Поделиться через

Изменения в группах безопасности или группах рассылки не реплицируются в контроллеры домена назначения при использовании репликации значений ссылки в среде Windows Server 2003

В этой статье описывается решение проблемы, из-за которой изменения, внесенные в группы безопасности или группы рассылки, не реплицируются в контроллеры целевого домена при использовании репликации значений ссылок.

Исходный номер базы знаний: 958838

Симптомы

Рассмотрим следующий сценарий. В среде Windows Server 2003 вы устанавливаете уровень функциональности леса в лесу для Windows Server 2003 или более поздней версии Windows. Для этого необходимо применить изменения репликации значений ссылок (LVR) к членству в группах в атрибутах с поддержкой LVR. В этом сценарии могут возникнуть следующие симптомы:

  • Изменения в группе безопасности или группе рассылки, существующей на исходном контроллере домена, не реплицируются на контроллеры домена назначения. Этот симптом возникает, когда изменение членства в группе инициируется администратором или программой.

  • При выполнении repadmin /showreps команды вы получите сообщение о том, что контроллер целевого домена на основе Windows Server 2008 или Windows Server 2003 не может реплицировать входящие изменения в секцию каталога из одного или нескольких контроллеров исходного домена. В этой ситуации вы также получите ошибку Win32 8451.

    Примечание.

    Ошибка Win32 8451 соответствует ошибке ERROR_DS_DRA_DB_ERROR и следующему описанию:
    Операция репликации обнаружила ошибку базы данных.

    Затронутый контроллер домена на основе Windows Server 2008 или windows Server 2003 может не реплицировать входящие изменения, внесенные в секции только для чтения из глобальных каталогов или из контроллеров домена, в которых размещаются записи секций каталогов.

  • Контроллеры конечных контроллеров домена на основе Windows Server 2008 и Windows Server 2003 регистрируют события в журнале службы каталогов.

    Примечание.

    • Общее событие NTDS 1173 указывает на универсальный сбой репликации.
    • Дополнительное значение ошибки данных -1603 сопоставляется с валютой, а не на ошибке записи и символьным именем errNoCurrentRecord. Орфографическая ошибка в настоящее время в валюте, а не в тексте ошибки записи .
    • Исключение e0010004 соответствует ошибке DSA_DB_EXCEPTION.
    • Внутренний идентификатор 2050344 соответствует функции в коде уровня базы данных NTDS. Это число зависит от операционной системы, пакета обновления и от исправлений.

  • Контроллеры домена на основе Windows Server 2008 и Windows Server 2003 регистрируют событие службы каталогов 1692.

    Примечание.

    Это событие регистрируется при включении ведения журнала диагностики и установке значения для записи реестра событий репликации 5 или более поздней.

    Дополнительные сведения о ведении журнала диагностики NTDS см. в разделе "Настройка журнала событий диагностики Active Directory и LDS".

Эти симптомы могут возникать при внесении изменений в любой класс объектов, реплицируемый LVR, имеющий прямые ссылки. (Эти изменения класса объектов, реплицируемых LVR, также относятся к изменениям, внесенным в группы безопасности и распространения.)

Причина

Эта проблема возникает, если контроллеры домена на основе Windows Server 2008 или Windows Server 2003 останавливают входящие репликации при получении обновлений LVR объектов, которые не существуют в локальных копиях Active Directory.

В частности, эта проблема может возникнуть, если выполняются следующие условия:

  • Изменения членства, внесенные в задержку безопасности или групп рассылки на контроллерах исходного домена, реплицируются исходящей репликацией с помощью репликации значений ссылок (LVR) на контроллеры домена назначения, у которых нет экземпляра измененной группы. Например, эта проблема может возникать, когда объект удаляется, а время существования объектов могилы истекло из локальной копии Active Directory.

  • Для режима "Промежуточный" или более поздней версии для леса задан режим промежуточного режима Windows Server 2003.

  • Группы безопасности или распространения находятся либо только для чтения, либо на записываемых секциях windows Server 2003 на основе Windows Server 2003 или контроллеров исходного домена на основе Windows Server 2008, а репликация останавливается между контроллерами исходного и целевого домена.

Решение

Важно!

В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому убедитесь, что вы внимательно выполните следующие действия. Для дополнительной защиты создайте резервную копию реестра перед его изменением. В этом случае реестр можно восстановить, если возникнет проблема. Дополнительные сведения о создании резервной копии и восстановлении реестра см. в соответствующей статье базы знаний Майкрософт:
322756 Создание резервной копии и восстановление реестра Windows

Проблему можно устранить следующим способом.

  1. Выполните следующую команду repadmin на основном контроллере домена (PDC), чтобы создать файл .csv, содержащий список контроллеров домена назначения:

    repadmin /showrepl * /csv >showrepl.csv

  2. Откройте файл .csv в Excel, а затем определите ошибки репликации на контроллерах домена назначения, которые завершили сбой процесса входящей репликации и отображали ошибку Win32 8451.

  3. На контроллерах домена, которые регистрируют сообщение об ошибке Win32 8451, убедитесь, что для записи реестра событий репликации 5 для журнала диагностики задано значение 1. Для этого выполните следующие шаги.

    1. В меню Пуск выберите пункт Выполнить.

    2. В поле Открыть введите команду regedit и нажмите кнопку ОК.

    3. Найдите и щелкните следующий раздел реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics

    4. В области сведений дважды щелкните 5 событий репликации, введите 1 в поле "Значение" и нажмите кнопку "ОК".

    5. Закройте редактор реестра.

  4. На контроллерах домена назначения убедитесь, что событие службы каталогов 1692 регистрируется в журнале службы каталогов. Событие отображает изменения атрибута-члена группы безопасности или других реплицируемых lvR-реплицированных атрибутов и идентификаторов графических идентификаторов объекта.

  5. Удалите неустранимые объекты из контроллеров целевого домена на основе Windows Server 2008 или Windows Server 2003 с помощью repadmin /removelingeringobjects команды.

Внимание

Отключение функций строгой согласованности репликации в реестре контроллеров домена на основе Windows Server 2008 или Windows Server 2003 на основе назначения не возобновляет репликацию. Для разблокировки репликации секций каталогов не следует задать значение 0 для записи реестра строгой согласованности репликации.

Не следует принудительно выполнять репликацию секций каталогов на исходных контроллерах домена с помощью команды repadmin /sync или эквивалентной команды вместе с параметром /force.

Сбор данных

Если вам нужна помощь от службы поддержки Майкрософт, мы рекомендуем собрать информацию, выполнив действия, описанные в разделе "Сбор сведений" с помощью TSS для проблем с репликацией Active Directory.