none
Как изменить значение атрибута системного объекта в CN=Partitions,CN=Configuration в Active Directory? RRS feed

  • Вопрос

  • После удаления дочернего домена (SL) штатными средствами (dcpromo) и создания его заново, в одном из других дочерних доменов (ST) стали появляться ошибки:

    ---------------------------------------------------------------------------------------------------------------------------

    Тип события: Ошибка
    Источник события: NTDS Replication
    Категория события: Репликация
    Код события: 1084
    Дата:  26.01.2015
    Время:  9:54:11
    Пользователь:  NT AUTHORITY\АНОНИМНЫЙ ВХОД
    Компьютер: DCST
    Описание:
    Внутреннее событие. Active Directory не удается применить к следующему объекту изменения, полученные со следующего исходного контроллера домена. Это вызвано ошибкой, возникшей в ходе применения изменений в Active Directory на контроллере домена.
     
    Объект:
    DC=sl,DC=organization,DC=ru
    GUID объекта:
    736ac421-dad9-4b81-a8ec-918b3d845602
    Исходный контроллер домена:
    b70540de-5ae5-4506-9d71-5bfd71e2ada6._msdcs.organization.ru
     
    Синхронизация локального контроллера домена с исходным будет заблокирована, пока эта ошибка не будет устранена.
     
    Эта операция снова будет запущена при следующей запланированной репликации.
     
    Действие пользователя
    Перезапустите локальный контроллер домена, если это состояние вызвано недостатком системных ресурсов (например, физической или виртуальной памяти).
     
    Дополнительные данные
    Значение ошибки:
    8527 Требуемый объект не найден, но найден объект с таким разделом.

    Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

    ---------------------------------------------------------------------------------------------------------------------------

    В процессе анализа содержимого "CN=Partitions,CN=Configuration,DC=organization,DC=ru" на проблемном контроллере DCST домена ST была найдена запись "CN=SL,CN=Partitions,CN=Configuration,DC=organization,DC=ru" со значением Directory Partition Name (атрибут nCName), равным "DC=sl\0ACNF:736ac421-dad9-4b81-a8ec-918b3d845602,DC=organization,DC=ru", в то время, как на всех остальных контроллерах других доменов значение этого же атрибута равно "DC=sl,DC=organization,DC=ru". Судя по всему, именно из-за того, что значение атрибута на проблемном контроллере DCST отличается, возникает ошибка репликации. Выход мне видится либо в удалении объекта "CN=SL,CN=Partitions,CN=Configuration,DC=organization,DC=ru" на контроллере DCST, либо в изменении значения атрибута nCName этого объекта на контроллере DCST. Однако ни удалить этот объект, ни изменить значение атрибута nCName этого объекта штатными средствами (ldp.exe, adsiedit.msc) не получается, т.к. объект является системным.

    Можно ли каким то образом удалить объект или изменить значение атрибута nCName? Может есть другие (более правильные) варианты решения этой проблемы?

    26 января 2015 г. 8:05

Ответы

  • Проблема решилась удалением на проблемном КД DCST роли GC, после чего запись "DC=sl\0ACNF:736ac421-dad9-4b81-a8ec-918b3d845602,DC=organization,DC=ru" самостоятельно переименовалась в "DC=sl,DC=organization,DC=ru" и ошибки репликации перестали появляться. Впоследствии роль GC была заново поднята на DCST. С тех пор репликация работает без проблем.
    • Помечено в качестве ответа Valery Cook 11 ноября 2015 г. 13:05
    • Изменено Valery Cook 11 ноября 2015 г. 13:05 поправка
    11 ноября 2015 г. 13:05

Все ответы

  • Нашёл статью http://support.microsoft.com/kb/826900/en-us , в которой сказано, каким образом можно поменять значение nCname. Однако создание DWORD-ключа Allow System Only Change=1 в системном реестре на DCST не помогло - при попытке изменения на нём значения атрибута nCname возникает ошибка ADSIEDIT "Этот атрибут не может быть изменён, т.к. он принадлежит системе." Данная статья относится к ОС Windows Server 2000. В моём случае КД работает под Windows Server 2003.
    • Изменено Valery Cook 26 января 2015 г. 8:48 уточнение
    26 января 2015 г. 8:26
  • Что-то мне сомнительно ваше определение источника ошибки. Поищите на проблемном КД в CN=Partitions,CN=Configuration,DC=organization,DC=ru раздел со значением nCName=sl.organization.ru.

    Слава России!

    26 января 2015 г. 18:11
  • Поискал. Раздела с nCName=sl.organization.ru на проблемном КД DCST нет. Сравнил все записи в разделе CN=Partitions,CN=Configuration,DC=organization,DC=ru на двух КД - проблемном DCST и непроблемном DCSL. Количество записей одинаковое. Все записи идентичные за исключением одной с distinguishedName = "CN=SL,CN=Partitions,CN=Configuration,DC=organization,DC=ru". В этой записи на непроблемном КД DCSL значение атрибута nCName="DC=sl,DC=organization,DC=ru", а на проблемном КД для этой же записи значение nCName="DC=sl\0ACNF:736ac421-dad9-4b81-a8ec-918b3d845602,DC=organization,DC=ru". Я думаю, именно поэтому в событии NTDS Replication с кодом 1084 содержится текст "Значение ошибки: 8527 Требуемый объект не найден, но найден объект с таким разделом."
    27 января 2015 г. 9:23
  • Проблема решилась удалением на проблемном КД DCST роли GC, после чего запись "DC=sl\0ACNF:736ac421-dad9-4b81-a8ec-918b3d845602,DC=organization,DC=ru" самостоятельно переименовалась в "DC=sl,DC=organization,DC=ru" и ошибки репликации перестали появляться. Впоследствии роль GC была заново поднята на DCST. С тех пор репликация работает без проблем.
    • Помечено в качестве ответа Valery Cook 11 ноября 2015 г. 13:05
    • Изменено Valery Cook 11 ноября 2015 г. 13:05 поправка
    11 ноября 2015 г. 13:05