错误现象:
<Exception Time="2015-04-14 03:24:40Z" Message="访问控制列表的长度超过了允许的最大值。" Type="OverflowException"><StackTrace Time="2015-04-14 03:24:40Z"> 在 System.Security.AccessControl.RawAcl.InsertAce(Int32 index, GenericAce ace) 在 System.Security.AccessControl.CommonAcl.AddQualifiedAce(SecurityIdentifier sid, AceQualifier qualifier, Int32 accessMask, AceFlags flags, ObjectAceFlags objectFlags, Guid objectType, Guid inheritedobjectType) 在 System.Security.AccessControl.discretionaryAcl.AddAccess(AccessControlType accesstype, SecurityIdentifier sid, Int32 accessMask, InheritanceFlags inheritanceFlags, PropagationFlags propagationFlags, ObjectAceFlags objectFlags, Guid objectType, Guid inheritedobjectType) 在 System.Security.AccessControl.DirectoryObjectSecurity.ModifyAccess(AccessControlModification modification, ObjectAcce***ule rule, Boolean& modified) 在 System.Security.AccessControl.DirectoryObjectSecurity.AddAcce***ule(ObjectAcce***ule rule) 在 Microsoft.Rtc.Management.Deployment.Core.DirectoryCommon.ApplyAcesOnAcl(ActiveDirectorySecurity acl, Boolean remove, ActiveDirectoryAcce***ule[] aces) 在 Microsoft.Rtc.Management.Deployment.Core.DirectoryCommon.ProcessAcesOnDirectoryObject(ADSession session, AdobjectId id, ActiveDirectoryAcce***ule[] aces, EnterprisePrepAceOption aceOption) 在 Microsoft.Rtc.Management.Deployment.Core.DirectoryCommon.Processpermissions(DeploymentContext context, String domainFqdn, AdobjectId groupDomainId, String groupDomainController, LcAceTable aceTable, String trusteeGroupName, String groupName, String taskId, String permissionLocation, AdobjectId dirObject) 在 Microsoft.Rtc.Management.Deployment.LcForest.ProcessLcsForestPermissions(LcAction eAction, AdobjectId globalContainerId) 在 Microsoft.Rtc.Management.Deployment.LcForest.PrepareForest()</StackTrace>
解决方法:
这个是AD内置的的DACL大小限制限制导致的,解决的方法就是我们把在AD里面把内置的ACEs条目都删掉,具体参考以下步骤:
- 点击运行,输入ldp,然后点击ok
- 在ldp console里面点击Connection菜单,点击connect 输入DC的FQDN然后点击ok
- 在Connection菜单中点击Bind,输入域管理员的凭证信息,点击ok
- 在View菜单中,点击Tree
- 在Base DN中选择正确的域上下文例如"DC=Contoso,DC=com,"
- 在Tree菜单中在CN=Configuration,DC=<domainname>,DC=com下面定位到"CN=Services,CN=Configuration,DC=<domainname>,DC=com".
- 右击第六步的对象,点击Advanced,选择Security Descriptor,在这要里面保证SACL和Text dump两个选项是取消的,然后点击ok
这个时候会弹出来一个新的窗口里面是security descriptor的详细信息: - 在security descriptor窗口中,选择DACL复选框
- 在Security descriptor窗口中间的位置选择和删除所有包含“\0ADEL:”的ACEs条目,可以选择多个ACE条目然后选择Delete ACE
- 当把所有ACE删除后后关闭security descriptor
- 关闭LDP控制台
12 强制执行DC复制 - 再次扩展架构然后看一下问题是否依旧存在。
在再次扩展架构这个过程中可能会报错,找不到AD的对象。
将以前扩展架构产生日志的文件夹中的日志全部删除,Lync前端服务器重新启动,然后再扩展架构。
(在Tree菜单中在CN=Configuration,DC=<domainname>,DC=com下面定位到"CN=RTC Service,CN=Services,CN=Configuration,DC=<domainname>,DC=com".中的包含“\0ADEL:”的ACEs条目可能还会存在,如果还有问题,请将上述目录下的记录再次删除)
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。