Le modifiche apportate ai gruppi di sicurezza o ai gruppi di distribuzione non vengono replicate nei controller di dominio di destinazione quando si usa la replica del valore di collegamento in un ambiente Windows Server 2003

Articolo
02/19/2024

Questo articolo fornisce una soluzione a un problema per cui le modifiche apportate ai gruppi di sicurezza o ai gruppi di distribuzione non vengono replicate nei controller di dominio di destinazione quando si usa la replica del valore di collegamento.

Si applica a: Windows Server 2012 R2
Numero KB originale: 958838

Sintomi

Considerate il seguente scenario: In un ambiente Windows Server 2003 il livello di funzionalità della foresta nella foresta viene impostato su Windows Server 2003 o su una versione successiva di Windows. Questa operazione consente di applicare le modifiche di replica del valore di collegamento (LVR) all'appartenenza ai gruppi sugli attributi abilitati per LVR. In questo scenario potrebbero verificarsi i sintomi seguenti:

Le modifiche apportate al gruppo di sicurezza o al gruppo di distribuzione esistente nel controller di dominio di origine non vengono replicate nei controller di dominio di destinazione. Questo sintomo si verifica quando la modifica dell'appartenenza al gruppo viene avviata da un amministratore o da un programma.
Quando si esegue il repadmin /showreps comando, viene visualizzato un messaggio che indica che un controller di dominio di destinazione basato su Windows Server 2008 o Windows Server 2003 non può replicare le modifiche in ingresso in una partizione di directory da uno o più controller di dominio di origine. In questo caso, si riceve anche un errore Win32 8451.

Nota

L'errore Win32 8451 corrisponde all'errore ERROR_DS_DRA_DB_ERROR e alla descrizione seguente:
L'operazione di replica ha rilevato un errore del database.

Il controller di dominio di destinazione basato su Windows Server 2008 o Windows Server 2003 interessato potrebbe non replicare le modifiche in ingresso apportate alle partizioni di sola lettura dai cataloghi globali o dai controller di dominio che ospitano partizioni di directory scrivibili.
I controller di dominio di destinazione basati su Windows Server 2008 e Windows Server 2003 registrano gli eventi nel log del servizio directory.
Nota
- L'evento generale NTDS 1173 indica un errore di replica generico.
- Il valore di errore dei dati aggiuntivo -1603 viene mappato a una valuta non presente in un errore del jet di record e al nome simbolico errNoCurrentRecord. Errore di ortografia di attualmente nella valuta non presente in un testo di errore del record.
- L'eccezione e0010004 corrisponde all'errore DSA_DB_EXCEPTION.
- L'ID interno 2050344 corrisponde a una funzione nel codice del livello del database di NTDS. Questo numero dipende dal sistema operativo, dal Service Pack e dalle revisioni di applicazione di patch.
I controller di dominio di destinazione basati su Windows Server 2008 e Windows Server 2003 registrano l'evento 1692 del servizio directory.

Nota

Questo evento viene registrato quando si abilita la registrazione diagnostica e si imposta il valore per la voce del Registro di sistema 5 eventi di replica su 1 o superiore.

Per altre informazioni sulla registrazione diagnostica NTDS, vedere Come configurare la registrazione degli eventi di diagnostica di Active Directory e LDS.

Questi sintomi possono verificarsi quando vengono apportate modifiche a qualsiasi classe di oggetto replicata con LVR con collegamenti in avanti. Queste modifiche alla classe di oggetti con replica LVR riguardano anche le modifiche apportate ai gruppi di sicurezza e distribuzione.

Causa

Questo problema si verifica se i controller di dominio di destinazione basati su Windows Server 2008 o Windows Server 2003 arrestano la replica in ingresso quando ricevono gli aggiornamenti LVR degli oggetti che non esistono nelle copie locali di Active Directory.

In particolare, questo problema può verificarsi se si verificano le condizioni seguenti:

Le modifiche di appartenenza apportate ai gruppi di sicurezza o di distribuzione persistenti nei controller di dominio di origine vengono replicate in uscita usando la replica del valore di collegamento (LVR) nei controller di dominio di destinazione che non hanno un'istanza del gruppo che viene modificato. Ad esempio, questo problema può verificarsi quando un oggetto viene eliminato e la durata degli oggetti di rimozione definitiva è scaduta dalla copia locale di Active Directory.
Il livello di funzionalità della foresta è impostato sulla modalità Provvisoria di Windows Server 2003 o su una versione successiva.
I gruppi di sicurezza o distribuzione persistenti si trovano in partizioni di sola lettura o scrivibili di controller di dominio di origine basati su Windows Server 2003 o Windows Server 2008 e la replica si arresta tra i controller di dominio di origine e di destinazione.

Risoluzione

Importante

In questa sezione, metodo o attività viene illustrata la procedura per modificare il Registro di sistema. Poiché l'errata modifica del Registro di sistema può causare seri problemi, Di conseguenza, attenersi scrupolosamente alla procedura indicata. Per una maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. In questo modo sarà possibile ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni sull'esecuzione del backup e del ripristino del Registro di sistema, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
322756 Come eseguire il backup e il ripristino del Registro di sistema in Windows

Per risolvere questo problema, attenersi alla seguente procedura:

Eseguire il comando repadmin seguente nel controller di dominio primario (PDC) per creare un file .csv che contiene l'elenco dei controller di dominio di destinazione:
```
repadmin /showrepl * /csv >showrepl.csv
```
Aprire il file .csv in Excel e quindi identificare gli errori di replica nei controller di dominio di destinazione che hanno avuto esito negativo nel processo di replica in ingresso e che visualizzano l'errore Win32 8451.
Nei controller di dominio che registrano il messaggio di errore "Errore Win32 8451", assicurarsi che la registrazione diagnostica per la voce del Registro di sistema 5 Eventi di replica sia impostata su un valore pari a 1. A tal fine, attenersi alla seguente procedura:
1. Fare clic su Start quindi scegliere Esegui.
2. Nella casella Apri, digitare regedit e quindi fare clic su OK.
3. Individuare e quindi fare clic sulla chiave del Registro di sistema seguente: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics
4. Nel riquadro dei dettagli fare doppio clic su 5 eventi di replica, digitare 1 nella casella Dati valore e quindi fare clic su OK.
5. Chiudere l'Editor del Registro di sistema.
Nei controller di dominio di destinazione verificare che l'evento 1692 del servizio directory sia registrato nel log del servizio directory. L'evento visualizza le modifiche apportate all'attributo membro del gruppo di sicurezza o ad altri attributi replicati da LVR e ai GUID dell'oggetto persistente.
Rimuovere gli oggetti persistenti dai controller di dominio di destinazione basati su Windows Server 2008 o Windows Server 2003 usando il repadmin /removelingeringobjects comando .

Importante

La disabilitazione della funzionalità di coerenza della replica rigorosa nel Registro di sistema dei controller di dominio di destinazione basati su Windows Server 2008 o Windows Server 2003 non riprende la replica. Non è necessario impostare il valore della voce strict replication consistency del Registro di sistema su 0 per sbloccare la replica delle partizioni di directory.

Non forzare la replica delle partizioni di directory nei controller di dominio di origine usando il comando repadmin /sync o un comando equivalente insieme all'opzione /force.

Raccolta dei dati

Se è necessaria l'assistenza del supporto tecnico Microsoft, è consigliabile raccogliere le informazioni seguendo i passaggi indicati in Raccogliere informazioni usando TSS per i problemi di replica di Active Directory.