Einführung
Objekte, die in Active Directory gespeichert sind, können aufgrund von Replikationskonflikten veraltet, beschädigt oder verwaist werden.
Dieser Artikel konzentriert sich auf Vertrauensobjekte, die durch das Bit "INTERDOMAIN_TRUST_ACCOUNT" im UserAccountControl-Attribut identifiziert werden können. Ausführliche Informationen zu diesem Bit finden Sie unter userAccountControl Bits.
Symptome
Vertrauensstellungen werden in Active Directory wie folgt dargestellt:
-
Ein Benutzerkonto, das durch ein nachfolgendes $-Zeichen befestigt ist.
-
Ein vertrauenswürdiges Domänenobjekt (TDO), das im Systemcontainer der Domänenverzeichnispartition gespeichert ist.
Beim Erstellen doppelter Vertrauensstellungen werden zwei Objekte mit doppelten SAM-Kontonamen (Security Account Manager) erstellt. Im zweiten Objekt löst SAM den Konflikt durch Umbenennen des Objekts in $DUPLICATE-<Account RID>um. Das doppelte Objekt kann nicht gelöscht werden und wird "verwaist".
Hinweis Ein Active Directory-Objekt wird als "verwaist" bezeichnet, wenn es ein aktives untergeordnetes Objekt darstellt, das in Active Directory gespeichert ist, dessen übergeordneter Container fehlt. Der Begriff wird manchmal auch verwendet, um auf ein veraltetes oder beschädigtes Objekt in Active Directory zu verweisen, das nicht mithilfe eines normalen Workflows gelöscht werden kann.
Es gibt zwei primäre Szenarien für veraltete Vertrauensstellungen:
-
Szenario 1: Vertrauenswürdiger Benutzer im Konfliktstatus
Ein Vertrauensbenutzer muss möglicherweise in Szenarien gelöscht werden, in denen zwei Gesamtstrukturen vorhanden sind und zuvor eine Vertrauensstellung zwischen Domänen in diesen Gesamtstrukturen erstellt wurde. Als die Vertrauensstellung zum ersten Mal erstellt wurde, gab es ein Problem, das die Replikation verhinderte. Ein Administrator hat möglicherweise die FsMO-Rolle (Flexible Single Master Operation ) des primären Domänencontrollers (PDC) übertragen oder beschlagnahmt und die Vertrauensstellung erneut auf einem anderen Domänencontroller (DC) erstellt.
Später, wenn die Active Directory-Replikation wiederhergestellt wird, replizieren die beiden vertrauenswürdigen Benutzer auf demselben Domänencontroller, was zu einem Namenskonflikt führt. Dem Vertrauensbenutzerobjekt wird ein konfliktgemangter DN zugewiesen. Zum Beispiel:
CN=contoso$\0ACNF:a6e22a25-f60c-4f07-b629-64720c6d8b08,CN=Users,DC=northwindsales,DC=com
Der samAccountName wird ebenfalls abgekürdet angezeigt:
$DUPLICATE-3159f
See AlsoWartales im Test: Maximale Rollenspiel-Freiheit im Guten wie SchlechtenWartales im Test: Über dieses Rollenspiel könnte ich noch seitenweise Lobeshymnen schreibenWartales ist ein Mittelalter-XCOM mit Wohlfühlfaktor – und endlich aus dem Early Access rausWartales Guide: 8 Tipps, die das Rollenspiel euch nicht verrät, wir aber schonDas Objekt ohne den Namenskonflikt würde normal erscheinen und ordnungsgemäß funktionieren. Es ist möglich, die Vertrauensstellung zu entfernen und neu zu erstellen.
-
Szenario 2: Vertrauen des Benutzers verwaist
Ähnlich wie in Szenario 1 kann es erforderlich sein, einen Vertrauensbenutzer zu bearbeiten oder zu löschen, wenn der Vertrauenspartner nicht mehr vorhanden ist, sich der Vertrauensstellungsbenutzer aber noch in der Active Directory-Datenbank befindet. In der Regel ist das Kennwort für diese Konten alt, sodass dieses Konto von Sicherheitsüberprüfungstools gekennzeichnet wird.
Fehlermeldungen, wenn ein Administrator versucht, die Attribute einer Vertrauensstellung zu bearbeiten
Es ist nicht möglich, Schlüsselattribute zu ändern oder das verwaiste Benutzerobjekt der Vertrauensstellung zu löschen. Der folgende Fehler wird angezeigt, nachdem versucht wurde, Attribute zu ändern, die das Objekt schützen:
| Fehlerdialogfeld | Fehlermeldung |
 | Operation failed. Fehlercode: 0x209a 0000209A: SvcErr: DSID-031A1021, Problem 5003 (WILL_NOT_PERFORM), Daten 0 |
Wenn ein Administrator versucht, das Objekt zu entfernen, tritt ein Fehler 0x5 auf. Dies entspricht "Zugriff verweigert". Oder das in Konflikt stehende Vertrauensstellungsobjekt wird möglicherweise nicht im Active Directory-Snap-In "Domänen und Vertrauensstellungen" angezeigt.
| Fehlerdialogfeld | Fehlermeldung |
 | Operation failed. Fehlercode: 0x5 |
Ursache
Dieses Problem tritt auf, weil Vertrauensobjekte im Besitz des Systems sind und nur von Administratoren geändert oder gelöscht werden können, die die MMC für Active Directory-Domänen und -Vertrauensstellungen verwenden. Diese Funktionalität ist beabsichtigt.
Lösung
Nach der Installation der Windows-Updates vom 14. Mai 2024 auf Domänencontrollern unter Windows Server 2019 oder einer höheren Version von Windows Server ist es jetzt möglich, verwaiste Vertrauenskonten mithilfe des SchemaUpgradeInProgress-Vorgangs zu löschen. Gehen Sie hierzu wie folgt vor:
-
Identifizieren Sie ein verwaistes Benutzerkonto in Ihrer Domäne. Beispielsweise diese Ausgabe von LDP.exe; zeigt ein userAccountControl-Flag von 0x800 das den vertrauenswürdigen Benutzer identifiziert:
Erweiterung der Basis ' CN=northwindsales$,CN=Users,DC=contoso,DC=com'...
Abrufen von 1 Einträgen:
Dn: CN=northwindsales$,CN=Users,DC=contoso,DC=com
…primaryGroupID: 513 = ( GROUP_RID_USERS );
pwdLastSet: 27.04.2013 22:03:05 Uhr Koordinierte Weltzeit;
sAMAccountName: NORTHWINDSALES$;
sAMAccountType: 805306370 = ( TRUST_ACCOUNT);
userAccountControl: 0x820 = ( PASSWD_NOTREQD | INTERDOMAIN_TRUST_ACCOUNT )
;… -
Fügen Sie bei Bedarf ein Domänenadministratorkonto aus der Domäne der veralteten Vertrauenskonten zur Gruppe "Schemaadministratoren" in der Stammdomäne der Gesamtstruktur hinzu. (Das für die Löschung verwendete Konto muss über das Kontrollzugriffsrecht "Control-Schema-Master" auf dem Stamm des Schema NC-Replikats verfügen UND sich beim DC anmelden können, der das verwaiste Konto enthält.)
-
Stellen Sie sicher, dass die Windows-Updates vom 14. Mai 2024 oder höher auf einem schreibbaren Domänencontroller in der Domäne der veralteten Vertrauenskonten installiert sind.
-
Melden Sie sich mit einem Schemaadministratorkonto bei diesem DC an. Wenn Sie der Gruppe "Schemaadministratoren" in Schritt 2 ein Konto hinzugefügt haben, verwenden Sie dieses Konto.
-
Bereiten Sie eine LDIFDE-Importdatei vor, um SchemaUpgradeInProgress zu ändern und das Objekt zu löschen.
Beispielsweise könnte der folgende Text in eine LDIFDE-Importdatei eingefügt werden, um das in Schritt 1 identifizierte Objekt zu löschen:
Dn:
changetype: modify
add: SchemaUpgradeInProgress
SchemaUpgradeInProgress: 1
-dn: CN=northwindsales$,CN=Users,DC=contoso,DC=com
changetype: deleteHinweise zur LDIFDE-Syntax:
-
Die Zeile mit nur einem Bindestrich ("-") ist wichtig, da sie die Reihe von Änderungen unter dem Änderungstyp "modify" beendet.
-
Die leere Zeile nach der Zeile mit dem Bindestrich ist ebenfalls wichtig, da sie LDIFDE zeigt, dass alle Änderungen am Objekt abgeschlossen sind und Änderungen committet werden sollen.
-
-
Importieren Sie die LDIFDE-Datei mit der folgenden Syntax:
ldifde /i /f nameOfLDIFFileCreatedInStep5.txt /j
Notizen
-
Der Parameter /i gibt einen Importvorgang an.
-
Der Parameter /f gefolgt von einem Dateinamen gibt die Datei an, die die Änderungen enthält.
-
Der Parameter /j gefolgt von einem Protokolldateipfad schreibt eine ldif.log- und eine ldif.err-Datei mit den Ergebnissen der Aktualisierung, ob die Prozedur funktioniert hat, und wenn nicht, den Fehler, der während des Mods aufgetreten ist.
-
Angeben eines Punkts (".") mit dem Parameter /j werden die Protokolle in das aktuelle Arbeitsverzeichnis geschrieben.
-
-
Entfernen Sie bei Bedarf den Domänenadministrator, der zuvor in Schritt 2 hinzugefügt wurde, aus der Gruppe "Schemaadministratoren".
