共用方式為

Delta AD 群組發現無法偵測巢狀組織單位中的群組成員變更

總結

Configuration Manager 中的 Active Directory 群組探索(AD Group Discovery)使用不同的演算法來進行差異及完整探索週期。 在進行 Delta 探索過程時,如果群組位於你的探索範圍內的巢狀 OU 中,Configuration Manager 可能會錯過該群組的成員變更。

本文將協助你在環境中找出這個問題,並提供一些變通方法,確保組態管理員能偵測所有群組成員變更。

癥狀

你可以為 AD 群組發現設定偵測範圍,以針對特定的 Active Directory 網域服務(AD DS)群組,詳見 「配置 Active Directory 群組發現」。 初始的完整偵測週期正確地發現所有範圍內的組織單位中的群組。

在最初的完整發現週期結束後不久,你會變更隸屬於另一個 OU 的子 OU 的群組成員。 在 delta 發現週期執行後,你會發現 Configuration Manager 沒有偵測到你的變更。 然而,如果您強制運行完整的發現週期,問題就會得到解決,因為完整的發現週期會在範圍內所有的OU群組中發現變更。

特別地,當你定義的範圍類似以下範例時,問題就會出現:

  • 範圍A: A組,組織單位 OU-A
  • 範圍B: B組,組織單位 OU-B
  • OU-B 是 OU-A 的子組織單位

在此範例中,AD 群組發現的 delta 週期並未偵測到 Group B 成員的變動。

如果您想查看日誌條目以驗證系統中的此行為,請參閱 更多資訊

原因

在 AD 群組發現的 delta 週期中,Configuration Manager 會識別發現範圍中的目標群組,以及這些群組所屬的組織單位。 它會建立一個由這些 OU 組成的樹狀結構。 不過,該樹不包含這些 OU 的子 OU。

在 AD 群組發現的完整發現週期中,Configuration Manager 使用不同的演算法,不會忽略子 OU。 因此,發現過程如預期般運作。

因應措施

Microsoft 已經知道這個問題。 若要解決此問題,請使用下列任一方法:

  • 將受影響的族群移至更高階的組織單位。 對於前述的例子,這個動作指的是將 B 組移至另一個 OU,而此 OU 並不是 OU-A 的子 OU(或任何發現在範圍內的其他 OU 的子 OU)。
  • 重新配置發現範圍,將子 OU 納入目標 OU。 就前述例子而言,此行動指將 OU-B 納入發現範圍,作為組織單位。
  • 只使用完整的 AD 群組發現流程。

詳細資訊

要查看ADSGDis.log檔案中的這種行為,請依照以下步驟操作:

  1. 在像 CMTrace 這類工具中開啟 ADSGDis.log,然後檢查日誌條目以找出任何發現週期。

  2. 在該發現週期中,建立一個記錄中出現的發現範圍清單。

  3. 驗證每個範圍的輕量級目錄存取協定(LDAP)路徑。 特別是,檢查受影響的群組是否屬於清單中另一個群組的子組織。 本文所用的範例中,作用域與路徑類似以下範例:

    !!!!Valid Search Scope Name: Unaffected Group     Search Path: LDAP://CN=GROUP-A,OU=OU-A,DC=FOURTHCOFFEE,DC=COM     IsValidPath: TRUE
!!!!Valid Search Scope Name: Affected Group     Search Path: LDAP://CN=GROUP-B,OU=OU-B,OU=OU-A,DC=FOURTHCOFFEE,DC=COM     IsValidPath: TRUE

  4. 檢視日誌條目以找出任何 delta 發現週期。 尋找類似以下範例的條目,然後使用執行緒 ID 來篩選日誌條目。

    INFO: CADSource::incrementalSync returning 0x00000000~

  5. 檢視三角洲發現週期的日誌條目。 這些條目應類似以下範例:

    1. Delta 探測程序處理範圍列表。

      INFO: -------- Starting to process search scope (Unaffected Group) --------
INFO: -------- Finished to process search scope (Unaffected Group) --------
INFO: -------- Starting to process search scope (Affected Group) --------
INFO: -------- Finished to process search scope (Affected Group) --------

    2. Deta 發現程序處理 LDAP 的搜尋路徑,從 immediate search base開始。

      INFO: -------- Starting to process search scope (Immediate search base) --------
INFO: Processing search path: 'LDAP://OU=OU-A,DC=FOURTHCOFFEE,DC=COM'.~

    3. Delta 發現會將子 OU(範例中的OU-B)的搜尋路徑識別為無效路徑,並跳過該路徑以處理下一條路徑。

      INFO: Found invalid Search Path: LDAP://OU=OU-B,OU=OU-A,DC=FOURTHCOFFEE,DC=COM. Probably it's sub search path of other search path and will be covered by them.
INFO: -------- Finished to process search scope (Immediate search base) --------
  • Last updated on