Изменения в группах безопасности или группах рассылки не реплицируются в конечные контроллеры домена при использовании репликации значений канала в среде Windows Server 2003

В этой статье описывается решение проблемы, из-за которой изменения, внесенные в группы безопасности или группы рассылки, не реплицируются на контроллеры домена назначения при использовании репликации значений канала.

Применяется к: Windows Server 2012 R2
Исходный номер базы знаний: 958838

Симптомы

Рассмотрим следующий сценарий. В среде Windows Server 2003 для уровня работы леса в лесу устанавливается Значение Windows Server 2003 или более поздней версии Windows. Это необходимо, чтобы применить изменения в репликации значений ссылки (LVR) к членству в группах в атрибутах с поддержкой LVR. В этом сценарии могут возникнуть следующие симптомы:

• Изменения в группе безопасности или группе рассылки, существующей на исходном контроллере домена, не реплицируются на конечные контроллеры домена. Этот симптом возникает, когда изменение членства в группе инициируется администратором или программой.

• При выполнении repadmin /showreps команды появляется сообщение о том, что контроллер домена назначения под управлением Windows Server 2008 или Windows Server 2003 не может реплицировать входящие изменения в раздел каталога из одного или нескольких исходных контроллеров домена. В этом случае вы также получите сообщение об ошибке Win32 8451.

  Примечание.

  Ошибка Win32 8451 соответствует ошибке ERROR_DS_DRA_DB_ERROR и следующему описанию:
  Операция репликации обнаружила ошибку базы данных.

  Затронутый конечный контроллер домена под управлением Windows Server 2008 или Windows Server 2003 не может реплицировать входящие изменения, внесенные в разделы, доступные только для чтения, из глобальных каталогов или контроллеров домена, на которых размещены секции каталогов, доступные для записи.

• Контроллеры домена назначения под управлением Windows Server 2008 и Windows Server 2003 регистрируют события в журнале службы каталогов.

  Примечание.

  • Общее событие NTDS 1173 указывает на сбой универсальной репликации.
  • Дополнительное значение ошибки данных -1603 сопоставляется с валютой, а не с ошибкой реактивной записи , а с символическим именем errNoCurrentRecord. Орфографическая ошибка в настоящее время в валюте, а не в тексте записи .
  • Исключение e0010004 соответствует DSA_DB_EXCEPTION ошибки.
  • Внутренний идентификатор 2050344 соответствует функции в коде уровня базы данных NTDS. Это число зависит от операционной системы, пакета обновления и исправлений.

• Контроллеры домена назначения под управлением Windows Server 2008 и Windows Server 2003 регистрируют событие 1692 службы каталогов.

  Примечание.

  Это событие регистрируется, когда вы включаете ведение журнала диагностики и задаете для записи реестра 5 событий репликации значение 1 или больше.

  Дополнительные сведения о ведении журнала диагностики NTDS см. в разделе Настройка ведения журнала событий диагностики Active Directory и LDS.

Эти симптомы могут возникать при внесении изменений в любой класс объектов, реплицированный LVR, имеющий прямые ссылки. (Эти изменения класса объектов, реплицируемых LVR, также относятся к изменениям, которые вносятся в группы безопасности и распространения.)

Причина

Эта проблема возникает, если контроллеры домена назначения под управлением Windows Server 2008 или Windows Server 2003 останавливают входящую репликацию при получении обновлений LVR объектов, которые не существуют в локальных копиях Active Directory.

В частности, эта проблема может возникнуть, если выполняются следующие условия:

• Изменения членства, внесенные в группы безопасности или распространения в исходных контроллерах домена, реплицируются исходящим путем репликации значений связи (LVR) на контроллеры домена назначения, у которых нет экземпляра группы, который изменяется. Например, эта проблема может возникать, когда объект удаляется, а время существования объектов надгробия истекло с локальной копии Active Directory.

• Для режима работы леса устанавливается промежуточный режим Windows Server 2003 или более поздняя версия.

• Затяжные группы безопасности или распространения находятся в секциях исходного домена под управлением Windows Server 2003 или Windows Server 2008, а репликация между исходным и целевым контроллерами домена останавливается.

Разрешение

Чтобы устранить эту проблему, выполните следующие действия.

1. Выполните следующую команду repadmin на основном контроллере домена (PDC), чтобы создать файл .csv, содержащий список конечных контроллеров домена:

   repadmin /showrepl * /csv >showrepl.csv
   

2. Откройте файл .csv в Excel, а затем определите сбои репликации на контроллерах домена назначения, в которых произошел сбой входящего процесса репликации и отображается ошибка Win32 8451.

3. На контроллерах домена, которые регистрируют сообщение об ошибке "Ошибка Win32 8451", убедитесь, что для ведения журнала диагностики для записи реестра 5 событий репликации задано значение 1. Для этого выполните следующие действия:

   1. Нажмите кнопку Пуск и выберите пункт Выполнить.

   2. В поле Открыть введите команду regedit и нажмите кнопку ОК.

   3. Найдите и щелкните следующий раздел реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics

   4. В области сведений дважды щелкните 5 событий репликации, введите 1 в поле Значение и нажмите кнопку ОК.

   5. Закройте редактор реестра.

4. На контроллерах домена назначения убедитесь, что событие 1692 службы каталогов зарегистрировано в журнале службы каталогов. Событие отображает изменения в атрибуте-члене группы безопасности или в других атрибутах, реплицируемых LVR, а также в идентификаторах GUID затяжных объектов.

5. Удалите затяжные объекты из контроллеров домена назначения под управлением Windows Server 2008 или Windows Server 2003 с помощью repadmin /removelingeringobjects команды .

Сбор данных

Если вам нужна помощь со стороны службы поддержки Майкрософт, рекомендуем собрать сведения, выполнив действия, описанные в разделе Сбор информации с помощью TSS для проблем с репликацией Active Directory.