Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье показано, как устранить проблему, которая возникает, если изменения, внесенные на локальном контроллере домена, также выполняются на контроллере домена, в котором содержится роль главного контроллера операций PDC.
Исходный номер базы знаний: 306091
Итоги
Одновременные изменения атрибутов объектов Active Directory на разных контроллерах домена могут привести к столкновению Active Directory для обновления. При этом может быть зарегистрировано предупреждение репликации NTDS 1083 или 1061, а также идентификатор ошибки SAM 12294.
Дополнительная информация
Следующие события могут быть зарегистрированы, если активируется немедленная репликация (например, при срочной репликации для условия блокировки пользователя) и сталкивается с локальным обновлением Active Directory:
Тип события: предупреждение
Источник событий: репликация NTDS
Категория событий: репликация
Идентификатор события: 1083
Описание.
Предупреждение о репликации: каталог занят. Не удалось обновить объект CN=... с изменениями, внесенными каталогом GUID._msdcs.domain. Повторите попытку позже.
Это означает, что неудачная попытка удаленного запуска обновления, которая будет выполнена позже:
Тип события: предупреждение
Источник событий: репликация NTDS
Категория событий: репликация
Идентификатор события: 1061
Описание.
Внутренняя ошибка: вызов агента репликации каталогов (DRA) вернул ошибку 8438.
(десятичный 8438 / шестнадцатеричный 0x20f6: ERROR_DS_DRA_BUSY, winerror.h)
Если включено расширенное ведение журнала NTDS, также может быть зарегистрирован следующий идентификатор ошибки:
Тип события: предупреждение
Источник событий: общие данные NTDS
Категория событий: внутренняя обработка
Идентификатор события: 1173
Описание.
Внутреннее событие: исключение e0010004 произошло с параметрами -1102 и 0 (внутренний идентификатор 2030537).
(Идентификатор JetDataBase -1102: JET_errWriteConflict -1102, блокировка записи завершилась ошибкой из-за неустанной блокировки записи)
Если для ведения журнала NTDS задано значение 4 (Подробные сведения) или выше в записи HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Diagnostics\ событий репликации подраздела, может также быть зарегистрирован следующий идентификатор ошибки:
Тип события: предупреждение
Источник событий: событие репликации NTDS
Категория: репликация
Идентификатор события: 1413
Описание.
Следующие изменения объектов не были применены к локальной базе данных Active Directory, так как локальные метаданные для объекта указывают на то, что изменение является избыточным.
Если удаленно активированное обновление выигрывает от локального обновления, для блокировки учетной записи пользователя может быть зарегистрировано следующее системное событие:
Тип события: ошибка
Источник событий: SAM
Категория события: нет
Идентификатор события: 12294
Пользователь: идентификатор безопасности пользователя
Описание.
База данных SAM не смогла заблокировать учетную запись пользователя из-за ошибки ресурса, например сбой записи жесткого диска (конкретный код ошибки находится в данных об ошибке). Учетные записи блокируются после предоставления определенного количества неправильных паролей, поэтому рассмотрите возможность сброса пароля учетной записи, указанной выше.
Данные: 0000: c00002a5
Чтобы получить правильное условие ошибки, необходимо проанализировать данные об ошибке. Шестнадцатеричные 0xc00002a5 данных DWord = десятичные 1073741147: STATUS_DS_BUSY, ntstatus.h).
После предупреждений событие сведений NTDS регистрируется в журнале, которое сообщает, что обновление в очереди уже сделано (с таким же идентификатором версии) и игнорируется как избыточное:
Тип события: сведения
Источник событий: репликация NTDS
Категория событий: репликация
Идентификатор события: 1413
Описание.
Свойство 90296 (lockoutTime) объекта CN=username,OU=... не применяется к локальной базе данных, так как ее локальные метаданные подразумевают, что изменение является избыточным. Локальная версия — (идентификатор версии).
Если это условие существует, ошибка репликации не произошла. Active Directory согласован, и вы можете безопасно игнорировать полученные журналы событий.
На компьютере под управлением Microsoft Windows Server можно также определить, произошла ли ошибка репликации, экспортируя метаданные репликации объекта. Для этого выполните в командной строке следующую команду:
repadmin /showobjmeta <domainController> <objectDN>
Примечание.
В этой команде выполните следующие замены заполнителей:
- Замените заполнитель domainController именем узла контроллера домена.
- Замените заполнитель objectDN различимым именем затронутого объекта.
В выходных данных, создаваемых этой командой, сопоставляйте время последнего обновления атрибута с временем регистрации событий. Из этих сведений можно определить, какой атрибут вызвал ошибку репликации.
Как правило, эта проблема возникает с атрибутом lockoutTime или одним из атрибутов пароля. В таких случаях можно безопасно игнорировать события. События происходят, так как изменения, происходящие на основном контроллере домена (PDC), также записываются в локальный контроллер домена. В то же время изменение реплицируется между контроллерами домена. Для lockoutTime изменение реплицируется срочно на сайте PDC.
Из-за коротких интервалов уведомлений репликации, которые могут быть в Microsoft Windows Server, может возникнуть столкновение репликации на том же сайте PDC. Изменения паролей являются одним из примеров сценария, в котором может возникнуть конфликт репликации. Это происходит, так как контроллер домена перенаправит новые пароли в PDC. Затем PDC и локальный контроллер домена реплицируют измененные сведения о пароле. Таким образом, на другом контроллере домена на одном сайте может произойти столкновение репликации. Дополнительные сведения о уведомлении репликации щелкните следующий номер статьи, чтобы просмотреть статью в Базе знаний Майкрософт:
214678 Изменение интервала репликации контроллера домена внутри сайта по умолчанию
Чтобы уменьшить создание событий столкновения репликации, настройте PDC на сайте, на который не имеются другие контроллеры домена или клиентские компьютеры. В этом сценарии PDC не реплицирует обновления, которые он получает. Таким образом, вы можете снизить риск конфликтов репликации. В большом домене этот метод можно использовать для уменьшения нагрузки на PDC.
Сбор данных
Если вам нужна помощь от службы поддержки Майкрософт, мы рекомендуем собрать информацию, выполнив действия, описанные в разделе "Сбор сведений" с помощью TSS для проблем с репликацией Active Directory.