Изменения в группах безопасности или группах рассылки не реплицируются в конечные контроллеры домена при использовании репликации значений канала в среде Windows Server 2003
В этой статье описывается решение проблемы, из-за которой изменения, внесенные в группы безопасности или группы рассылки, не реплицируются на контроллеры домена назначения при использовании репликации значений канала.
Применяется к: Windows Server 2012 R2
Исходный номер базы знаний: 958838
Симптомы
Рассмотрим следующий сценарий. В среде Windows Server 2003 для уровня работы леса в лесу устанавливается Значение Windows Server 2003 или более поздней версии Windows. Это необходимо, чтобы применить изменения в репликации значений ссылки (LVR) к членству в группах в атрибутах с поддержкой LVR. В этом сценарии могут возникнуть следующие симптомы:
Изменения в группе безопасности или группе рассылки, существующей на исходном контроллере домена, не реплицируются на конечные контроллеры домена. Этот симптом возникает, когда изменение членства в группе инициируется администратором или программой.
При выполнении
repadmin /showreps
команды появляется сообщение о том, что контроллер домена назначения под управлением Windows Server 2008 или Windows Server 2003 не может реплицировать входящие изменения в раздел каталога из одного или нескольких исходных контроллеров домена. В этом случае вы также получите сообщение об ошибке Win32 8451.Примечание.
Ошибка Win32 8451 соответствует ошибке ERROR_DS_DRA_DB_ERROR и следующему описанию:
Операция репликации обнаружила ошибку базы данных.Затронутый конечный контроллер домена под управлением Windows Server 2008 или Windows Server 2003 не может реплицировать входящие изменения, внесенные в разделы, доступные только для чтения, из глобальных каталогов или контроллеров домена, на которых размещены секции каталогов, доступные для записи.
Контроллеры домена назначения под управлением Windows Server 2008 и Windows Server 2003 регистрируют события в журнале службы каталогов.
Примечание.
- Общее событие NTDS 1173 указывает на сбой универсальной репликации.
- Дополнительное значение ошибки данных -1603 сопоставляется с валютой, а не с ошибкой реактивной записи , а с символическим именем errNoCurrentRecord. Орфографическая ошибка в настоящее время в валюте, а не в тексте записи .
- Исключение e0010004 соответствует DSA_DB_EXCEPTION ошибки.
- Внутренний идентификатор 2050344 соответствует функции в коде уровня базы данных NTDS. Это число зависит от операционной системы, пакета обновления и исправлений.
Контроллеры домена назначения под управлением Windows Server 2008 и Windows Server 2003 регистрируют событие 1692 службы каталогов.
Примечание.
Это событие регистрируется, когда вы включаете ведение журнала диагностики и задаете для записи реестра 5 событий репликации значение 1 или больше.
Дополнительные сведения о ведении журнала диагностики NTDS см. в разделе Настройка ведения журнала событий диагностики Active Directory и LDS.
Эти симптомы могут возникать при внесении изменений в любой класс объектов, реплицированный LVR, имеющий прямые ссылки. (Эти изменения класса объектов, реплицируемых LVR, также относятся к изменениям, которые вносятся в группы безопасности и распространения.)
Причина
Эта проблема возникает, если контроллеры домена назначения под управлением Windows Server 2008 или Windows Server 2003 останавливают входящую репликацию при получении обновлений LVR объектов, которые не существуют в локальных копиях Active Directory.
В частности, эта проблема может возникнуть, если выполняются следующие условия:
Изменения членства, внесенные в группы безопасности или распространения в исходных контроллерах домена, реплицируются исходящим путем репликации значений связи (LVR) на контроллеры домена назначения, у которых нет экземпляра группы, который изменяется. Например, эта проблема может возникать, когда объект удаляется, а время существования объектов надгробия истекло с локальной копии Active Directory.
Для режима работы леса устанавливается промежуточный режим Windows Server 2003 или более поздняя версия.
Затяжные группы безопасности или распространения находятся в секциях исходного домена под управлением Windows Server 2003 или Windows Server 2008, а репликация между исходным и целевым контроллерами домена останавливается.
Разрешение
Важно!
В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Дополнительные сведения о создании резервной копии и восстановлении реестра см. в соответствующей статье базы знаний Майкрософт:
322756 Создание резервной копии и восстановление реестра Windows
Чтобы устранить эту проблему, выполните следующие действия.
Выполните следующую команду repadmin на основном контроллере домена (PDC), чтобы создать файл .csv, содержащий список конечных контроллеров домена:
repadmin /showrepl * /csv >showrepl.csv
Откройте файл .csv в Excel, а затем определите сбои репликации на контроллерах домена назначения, в которых произошел сбой входящего процесса репликации и отображается ошибка Win32 8451.
На контроллерах домена, которые регистрируют сообщение об ошибке "Ошибка Win32 8451", убедитесь, что для ведения журнала диагностики для записи реестра 5 событий репликации задано значение 1. Для этого выполните следующие действия:
Нажмите кнопку Пуск и выберите пункт Выполнить.
В поле Открыть введите команду regedit и нажмите кнопку ОК.
Найдите и щелкните следующий раздел реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics
В области сведений дважды щелкните 5 событий репликации, введите 1 в поле Значение и нажмите кнопку ОК.
Закройте редактор реестра.
На контроллерах домена назначения убедитесь, что событие 1692 службы каталогов зарегистрировано в журнале службы каталогов. Событие отображает изменения в атрибуте-члене группы безопасности или в других атрибутах, реплицируемых LVR, а также в идентификаторах GUID затяжных объектов.
Удалите затяжные объекты из контроллеров домена назначения под управлением Windows Server 2008 или Windows Server 2003 с помощью
repadmin /removelingeringobjects
команды .
Важно!
Отключение функции строгой согласованности репликации в реестре контроллеров домена назначения под управлением Windows Server 2008 или Windows Server 2003 не возобновляет репликацию. Для разблокировки репликации секций каталогов не следует задавать значение 0 для записи реестра Strict Replication Consistency.
Не следует принудительно выполнять репликацию секций каталогов на исходных контроллерах домена с помощью команды repadmin /sync или эквивалентной команды вместе с параметром /force.
Сбор данных
Если вам нужна помощь со стороны службы поддержки Майкрософт, рекомендуем собрать сведения, выполнив действия, описанные в разделе Сбор информации с помощью TSS для проблем с репликацией Active Directory.
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по