Problembehandlung bei Active Directory-Replikationsfehler 8614

Dieser Artikel enthält die Schritte zur Problembehandlung des Active Directory-Replikationsfehlers 8614.

Ursprüngliche KB-Nummer: 2020053

Notiz

Private Benutzer: Dieser Artikel ist nur für technische Supportmitarbeiter und IT-Experten vorgesehen. Wenn Sie hilfe zu einem Problem suchen, bitten Sie die Microsoft-Community.

Symptome

1. DCDIAG meldet, dass der Test der Active Directory-Replikation mit dem Fehlerstatuscode 8614 fehlgeschlagen ist: Active Directory kann nicht mit diesem Server repliziert werden, da die Zeit seit der letzten Replikation mit diesem Server die Tombstone-Lebensdauer überschritten hat.

   Testing server: <site name><destination dc name>  
   Starting test: Replications  
   * Replications Check  
   [Replications Check,<destination DC name] A recent replication attempt failed:  
   From <source DC> to <destination DC>  
   Naming Context: <directory partition DN path>  
    The replication generated an error (8614):
    Active Directory cannot replicate with this server because the time since the last replication with this server has exceeded the tombstone lifetime.  
   The failure occurred at <date> <time>.  
   The last success occurred at <date> <time>.  
   3 failures have occurred since the last success.  
   

2. REPADMIN.EXE meldet, dass der letzte Replikationsversuch mit dem Status 8614 fehlgeschlagen ist. REPADMIN-Befehle, die häufig den Status 8614 zitieren, sind jedoch nicht beschränkt auf:

   • REPADMIN /REPLSUM
   • REPADMIN /SHOWREPL
   • REPADMIN /SHOWREPS
   • REPADMIN /SYNCALL

   Die Beispielausgabe der REPADMIN /SHOWREPS Darstellung der eingehenden Replikation von CONTOSO-DC2 zu CONTOSO-DC1, bei der der Replikationszugriff verweigert wurde, wird unten gezeigt:

    efault-First-Site-Name\CONTOSO-DC1  
    DSA Options: IS_GC  
    Site Options: (none)  
    DSA object GUID:  
    DSA invocationID:  
   
   ==== INBOUND NEIGHBORS ======================================  
   
   DC=contoso,DC=com  
   Default-First-Site-Name\CONTOSO-DC2 via RPC  
   DSA object GUID:  
   Last attempt @ <date> <time> failed, result 8614(0x21a6):
   The Active Directory cannot replicate with this server because the time since the last replication with this server has exceeded the tombstone lifetime.  
   <#> consecutive failure(s).  
   Last success @ <date> <time>.  
   

3. NTDS KCC-, NTDS General- oder Microsoft-Windows-ActiveDirectory_DomainService-Ereignisse mit den fünf Status werden im Verzeichnisdienst-Ereignisprotokoll protokolliert.

   Active Directory-Ereignisse, die häufig den Status 8524 zitieren, sind jedoch nicht beschränkt auf:

   Ereignisquelle	Kennung	Ereigniszeichenfolge
   NTDS KCC	1925	Beim Versuch, einen Replikationslink für eine beschreibbare Verzeichnispartition herzustellen, ist ein Fehler aufgetreten.

4. NTDS-Replikationsereignis 2042 kann im Verzeichnisdienst-Ereignisprotokoll protokolliert werden:

   Event Type: Error
   Event Source: NTDS Replication
   Event Category: Replication
   Event ID: 2042
   User: NT AUTHORITY\ANONYMOUS LOGON
   Computer: <name of DC that logged event>
   
   Description:  
   It has been too long since this machine last replicated with the named source
   machine. The time between replications with this source has exceeded the tombstone
   lifetime. Replication has been stopped with this source.
   
   The reason that replication is not allowed to continue is that the two machine's views of deleted objects may now be different. The source machine may still have copies of objects that have been deleted (and garbage collected) on this machine. If they were allowed to replicate, the source machine might return objects which have already been deleted.
   
   Time of last successful replication: YYYY-MM-DD HH:MM:SS
   Invocation ID of source: <32 character GUID for source DC>
   Name of source: <fully qualified cname record of source DC>
   Tombstone lifetime (days): <current TSL value. Default = 60 or 180 days>
   
   The replication operation has failed.
   
   User Action:
   
   Determine which of the two machines was disconnected from the forest and is now out of date. You have three options:
   
   1. Demote or reinstall the machine(s) that were disconnected.
   2. Use the repadmin /removelingeringobjects tool to remove inconsistent deleted objects and then resume replication.
   3. Resume replication. Inconsistent deleted objects may be introduced. You can continue replication by using the following registry key. Once the systems replicate once, it's recommended that you remove the key to reinstate the protection.  
   

5. Der Befehl "Jetzt replizieren" in Active Directory-Websites und -Diensten gibt die folgende Meldung zurück:

   Active Directory kann nicht mit diesem Server repliziert werden, da die Zeit seit der letzten Replikation mit diesem Server die Tombstone-Lebensdauer überschritten hat.

   Klicken Sie mit der rechten Maustaste auf das Verbindungsobjekt aus einer Quell-DC, und wählen Sie jetzt replizieren in Active Directory-Websites und -Diensten (DSSITE). MSC) ist nicht erfolgreich. Sie erhalten folgende Meldung:

   Active Directory kann nicht mit diesem Server repliziert werden, da die Zeit seit der letzten Replikation mit diesem Server die Tombstone-Lebensdauer überschritten hat.

   Der Text der Fehlermeldung auf dem Bildschirm lautet wie folgt:

   Dialogfeldtiteltext: Jetzt replizieren
   Meldungstext des Dialogfelds: Der folgende Fehler ist beim Versuch aufgetreten, den Namenskontext <"%verzeichnispartitionsname%"> vom Domänencontroller-Quell-DC <> mit dem Domänencontroller-Ziel-DC <>zu synchronisieren:

   Active Directory kann nicht mit diesem Server repliziert werden, da die Zeit seit der letzten Replikation mit diesem Server die Tombstone-Lebensdauer überschritten hat.
   Der Vorgang wird nicht fortgesetzt.

   Schaltflächen im Dialogfeld: OK

Ursache

Active Directory-Domänencontroller unterstützen die Multimasterreplikation. Jeder Domänencontroller, der eine schreibbare Partition enthält, kann aus einer Erstellung, Änderung oder Löschung eines Objekts oder Attributs (Wert) stammen. Das Wissen über die Objekt-/Attributlöschung wird für die Anzahl der Tage der Tombstone-Lebensdauer beibehalten. (Siehe Informationen zum Anhalten von Objekten in einer Windows Server Active Directory-Gesamtstruktur.

Active Directory erfordert eine End-to-End-Replikation von allen Partitionshaltern, um alle ursprünglichen Löschungen für Verzeichnispartitionen transitiv auf alle Partitionshalter zu replizieren. Wenn eine Verzeichnispartition nicht eingehend repliziert wird, führt dies zu einer fortlaufenden TSL-Anzahl von Tagen zum Anhalten von Objekten. Ein beibehaltendes Objekt ist ein Objekt, das absichtlich von mindestens einem DC gelöscht wurde, aber fälschlicherweise auf Ziel-DCs vorhanden ist, die das vorübergehende Wissen aller eindeutigen Löschungen nicht replizieren konnten.

Fehler 8614 ist ein Beispiel für Logik, die in Domänencontrollern hinzugefügt wird, die Windows Server 2003 oder eine höhere Version ausführen. Sie isoliert die Ausbreitung von verharrenden Objekten und identifiziert langfristige Replikationsfehler, die zu inkonsistenten Verzeichnispartitionen führen.

Zu den Stammursachen für Fehler 8614 und NTDS-Replikationsereignis 2042 gehören:

1. Der Ziel-DC, der den Fehler 8614 protokolliert, konnte eine Verzeichnispartition aus mindestens einer Quell-DCs für die Lebensdauer von Tagen nicht replizieren.

2. Die Systemzeit des Ziel-DC wurde seit der letzten erfolgreichen Replikation um mindestens eine Anzahl von Tagen verschoben oder gesprungen. Es gibt dem Replikationsmodul das Aussehen , dass der Ziel-DC-Wert nicht eingehend repliziert wurde, um eine Verzeichnispartition für die Verstrichene Anzahl von Tagen zu replizieren.

   Zeitsprünge können auftreten, wenn die folgenden Bedingungen erfüllt sind:

   • Ein Ziel-DC wird erfolgreich inbound-repliziert, verwendet in Zukunft ungültige Systemzeit-TSL oder mehr Tage.
   • Der Ziel-DC versucht dann, ausgehend von einer Quelle zu replizieren, die zuletzt aus TSL oder mehr Tagen in der Vergangenheit repliziert wurde.

   Oder

   Zeitsprünge von der aktuellen Zeit zu einer Datums-/Uhrzeit-Tombstone-Lebensdauer oder mehr Tage in der Vergangenheit, erfolgreich eingehende Replikationen. Anschließend wird versucht, eine eingehende Replikation durchzuführen, nachdem sie die Zeit TSL oder mehr Tage in der Zukunft verwendet hat.

Grundsätzlich gelten die Ursache und Auflösung für Replikationsfehler 8614 gleichermaßen für die Ursache und Auflösung für NTDS-Replikationsereignis 2042.

Lösung

Notiz

Es gibt zwei Aktionspläne zum Wiederherstellen von Active Directory-Domänencontrollern, die den Fehlerstatus 8614 oder das NTDS-Replikationsereignis 2042 protokollieren. Sie können den Domänencontroller entweder erzwingen oder den unten stehenden Aktionsplan verwenden, indem Sie nach erforderlichen Korrekturen suchen, nach Zeitsprüngen suchen, nach Objekten suchen und diese entfernen, falls vorhanden, Replikationsquarantäne entfernen, Replikationsfehler beheben und den DC wieder in den Dienst versetzen. Die Erzwingung solcher DCs ist möglicherweise einfacher und schneller, kann jedoch zu einem Verlust von ursprünglichen Updates (d. h. Datenverlust) auf dem Domänencontroller führen, der erzwungen wird. Active Directory stellt diese Bedingung ordnungsgemäß wieder her, indem die folgenden Schritte ausgeführt werden. Wählen Sie die beste Lösung für Ihr Szenario aus. Gehen Sie nicht davon aus, dass eine Erzwungene Herabstufung die einzige arbeitsfähige Lösung ist, insbesondere, wenn replikationsfehler einfach zu beheben oder außerhalb von Active Directory sind.

1. Überprüfen Sie auf nicht standardmäßige Werte der Tombstone-Lebensdauer.

   Die Tombstone-Lebensdauer verwendet standardmäßig 60 oder 180 Tage, je nachdem, welche Windows-Version in Ihrer Gesamtstruktur bereitgestellt wurde. Microsoft-Support sehen regelmäßig DCs, bei denen die eingehende Replikation für diese Zeiträume fehlgeschlagen ist. Es ist auch möglich, dass die Grabsteinlebensdauer auf einen kurzen Zeitraum konfiguriert wurde, z. B. zwei Tage. Wenn ja, bestehen DCs, die nicht eingehend repliziert wurden, z. B. fünf Tage, den folgenden Test nicht bestanden:

   Alle DCs müssen mit einer fortlaufenden TSL-Anzahl von Tagen repliziert werden.

   Hiermit repadmin /showattr können Sie ermitteln, ob ein nicht standardmäßiger Wert für das TombstoneLifetime-Attribut konfiguriert wurde.

   repadmin /showattr <DC_name> "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=<forest root domain>,DC=<top level domain>"
   

   Wenn das Attribut in der showattr Ausgabe nicht vorhanden ist, wird ein interner Standardwert verwendet.

2. Suchen Sie nach DCs, bei denen die eingehende Replikation fehlgeschlagen ist, um die Anzahl der Tage zu überprüfen.

   Führen Sie repadmin /showrepl * /csv die Analyse mithilfe von Excel aus, wie im Abschnitt "Überprüfen der erfolgreichen Replikation zu einem Domänencontroller " angegeben. Sortieren Sie die Ausgabe des Replsums in Excel in der letzten Erfolgsspalte der Replikation in der Reihenfolge von der kleinsten aktuellen bis zur aktuellen Datums- und Uhrzeitangabe.

3. Suchen Sie nach Zeitsprüngen.

   Um zu ermitteln, ob ein Zeitsprung aufgetreten ist, überprüfen Sie Ereignis- und Diagnoseprotokolle (repadmin /showrepsdcdiag-Protokolle) auf Ziel-DCs, die 8614-Fehler für die folgenden Zeitstempel protokollieren:

   • Datumsstempel, die vor der Veröffentlichung eines Betriebssystems liegen. Beispielsweise Datumsstempel aus Windows Server 2003 für ein betriebssystem, das in Windows Server 2008 veröffentlicht wurde.
     • Datumsstempel, die vor der Installation des Betriebssystems in Ihrer Gesamtstruktur liegen.
     • Datumsstempel in der Zukunft.
     • In einem bestimmten Datumsbereich werden keine Ereignisse protokolliert.

   Microsoft-Support Teams haben systemzeit auf Produktionsdomänencontrollern fälschlicherweise Sprungstunden, Tage, Wochen, Jahre und sogar zehn Jahre in der Vergangenheit und Zukunft gesehen.

   Wenn die Systemzeit als ungenau erkannt wurde, korrigieren Sie sie. Versuchen Sie dann, zu bestimmen, warum die Zeit gesprungen ist und was getan werden kann, um ungenaue Zeit in Zukunft zu verhindern, und korrigieren Sie einfach die schlechte Zeit. Mögliche Zu untersuchende Bereiche sind:

   • Wurde der Gesamtstrukturstamm-PDC mithilfe einer externen Zeitquelle konfiguriert?
     • Sind Referenzzeitquellen online verfügbar, im Netzwerk verfügbar und können in DNS aufgelöst werden?
     • Wurde der Microsoft- oder Drittanbieterzeitdienst ausgeführt und in einem fehlerfreien Zustand?
     • Sind DC-Rollencomputer für die Verwendung der NT5DS-Hierarchie für die Quellzeit konfiguriert?
     • Wurde der Zeitrollbackschutz unter " Konfigurieren des Windows-Zeitdiensts für einen großen Zeitversatz " beschrieben?
     • Haben Systemuhren gute Akkus und genaue Zeit im BIOS?
     • Sind virtuelle Host- und Gastcomputer gemäß den Empfehlungen des Hostingherstellers für die Quellzeit konfiguriert?

   In diesem Artikel wird beschrieben, wie Sie den Windows-Zeitdienst für einen großen Zeitversatz für Dokumente konfigurieren, um Domänencontroller vor dem Überwachen ungültiger Zeitbeispiele zu schützen. Weitere Informationen zu MaxPosPhaseCorrection und MaxNegPhaseCorrection finden Sie im Windows-Zeitdienst.

4. Überprüfen sie, ob sie vorhanden sind, um zu suchen und zu entfernen, ob sie vorhanden sind.

   Der Punkt der 8614-Fehlerreplikationsquarantäne besteht darin, zu überprüfen, ob Objekte verbleiben und entfernt werden, falls vorhanden, in jeder lokal gehaltenen Partition, bevor Sie die Replikation mit divergierendem und beschädigtem Partner auf 1 in der Registrierung des Ziel-DC festlegen, auch wenn Sie der Meinung sind, dass alle Ziel-DCs in der Gesamtstruktur in einer strengen Replikationskonsistenz ausgeführt werden.

   Das Entfernen von lingernden Objekten liegt außerhalb des Umfangs dieses Artikels. Weitere Informationen finden Sie in den folgenden Artikeln:

   • Informationen zum Anhalten von Objekten in einer Windows Server Active Directory-Gesamtstruktur.
   • Lingering Object Liquidator (LoL)
   • Einführung in Lingering Object Liquidator v2
   • Beschreibung des Lingering Object Liquidator Werkzeugs
   • Ereignis-ID 1388 oder 1988: Ein anhaltendes Objekt wird erkannt.

   Repadmin Die Syntax wird hier gezeigt:

   Syntax	Onlinehilfe (Windows Server 2008 und höher)
   c:\>repadmin /removelingeringobjects <Dest_DSA_LIST> <Source DSA GUID> <NC> [/advisory_mode]	c:\>repadmin /help:removelingeringobject

5. Bewerten der Einstellung der strengen Replikation auf Ziel-DCs.

   Die Replikation im strict-Modus verhindert, dass Objekte auf Ziel-DCs erneut animiert werden, die die Garbage Collection zum Erstellen, Löschen und Zurückfordern absichtlich gelöschter Objekte verwendet haben.

   Der Registrierungsschlüssel für die strenge Replikation:

   • Pfad: HKEY_LOCAL_MACHINE\system\ccs\services\ntds\parameters
   • Einstellung: Strenge Replikationskonsistenz <- groß-/kleinschreibung nicht beachtet>
   • Typ: reg_dword
   • Wert: 0 | 1

   Repadmin Syntax zum Aktivieren und Deaktivieren der strengen Replikation auf einem einzelnen oder mehreren DCs lautet wie folgt:

   Syntax	Onlinehilfe (Windows Server 2008 und höher)	Aktivieren auf einem einzelnen DC	Aktivieren auf allen DCs in gesamtstruktur	Aktivieren auf allen GCs in gesamtstruktur
   repadmin /regkey <DSA_LIST> <{+|-}key> [value [/reg_sz]]	Repadmin /help:regkey	repadmin /regkey <fully qualified computer name> +strict	repadmin /regkey * +strict	repadmin /regkey gc: +strict

6. Legen Sie "Replikation zulassen" mit unterschiedlichen und beschädigten Partnern auf 1 auf dem 8614 DC fest.

   Deaktivieren Sie nach dem Entfernen von objekten die zeitbasierte Replikationsquarantäne:

   Registrierungsmethode:

   • Registrierungspfad: HKEY_LOCAL_MACHINE\system\ccs\services\ntds\parameters
   • Registrierungseinstellung: Replikation mit unterschiedlichen und beschädigten Partnern <zulassen - Groß-/Kleinschreibung nicht beachtet》
   • Registrierungswert: 0 = unzulässig, 1 = zulassen

   Repadmin methode:

   Syntax	Onlinehilfe (Windows Server 2008 und höher)	Aktivieren auf einem einzelnen DC	Aktivieren auf allen DCs in gesamtstruktur	Aktivieren auf allen GCs in gesamtstruktur
   repadmin /regkey <DSA_LIST> <{+|-}key> [value [/reg_sz]]	Repadmin /help:regkey	repadmin /regkey dc01.contoso.com +allowDivergent	repadmin /regkey * +allowDivergent	repadmin /regkey GC: +allowDivergent

7. Beheben von AD-Replikationsfehlern, wenn sie vorhanden sind.

   Wenn der Fehlerstatus 8614 bei einem Ziel-DC protokolliert wird, werden frühere Replikationsfehler, die in der vorherigen TSL-Anzahl von Tagen protokolliert wurden, maskiert.

   Die Tatsache, dass der Fehler 8614 vom Ziel-DC gemeldet wurde, bedeutet nicht, dass sich der Replikationsfehler auf dem Ziel-DC befindet. Stattdessen könnte die Quelle des Replikationsfehlers mit der Netzwerk- oder DNS-Namensauflösung liegen. Oder es kann ein Problem mit einem der folgenden Elemente geben:

   • authentication
   • Jet-Datenbank
   • Topologie
   • das Replikationsmodul entweder auf dem Quell-DC oder dem Ziel-DC

   Überprüfen Sie vergangene Verzeichnisdienstereignisse und Diagnoseausgabe (dcdiag, repadmin Protokolle), die vom Quell-DC, vom Ziel-DC und von alternativen Replikationspartnern in der Vergangenheit generiert wurden, um den Bereichs- und Fehlerstatus zu identifizieren, der die Replikation zwischen dem Ziel-DC und dem Quell-DC verhindert.

8. Löschen Sie die Replikation zulassen mit unterschiedlichen und beschädigten Partnern, oder legen Sie "Replikation zulassen" mit unterschiedlichen und beschädigten Partnern auf 0 in der Registrierung fest.

9. Überwachen Sie die Active Directory-Replikation täglich.

   Überwachen Sie die End-to-End-Replikation in Ihrer Active Directory-Gesamtstruktur täglich mithilfe einer Active Directory-Überwachungsanwendung. Eine kostengünstige, aber effektive Option besteht darin, die Ergebnisse in Excel auszuführen repadmin /showrepl * /csv und dann zu analysieren. Weitere Informationen finden Sie unter Methode 2: Überwachen der Replikation mithilfe einer Befehlszeile.

   Identifizieren Sie DCs, die replikationsfehlern für 50 Prozent und für 90 Prozent der Tombstone-Lebensdauer nähern. Fügen Sie sie in eine Überwachungsliste ein. Machen Sie bei 50 Prozent der TSL einen starken Push, um Replikationsfehler zu beheben. Erwägen Sie bei 90 Prozent die Herabstuftung von DCs, die Replikationsfehler bei Bedarf verursachen. Verwenden Sie hierzu den dcpromo /forceremoval-Befehl.

   Auch hier können Replikationsfehler, die bei einem Ziel-DC angemeldet sind, durch ein Problem verursacht werden:

   • Die Quelle DC
   • Ziel-DC
   • Das zugrunde liegende Netzwerk

   Versuchen Sie daher, die Ursache zu ermitteln und wo sich der Fehler befindet, bevor Sie präventiv vorgehen.

Datensammlung

Wenn Sie Unterstützung vom Microsoft-Support benötigen, empfehlen wir, die Informationen zu sammeln, indem Sie die unter " Sammeln von Informationen" genannten Schritte ausführen, indem Sie TSS für Active Directory-Replikationsprobleme verwenden.

References

Beheben von Problemen mit dem Replikations-Lingering-Objekt (Ereignis-IDs 1388, 1988, 2042)