Freigeben über

Problembehandlung bei AD-Replikationsfehler 1908: Der Domänencontroller für diese Domäne konnte nicht gefunden werden.

Dieser Artikel enthält eine Lösung für die Problembehandlung des AD-Replikationsfehlers 1908: Der Domänencontroller für diese Domäne konnte nicht gefunden werden.

Ursprüngliche KB-Nummer: 2712026

Notiz

Private Benutzer: Dieser Artikel ist nur für technische Supportmitarbeiter und IT-Experten vorgesehen. Wenn Sie hilfe zu einem Problem suchen, bitten Sie die Microsoft-Community.

Symptome

  1. REPADMIN.exe meldet, dass der Replikationsversuch mit dem Status 1908 fehlgeschlagen ist.

    REPADMIN-Befehle, die häufig den Status 1908 zitieren, sind jedoch nicht beschränkt auf:

    • REPADMIN /ADD
    • REPADMIN /REPLSUM *
    • REPADMIN /REHOST
    • REPADMIN /SHOWVECTOR /LATENCY
    • REPADMIN /SHOWREPS
    • REPADMIN /SHOWREPL

    Beispielausgabe des repadmin /syncall Befehls:

    Syncing all NC's held on CONTOSO-DC02.  
Syncing partition: DC=ForestDnsZones,DC=Contoso,DC=com  
CALLBACK MESSAGE: Error contacting server 1b136427-14f0-448a-965c-  
9cbb61400fcd._msdcs.Contoso.com (network error): 1908 (0x774):  
 Could not find the domain controller for this domain.

    Beispielausgabe des repadmin /showreps Befehls:

    DC=ForestDnsZones,DC=Contoso,DC=com  
HQ\Contoso-DC02 via RPC  
DC object GUID:1b136427-14f0-448a-965c-9cbb61400fcd._msdcs.Contoso.com/  
Last attempt @ <DATE> <TIME> failed, result 1908 (0x774):  
Could not find the domain controller for this domain.  
<# consecutive failure>  
<Last Success>

  2. NTDS KCC, NTDS-Replikationsereignisse mit dem Status 1908 werden im Verzeichnisdienstereignisprotokoll protokolliert.

    Active Directory-Ereignisse, die häufig den Status 1908 zitieren, sind jedoch nicht beschränkt auf:

    Ereignisquelle Ereigniskategorie Ereignis-ID Ereignistyp Ereigniszeichenfolge
    NTDS KCC Wissenskonsistenzüberprüfung 19:26 Warnung Der Versuch, eine Replikationsverknüpfung mit einer schreibgeschützten Verzeichnispartition herzustellen, bei der die folgenden Parameter fehlgeschlagen sind.
    NTDS KCC Wissenskonsistenzüberprüfung 1925 Warnung Beim Versuch, einen Replikationslink für eine beschreibbare Verzeichnispartition herzustellen, ist ein Fehler aufgetreten.
    NTDS-Replikation Replikation 1943 Fehler Active Directory konnte nicht alle lingernden Objekte auf dem lokalen Domänencontroller entfernen. Möglicherweise wurden jedoch einige beibehaltene Objekte auf diesem Domänencontroller gelöscht, bevor dieser Vorgang beendet wurde. Alle Objekte hatten ihre Existenz auf dem folgenden Quelldomänencontroller überprüft.
    NTDS-Replikation Setup 1125 Fehler Der Installations-Assistent für Active Directory-Domäne Dienste (Dcpromo) konnte keine Verbindung mit dem folgenden Domänencontroller herstellen.

    Diese Ereignisse enthalten den folgenden Unterfehlerwert:

    Zusätzliche Daten
    Fehlerwert:
    Der Domänencontroller für diese Domäne konnte nicht gefunden werden. 1908

  3. Wenn Sie versuchen, die Replikation in der Active Directory-Website- und Dienstkonsole (dssite.msc) über die Option "Jetzt replizieren" zu erzwingen, wird möglicherweise die folgende Fehlermeldung angezeigt:

    Dialogfeldtiteltext: Jetzt replizieren

    Meldungstext des Dialogfelds: Der folgende Fehler ist beim Versuch aufgetreten, den Namenskontext des Namenskontexts <> vom Domänencontroller <Source-DC-Name> mit dem Domänencontroller-Ziel-DC-Name <>zu synchronisieren: Der Domänencontroller für diese Domäne konnte nicht gefunden werden.

    Fehlermeldung: Der Domänencontroller für diese Domäne konnte nicht gefunden werden.

    Schaltflächen im Dialogfeld: OK

  4. Domänencontroller heraufstufung/Herabstufung

    Dialogfeld für Dcpromo.exe Fehler:

    Dialogfeldtiteltext: Active Directory-Installations-Assistent

    Meldungstext des Dialogfelds: Active Directory konnte das NTDS-Einstellungsobjekt für diesen Domänencontroller CN=NTDS-Einstellungen,CN=DC_Name,CN>=Server,CN=<SiteName,CN>=Sites,CN=Configuration,DomainDN>< auf dem entfernten Domänencontroller <Remote_DC_FQDN> erstellen.< Stellen Sie sicher, dass die bereitgestellten Netzwerkanmeldeinformationen über ausreichende Berechtigungen verfügen.

    Fehlermeldung: Der Domänencontroller für diese Domäne konnte nicht gefunden werden.

    Schaltflächen im Dialogfeld: OK

    DCPromo.log Dateiberichte(%windir%\debug\DCPromo.log):

    [INFO] Fehler : Active Directory-Domäne Services konnte das NTDS-Einstellungsobjekt für diesen Active Directory-Domäne Controller CN=NTDS Settings,CN=CONTOSO-DC02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Sites,CN=Configuration,DC=Contoso,DC=com auf dem Remote-AD DC contoso-dc01.Contoso.comerstellen. Stellen Sie sicher, dass die bereitgestellten Netzwerkanmeldeinformationen über ausreichende Berechtigungen verfügen. (1908)
    [INFO] NtdsInstall für Contoso.com zurückgegebene 1908
    [INFO] DsRolepInstallDs zurückgegeben 1908
    [FEHLER] Fehler beim Installieren im Verzeichnisdienst (1908)

Ursache

Fehlercode 1908 stellt den Fehler dar, der als "Der Domänencontroller für diese Domäne konnte nicht gefunden werden" angezeigt wird. Dieser Fehler hat zwei primäre Ursachen:

  1. Der Ziel-DC kann keine Verbindung mit einem Schlüsselverteilungscenter (Key Distribution Center, KDC) herstellen.

  2. Auf dem Computer sind Kerberos-bezogene Fehler aufgetreten.

Ein wichtiges Konzept für dieses Szenario ist, dass der für Replikationsvorgänge verwendete KDC möglicherweise folgendes sein kann:

a. Ziel-DC
b. Die Quelle DC
c. Ein völlig anderer DC (nicht die Quelle oder das Ziel-DC).

Lösung

  1. Überprüfen, ob der Schlüsselverteilungsdienst auf dem Zieldomänencontroller ausgeführt wird

    Ermitteln Sie das Kerberos-Schlüsselverteilungscenter, das Sie kontaktieren. Sie kann mithilfe eines Paketerfassungsprogramms wie Network Monitor 3.4 ermittelt werden.

    1. Verwenden Sie "Netzwerkmonitor", um die reproduzierte Fehlermeldung zu erfassen. (Möglicherweise müssen Sie zuerst den DNS-Clientdienst beenden, damit der DNS-Abfragedatenverkehr angezeigt wird)

    2. Überprüfen Sie die Paketaufnahme für die DNS-Abfrage für einen KDC: Beispieladressabfragen:

      _kerberos.tcp.<SiteName>._sites.dc._msdcs.<Domäne>.com
      _kerberos._tcp.dc._msdcs.<Domäne>.com

    3. Überprüfen Sie auf jeden Datenverkehr DCLocator :
      Beispiel für netzwerkmonitor 3.4 capture of DcLocator Traffic. In diesem Beispiel ist 10.0.1.11 der ermittelte KDC, und 10.0.1.10 ist der Client, der ein Ticket anfordert. Es verwendet das standardmäßige Netzwerkmonitorspaltenlayout.

      Rahmen # Uhrzeit und Datum Zeitversatz Quell-IP Ziel-IP Details
      42 3/7/2012 3.6455760 10.0.1.10 10.0.1.11 LDAPMessage: Suchanforderung, MessageID: 371 *** Dieses Paket ist ein UDP-LDAP-Aufruf für DC Locator, der nach Netlogon*** sucht.
      43 3/7/2012 3.6455760 10.0.1.11 10.0.1.10 NetLogon:LogonSAMPauseResponseEX (SAM Response when Netlogon is paused): 24 (0x18)

    4. Vergewissern Sie sich, dass die KDC und Netlogon Dienste von 10.10.10.11 ausgeführt werden. Überprüfen Sie auf dem ermittelten Domänencontroller(10.0.1.11) den KDC- und Netlogon Dienststatus mit SC-Abfrage.

      Beispiel: Abfragen des KDC-Diensts mit: "SC Query KDC" und dem Netlogon Dienst mit: "SC Query Netlogon" Diese Befehle sollten "State: Running" zurückgeben.

  2. Stellen Sie sicher, dass der Zieldomänencontroller Werbung als Key Distribution Center ist
    Verwenden Sie DCDIAG.exe, um zu überprüfen, ob der Zieldomänencontroller Werbung ist. Führen Sie an einer CMD.exe Eingabeaufforderung den folgenden Befehl aus:

    C:\DCDiag.exe /v /test:Advertising /test:SysVolCheck

    Stellen Sie sicher, dass der Domänencontroller die Tests für Werbung und SYSVOLCHeck bestanden hat und als Key Distribution Center werben und SysVol bereit ist. Wenn SysVol sie nicht bereit ist, kann der Server nicht als Domänencontroller werben.

    Testserver:<SiteName><DC Name>
    Starttest: Werbung
    Der DC DC Name wird als DC-Name <> selbst werben und einen DS haben
    Der DC DC-Name <> wird als LDAP-Server beworben.
    Der DC DC-Name <> wird als schreibbares Verzeichnis angezeigt.
    Der DC DC-Name <> ist Werbung als Key Distribution Center
    Der DC DC-Name <> wird als Zeitserver angezeigt.
    Der DS <DC Name> ist Werbung als GC.

    Starttest: SysVolCheck * Der bereite Test des Dateireplikationsdiensts SYSVOL
    Das SYSVOL des Dateireplikationsdiensts ist bereit.
    ..<DC Name> bestandener Test SysVolCheck

  3. Stellen Sie sicher, dass sich der Quellcomputer und der Zielcomputer innerhalb von 5 Minuten voneinander befinden.

  4. Überprüfen auf Kerberos-Fehler

    1. Aktivieren Sie die Kerberos-Ereignisprotokollierung auf Clientcomputern und Domänencontrollern am Standort.
    2. KB: 262177 Aktivieren der Kerberos-Ereignisprotokollierung
    3. Problembehandlung bei Kerberos

Weitere Informationen

Dieser Fehler ist eine der empfohlenen Übungen in der folgenden praktischen TechNet-Übung: TechNet praktische Übung: Problembehandlung bei Active Directory-Replikationsfehlern
In dieser Übung werden Sie durch die Problembehandlungs-, Analyse- und Implementierungsphase häufig auftretender Active Directory-Replikationsfehler geführt. Sie verwenden eine Kombination aus ADREPLSTATUS, repadmin.exe und anderen Tools, um eine Fünf DC-Umgebung, drei Domänenumgebung, zu beheben. Zu den im Labor aufgetretenen AD-Replikationsfehlern gehören -2146893022, 1256, 1908, 8453 und 8606.