookupSidsUsingIdentityCacheLspDsLookup - 1 sids blijven niet-toegewezenLspDsLookup - Afsluitfunctie LsapDbLookupSidsUsingIdentityCache met status 0x0LspDsLookup - LookupSids chain request (met Netlogon) naar \
dc3.northwindtraders.comvoor 1 sids worden gemaakt met level=6, mappedcount=0, options=0x0, serverRevision=0. Sids zijn; LspDsLookup - Sids[ 0 ] = S-1-5-21-3110691720-3620623707-1182478234-698540 LspDsLookup - Opzoekaanvraag (met Netlogon) om \dc3.northwindtraders.comgeretourneerd met 0xc0000073 en toegewezencount=0, serverRevision=0LspDsLookup - Afsluitfunctie LsapLookupSids met status 0xc0000073
Controleer op de volgende items om te controleren of dit de relevante sectie voor dit probleem is (in de voorgaande voorbeelduitvoer):
- Het proces is C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe.
- De aanvraag wordt bijvoorbeeld
northwindtraders.comverzonden naar een domeincontroller in een ander forest. - De retourcode is 0xc0000073, die gelijk is aan STATUS_NONE_MAPPED.
Als u het FSP-object wilt vinden, voert u de volgende opdracht uit (vervang domeinnamen en SID's):
get-AdObject -Searchbase "CN=ForeignSecurityPrincipals,DC=contoso,DC=com" -ldapfilter "(cn=S-1-5-21-3110691720-3620623707-1182478234-698540)"
Het oorspronkelijke object voor deze FSP bestaat niet meer, zodat u het veilig kunt verwijderen. Als u dit doet, wordt het ook verwijderd uit alle groepen waarvan het lid is:
get-AdObject -Searchbase "CN=ForeignSecurityPrincipals,DC=contoso,DC=com" -ldapfilter "(cn=S-1-5-21-3110691720-3620623707-1182478234-698540)" | Remove-AdObject -Confirm:$false
Verwijzingen
Hoe SID's en accountnamen kunnen worden toegewezen in Windows