Události replikace služby Active Directory ID 2108 a 1084: událost 2108 and1084 se vyskytuje během příchozí replikace služby Active Directory Domain Services.


Příznaky


Pokud dojde k příchozí replikaci služby AD DS (Active Directory Domain Services), cílový řadič domény se systémem Microsoft Windows Server 2003 Service Pack 1 (SP1) prostřednictvím systému Windows Server 2016 zaznamená do protokolu adresářové služby následující událost:
Událost ID 1084: Vnitřní událost: Služba Active Directory Domain Services nemohla aktualizovat následující objekt změnami obdržnými z následující zdrojové adresářové služby. Důvodem je skutečnost, že při provádění změn ve službě Active Directory Domain Services došlo k chybě v adresářové službě. Objekt: CN = < cesta CN >Identifikátor GUID objektu: < objectGUID >Zdrojová adresářová služba: NTDSA. _msdcs. < Forst kořenový název domény DNS > Dokud nebude tento problém s aktualizací opraven, bude synchronizace adresářové služby se zdrojovou adresářovou službou blokována. Tato operace bude znovu vyzkoušeny při další naplánované replikaci. Akce uživatelePokud se zdá, že tento stav souvisí s nedostatkem systémových prostředků (například s nízkou fyzickou nebo virtuální pamětí), restartujte místní počítač. Další dataHodnota chyby: <kód chyby> <chybový řetězec>
Poznámky:
  • V textu chybové hodnoty <kód chyby> a <chybový řetězec> představuje skutečné hodnoty, které jsou zobrazeny v položce protokolu.
  • Událost 1804 byla protokolována od systému Windows 2000 Server.
Cílové řadiče domény se systémem Windows Server 2003 SP1 také protokolují v protokolu adresářové služby následující událost:
ID události 2108: Tato událost obsahuje postupy opravy pro událost 1084, která byla dříve protokolována. Tato zpráva označuje konkrétní problém s konzistencí databáze služby Active Directory Domain Services v tomto cíli replikace. Při použití replikovaných změn následujícího objektu došlo k chybě databáze. Databáze měla neočekávaný obsah, což znemožňují změnu.
Poznámky:
  • V systému Windows Server 2003 je po instalaci aktualizace SP1 zaznamenána událost 2108.
  • Toto je Partnerská událost pro Event 1084.

Příčina


K těmto událostem dochází v případě, že řadič domény nemůže zapsat transakční změnu do místní kopie databáze služby Active Directory.

Řešení


Chcete-li tento problém vyřešit, postupujte takto: Opakujte operaci replikace po každém kroku, který provede změnu.
  1. Ujistěte se, že na svazcích, které jsou hostiteli databáze služby Active Directory, je k dispozici dostatek volného místa, a operaci opakujte. Chcete-li uvolnit další místo na disku, postupujte takto:
    1. Přesuňte nesouvisející soubory na jiný svazek.
    2. Proveďte zálohu stavu systému. Tento proces zmenšuje velikost souborů protokolu transakcí. Další informace získáte v následujících článcích znalostní báze Microsoft Knowledge Base:
      240363 jak pomocí zálohovacího programu zálohovat a obnovovat stav systému v systému Windows 2000
      326216 jak pomocí funkce zálohování zálohovat a obnovovat data v systému Windows Server 2003
    3. Proveďte defragmentaci služby Active Directory v režimu offline. Další informace získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
      232122 provedení defragmentace databáze služby Active Directory v režimu offline
  2. Zkontrolujte, zda fyzické jednotky, které jsou hostiteli souboru Ntds. dit a souborů protokolu transakcí, nemají zapnutou kompresi systému souborů NTFS. Chcete-li to potvrdit, klepněte pravým tlačítkem myši na písmeno jednotky v okně Tento počítač a ujistěte se, že není zaškrtnuté políčko Komprimovat jednotku pro uložení místa na disku.
  3. Ujistěte se, že fyzické jednotky, které jsou hostiteli souboru Ntds. dit a souborů protokolu transakcí, jsou výslovně vyloučeny ze vzdálených a místních antivirových programů. Další informace naleznete v dokumentaci k antivirovému softwaru.
  4. Pokud cílový řadič domény obsahuje globální katalog a k chybě dojde v některém z oddílů jen pro čtení, můžete problém vyřešit pomocí jedné z následujících metod:

    Metoda č. 1

    K opětovnému vytvoření hostitele ohroženého oddílu použijte možnost opětovného hostitele nástroje repadmin. exe. Nástroj Repadmin. exe je instalován v počítačích, které mají roli řadiče domény, a je instalován společně s nástrojem RSAT na členských stanicích a serverech. To lze provést zadáním následujícího příkazu na příkazovém řádku, kde domain_controller je název cílového řadiče domény a good_source_domain_controller_name název jiného řadiče domény:
    repadmin/Rehost domain_controller naming_contextgood_source_domain_controller_name

    Metoda č. 2

    Chcete-li nakonfigurovat řadič domény tak, aby již nebyl serverem globálního katalogu, postupujte takto:
    1. Klepněte na tlačítko Start, přejděte na příkaz Nástroje pro správua klepněte na položku sítě a služby Active Directory.
    2. Vyhledejte Výchozí-první-název sítě\servery\domain_controller_name\NTDS Settings -dílčí stromová struktura.
    3. Klepněte pravým tlačítkem myši na položku Nastavení NTDSa potom klepněte na příkaz vlastnosti.
    4. Klepnutím zrušte zaškrtnutí políčka globální katalog a klepněte na tlačítko OK.

    Metoda č. 3

    Pokud k chybě dojde v oddílu programu, změňte repliku, která je hostitelem oddílu programu, pomocí nástroje Ntdsutil. exe. Další informace o nástroji Údržba adresářové služby Active Directory (Ntdsutil. exe) naleznete na následujícím webu společnosti Microsoft:
  5. Pomocí nástroje jiného výrobce, například nástroje FileMon, zjistěte, zda program nebo uživatel přistupuje k databázi služby Active Directory, k souborům protokolu transakcí nebo k souboru EDP. tmp. Pokud existuje aktivita přístupu k souboru, zastavte služby, které jsou za aktivitu zodpovědné. Další informace o nástroji FileMon naleznete na následujícím webu společnosti Sysinternals:
  6. Zjistěte, zda problém souvisí s nadřazeným objektem objektu služby Active Directory v cílovém řadiči domény. Postupujte podle následujících kroků:
    1. Na zdrojovém řadiči domény dočasně přesuňte objekt, na který je odkazováno v Event 1084, do kontejneru organizační jednotky (OU). Organizační jednotka musí být nezávislá na aktuálním kontejneru. Přesuňte například objekt do nového kontejneru mimo kořenový adresář domény.
    2. Pokud je po přesunutí objektu replikace dokončena, přesuňte objekt zpět do původního kontejneru.
    3. Vynuťte, aby Šiřitel popisovače zabezpečení znovu sestavili původ kontejneru objektů v databázi, která existuje ve zdrojovém i cílovém řadiči domény. Postupujte podle následujících kroků:
      1. Zkontrolujte, zda jsou nainstalovány nástroje pro podporu systému Windows Server 2003. Nástroje pro podporu jsou k dispozici na disku CD-ROM systému Windows Server 2003 ve složce Support\Tools. Chcete-li nainstalovat nástroje, poklepejte na soubor Suptools. msi.
      2. Klepněte na tlačítko Start, na příkaz Spustit, zadejte příkaz LDPa pak klepněte na tlačítko Dobře.
      3. Klepněte na tlačítko připojení, klepněte na tlačítko připojita zadejte název serveru, ke kterému se chcete připojit. Poznámka: Budete se připojovat přes port 389 pro službu Active Directory.
      4. Klepněte na tlačítko připojení, klepněte na položku BINDa zadejte uživatelské jméno, heslo a doménu pro správu. (Je nutné použít pověření správce domény nebo správce rozlehlé sítě.) Klepněte na tlačítko OK.
      5. V nabídce Procházet klepněte na příkaz změnit. Pole DN text ponechejte prázdné. Do textového pole atributu zadejte fixupdědičnost. Klepněte na tlačítko Ano v textovém poli hodnota .
      6. V oblasti operace klepněte na tlačítko Přidat.
      7. Klepnutím na tlačítko ENTER naplňte oblast seznam položek . Poznámka: V oblasti seznam položek , [Add] fixupdědičnost: Ano , zobrazí se.
      8. Klepněte na příkaz Spustit. Poznámka: V pravém podokně je nyní zobrazen stav změněno a bude spuštěn Šiřitel popisovače zabezpečení. Modul runtime pro Šiřitel popisovače zabezpečení závisí na velikosti databáze služby Active Directory. Proces je dokončen, když se čítač události šíření zabezpečení adresářové služby v objektu Performance NTDS vrátí na nulu.
      9. Klepněte na tlačítko Zavřít, klepněte na tlačítko připojenía potom na tlačítko konec.
    Další informace získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
    251343 ruční Inicializace podprocesu PROPAGÁTORU SD pro vyhodnocení zděděných oprávnění pro objekty ve službě Active Directory
  7. Do zdrojového řadiče domény zadejte příkaz repadmin/showmeta distinguished_name_path na příkazovém řádku a potom zobrazte metadata objektu pro cestu k rozlišujícímu názvu, na kterou odkazuje událost 1084. Tento krok opakujte v cílovém řadiči domény. Hledejte nekonzistentní hodnoty, které zahrnují, ale nejsou omezeny, následující:
    • Nesprávné názvy a počty atributů zobrazených v objektu
    • Nesprávný čas původu nebo datová razítka
    • Nesprávná čísla sekvence místních aktualizací (USN)
    Nesprávné hodnoty mohou označovat potíže se stránkou databáze, která je hostitelem objektu. Chcete-li použít nástroj Repadmin. exe v případě, že cesta k rozlišujícímu názvu odkazuje na živý objekt, zadejte na příkazovém řádku následující příkaz:
    repadmin/showmeta remote_domain_controller_namedistinguished_name_path_of_reference _object
    Pokud se objekt nachází v kontejneru odstraněných objektů nebo pokud nelze k nalezení objektu použít nástroj Repadmin. exe, vyhledejte jej pomocí odkazu na identifikátor GUID objektu. Na tento identifikátor GUID je odkazováno v události 1084. To lze provést zadáním následujícího příkazu na příkazovém řádku:
    repadmin/showmeta remote_domain_controller_name "GUID_for_the_object that_is_referenced_in_Event_ID_1084"
    Pokud například odkaz Event 1084 a Event 2108 odkazuje na objekt, kde je identifikátor GUID b49cd496-98a2-4500-bb08-58550c2f79ac, zadejte:
    repadmin/showmeta "< GUID = b49cd496-98a2-4500-bb08-58550c2f79ac >"
    Poznámka: Jsou vyžadovány uvozovky a závorky.
  8. Nejnovější aktualizaci Service Pack pro váš operační systém získáte po instalaci nejnovějšího nástroje Ntdsutil. exe. Pomocí nástroje Ntdsutil. exe proveďte kontrolu integrity databáze služby Active Directory ve zdrojovém řadiči domény. Před spuštěním počítače v režimu obnovení adresářových služeb Získejte heslo pro účet správce offline. Pokud neznáte heslo účtu správce, resetujte heslo režimu obnovení adresářových služeb dříve, než začnete v tomto režimu. V řadičích domény se systémem Windows 2000 Service Pack 2 (SP2) a novějším použijte příkaz Setpwd. exe . Příkaz Setpwd. exe je umístěn ve složce%SystemRoot%\System32. V řadičích domény se systémem Windows Server 2003 použijte příkaz nástroje Ntdsutil nastavit heslo režimu obnovení adresářových služeb . Další informace o režimu obnovení adresářových služeb získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
    258062 při spuštění řadiče domény založeného na systému Windows nebo SBS se zobrazí chybová zpráva adresářové služby nelze spustit
    Další informace o změně hesla v systému Windows 2000 Server získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
    239803 jak změnit heslo správce konzoly pro zotavení v řadiči domény
    Další informace o změně hesla v systému Windows Server 2003 získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
    322672 jak obnovit heslo účtu správce režimu obnovení adresářových služeb v systému Windows Server 2003
  9. Restartujte zdrojový řadič domény a stisknutím klávesy F8 spusťte režim obnovení adresářových služeb. Do příkazového řádku zadejte příkaz Ntdsutila stiskněte klávesu ENTER. Poznámka: Tento příkaz potvrzuje integritu databáze.
    • Pokud nástroj Ntdsutil ohlásí, že je databáze poškozena, a máte repliky názvových kontextů ve zdrojovém řadiči domény, vynuťte snížení úrovně zdrojového řadiče domény a po ověření integrity ovladačů jej znovu povýšit, firmware a fyzické jednotky, které jsou hostiteli databáze služby Active Directory a souborů protokolu transakcí.
    • Pokud je databáze poškozena a neexistují žádné repliky názvového kontextu ve zdrojovém řadiči domény, obnovte nejnovější stav systému. Znovu potvrďte integritu databáze pomocí nástroje NTDSutil. exe. Pokud se stále zobrazuje zpráva o poškození, obnovte starší zálohy, dokud nebude možné ověřit integritu řadiče domény.
    • Pokud je databáze stále poškozena, obnovte nejnovější zálohu stavu systému a do příkazového řádku zadejte následující příkaz:
      ntdsutil files recover
      Pomocí nástroje NTDSutil. exe znovu potvrďte integritu databáze. Pokud databáze předá kontrolu integrity, proveďte defragmentaci diskového oddílu v režimu offline. Další informace získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
      232122 provedení defragmentace databáze služby Active Directory v režimu offline
      Chcete-li provést kontrolu integrity databáze, zadejte na příkazovém řádku následující příkaz a stiskněte klávesu ENTER, kde database_name je název databáze služby Active Directory:
      esentutl.exe /g database_name
      Nakonec použijte možnost spustit běžným způsobem systém Windows a restartujte počítač a potom opakujte replikaci ze zdrojového řadiče domény do ohroženého cílového řadiče domény. Pokud databáze kontrolu integrity selže, musí být řadič domény ukončen. K migraci objektů slouží nástroj ADMT (Active Directory Migration Tool). K exportu objektů, které budete importovat do nového cílového řadiče domény, můžete použít také nástroje LDIFDE. exe a Csvde. exe. Další informace o použití nástroje ADMT získáte v následujících článcích znalostní báze Microsoft Knowledge Base:
      326480 jak pomocí nástroje ADMT (Active Directory Migration Tool) verze 2 migrovat ze systému Windows 2000 na systém windows Server 2003
      Další informace o použití nástrojů LDIFDE. exe a Csvde. exe získáte v následujících článcích znalostní báze Microsoft Knowledge Base:
      237677 použití nástroje LDIFDE k importu a exportu objektů adresáře do služby Active Directory
      327620 jak pomocí nástroje Csvde importovat kontakty a uživatelské objekty do služby Active Directory
      298882 nové nástroje příkazového řádku pro službu Active Directory v systému Windows Server 2003
  10. Pokud tyto kroky nebudou úspěšné a Chyba replikace bude pokračovat, snižte úroveň řadiče domény, potvrďte integritu fyzických jednotek a svazků, které jsou hostiteli souboru Ntds. dit a diskového podsystému, a poté znovu povýšit řadič domény. Použijte stejný název počítače.
  11. Pomocí příkazu Ntdsutil Files Compact proveďte defragmentaci databáze služby Active Directory v režimu offline. Další informace získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
    232122 provedení defragmentace databáze služby Active Directory v režimu offline
  12. Na příkazovém řádku zadejte následující příkaz a stiskněte klávesu ENTER:
    ntdsutil "semantic database analysis" "go"
    Poznámka: Uvozovky v tomto příkladu jsou požadovány ke spuštění příkazu sémantické analýzy databáze pomocí jediného argumentu příkazového řádku. Pokud jsou hlášeny chyby, zadejte příkaz Ntdsutila stiskněte klávesu ENTER. Poznámka: Příkazy sémantických databází neprovádějí ztrátové opravy databází služby Active Directory, jako jsou například příkazy Nástroje pro opravu souborů systému Pre-Windows Server 2003 Service Pack 1 nebo příkaz Esentutl/p .
 
Tento článek se týká těchto produktů:
Windows Server 2016, Windows Server 2012 R2, Windows Server 2008 R2, Windows Server 2003 SP1, Windows 2000 Server