Lync Server 2013服務器準備林架構報錯
阿新 • • 發佈:2018-05-01
Lync擴展架構錯誤 訪問控制列表的長度超過了允許的最大值 錯誤現象:
<Exception Time="2015-04-14 03:24:40Z" Message="訪問控制列表的長度超過了允許的最大值。" Type="OverflowException"><StackTrace Time="2015-04-14 03:24:40Z"> 在 System.Security.AccessControl.RawAcl.InsertAce(Int32 index, GenericAce ace) 在 System.Security.AccessControl.CommonAcl.AddQualifiedAce(SecurityIdentifier sid, AceQualifier qualifier, Int32 accessMask, AceFlags flags, ObjectAceFlags objectFlags, Guid objectType, Guid inheritedObjectType) 在 System.Security.AccessControl.DiscretionaryAcl.AddAccess(AccessControlType accessType, SecurityIdentifier sid, Int32 accessMask, InheritanceFlags inheritanceFlags, PropagationFlags propagationFlags, ObjectAceFlags objectFlags, Guid objectType, Guid inheritedObjectType) 在 System.Security.AccessControl.DirectoryObjectSecurity.ModifyAccess(AccessControlModification modification, ObjectAccessRule rule, Boolean& modified) 在 System.Security.AccessControl.DirectoryObjectSecurity.AddAccessRule(ObjectAccessRule rule) 在 Microsoft.Rtc.Management.Deployment.Core.DirectoryCommon.ApplyAcesOnAcl(ActiveDirectorySecurity acl, Boolean remove, ActiveDirectoryAccessRule[] aces) 在 Microsoft.Rtc.Management.Deployment.Core.DirectoryCommon.ProcessAcesOnDirectoryObject(ADSession session, ADObjectId id, ActiveDirectoryAccessRule[] aces, EnterprisePrepAceOption aceOption) 在 Microsoft.Rtc.Management.Deployment.Core.DirectoryCommon.ProcessPermissions(DeploymentContext context, String domainFqdn, ADObjectId groupDomainId, String groupDomainController, LcAceTable aceTable, String trusteeGroupName, String groupName, String taskId, String permissionLocation, ADObjectId dirObject) 在 Microsoft.Rtc.Management.Deployment.LcForest.ProcessLcsForestPermissions(LcAction eAction, ADObjectId globalContainerId) 在 Microsoft.Rtc.Management.Deployment.LcForest.PrepareForest()</StackTrace>
<Exception Time="2015-04-14 03:24:40Z" Message="訪問控制列表的長度超過了允許的最大值。" Type="OverflowException"><StackTrace Time="2015-04-14 03:24:40Z"> 在 System.Security.AccessControl.RawAcl.InsertAce(Int32 index, GenericAce ace) 在 System.Security.AccessControl.CommonAcl.AddQualifiedAce(SecurityIdentifier sid, AceQualifier qualifier, Int32 accessMask, AceFlags flags, ObjectAceFlags objectFlags, Guid objectType, Guid inheritedObjectType) 在 System.Security.AccessControl.DiscretionaryAcl.AddAccess(AccessControlType accessType, SecurityIdentifier sid, Int32 accessMask, InheritanceFlags inheritanceFlags, PropagationFlags propagationFlags, ObjectAceFlags objectFlags, Guid objectType, Guid inheritedObjectType) 在 System.Security.AccessControl.DirectoryObjectSecurity.ModifyAccess(AccessControlModification modification, ObjectAccessRule rule, Boolean& modified) 在 System.Security.AccessControl.DirectoryObjectSecurity.AddAccessRule(ObjectAccessRule rule) 在 Microsoft.Rtc.Management.Deployment.Core.DirectoryCommon.ApplyAcesOnAcl(ActiveDirectorySecurity acl, Boolean remove, ActiveDirectoryAccessRule[] aces) 在 Microsoft.Rtc.Management.Deployment.Core.DirectoryCommon.ProcessAcesOnDirectoryObject(ADSession session, ADObjectId id, ActiveDirectoryAccessRule[] aces, EnterprisePrepAceOption aceOption) 在 Microsoft.Rtc.Management.Deployment.Core.DirectoryCommon.ProcessPermissions(DeploymentContext context, String domainFqdn, ADObjectId groupDomainId, String groupDomainController, LcAceTable aceTable, String trusteeGroupName, String groupName, String taskId, String permissionLocation, ADObjectId dirObject) 在 Microsoft.Rtc.Management.Deployment.LcForest.ProcessLcsForestPermissions(LcAction eAction, ADObjectId globalContainerId) 在 Microsoft.Rtc.Management.Deployment.LcForest.PrepareForest()</StackTrace>
解決方法:
這個是AD內置的的DACL大小限制限制導致的,解決的方法就是我們把在AD裏面把內置的ACEs條目都刪掉,具體參考以下步驟:
- 點擊運行,輸入ldp,然後點擊ok
- 在ldp console裏面點擊Connection菜單,點擊connect 輸入DC的FQDN然後點擊ok
- 在Connection菜單中點擊Bind,輸入域管理員的憑證信息,點擊ok
- 在View菜單中,點擊Tree
- 在Base DN中選擇正確的域上下文例如"DC=Contoso,DC=com,"
- 在Tree菜單中在CN=Configuration,DC=<domainname>,DC=com下面定位到"CN=Services,CN=Configuration,DC=<domainname>,DC=com".
- 右擊第六步的對象,點擊Advanced,選擇Security Descriptor,在這要裏面保證SACL和Text dump兩個選項是取消的,然後點擊ok
這個時候會彈出來一個新的窗口裏面是security descriptor的詳細信息: - 在security descriptor窗口中,選擇DACL復選框
- 在Security descriptor窗口中間的位置選擇和刪除所有包含“\0ADEL:”的ACEs條目,可以選擇多個ACE條目然後選擇Delete ACE
- 當把所有ACE刪除後後關閉security descriptor
- 關閉LDP控制臺
12 強制執行DC復制 - 再次擴展架構然後看一下問題是否依舊存在。
將以前擴展架構產生日誌的文件夾中的日誌全部刪除,Lync前端服務器重新啟動,然後再擴展架構。
(在Tree菜單中在CN=Configuration,DC=<domainname>,DC=com下面定位到"CN=RTC Service,CN=Services,CN=Configuration,DC=<domainname>,DC=com".中的包含“\0ADEL:”的ACEs條目可能還會存在,如果還有問題,請將上述目錄下的記錄再次刪除)
Lync Server 2013服務器準備林架構報錯