错误现象:
在 System.Security.AccessControl.RawAcl.InsertAce(Int32 index, GenericAce ace) 在 System.Security.AccessControl.CommonAcl.AddQualifiedAce(SecurityIdentifier sid, AceQualifier qualifier, Int32 accessMask, AceFlags flags, ObjectAceFlags objectFlags, Guid objectType, Guid inheritedObjectType) 在 System.Security.AccessControl.DiscretionaryAcl.AddAccess(AccessControlType accessType, SecurityIdentifier sid, Int32 accessMask, InheritanceFlags inheritanceFlags, PropagationFlags propagationFlags, ObjectAceFlags objectFlags, Guid objectType, Guid inheritedObjectType) 在 System.Security.AccessControl.DirectoryObjectSecurity.ModifyAccess(AccessControlModification modification, ObjectAcce***ule rule, Boolean& modified) 在 System.Security.AccessControl.DirectoryObjectSecurity.AddAcce***ule(ObjectAcce***ule rule) 在 Microsoft.Rtc.Management.Deployment.Core.DirectoryCommon.ApplyAcesOnAcl(ActiveDirectorySecurity acl, Boolean remove, ActiveDirectoryAcce***ule[] aces) 在 Microsoft.Rtc.Management.Deployment.Core.DirectoryCommon.ProcessAcesOnDirectoryObject(ADSession session, ADObjectId id, ActiveDirectoryAcce***ule[] aces, EnterprisePrepAceOption aceOption) 在 Microsoft.Rtc.Management.Deployment.Core.DirectoryCommon.ProcessPermissions(DeploymentContext context, String domainFqdn, ADObjectId groupDomainId, String groupDomainController, LcAceTable aceTable, String trusteeGroupName, String groupName, String taskId, String permissionLocation, ADObjectId dirObject) 在 Microsoft.Rtc.Management.Deployment.LcForest.ProcessLcsForestPermissions(LcAction eAction, ADObjectId globalContainerId) 在 Microsoft.Rtc.Management.Deployment.LcForest.PrepareForest()

解决方法:
这个是AD内置的的DACL大小限制限制导致的,解决的方法就是我们把在AD里面把内置的ACEs条目都删掉,具体参考以下步骤:

  1. 点击运行,输入ldp,然后点击ok
  2. 在ldp console里面点击Connection菜单,点击connect 输入DC的FQDN然后点击ok
  3. 在Connection菜单中点击Bind,输入域管理员的凭证信息,点击ok
  4. 在View菜单中,点击Tree
  5. 在Base DN中选择正确的域上下文例如"DC=Contoso,DC=com,"
  6. 在Tree菜单中在CN=Configuration,DC=,DC=com下面定位到"CN=Services,CN=Configuration,DC=,DC=com".
  7. 右击第六步的对象,点击Advanced,选择Security Descriptor,在这要里面保证SACL和Text dump两个选项是取消的,然后点击ok
    这个时候会弹出来一个新的窗口里面是security descriptor的详细信息:
  8. 在security descriptor窗口中,选择DACL复选框
  9. 在Security descriptor窗口中间的位置选择和删除所有包含“\0ADEL:”的ACEs条目,可以选择多个ACE条目然后选择Delete ACE
  10. 当把所有ACE删除后后关闭security descriptor
  11. 关闭LDP控制台
    12 强制执行DC复制
  12. 再次扩展架构然后看一下问题是否依旧存在。
    在再次扩展架构这个过程中可能会报错,找不到AD的对象。
    将以前扩展架构产生日志的文件夹中的日志全部删除,Lync前端服务器重新启动,然后再扩展架构。
    (在Tree菜单中在CN=Configuration,DC=,DC=com下面定位到"CN=RTC Service,CN=Services,CN=Configuration,DC=,DC=com".中的包含“\0ADEL:”的ACEs条目可能还会存在,如果还有问题,请将上述目录下的记录再次删除)