Gli ID evento di replica di Active Directory 2108 e 1084 si verificano durante la replica in ingresso di Active Directory Domain Services

  • Articolo

Questo articolo fornisce una soluzione a un problema per cui si ottengono gli ID evento 2108 e 1084 quando si verifica la replica in ingresso del Active Directory Domain Services (AD DS).

Si applica a: Windows Server 2016, Windows Server 2012 R2
Numero KB originale: 837932

Sintomi

Quando si verifica la replica in ingresso del Active Directory Domain Services (AD DS), un controller di dominio di destinazione che esegue Microsoft Windows Server 2003 Service Pack 1 (SP1) tramite Windows Server 2016 registra l'evento seguente nel log del servizio directory:

ID evento 1084: evento interno: Active Directory Domain Services non è stato possibile aggiornare l'oggetto seguente con le modifiche ricevute dal servizio directory di origine seguente. Ciò è dovuto al fatto che si è verificato un errore durante l'applicazione delle modifiche apportate a Active Directory Domain Services nel servizio directory.

Oggetto: CN=<cn path>

GUID oggetto: <objectguid>

Servizio directory di origine: NTDSA._msdcs.<nome di dominio DNS radice forst>

La sincronizzazione del servizio directory con il servizio directory di origine viene bloccata fino a quando questo problema di aggiornamento non viene corretto.

Questa operazione verrà ritenta alla replica pianificata successiva.

Azione utente:

Riavviare il computer locale se questa condizione sembra essere correlata a risorse di sistema ridotte, ad esempio memoria fisica o virtuale insufficiente.

Dati aggiuntivi:

Valore errore: <stringa di errore del codice><di errore>

Nota

  • Nel testo Valore errore il <codice> di errore e <la stringa di> errore rappresentano i valori effettivi visualizzati nella voce del log.
  • L'evento 1804 è stato registrato da Windows 2000 Server.

Anche i controller di dominio di destinazione che eseguono Windows Server 2003 SP1 registrano l'evento seguente nel log del servizio directory:

ID evento 2108: questo evento contiene REPAIR PROCEDURES per l'evento 1084 registrato in precedenza. Questo messaggio indica un problema specifico relativo alla coerenza del database Active Directory Domain Services in questa destinazione di replica. Si è verificato un errore del database durante l'applicazione delle modifiche replicate all'oggetto seguente. Il database presentava contenuti imprevisti, impedendo l'esecuzione della modifica.

Nota

  • L'evento 2108 viene registrato in Windows Server 2003 dopo l'installazione di SP1.
  • Si tratta di un evento partner per l'evento 1084.

Causa

Questi eventi si verificano quando il controller di dominio non può scrivere una modifica transazionale nella copia locale del database di Active Directory.

Risoluzione

Per risolvere il problema, seguire questa procedura. Ripetere l'operazione di replica dopo ogni passaggio che apporta una modifica.

  1. Assicurarsi che lo spazio disponibile su disco sia sufficiente nei volumi che ospitano il database di Active Directory e quindi ripetere l'operazione. Seguire questa procedura per liberare spazio su disco aggiuntivo:

    1. Spostare file non correlati in un altro volume.

    2. Eseguire un backup dello stato del sistema. Questo processo riduce le dimensioni dei file di log delle transazioni. Per altre informazioni, vedere Come usare la funzionalità di backup per eseguire il backup e il ripristino dei dati in Windows Server 2003.

    3. Eseguire una deframmentazione offline di Active Directory. Per altre informazioni, vedere Come eseguire la deframmentazione offline del database di Active Directory.

  2. Assicurarsi che le unità fisiche che ospitano il file Ntds.dit e i file di log delle transazioni non abbiano la compressione del file system NTFS attivata. Per confermare questa operazione, fare clic con il pulsante destro del mouse sulla lettera di unità in Risorse del computer e quindi assicurarsi che la casella di controllo Comprimi unità per risparmiare spazio su disco non sia selezionata.

  3. Assicurarsi che le unità fisiche che ospitano il file Ntds.dit e i file di log delle transazioni siano escluse in modo specifico dai programmi antivirus remoti e locali. Per altre informazioni, vedere la documentazione del software antivirus.

  4. Se il controller di dominio di destinazione contiene il catalogo globale e l'errore si verifica in una delle partizioni di sola lettura, usare uno dei metodi seguenti per risolvere il problema:

    • Metodo 1: usare l'opzione rehosting dello strumento Repadmin.exe per eseguire il rehosting della partizione interessata.

      Lo strumento Repadmin.exe viene installato nei computer con il ruolo di controller di dominio e viene installato insieme allo strumento RSAT nelle workstation e nei server membri. A tale scopo, digitare quanto segue al prompt dei comandi, dove domain_controller è il nome del controller di dominio di destinazione e good_source_domain_controller_name è il nome di un altro controller di dominio:

      repadmin /rehost domain_controller naming_context good_source_domain_controller_name

    • Metodo 2: configurare il controller di dominio in modo che non sia più un server di catalogo globale. attenersi alla seguente procedura:

      1. Fare clic su Start, scegliere Strumenti di amministrazione e quindi fare clic su Siti e servizi di Active Directory.
      2. Individuare il sottoalbero Default-First-Site-Name\ Servers\ domain_controller_name\ NTDS Settings .
      3. Fare clic con il pulsante destro del mouse su Impostazioni NTDS e quindi scegliere Proprietà.
      4. Fare clic per deselezionare la casella di controllo Catalogo globale e quindi fare clic su OK.

    • Metodo 3

      Se l'errore si verifica in una partizione del programma, usare lo strumento Ntdsutil.exe per modificare la replica che ospita la partizione del programma.

  5. Usare un'utilità di terze parti, ad esempio l'utilità FileMon, per determinare se un programma o un utente accede al database di Active Directory, ai file di log delle transazioni o al file di Edp.tmp. Se esiste un'attività di accesso ai file, arrestare i servizi responsabili dell'attività. Per altre informazioni sull'utilità FileMon, vedere FileMon per Windows v7.04.

  6. Determinare se il problema è correlato all'elemento padre dell'oggetto Active Directory nel controller di dominio di destinazione. A tal fine, attenersi alla seguente procedura:

    1. Nel controller di dominio di origine spostare temporaneamente l'oggetto a cui si fa riferimento nell'evento 1084 in un contenitore di unità organizzativa . L'unità organizzativa deve non essere correlata al contenitore corrente. Ad esempio, spostare l'oggetto in un nuovo contenitore dalla radice del dominio.

    2. Se la replica viene completata dopo lo spostamento dell'oggetto, spostare di nuovo l'oggetto nel contenitore originale.

    3. Forzare il propagatore del descrittore di sicurezza a ricompilare l'origine del contenitore di oggetti nel database esistente nei controller di dominio di origine e di destinazione. A tal fine, attenersi alla seguente procedura:

      1. Assicurarsi che siano installati gli strumenti di supporto di Windows Server 2003. Gli strumenti di supporto sono disponibili nel CD-ROM di Windows Server 2003 nella cartella Support\Tools. Fare doppio clic sul file Suptools.msi per installare gli strumenti.

      2. Fare clic su Start, fare clic su Esegui, digitare ldp e quindi fare clic su OK.

      3. Fare clic su Connessione, fare clic su Connetti e quindi digitare il nome del server a cui si vuole connettersi.

        Nota

        Ci si connetterà sulla porta 389 per Active Directory.

      4. Fare clic su Connessione, fare clic su Associa e quindi digitare il nome utente amministrativo, la password e il dominio. È necessario usare le credenziali di amministratore di dominio o amministratore dell'organizzazione. Fare clic su OK.

      5. Scegliere Modifica dal menu Sfoglia. Lasciare vuota la casella di testo DN . Nella casella di testo Attributo digitare FixUpInheritance. Fare clic su nella casella di testo Valore .

      6. Nell'area Operazione fare clic su Aggiungi.

      7. Fare clic su INVIO per popolare l'area Elenco voci .

        Nota

        Nell'area Elenco voci viene visualizzato [Add]fixupinheritance:yes .

      8. Fare clic su Esegui.

        Nota

        Il riquadro a destra mostra ora lo stato Modificato e viene avviato il propagatore del descrittore di sicurezza. Il runtime per il propagatore del descrittore di sicurezza dipende dalle dimensioni del database di Active Directory. Il processo viene completato quando il contatore degli eventi di propagazione della sicurezza DS nell'oggetto prestazioni NTDS restituisce a zero.

      9. Fare clic su Chiudi, fare clic su Connessione e quindi su Esci.

  7. Nel controller di dominio di origine digitare repadmin /showmeta distinguished_name_path al prompt dei comandi e quindi visualizzare i metadati dell'oggetto per il percorso del nome distinto a cui si fa riferimento nell'evento 1084. Ripetere questo passaggio nel controller di dominio di destinazione. Cercare valori incoerenti che includono, ma non sono limitati a, i seguenti:

    • Nomi e numeri di attributi non corretti visualizzati nell'oggetto
    • Timestamp di data o ora di origine non corretti
    • Numeri di sequenza di aggiornamento locali non corretti (USN)

    I valori non corretti possono indicare un problema con la pagina del database che ospita l'oggetto.

    Per usare lo strumento Repadmin.exe quando il percorso del nome distinto fa riferimento a un oggetto attivo, digitare quanto segue al prompt dei comandi:

    repadmin /showmeta remote_domain_controller_name distinguished_name_path_of_reference _object

    Se l'oggetto si trova in un contenitore di oggetti eliminati o se non è possibile utilizzare lo strumento Repadmin.exe per trovare l'oggetto, utilizzare il riferimento GUID dell'oggetto per trovare l'oggetto. Questo GUID viene fatto riferimento nell'evento 1084. A tale scopo, digitare quanto segue al prompt dei comandi:

    repadmin /showmeta remote_domain_controller_name "GUID_for_the_object that_is_referenced_in_Event_ID_1084"

    Ad esempio, se l'evento 1084 e l'evento 2108 fanno riferimento a un oggetto in cui il GUID è b49cd496-98a2-4500-bb08-58550c2f79ac, digitare repadmin /showmeta "<GUID=b49cd496-98a2-4500-bb08-58550c2f79ac>".

    Nota

    Le virgolette e le parentesi quadre sono obbligatorie.

  8. Ottenere lo strumento di Ntdsutil.exe più recente installando il Service Pack più recente per il sistema operativo. Usare lo strumento Ntdsutil.exe per eseguire un controllo dell'integrità del database di Active Directory nel controller di dominio di origine.

    Prima di avviare il computer in modalità di ripristino di Servizi directory, ottenere la password per l'account amministratore offline. Se non si conosce la password dell'account amministratore, reimpostare la password della modalità di ripristino di Servizi directory prima di iniziare in questa modalità. Nei controller di dominio che eseguono Windows 2000 Service Pack 2 (SP2) e versioni successive, usare il comando Setpwd.exe. Il comando Setpwd.exe si trova nella cartella %Systemroot%\System32. Nei controller di dominio basati su Windows Server 2003 usare il comando Ntdsutil Set Directory Services Restore Mode Password.On Windows Server 2003-based domain controllers, use the Ntdsutil Set Directory Services Restore Mode Password command.

    Per altre informazioni sulla modalità di ripristino di Servizi directory, vedere il messaggio di errore "Impossibile avviare Servizi directory" quando si avvia il controller di dominio basato su Windows o basato su SBS.

    Per altre informazioni su come modificare la password in Windows Server 2003, vedere il messaggio di errore "Impossibile avviare Servizi directory" quando si avvia il controller di dominio basato su Windows o SBS.

  9. Riavviare il controller di dominio di origine e quindi premere F8 per avviare la modalità di ripristino di Servizi directory. Al prompt dei comandi, digitare ntdsutil files integrity, quindi premere INVIO.

    Nota

    Questo comando conferma l'integrità del database.

    • Se lo strumento Ntdsutil segnala che il database è danneggiato e sono presenti repliche dei contesti di denominazione nel controller di dominio di origine, forzare l'abbassamento di livello del controller di dominio di origine e quindi alzare di livello di livello dopo aver verificato l'integrità dei driver, del firmware e delle unità fisiche che ospitano il database di Active Directory e i file di log delle transazioni.

    • Se il database è danneggiato e non sono presenti repliche del contesto di denominazione nel controller di dominio di origine, ripristinare lo stato del sistema più recente. Usare lo strumento NTDSutil.exe per confermare nuovamente l'integrità del database. Se si riceve ancora un messaggio di danneggiamento, ripristinare i backup meno recenti fino a quando non è possibile confermare l'integrità del controller di dominio.

    • Se il database è ancora danneggiato, ripristinare il backup più recente dello stato del sistema e quindi, al prompt dei comandi, digitare:

      ntdsutil files recover

      Usare lo strumento NTDSutil.exe per confermare nuovamente l'integrità del database. Se il database supera il controllo di integrità, eseguire una deframmentazione offline della partizione del disco. Per altre informazioni, vedere Come eseguire la deframmentazione offline del database di Active Directory.

      Per eseguire un controllo dell'integrità del database, digitare quanto segue al prompt dei comandi e quindi premere INVIO, dove database_name è il nome del database di Active Directory:

      esentutl.exe /g database_name

      Infine, usare l'opzione Avvia Windows Normalmente per riavviare il computer e quindi ripetere la replica dal controller di dominio di origine al controller di dominio di destinazione interessato. Se il controllo dell'integrità del database non riesce, il controller di dominio deve essere sospeso. Per eseguire la migrazione di oggetti, usare Active Directory Migration Tool (ADMT). È anche possibile usare gli strumenti Ldifde.exe e Csvde.exe per esportare gli oggetti che verranno importati in un nuovo controller di dominio di destinazione.

      Per altre informazioni su come usare gli strumenti di Ldifde.exe e Csvde.exe, vedere Guida dettagliata all'importazione ed esportazione bulk in Active Directory.

  10. Se questi passaggi non hanno esito positivo e l'errore di replica continua, abbassare di livello il controller di dominio, verificare l'integrità delle unità fisiche e dei volumi che ospitano il file Ntds.dit e il sottosistema disco, quindi alzare di nuovo il livello del controller di dominio. Usare lo stesso nome del computer.

  11. Usare il comando ntdsutil files compact per eseguire una deframmentazione offline del database di Active Directory. Per altre informazioni, vedere Esecuzione della deframmentazione offline del database di Active Directory .

  12. Al prompt dei comandi digitare il comando seguente e premere INVIO:

    ntdsutil "semantic database analysis" "go"

    Nota

    Le virgolette in questo esempio sono necessarie per eseguire il comando di analisi semantica del database usando un singolo argomento della riga di comando.

    Se vengono segnalati errori, type ntdsutil go fixupe quindi premere INVIO.

    Nota

    I comandi del database semantico non eseguono correzioni di perdita nei database di Active Directory, ad esempio i comandi o il ripristino Esentutl /p dei file ntdsutil precedenti a Windows Server 2003 Service Pack 1 Ntdsutil.

    Dichiarazione di non responsabilità sulle informazioni di terze parti

    I prodotti di terzi citati in questo articolo sono prodotti da società indipendenti da Microsoft. Microsoft non rilascia alcuna garanzia implicita o esplicita relativa alle prestazioni o all'affidabilità di tali prodotti

Raccolta dei dati

Se è necessaria l'assistenza del supporto tecnico Microsoft, è consigliabile raccogliere le informazioni seguendo i passaggi indicati in Raccogliere informazioni usando TSS per i problemi di replica di Active Directory.