Active Directory-replikeringshändelse-ID 2108 och 1084 inträffar under inkommande replikering av Active Directory Domain Services

  • Artikel

Den här artikeln innehåller en lösning på ett problem där du får händelse-ID 2108 och 1084 när inkommande replikering av Active Directory Domain Services (AD DS) inträffar.

Gäller för: Windows Server 2016, Windows Server 2012 R2
Ursprungligt KB-nummer: 837932

Symptom

När inkommande replikering av Active Directory Domain Services (AD DS) inträffar loggar en måldomänkontrollant som kör Microsoft Windows Server 2003 Service Pack 1 (SP1) via Windows Server 2016 följande händelse i katalogtjänstloggen:

Händelse-ID 1084: Intern händelse: Active Directory Domain Services inte kunde uppdatera följande objekt med ändringar som tagits emot från följande källkatalogtjänst. Det beror på att ett fel uppstod under tillämpningen av ändringarna i Active Directory Domain Services i katalogtjänsten.

Objekt: CN=<cn sökväg>

Objekt-GUID: <objectguid>

Källkatalogtjänst: NTDSA._msdcs.<forst root DNS-domännamn>

Synkroniseringen av katalogtjänsten med källkatalogtjänsten blockeras tills det här uppdateringsproblemet har korrigerats.

Den här åtgärden kommer att försöka igen vid nästa schemalagda replikering.

Användaråtgärd:

Starta om den lokala datorn om det här villkoret verkar vara relaterat till låga systemresurser (till exempel lågt fysiskt eller virtuellt minne).

Ytterligare data:

Felvärde: <felkodsfelsträng><>

Obs!

  • I texten <Felvärde representerar felkoden> och <felsträngen> de faktiska värden som visas i loggposten.
  • Händelse 1804 har loggats sedan Windows 2000 Server.

Måldomänkontrollanter som kör Windows Server 2003 SP1 loggar även följande händelse i katalogtjänstloggen:

Händelse-ID 2108: Den här händelsen innehåller REPARATIONSprocedurer för händelsen 1084 som tidigare har loggats. Det här meddelandet anger ett specifikt problem med konsekvensen i den Active Directory Domain Services databasen på det här replikeringsmålet. Ett databasfel uppstod när replikerade ändringar tillämpades på följande objekt. Databasen hade oväntat innehåll, vilket förhindrar att ändringen görs.

Obs!

  • Händelse 2108 loggas på Windows Server 2003 när SP1 har installerats.
  • Det här är en partnerhändelse till event 1084.

Orsak

Dessa händelser inträffar när domänkontrollanten inte kan skriva en transaktionsändring till den lokala kopian av Active Directory-databasen.

Åtgärd

Följ dessa steg för att lösa problemet. Försök utföra replikeringsåtgärden igen efter varje steg som gör en ändring.

  1. Kontrollera att det finns tillräckligt med ledigt diskutrymme på de volymer som är värdar för Active Directory-databasen och försök sedan utföra åtgärden igen. Följ dessa steg för att frigöra ytterligare diskutrymme:

    1. Flytta orelaterade filer till en annan volym.

    2. Utför en säkerhetskopia av systemtillståndet. Den här processen minskar storleken på transaktionsloggfilerna. Mer information finns i Så här använder du säkerhetskopieringsfunktionen för att säkerhetskopiera och återställa data i Windows Server 2003.

    3. Utför en offlinedefragmentering av Active Directory. Mer information finns i Så här utför du offlinedefragmentering av Active Directory-databasen.

  2. Kontrollera att de fysiska enheter som är värdar för filen Ntds.dit och transaktionsloggfilerna inte har NTFS-filsystemkomprimering aktiverat. Bekräfta detta genom att högerklicka på enhetsbeteckningen i Min dator och kontrollera sedan att kryssrutan Komprimera enhet för att spara diskutrymme inte är markerad.

  3. Kontrollera att de fysiska enheter som är värdar för filen Ntds.dit och transaktionsloggfilerna uttryckligen undantas från fjärrprogram och lokala antivirusprogram. Mer information finns i dokumentationen för antivirusprogram.

  4. Om måldomänkontrollanten innehåller den globala katalogen och felet inträffar i någon av de skrivskyddade partitionerna använder du någon av följande metoder för att lösa problemet:

    • Metod 1: Använd alternativet rehost för verktyget Repadmin.exe för att byta värd för den berörda partitionen.

      Verktyget Repadmin.exe installeras på datorer som har domänkontrollantrollen och installeras tillsammans med RSAT-verktyget på medlemsarbetsstationer och servrar. Det gör du genom att skriva följande i en kommandotolk, där domain_controller är namnet på måldomänkontrollanten och good_source_domain_controller_name är namnet på en annan domänkontrollant:

      repadmin /rehost domain_controller naming_context good_source_domain_controller_name

    • Metod 2: Konfigurera domänkontrollanten så att den inte längre är en global katalogserver. Gör så här:

      1. Klicka på Start, peka på Administrationsverktyg och klicka sedan på Active Directory-platser och -tjänster.
      2. Leta upp underträdet Default-First-Site-Name\ Servers\ domain_controller_name\ NTDS Settings .
      3. Högerklicka på NTDS-inställningar och klicka sedan på Egenskaper.
      4. Klicka för att avmarkera kryssrutan Global katalog och klicka sedan på OK.

    • Metod 3

      Om felet uppstår i en programpartition använder du verktyget Ntdsutil.exe för att ändra repliken som är värd för programpartitionen.

  5. Använd ett verktyg från tredje part, till exempel FileMon-verktyget, för att avgöra om ett program eller en användare har åtkomst till Active Directory-databasen, transaktionsloggfilerna eller Edp.tmp filen. Om det finns en filåtkomstaktivitet stoppar du de tjänster som ansvarar för aktiviteten. Mer information om verktyget FileMon finns i FileMon för Windows v7.04.

  6. Fastställ om problemet är relaterat till det överordnade Active Directory-objektet på måldomänkontrollanten. Gör så här:

    1. Flytta tillfälligt objektet som refereras i händelse 1084 till en organisationsenhetscontainer på källdomänkontrollanten. Organisationsenheten måste inte ha något samband med den aktuella containern. Du kan till exempel flytta objektet till en ny container från domänens rot.

    2. Om replikeringen har slutförts när du har flyttat objektet flyttar du tillbaka objektet till den ursprungliga containern.

    3. Tvinga säkerhetsbeskrivningen att återskapa objektcontainerns ursprung i databasen som finns på både käll- och måldomänkontrollanterna. Gör så här:

      1. Kontrollera att Windows Server 2003 Support Tools är installerade. Supportverktygen finns på Windows Server 2003 CD-ROM i mappen Support\Tools. Dubbelklicka på Suptools.msi-filen för att installera verktygen.

      2. Klicka på Start, klicka på Kör, skriv ldp och klicka sedan på OK.

      3. Klicka på Anslutning, klicka på Anslut och skriv sedan namnet på den server som du vill ansluta till.

        Obs!

        Du ansluter via port 389 för Active Directory.

      4. Klicka på Anslutning, klicka på Bind och skriv sedan ditt administrativa användarnamn, lösenord och domän. (Du måste använda autentiseringsuppgifter som domänadministratör eller företagsadministratör.) Klicka på OK.

      5. På menyn Bläddra klickar du på Ändra. Lämna textrutan DN tom. I textrutan Attribut skriver du FixUpInheritance. Klicka på Ja i textrutan Värde .

      6. I området Åtgärd klickar du på Lägg till.

      7. Klicka på Retur för att fylla i området Postlista .

        Obs!

        I området Postlista visas [Add]fixupinheritance:yes .

      8. Klicka på Kör.

        Obs!

        Den högra rutan visar nu statusen Ändrad och säkerhetsbeskrivningsspridningen startar. Körningen för säkerhetsbeskrivningsspridningen beror på storleken på Active Directory-databasen. Processen är klar när räknaren för DS-säkerhetsspridningshändelser i NTDS-prestandaobjektet återgår till noll.

      9. Klicka på Stäng, klicka på Anslutning och klicka sedan på Avsluta.

  7. På källdomänkontrollanten skriver repadmin /showmeta distinguished_name_path du i en kommandotolk och visar sedan objektmetadata för den unika namnsökväg som refereras till i händelse 1084. Upprepa det här steget på måldomänkontrollanten. Leta efter inkonsekventa värden som inkluderar, men inte är begränsade till, följande:

    • Felaktiga namn och antal attribut som visas i objektet
    • Felaktiga tids- eller datumstämplar
    • Felaktiga lokala uppdateringssekvensnummer (USN)

    Felaktiga värden kan tyda på ett problem med databassidan som är värd för objektet.

    Om du vill använda verktyget Repadmin.exe när sökvägen för unika namn refererar till ett live-objekt skriver du följande i en kommandotolk:

    repadmin /showmeta remote_domain_controller_name distinguished_name_path_of_reference _object

    Om objektet finns i en container för borttagna objekt eller om du inte kan använda verktyget Repadmin.exe för att hitta objektet använder du objektets GUID-referens för att hitta objektet. Detta GUID refereras till i Händelse 1084. Det gör du genom att skriva följande i en kommandotolk:

    repadmin /showmeta remote_domain_controller_name "GUID_for_the_object that_is_referenced_in_Event_ID_1084"

    Om händelse 1084 och händelse 2108 till exempel refererar till ett objekt där GUID är b49cd496-98a2-4500-bb08-58550c2f79ac skriver du repadmin /showmeta "<GUID=b49cd496-98a2-4500-bb08-58550c2f79ac>".

    Obs!

    Citattecken och hakparenteser krävs.

  8. Skaffa det senaste Ntdsutil.exe verktyget genom att installera det senaste Service Pack för operativsystemet. Använd verktyget Ntdsutil.exe för att utföra en integritetskontroll av Active Directory-databasen på källdomänkontrollanten.

    Innan du startar datorn i återställningsläge för Katalogtjänster hämtar du lösenordet för offlineadministratörskontot. Om du inte känner till lösenordet för administratörskontot återställer du lösenordet för återställningsläget för Katalogtjänster innan du börjar i det här läget. På domänkontrollanter som kör Windows 2000 Service Pack 2 (SP2) och senare använder du kommandot Setpwd.exe. Kommandot Setpwd.exe finns i mappen %Systemroot%\System32. På Windows Server 2003-baserade domänkontrollanter använder du kommandot Ntdsutil Set Directory Services Restore Mode Password (Lösenord för återställningsläge för katalogtjänster).

    Mer information om återställningsläget för Katalogtjänster finns i felmeddelandet "Katalogtjänster kan inte starta" när du startar din Windows-baserade eller SBS-baserade domänkontrollant.

    Mer information om hur du ändrar lösenordet i Windows Server 2003 finns i felmeddelandet "Katalogtjänster kan inte starta" när du startar din Windows-baserade eller SBS-baserade domänkontrollant.

  9. Starta om källdomänkontrollanten och tryck sedan på F8 för att starta återställningsläget för Katalogtjänster. Skriv ntdsutil files integrity vid kommandotolken och tryck sedan på Retur.

    Obs!

    Det här kommandot bekräftar databasens integritet.

    • Om verktyget Ntdsutil rapporterar att databasen är skadad och du har repliker av namngivningskontexterna på källdomänkontrollanten, framtvingar du en degradering av källdomänkontrollanten och höjer sedan upp den igen när du har verifierat integriteten för drivrutinerna, den inbyggda programvaran och de fysiska enheter som är värdar för Active Directory-databasen och transaktionsloggfilerna.

    • Om databasen är skadad och det inte finns några repliker av namngivningskontexten på källdomänkontrollanten återställer du det senaste systemtillståndet. Använd verktyget NTDSutil.exe för att bekräfta databasens integritet igen. Om du fortfarande får ett meddelande om skada återställer du äldre säkerhetskopior tills du kan bekräfta domänkontrollantens integritet.

    • Om databasen fortfarande är skadad återställer du den senaste säkerhetskopieringen av systemtillståndet och skriver sedan i en kommandotolk:

      ntdsutil files recover

      Använd verktyget NTDSutil.exe bekräfta databasens integritet igen. Om databasen klarar integritetskontrollen utför du en offlinedefragmentering av diskpartitionen. Mer information finns i Så här utför du offlinedefragmentering av Active Directory-databasen.

      Om du vill utföra en integritetskontroll av databasen skriver du följande i en kommandotolk och trycker sedan på Retur, där database_name är namnet på Active Directory-databasen:

      esentutl.exe /g database_name

      Använd slutligen alternativet Starta Windows normalt för att starta om datorn och försök sedan att replikera igen från källdomänkontrollanten till den berörda måldomänkontrollanten. Om databasen misslyckas med integritetskontrollen måste domänkontrollanten avbrytas. Du använder Active Directory Migration Tool (ADMT) för att migrera objekt. Du kan också använda verktygen Ldifde.exe och Csvde.exe för att exportera objekt som du ska importera till en ny måldomänkontrollant.

      Mer information om hur du använder verktygen Ldifde.exe och Csvde.exe finns i Stegvis guide till massimport och export till Active Directory.

  10. Om de här stegen inte lyckas och replikeringsfelet fortsätter, degraderar du domänkontrollanten, bekräftar integriteten för de fysiska enheterna och de volymer som är värdar för filen Ntds.dit och diskundersystemet och höjer sedan upp domänkontrollanten igen. Använd samma datornamn.

  11. Använd kommandot ntdsutil files compact för att utföra en offlinedefragmentering av Active Directory-databasen. Mer information finns i Utföra offlinedefragmentering av Active Directory-databasen .

  12. Skriv följande kommando i kommandotolken och tryck sedan på Retur:

    ntdsutil "semantic database analysis" "go"

    Obs!

    Citattecknen i det här exemplet krävs för att köra kommandot för semantisk databasanalys med hjälp av ett enda kommandoradsargument.

    Om fel rapporteras trycker type ntdsutil go fixupdu på Retur.

    Obs!

    De semantiska databaskommandona utför inte förlustbringande reparationer på Active Directory-databaser, till exempel för Windows Server 2003 Service Pack 1 Ntdsutil-filreparation eller Esentutl /p -kommandon.

    Ansvarsfriskrivning för information från tredje part

    De produkter från andra tillverkare som diskuteras i denna artikel tillverkas oberoende av Microsoft. Produkternas funktion eller tillförlitlighet kan därför inte garanteras.

Datainsamling

Om du behöver hjälp från Microsofts support rekommenderar vi att du samlar in informationen genom att följa stegen i Samla in information med hjälp av TSS för Active Directory-replikeringsproblem.