Freigeben über

Problembehandlung bei AD-Replikationsfehler 8333: Verzeichnisobjekt nicht gefunden

  • Artikel

In diesem Artikel wird ein Problem beschrieben, bei dem Active Directory-Replikationen mit Fehler 8333 fehlschlagen: Das Verzeichnisobjekt wurde nicht gefunden (ERROR_DS_OBJ_NOT_FOUND).

Ursprüngliche KB-Nummer: 2703708

Symptome

In diesem Artikel werden die Symptome, Ursachen und Lösungsschritte beschrieben, wenn die Active Directory-Replikation mit Fehler 8333 fehlschlägt: Verzeichnisobjekt nicht gefunden (ERROR_DS_OBJ_NOT_FOUND).

  1. Mögliche Formate für den Fehler sind:

    Decimal Hex Symbolisch Fehlerzeichenfolge
    8333 0x208d ERROR_DS_OBJ_NOT_FOUND Das Verzeichnisobjekt wurde nicht gefunden.

  2. Die folgenden Ereignisse können protokolliert werden.

    Ereignisquelle Ereignis-ID Ereigniszeichenfolge
    NTDS-Replikation 2108 Dieses Ereignis enthält REPARATURPROZEDURen für das 1084-Ereignis, das zuvor protokolliert wurde. Diese Meldung weist auf ein bestimmtes Problem mit der Konsistenz der Active Directory-Datenbank auf diesem Replikationsziel hin. Beim Anwenden replizierter Änderungen auf das folgende Objekt ist ein Datenbankfehler aufgetreten. Die Datenbank hatte unerwartete Inhalte und verhinderte, dass die Änderung vorgenommen wird. Objekt: OU=TestOU,DC=contoso,DC=com Object GUID: <GUID> Source domain controller: A52b57e3-92b9-4264-822b-72963eaf1030._msdcs.contoso.com Additional Data Primary Error value: 8333 Directory object not found. Sekundärer Fehlerwert: -1601 JET_errRecordNotFound, Der Schlüssel wurde nicht gefunden.

    NTDS allgemein    		 2031 Das DS Service Configuration-Objekt wurde nicht gefunden. Möglicherweise wurde sie versehentlich gelöscht. Active Directory kann normal ausgeführt werden, sie können jedoch keine bestimmten Dienstparameter festlegen, z. B. LDAP-Grenzwerte, Standardabfragerichtlinien und SPN-Zuordnungen. DS Service Configuration-Objekt: CN=Verzeichnisdienst,CN=Windows NT,CN=Services,CN=Configuration,DC=contoso,DC=com Fehler: 8333 (Verzeichnisobjekt nicht gefunden.) Benutzeraktion: Versuchen Sie, das DS Service Configuration-Objekt wiederherzustellen.

  3. Es kann eine Ausgabe von repadmin /replsum

    DC-1-03 03h:14m:11s 1 / 52 1 (8333) Directory-Objekt nicht gefunden.
    DC-2-01 03h:13m:39s 1 / 26 3 (8333) Directory-Objekt nicht gefunden.
    DC-3-09 03h:08m:45s 2 / 103 1 (8333) Verzeichnisobjekt nicht gefunden.
    DC-4-03 03h:05m:52s 1 / 13 7 (8333) Verzeichnisobjekt nicht gefunden.

  4. DCPromo schlägt möglicherweise fehl, während sie einen neuen Domänencontroller heraufstaufst. Im DCPROMO-Protokoll werden die folgenden Fehler angezeigt:

    <DateTime> [INFO] Erstellen neuer Domänenbenutzer, Gruppen und Computerobjekte
    <DateTime> [INFO] Fehler : Active Directory fehlt wichtige Informationen nach der Installation und kann nicht fortgesetzt werden. Wenn es sich um einen Replikatdomänencontroller handelt, verbinden Sie diesen Server erneut mit der Domäne. (8333)
    <DateTime> [INFO] NtdsInstall für contoso.com zurückgegebene 8333
    <DateTime> [INFO] DsRolepInstallDs zurückgegeben 8333
    <DateTime> [ERROR] Fehler beim Installieren im Verzeichnisdienst (8333)

    Notiz

    Fehler 8333 wird in ERROR_DS_OBJ_NOT_FOUND oder "Verzeichnisobjekt nicht gefunden" übersetzt.

  5. Beim Versuch, eine Partition im globalen Katalog neu zu hosten

    repadmin /rehost \<dc-name>\<partition to rehost>\<good source>

    repadmin /rehost failed with DsReplicaAdd failed with status 8333 (0x208d)

Ursache

Der Fehlerstatus 8333 "Verzeichnisobjekt nicht gefunden" hat mehrere Ursachen, darunter:

  1. Datenbankbeschädigung mit zusätzlichen zugeordneten Fehlern, die im Ereignisprotokoll des Quelldomänencontrollers protokolliert werden:

    Quelle Ereignis-ID Beschreibung
    NTDS-Replikation 2108 Dieses Ereignis enthält REPARATURPROZEDURen für das 1084-Ereignis, das zuvor protokolliert wurde. Diese Meldung weist auf ein bestimmtes Problem mit der Konsistenz der Active Directory-Domäne Services-Datenbank auf diesem Replikationsziel hin. Beim Anwenden replizierter Änderungen auf das folgende Objekt ist ein Datenbankfehler aufgetreten. Die Datenbank hatte unerwartete Inhalte und verhinderte, dass die Änderung vorgenommen wird. Objekt: CN=chduffey,OU=IT,OU=Corp,DC=contoso,DC=com
    Objekt-GUID: <GUID>
    Quelldomänencontroller: c4efaf4e-d652-4630-8623-afec5ebc8532._msdcs.contso.comAdditional Data
    Primärer Fehlerwert: 8333 Directory-Objekt nicht gefunden.
    NTDS allgemein 1168 Fehler -1073741790(c0000022) ist aufgetreten (interne ID 3000b3a). Wenden Sie sich an den Microsoft-Produktsupport, um Unterstützung zu erhalten.
    Microsoft-Windows-
    ActiveDirectory_DomainService    		 1084 Internes Ereignis: Active Directory konnte das folgende Objekt nicht mit Änderungen aktualisieren, die vom folgenden Quelldomänencontroller empfangen wurden. Dies liegt daran, dass während der Anwendung der Änderungen an Active Directory auf dem Domänencontroller ein Fehler aufgetreten ist.
    NTDS-Replikation 1699 Der lokale Domänencontroller konnte die für die folgende Verzeichnispartition angeforderten Änderungen nicht abrufen. Daher konnte die Änderungsanforderungen nicht an den Domänencontroller an die folgende Netzwerkadresse gesendet werden. 8446 Der Replikationsvorgang konnte arbeitsspeicher nicht zuordnen.

    Darüber hinaus wird möglicherweise der Replikationsstatuscode angezeigt:

    Code Sources Weitere Informationen
    8451 Repadmin, DcPromo, als Untercode in Datenbankbeschädigungsereignissen Weitere Informationen finden Sie im Handbuch zur Problembehandlung für 8451 in der ersten Instanz, wenn dieser Fehler identifiziert wird.

    2645996

  2. Verharrende Objekte mit zugeordneten Fehlern protokolliert:

    Quelle Ereignis-ID Beschreibung
    NTDS-Replikation 1988 Bei der Active Directory-Replikation ist das Vorhandensein von Objekten in der folgenden Partition aufgetreten, die aus der Active Directory-Datenbank (DCs) der lokalen DCs gelöscht wurden. Nicht alle direkten oder transitiven Replikationspartner wurden im Löschvorgang repliziert, bevor die Tombstone-Lebensdauer von Tagen vergangen ist. Objekte, die aus einer Active Directory-Partition gelöscht und garbage gesammelt wurden, aber weiterhin in den schreibbaren Partitionen anderer DCs in derselben Domäne vorhanden sind, oder schreibgeschützte Partitionen globaler Katalogserver in anderen Domänen in der Gesamtstruktur werden als "lingering objects" bezeichnet.
    NTDS-Replikation 1388 Ein anderer Domänencontroller (DC) hat versucht, in diesen DC zu replizieren, ein Objekt, das in der lokalen Active Directory-Datenbank nicht vorhanden ist. Das Objekt wurde möglicherweise gelöscht und bereits garbage collection (eine Tombstone-Lebensdauer oder mehr ist seit dem Löschen des Objekts vergangen) auf diesem DC. Der in der Updateanforderung enthaltene Attributsatz reicht nicht aus, um das Objekt zu erstellen. Das Objekt wird mit einem vollständigen Attributsatz erneut angefordert und auf diesem DC neu erstellt.

    Darüber hinaus werden möglicherweise die folgenden Replikationsstatuscodes angezeigt:

    Quelle Quellen Beschreibung
    8,606 Repadmin, DCPromo, Untercode in NTDS-Replikationsereignissen Weitere Informationen finden Sie in der Problembehandlungsanleitung für 8606 in der ersten Instanz, wenn dieser Fehler identifiziert wird. 2028495
    1722 Repadmin, DCPromo, Untercode in NTDS-Replikationsereignissen Weitere Informationen finden Sie im Handbuch zur Problembehandlung für 1722 in der ersten Instanz, wenn dieser Fehler identifiziert wird. 2102154

  3. Conflict-Objekte

  4. Prozess von Drittanbietern

    1. Virenschutz
    2. Verzeichnissynchronisierungssoftware

Lösung

Die Untersuchung der Fehlermeldung 8333 "Verzeichnisobjekt nicht gefunden" sollte auf dem Quelldomänencontroller in der Replikationspartnerschaft beginnen. Im Hinblick auf die möglichen Ursachen des Problems aus dem Abschnitt "Ursache" dieses Dokuments sollte ein Supportmitarbeiter mit der Untersuchung der Quelle der Quell-/Zielreplikationspartnerschaft beginnen.

  1. Überprüfen Sie auf Hinweise auf Eine Beschädigung der Active Directory(JET)-Datenbank:

    1. Überprüfen Sie das Verzeichnisdienste-Ereignisprotokoll für die Quell- und Zielreplikationspartner für JET-Datenbankbeschädigungsereignisse. Mögliche Ereignisse sind:

      Quelle Ereignis-ID Beschreibung
      NTDS-Replikation 2108 Dieses Ereignis enthält REPARATURPROZEDURen für das 1084-Ereignis, das zuvor protokolliert wurde. Diese Meldung weist auf ein bestimmtes Problem mit der Konsistenz der Active Directory-Domäne Services-Datenbank auf diesem Replikationsziel hin. Beim Anwenden replizierter Änderungen auf das folgende Objekt ist ein Datenbankfehler aufgetreten. Die Datenbank hatte unerwartete Inhalte und verhinderte, dass die Änderung vorgenommen wird. Objekt: CN=chduffey,OU=IT,OU=Corp,DC=contoso,DC=com
      Objekt-GUID: <GUID>
      Quelldomänencontroller: c4efaf4e-d652-4630-8623-afec5ebc8532._msdcs.contso.comAdditional Data
      Primärer Fehlerwert: 8333 Directory-Objekt nicht gefunden.
      NTDS allgemein 1168 Fehler -1073741790(c0000022) ist aufgetreten (interne ID 3000b3a). Wenden Sie sich an den Microsoft-Produktsupport, um Unterstützung zu erhalten.
      Microsoft-Windows-
      ActiveDirectory_DomainService      		 1084 Internes Ereignis: Active Directory konnte das folgende Objekt nicht mit Änderungen aktualisieren, die vom folgenden Quelldomänencontroller empfangen wurden. Dies liegt daran, dass während der Anwendung der Änderungen an Active Directory auf dem Domänencontroller ein Fehler aufgetreten ist.
      NTDS-Replikation 1699 Der lokale Domänencontroller konnte die für die folgende Verzeichnispartition angeforderten Änderungen nicht abrufen. Daher konnte die Änderungsanforderungen nicht an den Domänencontroller an die folgende Netzwerkadresse gesendet werden. 8446 Der Replikationsvorgang konnte arbeitsspeicher nicht zuordnen.

      Darüber hinaus wird möglicherweise der Replikationsstatuscode angezeigt:

      Code Sources Weitere Informationen
      8451 Repadmin, DcPromo, als Untercode in Datenbankbeschädigungsereignissen Weitere Informationen finden Sie im Handbuch zur Problembehandlung für 8451 in der ersten Instanz, wenn dieser Fehler identifiziert wird.

      2645996

    2. Aktivieren der Replikationsprotokollierung für erweiterte Verzeichnisdienste:

      Wichtig

      Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher müssen Sie sicherstellen, dass Sie diese Schritte sorgfältig ausführen. Für weiteren Schutz sichern Sie die Registrierung, bevor Sie sie ändern. Sie können die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen zum Erstellen und Wiederherstellen einer Sicherungskopie der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
      322756 Sichern und Wiederherstellen der Registrierung in Windows

      Um die NTDS-Diagnoseprotokollierung zu erhöhen, ändern Sie die folgenden REG_DWORD Werte in der Registrierung des Zieldomänencontrollers unter dem folgenden Registrierungsschlüssel:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics
      Legen Sie den Wert der folgenden Unterschlüssel auf 5 fest:
      5 Replikationsereignisse
      9 Interne Verarbeitung
      Die Protokollierung der Stufe 5 ist äußerst ausführlich, und die Werte beider Unterschlüssel sollten auf den Standardwert von 0 zurückgesetzt werden, nachdem das Problem behoben wurde. Das Filtern des Verzeichnisdienste-Ereignisprotokolls sollte ausgeführt werden, um diese Ereignisse zu isolieren und zu identifizieren.

    3. Überprüfen Sie die Ereignisprotokolle für die neuen Ereignisse, die aus der erhöhten Protokollierung für Fehlerwerte generiert wurden, die eine endgültige Ansicht der Datenbankbeschädigung geben.

    4. Wenn Datenbankbeschädigungen erkannt wurden, stellen Sie sicher, dass aktuelle Sicherungen jeder Domäne in der Gesamtstruktur vorhanden sind.

    5. Starten Sie den Domänencontroller neu, der die Datenbankbeschädigung im Wiederherstellungsmodus für Verzeichnisdienste meldet. (Drücken Sie F8, während der Server neu gestartet wird oder dies nicht möglich ist, öffnen Sie msconfig.exe, und wählen Sie in den Startoptionen die Active Directory-Reparatur aus.)

    6. So führen Sie eine Überprüfung der Datenbank im Wiederherstellungsmodus für Verzeichnisdienste durch:

      1. Öffnen Sie eine Eingabeaufforderung.
      2. Geben Sie ntdsutil ein.
      3. Geben Sie activate instance ntds ein.
      4. Geben Sie Semantic database analysis ein.
      5. Geben Sie go ein.

      Wenn Fehler erkannt werden, werden sie in der Konsole angezeigt und in eine Protokolldatei im aktuellen Arbeitsverzeichnis geschrieben.

    7. Wenn Datenbankbeschädigungsfehler erkannt werden, sollten Sie sich an Microsoft-Support Services wenden.

      Notiz

      Um den Domänencontroller normal zu starten, nachdem die Datenbank im Verzeichnisdienste-Wiederherstellungsmodus überprüft wurde, geben Sie den bcdedit /deletevalue safeboot Befehl in einer Eingabeaufforderung mit erhöhten Rechten ein, oder öffnen Sie msconfig.exe, und deaktivieren Sie das Feld für den sicheren Start in den Startoptionen.

    8. Als letzte Option. Sie können den Domänencontroller herabstufen und es erneut heraufstufen, um die Datenbank zu ersetzen und den Inhalt von einem anderen Server in der Domäne zu replizieren.

      Notiz

      Wenn eine Active Directory-Datenbank in Ihrer Umgebung beschädigt wurde, ist es wichtig, die Quelle der Beschädigung zu berücksichtigen, um Probleme in Zukunft zu vermeiden. Einige der bekannten Ursachen solcher Beschädigungen sind:

      1. Fehlerhafte Hardware: Festplatte oder Controller
      2. Zwischenspeichern: Festplattencontroller
      3. Veraltete Treiber: Festplattencontroller
      4. Veraltete Firmware: BIOS, Festplattencontroller, Festplatte
      5. Plötzlicher Stromverlust

  2. Überprüfen Sie, ob objekte auf allen Domänencontrollern in der Gesamtstruktur vorhanden sind, und entfernen Sie sie.

    Es gibt mehrere Ansätze, um nach Lingering Objects zu suchen, darunter:

    1. Überprüfen Sie, ob die folgenden Verzeichnisdiensteereignisse auf Domänencontrollern in der Gesamtstruktur vorhanden sind:

      Quelle Ereignis-ID Beschreibung
      NTDS-Replikation 1988 Bei der Active Directory-Replikation ist das Vorhandensein von Objekten in der folgenden Partition aufgetreten, die aus der Active Directory-Datenbank (DCs) der lokalen DCs gelöscht wurden. Nicht alle direkten oder transitiven Replikationspartner wurden im Löschvorgang repliziert, bevor die Tombstone-Lebensdauer von Tagen vergangen ist. Objekte, die aus einer Active Directory-Partition gelöscht und garbage gesammelt wurden, aber weiterhin in den schreibbaren Partitionen anderer DCs in derselben Domäne vorhanden sind, oder schreibgeschützte Partitionen globaler Katalogserver in anderen Domänen in der Gesamtstruktur werden als "lingering objects" bezeichnet.
      NTDS-Replikation 1388 Ein anderer Domänencontroller (DC) hat versucht, in diesen DC zu replizieren, ein Objekt, das in der lokalen Active Directory-Datenbank nicht vorhanden ist. Das Objekt wurde möglicherweise gelöscht und bereits garbage collection (eine Tombstone-Lebensdauer oder mehr ist seit dem Löschen des Objekts vergangen) auf diesem DC. Der in der Updateanforderung enthaltene Attributsatz reicht nicht aus, um das Objekt zu erstellen. Das Objekt wird mit einem vollständigen Attributsatz erneut angefordert und auf diesem DC neu erstellt.

      Darüber hinaus werden möglicherweise die folgenden Replikationsstatuscodes angezeigt:

      Code Sources Weitere Informationen
      8451 Repadmin, DcPromo, als Untercode in Datenbankbeschädigungsereignissen Weitere Informationen finden Sie im Handbuch zur Problembehandlung für 8451 in der ersten Instanz, wenn dieser Fehler identifiziert wird.

      2645996

    2. Untersuchen Sie die Gesamtstruktur für das Anhalten von Objekten.

      Die bevorzugte Methode zum Erkennen und Entfernen von lingernden Objekten ist die Verwendung von Lingering Object Liquidator v2 (LoLv2).

      Weitere Informationen zu LoLv2 finden Sie unter:

      In einigen Fällen, in denen LoLv2 nicht verwendet werden kann, können Sie Repadmin.exe verwenden. Sie können dies tun, indem Sie den repadmin /removelingeringobjects Befehl im Empfehlungsmodus ausführen, wie unter "Identifizieren von lingernden Objekten" beschrieben.

  3. Überprüfen Sie auf das Vorhandensein und Entfernen von Konfliktobjekten:
    a. Durchsuchen Sie die relevanten Verzeichnispartitionen nach von CNF verwalteten Objekten und dem Objekt, in dem das konfliktverwaltete Objekt mit der folgenden Syntax in Konflikt stand:

    repadmin /showattr localhost "dc=parent,dc=com" /subtree /filter:"((&(objectClass=*)(cn=*\0acnf:*)))" /atts:objectclass,whencreated,whenchanged

    In diesem Beispiel ist "dc=parent,dc=com" der distinguished Name für die parent.com Domäne.

    In den meisten Fällen gibt der Fehler 8333 an, welche Verzeichnispartitionen für Konfliktobjekte ausgewertet werden sollen. Es wird empfohlen, dass die Konfigurationspartition in allen Instanzen eingecheckt wird:

    repadmin /showattr localhost "cn=configuration,dc=parent,dc=com" /subtree /filter:"((&(objectClass=*)(cn=*\0acnf:*)))" /atts:objectclass,whencreated,whenchanged

    b. Überprüfen Sie die Attribute, Attributwerte und falls vorhanden, untergeordnete Objekte, um zu bestimmen, welches Objekt verbleiben soll und welche gelöscht werden sollen.

    c. Stellen Sie sicher, dass Sie über eine aktuelle Sicherung des Verzeichnisses verfügen.

    d. Löschen Sie das konfliktbezogene Objekt/den Container oder das Objekt, das mit der Verwendung von LDP.EXE, ADSIEDIT oder einem der Active Directory-Verwaltungstools in Konflikt geraten ist.

  4. Führen Sie Tests der Replikationspartner mit entfernten Komponenten von Drittanbietern durch.
    Es wurden mehrere Drittanbieterprodukte gefunden, um dieses Problem zu verursachen, darunter:

    1. Antivirensoftware
    2. Verzeichnissynchronisierung

Datensammlung

Wenn Sie Unterstützung vom Microsoft-Support benötigen, empfehlen wir, die Informationen zu sammeln, indem Sie die unter " Sammeln von Informationen" genannten Schritte ausführen, indem Sie TSS für Active Directory-Replikationsprobleme verwenden.

Weitere Informationen

Bleibende Objekte:

Bereinigen sie, dass die Active Directory-Gesamtstruktur von objekten bleibt

Datenbankbeschädigung:

Ereignis-ID 1539 – Datenbankintegrität