Sintomi
Si noterà che la replica di Active Directory è bloccata e si ricevono alcuni eventi simili ai seguenti:
Si noterà che la replica di Active Directory è bloccata e si ricevono alcuni eventi simili ai seguenti:
Nome log: Servizio directory
Origine: Microsoft-Windows-ActiveDirectory_DomainService
ID evento: 1084
Categoria attività: Replica
Livello: Errore
Parole chiave: Classica
Descrizione:
Evento interno: Servizi di dominio Active Directory non è stato in grado di aggiornare l'oggetto seguente con le modifiche ricevute dal servizio directory di origine seguente. Questo perché si è verificato un errore durante l'applicazione delle modifiche a Servizi di dominio Active Directory nel servizio directory.
Oggetto:
<DN dell'oggetto>
GUID oggetto:
<GUID dell'oggetto>
Servizio directory di origine:
<nome DNS del partner basato su GUID>
La sincronizzazione del servizio directory con il servizio directory di origine viene bloccata finché il problema di aggiornamento non viene risolto.
Questa operazione verrà riprovata alla successiva replica pianificata.
Azione utente
Riavviare il computer locale se questa condizione sembra essere correlata a risorse di sistema limitate, ad esempio memoria fisica o virtuale insufficiente.
Dati aggiuntivi
Valore di errore:
8206 Il servizio directory è occupato.
Nome log: Servizio directory
Origine: Microsoft-Windows-ActiveDirectory_DomainService
ID evento: 1173
Descrizione:
Servizi di dominio Active Directory ha rilevato l'eccezione seguente e i parametri associati.
Eccezione: e0010002
Parametro: 0
Dati aggiuntivi
Valore di errore: 8443
L'operazione di replica ha rilevato un'incoerenza del database.
Si noterà che l'oggetto è stato spostato di recente da un dominio alla posizione specificata nell'evento. Si noterà che l'oggetto originale esiste ancora in alcuni controller di dominio e che il nuovo oggetto si trova in altri controller di dominio della foresta. Si decide di eliminare l'oggetto di origine. Ma questo non risolve il problema.
Quando si abilita la registrazione diagnostica NTDS per la replica di categorie al livello 3, viene visualizzato l'evento seguente:
Nome log: Servizio directory
Origine: Microsoft-Windows-ActiveDirectory_DomainService
ID evento: 2894
Categoria attività: Replica
Livello: Informazioni
Parole chiave: Classica
Descrizione:
Il controller di dominio Active Directory di destinazione che ha generato l'evento ha elaborato un aggiornamento del valore del collegamento nell'oggetto di origine seguente. La modifica non è stata applicata perché l'oggetto di origine è in stato di riciclo nel controller di dominio Active Directory di destinazione.
Per correggere questa condizione, il controller di dominio Active Directory di destinazione richiederà di nuovo un elenco ordinato di aggiornamenti dal controller di dominio Active Directory di origine.
GUID oggetto di origine:
<GUID dell'oggetto>
Attributo:
<nome dell'attributo>
DN oggetto di destinazione:
<DN dell'oggetto>
Causa
Quando gli oggetti vengono spostati tra domini, il processo include due transazioni:
-
L'oggetto viene creato nel dominio di destinazione con tutti gli attributi necessari. L'oggetto spostato ha lo stesso objectGUID dell'oggetto di origine, quindi i due oggetti non possono essere contenuti nello stesso sistema.
-
Il dominio di origine include un nuovo oggetto proxy di spostamento dell'oggetto nel contenitore Infrastruttura e l'oggetto originale viene rimosso dal database.
Questa situazione si verifica quando la seconda transazione non riesce per qualche motivo. Nella maggior parte dei casi, il motore di replica risolve il problema, in particolare la combinazione di eventi che la condizione non può essere risolta a causa del modo in cui gli oggetti eliminati e i fantasma sono rappresentati nel database.
Risoluzione
Questo aggiornamento rapido è disponibile anche nel catalogo di Microsoft Update
Informazioni sull'aggiornamento rapido
Un aggiornamento rapido supportato è disponibile da Microsoft. Tuttavia, questo aggiornamento rapido è destinato a correggere solo il problema descritto in questo articolo. Applicare questo aggiornamento rapido (hotfix) solo ai sistemi in cui si verifica il problema descritto in questo articolo. Questo aggiornamento rapido potrebbe ricevere altri test. Pertanto, se non si è gravemente interessati da questo problema, è consigliabile attendere il prossimo aggiornamento software che contiene questo aggiornamento rapido.
Se l'aggiornamento rapido è disponibile per il download, nella parte superiore di questo articolo della Knowledge Base è presente una sezione "Download dell'aggiornamento rapido disponibile". Se questa sezione non viene visualizzata, contattare il Servizio Supporto Tecnico Clienti Microsoft per ottenere l'aggiornamento rapido.
Nota Se si verificano altri problemi o se è necessaria una risoluzione dei problemi, potrebbe essere necessario creare una richiesta di servizio separata. I soliti costi di supporto si applicano ad altre domande e problemi di supporto che non sono idonei per questo aggiornamento rapido specifico. Per un elenco completo dei numeri di telefono del Servizio Supporto Tecnico Clienti Microsoft o per creare una richiesta di servizio separata, visitare il seguente sito Web Microsoft:
http://support.microsoft.com/contactus
Note Il modulo "Aggiornamento rapido disponibile" visualizza le lingue per cui è disponibile l'aggiornamento rapido. Se la lingua non è visualizzata, significa che non è disponibile un aggiornamento rapido per tale lingua.
Requisiti
Per applicare questo hotfix, è necessario eseguire Windows Server 2008 SP2 o Windows Server 2008 R2 SP1.
Per altre informazioni su come ottenere un Service Pack di Windows Server 2008, fare clic sul numero dell'articolo seguente per visualizzare l'articolo della Microsoft Knowledge Base:
968849 Come ottenere il Service Pack più recente per Windows Server 2008
Per altre informazioni su come ottenere un Service Pack di Windows Server 2008 R2, fare clic sul numero dell'articolo seguente per visualizzare l'articolo della Microsoft Knowledge Base:
976932 Informazioni sul Service Pack 1 per Windows 7 e per Windows Server 2008 R2
Aggiornamento disponibile
Sintomi
Si noterà che la replica di Active Directory è bloccata e si ricevono alcuni eventi simili ai seguenti:
Nome log: Servizio directory
Origine: Microsoft-Windows-ActiveDirectory_DomainService
ID evento: 1084
Categoria attività: Replica
Livello: Errore
Parole chiave: Classica
Descrizione:
Evento interno: Servizi di dominio Active Directory non è stato in grado di aggiornare l'oggetto seguente con le modifiche ricevute dal servizio directory di origine seguente. Questo perché si è verificato un errore durante l'applicazione delle modifiche a Servizi di dominio Active Directory nel servizio directory.
Oggetto:
<DN dell'oggetto>
GUID oggetto:
<GUID dell'oggetto>
Servizio directory di origine:
<nome DNS del partner basato su GUID>
La sincronizzazione del servizio directory con il servizio directory di origine viene bloccata finché il problema di aggiornamento non viene risolto.
Questa operazione verrà riprovata alla successiva replica pianificata.
Azione utente
Riavviare il computer locale se questa condizione sembra essere correlata a risorse di sistema limitate, ad esempio memoria fisica o virtuale insufficiente.
Dati aggiuntivi
Valore di errore:
8206 Il servizio directory è occupato.
Nome log: Servizio directory
Origine: Microsoft-Windows-ActiveDirectory_DomainService
ID evento: 1173
Descrizione:
Servizi di dominio Active Directory ha rilevato l'eccezione seguente e i parametri associati.
Eccezione: e0010002
Parametro: 0
Dati aggiuntivi
Valore di errore: 8443
L'operazione di replica ha rilevato un'incoerenza del database.
Si noterà che l'oggetto è stato spostato di recente da un dominio alla posizione specificata nell'evento. Si noterà che l'oggetto originale esiste ancora in alcuni controller di dominio e che il nuovo oggetto si trova in altri controller di dominio della foresta. Si decide di eliminare l'oggetto di origine. Ma questo non risolve il problema.
Quando si abilita la registrazione diagnostica NTDS per la replica di categorie al livello 3, viene visualizzato l'evento seguente:
Nome log: Servizio directory
Origine: Microsoft-Windows-ActiveDirectory_DomainService
ID evento: 2894
Categoria attività: Replica
Livello: Informazioni
Parole chiave: Classica
Descrizione:
Il controller di dominio Active Directory di destinazione che ha generato l'evento ha elaborato un aggiornamento del valore del collegamento nell'oggetto di origine seguente. La modifica non è stata applicata perché l'oggetto di origine è in stato di riciclo nel controller di dominio Active Directory di destinazione.
Per correggere questa condizione, il controller di dominio Active Directory di destinazione richiederà di nuovo un elenco ordinato di aggiornamenti dal controller di dominio Active Directory di origine.
GUID oggetto di origine:
<GUID dell'oggetto>
Attributo:
<nome dell'attributo>
DN oggetto di destinazione:
<DN dell'oggetto>
Causa
Quando gli oggetti vengono spostati tra domini, il processo include due transazioni:
L'oggetto viene creato nel dominio di destinazione con tutti gli attributi necessari. L'oggetto spostato ha lo stesso objectGUID dell'oggetto di origine, quindi i due oggetti non possono essere contenuti nello stesso sistema.
Il dominio di origine include un nuovo oggetto proxy di spostamento dell'oggetto nel contenitore Infrastruttura e l'oggetto originale viene rimosso dal database.
Questa situazione si verifica quando la seconda transazione non riesce per qualche motivo. Nella maggior parte dei casi, il motore di replica risolve il problema, in particolare la combinazione di eventi che la condizione non può essere risolta a causa del modo in cui gli oggetti eliminati e i fantasma sono rappresentati nel database.
Risoluzione
Questo aggiornamento rapido è disponibile anche nel catalogo di Microsoft Update
Informazioni sull'aggiornamento rapido
Un aggiornamento rapido supportato è disponibile da Microsoft. Tuttavia, questo aggiornamento rapido è destinato a correggere solo il problema descritto in questo articolo. Applicare questo aggiornamento rapido (hotfix) solo ai sistemi in cui si verifica il problema descritto in questo articolo. Questo aggiornamento rapido potrebbe ricevere altri test. Pertanto, se non si è gravemente interessati da questo problema, è consigliabile attendere il prossimo aggiornamento software che contiene questo aggiornamento rapido.
Se l'aggiornamento rapido è disponibile per il download, nella parte superiore di questo articolo della Knowledge Base è presente una sezione "Download dell'aggiornamento rapido disponibile". Se questa sezione non viene visualizzata, contattare il Servizio Supporto Tecnico Clienti Microsoft per ottenere l'aggiornamento rapido.
Nota Se si verificano altri problemi o se è necessaria una risoluzione dei problemi, potrebbe essere necessario creare una richiesta di servizio separata. I soliti costi di supporto si applicano ad altre domande e problemi di supporto che non sono idonei per questo aggiornamento rapido specifico. Per un elenco completo dei numeri di telefono del Servizio Supporto Tecnico Clienti Microsoft o per creare una richiesta di servizio separata, visitare il seguente sito Web Microsoft:
http://support.microsoft.com/contactus/?ws=support
Nota Il modulo "Aggiornamento rapido disponibile" visualizza le lingue per cui è disponibile l'aggiornamento rapido. Se la lingua non è visualizzata, significa che non è disponibile un aggiornamento rapido per tale lingua.
Requisiti
Per applicare questo hotfix, è necessario eseguire Windows Server 2008 SP2 o Windows Server 2008 R2 SP1.
Per altre informazioni su come ottenere un Service Pack di Windows Server 2008, fare clic sul numero dell'articolo seguente per visualizzare l'articolo della Microsoft Knowledge Base:
968849 Come ottenere il Service Pack più recente per Windows Server 2008
Per altre informazioni su come ottenere un Service Pack di Windows Server 2008 R2, fare clic sul numero dell'articolo seguente per visualizzare l'articolo della Microsoft Knowledge Base:
976932 Informazioni sul Service Pack 1 per Windows 7 e Windows Server 2008 R2
Informazioni sul Registro di sistema
Non è necessario apportare modifiche al Registro di sistema per applicare l'hotfix.
Richiesta di riavvio
Dopo aver applicato questo hotfix, è necessario riavviare il computer.
Informazioni sulla sostituzione degli hotfix
Questo hotfix non sostituisce alcun altro hotfix precedentemente rilasciato.
Informazioni sui file
La versione globale di questo hotfix installa file che hanno gli attributi elencati nella seguente tabella. Le date e gli orari per questi file sono elencati in formato UTC (Coordinated Universal Time). Le date e gli orari per questi file sul vostro computer locale sono espressi nel vostro orario locale e tengono anche conto dell'ora solare (DST). Inoltre, le date e le ore potrebbero cambiare con l'esecuzione di alcune operazioni sui file.
Note sulle informazioni sui file di Windows Server 2008
Importante Gli aggiornamenti rapidi di Windows Vista e gli aggiornamenti rapidi di Windows Server 2008 sono inclusi negli stessi pacchetti. Tuttavia, solo "Windows Vista" è elencato nella pagina Richiesta di aggiornamento rapido. Per richiedere il pacchetto di aggiornamenti rapidi applicabile a uno o a entrambi i sistemi operativi, selezionare l'aggiornamento rapido elencato in "Windows Vista" nella pagina. Fare sempre riferimento alla sezione "Si applica a" negli articoli per determinare il sistema operativo effettivo a cui si applica ogni aggiornamento rapido.
-
I file che si applicano a un prodotto specifico, SR_Level (RTM, SPn) e a un ramo del servizio (LDR, GDR) possono essere identificati esaminando i numeri di versione del file come illustrato nella tabella seguente:
|
Versione |
Prodotto |
Attività cardine |
Filiale del servizio |
|
6.0.600 2.23xxx |
Windows Server 2008 |
SP2 |
LDR |
-
I file MANIFEST (con estensione manifest) e i file MUM (con estensione mamma) installati per ogni ambiente sono elencati separatamente nella sezione "Informazioni aggiuntive sui file per Windows Server 2008". I file MUM e MANIFEST, oltre ai file di catalogo della sicurezza associati (con estensione cat), sono estremamente importanti per il mantenimento dello stato del componente aggiornato. Ai file del catalogo di sicurezza, i cui attributi non sono elencati, è stata applicata la firma digitale Microsoft.
Per tutte le versioni basate su x86 supportate di Windows Server 2008
|
Nome file |
Versione file |
Dimensione file |
Date |
Ora |
Piattaforma |
|
Ntdsai.dll |
6.0.6002.23134 |
1,957,888 |
7-giu-13 |
2:56 |
x86 |
Per tutte le versioni basate su x64 supportate di Windows Server 2008
|
Nome file |
Versione file |
Dimensione file |
Date |
Ora |
Piattaforma |
|
Ntdsai.dll |
6.0.6002.23134 |
2,657,280 |
7-giu-13 |
3:34 |
x64 |
Note sulle informazioni sui file di Windows Server 2008 R2
Importante Gli aggiornamenti rapidi di Windows 7 e gli aggiornamenti rapidi di Windows Server 2008 R2 sono inclusi negli stessi pacchetti. Tuttavia, gli aggiornamenti rapidi nella pagina Richiesta di aggiornamento rapido sono elencati in entrambi i sistemi operativi. Per richiedere il pacchetto di aggiornamenti rapidi applicabile a uno o a entrambi i sistemi operativi, selezionare l'aggiornamento rapido elencato in "Windows 7/Windows Server 2008 R2" nella pagina. Fare sempre riferimento alla sezione "Si applica a" negli articoli per determinare il sistema operativo effettivo a cui si applica ogni aggiornamento rapido.
-
I file che si applicano a un prodotto specifico, SR_Level (RTM, SPn) e a un ramo del servizio (LDR, GDR) possono essere identificati esaminando i numeri di versione del file come illustrato nella tabella seguente:
|
Versione |
Prodotto |
Attività cardine |
Filiale del servizio |
|
6.1.760 1.22xxx |
Windows Server 2008 R2 |
SP1 |
LDR |
-
I file MANIFEST (con estensione manifest) e i file MUM (con estensione mamma) installati per ogni ambiente sono elencati separatamente nella sezione "Altre informazioni sui file per Windows Server 2008 R2". I file MUM e MANIFEST, oltre ai file di catalogo della sicurezza associati (con estensione cat), sono estremamente importanti per il mantenimento dello stato del componente aggiornato. Ai file del catalogo di sicurezza, i cui attributi non sono elencati, è stata applicata la firma digitale Microsoft.
Per tutte le versioni basate su x64 supportate di Windows Server 2008 R2
|
Nome file |
Versione file |
Dimensione file |
Date |
Ora |
Piattaforma |
|
Ntdsai.dll |
6.1.7601.22351 |
2,657,280 |
7-giu-13 |
5:16 |
x64 |
Stato
Microsoft ha confermato che questo problema si verifica nei prodotti elencati nella sezione "Si applica a".
Ulteriori informazioni
Per altre informazioni sulla terminologia degli aggiornamenti software, fare clic sul numero dell'articolo seguente per visualizzare l'articolo della Microsoft Knowledge Base:
824684 Descrizione della terminologia standard utilizzata per descrivere gli aggiornamenti software Microsoft
Ulteriori informazioni sui file
File aggiuntivi per tutte le versioni basate su x86 supportate di Windows Server 2008
|
Nome file |
X86_microsoft-windows-d.. toryservices-ntdsai_31bf3856ad364e35_6.0.6002.23134_none_f319d0edcf7b83d2.manifest |
|
Versione file |
Non applicabile |
|
Dimensione file |
12,574 |
|
Date (UTC) |
7-giu-13 |
|
Time (UTC) |
3:41 |
|
Piattaforma |
Non applicabile |
|
Nome file |
Update.mamma |
|
Versione file |
Non applicabile |
|
Dimensione file |
34,030 |
|
Date (UTC) |
10 giu-13 |
|
Time (UTC) |
9:27 |
|
Piattaforma |
Non applicabile |
File aggiuntivi per tutte le versioni basate su x64 supportate di Windows Server 2008
|
Nome file |
Amd64_microsoft-windows-d.. toryservices-ntdsai_31bf3856ad364e35_6.0.6002.23134_none_4f386c7187d8f508.manifest |
|
Versione file |
Non applicabile |
|
Dimensione file |
12,632 |
|
Date (UTC) |
7-giu-13 |
|
Time (UTC) |
4:24 |
|
Piattaforma |
Non applicabile |
|
Nome file |
Update.mamma |
|
Versione file |
Non applicabile |
|
Dimensione file |
34,338 |
|
Date (UTC) |
10 giu-13 |
|
Time (UTC) |
9:26 |
|
Piattaforma |
Non applicabile |
File aggiuntivi per tutte le versioni basate su x64 supportate di Windows Server 2008 R2
|
Nome file |
Amd64_microsoft-windows-d.. toryservices-ntdsai_31bf3856ad364e35_6.1.7601.22351_none_4f47871ee9033495.manifest |
|
Versione file |
Non applicabile |
|
Dimensione file |
3,531 |
|
Date (UTC) |
7-giu-13 |
|
Time (UTC) |
5:48 |
|
Piattaforma |
Non applicabile |
|
Nome file |
Update.mamma |
|
Versione file |
Non applicabile |
|
Dimensione file |
41,907 |
|
Date (UTC) |
10 giu-13 |
|
Time (UTC) |
22:02 |
|
Piattaforma |
Non applicabile |
Ulteriori informazioni
In questa particolare situazione del cliente è stato rilevato che l'oggetto di origine si trovava in alcuni dei controller di dominio del dominio di origine e che il nuovo oggetto del dominio di destinazione era presente nel database. Pertanto, tecnicamente, l'oggetto era persistente sui controller di dominio problematici all'interno dell'ambito del dominio.
Quando è stato eseguito "Repadmin /removelingeringobjects" sui controller di dominio con un controller di dominio di riferimento pulito, l'oggetto problema è stato rimosso e il nuovo oggetto potrebbe essere replicato nel database. La chiave è che il controller di dominio di riferimento non è un catalogo globale, quindi non contiene un oggetto con quel particolare objectGUID.
Windows Server 2012 risolve una combinazione di stati oggetto e fantasma che attivano questo problema.
Si sono riscontrati diversi problemi laterali dopo l'uso della rimozione di oggetti persistenti:
-
Diversi valori di collegamento del nuovo oggetto non erano sincronizzati in un sottoinsieme dei controller di dominio. È stata creata l'importazione ldifde per rimuovere e aggiungere di nuovo i valori in modo che vengano replicati di nuovo.
-
Alcuni controller di dominio hanno iniziato a verificarsi violazioni di accesso in LSASS. Il cliente ha rimosso e aggiunto di nuovo il ruolo catalogo globale, quindi i controller di dominio erano stabili.
-
Errore di replica 8464:
Il tentativo di sincronizzazione non è riuscito perché il controller di dominio di destinazione è attualmente in attesa di sincronizzare i nuovi attributi parziali dall'origine. Questa condizione è normale se una modifica recente dello schema ha modificato il set di attributi parziali. Il set di attributi parziali di destinazione non è un sottoinsieme del set di attributi parziali di origine.
-
Nella parte inferiore dell'output "repadmin /showrepl" sono stati segnalati errori "Accesso negato". Non è stato possibile tenere traccia di queste informazioni.
Nei due controller di dominio interessati dal problema è stato eseguito l'abbassamento di livello e la repromotion di DCPROMO. In questo modo i problemi sono stati risolti.
