Wir hatten letzte Woche ein ziemliches Problem mit der Replikation in unserer Active Director-Umgebung. Wir wurden plötzlich mit Tonnen von Ereignissen im Ereignisprotokoll mit der Ereignis-ID 1694 konfrontiert, wo es hieß:
Replikationsfehler 8203 „Die für den Verzeichnisdienst angegebene Attributsyntax ist ungültig.“
Dieser Fehler bedeutet, dass für ein Objekt in Active Directory ein ungültiges Attribut festgelegt wurde. Das könnte bedeuten, dass es irgendwo ein seltsames Zeichen gibt oder ein Attribut, das erfordert, dass ein Distinguished Name mit einer Zeichenfolge festgelegt wird.
Um dieses Problem zu beheben, haben wir weitere Daten aus diesen Ereignissen abgerufen. Jedes Ereignis sagt Ihnen, welches Attribut problematisch ist. In unserem Fall war das Protokoll das „Manager“-Attribut.
Im Protokoll wurde zwar kein Benutzername für das Problem angegeben, jedoch eine GUID. Wir können den folgenden PowerShell-Befehl verwenden, um das Benutzerobjekt zu finden.
Get-ADUser -Identity {GUID}
Nachdem Sie den Benutzer gefunden haben, öffnen Sie den Benutzer in Active Directory und korrigieren Sie das Attribut.
In unserem Fall ist die „Manager”-Feld hatte ein seltsames Leerzeichen. Wir haben einfach geklickt „Klar“, um es auszuräumen, und das Feld sagte dann „" so wie es sollte.
Sobald alle problematischen Konten aktualisiert wurden, wurde die Replikation wie gewohnt fortgesetzt.
FAQ
Wie finde ich Leerzeichen, die in Active Directory-Attributen festgelegt sind?
Wir haben das folgende PowerShell-Skript auf jedem unserer Domänencontroller ausgeführt, um herauszufinden, welche Objekte ein schwarzes Zeichen im Attribut hatten.
Get-ADObject -Server $_.Name -LDAPfilter '(manager=\20)'
Du kannst auch alle Domänencontroller abfragen.