none
近期发现AD中出现多个重复使用 SamAccountName名称 的用户,都有 CNF 为字段,每天都会有数量不等,这样的账户出现. RRS feed

  • 问题

  • 账户信息如下

    SamAccountName name

    $DUPLICATE-26bf SUPPORT_388945a0 CNF:427847d5-5dba-48dc-97c5-ff3a5cd03994
    $DUPLICATE-390e TsInternetUser CNF:ca0c7124-2d6e-4620-8264-5acfb3d72094
    yinwei 殷伟 CNF:4c2d408c-4a20-4c93-9495-bbae461a5d9c
    $DUPLICATE-98a62 李超 CNF:b60875d7-f773-400c-abdf-065786d16c67

    2019年3月20日 2:29

答案

  • 您好:

    SamAccountName是创建用户时一定要提供的必须属性,是用于支持以前版本的Windows(Pre-Windows 2000)中的客户端和服务器的用户登录名。用户登录名称格式为:DomainName \ UserName。samAccountName在域中的所有安全主体对象中必须是唯一的。安全帐户管理器(SAM)服务会定期检查重复的SamAccountName值,当进程检测到重复的SamAccountName值时,其中一个值将更改为字符串“$ DUPLICATE-xxx”,其中xxx是十六进制对象的RID。

    出现重复的SamAccountName可能有以下几种原因:
    1. 在不同的域控制器上创建了具有相同SamAccountName的账户。
    2. 最近在域控制器(DC)上做过授权还原或者非授权还原。
    3. 最近曾激活过墓碑(tombstone reanimation)以恢复被删除的对象。
    4. 域环境中域控制器复制有问题,不能进行同步。

    出现重复SamAccountName的解决方法:
    1.查找并删除域中重复SamAccountName里的一个(一般是删除带有“$ DUPLICATE-xxx”的账户)。如下图所示。
    2.同时运行命令dcdiag排查域环境中是否存在域控制器之前的复制问题。

    以下的相关文档供您参考:
    Active Directory: Duplicate Object Name Resolution

    Best regards,
    Simon Ren

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年3月20日 11:02
  • 您好:

    非常感谢您的回复。第四点您说的是对的。

    在我们的环境中出现问题可能是因为存在徘徊对象(Lingering objects)。如果辅助域控制器A因为断网或者硬件问题与主域控制器B未同步时间超过墓碑生命周期TLS(默认180天),如果在此期间主域控制器B上删除了一个对象C(用户或者计算机账户等),等到辅助域控制器A问题修复再次上线与B进行同步复制,这时A离线时间已经超过TLS,它就不知道已经删除了C。那么已删除的对象C将“保留”在A的本地数据库副本中,成为徘徊对象。

    如果域控制器A从超过TLS的备份中进行恢复,也可能会导致出现徘徊对象。这个徘徊对象可能与其他对象存在冲突,导致这种现象。如果全局编录(global catalog)上存在徘徊对象,可能会导致林范围内的冲突。

    以下相关文档供您参考:
    Information about lingering objects in a Windows Server Active Directory forest
    Creating and Deleting Objects in Active Directory Domain Services

    Best regards,
    Simon Ren


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 ice9898 2019年3月28日 1:40
    2019年3月21日 12:53

全部回复

  • 您好:

    SamAccountName是创建用户时一定要提供的必须属性,是用于支持以前版本的Windows(Pre-Windows 2000)中的客户端和服务器的用户登录名。用户登录名称格式为:DomainName \ UserName。samAccountName在域中的所有安全主体对象中必须是唯一的。安全帐户管理器(SAM)服务会定期检查重复的SamAccountName值,当进程检测到重复的SamAccountName值时,其中一个值将更改为字符串“$ DUPLICATE-xxx”,其中xxx是十六进制对象的RID。

    出现重复的SamAccountName可能有以下几种原因:
    1. 在不同的域控制器上创建了具有相同SamAccountName的账户。
    2. 最近在域控制器(DC)上做过授权还原或者非授权还原。
    3. 最近曾激活过墓碑(tombstone reanimation)以恢复被删除的对象。
    4. 域环境中域控制器复制有问题,不能进行同步。

    出现重复SamAccountName的解决方法:
    1.查找并删除域中重复SamAccountName里的一个(一般是删除带有“$ DUPLICATE-xxx”的账户)。如下图所示。
    2.同时运行命令dcdiag排查域环境中是否存在域控制器之前的复制问题。

    以下的相关文档供您参考:
    Active Directory: Duplicate Object Name Resolution

    Best regards,
    Simon Ren

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年3月20日 11:02
  • 您好,还想请教一下问题,感谢您的回复

    上述用户确认是 已经删除超过180天以上的账户,

    1,可以排除

    2.如果域控进行还原 不应每天都出现,

    3.的确有域控超过墓碑时间,但并未对墓碑时间阈值进行修改

    4.域控同步确实有问题,当超过墓碑时间的AD同步应该不成功;长期未同步的AD 再次同步时(未超过墓碑时间)也应该不会出现这个问题。如果服务器A  30天未同步 , 第31天和 服务B(PDC)进行同步  ,账户1 为30天内删除的用户,在B上已删除,A上未删除。 A,B进行同步时,A应该删除上面的用户才是。

    2019年3月21日 11:22
  • 您好:

    非常感谢您的回复。第四点您说的是对的。

    在我们的环境中出现问题可能是因为存在徘徊对象(Lingering objects)。如果辅助域控制器A因为断网或者硬件问题与主域控制器B未同步时间超过墓碑生命周期TLS(默认180天),如果在此期间主域控制器B上删除了一个对象C(用户或者计算机账户等),等到辅助域控制器A问题修复再次上线与B进行同步复制,这时A离线时间已经超过TLS,它就不知道已经删除了C。那么已删除的对象C将“保留”在A的本地数据库副本中,成为徘徊对象。

    如果域控制器A从超过TLS的备份中进行恢复,也可能会导致出现徘徊对象。这个徘徊对象可能与其他对象存在冲突,导致这种现象。如果全局编录(global catalog)上存在徘徊对象,可能会导致林范围内的冲突。

    以下相关文档供您参考:
    Information about lingering objects in a Windows Server Active Directory forest
    Creating and Deleting Objects in Active Directory Domain Services

    Best regards,
    Simon Ren


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 ice9898 2019年3月28日 1:40
    2019年3月21日 12:53