Lync Server 2013服务器准备林架构报错

错误现象：
<Exception Time="2015-04-14 03:24:40Z" Message="访问控制列表的长度超过了允许的最大值。" Type="OverflowException"><StackTrace Time="2015-04-14 03:24:40Z"> 在 System.Security.AccessControl.RawAcl.InsertAce(Int32 index, GenericAce ace) 在 System.Security.AccessControl.CommonAcl.AddQualifiedAce(SecurityIdentifier sid, AceQualifier qualifier, Int32 accessMask, AceFlags flags, ObjectAceFlags objectFlags, Guid objectType, Guid inheritedObjectType) 在 System.Security.AccessControl.DiscretionaryAcl.AddAccess(AccessControlType accessType, SecurityIdentifier sid, Int32 accessMask, InheritanceFlags inheritanceFlags, PropagationFlags propagationFlags, ObjectAceFlags objectFlags, Guid objectType, Guid inheritedObjectType) 在 System.Security.AccessControl.DirectoryObjectSecurity.ModifyAccess(AccessControlModification modification, ObjectAccessRule rule, Boolean& modified) 在 System.Security.AccessControl.DirectoryObjectSecurity.AddAccessRule(ObjectAccessRule rule) 在 Microsoft.Rtc.Management.Deployment.Core.DirectoryCommon.ApplyAcesOnAcl(ActiveDirectorySecurity acl, Boolean remove, ActiveDirectoryAccessRule[] aces) 在 Microsoft.Rtc.Management.Deployment.Core.DirectoryCommon.ProcessAcesOnDirectoryObject(ADSession session, ADObjectId id, ActiveDirectoryAccessRule[] aces, EnterprisePrepAceOption aceOption) 在 Microsoft.Rtc.Management.Deployment.Core.DirectoryCommon.ProcessPermissions(DeploymentContext context, String domainFqdn, ADObjectId groupDomainId, String groupDomainController, LcAceTable aceTable, String trusteeGroupName, String groupName, String taskId, String permissionLocation, ADObjectId dirObject) 在 Microsoft.Rtc.Management.Deployment.LcForest.ProcessLcsForestPermissions(LcAction eAction, ADObjectId globalContainerId) 在 Microsoft.Rtc.Management.Deployment.LcForest.PrepareForest()</StackTrace>

解决方法：
这个是AD内置的的DACL大小限制限制导致的，解决的方法就是我们把在AD里面把内置的ACEs条目都删掉，具体参考以下步骤：

1. 点击运行，输入ldp，然后点击ok
2. 在ldp console里面点击Connection菜单，点击connect 输入DC的FQDN然后点击ok
3. 在Connection菜单中点击Bind，输入域管理员的凭证信息，点击ok
4. 在View菜单中，点击Tree
5. 在Base DN中选择正确的域上下文例如"DC=Contoso,DC=com,"
6. 在Tree菜单中在CN=Configuration,DC=<domainname>,DC=com下面定位到"CN=Services,CN=Configuration,DC=<domainname>,DC=com".
7. 右击第六步的对象，点击Advanced，选择Security Descriptor，在这要里面保证SACL和Text dump两个选项是取消的，然后点击ok
   这个时候会弹出来一个新的窗口里面是security descriptor的详细信息：
8. 在security descriptor窗口中，选择DACL复选框
9. 在Security descriptor窗口中间的位置选择和删除所有包含“\0ADEL:”的ACEs条目，可以选择多个ACE条目然后选择Delete ACE
10. 当把所有ACE删除后后关闭security descriptor
11. 关闭LDP控制台
    12 强制执行DC复制
12. 再次扩展架构然后看一下问题是否依旧存在。
    在再次扩展架构这个过程中可能会报错，找不到AD的对象。
    将以前扩展架构产生日志的文件夹中的日志全部删除，Lync前端服务器重新启动，然后再扩展架构。
    （在Tree菜单中在CN=Configuration,DC=<domainname>,DC=com下面定位到"CN=RTC Service,CN=Services,CN=Configuration,DC=<domainname>,DC=com".中的包含“\0ADEL:”的ACEs条目可能还会存在，如果还有问题，请将上述目录下的记录再次删除）

原文地址：http://blog.51cto.com/lizmfinder/2109438