Identyfikatory zdarzeń replikacji usługi Active Directory 2108 i 1084 występują podczas replikacji przychodzącej usług Active Directory Domain Services

Ten artykuł zawiera rozwiązanie problemu polegającego na uzyskaniu identyfikatorów zdarzeń 2108 i 1084 podczas replikacji przychodzącej usług Active Directory Domain Services (AD DS).

Dotyczy: Obsługiwane wersje systemu Windows Server
Oryginalny numer KB: 837932

Symptomy

W przypadku replikacji przychodzącej usług Active Directory Domain Services (AD DS) docelowy kontroler domeny rejestruje następujące zdarzenia w dzienniku usługi katalogowej:

Event ID 1084: Internal event: Active Directory Domain Services could not update the following object with changes received from the following source directory service. This is because an error occurred during the application of the changes to Active Directory Domain Services on the directory service.
Object: CN=<cn path>  
Object GUID: <objectguid>  
Source directory service: NTDSA._msdcs.<forest root DNS domain name>  
Synchronization of the directory service with the source directory service is blocked until this update problem is corrected.  
This operation will be tried again at the next scheduled replication.  
User Action:  
Restart the local computer if this condition appears to be related to low system resources (for example, low physical or virtual memory).  
Additional Data:  
Error value: <error code> <error string>

Uwaga

W tekście Error value<kod> błędu i <ciąg> błędu reprezentują rzeczywiste wartości, które są wyświetlane we wpisie dziennika.

Event ID 2108: This event contains REPAIR PROCEDURES for the 1084 event which has previously been logged. This message indicates a specific issue with the consistency of the Active Directory Domain Services database on this replication destination. A database error occurred while applying replicated changes to the following object. The database had unexpected contents, preventing the change from being made.  
Object: CN=<cn path>  
Object GUID: <objectguid>   
Source directory service: NTDSA._msdcs.<forest root DNS domain name>

Uwaga

Jest to zdarzenie partnerskie zdarzenia 1084.

Przyczyna

Te zdarzenia występują, gdy kontroler domeny nie może zapisać zmiany transakcyjnej w lokalnej kopii bazy danych usługi Active Directory.

Rozwiązanie

Aby rozwiązać ten problem, wykonaj następujące kroki. Ponów próbę wykonania operacji replikacji po każdym kroku, który wprowadza zmianę.

1. Upewnij się, że na woluminach, które hostują bazę danych usługi Active Directory, jest dostępna wystarczająca ilość wolnego miejsca na dysku, a następnie ponów próbę wykonania operacji. Wykonaj następujące kroki, aby zwolnić dodatkowe miejsce na dysku:

   1. Przenieś niepowiązane pliki do innego woluminu.

   2. Wykonaj kopię zapasową stanu systemu. Ten proces zmniejsza rozmiar plików dziennika transakcji. Aby uzyskać więcej informacji, zobacz Jak używać funkcji tworzenia kopii zapasowych do tworzenia kopii zapasowych i przywracania danych.

   3. Wykonaj defragmentację usługi Active Directory w trybie offline. Aby uzyskać więcej informacji, zobacz Jak wykonać defragmentację bazy danych usługi Active Directory w trybie offline.

2. Upewnij się, że dyski fizyczne hostujące plik Ntds.dit i pliki dziennika transakcji nie mają włączonej kompresji systemu plików NTFS. Aby to potwierdzić, kliknij prawym przyciskiem myszy literę dysku w obszarze Mój komputer, a następnie upewnij się, że pole wyboru Kompresuj dysk w celu zapisania miejsca na dysku nie jest zaznaczone.

3. Upewnij się, że dyski fizyczne hostujące plik Ntds.dit i pliki dziennika transakcji są wyraźnie wykluczone ze zdalnych i lokalnych programów antywirusowych. Więcej informacji można znaleźć w następujących artykułach:

   • Wykluczenia programu antywirusowego Microsoft Defender w systemie Windows Server
   • Zalecenia dotyczące skanowania wirusów dla komputerów z systemem Enterprise z systemem Windows lub Windows Server (KB822158)

4. Jeśli docelowy kontroler domeny zawiera wykaz globalny, a błąd występuje w jednej z partycji tylko do odczytu, użyj jednej z następujących metod, aby rozwiązać problem:

   • Metoda 1. Użyj opcji ponownego hostowania narzędzia Repadmin.exe , aby ponownie hostować partycję, której dotyczy problem.

     Narzędzie Repadmin.exe jest instalowane na komputerach z rolą kontrolera domeny i jest instalowane razem z narzędziami administracji zdalnej serwera (RSAT) na stacjach roboczych i serwerach członkowskich. W tym celu wpisz następujące polecenie w wierszu polecenia, gdzie domain_controller jest nazwą docelowego kontrolera domeny, a good_source_domain_controller_name jest nazwą innego kontrolera domeny:

     repadmin /rehost domain_controller naming_context good_source_domain_controller_name
     

   • Metoda 2. Skonfiguruj kontroler domeny tak, aby nie był już serwerem wykazu globalnego. Wykonaj następujące czynności:

     1. Wybierz pozycję Start, wskaż pozycję Narzędzia administracyjne, a następnie wybierz pozycję Lokacje i usługi Active Directory.
     2. Znajdźdomyślne serwerynazw \ pierwszej lokacji\ domain_controller_name \ poddrzewoustawień NTDS.
     3. Kliknij prawym przyciskiem myszy pozycję Ustawienia NTDS, a następnie wybierz pozycję Właściwości.
     4. Zaznacz, aby wyczyścić pole wyboru Wykaz globalny , a następnie wybierz przycisk OK.

   • Metoda 3

     Jeśli błąd występuje w partycji programu, użyj narzędzia Ntdsutil.exe , aby zmienić replikę hostującą partycję programu.

5. Użyj narzędzia innej firmy, takiego jak narzędzie ProcMon, aby określić, czy program lub użytkownik uzyskuje dostęp do bazy danych usługi Active Directory, plików dziennika transakcji lub pliku Edp.tmp . Jeśli istnieje działanie dostępu do plików, zatrzymaj usługi odpowiedzialne za działanie. Aby uzyskać więcej informacji na temat narzędzia ProcMon, zobacz ProcMon.

6. Określ, czy problem jest związany z obiektem nadrzędnym obiektu usługi Active Directory na docelowym kontrolerze domeny. Aby to zrobić, wykonaj następujące kroki.

   1. Na źródłowym kontrolerze domeny tymczasowo przenieś obiekt, do którego odwołuje się zdarzenie 1084, do kontenera jednostki organizacyjnej (OU). Jednostka organizacyjna musi nie być powiązana z bieżącym kontenerem. Na przykład przenieś obiekt do nowego kontenera poza katalog główny domeny.

   2. Jeśli replikacja zostanie zakończona po przeniesieniu obiektu, przenieś obiekt z powrotem do oryginalnego kontenera.

   3. Wymuś propagator deskryptora zabezpieczeń, aby ponownie skompilować element źródłowy kontenera obiektów w bazie danych, która istnieje zarówno na źródłowym, jak i docelowym kontrolerze domeny. Aby to zrobić, wykonaj następujące kroki.

      1. Otwórz wiersz polecenia z podwyższonym poziomem uprawnień na kontrolerze domeny lub kliencie systemu Windows z zainstalowanym narzędziem RSAT.

      2. Wpisz ldp.exe nazwa> kontrolera <domeny i naciśnij klawisz Enter.

      3. Wybierz pozycję Połącz połączenie>, a następnie wpisz nazwę serwera, z którym chcesz nawiązać połączenie.

         Uwaga

         Połączysz się za pośrednictwem portu 389 dla usługi Active Directory.

      4. Wybierz pozycję Powiązanie połączenia>, a następnie wpisz nazwę użytkownika administracyjnego, hasło i domenę. (Musisz użyć poświadczeń administratora domeny lub administratora przedsiębiorstwa). Wybierz przycisk OK.

      5. W menu Przeglądaj wybierz pozycję Modyfikuj. Pozostaw pole tekstowe DN puste. W polu tekstowym Atrybut wpisz FixUpInheritance. Wybierz pozycję Tak w polu tekstowym Wartość .

      6. W obszarze Operacja wybierz pozycję Dodaj.

      7. Wybierz pozycję Enter , aby wypełnić obszar Lista wpisów .

         Uwaga

         W obszarze Lista wpisów zostanie wyświetlony komunikat [Add]fixupinheritance:yes .

      8. Wybierz pozycję Uruchom.

         Uwaga

         W okienku po prawej stronie jest teraz wyświetlany stan Zmodyfikowany i uruchamiany jest propagator deskryptora zabezpieczeń. Środowisko uruchomieniowe propagatora deskryptora zabezpieczeń zależy od rozmiaru bazy danych usługi Active Directory. Proces jest zakończony, gdy licznik Zdarzeń propagacji zabezpieczeń usług DS w obiekcie NTDS Performance zwraca wartość zero.

      9. Wybierz pozycję Zamknij>zakończenie połączenia>.

7. Na źródłowym kontrolerze domeny wpisz repadmin /showmeta distinguished_name_path w wierszu polecenia, a następnie wyświetl metadane obiektu dla ścieżki nazwy wyróżnianej, do którego odwołuje się zdarzenie 1084. Powtórz ten krok na docelowym kontrolerze domeny. Poszukaj niespójnych wartości, które obejmują, ale nie są ograniczone do następujących:

   • Nieprawidłowe nazwy i liczby atrybutów, które pojawiają się w obiekcie
   • Nieprawidłowe sygnatury czasu lub daty źródłowej
   • Nieprawidłowe numery lokalnej sekwencji aktualizacji (USN)

   Nieprawidłowe wartości mogą wskazywać na problem ze stroną bazy danych hostującą obiekt.

   Aby użyć narzędzia Repadmin.exe , gdy ścieżka nazwy wyróżnianej odwołuje się do obiektu aktywnego, wpisz następujące polecenie w wierszu polecenia:

   repadmin /showmeta remote_domain_controller_name distinguished_name_path_of_reference _object
   

   Jeśli obiekt znajduje się w usuniętym kontenerze obiektów lub jeśli nie możesz użyć narzędzia Repadmin.exe do znalezienia obiektu, użyj odwołania identyfikatora GUID obiektu, aby znaleźć obiekt. Do tego identyfikatora GUID odwołuje się zdarzenie 1084. W tym celu wpisz następujące polecenie w wierszu polecenia:

   repadmin /showmeta remote_domain_controller_name "GUID_for_the_object that_is_referenced_in_Event_ID_1084"
   

   Jeśli na przykład zdarzenie 1084 i zdarzenie 2108 odwołują się do obiektu, w którym identyfikator GUID to b49cd496-98a2-4500-bb08-58550c2f79ac, wpisz repadmin /showmeta "<GUID=b49cd496-98a2-4500-bb08-58550c2f79ac>".

   Uwaga

   Znaki cudzysłowu i nawiasy są wymagane.

8. Użyj narzędzia Ntdsutil.exe , aby sprawdzić integralność bazy danych usługi Active Directory na źródłowym kontrolerze domeny.

   Przed uruchomieniem komputera w trybie przywracania usług katalogowych (DSRM) uzyskaj hasło dla konta administratora offline i konta DSRM. Jeśli hasła kont DSRM są zarządzane przez usługę LAPS systemu Windows, uzyskaj hasło przy użyciu polecenia Get-LapsADPassword.

   Jeśli nie znasz hasła konta administratora, przed rozpoczęciem pracy w tym trybie zresetuj hasło trybu przywracania usług katalogowych.

   Użyj polecenia Ntdsutil Ustaw tryb przywracania usług katalogowych Hasło.

   Aby uzyskać więcej informacji na temat sposobu zmiany hasła, zobacz komunikat o błędzie "Usługi katalogowe nie mogą uruchomić" podczas uruchamiania kontrolera domeny opartego na systemie Windows lub SBS.

9. Uruchom ponownie źródłowy kontroler domeny, a następnie naciśnij klawisz F8 , aby uruchomić tryb przywracania usług katalogowych. W wierszu polecenia wpisz ntdsutil files integrity, a następnie naciśnij klawisz Enter.

   Uwaga

   To polecenie potwierdza integralność bazy danych.

   • Jeśli narzędzie Ntdsutil zgłasza, że baza danych jest uszkodzona i masz repliki kontekstów nazewnictwa na źródłowym kontrolerze domeny, wymuś obniżenie poziomu źródłowego kontrolera domeny, a następnie ponownie podwyższ poziom po sprawdzeniu integralności sterowników, oprogramowania układowego oraz dysków fizycznych hostujących bazę danych usługi Active Directory i pliki dziennika transakcji.

   • Jeśli baza danych jest uszkodzona i nie istnieją repliki kontekstu nazewnictwa na źródłowym kontrolerze domeny, przywróć najnowszy stan systemu. Użyj narzędzia NTDSutil.exe, aby ponownie potwierdzić integralność bazy danych. Jeśli nadal jest wyświetlany komunikat o uszkodzeniu, przywróć starsze kopie zapasowe do momentu potwierdzenia integralności kontrolera domeny.

   • Jeśli baza danych jest nadal uszkodzona, przywróć najnowszą kopię zapasową stanu systemu, a następnie w wierszu polecenia wpisz:

     ntdsutil files recover
     

     Użyj narzędzia NTDSutil.exe ponownie potwierdź integralność bazy danych. Jeśli baza danych przejdzie sprawdzanie integralności, wykonaj defragmentację partycji dysku w trybie offline. Aby uzyskać więcej informacji, zobacz Jak wykonać defragmentację bazy danych usługi Active Directory w trybie offline.

     Aby sprawdzić integralność bazy danych, wpisz następujące polecenie w wierszu polecenia, a następnie naciśnij klawisz Enter, gdzie database_name jest nazwą bazy danych usługi Active Directory:

     esentutl.exe /g database_name
     

     Na koniec użyj opcji Uruchom system Windows normalnie, aby ponownie uruchomić komputer, a następnie ponów próbę replikacji ze źródłowego kontrolera domeny do docelowego kontrolera domeny, którego dotyczy problem.

10. Jeśli te kroki nie powiodą się, a błąd replikacji będzie kontynuowany, obniż poziom kontrolera domeny, potwierdź integralność dysków fizycznych i woluminów hostowanych w pliku Ntds.dit i podsystemie dysku, a następnie ponownie podwyższ poziom kontrolera domeny. Użyj tej samej nazwy komputera.

11. Użyj polecenia ntdsutil files compact, aby wykonać defragmentację bazy danych usługi Active Directory w trybie offline. Aby uzyskać więcej informacji, zobacz Wykonywanie defragmentacji bazy danych usługi Active Directory w trybie offline .

12. W wierszu polecenia wpisz następujące polecenie, a następnie naciśnij klawisz Enter:

    ntdsutil "semantic database analysis" "go"
    

    Uwaga

    Znaki cudzysłowu w tym przykładzie są wymagane do uruchomienia semantycznego polecenia analizy bazy danych przy użyciu pojedynczego argumentu wiersza polecenia.

    Jeśli zgłoszono błędy, wpisz ntdsutil go fixup, a następnie naciśnij klawisz Enter.

Zbieranie danych

Jeśli potrzebujesz pomocy ze strony pomocy technicznej firmy Microsoft, zalecamy zebranie informacji, wykonując kroki wymienione w temacie Zbieranie informacji przy użyciu usługi TSS w przypadku problemów z replikacją usługi Active Directory.

Zastrzeżenie dotyczące innych firm

Produkty innych firm omówione w tym artykule są wytwarzane przez producentów niezależnych od firmy Microsoft. Firma Microsoft nie udziela żadnych gwarancji, dorozumianych ani żadnego innego rodzaju, w odniesieniu do wydajności lub niezawodności tych produktów.