Errore di replica di Active Directory 8456 o 8457: origine | il server di destinazione rifiuta attualmente le richieste di replica

Questo articolo descrive i sintomi, la causa e la procedura di risoluzione per le situazioni in cui le operazioni di Active Directory hanno esito negativo con errore 8456 o 8457.

Si applica a: Windows Server (tutte le versioni supportate)
Numero KB originale: 2023007

Sintomi

Le operazioni di Active Directory hanno esito negativo con errore 8456 o 8457: origine | il server di destinazione rifiuta attualmente le richieste di replica.

1. L'innalzamento di livello DCPROMO di un nuovo controller di dominio in una foresta esistente non riesce con l'errore: il server di origine sta attualmente rifiutando le richieste di replica.

   Testo del titolo della finestra di dialogo: Installazione guidata Active Directory Testo del messaggio del messaggio:

   L'operazione non è riuscita perché: Active Directory non è riuscito a trasferire i dati rimanenti nel percorso> DN della partizione di directory della partizione <di directory al controller di dominio di destinazione del controller <di> dominio. "Il server di origine sta rifiutando le richieste di replica."

2. DCDIAG segnala l'errore: il server di origine sta rifiutando le richieste di replica o Il server di destinazione sta attualmente rifiutando le richieste di replica.

   Server di test: Default-First-Site-Name<DC NAME>
   Test iniziale: repliche
   * Controllo repliche
   [Controllo repliche,<DC NAME>] Tentativo di replica recente non riuscito:
   Da IADOMINO a <DC NAME>
   Contesto di denominazione: DC=<DN percorso della partizione>
   La replica ha generato un errore (8456):
   Il server di origine rifiuta attualmente le richieste di replica.
   L'errore si è verificato in data <><e ora.>
   L'ultimo esito positivo si è verificato all'ora <di data<>>.
   957 errori si sono verificati dopo l'ultimo esito positivo.
   La replica è stata disabilitata in modo esplicito tramite le opzioni del server

   Server di test: Default-First-Site-Name<DC NAME>
   Test iniziale: repliche
   * Controllo repliche
   [Controllo repliche,<DC NAME>] Tentativo di replica recente non riuscito:
   Da IADOMINO a <DC NAME>
   Contesto di denominazione: DC=<DN percorso della partizione>
   La replica ha generato un errore (8457):
   Il server di destinazione rifiuta attualmente le richieste di replica.
   L'errore si è verificato in data <><e ora.>
   L'ultimo esito positivo si è verificato all'ora <di data<>>.
   957 errori si sono verificati dopo l'ultimo esito positivo.
   La replica è stata disabilitata in modo esplicito tramite le opzioni del server

3. REPADMIN indica che la replica in ingresso e in uscita di Active Directory potrebbe non riuscire con l'errore: Origine | il server di destinazione rifiuta attualmente la replica.

   DC=Contoso,DC=COM
   <nome sito nome><> controller di dominio tramite RPC
   GUID dell'oggetto DC: <objectguid dell'oggetto impostazioni NTDS dei controller di dominio di origine>
   Ultimo tentativo @ <data></ora> non riuscito, risultato 8457 (0x2109):
   Il server di destinazione rifiuta attualmente le richieste di replica.

   DC=Contoso,DC=COM
   <nome sito nome><> controller di dominio tramite RPC
   GUID dell'oggetto DC: <objectguid dell'oggetto impostazioni NTDS dei controller di dominio di origine>
   Ultimo tentativo @ <data></ora> non riuscito, risultato 8456 (0x2108):
   Il server di origine rifiuta attualmente le richieste di replica.

   Nota

   I comandi REPADMIN possono visualizzare sia l'esadecimale che l'equivalente decimale per l'errore di replica attualmente rifiutato.

4. Le origini eventi e gli ID evento che indicano che si è verificato un rollback USN includono, ma non si limitano a quanto segue.

   Origine evento	ID evento	Stringa di evento
   NTDS KCC	1308	Knowledge Consistency Checker (KCC) ha rilevato che i tentativi successivi di replica con il controller di dominio seguente hanno costantemente avuto esito negativo.
   NTDS KCC	1925	Il tentativo di stabilire un collegamento di replica per la partizione di directory scrivibile seguente non è riuscito.
   NTDS KCC	1926	Tentativo di stabilire un collegamento di replica a una partizione di directory di sola lettura con i parametri seguenti non riuscito
   Replica NTDS	1586	Il checkpoint di replica windows NT 4.0 o precedente con il master dell'emulatore PDC non è riuscito. Una sincronizzazione completa del database sam (Security Accounts Manager) con i controller di dominio che eseguono Windows NT 4.0 e versioni precedenti potrebbe verificarsi se il ruolo master dell'emulatore PDC viene trasferito al controller di dominio locale prima del successivo checkpoint completato. Il processo del checkpoint verrà ritento tra quattro ore.
   Replica NTDS	2023	Il controller di dominio locale non è riuscito a replicare le modifiche nel controller di dominio remoto seguente per la partizione di directory seguente.
   Microsoft-Windows-ActiveDirectory_DomainService	2095	Durante una richiesta di replica Active Directory Domain Services, il controller di dominio locale (DC) ha identificato un controller di dominio remoto che ha ricevuto dati di replica dal controller di dominio locale usando numeri di rilevamento USN già riconosciuti.
   Microsoft-Windows-ActiveDirectory_DomainService	2103	Il database Active Directory Domain Services è stato ripristinato tramite una procedura di ripristino non supportata. Active Directory Domain Services non sarà in grado di accedere agli utenti mentre questa condizione persiste. Di conseguenza, il servizio Accesso rete è stato sospeso.

   Dove i codici di stato incorporati 8456 e 8457 sono mappati a quanto segue.

   Errore decimale	Errore esadecimale	Stringa di errore
   8456	2108	Il server di origine rifiuta attualmente la replica
   8457	2109	Il server di destinazione rifiuta attualmente la replica

5. L'evento generale NTDS 2013 può essere registrato nel registro eventi di Servizi directory. Ciò indica che si è verificato un rollback USN a causa di un rollback o ripristino non supportato del database di Active Directory.

   Tipo evento: Errore
   Origine evento: NTDS General
   Categoria di eventi: Controllo del servizio
   ID evento: 2103
   Data: <data>
   Ora: <ora>
   Utente: <nome utente>
   Computer: <nome computer>
   Descrizione: il database di Active Directory è stato ripristinato tramite una procedura di ripristino non supportata. Active Directory non sarà in grado di accedere agli utenti mentre questa condizione persiste. Di conseguenza, il servizio Accesso rete è stato sospeso. Azione utente Per informazioni dettagliate, vedere i log eventi precedenti. Per altre informazioni, visitare il Centro supporto tecnico e della Guida all'indirizzo https://support.microsoft.com.

6. L'evento generale NTDS 1393 può essere registrato nel registro eventi di Servizi directory. Ciò indica che l'unità fisica o virtuale che ospita il database o i file di log di Active Directory non dispone di spazio sufficiente su disco:

   Tipo evento: Errore
   Origine evento: NTDS General
   Categoria di eventi: Controllo del servizio
   ID evento: 1393
   Data: <data>
   Ora: <ora>
   Utente: <nome utente>
   Computer: <nome> computer Descrizione:
   I tentativi di aggiornamento del database del servizio directory non riescono con l'errore 112. Poiché Windows non sarà in grado di accedere agli utenti mentre questa condizione persiste, il servizio NetLogon viene sospeso. M ake assicurarsi che sia disponibile spazio sufficiente su disco nelle unità in cui si trovano il database di directory e i file di log.

Causa

La replica in ingresso o in uscita è stata disabilitata automaticamente dal sistema operativo a causa di più cause radice.

Tre eventi che disabilitano la replica in ingresso o in uscita includono:

• Si è verificato un rollback USN (evento generale NTDS 2103).
• Il disco rigido è pieno (evento generale NTDS 1393).
• È presente un vettore UTD danneggiato (evento 2881).

Il sistema operativo apporta automaticamente quattro modifiche alla configurazione quando si verifica una delle tre condizioni. Le quattro modifiche alla configurazione sono le seguenti:

1. La replica in ingresso di Active Directory è disabilitata.
2. La replica in uscita di Active Directory è disabilitata.
3. DSA non scrivibile è impostato su un valore diverso da zero nel Registro di sistema.
4. Lo stato del servizio NETLOGON viene modificato dall'esecuzione alla sospensione.

La causa radice dominante per questa condizione di errore è un rollback USN descritto in Un controller di dominio Windows Server registra l'evento 2095 di Servizi directory quando si verifica un rollback USN.

Non presupporre che qualsiasi valore diverso da zero per DSA non scrivibile o che un server di origine o di destinazione stia attualmente rifiutando le richieste di replica durante la replica DCPROMO/AD significhi definitivamente che si è verificato un rollback USN e che tali controller di dominio devono essere forzati o forzati. Abbassamento di livello può essere l'opzione corretta. Tuttavia, può essere eccessivo quando l'errore è causato da spazio disponibile su disco insufficiente.

Risoluzione

1. Controllare il valore per DSA non scrivibile.

   Per ogni controller di dominio che registra l'errore 8456 o 8457, determinare se uno dei tre eventi di attivazione ha disabilitato automaticamente la replica di Active Directory in ingresso o in uscita leggendo il valore "DSA non scrivibile" dal Registro di sistema locale.

   Quando la replica viene disabilitata automaticamente, il sistema operativo scrive uno dei quattro valori possibili in DSA non scrivibile:

   • Percorso: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
   • Impostazione: DSA non scrivibile
   • Tipo: Reg_dword
   • Valori:
     • #define DSA_WRITABLE_GEN 1
     • #define DSA_WRITABLE_NO_SPACE 2
     • #define DSA_WRITABLE_USNROLLBCK 4
     • #define DSA_WRITABLE_CORRUPT_UTDV 8

   Il valore 1 può essere scritto solo quando la versione della foresta non è compatibile con il sistema operativo( ad esempio, il controller di dominio W2K viene promosso a foresta a livello di funzionalità della foresta di Windows Server 2003 o simili).

   Il valore 2 indica che l'unità fisica o virtuale che ospita il database o i file di log di Active Directory non dispone di spazio sufficiente su disco.

   Il valore 4 indica che si è verificato un rollback USN perché il database di Active Directory è stato sottoposto a rollback non corretto nel tempo. Le operazioni che sono note per causare un rollback USN includono quanto segue:

   • Avvio da snapshot di macchine virtuali salvati in precedenza dei computer del ruolo controller di dominio negli host Hyper-V o VMWARE.
   • Conversioni da fisico a virtuale (P2V) non corrette nelle foreste che contengono più di un controller di dominio.
   • Ripristino dei computer del ruolo controller di dominio tramite prodotti di creazione di immagini, ad esempio Ghost.
   • Rollback nel tempo del contenuto di una partizione che ospita il database di Active Directory usando un sottosistema del disco avanzato.

   Il valore 8 indica che il vettore di aggiornamento è danneggiato nel controller di dominio locale.

   Tecnicamente, DSA non scrivibile può essere costituito da più valori. Ad esempio, un valore del Registro di sistema pari a 10 indicherebbe spazio su disco insufficiente e un UTD danneggiato. In genere, un singolo valore viene scritto in DSA non scrivibile.

   Nota

   È normale che professionisti e amministratori del supporto disabilitino parzialmente la quarantena della replica abilitando la replica in uscita, abilitando la replica in ingresso, modificando il valore di avvio per il servizio NETLOGON da disabilitato a automatico e avviando il servizio NETLOGON. Pertanto, la configurazione di quarantena completa potrebbe non essere disponibile quando viene esaminata.

2. Controllare nel registro eventi del servizio directory gli eventi di quarantena.

   Supponendo che il log eventi del servizio directory non abbia eseguito il wrapping, è possibile che sia presente uno o più eventi correlati registrati nel registro eventi del servizio directory di un controller di dominio che registra l'errore 8456 o 8457.

   Evento	Dettagli
   NTDS Generale 2103	Il database di Active Directory è stato ripristinato tramite una procedura di ripristino non supportata. Active Directory non sarà in grado di accedere agli utenti mentre questa condizione persiste. Di conseguenza, il servizio Accesso rete è stato sospeso. Azione utente Per altre informazioni, vedere i log eventi precedenti.
   Evento generale NTDS 1393	Spazio insufficiente sul disco.
   Evento 2881	Non applicabile

3. Eseguire il ripristino in base al valore di DSA non scrivibile o agli eventi registrati nel sistema:

   • Se DSA non è scrivibile è uguale a 4 o se viene registrato l'evento generale NTDS 2103, eseguire i passaggi di ripristino per un rollback USN. Per altre informazioni, vedere A Windows Server domain controller logs Directory Services event 2095 when it encounters a USN rollback (Un controller di dominio di Windows Server registra l'evento 2095 di Servizi directory quando viene rilevato un rollback USN).

   • Se DSA non è scrivibile è uguale a 2 o se viene registrato l'evento generale NTDS 1393, verificare la disponibilità di spazio sufficiente su disco nelle partizioni fisiche e virtuali che ospitano il database e i file di log di Active Directory. Liberare spazio in base alle esigenze.

   • Se DSA non scrivibile è uguale a 8, abbassare di livello e quindi ripetere la riproduzione del controller di dominio prima di poter replicare il valore non valido in altri controller di dominio nella foresta.

Raccolta dei dati

Se è necessaria l'assistenza del supporto tecnico Microsoft, è consigliabile raccogliere le informazioni seguendo i passaggi indicati in Raccogliere informazioni usando TSS per i problemi di replica di Active Directory.