Active Directory-Replikationsereignis-IDs 2108 und 1084 treten während der eingehenden Replikation von Active Directory-Domäne Services auf

Dieser Artikel enthält eine Lösung für ein Problem, bei dem Ereignis-IDs 2108 und 1084 angezeigt werden, wenn die eingehende Replikation der Active Directory-Domäne Services (AD DS) auftritt.

Ursprüngliche KB-Nummer: 837932

Symptome

Wenn die eingehende Replikation der Active Directory-Domäne Services (AD DS) auftritt, protokolliert ein Zieldomänencontroller die folgenden Ereignisse im Verzeichnisdienstprotokoll:

Event ID 1084: Internal event: Active Directory Domain Services could not update the following object with changes received from the following source directory service. This is because an error occurred during the application of the changes to Active Directory Domain Services on the directory service.
Object: CN=<cn path>  
Object GUID: <objectguid>  
Source directory service: NTDSA._msdcs.<forest root DNS domain name>  
Synchronization of the directory service with the source directory service is blocked until this update problem is corrected.  
This operation will be tried again at the next scheduled replication.  
User Action:  
Restart the local computer if this condition appears to be related to low system resources (for example, low physical or virtual memory).  
Additional Data:  
Error value: <error code> <error string>

Notiz

Error value Im Text stellen Fehlercode> und <Fehlerzeichenfolge> die tatsächlichen Werte dar, <die im Protokolleintrag angezeigt werden.

Event ID 2108: This event contains REPAIR PROCEDURES for the 1084 event which has previously been logged. This message indicates a specific issue with the consistency of the Active Directory Domain Services database on this replication destination. A database error occurred while applying replicated changes to the following object. The database had unexpected contents, preventing the change from being made.  
Object: CN=<cn path>  
Object GUID: <objectguid>   
Source directory service: NTDSA._msdcs.<forest root DNS domain name>

Notiz

Dies ist ein Partnerereignis für Event 1084.

Ursache

Diese Ereignisse treten auf, wenn der Domänencontroller keine Transaktionsänderung in die lokale Kopie der Active Directory-Datenbank schreiben kann.

Lösung

Gehen Sie folgendermaßen vor, um dieses Problem zu beheben: Wiederholen Sie den Replikationsvorgang nach jedem Schritt, der eine Änderung vorgibt.

1. Stellen Sie sicher, dass ausreichend freier Speicherplatz auf den Volumes verfügbar ist, die die Active Directory-Datenbank hosten, und wiederholen Sie dann den Vorgang. Führen Sie die folgenden Schritte aus, um zusätzlichen Speicherplatz frei zu geben:

   1. Verschieben sie nicht verwandte Dateien auf ein anderes Volume.

   2. Führen Sie eine Systemstatussicherung aus. Dieser Vorgang reduziert die Größe der Transaktionsprotokolldateien. Weitere Informationen finden Sie unter Verwenden des Sicherungsfeatures zum Sichern und Wiederherstellen von Daten.

   3. Führen Sie eine Offlinefragmentierung von Active Directory durch. Weitere Informationen finden Sie unter How to perform offline defragmentation of the Active Directory database.

2. Stellen Sie sicher, dass die physischen Laufwerke, die die Ntds.dit-Datei hosten, und die Transaktionsprotokolldateien keine NTFS-Dateisystemkomprimierung aktiviert haben. Um dies zu bestätigen, klicken Sie mit der rechten Maustaste auf den Laufwerkbuchstaben in "Arbeitsplatz", und stellen Sie dann sicher, dass das Kontrollkästchen "Laufwerk komprimieren" nicht aktiviert ist, um Speicherplatz zu sparen.

3. Stellen Sie sicher, dass die physischen Laufwerke, die die Ntds.dit-Datei hosten, und die Transaktionsprotokolldateien speziell von Remote- und lokalen Antivirenprogrammen ausgeschlossen werden. Weitere Informationen finden Sie unter:

   • Microsoft Defender Antivirus-Ausschlüsse unter Windows Server
   • Empfehlungen zur Virenüberprüfung für Unternehmenscomputer, auf denen Windows oder Windows Server ausgeführt wird (KB822158)

4. Wenn der Zieldomänencontroller den globalen Katalog enthält und der Fehler in einer der schreibgeschützten Partitionen auftritt, verwenden Sie eine der folgenden Methoden, um das Problem zu beheben:

   • Methode 1: Verwenden Sie die Option "Rehost" des tools Repadmin.exe , um die betroffene Partition erneut zu hosten.

     Das tool Repadmin.exe wird auf Computern installiert, die über die Domänencontrollerrolle verfügen und zusammen mit den Remoteserver-Verwaltungstools (RSAT) auf Mitgliedsarbeitsstationen und -servern installiert werden. Geben Sie dazu folgendes an einer Eingabeaufforderung ein, wobei domain_controller der Name des Zieldomänencontrollers ist, und good_source_domain_controller_name der Name eines anderen Domänencontrollers ist:

     repadmin /rehost domain_controller naming_context good_source_domain_controller_name
     

   • Methode 2: Konfigurieren Sie den Domänencontroller so, dass er kein globaler Katalogserver mehr ist. Führen Sie folgende Schritte aus:

     1. Wählen Sie "Start" aus, zeigen Sie auf "Verwaltungstools", und wählen Sie dann "Active Directory-Websites und -Dienste" aus.
     2. Suchen Sie die Standard-First-Site-Name-Server\ \ domain_controller_name\ NTDS-Einstellungen-Unterstruktur.
     3. Klicken Sie mit der rechten Maustaste auf NTDS-Einstellungen und dann auf Eigenschaften.
     4. Aktivieren Sie das Kontrollkästchen "Globaler Katalog", und wählen Sie dann "OK" aus.

   • Methode 3

     Wenn der Fehler in einer Programmpartition auftritt, verwenden Sie das Ntdsutil.exe Tool, um das Replikat zu ändern, das die Programmpartition hosten soll.

5. Verwenden Sie ein Hilfsprogramm eines Drittanbieters, z. B. das ProcMon-Hilfsprogramm, um zu bestimmen, ob ein Programm oder ein Benutzer auf die Active Directory-Datenbank, die Transaktionsprotokolldateien oder die Edp.tmp Datei zugreift. Wenn Dateizugriffsaktivitäten vorhanden sind, beenden Sie die Dienste, die für die Aktivität verantwortlich sind. Weitere Informationen zum ProcMon-Hilfsprogramm finden Sie unter ProcMon.

6. Ermitteln Sie, ob das Problem mit dem übergeordneten Objekt des Active Directory-Objekts auf dem Zieldomänencontroller verknüpft ist. Gehen Sie dazu wie folgt vor:

   1. Verschieben Sie auf dem Quelldomänencontroller vorübergehend das Objekt, auf das in Event 1084 verwiesen wird, in einen Organisationseinheitscontainer (OU). Die OU muss nicht mit dem aktuellen Container verknüpft sein. Verschieben Sie das Objekt beispielsweise aus dem Stamm der Domäne in einen neuen Container.

   2. Wenn die Replikation abgeschlossen ist, nachdem Sie das Objekt verschoben haben, verschieben Sie das Objekt wieder in den ursprünglichen Container.

   3. Erzwingen Sie, dass der Sicherheitsdeskriptor-Verteilungsmodul die Herkunft des Objektcontainers in der Datenbank neu erstellt, die sowohl auf den Quell- als auch auf zieldomänencontrollern vorhanden ist. Gehen Sie dazu wie folgt vor:

      1. Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten auf dem Domänencontroller oder Windows-Client, auf dem RSAT installiert ist.

      2. Geben Sie ldp.exe <DC-Namen> ein, und drücken Sie die EINGABETASTE.

      3. Wählen Sie "Verbindung verbinden"> aus, und geben Sie dann den Namen des Servers ein, mit dem Sie eine Verbindung herstellen möchten.

         Notiz

         Sie stellen eine Verbindung über Port 389 für Active Directory her.

      4. Wählen Sie "Verbindungsbindung"> aus, und geben Sie dann Ihren administrativen Benutzernamen, Ihr Kennwort und Ihre Domäne ein. (Sie müssen Domänenadministrator- oder Unternehmensadministratoranmeldeinformationen verwenden.) Wählen Sie "OK" aus.

      5. Wählen Sie im Menü "Durchsuchen" die Option "Ändern" aus. Lassen Sie das DN-Textfeld leer. Geben Sie im Textfeld "Attribut" "FixUpInheritance" ein. Wählen Sie im Textfeld "Wert" "Ja" aus.

      6. Wählen Sie im Bereich "Vorgang" die Option "Hinzufügen" aus.

      7. Wählen Sie die EINGABETASTE aus, um den Eintragslistenbereich aufzufüllen.

         Notiz

         Im Eintragslistenbereich wird [Add]fixupinheritance:yes angezeigt.

      8. Klicken Sie auf Run (Ausführen).

         Notiz

         Im rechten Bereich wird nun ein Geänderter Status angezeigt, und der Sicherheitsdeskriptorverteilung wird gestartet. Die Laufzeit für die Sicherheitsbeschreibungsverteilung hängt von der Größe der Active Directory-Datenbank ab. Der Prozess ist abgeschlossen, wenn der DS Security Propagation Events Counter im NTDS Performance-Objekt auf Null zurückgibt.

      9. Wählen Sie "Verbindungsausgang schließen>">aus.

7. Geben Sie repadmin /showmeta distinguished_name_path auf dem Quelldomänencontroller an einer Eingabeaufforderung die Objektmetadaten für den distinguished Name Path an, auf den in Ereignis 1084 verwiesen wird. Wiederholen Sie diesen Schritt auf dem Zieldomänencontroller. Suchen Sie nach inkonsistenten Werten, die folgendes enthalten, aber nicht darauf beschränkt sind:

   • Falsche Namen und Zahlen von Attributen, die im Objekt angezeigt werden
   • Falsche Ursprungszeit- oder Datumsstempel
   • Falsche lokale Updatesequenznummern (USN)

   Falsche Werte deuten möglicherweise auf ein Problem mit der Datenbankseite hin, auf der das Objekt gehostet wird.

   Um das tool Repadmin.exe zu verwenden, wenn sich der Distinguished Name Path auf ein Liveobjekt bezieht, geben Sie Folgendes an einer Eingabeaufforderung ein:

   repadmin /showmeta remote_domain_controller_name distinguished_name_path_of_reference _object
   

   Wenn sich das Objekt in einem Container für gelöschte Objekte befindet oder Sie das Repadmin.exe Tool nicht verwenden können, um das Objekt zu finden, verwenden Sie den GUID-Verweis des Objekts, um das Objekt zu finden. Auf diese GUID wird in Ereignis 1084 verwiesen. Geben Sie dazu an einer Eingabeaufforderung Folgendes ein:

   repadmin /showmeta remote_domain_controller_name "GUID_for_the_object that_is_referenced_in_Event_ID_1084"
   

   Wenn beispielsweise ereignis 1084 und Event 2108 auf ein Objekt verweisen, bei dem die GUID b49cd496-98a2-4500-bb08-58550c2f79ac ist, geben Sie folgendes ein repadmin /showmeta "<GUID=b49cd496-98a2-4500-bb08-58550c2f79ac>".

   Notiz

   Die Anführungszeichen und Klammern sind erforderlich.

8. Verwenden Sie das tool Ntdsutil.exe , um eine Integritätsprüfung der Active Directory-Datenbank auf dem Quelldomänencontroller durchzuführen.

   Bevor Sie den Computer im Verzeichnisdienste-Wiederherstellungsmodus (DSRM) starten, rufen Sie das Kennwort für das Offlineadministratorkonto und das DSRM-Konto ab. Wenn Ihre Kennwörter für Anträge betroffener Personen von Windows LAPS verwaltet werden, rufen Sie das Kennwort mithilfe von Get-LapsADPassword ab.

   Wenn Sie das Kennwort für das Administratorkonto nicht kennen, setzen Sie das Kennwort für den Wiederherstellungsmodus für Verzeichnisdienste zurück, bevor Sie in diesem Modus beginnen.

   Verwenden Sie den Befehl "Ntdsutil Set Directory Services Restore Mode Password".

   Weitere Informationen zum Ändern des Kennworts finden Sie in der Fehlermeldung "Verzeichnisdienste können nicht gestartet werden können", wenn Sie ihren Windows-basierten oder SBS-basierten Domänencontroller starten.

9. Starten Sie den Quelldomänencontroller neu, und drücken Sie dann F8 , um den Wiederherstellungsmodus für Verzeichnisdienste zu starten. Geben Sie an der Eingabeaufforderung ntdsutil files integrity ein und drücken Sie dann die EINGABETASTE.

   Notiz

   Dieser Befehl bestätigt die Integrität der Datenbank.

   • Wenn das Ntdsutil-Tool meldet, dass die Datenbank beschädigt ist, und Sie Replikate der Namenskontexte auf dem Quelldomänencontroller haben, erzwingen Sie eine Herabstufung des Quelldomänencontrollers, und stellen Sie sie dann erneut her, nachdem Sie die Integrität der Treiber, die Firmware und die physischen Laufwerke überprüft haben, die die Active Directory-Datenbank und die Transaktionsprotokolldateien hosten.

   • Wenn die Datenbank beschädigt ist und keine Replikate des Namenskontexts auf dem Quelldomänencontroller vorhanden sind, stellen Sie den neuesten Systemstatus wieder her. Verwenden Sie das tool NTDSutil.exe, um die Integrität der Datenbank erneut zu bestätigen. Wenn Sie weiterhin eine Beschädigungsmeldung erhalten, stellen Sie ältere Sicherungen wieder her, bis Sie die Integrität des Domänencontrollers bestätigen können.

   • Wenn die Datenbank noch beschädigt ist, stellen Sie die neueste Systemstatussicherung wieder her, und geben Sie dann an einer Eingabeaufforderung Folgendes ein:

     ntdsutil files recover
     

     Verwenden Sie das NTDSutil.exe Tool, um die Integrität der Datenbank erneut zu bestätigen. Wenn die Datenbank die Integritätsprüfung übergibt, führen Sie eine Offlinefragmentierung der Datenträgerpartition aus. Weitere Informationen finden Sie unter How to perform offline defragmentation of the Active Directory database.

     Um eine Integritätsprüfung der Datenbank durchzuführen, geben Sie folgendes an einer Eingabeaufforderung ein, und drücken Sie dann die EINGABETASTE, wobei database_name der Name der Active Directory-Datenbank ist:

     esentutl.exe /g database_name
     

     Verwenden Sie schließlich die Option "Windows Normal starten", um den Computer neu zu starten, und wiederholen Sie dann die Replikation vom Quelldomänencontroller auf den betroffenen Zieldomänencontroller.

10. Wenn diese Schritte nicht erfolgreich sind und der Replikationsfehler fortgesetzt wird, stufen Sie den Domänencontroller herunter, bestätigen Sie die Integrität der physischen Laufwerke und der Volumes, die die Datei Ntds.dit und das Datenträgersubsystem hosten, und höherstufen Sie den Domänencontroller erneut. Verwenden Sie denselben Computernamen.

11. Verwenden Sie den Befehl "ntdsutil files compact", um eine Offlinedefragmentierung der Active Directory-Datenbank auszuführen. Weitere Informationen finden Sie unter Ausführen einer Offlinedefragmentierung der Active Directory-Datenbank .

12. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein und drücken Sie dann die EINGABETASTE:

    ntdsutil "semantic database analysis" "go"
    

    Notiz

    Die Anführungszeichen in diesem Beispiel sind erforderlich, um den Befehl für die Semantikdatenbankanalyse mithilfe eines einzelnen Befehlszeilenarguments auszuführen.

    Wenn Fehler gemeldet werden, geben Sie ntdsutil go fixupdie EINGABETASTE ein, und drücken Sie dann die EINGABETASTE.

Datensammlung

Wenn Sie Unterstützung vom Microsoft-Support benötigen, empfehlen wir, die Informationen zu sammeln, indem Sie die unter " Sammeln von Informationen" genannten Schritte ausführen, indem Sie TSS für Active Directory-Replikationsprobleme verwenden.

Informationen zum Haftungsausschluss von Drittanbietern

Die in diesem Artikel genannten Drittanbieterprodukte stammen von Herstellern, die von Microsoft unabhängig sind. Microsoft gewährt keine implizite oder sonstige Garantie in Bezug auf die Leistung oder Zuverlässigkeit dieser Produkte.