In der letzten Woche hatten wir in unserer Active Director-Umgebung ein Problem mit der Replikation. Im Ereignisprotokoll mit der Ereignis-ID 1694 wurden wir plötzlich von einer Unmenge von Ereignissen getroffen. Dort stand:
Replikationsfehler 8203 "Die für den Verzeichnisdienst angegebene Attributsyntax ist ungültig."
Dieser Fehler bedeutet, dass ein Attribut für ein Objekt festgelegt wurde, das in Active Directory irgendwie ungültig ist. Das könnte bedeuten, dass es ein seltsames Zeichen gibt oder ein Attribut, für das ein mit einem String versehener Distinguised Name erforderlich ist.
Um dieses Problem zu beheben, haben wir weitere Daten aus diesen Ereignissen abgerufen. Bei jedem Ereignis erfahren Sie, welches Attribut problematisch ist. In unserem Fall war das Protokoll das "Manager”Attribut.
Während das Protokoll keinen Benutzernamen für das Problem angab, gab es eine GUID an. Wir können den folgenden PowerShell-Befehl verwenden, um das Benutzerobjekt zu finden.
Get-ADUser -Identity {GUID}
Wenn Sie den Benutzer gefunden haben, öffnen Sie den Benutzer in Active Directory und korrigieren Sie das Attribut.
In unserem Fall ist das “ManagerFeld hatte ein seltsames leeres Zeichen. Wir haben einfach geklickt “klar"Um es zu löschen, und das Feld sagte dann"" so wie es sollte.
Sobald alle problematischen Konten aktualisiert wurden, wurde die Replikation normal fortgesetzt.
FAQ
Wie finde ich leere Zeichen in Active Directory-Attributen?
Wir haben das folgende PowerShell-Skript auf jedem unserer Domänencontroller ausgeführt, um festzustellen, welche Objekte im Attribut einen schwarzen Buchstaben enthalten.
Get-ADObject -Server $ _. Name -LDAPfilter '(manager = \ 20)'