Active Directory çoğaltma olayı kimlikleri 2108 ve 1084, Active Directory Etki Alanı Hizmetlerinin gelen çoğaltması sırasında gerçekleşir

Bu makalede, Active Directory Etki Alanı Hizmetleri'nin (AD DS) gelen çoğaltması gerçekleştiğinde 2108 ve 1084 olay kimliklerini almanıza neden olan bir soruna çözüm sağlanır.

Özgün KB numarası: 837932

Belirtiler

Active Directory Etki Alanı Hizmetleri'nin (AD DS) gelen çoğaltması gerçekleştiğinde, hedef etki alanı denetleyicisi Dizin Hizmeti günlüğünde aşağıdaki olayları günlüğe kaydeder:

Event ID 1084: Internal event: Active Directory Domain Services could not update the following object with changes received from the following source directory service. This is because an error occurred during the application of the changes to Active Directory Domain Services on the directory service.
Object: CN=<cn path>  
Object GUID: <objectguid>  
Source directory service: NTDSA._msdcs.<forest root DNS domain name>  
Synchronization of the directory service with the source directory service is blocked until this update problem is corrected.  
This operation will be tried again at the next scheduled replication.  
User Action:  
Restart the local computer if this condition appears to be related to low system resources (for example, low physical or virtual memory).  
Additional Data:  
Error value: <error code> <error string>

Not

Metinde Error value hata kodu> ve <hata dizesi>, <günlük girişinde gösterilen gerçek değerleri temsil eder.

Event ID 2108: This event contains REPAIR PROCEDURES for the 1084 event which has previously been logged. This message indicates a specific issue with the consistency of the Active Directory Domain Services database on this replication destination. A database error occurred while applying replicated changes to the following object. The database had unexpected contents, preventing the change from being made.  
Object: CN=<cn path>  
Object GUID: <objectguid>   
Source directory service: NTDSA._msdcs.<forest root DNS domain name>

Not

Bu, Olay 1084'e yapılan bir iş ortağı olayıdır.

Neden

Bu olaylar, etki alanı denetleyicisi Active Directory veritabanının yerel kopyasına işlem değişikliği yazamadığında oluşur.

Çözüm

Bu sorunu çözmek için aşağıdaki adımları izleyin. Değişiklik yapan her adımdan sonra çoğaltma işlemini yeniden deneyin.

1. Active Directory veritabanını barındıran birimlerde yeterli boş disk alanı olduğundan emin olun ve işlemi yeniden deneyin. Ek disk alanı açmak için şu adımları izleyin:

   1. İlişkisiz dosyaları başka bir birime taşıyın.

   2. Sistem durumu yedeklemesi gerçekleştirme. Bu işlem işlem günlüğü dosyalarının boyutunu küçültür. Daha fazla bilgi için bkz . Verileri yedeklemek ve geri yüklemek için yedekleme özelliğini kullanma.

   3. Active Directory'nin çevrimdışı birleştirmesini gerçekleştirin. Daha fazla bilgi için bkz . Active Directory veritabanının çevrimdışı birleştirilmesini gerçekleştirme.

2. Ntds.dit dosyasını barındıran fiziksel sürücülerde ve işlem günlüğü dosyalarında NTFS dosya sistemi sıkıştırmasının açık olmadığından emin olun. Bunu onaylamak için Bilgisayarım'da sürücü harfine sağ tıklayın ve disk alanından tasarruf etmek için sürücüyü sıkıştır onay kutusunun seçili olmadığından emin olun.

3. Ntds.dit dosyasını barındıran fiziksel sürücülerin ve işlem günlüğü dosyalarının özellikle uzak ve yerel virüsten koruma programlarının dışında tutulduğundan emin olun. Daha fazla bilgi için bkz.

   • Windows Server'da Microsoft Defender Virüsten Koruma dışlamaları
   • Windows veya Windows Server çalıştıran Enterprise bilgisayarlar için virüs tarama önerileri (KB822158)

4. Hedef etki alanı denetleyicisi genel kataloğu içeriyorsa ve hata salt okunur bölümlerden birinde oluşuyorsa, sorunu çözmek için aşağıdaki yöntemlerden birini kullanın:

   • Yöntem 1: Etkilenen bölümü yeniden barındırmak için Repadmin.exe aracının yeniden barındırma seçeneğini kullanın.

     Repadmin.exe aracı, etki alanı denetleyicisi rolüne sahip bilgisayarlara yüklenir ve üye iş istasyonları ve sunucularda Uzak Sunucu Yönetim Araçları (RSAT) ile birlikte yüklenir. Bunu yapmak için, komut istemine aşağıdakileri yazın. Burada domain_controller hedef etki alanı denetleyicisinin adı ve good_source_domain_controller_name başka bir etki alanı denetleyicisinin adıdır:

     repadmin /rehost domain_controller naming_context good_source_domain_controller_name
     

   • Yöntem 2: Etki alanı denetleyicisini, artık genel katalog sunucusu olmayacak şekilde yapılandırın. Şu adımları izleyin:

     1. Başlat'ı seçin, Yönetim Araçları'nın üzerine gelin ve ardından Active Directory Siteleri ve Hizmetleri'ni seçin.
     2. NTDS Ayarları alt ağacını domain_controller_name\ Default-First-Site-Name\ Servers\ öğesini bulun.
     3. NTDS Ayarları'nı sağ tıklatın ve özellikler'i seçin.
     4. Genel Katalog onay kutusunu temizlemek için seçin ve ardından Tamam'ı seçin.

   • Yöntem 3

     Hata bir program bölümünde oluşursa, program bölümünü barındıran çoğaltmayı değiştirmek için Ntdsutil.exe aracını kullanın.

5. Bir programın veya kullanıcının Active Directory veritabanına mı, işlem günlüğü dosyalarına mı yoksa Edp.tmp dosyasına mı eriştiğini belirlemek için ProcMon yardımcı programı gibi bir üçüncü taraf yardımcı programı kullanın. Dosya erişim etkinliği varsa, etkinlikten sorumlu hizmetleri durdurun. ProcMon yardımcı programı hakkında daha fazla bilgi için bkz . ProcMon.

6. Sorunun hedef etki alanı denetleyicisindeki Active Directory nesnesinin üst öğesiyle ilgili olup olmadığını belirleyin. Bunun için aşağıdaki adımları izleyin:

   1. Kaynak etki alanı denetleyicisinde, Olay 1084'te başvuruda bulunan nesneyi geçici olarak bir kuruluş birimi (OU) kapsayıcısına taşıyın. OU geçerli kapsayıcıyla ilişkili olmamalıdır. Örneğin, nesneyi etki alanının kökünden yeni bir kapsayıcıya taşıyın.

   2. Nesneyi taşıdıktan sonra çoğaltma tamamlanırsa, nesneyi özgün kapsayıcısına geri taşıyın.

   3. Hem kaynak hem de hedef etki alanı denetleyicilerinde var olan veritabanındaki nesne kapsayıcısı alt öğesini yeniden oluşturmak için güvenlik tanımlayıcısı yayıcısını zorlar. Bunun için aşağıdaki adımları izleyin:

      1. Etki alanı denetleyicisinde veya RSAT'nin yüklü olduğu Windows istemcisinde yükseltilmiş bir komut istemi açın.

      2. LDP.EXE <DC Adı> yazın ve Enter tuşuna basın.

      3. Bağlantı>Bağlantısı'nı seçin ve bağlanmak istediğiniz sunucunun adını yazın.

         Not

         Active Directory için 389 numaralı bağlantı noktası üzerinden bağlanacaksınız.

      4. Bağlantı>Bağlama'yı seçin ve ardından yönetim kullanıcı adınızı, parolanızı ve etki alanınızı yazın. (Etki alanı yöneticisi veya kuruluş yöneticisi kimlik bilgilerini kullanmanız gerekir.) Tamam'ı seçin.

      5. Gözat menüsünde Değiştir'i seçin. DN metin kutusunu boş bırakın. Öznitelik metin kutusuna FixUpInheritance yazın. Değer metin kutusunda Evet'i seçin.

      6. İşlem alanında Ekle'yi seçin.

      7. Giriş Listesi alanını doldurmak için Enter'ı seçin.

         Not

         Giriş Listesi alanında [Ekle]fixupinheritance:yes görüntülenir.

      8. Çalıştır seçin.

         Not

         Sağ bölmede artık Değiştirilmiş durumu gösterilir ve güvenlik tanımlayıcısı yayıcı başlatılır. Güvenlik tanımlayıcısı yayıcısının çalışma zamanı, Active Directory veritabanının boyutuna bağlıdır. NTDS Performans nesnesindeki DS Güvenlik Yayma Olayları sayacı sıfıra döndüğünde işlem tamamlanır.

      9. Bağlantı>Çıkışlarını Kapat'ı>seçin.

7. Kaynak etki alanı denetleyicisinde bir komut istemine yazın repadmin /showmeta distinguished_name_path ve ardından Olay 1084'te başvuruda bulunılan ayırt edici ad yolunun nesne meta verilerini görüntüleyin. Hedef etki alanı denetleyicisinde bu adımı yineleyin. Aşağıdakileri içeren ancak bunlarla sınırlı olmayan tutarsız değerleri arayın:

   • Nesnede görüntülenen yanlış adlar ve öznitelik sayıları
   • Yanlış kaynak saat veya tarih damgaları
   • Yanlış yerel güncelleştirme sırası numaraları (USN)

   Yanlış değerler, nesneyi barındıran veritabanı sayfasında bir sorun olduğunu gösterebilir.

   Ayırt edici ad yolu canlı bir nesneye başvururken Repadmin.exe aracını kullanmak için komut istemine aşağıdakileri yazın:

   repadmin /showmeta remote_domain_controller_name distinguished_name_path_of_reference _object
   

   Nesne silinmiş nesneler kapsayıcısındaysa veya nesneyi bulmak için Repadmin.exe aracını kullanamıyorsanız, nesneyi bulmak için nesnenin GUID başvurusını kullanın. Bu GUID'ye Olay 1084'te başvurulur. Bunu yapmak için komut istemine aşağıdakileri yazın:

   repadmin /showmeta remote_domain_controller_name "GUID_for_the_object that_is_referenced_in_Event_ID_1084"
   

   Örneğin, Olay 1084 ve Olay 2108, GUID'nin b49cd496-98a2-4500-bb08-58550c2f79ac olduğu bir nesneye başvuruyorsa, yazın repadmin /showmeta "<GUID=b49cd496-98a2-4500-bb08-58550c2f79ac>".

   Not

   Tırnak işaretleri ve köşeli ayraçlar gereklidir.

8. Kaynak etki alanı denetleyicisinde Active Directory veritabanının bütünlük denetimini gerçekleştirmek için Ntdsutil.exe aracını kullanın.

   Bilgisayarı Dizin Hizmetleri Geri Yükleme Modu'nda (DSRM) başlatmadan önce çevrimdışı yönetici hesabının ve DSRM hesabının parolasını alın. DSRM hesap parolalarınız Windows LAPS tarafından yönetiliyorsa Get-LapsADPassword komutunu kullanarak parolayı alın.

   Yönetici hesabı parolasını bilmiyorsanız, bu modda başlamadan önce Dizin Hizmetleri Geri Yükleme Modu parolasını sıfırlayın.

   Ntdsutil Dizin Hizmetleri Geri Yükleme Modu Parolasını Ayarla komutunu kullanın.

   Parolayı değiştirme hakkında daha fazla bilgi için Windows tabanlı veya SBS tabanlı etki alanı denetleyicinizi başlattığınızda "Dizin Hizmetleri başlatılamıyor" hata iletisine bakın.

9. Kaynak etki alanı denetleyicisini yeniden başlatın ve ardından Dizin Hizmetleri Geri Yükleme Modu'nu başlatmak için F8 tuşuna basın. Komut istemine ntdsutil files integrity yazın ve ardından Enter tuşuna basın.

   Not

   Bu komut, veritabanının bütünlüğünü onaylar.

   • Ntdsutil aracı veritabanının bozuk olduğunu bildirirse ve kaynak etki alanı denetleyicisinde adlandırma bağlamlarının çoğaltmalarına sahipseniz, kaynak etki alanı denetleyicisinin indirgenmesi için zorlama yapın ve active directory veritabanını ve işlem günlüğü dosyalarını barındıran sürücülerin, üretici yazılımının ve fiziksel sürücülerin bütünlüğünü doğruladıktan sonra yeniden yükseltin.

   • Veritabanı bozuksa ve kaynak etki alanı denetleyicisinde adlandırma bağlamının çoğaltması yoksa, en yeni sistem durumunu geri yükleyin. Veritabanının bütünlüğünü yeniden onaylamak için NTDSutil.exe aracını kullanın. Bozulma iletisi almaya devam ederseniz, etki alanı denetleyicisinin bütünlüğünü onaylayana kadar eski yedeklemeleri geri yükleyin.

   • Veritabanı hala bozuksa, en son sistem durumu yedeklemesini geri yükleyin ve ardından komut istemine şunu yazın:

     ntdsutil files recover
     

     NTDSutil.exe aracını kullanarak veritabanının bütünlüğünü yeniden onaylayın. Veritabanı bütünlük denetimini geçerse, disk bölümünün çevrimdışı birleştirmesini gerçekleştirin. Daha fazla bilgi için bkz . Active Directory veritabanının çevrimdışı birleştirilmesini gerçekleştirme.

     Veritabanının bütünlük denetimini gerçekleştirmek için, komut istemine aşağıdakileri yazın ve enter tuşuna basın; burada database_name Active Directory veritabanının adıdır:

     esentutl.exe /g database_name
     

     Son olarak, Bilgisayarı yeniden başlatmak için Windows Normal Olarak Başlat seçeneğini kullanın ve ardından kaynak etki alanı denetleyicisinden etkilenen hedef etki alanı denetleyicisine çoğaltmayı yeniden deneyin.

10. Bu adımlar başarılı olmazsa ve çoğaltma hatası devam ederse, etki alanı denetleyicisini indirgeyin, ntds.dit dosyasını ve disk alt sistemini barındıran fiziksel sürücülerin ve birimlerin bütünlüğünü onaylayın ve sonra etki alanı denetleyicisini yeniden yükseltin. Aynı bilgisayar adını kullanın.

11. Active Directory veritabanının çevrimdışı birleştirmesini gerçekleştirmek için ntdsutil files compact komutunu kullanın. Daha fazla bilgi için bkz . Active Directory Veritabanı'nın çevrimdışı birleştirilmesini gerçekleştirme.

12. Komut isteminde aşağıdaki komutu yazın ve Enter tuşuna basın:

    ntdsutil "semantic database analysis" "go"
    

    Not

    Bu örnekteki tırnak işaretleri, tek bir komut satırı bağımsız değişkeni kullanarak anlamsal veritabanı çözümleme komutunu çalıştırmak için gereklidir.

    Hatalar bildirilirse yazın ntdsutil go fixupve Enter tuşuna basın.

Veri toplama

Microsoft desteğinden yardıma ihtiyacınız varsa, Active Directory çoğaltma sorunları için TSS kullanarak bilgi toplama bölümünde belirtilen adımları izleyerek bilgileri toplamanızı öneririz.

Üçüncü taraf bilgileri hakkında yasal uyarı

Bu makalede adı geçen üçüncü taraf ürünleri Microsoft'tan bağımsız şirketler tarafından üretilmektedir. Microsoft, bu ürünlerin performansı veya güvenilirliği ile ilgili örtük veya başka türlü hiçbir garanti vermez.