Freigeben über

Problembehandlung bei AD-Replikationsfehler 8333: Verzeichnisobjekt nicht gefunden

  • Artikel

In diesem Artikel wird ein Problem beschrieben, bei dem Active Directory-Replikationen mit dem Fehler 8333: Verzeichnisobjekt nicht gefunden (ERROR_DS_OBJ_NOT_FOUND) fehlschlagen.

Ursprüngliche KB-Nummer: 2703708

Symptome

In diesem Artikel werden die Symptome, Ursachen und Lösungsschritte beschrieben, wenn die Active Directory-Replikation mit dem Fehler 8333: Verzeichnisobjekt nicht gefunden (ERROR_DS_OBJ_NOT_FOUND) fehlschlägt.

  1. Mögliche Formate für den Fehler sind:

    Dezimal Hex Symbolische Fehlerzeichenfolge
    8333 0x208d ERROR_DS_OBJ_NOT_FOUND Das Verzeichnisobjekt wurde nicht gefunden.

  2. Die folgenden Ereignisse können protokolliert werden:

    Ereignisquelle Ereignis-ID Ereigniszeichenfolge
    NTDS-Replikation 2108 Dieses Ereignis enthält REPAIR PROCEDURES für das 1084-Ereignis, das zuvor protokolliert wurde. Diese Meldung weist auf ein bestimmtes Problem mit der Konsistenz der Active Directory-Datenbank auf diesem Replikationsziel hin. Datenbankfehler beim Anwenden replizierter Änderungen auf das folgende Objekt. Die Datenbank enthielt unerwartete Inhalte, wodurch verhindert wurde, dass die Änderung vorgenommen wurde. Objekt: OU=TestOU,DC=contoso,DC=com Objekt-GUID: <GUID> Quelldomänencontroller: A52b57e3-92b9-4264-822b-72963eaf1030._msdcs.contoso.com Zusätzliche Daten Primärer Fehlerwert: 8333 Verzeichnisobjekt nicht gefunden. Sekundärer Fehlerwert: -1601 JET_errRecordNotFound, Der Schlüssel wurde nicht gefunden

    NTDS Allgemein    		 2031 Das DS-Dienstkonfigurationsobjekt wurde nicht gefunden. Es wurde möglicherweise versehentlich gelöscht. Active Directory kann normal ausgeführt werden, aber Sie können bestimmte Dienstparameter wie LDAP-Grenzwerte, Standardabfragerichtlinien und SPN-Zuordnungen nicht festlegen. DS-Dienstkonfigurationsobjekt: CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=contoso,DC=com Fehler: 8333 (Verzeichnisobjekt nicht gefunden.) Benutzeraktion: Versuchen Sie, das DS-Dienstkonfigurationsobjekt wiederherzustellen.

  3. Es kann eine Ausgabe von repadmin /replsum

    DC-1-03 03h:14m:11s 1 / 52 1 (8333) Verzeichnisobjekt nicht gefunden.
    DC-2-01 03h:13m:39s 1 / 26 3 (8333) Verzeichnisobjekt nicht gefunden.
    DC-3-09 03h:08m:45s 2 / 103 1 (8333) Verzeichnisobjekt nicht gefunden.
    DC-4-03 03h:05m:52s 1 / 13 7 (8333) Verzeichnisobjekt nicht gefunden.

  4. DCPromo schlägt beim Heraufstufen eines neuen Domänencontrollers möglicherweise fehl, und im DCPROMO-Protokoll werden die folgenden Fehler angezeigt.

    <DateTime> [INFO] Erstellen neuer Domänenbenutzer, Gruppen und Computerobjekte
    <DateTime> [INFO] Fehler: Active Directory fehlen wichtige Informationen nach der Installation und kann nicht fortgesetzt werden. Wenn es sich um einen Replikatdomänencontroller handelt, fügen Sie diesen Server der Domäne erneut hinzu. (8333)
    <DateTime> [INFO] NtdsInstall für contoso.com zurückgegebene 8333
    <DateTime> [INFO] DsRolepInstallDs gibt 8333 zurück
    <DateTime> [ERROR] Fehler beim Installieren im Verzeichnisdienst (8333)

    Hinweis

    Fehler 8333 wird in ERROR_DS_OBJ_NOT_FOUND oder "Verzeichnisobjekt nicht gefunden" übersetzt.

  5. Beim Versuch, eine Partition im globalen Katalog neu zu hosten

    repadmin /rehost \<dc-name>\<partition to rehost>\<good source>

    repadmin /rehost failed with DsReplicaAdd failed with status 8333 (0x208d)

Ursache

Der Fehlerstatus 8333 "Verzeichnisobjekt nicht gefunden" hat mehrere Ursachen, darunter:

  1. Datenbankbeschädigung mit zusätzlichen zugeordneten Fehlern, die im Ereignisprotokoll des Quelldomänencontrollers protokolliert werden:

    Source Ereignis-ID Beschreibung
    NTDS-Replikation 2108 Dieses Ereignis enthält REPAIR PROCEDURES für das 1084-Ereignis, das zuvor protokolliert wurde. Diese Meldung weist auf ein bestimmtes Problem mit der Konsistenz der Active Directory Domain Services-Datenbank auf diesem Replikationsziel hin. Datenbankfehler beim Anwenden replizierter Änderungen auf das folgende Objekt. Die Datenbank enthielt unerwartete Inhalte, wodurch verhindert wurde, dass die Änderung vorgenommen wurde. Objekt: CN=chduffey,OU=IT,OU=Corp,DC=contoso,DC=com
    Objekt-GUID: <GUID>
    Quelldomänencontroller: c4efaf4e-d652-4630-8623-afec5ebc8532._msdcs.contso.comZusätzliche Daten
    Primärer Fehlerwert: 8333 Verzeichnisobjekt nicht gefunden.
    NTDS Allgemein 1168 Fehler -1073741790(c0000022) ist aufgetreten (interne ID 3000b3a). Wenden Sie sich an den Microsoft-Produktsupport, um Unterstützung zu erhalten.
    Microsoft-Windows:
    ActiveDirectory_DomainService    		 1084 Internes Ereignis: Active Directory konnte das folgende Objekt nicht mit Änderungen aktualisieren, die vom folgenden Quelldomänencontroller empfangen wurden. Dies liegt daran, dass während der Anwendung der Änderungen an Active Directory auf dem Domänencontroller ein Fehler aufgetreten ist.
    NTDS-Replikation 1699 Der lokale Domänencontroller konnte die für die folgende Verzeichnispartition angeforderten Änderungen nicht abrufen. Daher konnten die Änderungsanforderungen nicht an den Domänencontroller unter der folgenden Netzwerkadresse gesendet werden. 8446 Fehler beim Zuweisen von Arbeitsspeicher beim Replikationsvorgang

    Außerdem wird möglicherweise der Replikationsstatuscode angezeigt:

    Code Sources Zusätzliche Informationen
    8451 Repadmin, DcPromo, als Untercode in Datenbankbeschädigungsereignissen Lesen Sie zunächst den Leitfaden zur Problembehandlung für 8451, wenn dieser Fehler identifiziert wird.

    2645996

  2. Lingering Objects with associated errors protokolliert:

    Quelle Ereignis-ID Beschreibung
    NTDS-Replikation 1988 Bei der Active Directory-Replikation sind Objekte in der folgenden Partition vorhanden, die aus der Active Directory-Datenbank der lokalen Domänencontroller (DCs) gelöscht wurden. Nicht alle direkten oder transitiven Replikationspartner wurden beim Löschen repliziert, bevor die Tombstone-Lebensdauer die Anzahl der Tage verstrichen ist. Objekte, die gelöscht und aus einer Active Directory-Partition gesammelt wurden, aber weiterhin in den beschreibbaren Partitionen anderer Domänencontroller in derselben Domäne vorhanden sind, oder schreibgeschützte Partitionen von globalen Katalogservern in anderen Domänen in der Gesamtstruktur werden als "beibehaltene Objekte" bezeichnet.
    NTDS-Replikation 1388 Ein anderer Domänencontroller (DC) hat versucht, ein Objekt, das nicht in der lokalen Active Directory-Datenbank vorhanden ist, in diesen Domänencontroller zu replizieren. Das Objekt wurde möglicherweise gelöscht und auf diesem Domänencontroller bereits garbage collected (eine Tombstone-Lebensdauer oder mehr ist seit dem Löschen des Objekts vergangen). Der in der Updateanforderung enthaltene Attributsatz reicht nicht aus, um das Objekt zu erstellen. Das Objekt wird mit einem vollständigen Attributsatz erneut angefordert und auf diesem Domänencontroller neu erstellt.

    Darüber hinaus werden möglicherweise die folgenden Replikationsstatuscodes angezeigt:

    Quelle Quellen Beschreibung
    8606 Repadmin, DCPromo, Untercode in NTDS-Replikationsereignissen Lesen Sie den Leitfaden zur Problembehandlung für 8606 in der ersten Instanz, wenn dieser Fehler identifiziert wird. 2028495
    1722 Repadmin, DCPromo, Untercode in NTDS-Replikationsereignissen Lesen Sie zunächst den Leitfaden zur Problembehandlung für 1722, wenn dieser Fehler identifiziert wird. 2102154

  3. Konfliktobjekte

  4. Prozess von Drittanbietern

    1. Antivirus
    2. Verzeichnissynchronisierungssoftware

Lösung

Die Untersuchung der Fehlermeldung 8333 "Verzeichnisobjekt wurde nicht gefunden" sollte auf dem Quelldomänencontroller in der Replikationspartnerschaft beginnen. Unter Bezugnahme auf die möglichen Ursachen des Problems aus dem Abschnitt "Ursache" dieses Dokuments sollte ein Supportmitarbeiter seine Untersuchung zur Quelle der Quell-/Zielreplikationspartnerschaft beginnen.

  1. Überprüfen Sie, ob Hinweise auf eine Beschädigung der Active Directory-Datenbank (JET) vorliegen:

    1. Überprüfen Sie das Verzeichnisdienste-Ereignisprotokoll auf den Quell- und Zielreplikationspartnern auf Jet-Datenbankbeschädigungsereignisse. Mögliche Ereignisse sind:

      Source Ereignis-ID Beschreibung
      NTDS-Replikation 2108 Dieses Ereignis enthält REPAIR PROCEDURES für das 1084-Ereignis, das zuvor protokolliert wurde. Diese Meldung weist auf ein bestimmtes Problem mit der Konsistenz der Active Directory Domain Services-Datenbank auf diesem Replikationsziel hin. Datenbankfehler beim Anwenden replizierter Änderungen auf das folgende Objekt. Die Datenbank enthielt unerwartete Inhalte, wodurch verhindert wurde, dass die Änderung vorgenommen wurde. Objekt: CN=chduffey,OU=IT,OU=Corp,DC=contoso,DC=com
      Objekt-GUID: <GUID>
      Quelldomänencontroller: c4efaf4e-d652-4630-8623-afec5ebc8532._msdcs.contso.comZusätzliche Daten
      Primärer Fehlerwert: 8333 Verzeichnisobjekt nicht gefunden.
      NTDS Allgemein 1168 Fehler -1073741790(c0000022) ist aufgetreten (interne ID 3000b3a). Wenden Sie sich an den Microsoft-Produktsupport, um Unterstützung zu erhalten.
      Microsoft-Windows:
      ActiveDirectory_DomainService      		 1084 Internes Ereignis: Active Directory konnte das folgende Objekt nicht mit Änderungen aktualisieren, die vom folgenden Quelldomänencontroller empfangen wurden. Dies liegt daran, dass während der Anwendung der Änderungen an Active Directory auf dem Domänencontroller ein Fehler aufgetreten ist.
      NTDS-Replikation 1699 Der lokale Domänencontroller konnte die für die folgende Verzeichnispartition angeforderten Änderungen nicht abrufen. Daher konnten die Änderungsanforderungen nicht an den Domänencontroller unter der folgenden Netzwerkadresse gesendet werden. 8446 Fehler beim Zuweisen von Arbeitsspeicher beim Replikationsvorgang

      Außerdem wird möglicherweise der Replikationsstatuscode angezeigt:

      Code Sources Zusätzliche Informationen
      8451 Repadmin, DcPromo, als Untercode in Datenbankbeschädigungsereignissen Lesen Sie zunächst den Leitfaden zur Problembehandlung für 8451, wenn dieser Fehler identifiziert wird.

      2645996

    2. Aktivieren Der erweiterten Protokollierung der Verzeichnisdienstereplikation:

      Wichtig

      Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Für zusätzlichen Schutz sichern Sie die Registrierung, bevor Sie sie ändern. Sie können die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen zum Erstellen und Wiederherstellen einer Sicherungskopie der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
      322756 Sichern und Wiederherstellen der Registrierung in Windows

      Um die NTDS-Diagnoseprotokollierung zu erhöhen, ändern Sie die folgenden REG_DWORD Werte in der Registrierung des Zieldomänencontrollers unter dem folgenden Registrierungsschlüssel:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics
      Legen Sie den Wert der folgenden Unterschlüssel auf 5 fest:
      5 Replikationsereignisse
      9 Interne Verarbeitung
      Hinweis Die Protokollierung der Ebene 5 ist äußerst ausführlich, und die Werte beider Unterschlüssel sollten auf den Standardwert 0 zurückgesetzt werden, nachdem das Problem behoben wurde. Das Verzeichnisdienste-Ereignisprotokoll sollte gefiltert werden, um diese Ereignisse zu isolieren und zu identifizieren.

    3. Überprüfen Sie die Ereignisprotokolle auf die neuen Ereignisse, die aus der erhöhten Protokollierung generiert wurden, auf Fehlerwerte, die eine endgültige Ansicht der Datenbankbeschädigung bieten.

    4. Wenn eine Datenbankbeschädigung erkannt wurde, stellen Sie sicher, dass für jede Domäne in der Gesamtstruktur aktuelle Sicherungen vorhanden sind.

    5. Starten Sie den Domänencontroller neu, der die Datenbankbeschädigung im Wiederherstellungsmodus der Verzeichnisdienste meldet. (Drücken Sie F8, während der Server neu gestartet wird. Wenn dies nicht möglich ist, öffnen Sie msconfig.exe und wählen Sie in den StartoptionenActive Directory-Reparatur aus.)

    6. So führen Sie eine Überprüfung der Datenbank im Wiederherstellungsmodus für Verzeichnisdienste durch:

      1. Öffnen einer Eingabeaufforderung
      2. Typ ntdsutil
      3. Typ activate instance ntds
      4. Typ Semantic database analysis
      5. Typ go

      Wenn Fehler erkannt werden, werden sie in der Konsole angezeigt und in eine Protokolldatei im aktuellen Arbeitsverzeichnis geschrieben.

    7. Wenn Datenbankbeschädigungsfehler erkannt werden, wird empfohlen, sich an den Microsoft-Support zu wenden.

      Hinweis

      Um den Domänencontroller nach der Überprüfung der Datenbank im Wiederherstellungsmodus der Verzeichnisdienste normal zu starten, geben Sie den bcdedit /deletevalue safeboot Befehl an einer Eingabeaufforderung mit erhöhten Rechten ein, oder öffnen Siemsconfig.exe , und deaktivieren Sie das Feld Sicherer Start in den Startoptionen.

    8. Als letzte Option. Sie können den Domänencontroller herabstufen und erneut heraufstufen, um die Datenbank zu ersetzen und den Inhalt von einem anderen Server in der Domäne zu replizieren.

      Hinweis

      Wenn eine Active Directory-Datenbank in Ihrer Umgebung beschädigt wurde, ist es wichtig, die Quelle der Beschädigung zu berücksichtigen, um Probleme in Zukunft zu vermeiden. Einige der bekannten Ursachen für eine solche Beschädigung sind:

      1. Hardwarefehler: Festplatte oder Controller
      2. Zwischenspeichern: Festplattencontroller
      3. Veraltete Treiber: Festplattencontroller
      4. Veraltete Firmware: BIOS, Festplattencontroller, Festplatte
      5. Plötzlicher Stromausfall

  2. Überprüfen Sie, ob lingering Objects auf allen Domänencontrollern in der Gesamtstruktur vorhanden sind, und entfernen Sie sie.

    Es gibt mehrere Ansätze, um nach Lingering Objects zu suchen, einschließlich:

    1. Überprüfen Sie, ob die folgenden Verzeichnisdienste-Ereignisse auf Domänencontrollern in der Gesamtstruktur vorhanden sind:

      Quelle Ereignis-ID Beschreibung
      NTDS-Replikation 1988 Bei der Active Directory-Replikation sind Objekte in der folgenden Partition vorhanden, die aus der Active Directory-Datenbank der lokalen Domänencontroller (DCs) gelöscht wurden. Nicht alle direkten oder transitiven Replikationspartner wurden beim Löschen repliziert, bevor die Tombstone-Lebensdauer die Anzahl der Tage verstrichen ist. Objekte, die gelöscht und aus einer Active Directory-Partition gesammelt wurden, aber weiterhin in den beschreibbaren Partitionen anderer Domänencontroller in derselben Domäne vorhanden sind, oder schreibgeschützte Partitionen von globalen Katalogservern in anderen Domänen in der Gesamtstruktur werden als "beibehaltene Objekte" bezeichnet.
      NTDS-Replikation 1388 Ein anderer Domänencontroller (DC) hat versucht, ein Objekt, das nicht in der lokalen Active Directory-Datenbank vorhanden ist, in diesen Domänencontroller zu replizieren. Das Objekt wurde möglicherweise gelöscht und auf diesem Domänencontroller bereits garbage collected (eine Tombstone-Lebensdauer oder mehr ist seit dem Löschen des Objekts vergangen). Der in der Updateanforderung enthaltene Attributsatz reicht nicht aus, um das Objekt zu erstellen. Das Objekt wird mit einem vollständigen Attributsatz erneut angefordert und auf diesem Domänencontroller neu erstellt.

      Darüber hinaus werden möglicherweise die folgenden Replikationsstatuscodes angezeigt:

      Code Sources Zusätzliche Informationen
      8451 Repadmin, DcPromo, als Untercode in Datenbankbeschädigungsereignissen Lesen Sie zunächst den Leitfaden zur Problembehandlung für 8451, wenn dieser Fehler identifiziert wird.

      2645996

    2. Untersuchen Sie die Gesamtstruktur auf bleibende Objekte.

      Die bevorzugte Methode zum Erkennen und Entfernen von bleibenden Objekten ist die Verwendung von Lingering Object Liquidator v2 (LoLv2).

      Weitere Informationen zu LoLv2 finden Sie unter:

      In einigen Fällen, in denen LoLv2 nicht verwendet werden kann, können Sie Repadmin.exeverwenden. Hierzu können Sie den repadmin /removelingeringobjects Befehl im Empfehlungsmodus ausführen, wie unter Identifizieren von objekten beschrieben.

  3. Überprüfen Sie, ob Konfliktobjekte vorhanden sind, und entfernen Sie sie:
    a. Durchsuchen Sie die relevanten Verzeichnispartitionen nach CNF-verwalteten Objekten und dem Objekt, für das das konfliktverwaltete Objekt einen Konflikt mit der folgenden Syntax verursacht hat:

    repadmin /showattr localhost "dc=parent,dc=com" /subtree /filter:"((&(objectClass=*)(cn=*\0acnf:*)))" /atts:objectclass,whencreated,whenchanged

    In diesem Beispiel ist "dc=parent,dc=com" der Distinguished Name für die parent.com Domäne.

    In den meisten Fällen gibt der Fehler 8333 an, welche Verzeichnispartitionen für Konfliktobjekte ausgewertet werden sollen. Es wird empfohlen, die Konfigurationspartition in allen Instanzen zu überprüfen:

    repadmin /showattr localhost "cn=configuration,dc=parent,dc=com" /subtree /filter:"((&(objectClass=*)(cn=*\0acnf:*)))" /atts:objectclass,whencreated,whenchanged

    b. Überprüfen Sie die Attribute, Attributwerte und falls vorhanden, untergeordnete Objekte, um zu bestimmen, welches Objekt verbleiben und welches gelöscht werden soll.

    c. Stellen Sie sicher, dass Sie über eine aktuelle Sicherung des Verzeichnisses verfügen.

    d. Löschen Sie das konfliktgefashte Objekt/Container oder das Objekt, mit dem ein Konflikt aufgetreten ist, mithilfe von LDP.EXE, ADSIEDIT oder einem der Active Directory-Verwaltungstools.

  4. Führen Sie Tests der Replikationspartner mit entfernten Komponenten von Drittanbietern durch.
    Es wurde festgestellt, dass mehrere Drittanbieterprodukte dieses Problem verursachen, einschließlich:

    1. Anti-Virus-Software
    2. Directory Synchronization

Datensammlung

Wenn Sie Unterstützung vom Microsoft-Support benötigen, empfehlen wir Ihnen, die Informationen zu sammeln, indem Sie die unter Sammeln von Informationen mithilfe von TSS für Active Directory-Replikationsprobleme beschriebenen Schritte ausführen.

Weitere Informationen

Lingering Objects(Lingering Objects):

Bereinigen der Active Directory-Gesamtstruktur von bleibenden Objekten

Datenbankbeschädigung:

Ereignis-ID 1539 – Datenbankintegrität