Condividi tramite

Le modifiche apportate ai gruppi di sicurezza o ai gruppi di distribuzione non vengono replicate nei controller di dominio di destinazione quando si usa la replica dei valori di collegamento in un ambiente Windows Server 2003

Questo articolo fornisce una soluzione a un problema a causa del quale le modifiche apportate ai gruppi di sicurezza o ai gruppi di distribuzione non vengono replicate nei controller di dominio di destinazione quando si usa la replica dei valori di collegamento.

Numero KB originale: 958838

Sintomi

Si consideri il seguente scenario. In un ambiente Windows Server 2003, impostare il livello di funzionalità della foresta nella foresta su Windows Server 2003 o su una versione successiva di Windows. A tale scopo, applicare le modifiche alla replica dei valori di collegamento (LVR) all'appartenenza ai gruppi sugli attributi abilitati per LVR. In questo scenario è possibile che si verifichino i sintomi seguenti:

  • Le modifiche apportate al gruppo di sicurezza o al gruppo di distribuzione esistente nel controller di dominio di origine non vengono replicate nei controller di dominio di destinazione. Questo sintomo si verifica quando la modifica dell'appartenenza al gruppo viene avviata da un amministratore o da un programma.

  • Quando si esegue il repadmin /showreps comando, viene visualizzato un messaggio che indica che un controller di dominio di destinazione basato su Windows Server 2008 o Windows Server 2003 non può replicare le modifiche in ingresso in una partizione di directory da uno o più controller di dominio di origine. In questo caso, viene visualizzato anche un errore Win32 8451.

    Note

    L'errore Win32 8451 corrisponde all'errore ERROR_DS_DRA_DB_ERROR e alla descrizione seguente:
    L'operazione di replica ha rilevato un errore del database.

    Il controller di dominio basato su Windows Server 2008 o Windows Server 2003 interessato potrebbe non replicare le modifiche in ingresso apportate alle partizioni di sola lettura da cataloghi globali o da controller di dominio che ospitano partizioni di directory scrivibili.

  • I controller di dominio di destinazione basati su Windows Server 2008 e Windows Server 2003 registrano eventi nel log del servizio directory.

    Note

    • L'evento generale NTDS 1173 indica un errore di replica generico.
    • Il valore di errore di dati aggiuntivo -1603 viene mappato a un errore Currency not on a record jet e al nome simbolico errNoCurrentRecord. Errore ortografico di attualmente nella valuta non in un testo di errore del record .
    • L'eccezione e0010004 corrisponde all'errore DSA_DB_EXCEPTION.
    • L'ID interno 2050344 corrisponde a una funzione nel codice del livello del database di NTDS. Questo numero dipende dal sistema operativo, dal Service Pack e dalle revisioni di applicazione delle patch.

  • I controller di dominio di destinazione basati su Windows Server 2008 e Windows Server 2003 registrano l'evento del servizio directory 1692.

    Note

    Questo evento viene registrato quando si abilita la registrazione diagnostica e si imposta il valore per la voce del Registro di sistema 5 eventi di replica su 1 o versione successiva.

    Per altre informazioni sulla registrazione diagnostica NTDS, vedere Come configurare Active Directory e la registrazione degli eventi di diagnostica LDS.

Questi sintomi possono verificarsi quando vengono apportate modifiche a qualsiasi classe di oggetti con replica LVR con collegamenti in avanti. Queste modifiche alla classe di oggetti con replica LVR vengono apportate anche alle modifiche apportate ai gruppi di sicurezza e distribuzione.

Causa

Questo problema si verifica se i controller di dominio di destinazione basati su Windows Server 2008 o Windows Server 2003 arrestano la replica in ingresso quando ricevono aggiornamenti LVR di oggetti che non esistono nelle copie locali di Active Directory.

In particolare, questo problema può verificarsi se le condizioni seguenti sono vere:

  • Le modifiche di appartenenza apportate ai gruppi di sicurezza o di distribuzione persistenti nei controller di dominio di origine vengono replicate in uscita usando la replica di valori di collegamento (LVR) ai controller di dominio di destinazione che non dispongono di un'istanza del gruppo da modificare. Ad esempio, questo problema può verificarsi quando un oggetto viene eliminato e la durata degli oggetti di rimozione definitiva è scaduta dalla copia locale di Active Directory.

  • Il livello di funzionalità della foresta è impostato sulla modalità Provvisoria di Windows Server 2003 o su una versione successiva.

  • I gruppi di sicurezza o distribuzione persistenti risiedono in partizioni di sola lettura o scrivibili di Windows Server 2003 o basate su Windows Server 2008 e la replica si arresta tra i controller di dominio di origine e di destinazione.

Risoluzione

Importante

In questa sezione, metodo o attività viene illustrata la procedura per modificare il Registro di sistema. Se, tuttavia, si modifica il Registro di sistema in modo errato, possono verificarsi gravi problemi. Pertanto, assicurarsi di osservare attentamente la procedura seguente. Per una maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. Successivamente, è possibile ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni su come eseguire il backup e il ripristino del registro, fare clic sul numero dell'articolo seguente per visualizzare l'articolo nella Microsoft Knowledge Base:
322756 Come eseguire il backup e il ripristino del registro in Windows

Per risolvere il problema, seguire questa procedura:

  1. Eseguire il comando repadmin seguente nel controller di dominio primario (PDC) per creare un file .csv contenente l'elenco dei controller di dominio di destinazione:

    repadmin /showrepl * /csv >showrepl.csv

  2. Aprire il file di .csv in Excel e quindi identificare gli errori di replica nei controller di dominio di destinazione che hanno avuto esito negativo nel processo di replica in ingresso e che visualizzano l'errore Win32 8451.

  3. Nei controller di dominio che registrano il messaggio di errore "Errore Win32 8451", assicurarsi che la registrazione diagnostica per la voce del Registro di sistema 5 eventi di replica sia impostata su un valore pari a 1. A tale scopo, effettuare i passaggi seguenti:

    1. Fare clic su Start, quindi scegliere Esegui.

    2. Nella casella Apri, digitare regedit e quindi fare clic su OK.

    3. Individuare e quindi fare clic sulla chiave del Registro di sistema seguente: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics

    4. Nel riquadro dei dettagli fare doppio clic su 5 Eventi di replica, digitare 1 nella casella Dati valore e quindi fare clic su OK.

    5. Chiudere l'Editor del Registro di sistema.

  4. Nei controller di dominio di destinazione verificare che l'evento del servizio directory 1692 sia registrato nel log del servizio directory. L'evento visualizza le modifiche apportate all'attributo membro del gruppo di sicurezza o ad altri attributi replicati da LVR e ai GUID degli oggetti persistenti.

  5. Rimuovere gli oggetti persistenti dai controller di dominio di destinazione basati su Windows Server 2008 o Windows Server 2003 usando il repadmin /removelingeringobjects comando .

Importante

La disabilitazione di una rigorosa funzionalità di coerenza della replica nel Registro di sistema dei controller di dominio di destinazione basati su Windows Server 2008 o Windows Server 2003 non riprende la replica. Non è necessario impostare il valore della voce del Registro di sistema Strict Replication Consistency su 0 per sbloccare la replica delle partizioni di directory.

Non forzare la replica delle partizioni di directory nei controller di dominio di origine usando il comando repadmin /sync o un comando equivalente insieme all'opzione /force.

Raccolta dei dati

Se è necessaria assistenza dal supporto tecnico Microsoft, è consigliabile raccogliere le informazioni seguendo i passaggi indicati in Raccogliere informazioni usando TSS per i problemi di replica di Active Directory.