Risoluzione degli errori di replica di Active Directory 8418: l'operazione di replica non è riuscita a causa di una mancata corrispondenza dello schema

Note

Utenti domestici: Questo articolo è destinato solo agli agenti di supporto tecnico e ai professionisti IT. Se si sta cercando assistenza per un problema, ask the Microsoft Community.

Numero KB originale: 2734946

L'errore di replica 8418 di Active Directory si verifica quando i controller di dominio hanno definizioni incoerenti dello schema. La partizione dello schema definisce la struttura di tutti gli oggetti e gli attributi nella foresta Active Directory. Quando la partizione dello schema è diversa da un controller di dominio all'altro, la replica non riesce perché il controller di dominio di destinazione non riesce a elaborare oggetti che fanno riferimento alle definizioni dello schema che non riconosce.

Questo articolo consente di:

  • Identificare i sintomi dell'errore 8418.
  • Comprendere le cause comuni degli errori di mancata corrispondenza dello schema.
  • Determinare se il problema è temporaneo o persistente.
  • Raccogliere i dati di diagnostica per isolare la causa.
  • Applicare la risoluzione appropriata.

Sintomi

Si osservano uno o più dei sintomi seguenti:

  • Durante un ciclo di replica regolare, uno o più errori sullo schermo, eventi registrati o diagnostica indicano che si è verificata una mancata corrispondenza dello schema. Il testo dell'errore può includere una o tutte le informazioni seguenti.

    Decimale Hex Simbolico Stringa di errore
    8418 0x20e2 ERROR_DS_DRA_SCHEMA_MISMATCH L'operazione di replica non è riuscita a causa di una mancata corrispondenza dello schema tra i server coinvolti.

  • Quando si tenta di alzare di livello un server membro a un controller di dominio (DC), viene visualizzato il messaggio seguente:

    ---------------------------  
Active Directory Domain Services Installation Wizard  
---------------------------  
The operation failed because: Active Directory Domain Services could not replicate the directory partition <DN path of partition> from the remote
Active Directory Domain Controller <helper DC FQDN>.  
"The replication operation failed because of a schema mismatch between the servers involved."  
---------------------------  
OK  
---------------------------

    Se l'errore si verifica prima che il processo di promozione del controller di dominio raggiunga la fase di replica non critica, il file DCPromo.log registra delle voci simili all'esempio seguente:

    MM/DD/YYYY HH:MM:SS [INFO] NtdsInstall for <hostname.dns domain name.<top level domain> returned 8418  
MM/DD/YYYY HH:MM:SS [INFO] DsRolepInstallDs returned 8418  
MM/DD/YYYY HH:MM:SS [ERROR] Failed to install to Directory Service (8418)  
MM/DD/YYYY HH:MM:SS [INFO] Starting service NETLOGON

    Se l'errore si verifica durante la fase di replica non critica, il nuovo controller di dominio viene riavviato. Dopo il riavvio, DCPromo.log registra voci simili all'esempio seguente:

    MM/DD HH:MM:SS [WARNING] Non critical replication returned 8418
MM/DD HH:MM:SS [INFO] Cleaning up old Netlogon information
MM/DD HH:MM:SS [INFO] Stopped the DS
MM/DD HH:MM:SS [INFO] The attempted domain controller operation has completed

  • Il registro eventi del servizio directory registra uno o più eventi simili agli esempi seguenti.

    Origine evento ID evento o
    ID evento/Stato errore    		 Stringa di evento
    Microsoft-Windows-ActiveDirectory_DomainService 1203 The directory service could not replicate the following object from the source directory service at the following network address because of an Active Directory Domain Services schema mismatch.
    Microsoft-Windows-ActiveDirectory_DomainService 1309/8418 The Knowledge Consistency Checker (KCC) has detected that successive attempts to replicate with the following directory service has consistently failed.
    Microsoft-Windows-ActiveDirectory_DomainService 1791/8418 Replication of application directory partition <DN path> from source <NTDS Settings object GUID> from source DC (<source DC FQDN>) has been aborted. Replication requires consistent schema but last attempt to synchronize the schema had failed. It is crucial that schema replication functions properly. See previous errors for more diagnostics. If this issue persists, contact Microsoft Product Support Services for assistance. Error 8418: The replication operation failed because of a schema mismatch between the servers involved.
    NTDS KCC (Verifica coerenza delle conoscenze) 1925/8418 The attempt to establish a replication link for the following writable directory partition failed.
    Replicazione NTDS 1203 The local domain controller could not replicate the following object from the source domain controller at the following network address because of an Active Directory schema mismatch
    Replica NTDS 1791/8418 Replication of Naming Context <DN path> from source <NTDS Settings object guid> has been aborted. Replication requires consistent schema but last attempt to sync the schema had failed. It is crucial that schema replication functions properly. See previous errors for more diagnostics. If this issue persists, contact Microsoft Product Support Services for assistance. Error 8418: The replication operation failed because of a schema mismatch between the servers involved.

  • Per attivare manualmente la replica, usare il comando Replicate now nella console di Active Directory Sites and Services. L'operazione ha esito negativo e genera un messaggio di errore simile all'esempio seguente:

    --------------------------- Replicate Now ---------------------------
The following error occurred during the attempt to synchronize naming context <Naming context> from Domain Controller <source DC> to Domain Controller <destination DC>: The replication operation failed because of a schema mismatch between the servers involved. This operation will not continue.
--------------------------- OK ---------------------------

  • Si esegue uno dei comandi Repadmin seguenti (repadmin.exe) e vengono visualizzati messaggi simili agli esempi seguenti.

    Comando Message
    Repadmin /ShowReps Last attempt @ YYYY-MM-DD HH:MM:SS failed, result 8418 (0x20e2):
    The replication operation failed because of a schema mismatch between the servers involved.
    Repadmin /SyncAll repadmin /syncall /AePdq Syncing all NC's held on <DC Name>.
    Syncing partition: DC=contoso,DC=com SyncAll reported the following errors:
    Error issuing replication: 8418 (0x20e2):
    The replication operation failed because of a schema mismatch between the servers involved.
    Repadmin /ReplSum repadmin /replsummary Replication Summary Start Time: YYYY-MM-DD HH:MM:SS
    Beginning data collection for replication summary, this may take a while:
    .....
    Source DSA largest delta fails/total %% error <Source DC> xxh:yym:zzs 4 / 5 80 (8418)
    The replication operation failed because of a schema mismatch between the servers involved.
    Destination DSA largest delta fails/total %% error <dest DC> 04h:02m:16s 4 / 5 80 (8418)
    The replication operation failed because of a schema mismatch between the servers involved.

Causa

La replica di qualsiasi dato di Active Directory tra i controller di dominio in una foresta dipende dal fatto che tutti i controller di dominio abbiano una visione coerente delle definizioni di oggetti e attributi. Queste definizioni vengono archiviate nella partizione schema del database Active Directory. Il motore di replica della directory assegna priorità alla partizione dello schema in modo che qualsiasi modifica apportata a una definizione dello schema venga replicata prima che tutti i dati che usano la definizione dello schema possano essere replicati.

Le mancate corrispondenze dello schema possono verificarsi nelle circostanze seguenti:

  • I controller di dominio replicano la partizione dello schema e il controller di dominio di origine ha informazioni sullo schema diverse rispetto al controller di dominio di destinazione.
  • I controller di dominio replicano una partizione nonschema e i dati nel controller di dominio di origine usano uno schema diverso rispetto ai dati nel controller di dominio di destinazione.

Scenari

Per risolvere un problema di mancata corrispondenza dello schema, è necessario comprendere lo scenario in cui si è verificato il problema.

Scenario 1

Il problema si verifica dopo l'aggiornamento dello schema Active Directory. In molti casi, questo problema è temporaneo e si risolve.

Importante

Testare accuratamente qualsiasi aggiornamento dello schema prima di introdurlo nell'ambiente di produzione.

Scenario 2

Il problema si verifica quando si tenta di alzare di livello un server membro a un controller di dominio . L'operazione di promozione non riesce.

Scenario 3

Il problema si verifica durante la normale replica. In genere, questo comportamento significa che un problema sottostante impedisce Active Directory di risolvere i problemi che in genere sarebbero temporanei. Questo scenario presenta più possibili cause, tra cui (ma non solo) i problemi seguenti:

  • Un controller di dominio (DC) viene messo in quarantena o potrebbe avere oggetti residui.
  • Comunicazione arrestata a causa di un problema DNS o RPC
  • Un controller di dominio ha interrotto la replica per altri motivi
  • Gli oggetti non possono essere replicati perché i relativi nTSecurityDescriptor attributi sono troppo grandi

Scenario 4

Uno scenario meno comune è quello in cui la partizione dello schema in uno o più controller di dominio ha definizioni di attributi non corrette. I possibili problemi di definizione dello schema che possono attivare un errore di mancata corrispondenza dello schema includono i problemi seguenti:

  • Scontro OID
  • Valori di sintassi OM non validi
  • Valori non validi MayContain
  • Attributi dell'oggetto che contengono dati, ma la cui definizione dello schema è contrassegnata come inattiva

Per gli scenari in cui la replica dello schema ha esito negativo a causa di definizioni di schema di attributi non corretto, contattare supporto tecnico Microsoft per assistenza.

Problemi temporanei e problemi persistenti

I problemi di mancata corrispondenza dello schema rientrano in genere in una delle due categorie: temporanee e persistenti.

I problemi di mancata corrispondenza dello schema temporanei soddisfano i criteri seguenti:

  • I messaggi di errore vengono visualizzati in controller di dominio diversi in tutta la foresta, in un modello che corrisponde alla topologia e alla pianificazione della replica Active Directory. Questo tipo di modello si verifica in genere quando si installa un aggiornamento allo schema.
  • In qualsiasi controller di dominio specifico, il problema scompare dopo un ciclo di replica per ogni partner di replica. Questo processo potrebbe richiedere il doppio del tempo necessario per consentire che un aggiornamento di un oggetto venga replicato da un controller di dominio a tutti gli altri controller di dominio nella foresta. Maggiore è il numero di partner di replica di cui dispone un controller di dominio, maggiore è il tempo necessario per questo processo.

I problemi di mancata corrispondenza dello schema persistente non soddisfano questi criteri e non si risolvono. Questi problemi indicano uno o più dei problemi seguenti:

  • Un problema sottostante interferisce con la replica tipica. Il servizio di replica non è in grado di risolvere la mancata corrispondenza dello schema fino a quando il problema sottostante non viene corretto. In alcuni casi, è possibile identificare e risolvere i problemi sottostanti. In altri casi, potrebbe essere necessaria assistenza da supporto tecnico Microsoft. Ad esempio, uno dei problemi seguenti può bloccare la replica:
    • Danneggiamento del database
    • Vincoli di memoria
    • Quarantena della replica
    • Coerenza rigorosa della replica applicata
    • Replicazione disabilitata
    • Problemi di DNS (risoluzione dei nomi di dominio)
    • Problemi di comunicazione RPC
    • Firewall locali o di rete

Raccogliere dati di diagnostica per isolare le possibili cause

Alcuni problemi di mancata corrispondenza dello schema presentano soluzioni semplici. Tuttavia, in molti casi, è necessaria assistenza da supporto tecnico Microsoft. Questa sezione descrive come determinare il tipo di problema presente e se è disponibile una soluzione.

Livello 1: Esaminare lo stato complessivo della replica

È consigliabile avviare l'indagine raccogliendo i dati di replica per tutti i controller di dominio nella foresta. La raccolta di questi dati consente di identificare eventuali tasche di errori di replica. Per raccogliere dati ed esportarli in un file .csv per l'analisi, eseguire un comando simile all'esempio seguente al prompt dei comandi:

Repadmin showrepl * /csv > allrepl.csv

Esaminare questi dati, identificando tutti i DC che riscontrano qualche problema di replica.

Se di recente è stato applicato un aggiornamento dello schema alla foresta, vedere Risoluzione 1: Dopo un aggiornamento dello schema, i problemi persistono.

Se lo schema non è stato aggiornato di recente, passare alla sezione successiva per raccogliere i log degli eventi di diagnostica.

Livello 2: Raccogliere ed esaminare i log di diagnostica

Aumentare il livello di registrazione diagnostica

Importante

Questa sezione, metodo o attività contiene passaggi che ti spiegano come modificare il registro. Tuttavia, potrebbero verificarsi gravi problemi se si modifica il registro in modo errato. Pertanto, assicurati che segui questi passaggi con attenzione. Al fine di protezione, eseguire il backup del registro di sistema prima di modificarlo, in modo da poterlo ripristinare in caso di problemi. Per altre informazioni su come eseguire il backup e il ripristino del Registro di sistema, vedere Come eseguire il backup e ripristinare il Registro di sistema in Windows.

Aumentare il livello di registrazione degli eventi sia nei controller di dominio di origine che in quelli di destinazione. Per modificare il livello di registrazione, seguire questa procedura:

  1. Nell'editor del Registro di sistema individuare la sottochiave seguente:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Diagnostics

  2. Aggiornare i valori delle voci del Registro di sistema come descritto nella tabella seguente.

    Nome Tipo Valore
    5 Replication DWORD 5
    9 Internal Processing DWORD 5
    24 Schema DWORD 5
    7 Internal Configuration DWORD 5

Esaminare gli errori e i registri eventi per eventuali problemi di replica

Attendere che si verifichi il problema o ripetere l'azione che attiva il problema, ad esempio alzare di livello un server membro a un controller di dominio. Dopo che si verifica una discrepanza dello schema, esaminare i registri degli eventi nei controller di dominio interessati e nei loro partner di replica. Cercare eventuali informazioni negli errori o negli eventi che identificano l'origine del problema o quale risorsa influisce sul problema.

  • Cercare l'ID evento (se applicabile) e il codice di errore.
  • L'errore o l'evento fa riferimento a uno o più computer? Gli errori di replica in genere elencano un controller di dominio di origine e un controller di dominio di destinazione. Per gli eventi, il controller di dominio di destinazione registra in genere l'evento. Cercare il NOME DN, il nome NetBIOS o il GUID dell'agente del servizio directory (GUID DSA) per ogni controller di dominio.
  • L'errore o l'evento identifica un particolare oggetto o attributo che attiva il problema? Cercare l'oggetto DN o GUID oppure il nome visualizzato o il GUID dell'attributo.
  • Cercare eventuali dati di errore interni o estesi.

Nella tabella seguente sono elencati esempi di codici di errore che indicano problemi che impediscono Active Directory di risolvere una mancata corrispondenza dello schema.

Note

  • Oltre a essere visualizzati negli eventi registrati, questi codici di errore possono verificarsi quando si usano strumenti da riga di comando come repadmin, dcdiago dcpromo.
  • Se ricevi l'errore di mancata corrispondenza dello schema quando si cerca di promuovere un server membro a un controller di dominio, raccogli i file di log DCpromo e DCpromoUI. Questo tipo di problema è quasi sempre persistente e non si risolve.
  • Alcuni eventi sono associati a più di un codice di errore. Quando si esamina il registro eventi per questi eventi, assicurarsi di controllare il codice di errore elencato nell'evento in modo da poter interpretare correttamente l'evento.
Codice di errore ID evento e origine, se appropriato Ulteriori informazioni
1203 Microsoft-Windows-ActiveDirectory_DomainService o replica NTDS
1340 1450 NTDS SDProp Impossibile compilare l'ACL di accesso ereditato o ACE
1722 Active Directory errore di replica 1722
1753 Errore di replica Active Directory 1753
8614 1925 NTDS KCC
2042 Replicazione NDTS		 Risolvere l'errore di replica 8614 in Active Directory
ID evento di replica di Active Directory 2042
8606 Replicazione NTDS 1988 Errore di replica di Active Directory 8606
8456 o 8457 1308 NTDS KCC
1393 NTDS Generale
Replicazione NTDS 1586
1925 NTDS KCC
1926 NTDS KCC
Replicazione NTDS 2023
2095 Microsoft-Windows-ActiveDirectory_DomainService
2103 Microsoft-Windows-ActiveDirectory_DomainService o NTDS Generale		 Errore di replica di Active Directory 8456 o 8457
8524 1308 NTDS KCC
1655 NTDS Generale
1865 NTDS KCC
1925 NTDS KCC
1926 NTDS KCC
2023 Microsoft-Windows-ActiveDirectory_DomainService
Replica NTDS 2087
Replicazione NTDS 2088		 Errore di replica di Active Directory 8524

Per altri codici di errore comuni, vedere Risoluzione dei problemi comuni di errori di replica di Active Directory.

Se è possibile isolare gli identificatori di oggetto o attributo dalle informazioni sull'errore o sull'evento, passare alla sezione successiva per raccogliere i metadati dell'oggetto e dell'attributo.

Se gli eventi di replica che citono il codice di errore 8418 contengono errori estesi o interni, confrontarli con i problemi noti.

Livello 3: Esportare ed esaminare i metadati degli oggetti e degli attributi

Se gli eventi o i codici di errore identificano un oggetto specifico (o un set di oggetti) o un attributo oggetto specifico come trigger del problema di replica, i metadati dell'oggetto o dell'attributo potrebbero fornire altre informazioni sul problema.

Gli oggetti e gli attributi possono attivare problemi di replica in diversi modi. Le cause di tali problemi potrebbero non sembrare correlate direttamente allo schema. Un problema potenziale è la dimensione del descrittore di sicurezza di un oggetto (attributo nTSecurityDescriptor ). Se l'attributo è troppo grande, può bloccare la replica. Fortunatamente, il codice di errore 1340 indica in modo specifico che si è verificato questo problema.

Altri problemi relativi a oggetti e attributi sono più complessi. In questo caso, potrebbe essere necessario contattare supporto tecnico Microsoft per ricevere assistenza.

Esportare i metadati dell'oggetto e dell'attributo

Per recuperare questi dati, eseguire repadmin /showobjmeta sia nel controller di dominio di origine che nel controller di dominio di destinazione, come illustrato negli esempi seguenti:

Se si dispone del DN dell'oggetto che ha causato il problema, aprire una finestra del prompt dei comandi amministrativa e quindi eseguire il comando seguente:

Repadmin /showobjmeta <Target_DC> "<DN_of_Trigger_Object>"

Se si dispone del GUID dell'oggetto o dell'attributo che ha causato il problema, eseguire il comando seguente:

`Repadmin /showobjmeta <Target_DC> "GUID=<ObjectGuid_of_Trigger_Object>"`

Note

  • In questi comandi, <Target_DC> rappresenta il controller di dominio di cui si sta recuperando i dati (il controller di dominio di origine o il controller di dominio di destinazione).
  • È possibile usare <ObjectGuid_of_Trigger_Object> per rappresentare il GUID di un oggetto o di uno degli attributi dell'oggetto.
  • Se il problema si è verificato quando hai promosso un computer membro a un controller di dominio, il computer di destinazione è quello che hai tentato di promuovere. Non potrebbe ancora avere l'oggetto.

È possibile usare questo metodo per identificare gli attributi "candidati" che potrebbero causare il problema.

Se si dispone solo di un identificatore per un oggetto, eseguire il dump di tutti i valori di attributo dell'oggetto eseguendo un set di comandi simile all'esempio seguente:

Ldifde -f results.txt -d "<DN_of Trigger_Object>" -s <Target_DC> 
Ldifde -f results.txt -d "GUID=<ObjectGuid_of Trigger_Object>" -s <Target_DC>
Repadmin /showattr <Target_DC> "<DN_of Trigger_Object>"
Repadmin /showattr <Target_DC> "GUID=<ObjectGuid_of Trigger_Object>"

È anche possibile usare ldp i comandi per estrarre i metadati di replica.

Esaminare i dati dell'oggetto e dell'attributo

Per determinare se i dati sono stati replicati a ogni partner, è possibile confrontare i metadati dello stesso oggetto nel DC di origine e nei suoi partner di replica.

Suggerimento

I metadati degli oggetti o degli attributi in attesa di essere replicati mostrano un numero di versione superiore nel controller di dominio di origine rispetto al controller di dominio di destinazione.

LDIFDE, Repadmin e LDP offrono visualizzazioni leggermente diverse dei metadati degli oggetti e degli attributi. È possibile confrontare queste visualizzazioni per identificare le discrepanze nei metadati. Si consideri ad esempio l'output seguente repadmin :

USN   DSA Org                              USN Org. Time/Date  Version Attribute  
24260 f4617e99-9688-42a6-8562-43fdd2d5cda4 18085395 <DateTime> 2  
24260 f4617e99-9688-42a6-8562-43fdd2d5cda4 18086114 <DateTime> 3

L'output deve includere identificatori di attributo, ma tali valori non sono presenti.

L'esempio seguente mostra gli stessi metadati visualizzati usando lo ldp strumento . Questo output mostra gli identificatori di attributo nella colonna AttID.

AttID  Ver Loc.USN Originating DSA                      Org.USN  Org.Time/Date  
250000 2   24260   f4617e99-9688-42a6-8562-43fdd2d5cda4 18085395 <DateTime>  
250004 3   24260   f4617e99-9688-42a6-8562-43fdd2d5cda4 18086114 <DateTime>

Tali discrepanze nei metadati possono essere utili per determinare la causa del problema. Nella maggior parte dei casi, tuttavia, è consigliabile contattare supporto tecnico Microsoft per ulteriore assistenza.

Importante

Assicurarsi di disporre dei dati elencati in Data da fornire a supporto tecnico Microsoft, inclusi i dati dello schema esportati.

Risoluzione

Risoluzione 1: dopo un aggiornamento dello schema, i problemi persistono

Dopo gli aggiornamenti dello schema di Active Directory, i problemi di mancata corrispondenza dello schema tendono a comparire e scomparire in vari controller di dominio in tutta la foresta. Questo comportamento si verifica in genere in un modello che corrisponde alla topologia di replica e alla pianificazione. Questi disallineamenti di schema transitori sono il comportamento previsto. Il software di monitoraggio segnala in genere i problemi, ma non richiede l'intervento amministrativo.

Se i problemi di mancata corrispondenza dello schema persistono per un periodo prolungato, ad esempio più del doppio del tempo necessario per la replica di un aggiornamento nell'intera topologia, è necessario analizzare il problema. Potrebbe essere necessario riavviare un singolo controller di dominio, l'aggiornamento potrebbe non essere applicato correttamente o un problema sottostante potrebbe bloccare la replica.

Passaggio 1: Verificare che i valori della versione dello schema corrispondano in Active Directory e nel Registro di sistema

Ogni controller di dominio archivia la versione dello schema usata in due posizioni: il Registro di sistema e nella relativa replica locale Active Directory. Durante il normale funzionamento, i due valori devono essere sincronizzati e riflettere correttamente la versione dello schema della foresta. Questa versione dello schema è definita dal controller di dominio che possiede il ruolo FSMO specifico allo schema (Flexible Single Master Operation). Se i valori non corrispondono per un particolare controller di dominio (DC), quel DC potrebbe non aver ancora ricevuto l'aggiornamento dello schema. Controllare i valori di stato nei controller di dominio che segnalano discrepanze persistenti dello schema e nei loro partner di replica.

Note

Per assicurarsi che gli aggiornamenti SchemaVersion siano corretti, installare solo gli aggiornamenti dello schema Active Directory fornito da Microsoft.

Per esaminare il numero di versione nel Registro di sistema, aprire l'editor del Registro di sistema e individuare la sottochiave seguente: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\SystemSchemaVersion

Per visualizzare il numero di versione in Active Directory, usare uno dei metodi seguenti:

  • In ADSIEdit connettersi al contesto di denominazione dello schema per la foresta interessata, fare clic con il pulsante destro del mouse sull'oggetto schema , ad esempio cn=Schema,cn=configuration,dc=contoso,dc=com, e quindi scegliere Proprietà. Cercare il valore dell'attributo ObjectVersion .

  • In una finestra del prompt dei comandi in un controller di dominio eseguire un comando simile all'esempio seguente:

    Ldifde -f schemaver.ldf -d Cn=Schema,cn=configuration,dc=contoso,dc=com -l ObjectVersion

  • Al prompt dei comandi DC, eseguire un comando simile all'esempio seguente:

    dsquery * cn=schema,cn=configuration,dc=contoso,dc=com -scope base -attr objectVersion

Per riferimento, nella tabella seguente sono elencate le versioni dello schema per versioni diverse di Windows Server.

Sistema operativo Versione dello schema
Windows 2000 13
Windows Server 2003 30
Windows Server 2003 R2 31
Windows Server 2008 43
Windows Server 2008R2 47
Windows Server 2012 56
Windows Server 2012R2 69
Windows Server 2016 87
Windows Server 2019 88
Windows Server 2022 88
Windows Server 2025 91

Passaggio 2: Riavviare il controller di dominio (DC) di origine che non sta replicando l'aggiornamento.

È possibile usare questo passaggio se si applicano le condizioni seguenti:

  • Lo schema Active Directory è stato aggiornato di recente.
  • È possibile identificare uno o più controller di dominio che segnalano un problema di discrepanza dello schema persistente.
  • Questi controller di dominio utilizzano lo stesso controller di dominio di origine per la replicazione in ingresso.
  • Il controller di dominio di origine dispone delle informazioni sulla versione dello schema previste nel Registro di sistema e nella relativa replica Active Directory. Queste informazioni corrispondono alla versione aggiornata della foresta (il controller di dominio di origine ha installato l'aggiornamento corretto).

Riavviare il controller di dominio di origine.

In alcuni casi, un controller di dominio potrebbe non ricaricare correttamente la versione dello schema in memoria dopo che riceve l'aggiornamento dello schema. In questo caso, riavviare il controller di dominio per risolvere il problema.

Se il problema persiste, vedere Data per fornire a supporto tecnico Microsoft e quindi contattare supporto tecnico Microsoft per assistenza.

Risoluzione 2: Impossibile compilare l'elenco di controllo di accesso ereditato (ACL) o la voce di controllo di accesso (ACE) (Evento 1450, codice errore 1340)

Questo errore indica che il descrittore di sicurezza dell'oggetto identificato (l'attributo nTSecurityDescriptor ) è troppo grande.

Il descrittore di sicurezza contiene le informazioni ACL dell'oggetto. Queste informazioni includono gli ACL impostati direttamente sull'oggetto e gli ACL ereditati dall'oggetto padre. Windows limita l'attributo a 65.535 byte.

Per risolvere questo problema, è necessario ridurre le dimensioni del descrittore di sicurezza dell'oggetto riducendo il numero di ACL. Questo processo implica il controllo manuale del descrittore di sicurezza per identificare gli ACL applicati direttamente e gli ACL ereditati e le origini degli ACL ereditati. Se più oggetti attivano il codice di errore 1340, è possibile raccogliere in modo efficiente queste informazioni usando uno script. Per un esempio di tale script, vedere Script per calcolare le dimensioni dei descrittori di sicurezza degli oggetti.

Dati da fornire a supporto tecnico Microsoft

Se è necessaria assistenza da parte del supporto tecnico di Microsoft, raccomandiamo di raccogliere informazioni seguendo i passaggi indicati in Raccogliere informazioni utilizzando TSS per i problemi di replica di Active Directory.

Inoltre, raccogliere le informazioni seguenti per consentire al personale di supporto tecnico Microsoft di diagnosticare le cause della mancata corrispondenza dello schema. Molte di queste informazioni sono state raccolte nelle sezioni precedenti di questo articolo.

  • DCpromo registra dal controller di dominio di destinazione (se appropriato per lo scenario)

  • Repadmin /showrepl output dal controller di dominio di origine e dal controller di dominio di destinazione

  • Registri eventi di Servizi directory dal controller di dominio di origine e destinazione

  • Metadati di replica di qualsiasi oggetto problema identificato dagli errori o dagli eventi

  • Dati LDIFDE esportati di qualsiasi oggetto problema identificato dagli errori o dagli eventi

  • Dati LDIFDE della partizione dello schema esportati sia dal controller di dominio di origine che dal controller di dominio di destinazione. Per esportare queste informazioni in un file, eseguire il comando seguente al prompt dei comandi:

    Ldifde -f schema <Target_DC>.ldf -d cn=schema,cn=configuration,dc=<Domain>,dc=com -s <Target_DC>

    Note

    In questo comando, <Target_DC> rappresenta il nome del controller di dominio che contiene la replica che si desidera esportare e <Domain> è il nome del dominio radice a cui appartiene lo schema.

  • Last updated on