Condividi tramite

Gli ID evento di replica di Active Directory 2108 e 1084 si verificano durante la replica in ingresso di Dominio di Active Directory Services

Questo articolo fornisce una soluzione a un problema a causa del quale si ottengono gli ID evento 2108 e 1084 quando si verifica la replica in ingresso del Dominio di Active Directory Services (AD DS).

Numero KB originale: 837932

Sintomi

Quando si verifica la replica in ingresso del Dominio di Active Directory Services (AD DS), un controller di dominio di destinazione registra gli eventi seguenti nel log del servizio directory:

Event ID 1084: Internal event: Active Directory Domain Services could not update the following object with changes received from the following source directory service. This is because an error occurred during the application of the changes to Active Directory Domain Services on the directory service.
Object: CN=<cn path>  
Object GUID: <objectguid>  
Source directory service: NTDSA._msdcs.<forest root DNS domain name>  
Synchronization of the directory service with the source directory service is blocked until this update problem is corrected.  
This operation will be tried again at the next scheduled replication.  
User Action:  
Restart the local computer if this condition appears to be related to low system resources (for example, low physical or virtual memory).  
Additional Data:  
Error value: <error code> <error string>

Note

Nel testo il Error value <codice> di errore e <la stringa> di errore rappresentano i valori effettivi visualizzati nella voce di log.

Event ID 2108: This event contains REPAIR PROCEDURES for the 1084 event which has previously been logged. This message indicates a specific issue with the consistency of the Active Directory Domain Services database on this replication destination. A database error occurred while applying replicated changes to the following object. The database had unexpected contents, preventing the change from being made.  
Object: CN=<cn path>  
Object GUID: <objectguid>   
Source directory service: NTDSA._msdcs.<forest root DNS domain name>

Note

Si tratta di un evento partner dell'evento 1084.

Causa

Questi eventi si verificano quando il controller di dominio non può scrivere una modifica transazionale nella copia locale del database di Active Directory.

Risoluzione

Per risolvere il problema, seguire questa procedura. Ripetere l'operazione di replica dopo ogni passaggio che apporta una modifica.

  1. Assicurarsi che sia disponibile spazio su disco sufficiente nei volumi che ospitano il database di Active Directory e quindi ripetere l'operazione. Seguire questa procedura per liberare spazio su disco aggiuntivo:

    1. Spostare i file non correlati in un altro volume.

    2. Eseguire un backup dello stato del sistema. Questo processo riduce le dimensioni dei file di log delle transazioni. Per altre informazioni, vedere Come usare la funzionalità di backup per eseguire il backup e il ripristino dei dati.

    3. Eseguire una deframmentazione offline di Active Directory. Per altre informazioni, vedere Come eseguire la deframmentazione offline del database di Active Directory.

  2. Assicurarsi che le unità fisiche che ospitano il file Ntds.dit e che i file di log delle transazioni non abbiano la compressione del file system NTFS attivata. Per confermare questa operazione, fare clic con il pulsante destro del mouse sulla lettera di unità in My Computer e quindi assicurarsi che la casella di controllo Comprimi unità per risparmiare spazio su disco non sia selezionata.

  3. Assicurarsi che le unità fisiche che ospitano il file Ntds.dit e i file di log delle transazioni vengano esclusi in modo specifico dai programmi antivirus remoti e locali. Per altre informazioni, vedi:

  4. Se il controller di dominio di destinazione contiene il catalogo globale e l'errore si verifica in una delle partizioni di sola lettura, utilizzare uno dei metodi seguenti per risolvere il problema:

    • Metodo 1: usare l'opzione rehost dello strumento Repadmin.exe per eseguire il rehosting della partizione interessata.

      Lo strumento Repadmin.exe viene installato nei computer con il ruolo controller di dominio e viene installato insieme agli strumenti di amministrazione remota del server nelle workstation e nei server membri. A tale scopo, digitare quanto segue al prompt dei comandi, dove domain_controller è il nome del controller di dominio di destinazione e good_source_domain_controller_name è il nome di un altro controller di dominio:

      repadmin /rehost domain_controller naming_context good_source_domain_controller_name

    • Metodo 2: configurare il controller di dominio in modo che non sia più un server di catalogo globale. Seguire questa procedura:

      1. Selezionare Start, strumenti di amministrazione e quindi siti e servizi di Active Directory.
      2. Individuare il sottoalbero Default-First-Site-Name\ Servers\ domain_controller_name\ sottoalbero Impostazioni NTDS.
      3. Fare clic con il pulsante destro del mouse su Impostazioni NTDS, quindi scegliere Proprietà.
      4. Selezionare questa opzione per deselezionare la casella di controllo Catalogo globale e quindi selezionare OK.

    • Metodo 3

      Se l'errore si verifica in una partizione di programma, usare lo strumento Ntdsutil.exe per modificare la replica che ospita la partizione del programma.

  5. Usare un'utilità di terze parti, ad esempio l'utilità ProcMon, per determinare se un programma o un utente accede al database di Active Directory, ai file di log delle transazioni o al file Edp.tmp . Se esiste un'attività di accesso ai file, arrestare i servizi responsabili dell'attività. Per altre informazioni sull'utilità ProcMon, vedere ProcMon.

  6. Determinare se il problema è correlato all'elemento padre dell'oggetto Active Directory nel controller di dominio di destinazione. A tale scopo, effettuare i passaggi seguenti:

    1. Nel controller di dominio di origine spostare temporaneamente l'oggetto a cui si fa riferimento nell'evento 1084 in un contenitore di unità organizzativa.On the source domain controller, move temporaneamente the object that is referenced in Event 1084 to an organizational unit (OU) container. L'unità organizzativa deve non essere correlata al contenitore corrente. Ad esempio, spostare l'oggetto in un nuovo contenitore dalla radice del dominio.

    2. Se la replica viene completata dopo lo spostamento dell'oggetto, spostare nuovamente l'oggetto nel contenitore originale.

    3. Forzare il propagatore del descrittore di sicurezza per ricompilare l'origine del contenitore di oggetti nel database esistente nei controller di dominio di origine e di destinazione. A tale scopo, effettuare i passaggi seguenti:

      1. Aprire un prompt dei comandi con privilegi elevati nel controller di dominio o nel client Windows con Strumenti di amministrazione remota del server installato.

      2. Digitare ldp.exe nome del controller> di dominio <e premere INVIO.

      3. Selezionare Connessione>connetti e quindi digitare il nome del server a cui connettersi.

        Note

        Ci si connetterà sulla porta 389 per Active Directory.

      4. Selezionare Associazione connessione>e quindi digitare il nome utente amministrativo, la password e il dominio. È necessario usare le credenziali di amministratore di dominio o amministratore dell'organizzazione. Selezionare OK.

      5. Scegliere Modifica dal menu Sfoglia. Lasciare vuota la casella di testo DN . Nella casella di testo Attributo digitare FixUpInheritance. Selezionare nella casella di testo Valore .

      6. Nell'area Operazione selezionare Aggiungi.

      7. Selezionare Invio per popolare l'area Elenco voci.

        Note

        Nell'area Elenco voci viene visualizzato [Aggiungi]fixupinheritance:yes .

      8. Selezionare Esegui.

        Note

        Il riquadro destro mostra ora lo stato Modificato e il descrittore di sicurezza viene avviato. Il runtime per il descrittore di sicurezza propagatore dipende dalle dimensioni del database di Active Directory. Il processo viene completato quando il contatore Eventi di propagazione della sicurezza DS nell'oggetto PRESTAZIONI NTDS torna a zero.

      9. Selezionare Chiudi connessione>esci.>

  7. Nel controller di dominio di origine digitare repadmin /showmeta distinguished_name_path al prompt dei comandi e quindi visualizzare i metadati dell'oggetto per il percorso del nome distinto a cui si fa riferimento nell'evento 1084. Ripetere questo passaggio nel controller di dominio di destinazione. Cercare valori incoerenti che includono, ma non solo, quanto segue:

    • Nomi e numeri non corretti di attributi visualizzati nell'oggetto
    • Indicatori di data o ora di origine non corretti
    • Numeri di sequenza di aggiornamento locale non corretti (USN)

    I valori non corretti possono indicare un problema con la pagina del database che ospita l'oggetto .

    Per usare lo strumento Repadmin.exe quando il percorso del nome distinto fa riferimento a un oggetto attivo, digitare quanto segue al prompt dei comandi:

    repadmin /showmeta remote_domain_controller_name distinguished_name_path_of_reference _object

    Se l'oggetto si trova in un contenitore di oggetti eliminati o se non è possibile utilizzare lo strumento Repadmin.exe per trovare l'oggetto, utilizzare il riferimento GUID dell'oggetto per trovare l'oggetto. Questo GUID viene fatto riferimento all'evento 1084. A tale scopo, digitare quanto segue al prompt dei comandi:

    repadmin /showmeta remote_domain_controller_name "GUID_for_the_object that_is_referenced_in_Event_ID_1084"

    Ad esempio, se l'evento 1084 e l'evento 2108 fanno riferimento a un oggetto in cui il GUID è b49cd496-98a2-4500-bb08-58550c2f79ac, digitare repadmin /showmeta "<GUID=b49cd496-98a2-4500-bb08-58550c2f79ac>".

    Note

    Le virgolette e le parentesi quadre sono obbligatorie.

  8. Usare lo strumento Ntdsutil.exe per eseguire un controllo di integrità del database di Active Directory nel controller di dominio di origine.

    Prima di avviare il computer in modalità ripristino servizi directory (DSRM), ottenere la password per l'account amministratore offline e l'account DSRM. Se le password dell'account DSRM vengono gestite da Windows LAPS, ottenere la password usando Get-LapsADPassword.

    Se non si conosce la password dell'account amministratore, reimpostare la password della modalità di ripristino dei servizi directory prima di iniziare in questa modalità.

    Usare il comando Ntdsutil Set Directory Services Restore Mode Password .Use the Ntdsutil Set Directory Services Restore Mode Password command.

    Per altre informazioni su come modificare la password, vedere il messaggio di errore "Impossibile avviare Servizi directory" quando si avvia il controller di dominio basato su Windows o SBS.

  9. Riavviare il controller di dominio di origine e quindi premere F8 per avviare la modalità di ripristino dei servizi directory. Nel prompt dei comandi, digitare ntdsutil files integrity e quindi premere INVIO.

    Note

    Questo comando conferma l'integrità del database.

    • Se lo strumento Ntdsutil segnala che il database è danneggiato e si dispone di repliche dei contesti di denominazione nel controller di dominio di origine, forzare un abbassamento di livello del controller di dominio di origine e quindi riprovarlo dopo aver verificato l'integrità dei driver, del firmware e delle unità fisiche che ospitano il database di Active Directory e i file di log delle transazioni.

    • Se il database è danneggiato e non esistono repliche del contesto di denominazione nel controller di dominio di origine, ripristinare lo stato del sistema più recente. Usare lo strumento NTDSutil.exe per confermare di nuovo l'integrità del database. Se si riceve ancora un messaggio di danneggiamento, ripristinare i backup meno recenti fino a quando non è possibile confermare l'integrità del controller di dominio.

    • Se il database è ancora danneggiato, ripristinare il backup dello stato del sistema più recente e quindi, al prompt dei comandi, digitare:

      ntdsutil files recover

      Usare lo strumento NTDSutil.exe confermare di nuovo l'integrità del database. Se il database supera il controllo di integrità, eseguire una deframmentazione offline della partizione del disco. Per altre informazioni, vedere Come eseguire la deframmentazione offline del database di Active Directory.

      Per eseguire un controllo di integrità del database, digitare quanto segue al prompt dei comandi e quindi premere INVIO, dove database_name è il nome del database di Active Directory:

      esentutl.exe /g database_name

      Infine, usare l'opzione Avvia Windows Normalmente per riavviare il computer e quindi ripetere la replica dal controller di dominio di origine al controller di dominio di destinazione interessato.

  10. Se questi passaggi non hanno esito positivo e l'errore di replica continua, abbassare di livello il controller di dominio, confermare l'integrità delle unità fisiche e dei volumi che ospitano il file Ntds.dit e il sottosistema del disco e quindi alzare di nuovo di livello il controller di dominio. Usare lo stesso nome computer.

  11. Usare il comando ntdsutil files compact per eseguire una deframmentazione offline del database di Active Directory. Per altre informazioni, vedere Esecuzione della deframmentazione offline del database di Active Directory.

  12. Al prompt dei comandi, digitare il comando seguente e quindi premere INVIO:

    ntdsutil "semantic database analysis" "go"

    Note

    Le virgolette in questo esempio sono necessarie per eseguire il comando di analisi semantica del database usando un singolo argomento della riga di comando.

    Se vengono segnalati errori, digitare ntdsutil go fixupe quindi premere INVIO.

Raccolta dei dati

Se è necessaria assistenza dal supporto tecnico Microsoft, è consigliabile raccogliere le informazioni seguendo i passaggi indicati in Raccogliere informazioni usando TSS per i problemi di replica di Active Directory.

Dichiarazione di non responsabilità sulle informazioni di terze parti

I prodotti di terzi citati in questo articolo sono prodotti da società indipendenti da Microsoft. Microsoft non rilascia alcuna garanzia implicita o esplicita relativa alle prestazioni o all'affidabilità di tali prodotti