As IDs do evento de replicação do Active Directory 2108 e 1084 ocorrem durante a replicação de entrada de Active Directory Domain Services

  • Artigo

Este artigo fornece uma solução para um problema em que você obtém IDs de evento 2108 e 1084 quando ocorre a replicação de entrada do Active Directory Domain Services (AD DS).

Aplica-se a: Windows Server 2016, Windows Server 2012 R2
Número de KB original: 837932

Sintomas

Quando ocorre a replicação de entrada do Active Directory Domain Services (AD DS), um controlador de domínio de destino que está executando o Microsoft Windows Server 2003 Service Pack 1 (SP1) por meio de Windows Server 2016 registra o seguinte evento no log do Serviço de Diretório:

ID do evento 1084: evento interno: Active Directory Domain Services não foi possível atualizar o seguinte objeto com alterações recebidas do seguinte serviço de diretório de origem. Isso ocorre porque ocorreu um erro durante a aplicação das alterações no Active Directory Domain Services no serviço de diretório.

Objeto: caminho CN=<cn>

GUID do objeto: <objectguid>

Serviço de diretório de origem: NTDSA._msdcs.<nome de domínio DNS raiz forst>

A sincronização do serviço de diretório com o serviço de diretório de origem é bloqueada até que esse problema de atualização seja corrigido.

Essa operação será tentada novamente na próxima replicação agendada.

Ação do usuário:

Reinicie o computador local se essa condição parecer estar relacionada a baixos recursos do sistema (por exemplo, baixa memória física ou virtual).

Dados adicionais:

Valor do erro: <cadeia de erros de código><de erro>

Observação

  • No texto Valor de erro, <o código> de erro e <a cadeia de> erros representam os valores reais mostrados na entrada de log.
  • O evento 1804 foi registrado desde o Windows 2000 Server.

Os controladores de domínio de destino que estão executando o Windows Server 2003 SP1 também registram o seguinte evento no log do Serviço de Diretório:

ID do evento 2108: este evento contém PROCEDIMENTOS DE REPARO para o evento 1084 que já foi registrado anteriormente. Esta mensagem indica um problema específico com a consistência do banco de dados Active Directory Domain Services neste destino de replicação. Ocorreu um erro de banco de dados ao aplicar alterações replicadas ao objeto a seguir. O banco de dados tinha conteúdo inesperado, impedindo que a alteração fosse feita.

Observação

  • O evento 2108 é registrado no Windows Server 2003 após a instalação do SP1.
  • Este é um evento de parceiro para o Evento 1084.

Motivo

Esses eventos ocorrem quando o controlador de domínio não pode gravar uma alteração transacional na cópia local do banco de dados do Active Directory.

Resolução

Para resolve esse problema, siga estas etapas. Tente novamente a operação de replicação após cada etapa que faz uma alteração.

  1. Verifique se há espaço em disco livre suficiente disponível nos volumes que hospedam o banco de dados do Active Directory e tente novamente a operação. Siga estas etapas para liberar espaço adicional em disco:

    1. Mova arquivos não relacionados para outro volume.

    2. Execute um backup de estado do sistema. Esse processo reduz o tamanho dos arquivos de log de transação. Para obter mais informações, consulte Como usar o recurso de backup para fazer backup e restaurar dados no Windows Server 2003.

    3. Execute um desfragmentação offline do Active Directory. Para obter mais informações, confira Como executar o desfragmentação offline do banco de dados do Active Directory.

  2. Verifique se as unidades físicas que hospedam o arquivo Ntds.dit e os arquivos de log de transação não têm compactação do sistema de arquivos NTFS ativada. Para confirmar isso, clique com o botão direito do mouse na letra da unidade em Meu Computador e verifique se a unidade compressa para salvar o espaço em disco marcar caixa não está selecionada.

  3. Verifique se as unidades físicas que hospedam o arquivo Ntds.dit e os arquivos de log de transações são especificamente excluídas de programas antivírus remotos e locais. Consulte a documentação do software antivírus para obter mais informações.

  4. Se o controlador de domínio de destino contiver o catálogo global e o erro ocorrer em uma das partições somente leitura, use um dos seguintes métodos para ajudar a resolve o problema:

    • Método 1: use a opção rehost da ferramenta Repadmin.exe para refazer a partição afetada.

      A ferramenta Repadmin.exe é instalada em computadores que têm a função de controlador de domínio e é instalada junto com a ferramenta RSAT em estações de trabalho e servidores membros. Para fazer isso, digite o seguinte em um prompt de comando, em que domain_controller é o nome do controlador de domínio de destino e good_source_domain_controller_name é o nome de outro controlador de domínio:

      repadmin /rehost domain_controller naming_context good_source_domain_controller_name

    • Método 2: configurar o controlador de domínio para que ele não seja mais um servidor de catálogo global. Siga estas etapas:

      1. Clique em Iniciar, aponte para Ferramentas Administrativas e clique em Sites e Serviços do Active Directory.
      2. Localize osservidores\ de nome\ de primeiro site padrãodomain_controller_name\ sub-árvoreConfigurações do NTDS.
      3. Clique com o botão direito do mouse em Configurações do NTDS e clique em Propriedades.
      4. Clique para limpar a caixa marcar do Catálogo Global e clique em OK.

    • Método 3

      Se o erro ocorrer em uma partição de programa, use a ferramenta Ntdsutil.exe para alterar o réplica que hospeda a partição do programa.

  5. Use um utilitário de terceiros, como o utilitário FileMon, para determinar se um programa ou um usuário está acessando o banco de dados do Active Directory, os arquivos de log de transações ou o arquivo Edp.tmp. Se houver atividade de acesso ao arquivo, pare os serviços responsáveis pela atividade. Para obter mais informações sobre o utilitário FileMon, consulte FileMon para Windows v7.04.

  6. Determine se o problema está relacionado ao pai do objeto Active Directory no controlador de domínio de destino. Para fazer isso, siga estas etapas:

    1. No controlador de domínio de origem, mova temporariamente o objeto referenciado no Evento 1084 para um contêiner de OU (unidade organizacional). A OU deve não estar relacionada ao contêiner atual. Por exemplo, mova o objeto para um novo contêiner da raiz do domínio.

    2. Se a replicação for concluída depois de mover o objeto, mova o objeto de volta para o contêiner original.

    3. Force o propagador de descritor de segurança a recompilar a ancestralidade do contêiner de objeto no banco de dados existente nos controladores de domínio de origem e de destino. Para fazer isso, siga estas etapas:

      1. Verifique se as Ferramentas de Suporte do Windows Server 2003 estão instaladas. As Ferramentas de Suporte estão disponíveis na CD-ROM do Windows Server 2003 na pasta Suporte\Ferramentas. Clique duas vezes no arquivo Suptools.msi para instalar as ferramentas.

      2. Clique em Iniciar, clique em Executar, digite ldp e clique em OK.

      3. Clique em Conexão, clique em Conectar e digite o nome do servidor ao qual deseja se conectar.

        Observação

        Você se conectará pela porta 389 do Active Directory.

      4. Clique em Conexão, clique em Associar e digite seu nome de usuário administrativo, senha e domínio. (Você deve usar credenciais de administrador de domínio ou administrador empresarial.) Clique em OK.

      5. No menu Procurar , clique em Modificar. Deixe a caixa de texto DN em branco. Na caixa de texto Atributo, digiteFixUpInheritance. Clique em Sim na caixa de texto Valor .

      6. Na área Operação , clique em Adicionar.

      7. Clique em Inserir para preencher a área Lista de Entradas .

        Observação

        Na área Lista de Entradas , [Add]fixupinheritance:yes aparece.

      8. Clique em Executar.

        Observação

        O painel direito agora mostra um status modificado e o propagador do descritor de segurança é iniciado. O runtime do propagador de descritor de segurança depende do tamanho do banco de dados do Active Directory. O processo é concluído quando o contador Eventos de Propagação de Segurança do DS no objeto NTDS Performance retorna a zero.

      9. Clique em Fechar, clique em Conexão e clique em Sair.

  7. No controlador de domínio de origem, digite repadmin /showmeta distinguished_name_path em um prompt de comando e, em seguida, exiba os metadados de objeto para o caminho de nome distinto referenciado no Evento 1084. Repita esta etapa no controlador de domínio de destino. Procure valores inconsistentes que incluem, mas não se limitam a, o seguinte:

    • Nomes incorretos e números de atributos que aparecem no objeto
    • Carimbos de data ou hora de origem incorretos
    • Números incorretos da sequência de atualização local (USN)

    Valores incorretos podem indicar um problema com a página de banco de dados que hospeda o objeto.

    Para usar a ferramenta Repadmin.exe quando o caminho de nome distinto se referir a um objeto vivo, digite o seguinte em um prompt de comando:

    repadmin /showmeta remote_domain_controller_name distinguished_name_path_of_reference _object

    Se o objeto estiver em um contêiner de objetos excluídos ou se você não puder usar a ferramenta Repadmin.exe para localizar o objeto, use a referência GUID do objeto para localizar o objeto. Este GUID é referenciado no Evento 1084. Para fazer isso, digite o seguinte em um prompt de comando:

    repadmin /showmeta remote_domain_controller_name "GUID_for_the_object that_is_referenced_in_Event_ID_1084"

    Por exemplo, se o Evento 1084 e o Evento 2108 fizerem referência a um objeto em que o GUID é b49cd496-98a2-4500-bb08-58550c2f79ac, digite repadmin /showmeta "<GUID=b49cd496-98a2-4500-bb08-58550c2f79ac>".

    Observação

    As aspas e os colchetes são necessários.

  8. Obtenha a ferramenta de Ntdsutil.exe mais recente instalando o pacote de serviços mais recente para seu sistema operacional. Use a ferramenta Ntdsutil.exe para executar um marcar de integridade do banco de dados do Active Directory no controlador de domínio de origem.

    Antes de iniciar o computador no Modo de Restauração dos Serviços de Diretório, obtenha a senha da conta de administrador offline. Se você não souber a senha da conta de administrador, redefina a senha Modo de Restauração dos Serviços de Diretório antes de começar neste modo. Em controladores de domínio que estão executando o Windows 2000 Service Pack 2 (SP2) e posteriores, use o comando Setpwd.exe. O comando Setpwd.exe está localizado na pasta %Systemroot%\System32. Em controladores de domínio baseados no Windows Server 2003, use o comando Senha do Modo de Restauração do Ntdsutil Set Directory Services.

    Para obter mais informações sobre o Modo de Restauração dos Serviços de Diretório, consulte mensagem de erro "Serviços de Diretório não podem iniciar" ao iniciar seu controlador de domínio baseado em Windows ou SBS.

    Para obter mais informações sobre como alterar a senha no Windows Server 2003, consulte mensagem de erro "Serviços de Diretório não podem iniciar" ao iniciar seu controlador de domínio baseado em Windows ou SBS.

  9. Reinicie o controlador de domínio de origem e pressione F8 para iniciar o Modo de Restauração dos Serviços de Diretório. No prompt de comando, digite ntdsutil files integrity e pressione Enter.

    Observação

    Este comando confirma a integridade do banco de dados.

    • Se a ferramenta Ntdsutil relatar que o banco de dados está corrompido e você tiver réplicas dos contextos de nomenclatura no controlador de domínio de origem, force um rebaixamento do controlador de domínio de origem e promova-o novamente depois de verificar a integridade dos drivers, do firmware e das unidades físicas que hospedam o banco de dados do Active Directory e os arquivos de log de transações.

    • Se o banco de dados estiver corrompido e nenhuma réplica do contexto de nomenclatura no controlador de domínio de origem existir, restaure o estado mais recente do sistema. Use a ferramenta NTDSutil.exe para confirmar a integridade do banco de dados novamente. Se você ainda receber uma mensagem de corrupção, restaure backups mais antigos até confirmar a integridade do controlador de domínio.

    • Se o banco de dados ainda estiver corrompido, restaure o backup de estado do sistema mais recente e, em um prompt de comando, digite:

      ntdsutil files recover

      Use a ferramenta NTDSutil.exe confirmar a integridade do banco de dados novamente. Se o banco de dados passar o marcar de integridade, execute um desfragmentação offline da partição de disco. Para obter mais informações, confira Como executar o desfragmentação offline do banco de dados do Active Directory.

      Para executar um marcar de integridade do banco de dados, digite o seguinte em um prompt de comando e pressione Enter, em que database_name é o nome do banco de dados do Active Directory:

      esentutl.exe /g database_name

      Por fim, use a opção Iniciar Windows Normalmente para reiniciar o computador e tente novamente a replicação do controlador de domínio de origem para o controlador de domínio de destino afetado. Se o banco de dados falhar no marcar de integridade, o controlador de domínio deverá ser descontinuado. Você usa a Ferramenta de Migração do Active Directory (ADMT) para migrar objetos. Você também pode usar as ferramentas Ldifde.exe e Csvde.exe para exportar objetos que importará para um novo controlador de domínio de destino.

      Para obter mais informações sobre como usar as ferramentas Ldifde.exe e Csvde.exe, consulte Guia passo a passo para importação e exportação em massa para o Active Directory.

  10. Se essas etapas não forem bem-sucedidas e o erro de replicação continuar, demote o controlador de domínio, confirme a integridade das unidades físicas e dos volumes que hospedam o arquivo Ntds.dit e o subsistema de disco e promova o controlador de domínio novamente. Use o mesmo nome do computador.

  11. Use o comando compacto arquivos ntdsutil para executar um desfragmentação offline do banco de dados do Active Directory. Para obter mais informações, consulte Executar desfragmentação offline do Banco de Dados do Active Directory .

  12. No prompt de comando, digite o seguinte comando e pressione Enter:

    ntdsutil "semantic database analysis" "go"

    Observação

    As aspas neste exemplo são necessárias para executar o comando de análise semântica de banco de dados usando um único argumento de linha de comando.

    Se os erros forem relatados, type ntdsutil go fixup, pressione Enter.

    Observação

    Os comandos semânticos do banco de dados não executam reparos com perda em bancos de dados do Active Directory, como o Service Pack 1 Ntdsutil Service Pack 1 ou Esentutl /p comandos pré-Windows Server 2003.

    Aviso de isenção de responsabilidade para informações de terceiros

    Os produtos de terceiros mencionados neste artigo são produzidos por empresas independentes da Microsoft. A Microsoft não oferece nenhuma garantia, implícita ou não, do desempenho ou da confiabilidade desses produtos.

Coleta de dados

Se você precisar de ajuda do suporte da Microsoft, recomendamos coletar as informações seguindo as etapas mencionadas em Coletar informações usando problemas de replicação do TSS para Active Directory.