Erro de replicação do Diretório Ativo 8418: Erro de incompatibilidade do Esquema se o descritor de segurança for muito grande

Resumo

Este artigo descreve os sintomas e a causa do erro de replicação do Diretório Ativo 8418: "A operação de replicação falhou por causa de uma incompatibilidade de esquema entre os servidores envolvidos." Este artigo também fornece etapas gerais para corrigir o errror.

Este problema pode ser causado por uma verdadeira incompatibilidade de esquema ou por um problema específico em que o erro de incompatibilidade do esquema ocorre por causa de um grande descritor de segurança (SD).

Sintomas

A replicação ativa do diretório falha, e você recebe as seguintes mensagens de erro de incompatibilidade de esquema:

repadmin /replicate server2.contoso.com server1.contoso.com dc=contoso,dc=com DsReplicaSync () falhou com o status 8418 (0x20e2): A operação de replicação falhou por causa de uma incompatibilidade de esquema entre os servidores envolvidos.

Além disso, os seguintes eventos são registrados no controlador de domínio de destino:

Tipo de evento: aviso Fonte do evento: Replicação de NTDS Categoria evento: Replicação Id do evento: 1203 Descrição: O controlador de domínio local não conseguiu replicar o seguinte objeto do controlador de domínio de origem no endereço de rede a seguir por causa de uma incompatibilidade de esquema de diretório ativo. Objeto: OU=DeletedOU\0ADEL:5b229c13-4691-40b4-a4c2-60828e4e430f,OU=test1,ou=test2,dc=contoso,dc=com Endereço de rede: server1.contoso.com Diretório Ativo tentará sincronizar o esquema antes de tentar sincronizar a seguinte partição diretório. Partição diretório: dc =contoso,dc=com

Tipo de evento: erro Fonte do evento: Replicação de NTDS Categoria evento: Replicação Id do evento: 1791 Descrição: Replicação de Naming Context dc=contoso,dc=com da fonte 42fd27d1-2bce-4726-92fa-8daefc91dd97 foi abortada. A replicação requer esquema consistente, mas a última tentativa de sincronizar o esquema falhou. É crucial que a replicação do esquema funcione corretamente. Veja erros anteriores para mais diagnósticos. Se esse problema persistir, entre em contato com os Serviços de Suporte ao Produto da Microsoft para obter assistência. Erro 8418: A operação de replicação falhou por causa de uma incompatibilidade de esquema entre os servidores envolvidos.. Para mais informações, consulte o Centro de Ajuda e Suporte em http://go.microsoft.com/fwlink/events.asp.

A promoção de um novo controlador de domínio também pode falhar. DCpromo registra informações para o arquivo Dcpromo.log em c:\windows\\debug. No caso de tal falha, o registro dcpromo exibe uma entrada de erro que se assemelha ao seguinte:

12/11/2019 07:56:54 [INFO] Replicando informações críticas de domínio... 12/11/2019 07:56:54 [INFO] EVENTLOG (Aviso): Ntds Replicação / Replicação : 1203 O serviço de diretório não poderia replicar o seguinte objeto do serviço de diretório de origem no endereço de rede a seguir por causa de uma incompatibilidade de esquema de serviços de domínio de direção ativa. Objeto: CN=Builtin,DC=contoso,DC=com CN=Builtin,DC=contoso,DC=com Endereço de rede: WIN-PD1KU9I38KK.contoso.com Os Serviços de Domínio do Diretório Ativo tentarão sincronizar o esquema antes de tentar sincronizar a seguinte partição do diretório. Partição do diretório: DC=contoso,DC=com DC =contoso,DC=com 12/11/2019 07:56:54 [INFO] EVENTLOG (Aviso): Replicação ntds / replicação : 11001 O serviço de diretório não poderia replicar o seguinte objeto do serviço de diretório de origem no endereço de rede a seguir por causa de um ACL de Má Herança dos Serviços de Domínio do Diretório Ativo. Objeto: CN=Builtin,DC=contoso,DC=com CN=Builtin,DC=contoso,DC=com Endereço de rede: WIN-PD1KU9I38KK.contoso.com Partição do diretório: DC=contoso,DC=com DC =contoso,DC=com Consulte o registro do evento de Serviços de Diretório para o Evento ID 1450 ou outros eventos relacionados ao LcA. Você deve diminuir o tamanho do LCA removendo entradas antigas ou duplicadas. 11/12/2019 07:56:54 [INFO] Erro - Active Directory Domain Services não poderia replicar a partição diretório DC =contoso,DC=lab do remoto Controlador de Domínio Diretório Ativo WIN-PD1KU9I38KK.contoso.lab. (8418) 12/11/2019 07:56:54 [INFO] EVENTLOG (Erro): NTDS General / Processamento Interno : 1168 Erro interno: Ocorreu um erro de serviços de domínio de direção ativa.

No controlador de domínio de origem, você pode encontrar eventos registrados do Security Descriptor Propagator que se assemelha ao seguinte:

Nome de registro: Serviço de Diretório Fonte: Microsoft-Windows-ActiveDirectory_DomainService Id do evento: 1450 Categoria tarefa: Processamento interno Nível: Erro Descrição: A tarefa de propagação do descritor de segurança não poderia calcular um novo descritor de segurança para o objeto a seguir.

Objeto: CN=LargeSD_Victim,OU=Large_SD_Repro,DC=contoso,DC=com Esta operação será tentada novamente mais tarde.

Ação do usuário Se esta condição continuar, tente ver o status deste objeto e alterar manualmente o descritor de segurança.

Dados adicionais Valor do erro: 1340 A lista herdada de controle de acesso (ACL) ou a entrada de controle de acesso (ACE) não puderam ser construídas.

Outro erro que você pode ver é: 0x7a (Decimal 122) = "A área de dados passou para uma chamada de sistema é muito pequena."

Causa

Este problema ocorre porque o SD no objeto do problema excedeu o tamanho máximo de 65.535 bytes. Esta é uma limitação do sistema operacional.

Resolução

Para corrigir esse problema, reduza o tamanho do LCA de segurança no objeto afetado. O evento de erro irá listar o objeto problema. Você deve examinar os LCas no objeto para determinar qual deles pode ser removido. Frequentemente, ferramentas ou scripts adicionam entradas duplicadas de controle de acesso (ECa).

O tamanho também leva em consideração todas as permissões herdadas. Dependendo do objeto, pode ser apropriado limpar quaisquer permissões hereditárias selecionadas e remover permissões hereditárias do objeto.

Mais informações

O SD que é escrito para um determinado objeto ativo pode ser bem sucedido se for escrito localmente. No entanto, mesmo que seja bem-sucedido, o SD ainda pode exceder a limitação do sistema de 65.535 bytes em uma instância replicada do objeto. Portanto, esse erro pode primeiro emergir como um problema de replicação. Isso também é verdade porque os resultados de replicação são frequentemente monitorados de perto.

O erro também pode ocorrer localmente no DC originário. Isto é especialmente verdadeiro se o objeto tem filhos porque ACEs explícitos adicionais em um objeto de criança podem fazer com que o tamanho total do SD exceda 65.535 bytes. Nesses casos, você também experimentaria o evento SDPROP 1450.

Para o artigo que discute outros cenários em que o erro 8418 pode acontecer, ver Troubleshooting Erro de replicação da dc 8418: A operação de replicação falhou por causa de uma incompatibilidade de esquema entre os servidores envolvidos.

Precisa de mais ajuda?

Aumente os seus conhecimentos
Explore as formações
Seja o primeiro a obter novas funcionalidades
Aderir ao Microsoft insiders

As informações foram úteis?

Obrigado pelos seus comentários!

Obrigado pelo seu feedback! Parece que poderá ser benéfico reencaminhá-lo para um dos nossos agentes de suporte do Office.

×