Freigeben über

Problembehandlung bei AD-Replikationsfehler 8461

In diesem Artikel werden Symptome, Ursachen und Lösungsschritte für Fälle beschrieben, in denen DIE AD-Replikation verzögert wird und Win32-Fehler 8461 generiert:

Der Replikationsvorgang wurde vorab abgebrochen.

Ursprüngliche KB-Nummer: 2981628

Symptome

Die spezifischen Symptome sind wie folgt:

  • Symptom 1:

    DCDIAG meldet, dass der Active Directory-Replikationstest mit dem Fehlerstatus (8461) fehlgeschlagen ist: Der Replikationsvorgang wurde vorab behoben.

    Beispielfehlertext aus DCDIAG sieht wie folgt aus:

    Testserver: <Standort-DC-Name><>
    Starttest: Replikationen
    * Replikationsprüfung

    WARNUNG ZUR REPLIKATIONSLATENZ
    [Replikationsüberprüfung,<DC-Name>] Dieser Replikationspfad wurde von der Arbeit mit höherer Priorität präempelt.
    Vom <Quell-DC zum <Ziel-DC>>
    Namenskontext: DC=<DN-Pfad>
    Die Replikation hat einen Fehler generiert (8461):
    Der Replikationsvorgang wurde vorab abgebrochen.
    Die Replikation neuer Änderungen entlang dieses Pfads wird verzögert.
    Der Fortschritt tritt normalerweise auf diesem Pfad auf.

  • Symptom 2:

    REPADMIN.EXE meldet, dass der letzte Replikationsversuch aus einem normalen Grund verzögert wurde, ergebnis 8461 (0x210d).

    REPADMIN Befehle, die häufig den Status 8461 zitieren, sind jedoch nicht beschränkt auf:

    • REPADMIN /REPLSUM
    • REPADMIN /SHOWREPL
    • REPADMIN /SHOWREPS
    • REPADMIN /SYNCALL

  • Symptom 3:

    Repadmin /rehost fehler und generiert Statuscode 8461.

  • Symptom 4:

    Repadmin /queue die Ausgabe zeigt einen oder mehrere Vorgänge an, die den Status "PREEMPTED" aufweisen.

    [12142] Enqueued 2011-11-26 06:05:55 at priority 40
    SYNCHRONISIEREN AUS QUELLE
    NC dc=west,dc=contoso,dc=com
    DSA Boulder\FindDC DC DSA-Objekt-GUID <>
    DSA-Transport-Addr <GUID>._msdcs.contoso.com
    ASYNCHRONOUS_OPERATION NEVER_COMPLETED NEVER_NOTIFY PREEMPTED

  • Symptom 5:

    Der Befehl "Jetzt replizieren" in Active Directory-Websites und -Diensten (DSSITE). MSC) schlägt fehl und generiert die folgende Fehlermeldung:

    Der Replikationsvorgang wurde vorab abgebrochen.

    Dialogtitel: Jetzt replizieren
    Meldungstext: Der folgende Fehler ist beim Versuch aufgetreten, den Namenskontext-DNS-Namen <der Verzeichnispartition> aus der Domänencontrollerquelle <DC zu synchronisieren.>
    an Domänencontroller-Ziel-DC<>:
    Der Replikationsvorgang wurde vorab abgebrochen.

  • Symptom 6:

    Ereignisse im Verzeichnisdienste-Ereignisprotokoll zitieren den Fehlerstatus 8461.

    Ereignisquelle und Ereignis-ID Nachricht
    NTDS-Replikation 1839 Die folgende Anzahl von Vorgängen wartet in der Replikationswarteschlange. Der älteste Vorgang wartet seit der folgenden Zeit. Uhrzeit: <Datumszeit>>< Anzahl der Wartevorgänge: <Wert> Diese Bedingung kann auftreten, wenn die gesamte Replikationsauslastung auf diesem Domänencontroller zu groß ist oder das Replikationsintervall zu klein ist.
    NTDS-Replikation 2094 Leistungswarnung: Die Replikation wurde beim Anwenden von Änderungen auf das folgende Objekt verzögert. Wenn diese Meldung häufig auftritt, weist sie darauf hin, dass die Replikation langsam auftritt und dass der Server schwierigkeiten hat, änderungen zu halten.

    Quelle: NTDS-Replikation
    Ereignis-ID 1839
    Typ: Warnung
    Beschreibung:
    Die folgende Anzahl von Vorgängen wartet
    in der Replikationswarteschlange. Der älteste Vorgang hat
    warte seit der folgenden Zeit.
    Time:
    Anzahl der Wartevorgänge:
    Diese Bedingung kann auftreten, wenn die Gesamtbedingung
    Replikationsworkload auf diesem Domänencontroller ist
    zu groß oder das Replikationsintervall ist zu klein.

    Notiz

    Ereignis 1580 wird auch protokolliert, wenn lange ausgeführte Replikationsaufgaben abgeschlossen werden, wenn ausführliche Replikationsdiagnoseprotokollierung auf einen Wert von 0x1 oder höher festgelegt wurde.

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\NTDS\Diagnostics] "5 Replikationsereignisse"=dword:00000001

    Ereignisquelle und Ereignis-ID Ereigniszeichenfolge
    NTDS-Replikation 1580 Eine lange ausgeführte Active Directory-Domäne Services-Aufgabe für die eingehende Replikation wurde mit den folgenden Parametern abgeschlossen.

    Verstrichene Zeit (Minuten):
    84

    Operation:
    Replikat synchronisieren

    Optionen:
    0x21000051

    Parameter 1:
    DC=Contoso,DC=com

    Parameter 2:
    <Objekt-GUID des Quell-DCs ntds-Einstellungsobjekts>

    Parameter 3:

    Parameter 4:

    Eine lange ausgeführte Replikationsaufgabe kann auch auftreten, wenn ein System nicht verfügbar ist oder eine Verzeichnispartition für einen längeren Zeitraum nicht verfügbar ist. Eine lange ausgeführte Replikationsaufgabe kann auf eine große Anzahl von Updates oder eine Reihe komplexer Updates im Quellverzeichnisdienst hinweisen. Durch das Ausführen dieser Updates während nicht kritischer Zeiten können Replikationsverzögerungen verhindert werden.

    Eine lange ausgeführte Replikationsaufgabe ist im Falle des Hinzufügens einer neuen Verzeichnispartition zu Active Directory-Domäne Services normal. Dies kann aufgrund einer neuen Installation, einer globalen Katalogförderung oder einer Verbindung auftreten, die von der Wissenskonsistenzprüfung (Knowledge Consistency Checker, KCC) generiert wird.

    Zusätzliche Daten

    Fehlerwert:

    Der Vorgang wurde erfolgreich beendet.

Ursache

Dieser Replikationsstatus wird zurückgegeben, wenn die Replikationsaufgaben mit höherer Priorität in der Ziel-DCs in der eingehenden Warteschlange vorhanden sind. Es zeigt keine Fehlerbedingung an; Die Replikationsaufgabe wird stattdessen nicht abgebrochen, sondern die Aufgabe wird in ein Haltemuster versetzt, bis die Arbeit mit höherer Priorität abgeschlossen ist. Es ist normal, dass diese Nachricht regelmäßig in größeren Umgebungen zurückgegeben wird, und es ist wichtig zu beachten, dass die Bedingung vorübergehend ist.

Obwohl dieses Problem häufig und vorübergehend ist, können einige andere AD-Replikationsprobleme einen Backlog in der Warteschlange verursachen. Wenn dies der Fall ist, können Sie feststellen, dass Replikationsaufgaben häufig vorgedrängt werden. Die häufige Protokollierung von Ereignis 2094 "Leistungswarnung" (Beispielereignis werden in den Abschnitten "Symptome" und "Lösung" angezeigt) ist ein weiterer Hinweis darauf, dass möglicherweise eine Problembehandlung erforderlich ist.

Untersuchen dieser Probleme
Erläuterung und Replikationspriorität repadmin /queue

Analysieren der Warteschlangenausgabe im Laufe der Zeit, um festzustellen, ob Aufgaben verarbeitet werden
Erläuterung der repadmin /showrepl /verbose

Die Active Directory-Replikation wurde vorzeitig entfernt. Der Fortschritt der eingehenden Replikation wurde durch eine Replikationsanforderung mit höherer Priorität unterbrochen, z. B. eine manuell mit dem repadmin /sync Befehl generierte Anforderung. Warten Sie, bis die Replikation abgeschlossen ist. Diese Informationsmeldung gibt den normalen Betrieb an.

Replikationslast

  • Zu viele Partner
  • Zu häufig von Objekt- und Attributaktualisierungen
  • Häufige Updates in Kombination mit einer Benachrichtigung über standortübergreifende Änderungen, die zu einer hohen Rate redundanter Änderungsbenachrichtigungen führen
  • Fenster "Kleiner Replikationszeitplan"

Leistungsbasiertes Problem

  • Datenträger- und Speicherleistung
  • Netzwerkleistung

Lösung

Dieser Status gibt keine Fehlerbedingung an. Dies ist ein temporäres Problem in vielen Fällen, und es sind keine Lösungsschritte erforderlich.

Wenn der Status 8461 nie gelöscht wird, gibt es eine Menge Arbeit, um den richtigen Weg zu ermitteln. Dieses Problem erfordert erweiterte Kenntnisse mehrerer Problembehandlungstools. Es kann notwendig sein, die Hilfe von Microsoft-Support zur Unterstützung des Datenanalyseprozesses zu suchen.

Sie müssen die Ursache ermitteln, bevor Sie Schritte zum Beheben eines zugrunde liegenden Problems implementieren. Die Ursache des Replikationsstatus 8461 kann in einem der folgenden Szenarien auftreten:

  • Vorübergehende Bedingung

  • Replikationslast

    • Konsistentes Laden
    • Temporäres Laden

  • Leistungsproblem

    • Leistung des Betriebssystems
    • Datenträgerleistung
    • Netzwerkleistung

Ermitteln Sie, ob dies nur eine vorübergehende Bedingung ist. Dokumentieren Sie die Zeit, zu der die manuelle Replikation initiiert wird, und suchen Sie die entsprechenden Aufgaben in der repadmin /queue Ausgabe. Führen Sie einige Zeit später aus, und repadmin /queuebestimmen Sie, ob die manuell initiierten Aufgaben noch vorhanden sind.

Wenn Replikationsaufgaben in die Warteschlange gestellt werden. Sehen Sie sich die derzeit ausgeführte Aufgabe an, und untersuchen Sie sie.

Verwenden Sie Ereignisprotokolldaten, repadmin-Ausgabe und Leistungsüberwachung, um die Ursache des Problems zu isolieren. Ermitteln Sie, wie schnell Updates verarbeitet werden und welche Änderungsrate zu haben ist.

Replikationslast

Dauerhaft

Der Domänencontroller verfügt über zu viele Replikationspartner oder unter zu großer Replikationslast. Symptome eines überlasteten DC wären:

  • Eine Replikationswarteschlange, die nie gelöscht wird, obwohl Replikationsaufgaben zeitnah verarbeitet werden

    Notiz

    Sie können dies im Laufe der Zeit verwenden repadmin /queue und mit Leistungsdaten korrelieren, um dieses Szenario zu identifizieren.

  • Häufiges Auftreten des Replikationsstatus 8461

  • Lösung: Reduzieren Sie eingehende Verbindungen (Balanceverbindungen zwischen Hub-Site-DCs (ADLB.exe ist hier nützlich), fügen Sie neue DCs hinzu und stellen Sie die Verbindungen neu aus, stellen Sie RODC an Speichenstandorten bereit und verringern Sie übermäßige Replikation von Änderungen.

Übermäßige Replikation

Attribute, die häufig aktualisiert werden. Identifizieren Sie Attributaktualisierungen mithilfe ausführlicher Replikationsereignisprotokollereignisse (oder mithilfe repadmin /showchangesvon ) und korrelieren Sie dann mit repadmin /showobjmeta mehreren Objekten auf dem Ziel-DC. Sehen Sie sich das im Ereignis identifizierte Attribut an, und suchen Sie nach einer hohen Versionsnummer, oder rufen Sie mehrere Protokolle für dasselbe Objekt am ganzen Tag ab, und überprüfen Sie, ob die Versionsnummer häufig zunimmt.

Temporäre Prozeduren

  • Massenänderungen selten
  • Nach dem erstmaligen Hosten einer Partition oder während eines Erneuthosts

Leistungsbasiertes Problem

Häufige Symptome für die Erstellung von leistungsinduzierten Warteschlangen sind:

Ereignis-ID 2094

Ereignistyp: Warnung
Ereignisquelle: NTDS-Replikation
Ereigniskategorie: Replikation
Ereignis-ID: 2094
Beschreibung:
Leistungswarnung: Replikation wurde verzögert
beim Anwenden von Änderungen auf das folgende Objekt. Wenn dies der Fall ist
meldung tritt häufig auf, es weist darauf hin, dass die
Die Replikation erfolgt langsam und der Server kann
Haben Schwierigkeiten, änderungen auf dem Laufenden zu halten.
Objekt-DN: CN=JUSTINTU,OU=Workstations,DC=contoso,DC=com
Objekt-GUID: <GUID>
Partition DN: DC=contoso,DC=com
Server: <GUID>._msdcs.contoso.com
Verstrichene Zeit (Sek.): 13
Benutzeraktion:
Ein häufiger Grund für diese Verzögerung ist, dass dieses Objekt besonders groß ist, entweder in der Größe seiner Werte oder in der Anzahl der Werte. Sie sollten zuerst überlegen, ob die Anwendung geändert werden kann, um die Menge der im Objekt gespeicherten Daten oder die Anzahl der Werte zu verringern. Wenn es sich um eine große Gruppe oder Verteilerliste handelt, können Sie die Gesamtstrukturversion auf Windows Server 2003 erhöhen, da dadurch die Replikation effizienter funktioniert. Sie sollten auswerten, ob die Serverplattform über genügend Leistung im Hinblick auf Arbeitsspeicher und Verarbeitungsleistung verfügt. Schließlich sollten Sie die Optimierung der Active Directory-Datenbank in Betracht ziehen, indem Sie die Datenbank und Protokolle in separate Datenträgerpartitionen verschieben.

Wenn Sie den Warngrenzwert ändern möchten, ist der Registrierungsschlüssel unten enthalten. Der Wert null deaktiviert die Überprüfung.

Zusätzliche Datenwarnungsgrenze (Sek.): 10 Registrierungsschlüssel einschränken: System\CurrentControlSet\Services\NTDS\Parameters\Replicator maximum wait for update object (secs)

Ermitteln Sie, ob Änderungen, die auf die Datenbank angewendet werden, langsam auftreten, indem Sie die Leistungsüberwachung und repadmin /queue -ausgabe verwenden. Korrelieren Sie AD-Replikationszähler mit Basisleistungsindikatoren des Betriebssystems (Datenträger, Arbeitsspeicher, Netzwerk und CPU).

SL

Datenträger

Netzwerk

Die Warteschlange enthält 55 Elemente.
Der aktuelle Vorgang wurde bei <DateTime> ausgeführt.
Der Vorgang wurde für 508 Minuten, 53 Sekunden ausgeführt.
[6485] Enqueued 2011-11-26 01:55:33 at priority 590
SYNC FROM SOURCE NC DC=corp,DC=contoso,DC=com
DC Houston\5thWardDC
GUID <des DC-Objekts>
DC-Transport-Addr <GUID>._msdcs.contoso.com
FORCE
[12142] Enqueued <DateTime> at priority 40
SYNC FROM SOURCE NC dc=west,dc=contoso,dc=com
DC-Felsblock\FinderDC
GUID <des DC-Objekts>
DC-Transport-Addr <GUID>._msdcs.contoso.com
ASYNCHRONOUS_OPERATION NEVER_COMPLETED NEVER_NOTIFY PREEMPTED

Weitere Informationen

Problembehandlung bei langsamer AD-Replikation

Dieses Problem erfordert erweiterte Kenntnisse mehrerer Problembehandlungstools. Es kann notwendig sein, die Hilfe von Microsoft-Support zur Unterstützung des Datenanalyseprozesses zu suchen.

Terminologie: Slow vs. latent

Bei der langsamen AD-Replikation werden Änderungen an der Active Directory-Datenbank langsam ausgeführt, oder Replikationsaufgaben dauern lange.

Häufige Ursachen sind:

  • Dc/Betriebssystem-Leistungsprobleme

    • Ressourcenerschöpfung
    • Datenträgerengpass

  • AD-Datenbankprobleme

    • Logische oder physische Beschädigung
    • Objekt- oder Attributprobleme

  • Probleme beim Laden von DC

    • Umgang mit zu vielen Clients

    • Replikationssturm

      • Hohe Änderungsrate an Objekten und Attributen
      • Vollständige Partitionssynchronisierungen

Bei der latenten AD-Replikation wird der DC nicht über Änderungen über längere Zeit benachrichtigt:

Häufige Ursachen sind:

  • AD-Topologiekonfiguration (Zeitplan, Standortverbindungen, Replikationszeitplan, getrennte Topologie)

Dieses Dokument und diese Datensammlungsstrategie sollten für die Problembehandlung bei der Slow AD-Replikation verwendet werden.

Symptome der langsamen AD-Replikation

Datensammlung

Repadmin-Daten

Wird Repadmin /queue verwendet, um die Replikationsaufgaben in der Warteschlange zu dokumentieren. Überwachen Sie die Warteschlange, um festzustellen, ob bei der Verarbeitung von Replikationsaufgaben eine Verzögerung auftritt. Protokollieren Sie alle repadmin /queue Ausgaben in derselben Textdatei, damit Sie über gute historische Daten verfügen.

Repadmin /queue DCName >DCNameReplQueue.txt  
Choice /d y /t 300  
Repadmin /queue DCName >>DCNameReplQueue.txt  
Choice /d y /t 300  
Repadmin /queue DCName >>DCNameReplQueue.txt  
Choice /d y /t 900  
Repadmin /queue DCName >>DCNameReplQueue.txt  
Choice /d y /t 900  
Repadmin /queue DCName >>DCNameReplQueue.txt  
Choice /d y /t 1800  
Repadmin /queue DCName >>DCNameReplQueue.txt

Überprüfen Sie die Ausgabe, um festzustellen, ob Replikationsaufgaben zeitnah verarbeitet werden. Der Anfang der Datei enthält die derzeit ausgeführte Aufgabe und die Dauer der Ausführung. Wenn sich derselbe Vorgang immer am Anfang der Ausgabe befindet, können Sie ausführliche Ausgabe repadmin /showrepl verwenden, um den Fortschritt zu überwachen.

Änderungen am Repadmin

Repadmin /showrepl

Verwenden Sie Repadmin /showrepl und die /verbose Option, um den letzten Replikationsstatus und die Anzahl der Änderungen zu überwachen, die repliziert werden sollen.

Repadmin /showrepl /verbose DCNameDomainDN  

Repadmin /showrepl /verbose 5thwardCorpDC dc=corp,dc=contoso,dc=com

Um die Ausgabe so zu begrenzen, dass nur der gewünschte Quell-DC angezeigt wird, verwenden Sie Folgendes:

Repadmin /showrepl /verbose DCNameDomainDN SourceDcDSAObjectGUID

Repadmin /showrepl /verbose 5thwardCorpDC <GUID> dc=corp,dc=contoso,dc=com

Repadmin /showutdvec

Verwenden Sie Repadmin /showutdvec den Quell- und Ziel-DC, um das Replikationsdelta zu ermitteln.

repadmin /showutdvec DCName DomainDN

repadmin /showutdvec LiverpoolDC1 dc=north,dc=fabrikam,dc=com

Rufen Sie den Quell- und Ziel-DC für die betreffende Partition ab Repadmin /showutdvec /latency .

Dokumentieren Sie in der Ausgabe Folgendes:

  1. Aus Quell-DCs showutdvec: USN # neben Source DCName
  2. Von Ziel-DCs showutdvec USN# neben SOURCE DCNanme

Quell-DC

Dallas\2008DC1 @ USN 451265 @ Time <DateTime>
Dallas\SourceDC @ USN 1126541 @ Time DateTime <>
Houston\2012DC3 @ USN 469842 @ Time <DateTime>
66a1b264-80b8-44f8-8356-9ebcd7a34f15 @ USN 32811 @ Time <DateTime>
Dallas\2012DC2 @ USN 460219 @ Time DateTime <>
Dallas\DestinationDC @ USN 1353465 @ Time <DateTime>
Dallas\2003DC1 @ USN 15556 @ Time <DateTime>

Ziel-DC

Dallas\2008DC1 @ USN 451265 @ Time <DateTime>
Dallas\SourceDC @ USN 801224 @ Time DateTime <>
Houston\2012DC3 @ USN 469842 @ Time <DateTime>
66a1b264-80b8-44f8-8356-9ebcd7a34f15 @ USN 32811 @ Time <DateTime>
Dallas\2012DC2 @ USN 460219 @ Time DateTime <>
Dallas\DestinationDC @ USN 1359087 @ Time <DateTime>
Dallas\2003DC1 @ USN 15556 @ Time <DateTime>

Quell-DC

SourceDC @ USN 1126541

Ziel-DC

SourceDC @ USN 801224

1126541-801224 = 325317

Der Ziel-DC liegt bei 325.317 USNs.

Notiz

Sie können die Quell-DCs auch mit folgendem Befehl aus dem Quell-DC abrufen:

repadmin /showattr SourceDC . /atts:highestcommittedusn DN: 1> highestCommittedUSN: 1126541

Leistungsdaten

Erstellen Sie einen neuen benutzerdefinierten Datensammlersatz in Leistungsmonitor, der die AD-Diagnosevorlage verwendet.

In den hier beschriebenen Schritten wird beschrieben, wie Sie eine gute Reihe von geplanten DC-Leistungsindikatoren einrichten. Sie müssen einige der Einstellungen ändern, z. B. Dauer und Beispielintervall, um Ihr spezifisches Szenario anzupassen.

So erstellen Sie einen benutzerdefinierten Datensammlungssatz

  1. Öffnen Sie Server-Manager in einer Vollversion von Windows Server 2008 oder einer höheren Version.
  2. Erweitern Sie Datensammlersätze zur Diagnoseleistung > > .
  3. Klicken Sie mit der rechten Maustaste auf "Benutzerdefiniert", und wählen Sie "Neuer > Datensammlersatz" aus.
  4. Geben Sie einen Namen wie die AD DS-Diagnose ein, und lassen Sie die Standardauswahl "Erstellen aus einer Vorlage ( empfohlen) ausgewählt. Wählen Sie anschließend Weiter aus.
  5. Wählen Sie "Active Directory-Diagnose" aus der Liste der Vorlagen aus, und wählen Sie dann "Weiter" aus, und folgen Sie den Eingabeaufforderungen des Assistenten (änderungen, die Sie denken, sind erforderlich).
  6. Klicken Sie mit der rechten Maustaste auf den neuen Benutzerdefinierten Datensammlersatz, und zeigen Sie die Eigenschaften an.
  7. Um die Laufzeit zu ändern, ändern Sie die Einstellungen für die Gesamtdauer auf der Registerkarte "Stoppbedingung", und klicken Sie dann auf "OK", um die Änderungen anzuwenden.

Zu berücksichtigende Optionen:

  • Gesamtdauer : Sie können den Datensammler nach der Erfassung für einen festgelegten Zeitraum beenden lassen.

  • Grenzwerte : Sie können den Datenerfassungsstopp nach erreichen eines Zeitraums oder größenschwellenwerts haben (mit der Option, dass sie automatisch neu gestartet werden soll)

    Das Festlegen von Grenzwerten ist vorteilhaft, wenn Sie die Protokollgröße einschränken möchten.

    • Starten Sie den Datensammler neu, der auf Grenzwerte festgelegt ist.

    • Duration

    • Maximale Größe

      Screenshot der AD DS-Diagnose Eigenschaftenfenster mit der maximalen Größe auf 100 MB festgelegt.

Anzeigen von Leistungsindikatoreigenschaften für den benutzerdefinierten Datensammlersatz

  1. Wählen Sie ihren neuen benutzerdefinierten Datensammlersatz aus.
  2. Klicken Sie mit der rechten Maustaste auf den Leistungsindikator, und wählen Sie dann "Eigenschaften" aus.

Hier haben Sie die Möglichkeit, das Beispielintervall zu ändern und zusätzliche Leistungsindikatoren hinzuzufügen oder zu entfernen.

Für dieses Szenario sollte das Standard-Sampling-Intervall von 3 Sekunden ausreichen. Für viel längere Samplingzeiten ist 3 Sekunden jedoch zu häufig ein Intervall.

Screenshot des Leistungsindikators Eigenschaftenfenster mit 3 Sekunden, die für das Intervall festgelegt sind.

Alle empfohlenen Leistungsindikatoren sind im Standardsammlersatz von AD Diagnostic mit drei Ausnahmen enthalten:

  • Datenbank ==>Instances(lsass/NTDSA)\ *

  • LogicalDisk(*)\*

    Für LogicalDisk: Alle Instanzen sind nicht erforderlich – Systemlaufwerke und Laufwerke, auf denen Datenbank und Protokolle gespeichert werden, sollten mindestens sicherheitsweite Statistiken enthalten sein\*

  • Systemweite Sicherheitsstatistiken\*

So fügen Sie die AD DS-Datenbankzähler dem Benutzerdefinierten Datensatz hinzu

  1. Wählen Sie in eigenschaften des Leistungsindikators "Hinzufügen" aus.

  2. Datenbank erweitern ==>Instanzen (alle Leistungsindikatoren sollten hervorgehoben werden).

  3. Wählen Sie unter "Instanzen des ausgewählten Objekts" "lsass/NTDSA" aus.

  4. Wählen Sie "Hinzufügen" aus, und klicken Sie dann auf "OK".

    Screenshot der ausgewählten lsass/NTDSA unter

  5. Fügen Sie auch die LogicalDisk- und Security System-Wide Statistics-Objekte hinzu.

    Screenshot des Leistungsindikators Eigenschaftenfenster mit ausgewählten LogicalDisk- und Security System-Wide Statistics-Objekten.

Nachdem die Einstellungen auf Ihre Vorlieben konfiguriert wurden, können Sie den neuen Datensammlersatz direkt von Server-Manager aus ausführen oder exportieren und auf bestimmten Servern bereitstellen.

Wenn Sie bereit sind, mit der Erfassung von Leistungsdaten zu beginnen, starten Sie den neu definierten Sammlungssatz:

So starten Sie den neu definierten Datensammlungssatz aus dem MMC:

  1. Navigieren Sie im Leistungsmonitor mmc zu Performance / Data Collector Sets / User Defined
  2. Klicken Sie mit der rechten Maustaste auf den neuen Sammlungssatz AD DS Diagnostics , und wählen Sie "Start" aus.
  3. Sie können überprüfen, ob sie gestartet wurde, indem Sie "Benutzerdefinierte AD DS-Diagnose" auswählen, dass der Status "Ausführen" angezeigt wird.

Beenden Sie nach Abschluss des Tests den AD DS Diagnostics Collection Set:

  1. Navigieren Sie im Leistungsmonitor mmc zu Performance/ Data Collector Sets / User Defined.
  2. Klicken Sie mit der rechten Maustaste auf den neuen Sammlungssatz AD DS Diagnostics, und wählen Sie "Beenden" aus. Sie können überprüfen, ob sie beendet wurde, indem Sie "Benutzerdefiniert" auswählen.

DIE AD DS-Diagnose sollte von einem Status "Ausführen" bis "Kompilieren" und schließlich "Beendet" wechseln. Beachten Sie bitte, dass die MMC nicht großartig zum Aktualisieren der Ansicht ist. Wenn sie also beim Ausführen oder Kompilieren nach dem Klicken auf "Compilieren" hängen bleibt, versuchen Sie, den Bildschirm zu aktualisieren.

Der kompilierte Bericht ist unter Performance / Reports / User Defined / AD DS Diagnostics sichtbar

Der Standardpfad in Windows Explorer ist hier: %systemdrive%\PerfLogs\Admin\AD DS Diagnostics

Befehlszeilenanweisungen: Erfassen der AD-Diagnose über die Befehlszeile:

Um eine Sammlung von Daten aus der Befehlszeile zu starten, geben Sie diesen Befehl über eine Eingabeaufforderung mit erhöhten Rechten aus: logman start "user defined\AD DS Diagnostics" -ets
Um die Sammlung von Daten vor den standard 5 Minuten zu beenden, geben Sie diesen Befehl aus: (Rufen Sie mindestens ein vollständiges fünfminütiges Beispiel für dieses Problem ab) logman stop "user defined\AD DS Diagnostics" -ets

Diagnosedaten werden hier protokolliert: C:\PerfLogs\Admin\AD DS Diagnostics\DateStamp

Beispielskript für die Datensammlung

logman start "system\Active Directory Diagnostics" -ets time /t >slow.txt  
repadmin /showrepl /verbose LiverpoolDC1 dc=north,dc=fabrikam,dc=com >slowrepl.txt  
repadmin /queue LiverpoolDC1 >>slow.txt  
repadmin /showutdvec LiverpoolDC1 dc=north,dc=fabrikam,dc=com >>slow.txt  
:start  
ping 127.0.0.1 -n 60 >NUL  
time /t >>slow.txt time /t >>slowrepl.txt  
repadmin /showrepl /verbose LiverpoolDC1 dc=north,dc=fabrikam,dc=com >>slowrepl.txt
repadmin /queue LiverpoolDC1 >>slow.txt  
repadmin /showutdvec LiverpoolDC1 dc=north,dc=fabrikam,dc=com >>slow.txt  
goto start

Ereignisprotokolldaten

Die im Verzeichnisdienst-Ereignisprotokoll aktivierte Standardprotokollierung ist nützlich, um ereignisse zu überwachen, die auf eine langsame Anwendung von Änderungen hinweisen. (EREIGNIS X) Ausführliche Diagnoseprotokollierung kann aktiviert werden, um zu sehen, welche Änderungen derzeit angewendet werden. Das Aktivieren der Diagnoseprotokollierung auf der in diesem Artikel erwähnten Ebene führt dazu, dass das Protokoll ziemlich schnell gefüllt wird, sodass es nur aktiviert wird, während diese Bedingung aktiv behandelt wird. So geben Sie eine Vorstellung von der Häufigkeit von Ereignissen, die mit dieser Ausführlichkeitsstufe protokolliert werden:

Ein Verzeichnisdienste-Ereignisprotokoll, das in weniger als zwei Minuten (1 Minute 27 Sekunden) auf 100 MB umschlossen ist. Das Protokoll enthielt 195.728 Ereignisse. Von allen Ereignissen waren 189.340 Ereignis-ID 1412 (Attributzugabe).

  • Vergrößern der Größe des Verzeichnisdienste-Ereignisprotokolls

  • Größe des Ereignisprotokolls so, dass die erweiterte Protokollierung nicht dazu führt, dass das Protokoll in zu kurzer Zeit umgebrochen wird

  • Aktivieren sie die AD-Replikationsdiagnoseprotokollierung, um 0x5:

    HKLM\System\CurrentControlSet\Services\NTDS\Diagnostics 5 Replication Events = 5

Exportieren Sie das Verzeichnisdienste-Ereignisprotokoll kurz nach erhalt des Status 8461, und reduzieren Sie die Diagnoseprotokollierung auf eine geeignete Ebene.

Überprüfen Sie das Ereignisprotokoll für Folgendes:

Wie schnell werden Attributwerte in die Datenbank geschrieben? ->Directory Services-Ereignisprotokoll-Ereignis-ID 1412 oder noch besser, Leistungsindikator: DirectoryServices / DRA Inbound Properties Applied/sec

Bei Diagnoseebene 5 für Replikationsereignisse werden für die Erstellung von Benutzerobjekten etwa 25 oder so 1412 (je nachdem, was zum Zeitpunkt der Benutzererstellung geschrieben wurde) geschrieben (ein Wert pro Attribut). Wenn alle Attribute hinzugefügt wurden, wird das Objekterstellungsereignis protokolliert (Ereignis-ID 1365).

Der Beschreibungsbereich des Ereignisses enthält die folgenden Daten:

Internes Ereignis:
Die folgenden Objektänderungen wurden auf die lokale Active Directory-Domäne Services-Datenbank angewendet.
Eigenschaft: 900dd (sAMAccountName)
Objekt: CN=xtestingusers14167,CN=Users,DC=north,DC=fabrikam,DC=com-Objekt
GUID: <GUID>
Remoteversion: 1
Remotezeitstempel: <DateTime>
Remote originating USN: 540828

Der Abschnitt "Property" enthält sowohl die attributID als auch den lDAPDisplayName des Attributs.

Ein Ereignis wird pro Wert auf dieser Debugprotokollebene geschrieben. Filtern Sie nach den Ereignissen, und bestimmen Sie, wie viele Einträge in einem bestimmten Zeitraum auftreten. Überprüfen Sie die Ereignisdetails, um festzustellen, ob wir Werte für mehrere Attribute schreiben, um ein Objekt zu instanziieren oder in dasselbe Attribut über mehrere Objekte hinweg zu schreiben. Obwohl diese Analyseebene schwerfällig erscheinen kann, kann es nützlich sein, die Ursache zu bestimmen. Wenn Sie beispielsweise sehen, dass wir nur ein paar Ereignisse pro Sekunde schreiben, könnte dies darauf hindeuten, dass Transaktionen langsam in die Datenbank geschrieben werden, oder vielleicht haben wir zu viele Partner, die redundante Änderungen senden (Ereignis-ID 1239).

Beachten Sie, dass die Ereignis-ID 1239 perfekt normal ist, wenn die Replikationsdiagnose auf 0x5 festgelegt ist. Wenn Sie das Ereignis 1239 herausfiltern und nichts anderes sehen und einen ziemlich langen Ereignisprotokollverlauf haben, kann dies auf ein Problem hinweisen. Dieses Problem wurde von einem Kunden mit einer großen Active Directory-Umgebung beobachtet, in der die Standortänderungsbenachrichtigung aktiviert war. Wenn Sie feststellen, dass pro Sekunde eine große Anzahl von Ereignissen vorhanden ist, ist die Replikation wahrscheinlich nicht von einem Leistungsproblem betroffen.

Objektmetadaten

Wenn ein Ereignis protokolliert wird, das angibt, dass eine Änderung lange dauert, um die Ereignis-ID zu verarbeiten, notieren Sie die ObjectGUID, und rufen Sie dann die folgende Ausgabe ab:

Replikationsmetadaten:

Repadmin /showobjmeta "<GUID=ObjectGUID>" >objectmeta.txt

Überprüfen Sie die Ausgabe für zuletzt geänderte Attribute. Achten Sie besonders auf Attribute mit häufig geänderten Versionsnummern. Ein Attribut mit einer hohen Versionsanzahl kann darauf hinweisen, dass häufige Änderungen am Attribut vorgenommen werden. Wenn Sie dies vermuten, können Sie entweder den Attributwert anzeigen, um kontextbezogene Informationen darüber zu erhalten, warum das Attribut geändert wurde, oder Sie können einige Zeit übergeben und dann eine zusätzliche repadmin /showobjmeta Ausgabe abrufen, um zu überprüfen, ob die Version desselben Attributs für dasselbe Objekt weiter erhöht wurde.

Objekt- und Attributdaten:

Verwenden Sie ein Hilfsprogramm, um die Objekt- und Attributwerte auszugeben. Überprüfen Sie dann die Attributdaten für die Attribute, die kürzlich geänderte Daten haben. In den folgenden Beispielen werden hierfür zwei Methoden vorgestellt.

Objektattributewerte von repadmin:

Repadmin /showattr DCName "<GUID=ObjectGUID>" /allvalues /long >objectByGuid.txt

Objektattributewerte von LDP

Verbinden und Binden an den Server in LDP und Kopieren aller Ausgaben für das Objekt in eine Textdatei

ldpoutput.txt

Netzwerkbezogene Daten

Tasklist /svc >nets.txt Netstat -anob >>nets.txt

Spezifische Leistungsindikatoren für data AnalysisKey AD-Replikation

  • DRA Inbound Full Sync Objects Remaining
  • DRA-eingehende Objekte angewendet/Sek.
  • DRA-eingehende Objekte / Sekunde (eingehende Replikation)
  • Gefilterte DRA-Objekte /Sek. (Schlägt alle neuen Attribute vor)
  • DRA Outbound Bytes Total Since Boot Replication Queue:
DirectoryServices\DRA Pending Replication Synchronizations Gibt die Anzahl der Verzeichnissynchronisierungen an, die für diesen Server in die Warteschlange gestellt werden. Dieser Leistungsindikator hilft bei der Identifizierung von Replikations-Backlogs, je höher die Zahl, desto größer der Backlog. Dieser Leistungsindikator sollte so niedrig wie möglich sein. Wenn dies nicht der Grund ist, verlangsamt die Serverhardware wahrscheinlich die Replikation.

Verwenden Sie diesen Leistungsindikator, um die Replikationswarteschlange zu ermitteln. Repadmin /queue DCName meldet diese Informationen ebenfalls.

Aktuelle Leistung abschätzen:

DRA Inbound Objects Applied/sec Zeigt die Anzahl der Objekte an, die von Nachbarn über eingehende Replikation empfangen und angewendet werden.
DRA Inbound Properties Applied/sec Zeigt die Gesamtanzahl der Objekteigenschaften (Attribute) an, die von eingehenden Replikationspartnern angewendet werden.

Mit den beiden Leistungsindikatoren können Sie überwachen, wie schnell Änderungen auf die Datenbank angewendet werden.

Datenbank:

Serverleistung:

DirectoryServices\DRA Eingehende Objektaktualisierungen, die im Paket verbleiben Gibt die Anzahl der Objektaktualisierungen an, die im neuesten Paket für die Verzeichnisreplikationsaktualisierung empfangen wurden, das noch nicht auf den lokalen Server angewendet wurde. Dieser Indikator gibt an, dass der überwachte Server Änderungen empfängt, aber es dauert lange, bis sie auf die Datenbank angewendet werden. Dieser Leistungsindikator sollte so niedrig wie möglich sein. Andernfalls bedeutet dies in der Regel, dass die Serverhardware die Replikation verlangsamt.

Netzwerk:

Objekt\counter Beschreibung Richtlinien
DirectoryServices\DRA Inbound Bytes Total/sec Gibt die Gesamtanzahl der pro Sekunde empfangenen Bytes über die eingehende Replikation an. Diese Zahl ist die Summe der Bytes von nicht komprimierten und komprimierten Daten, die während des Eingehenden empfangen werden.

Testen

Szenario zwei DCs wurden isoliert (keine Client- oder andere Serveraktivität) 15.000 Benutzer wurden aus skript erstellt, wobei die minimalen Attribute auf einem DC aktiviert wurden, die die Verbindung zwischen den beiden DCs aktiviert haben.

So geben Sie eine Vorstellung von der Häufigkeit von Ereignissen, die mit dieser Ausführlichkeitsstufe protokolliert werden:

Ein Verzeichnisdienste-Ereignisprotokoll mit einer Größe von 100 MB in weniger als zwei Minuten (1 Minute 27 Sekunden). Das Protokoll enthielt 195.728 Ereignisse. Von allen Ereignissen waren 189.340 Ereignis-ID 1412 (Attributzugabe). Die Anzahl der Ereignisse 1412 pro Sekunde:

01: 2400
02: 3570
03: 3540
04: 2160
05: 1170
06: 1890
07: 2225
08: 1435
09: 4233
10: 2817

Ereignis-ID 1365 (Objekterstellung) wurde 6.312 Mal in 1 Minute 27 Sekunden protokolliert. In einer Minute wurden 4.630 Benutzerobjekte erstellt, bestehend aus 138.900 Attributen) oder etwa 77 Objekten pro Sekunde.

Ein Verständnis der NTDS-Leistungsindikatoren ist erforderlich, um dieses Problem effektiv zu beheben.

Objekterstellungen pro Sekunde werden über die folgenden Leistungsindikatoren abgerufen:

  • NTDS / DRA Inbound Objects Applied/sec

  • Datenbank add/sec

  • NTDS /DRA Inbound Values (nur DNs)/s Diese Zahl enthält Objekte, die auf andere Objekte verweisen. Werte für unterschiedliche Namen, z. B. Gruppen- oder Verteilerlistenmitgliedschaften, sind teurer als andere Arten von Werten, da ein Gruppen- oder Verteilerlistenobjekt Hunderte oder Tausende von Mitgliedern enthalten kann. Im Gegensatz dazu kann ein einfaches Objekt nur ein oder zwei Attribute aufweisen. Eine hohe Zahl dieses Indikators könnte erklären, warum eingehende Änderungen langsam auf die Datenbank angewendet werden. Attributerstellungen pro Sekunde sind:

  • NTDS /DRA Eingehende Eigenschaften angewendet/sek.

Häufig auftretende Sonderbedingung

Repadmin /rehost führt zu Status 8461:

Dieses Problem tritt auf, wenn die neu gehostete GC beschäftigt ist, Updates für andere Partitionen zu akzeptieren. Die Beschaffung schreibbarer Domänenpartitionen, einschließlich Schema-, Konfigurations- und Domänenpartitionen, ist naturlich höher als die Erneutes Hosten einer schreibgeschützten Domänenpartition.

Repadmin /queue output should show that the request to add the partition has been queued and will be processed. Manchmal ist es jedoch erforderlich, eine alternative Methode des Partitions-Rehosts zu verwenden:

  1. Repadmin /unhost
  2. Auf Ereignis-ID 1660 warten
  3. KCC-Verbindungsübersetzung deaktivieren
  4. Repadmin /addIf Der Vorgang wird vor Abschluss der /add-Bereitstellung vorab beendet, Sie können die eingehende Replikation deaktivieren und die Verwendung repadmin /replicate sowie die /readonly Optionen /force , um die Partition erneut gehostet zu erhalten, bevor Sie die eingehende Replikation erneut aktivieren.

Datensammlung

Wenn Sie Unterstützung vom Microsoft-Support benötigen, empfehlen wir, die Informationen zu sammeln, indem Sie die unter " Sammeln von Informationen" genannten Schritte ausführen, indem Sie TSS für Active Directory-Replikationsprobleme verwenden.