Erro de replicação do Active Directory 8456 ou 8457: A origem | No momento, o servidor de destino está rejeitando solicitações de replicação

  • Artigo

Este artigo descreve os sintomas, a causa e as etapas de resolução para situações em que as operações do Active Directory falham com o erro 8456 ou 8457.

Aplica-se a: Windows Server (todas as versões com suporte)
Número de KB original: 2023007

Observação

Usuários domésticos: Este artigo destina-se apenas a agentes de suporte técnico e profissionais de TI. Se você estiver procurando ajuda com um problema, pergunte à Comunidade da Microsoft.

Sintomas

As operações do Active Directory falham com o erro 8456 ou 8457: A origem | No momento, o servidor de destino está rejeitando solicitações de replicação.

  1. A promoção DCPROMO de um novo controlador de domínio em uma floresta existente falha com o erro: o servidor de origem está rejeitando as solicitações de replicação no momento.

    Texto do título da caixa de diálogo: Texto da mensagem de caixa de diálogo assistente de instalação do Active Directory:

    A operação falhou porque: o Active Directory não pôde transferir os dados restantes no caminho> de DN de partição do diretório de diretório <de diretório para DC> de destino do controlador <de domínio. "No momento, o servidor de origem está rejeitando solicitações de replicação."

  2. O DCDIAG relata o erro: o servidor de origem está rejeitando as solicitações de replicação ou o servidor de destino está rejeitando as solicitações de replicação no momento.

    Servidor de teste: NOME DC nome do primeiro site<padrão>
    Teste inicial: Replicações
    * Verificação de replicações
    [Verificação de replicações,<DC NAME>] Falha na tentativa de replicação recente:
    De IADOMINO a <DC NAME>
    Contexto de nomenclatura: caminho DC=<DN de partição>
    A replicação gerou um erro (8456):
    No momento, o servidor de origem está rejeitando solicitações de replicação.
    A falha ocorreu na Hora da <Data><>.
    O último sucesso ocorreu na <hora da><data>.
    957 falhas ocorreram desde o último sucesso.
    A replicação foi explicitamente desabilitada por meio das opções do servidor

    Servidor de teste: NOME DC nome do primeiro site<padrão>
    Teste inicial: Replicações
    * Verificação de replicações
    [Verificação de replicações,<DC NAME>] Falha na tentativa de replicação recente:
    De IADOMINO a <DC NAME>
    Contexto de nomenclatura: caminho DC=<DN de partição>
    A replicação gerou um erro (8457):
    No momento, o servidor de destino está rejeitando solicitações de replicação.
    A falha ocorreu na Hora da <Data><>.
    O último sucesso ocorreu na <hora da><data>.
    957 falhas ocorreram desde o último sucesso.
    A replicação foi explicitamente desabilitada por meio das opções do servidor

  3. REPADMIN indica que a replicação de entrada e saída do Active Directory pode estar falhando com o erro: A origem | No momento, o servidor de destino está rejeitando a replicação.

    DC=Contoso,DC=COM
    <nome><do site dc name> via RPC
    GUID do objeto DC: <guia de objeto do objeto de configurações NTDS de DCs de origem>
    Falha na última tentativa @ <hora> da data><, resultado 8457 (0x2109):
    No momento, o servidor de destino está rejeitando solicitações de replicação.

    DC=Contoso,DC=COM
    <nome><do site dc name> via RPC
    GUID do objeto DC: <guia de objeto do objeto de configurações NTDS de DCs de origem>
    Falha na última tentativa @ <hora> da data><, resultado 8456 (0x2108):
    No momento, o servidor de origem está rejeitando solicitações de replicação.

    Observação

    Os comandos REPADMIN podem exibir o hexadecimal e o equivalente decimal para o erro de replicação atualmente rejeitado.

  4. As fontes de evento e as IDs de evento que indicam que ocorreu uma reversão da USN incluem, mas não se limitam ao seguinte.

    Origem do evento ID do Evento Cadeia de eventos
    NTDS KCC 1308 O KCC (Verificador de Consistência de Conhecimento) detectou que tentativas sucessivas de replicar com o controlador de domínio a seguir falharam consistentemente.
    NTDS KCC 1925 A tentativa de estabelecer um link de replicação para a partição de diretório gravável a seguir falhou.
    NTDS KCC 1926 Falha na tentativa de estabelecer um link de replicação para uma partição de diretório somente leitura com os parâmetros a seguir
    Replicação do NTDS 1586 O ponto de verificação de replicação Windows NT 4.0 ou anterior com o emulador PDC master não teve êxito. Uma sincronização completa do banco de dados SAM (gerenciador de contas de segurança) para controladores de domínio que executam Windows NT 4.0 e anteriores pode ocorrer se o emulador PDC master função for transferida para o controlador de domínio local antes do próximo ponto de verificação bem-sucedido. O processo de ponto de verificação será julgado novamente em quatro horas.
    Replicação do NTDS 2023 O controlador de domínio local não pôde replicar alterações no controlador de domínio remoto a seguir para a partição de diretório a seguir.
    Microsoft-Windows-ActiveDirectory_DomainService 2095 Durante uma solicitação de replicação Active Directory Domain Services, o DC (controlador de domínio local) identificou um DC remoto que recebeu dados de replicação do DC local usando números de rastreamento USN já reconhecidos.
    Microsoft-Windows-ActiveDirectory_DomainService 2103 O banco de dados Active Directory Domain Services foi restaurado usando um procedimento de restauração sem suporte. Active Directory Domain Services não poderá fazer logon nos usuários enquanto essa condição persistir. Portanto, o serviço Net Logon fez uma pausa.

    Em que os códigos 8456 e 8457 do status inseridos são mapeados para o seguinte.

    Erro decimal Erro hexadecimal Cadeia de caracteres de erro
    8456 2108 No momento, o servidor de origem está rejeitando a replicação
    8457 2109 No momento, o servidor de destino está rejeitando a replicação

  5. O evento geral NTDS 2013 pode ser registrado no log de eventos do Directory Services. Isso indica que ocorreu uma reversão da USN devido a uma reversão ou restauração sem suporte do Banco de Dados do Active Directory.

    Tipo de Evento: Erro
    Fonte do evento: NTDS Geral
    Categoria de Evento: Controle de Serviço
    ID do evento: 2103
    Data: <data>
    Hora: <hora>
    Usuário: <nome de usuário>
    Computador: <nome do computador>
    Descrição: o banco de dados do Active Directory foi restaurado usando um procedimento de restauração sem suporte. O Active Directory não poderá fazer logon nos usuários enquanto essa condição persistir. Como resultado, o serviço Net Logon fez uma pausa. Ação do usuário Consulte logs de eventos anteriores para obter detalhes. Para obter mais informações, visite o Centro de Ajuda e Suporte em https://support.microsoft.com.

  6. O Evento Geral 1393 do NTDS pode ser registrado no log de eventos do Directory Services. Isso indica que a unidade física ou virtual que está hospedando o banco de dados do Active Directory ou arquivos de log não tem espaço em disco livre suficiente:

    Tipo de Evento: Erro
    Fonte do evento: NTDS Geral
    Categoria de Evento: Controle de Serviço
    ID do evento: 1393
    Data: <data>
    Hora: <hora>
    Usuário: <nome de usuário>
    Computador: <descrição do nome> do computador:
    As tentativas de atualizar o banco de dados do Serviço de Diretório estão falhando com o erro 112. Como o Windows não poderá fazer logon nos usuários enquanto essa condição persistir, o serviço NetLogon está sendo pausado. M ake certeza de que o espaço em disco livre suficiente está disponível nas unidades em que residem o banco de dados do diretório e os arquivos de log.

Motivo

A replicação de entrada ou saída foi automaticamente desabilitada pelo sistema operacional devido a várias causas raiz.

Três eventos que desabilitam a replicação de entrada ou de saída incluem:

  • Ocorreu uma reversão da USN (Evento Geral 2103 do NTDS).
  • O disco rígido está completo (Evento Geral NTDS 1393).
  • Um vetor UTD corrompido está presente (Evento 2881).

O sistema operacional faz automaticamente quatro alterações de configuração quando ocorre uma das três condições. As quatro alterações de configuração são as seguintes:

  1. A replicação do Active Directory de entrada está desabilitada.
  2. A replicação do Active Directory de saída está desabilitada.
  3. O DSA não gravável é definido como um valor não zero no registro.
  4. O serviço NETLOGON status é alterado de execução para pausado.

A causa raiz dominante para essa condição de erro é uma reversão da USN discutida em Um controlador de domínio do Windows Server logs Directory Services evento 2095 quando ele encontra uma reversão USN.

Não suponha que qualquer valor não zero para DSA não seja gravável ou que um servidor de origem ou destino esteja rejeitando atualmente solicitações de replicação durante a Replicação DCPROMO/AD definitivamente significa que ocorreu uma reversão usn e que esses controladores de domínio implicitamente precisam ser rebaixados à força ou repromotados à força. O rebaixamento pode ser a opção correta. No entanto, pode ser excessivo quando o erro é causado por espaço em disco livre insuficiente.

Solução

  1. Verifique se o valor do DSA não é gravável.

    Para cada controlador de domínio que está registrando o erro 8456 ou 8457, determine se um dos três eventos de gatilho desabilitou automaticamente a replicação de entrada ou saída do Active Directory lendo o valor de " DSA não gravável" do registro local.

    Quando a replicação é desabilitada automaticamente, o sistema operacional grava um dos quatro valores possíveis no DSA não gravável:

    • Caminho: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
    • Configuração: DSA não gravável
    • Tipo: Reg_dword
    • Valores:
      • #define DSA_WRITABLE_GEN 1
      • #define DSA_WRITABLE_NO_SPACE 2
      • #define DSA_WRITABLE_USNROLLBCK 4
      • #define DSA_WRITABLE_CORRUPT_UTDV 8

    Um valor de 1 só pode ser gravado quando a versão da floresta é incompatível com o sistema operacional (por exemplo, o W2K DC é promovido para uma floresta de nível funcional do Windows Server 2003 ou similares).

    Um valor de 2 significa que a unidade física ou virtual que está hospedando o banco de dados do Active Directory ou arquivos de log não tem espaço em disco livre suficiente.

    Um valor de 4 significa que uma reversão da USN ocorreu porque o banco de dados do Active Directory foi revertido incorretamente no tempo. As operações conhecidas por causar uma reversão da USN incluem o seguinte:

    • A inicialização de instantâneos de máquina virtual salvos anteriormente de computadores de função do controlador de domínio em hosts Hyper-V ou VMWARE.
    • Conversões P2V (físico-virtual) incorretas em florestas que contêm mais de um controlador de domínio.
    • Restaurando computadores de função DC usando produtos de imagem como Ghost.
    • Rolando o conteúdo de uma partição que está hospedando o banco de dados do active directory no tempo usando um subsistema de disco avançado.

    Um valor de 8 indica que o vetor atualizado está corrompido no DC local.

    Tecnicamente, o DSA não gravável pode consistir em vários valores. Por exemplo, um valor de registro de 10 indicaria espaço em disco insuficiente e um UTD corrompido. Normalmente, um único valor é gravado no DSA não gravável.

    Observação

    É comum que profissionais de suporte e administradores desabilitem parcialmente a quarentena de replicação habilitando a replicação de saída, permitindo a replicação de entrada, alterando o valor de inicialização do serviço NETLOGON de desabilitado para automático e iniciando o serviço NETLOGON. Portanto, a configuração de quarentena completa pode não estar em vigor quando é examinada.

  2. Verifique o log de eventos do Serviço de Diretório para obter eventos de quarentena.

    Supondo que o log de eventos do Serviço de Diretório não tenha sido embrulhado, você poderá encontrar um ou mais eventos relacionados registrados no log de eventos do Serviço de Diretório de um controlador de domínio que está registrando o erro 8456 ou 8457.

    Evento Detalhes
    NTDS Geral 2103 O banco de dados do Active Directory foi restaurado usando um procedimento de restauração sem suporte. O Active Directory não poderá fazer logon nos usuários enquanto essa condição persistir. Portanto, o serviço Net Logon fez uma pausa. Ação do usuário Consulte logs de eventos anteriores para obter mais informações.
    Evento geral NTDS 1393 Não há espaço suficiente no disco.
    Evento 2881 Não aplicável

  3. Execute a recuperação com base no valor do DSA não gravável ou em eventos registrados no sistema:

    • Se o DSA não gravável for igual a 4 ou se o evento geral 2103 do NTDS estiver registrado, execute as etapas de recuperação de uma reversão usn. Para obter mais informações, consulte Um controlador de domínio do Windows Server logs Directory Services evento 2095 quando ele encontra uma reversão USN.

    • Se o DSA não gravável for igual a 2 ou se o evento NTDS Geral 1393 for registrado, marcar para espaço em disco livre suficiente nas partições físicas e virtuais que hospedam o banco de dados do Active Directory e os arquivos de log. Libere espaço conforme necessário.

    • Se o DSA não gravável for igual a 8, demote e repromote o controlador de domínio antes que ele possa replicar seu valor ruim para outros controladores de domínio na floresta.

Coleta de dados

Se você precisar de ajuda do suporte da Microsoft, recomendamos coletar as informações seguindo as etapas mencionadas em Coletar informações usando problemas de replicação do TSS para Active Directory.