错误现象:
<Exception Time="2015-04-14 03:24:40Z" Message="访问控制列表的长度超过了允许的最大值." Type="OverflowException"><StackTrace Time="2015-04-14 03:24:40Z"> 在 System.Security.AccessControl.RawAcl.InsertAce(Int32 index, GenericAce ace) 在 System.Security.AccessControl.CommonAcl.AddQualifiedAce(SecurityIdentifier sid, AceQualifier qualifier, Int32 accessMask, AceFlags flags, ObjectAceFlags objectFlags, Guid objectType, Guid inheritedObjectType) 在 System.Security.AccessControl.DiscretionaryAcl.AddAccess(AccessControlType accessType, SecurityIdentifier sid, Int32 accessMask, InheritanceFlags inheritanceFlags, PropagationFlags propagationFlags, ObjectAceFlags objectFlags, Guid objectType, Guid inheritedObjectType) 在 System.Security.AccessControl.DirectoryObjectSecurity.ModifyAccess(AccessControlModification modification, ObjectAccessRule rule, Boolean& modified) 在 System.Security.AccessControl.DirectoryObjectSecurity.AddAccessRule(ObjectAccessRule rule) 在 Microsoft.Rtc.Management.Deployment.Core.DirectoryCommon.ApplyAcesOnAcl(ActiveDirectorySecurity acl, Boolean remove, ActiveDirectoryAccessRule[] aces) 在 Microsoft.Rtc.Management.Deployment.Core.DirectoryCommon.ProcessAcesOnDirectoryObject(ADSession session, ADObjectId id, ActiveDirectoryAccessRule[] aces, EnterprisePrepAceOption aceOption) 在 Microsoft.Rtc.Management.Deployment.Core.DirectoryCommon.ProcessPermissions(DeploymentContext context, String domainFqdn, ADObjectId groupDomainId, String groupDomainController, LcAceTable aceTable, String trusteeGroupName, String groupName, String taskId, String permissionLocation, ADObjectId dirObject) 在 Microsoft.Rtc.Management.Deployment.LcForest.ProcessLcsForestPermissions(LcAction eAction, ADObjectId globalContainerId) 在 Microsoft.Rtc.Management.Deployment.LcForest.PrepareForest()</StackTrace>
解决方法:
这个是 AD 内置的的 DACL 大小限制限制导致的, 解决的方法就是我们把在 AD 里面把内置的 ACEs 条目都删掉, 具体参考以下步骤:
点击运行, 输入 ldp, 然后点击 ok
在 ldp console 里面点击 Connection 菜单, 点击 connect 输入 DC 的 FQDN 然后点击 ok
在 Connection 菜单中点击 Bind, 输入域管理员的凭证信息, 点击 ok
在 View 菜单中, 点击 Tree
在 Base DN 中选择正确的域上下文例如 "DC=Contoso,DC=com,"
在 Tree 菜单中在 CN=Configuration,DC=<domainname>,DC=com 下面定位到 "CN=Services,CN=Configuration,DC=<domainname>,DC=com".
右击第六步的对象, 点击 Advanced, 选择 Security Descriptor, 在这要里面保证 SACL 和 Text dump 两个选项是取消的, 然后点击 ok
这个时候会弹出来一个新的窗口里面是 security descriptor 的详细信息:
在 security descriptor 窗口中, 选择 DACL 复选框
在 Security descriptor 窗口中间的位置选择和删除所有包含 "\0ADEL:" 的 ACEs 条目, 可以选择多个 ACE 条目然后选择 Delete ACE
当把所有 ACE 删除后后关闭 security descriptor
关闭 LDP 控制台
12 强制执行 DC 复制
再次扩展架构然后看一下问题是否依旧存在.
在再次扩展架构这个过程中可能会报错, 找不到 AD 的对象.
将以前扩展架构产生日志的文件夹中的日志全部删除, Lync 前端服务器重新启动, 然后再扩展架构.
(在 Tree 菜单中在 CN=Configuration,DC=<domainname>,DC=com 下面定位到 "CN=RTC Service,CN=Services,CN=Configuration,DC=<domainname>,DC=com". 中的包含 "\0ADEL:" 的 ACEs 条目可能还会存在, 如果还有问题, 请将上述目录下的记录再次删除)
来源: http://www.bubuko.com/infodetail-2582646.html