Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article fournit une solution à un problème où vous obtenez des ID d’événement 2108 et 1084 lorsque la réplication entrante de l’services de domaine Active Directory (AD DS) se produit.
Numéro de base de connaissances d’origine : 837932
Symptômes
Lorsque la réplication entrante de l’services de domaine Active Directory (AD DS) se produit, un contrôleur de domaine de destination enregistre les événements suivants dans le journal du service d’annuaire :
Event ID 1084: Internal event: Active Directory Domain Services could not update the following object with changes received from the following source directory service. This is because an error occurred during the application of the changes to Active Directory Domain Services on the directory service.
Object: CN=<cn path>
Object GUID: <objectguid>
Source directory service: NTDSA._msdcs.<forest root DNS domain name>
Synchronization of the directory service with the source directory service is blocked until this update problem is corrected.
This operation will be tried again at the next scheduled replication.
User Action:
Restart the local computer if this condition appears to be related to low system resources (for example, low physical or virtual memory).
Additional Data:
Error value: <error code> <error string>
Note
Dans le texte, <le Error value code> d’erreur et <la chaîne> d’erreur représentent les valeurs réelles affichées dans l’entrée de journal.
Event ID 2108: This event contains REPAIR PROCEDURES for the 1084 event which has previously been logged. This message indicates a specific issue with the consistency of the Active Directory Domain Services database on this replication destination. A database error occurred while applying replicated changes to the following object. The database had unexpected contents, preventing the change from being made.
Object: CN=<cn path>
Object GUID: <objectguid>
Source directory service: NTDSA._msdcs.<forest root DNS domain name>
Note
Il s’agit d’un événement partenaire à l’événement 1084.
Cause
Ces événements se produisent lorsque le contrôleur de domaine ne peut pas écrire de modification transactionnelle dans la copie locale de la base de données Active Directory.
Résolution
Pour résoudre ce problème, effectuez les étapes suivantes. Réessayez l’opération de réplication après chaque étape qui apporte une modification.
Assurez-vous que suffisamment d’espace disque libre est disponible sur les volumes qui hébergent la base de données Active Directory, puis réessayez l’opération. Procédez comme suit pour libérer de l’espace disque supplémentaire :
Déplacez des fichiers non liés vers un autre volume.
Effectuez une sauvegarde de l’état du système. Ce processus réduit la taille des fichiers journaux des transactions. Pour plus d’informations, consultez Comment utiliser la fonctionnalité de sauvegarde pour sauvegarder et restaurer des données.
Effectuez une défragmentation hors connexion d’Active Directory. Pour plus d’informations, consultez Comment effectuer une défragmentation hors connexion de la base de données Active Directory.
Assurez-vous que les lecteurs physiques qui hébergent le fichier Ntds.dit et que les fichiers journaux des transactions n’ont pas activé la compression du système de fichiers NTFS. Pour confirmer cela, cliquez avec le bouton droit sur la lettre de lecteur dans Mon ordinateur, puis vérifiez que la case à cocher Compresser l’espace disque n’est pas cochée.
Assurez-vous que les lecteurs physiques qui hébergent le fichier Ntds.dit et les fichiers journaux des transactions sont spécifiquement exclus des programmes antivirus distants et locaux. Pour plus d’informations, consultez l’article suivant :
Si le contrôleur de domaine de destination contient le catalogue global et que l’erreur se produit dans l’une des partitions en lecture seule, utilisez l’une des méthodes suivantes pour résoudre le problème :
Méthode 1 : Utilisez l’option de réhébergement de l’outil Repadmin.exe pour réhéberger la partition affectée.
L’outil Repadmin.exe est installé sur les ordinateurs qui ont le rôle contrôleur de domaine et est installé avec les outils d’administration de serveur distant (RSAT) sur les stations de travail et les serveurs membres. Pour ce faire, tapez ce qui suit à l’invite de commandes, où domain_controller est le nom du contrôleur de domaine de destination et good_source_domain_controller_name est le nom d’un autre contrôleur de domaine :
repadmin /rehost domain_controller naming_context good_source_domain_controller_nameMéthode 2 : Configurez le contrôleur de domaine pour qu’il ne soit plus un serveur de catalogue global. Effectuez les étapes suivantes :
- Sélectionnez Démarrer, pointez sur Outils d’administration, puis sélectionnez Sites et services Active Directory.
- Recherchez les serveurs\ par défaut de nom de site domain_controller_name\ sous-arborescence\ paramètres NTDS.
- Cliquez avec le bouton droit sur Paramètres NTDS, puis sélectionnez Propriétés.
- Activez la case à cocher Effacer le catalogue global, puis sélectionnez OK.
Méthode 3
Si l’erreur se produit dans une partition de programme, utilisez l’outil Ntdsutil.exe pour modifier le réplica qui héberge la partition du programme.
Utilisez un utilitaire tiers, tel que l’utilitaire ProcMon, pour déterminer si un programme ou un utilisateur accède à la base de données Active Directory, aux fichiers journaux des transactions ou au fichier Edp.tmp . Si l’activité d’accès aux fichiers existe, arrêtez les services responsables de l’activité. Pour plus d’informations sur l’utilitaire ProcMon, consultez ProcMon.
Déterminez si le problème est lié au parent de l’objet Active Directory sur le contrôleur de domaine de destination. Pour ce faire, procédez comme suit :
Sur le contrôleur de domaine source, déplacez temporairement l’objet référencé dans l’événement 1084 vers un conteneur d’unité d’organisation (UO). L’unité d’organisation doit être non liée au conteneur actuel. Par exemple, déplacez l’objet vers un nouveau conteneur à la racine du domaine.
Si la réplication est terminée après avoir déplacé l’objet, revenez à son conteneur d’origine.
Forcez le propageur de descripteur de sécurité à reconstruire l’ancêtre du conteneur d’objets dans la base de données qui existe à la fois sur les contrôleurs de domaine source et de destination. Pour ce faire, procédez comme suit :
Ouvrez une invite de commandes avec élévation de privilèges sur le contrôleur de domaine ou le client Windows avec RSAT installé.
Tapez ldp.exe <nom> du contrôleur de domaine, puis appuyez sur Entrée.
Sélectionnez Connexion> à la connexion, puis tapez le nom du serveur auquel vous souhaitez vous connecter.
Note
Vous vous connecterez sur le port 389 pour Active Directory.
Sélectionnez Liaison de connexion>, puis tapez votre nom d’utilisateur administratif, votre mot de passe et votre domaine. (Vous devez utiliser des informations d’identification d’administrateur de domaine ou d’administrateur d’entreprise.) Sélectionnez OK.
Dans le menu Parcourir , sélectionnez Modifier. Laissez la zone de texte DN vide. Dans la zone de texte Attribut , tapez FixUpInheritance. Sélectionnez Oui dans la zone de texte Valeur .
Dans la zone Opération , sélectionnez Ajouter.
Sélectionnez Entrée pour remplir la zone liste d’entrées.
Note
Dans la zone Liste d’entrées, [Add]fixupinheritance :yes s’affiche.
Sélectionnez Exécuter.
Note
Le volet droit affiche maintenant un état modifié et le propageur de descripteur de sécurité démarre. Le runtime du propageur de descripteur de sécurité dépend de la taille de la base de données Active Directory. Le processus est terminé lorsque le compteur Événements de propagation de sécurité DS dans l’objet Performance NTDS retourne à zéro.
Sélectionnez Fermer la>sortie de connexion.>
Sur le contrôleur de domaine source, tapez
repadmin /showmeta distinguished_name_pathà une invite de commandes, puis affichez les métadonnées de l’objet pour le chemin d’accès de nom unique référencé dans l’événement 1084. Répétez cette étape sur le contrôleur de domaine de destination. Recherchez des valeurs incohérentes qui incluent, mais qui ne sont pas limitées, les éléments suivants :- Noms et nombres incorrects d’attributs qui apparaissent sur l’objet
- Horodatages d’origine incorrects ou horodatages
- Numéros de séquence de mise à jour locale incorrects (USN)
Des valeurs incorrectes peuvent indiquer un problème avec la page de base de données qui héberge l’objet.
Pour utiliser l’outil Repadmin.exe lorsque le chemin d’accès de nom unique fait référence à un objet en direct, tapez ce qui suit à l’invite de commandes :
repadmin /showmeta remote_domain_controller_name distinguished_name_path_of_reference _objectSi l’objet se trouve dans un conteneur d’objets supprimés ou si vous ne pouvez pas utiliser l’outil Repadmin.exe pour trouver l’objet, utilisez la référence GUID de l’objet pour rechercher l’objet. Ce GUID est référencé dans l’événement 1084. Pour ce faire, tapez ce qui suit à l’invite de commandes :
repadmin /showmeta remote_domain_controller_name "GUID_for_the_object that_is_referenced_in_Event_ID_1084"Par exemple, si l’événement 1084 et l’événement 2108 font référence à un objet où le GUID est b49cd496-98a2-4500-bb08-58550c2f79ac, tapez
repadmin /showmeta "<GUID=b49cd496-98a2-4500-bb08-58550c2f79ac>".Note
Les guillemets et crochets sont requis.
Utilisez l’outil Ntdsutil.exe pour effectuer une vérification de l’intégrité de la base de données Active Directory sur le contrôleur de domaine source.
Avant de démarrer l’ordinateur en mode de restauration des services d’annuaire (DSRM), obtenez le mot de passe du compte d’administrateur hors connexion et du compte DSRM. Si vos mots de passe de compte DSRM sont gérés par Windows LAPS, obtenez le mot de passe à l’aide de Get-LapsADPassword.
Si vous ne connaissez pas le mot de passe du compte administrateur, réinitialisez le mot de passe du mode de restauration des services d’annuaire avant de commencer dans ce mode.
Utilisez la commande Ntdsutil Set Directory Services Restore Mode Password.
Pour plus d’informations sur la modification du mot de passe, consultez le message d’erreur « Services d’annuaire ne peut pas démarrer » lorsque vous démarrez votre contrôleur de domaine Windows ou SBS.
Redémarrez le contrôleur de domaine source, puis appuyez sur F8 pour démarrer le mode de restauration des services d’annuaire. À l’invite de commandes, tapez
ntdsutil files integrity, puis appuyez sur Entrée.Note
Cette commande confirme l’intégrité de la base de données.
Si l’outil Ntdsutil signale que la base de données est endommagée et que vous disposez de réplicas des contextes d’affectation de noms sur le contrôleur de domaine source, forcez une rétrogradation du contrôleur de domaine source, puis redéployez-la après avoir vérifié l’intégrité des pilotes, du microprogramme et des lecteurs physiques qui hébergent la base de données Active Directory et les fichiers journaux des transactions.
Si la base de données est endommagée et qu’aucun réplica du contexte d’affectation de noms sur le contrôleur de domaine source n’existe, restaurez l’état du système le plus récent. Utilisez l’outil NTDSutil.exe pour confirmer à nouveau l’intégrité de la base de données. Si vous recevez toujours un message d’altération, restaurez les sauvegardes plus anciennes jusqu’à ce que vous puissiez confirmer l’intégrité du contrôleur de domaine.
Si la base de données est toujours endommagée, restaurez la sauvegarde de l’état du système la plus récente, puis, à l’invite de commandes, tapez :
ntdsutil files recoverUtilisez l’outil NTDSutil.exe confirmez à nouveau l’intégrité de la base de données. Si la base de données passe la vérification de l’intégrité, effectuez une défragmentation hors connexion de la partition de disque. Pour plus d’informations, consultez Comment effectuer une défragmentation hors connexion de la base de données Active Directory.
Pour effectuer une vérification d’intégrité de la base de données, tapez ce qui suit à l’invite de commandes, puis appuyez sur Entrée, où database_name est le nom de la base de données Active Directory :
esentutl.exe /g database_nameEnfin, utilisez l’option Démarrer Normalement Windows pour redémarrer l’ordinateur, puis réessayez la réplication du contrôleur de domaine source vers le contrôleur de domaine de destination affecté.
Si ces étapes ne réussissent pas et que l’erreur de réplication se poursuit, rétrogradez le contrôleur de domaine, confirmez l’intégrité des lecteurs physiques et des volumes qui hébergent le fichier Ntds.dit et le sous-système de disque, puis redéprimez le contrôleur de domaine. Utilisez le même nom d’ordinateur.
Utilisez la commande ntdsutil files compact pour effectuer une défragmentation hors connexion de la base de données Active Directory. Pour plus d’informations, consultez Exécution de la défragmentation hors connexion de la base de données Active Directory.
À l’invite de commandes, tapez la commande suivante et appuyez sur Entrée :
ntdsutil "semantic database analysis" "go"Note
Les guillemets de cet exemple sont nécessaires pour exécuter la commande d’analyse de base de données sémantique à l’aide d’un seul argument de ligne de commande.
Si des erreurs sont signalées, tapez
ntdsutil go fixup, puis appuyez sur Entrée.
Collecte de données
Si vous avez besoin d’aide du support Microsoft, nous vous recommandons de collecter les informations en suivant les étapes mentionnées dans Collecter des informations à l’aide de TSS pour les problèmes de réplication Active Directory.
Exclusion de responsabilité de tiers
Les produits tiers mentionnés dans le présent article sont fabriqués par des sociétés indépendantes de Microsoft. Microsoft exclut toute garantie, implicite ou autre, concernant les performances ou la fiabilité de ces produits.