Les ID d’événement de réplication Active Directory 2108 et 1084 se produisent au cours de la réplication entrante des services de domaine Active Directory

Cet article fournit une solution à un problème où vous obtenez les ID d’événement 2108 et 1084 lorsque la réplication entrante des services de domaine Active Directory (AD DS) se produit.

Version du produit d’origine :   Windows Server 2016, Windows Server 2012 R2
Numéro de la base de connaissances initiale :   837932

Symptômes

Lorsque la réplication entrante des services de domaine Active Directory (AD DS) se produit, un contrôleur de domaine de destination exécutant Microsoft Windows Server 2003 Service Pack 1 (SP1) via Windows Server 2016 enregistre l’événement suivant dans le journal du service d’annuaire :

ID d’événement 1084 : événement interne : les services de domaine Active Directory n’ont pas pu mettre à jour l’objet suivant avec les modifications reçues à partir du service d’annuaire source suivant. Cela est dû à une erreur survenue lors de l’application des modifications apportées aux services de domaine Active Directory sur le service d’annuaire.

Objet : CN =<cn path>

GUID de l’objet : <objectguid>

Service d’annuaire source : NTDSA._msdcs.<forst root DNS domain name>

La synchronisation du service d’annuaire avec le service d’annuaire source est bloquée jusqu’à ce que ce problème de mise à jour soit résolu.

Cette opération sera tentée à nouveau lors de la prochaine réplication planifiée.

Action de l’utilisateur :

Redémarrez l’ordinateur local si cette condition semble être liée à des ressources système insuffisantes (par exemple, une mémoire physique ou virtuelle faible).

Données supplémentaires :

Valeur de l’erreur : <error code><error string>

Notes

  • Dans le texte de la valeur d’erreur, <error code> et <error string> représentent les valeurs réelles indiquées dans l’entrée du journal.
  • L’événement 1804 a été journalisé depuis le serveur Windows 2000.

Les contrôleurs de domaine de destination qui exécutent Windows Server 2003 SP1 consignent également l’événement suivant dans le journal du service d’annuaire :

ID d’événement 2108 : cet événement contient les procédures de réparation de l’événement 1084 qui a été précédemment enregistré. Ce message indique un problème spécifique concernant la cohérence de la base de données des services de domaine Active Directory sur cette destination de réplication. Une erreur de base de données s’est produite lors de l’application des modifications répliquées à l’objet suivant. La base de données a un contenu inattendu, ce qui empêche la modification.

Notes

  • L’événement 2108 est journalisé sur le serveur Windows 2003 après l’installation de SP1.
  • Il s’agit d’un événement partenaire pour l’événement 1084.

Cause

Ces événements se produisent lorsque le contrôleur de domaine ne peut pas écrire une modification transactionnelle sur la copie locale de la base de données Active Directory.

Résolution

Pour résoudre ce problème, procédez comme suit. Recommencez l’opération de réplication après chaque étape qui effectue une modification.

  1. Assurez-vous qu’un espace disque suffisant est disponible sur les volumes qui hébergent la base de données Active Directory, puis recommencez l’opération. Procédez comme suit pour libérer de l’espace disque supplémentaire :

    1. Déplacez les fichiers non liés vers un autre volume.

    2. Effectuez une sauvegarde de l’état du système. Ce processus réduit la taille des fichiers journaux des transactions. Pour plus d’informations, reportez-vous à la rubrique utilisation de la fonctionnalité de sauvegarde pour sauvegarder et restaurer des données dans Windows Server 2003.

    3. Effectuez une défragmentation hors ligne d’Active Directory. Pour plus d’informations, voir Comment effectuer une défragmentation hors ligne de la base de données Active Directory.

  2. Assurez-vous que les lecteurs physiques hébergeant le fichier Ntds. dit et les fichiers journaux des transactions n’ont pas activé la compression du système de fichiers NTFS. Pour confirmer cela, cliquez avec le bouton droit sur la lettre du lecteur sur mon ordinateur, puis assurez-vous que la case à cocher compresser le lecteur pour libérer de l’espace disque n’est pas activée.

  3. Assurez-vous que les lecteurs physiques qui hébergent le fichier Ntds. dit et les fichiers journaux des transactions sont spécifiquement exclus des programmes antivirus locaux et distants. Pour plus d’informations, consultez la documentation de votre logiciel antivirus.

  4. Si le contrôleur de domaine de destination contient le catalogue global et que l’erreur se produit dans l’une des partitions en lecture seule, utilisez l’une des méthodes suivantes pour résoudre le problème :

    • Méthode 1 : utilisez l’option de réhébergement de l’outil de Repadmin.exe pour réhéberger la partition concernée.

      L’outil de Repadmin.exe est installé sur les ordinateurs qui ont le rôle de contrôleur de domaine et est installé avec l’outil RSAT sur les stations de travail et les serveurs membres. Pour ce faire, tapez la commande suivante à une invite de commandes, où domain_controller est le nom du contrôleur de domaine de destination, et good_source_domain_controller_name le nom d’un autre contrôleur de domaine :

      repadmin /rehost domain_controller naming_context good_source_domain_controller_name
      
    • Méthode 2 : configurer le contrôleur de domaine de sorte qu’il ne soit plus un serveur de catalogue global. Procédez comme suit :

      1. Cliquez sur Démarrer, pointez sur Outils d’administration, puis cliquez sur sites et services Active Directory.
      2. Recherchez la sous -arborescence Default-First-Site-Name \ Servers \ domain_controller_name \ NTDS Settings .
      3. Cliquez avec le bouton droit sur Paramètres NTDS, puis cliquez sur Propriétés.
      4. Désactivez la case à cocher catalogue global , puis cliquez sur OK.
    • Méthode 3

      Si l’erreur se produit dans une partition de programme, utilisez l’outil de Ntdsutil.exe pour modifier le réplica qui héberge la partition de programme.

  5. Utilisez un utilitaire tiers, tel que l’utilitaire FileMon, pour déterminer si un programme ou un utilisateur accède à la base de données Active Directory, aux fichiers journaux des transactions ou au fichier EDP. tmp. Si l’activité d’accès aux fichiers existe, arrêtez les services qui sont responsables de l’activité. Pour plus d’informations sur l’utilitaire FileMon, voir FileMon for Windows v 7.04.

  6. Déterminez si le problème est lié au parent de l’objet Active Directory sur le contrôleur de domaine de destination. Pour cela, procédez comme suit :

    1. Sur le contrôleur de domaine source, déplacez temporairement l’objet référencé dans l’événement 1084 vers un conteneur d’unité d’organisation (UO). L’unité d’organisation ne doit pas être liée au conteneur actuel. Par exemple, déplacez l’objet vers un nouveau conteneur à la racine du domaine.

    2. Si la réplication est terminée après le déplacement de l’objet, replacez l’objet dans son conteneur d’origine.

    3. Forcez le propagateur de descripteurs de sécurité à reconstruire le conteneur d’objets Ancestry dans la base de données qui existe sur les contrôleurs de domaine source et de destination. Pour cela, procédez comme suit :

      1. Assurez-vous que les outils de support Windows Server 2003 sont installés. Les outils de support sont disponibles sur le CD-ROM Windows Server 2003 dans le dossier Support\Tools. Double-cliquez sur le fichier Suptools.msi pour installer les outils.

      2. Cliquez sur Démarrer, sur exécuter, tapez LDP, puis cliquez sur OK.

      3. Cliquez sur connexion, sur se connecter, puis tapez le nom du serveur auquel vous souhaitez vous connecter.

        Notes

        Vous allez vous connecter via le port 389 pour Active Directory.

      4. Cliquez sur connexion, sur lier, puis tapez le nom d’utilisateur, le mot de passe et le domaine d’administration. (Vous devez utiliser des informations d’identification d’administrateur de domaine ou d’administrateur d’entreprise.) Cliquez sur OK.

      5. Dans le menu Parcourir , cliquez sur modifier. Laissez la zone de texte DN vide. Dans la zone de texte attribut , tapez FixUpInheritance. Cliquez sur Oui dans la zone de texte valeur .

      6. Dans la zone opération , cliquez sur Ajouter.

      7. Appuyez sur entrée pour remplir la zone liste d’entrées .

        Notes

        Dans la zone liste d’entrées , [Add] fixupinheritance : Yes (Oui ).

      8. Cliquez sur Exécuter.

        Notes

        Le volet droit affiche maintenant un état modifié et le propagateur de descripteur de sécurité démarre. Le runtime pour le propagateur de descripteurs de sécurité dépend de la taille de la base de données Active Directory. Le processus est terminé lorsque le compteur événements de propagation de la sécurité DS de l’objet de performance NTDS renvoie à zéro.

      9. Cliquez sur Fermer, sur connexion, puis sur quitter.

  7. Sur le contrôleur de domaine source, tapez repadmin /showmeta distinguished_name_path à une invite de commandes, puis affichez les métadonnées de l’objet pour le chemin d’accès du nom unique référencé dans l’événement 1084. Répétez cette étape sur le contrôleur de domaine de destination. Recherchez les valeurs incohérentes qui incluent, sans s’y limiter, les éléments suivants :

    • Noms et numéros d’attributs incorrects qui apparaissent sur l’objet
    • Cachets de date ou d’heure d’origine incorrects
    • Numéros de séquence de mise à jour locale incorrects (USN)

    Des valeurs incorrectes peuvent indiquer un problème avec la page de base de données qui héberge l’objet.

    Pour utiliser l’outil Repadmin.exe lorsque le chemin d’accès du nom unique fait référence à un objet actif, tapez ce qui suit à l’invite de commandes :

    repadmin /showmeta remote_domain_controller_name distinguished_name_path_of_reference _object
    

    Si l’objet est dans un conteneur d’objets supprimés ou si vous ne pouvez pas utiliser l’outil de Repadmin.exe pour trouver l’objet, utilisez la référence de GUID de l’objet pour Rechercher l’objet. Ce GUID est référencé dans l’événement 1084. Pour ce faire, tapez ce qui suit à l’invite de commandes :

    repadmin /showmeta remote_domain_controller_name "GUID_for_the_object that_is_referenced_in_Event_ID_1084"
    

    Par exemple, si l’événement 1084 et l’événement 2108 font référence à un objet où le GUID est b49cd496-98a2-4500-BB08-58550c2f79ac, tapez repadmin /showmeta "<GUID=b49cd496-98a2-4500-bb08-58550c2f79ac>" .

    Notes

    Les guillemets et les crochets sont obligatoires.

  8. Procurez-vous l’outil de Ntdsutil.exe le plus récent en installant le Service Pack le plus récent pour votre système d’exploitation. Utilisez l’outil de Ntdsutil.exe pour effectuer une vérification de l’intégrité de la base de données Active Directory sur le contrôleur de domaine source.

    Avant de démarrer l’ordinateur en mode de restauration des services d’annuaire, obtenez le mot de passe du compte d’administrateur hors connexion. Si vous ne savez pas le mot de passe du compte administrateur, réinitialisez le mot de passe du mode de restauration des services d’annuaire avant de démarrer dans ce mode. Sur les contrôleurs de domaine qui exécutent Windows 2000 Service Pack 2 (SP2) et versions ultérieures, utilisez la commande Setpwd.exe. La commande Setpwd.exe se trouve dans le dossier%Systemroot%\System32 Sur les contrôleurs de domaine Windows Server 2003, utilisez la commande ntdsutil Set Directory Services Restore mode Password.

    Pour plus d’informations sur le mode de restauration des services d’annuaire, consultez la section « services d’annuaire ne peuvent pas démarrer » lorsque vous démarrez votre contrôleur de domaine Windows ou SBS.

    Pour plus d’informations sur la modification du mot de passe dans Windows Server 2003, consultez le message d’erreur « les services d’annuaire ne peuvent pas démarrer » lorsque vous démarrez votre contrôleur de domaine Windows ou SBS.

  9. Redémarrez le contrôleur de domaine source, puis appuyez sur F8 pour démarrer le mode de restauration des services d’annuaire. À l’invite de commandes, tapez ntdsutil files integrity , puis appuyez sur entrée.

    Notes

    Cette commande confirme l’intégrité de la base de données.

    • Si l’outil Ntdsutil signale que la base de données est endommagée et que vous disposez de réplicas des contextes d’appellation sur le contrôleur de domaine source, forcez une rétrogradation du contrôleur de domaine source, puis promouvez-le à nouveau après avoir vérifié l’intégrité des pilotes, du microprogramme et des lecteurs physiques qui hébergent la base de données active

    • Si la base de données est endommagée et qu’il n’existe aucun réplica du contexte d’appellation sur le contrôleur de domaine source, restaurez l’état du système le plus récent. Utilisez l’outil de NTDSutil.exe pour vérifier à nouveau l’intégrité de la base de données. Si vous recevez toujours un message d’endommagement, restaurez d’anciennes sauvegardes jusqu’à ce que vous puissiez confirmer l’intégrité du contrôleur de domaine.

    • Si la base de données est toujours endommagée, restaurez la sauvegarde d’État du système la plus récente, puis, à l’invite de commandes, tapez :

      ntdsutil files recover
      

      Utilisez l’outil NTDSutil.exe vérifier de nouveau l’intégrité de la base de données. Si la base de données réussit la vérification de l’intégrité, effectuez une défragmentation hors ligne de la partition de disque. Pour plus d’informations, voir Comment effectuer une défragmentation hors ligne de la base de données Active Directory.

      Pour effectuer une vérification de l’intégrité de la base de données, tapez la commande suivante à une invite de commandes, puis appuyez sur entrée, où database_name est le nom de la base de données Active Directory :

      esentutl.exe /g database_name
      

      Enfin, utilisez l’option démarrer Windows normalement pour redémarrer l’ordinateur, puis réessayez de réexécuter la réplication depuis le contrôleur de domaine source vers le contrôleur de domaine de destination concerné. Si la vérification de l’intégrité de la base de données échoue, le contrôleur de domaine doit être abandonné. Vous utilisez l’outil de migration Active Directory (ADMT) pour migrer des objets. Vous pouvez également utiliser les outils Ldifde.exe et Csvde.exe pour exporter des objets que vous allez importer vers un nouveau contrôleur de domaine de destination.

      Pour plus d’informations sur l’utilisation des outils Ldifde.exe et Csvde.exe, voir Guide pas à pas pour l’importation et l’exportation en bloc vers Active Directory.

  10. Si ces étapes ne réussissent pas et que l’erreur de réplication persiste, rétrogradez le contrôleur de domaine, confirmez l’intégrité des lecteurs physiques et des volumes qui hébergent le fichier Ntds. dit et le sous-système de disque, puis promouvez de nouveau le contrôleur de domaine. Utilisez le même nom d’ordinateur.

  11. Utilisez la commande de fichier Ntdsutil Files Compact pour effectuer une défragmentation hors ligne de la base de données Active Directory. Pour plus d’informations, consultez la rubrique exécution d’une défragmentation hors ligne de la base de données Active Directory .

  12. À l’invite de commandes, tapez la commande suivante, puis appuyez sur Entrée :

    ntdsutil "semantic database analysis" "go"
    

    Notes

    Les guillemets dans cet exemple sont requis pour exécuter la commande sémantique d’analyse de la base de données à l’aide d’un seul argument de ligne de commande.

    Si des erreurs sont signalées, type ntdsutil go fixup , puis appuyez sur entrée.

    Notes

    Les commandes sémantiques de base de données n’effectuent pas de réparations avec perte sur les bases de données Active Directory, telles que les commandes de réparation de fichiers de Ntdsutil ou les commandes de Service Pack 1 de Ntdsutil Windows Server 2003 Esentutl /p .

    Exclusion de responsabilité de tiers

    Les produits tiers mentionnés dans le présent article sont fabriqués par des sociétés indépendantes de Microsoft. Microsoft exclut toute garantie, implicite ou autre, concernant les performances ou la fiabilité de ces produits.