Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel enthält eine Problemumgehung für ein Problem, das auftritt, wenn Sie Active Directory-Objekte löschen, die viele Weiterleitungslinks enthalten.
Ursprüngliche KB-Nummer: 3149779
Übersicht
In diesem Artikel wird ein Problem erläutert, das auftritt, wenn Sie Active Directory-Objekte löschen, die viele Vorwärtslinks enthalten. Es folgen einige häufige Beispiele:
- Gruppenmitgliedschaften (das Member-Attribut)
- Roamingbenutzeranmeldeinformationen (das Ms-PKI-AccountCredentials-Attribut)
- Schreibgeschützter Domänencontroller (RODC) verfügbar gemachte Benutzerlinks (mds-revealedusers-Attribut)
Die Anzahl der Links, bei denen Sie mit der Anzeige von Problemen beginnen, kann bis zu 50.000 liegen. Bei einem einzelnen Objekt können mehrere Millionen Verknüpfungen vorhanden sein.
Der registrierungsschlüssel, der in diesem Artikel erläutert wird, sollte nur auf DCs (DCs) und Lightweight Directory Services (LDS)-Server angewendet werden, die das Problem aufweisen, das im Abschnitt "Symptome" beschrieben wird. Indem Sie den hier angegebenen Empfehlungen folgen, können Sie die Active Directory-Replikationsleistung verringern, aber die Zuverlässigkeit der ordnungsgemäßen Verarbeitung der Löschung solcher großen Objekte erhöhen.
Symptome
Wenn Sie Active Directory-Objekte löschen, die viele Weiterleitungslinks enthalten, tritt möglicherweise ein Replikationsfehler auf. Sie löschen z. B. Gruppen mit großen Mitgliedschaftssätzen, oder sie herabstufen und dann RODC-Computerkonten löschen, die viele Links zu Benutzerkonten haben, die ihr Kennwort auf rodc verfügbar gemacht haben.
Die folgenden Bedingungen sind die wichtigsten Indikatoren, die diese Lösung auf das Problem anwendet:
Die Gesamtstrukturfunktionsebene ist Windows Server 2003 oder höher, sodass die Verknüpfungswertreplikation verwendet wird.
Ereignis 2094 (Replikationsverzögerung) tritt mehrmals auf und verweist auf dasselbe gelöschte Objekt.
Ereignisse 1083 und 1955 (Schreibkonflikt) werden in unmittelbarer Nähe zur Protokollierung des 2094-Ereignisses protokolliert, das auf dasselbe gelöschte Objekt verweist.
Der betroffene Domänencontroller (DC) kann auch melden, dass der Versionsspeicher erschöpft ist (Ereignis-ID 623). Die Erschöpfung des Versionsspeichers tritt in diesem Szenario nicht immer auf. Andere Faktoren, die die Wahrscheinlichkeit der Ausschöpfung des Versionsspeichers erhöhen, umfassen eine hohe Rate von Änderungen an Active Directory-Objekten, sowohl lokal als auch repliziert, sowie andere Vorgänge mit langer Ausführung wie tiefen Abfragen.
Fehler bei der Active Directory-Replikation mit Fehler 8409, Fehler "Ein Datenbankfehler ist aufgetreten" oder andere Ereignisse zitieren verwandte Statuscodes, die in der folgenden Tabelle erwähnt werden:
Hex Decimal Symbolisch Freundlich 000020D9 8409 ERROR_DS_DATABASE_ERROR Es ist ein Datenbankfehler aufgetreten. Wenn der Active Directory-Papierkorb aktiviert ist, treten die Replikationsfehler möglicherweise nicht für 60 bis 180 Tage (gelöschte Objektlebensdauer) auf, nachdem das Objekt gelöscht wurde. Die Probleme treten auf, wenn das Objekt vom gelöschten Status zum wiederverwendeten Status wechselt.
Einträge des Ereignisprotokolls
Wenn das Problem auftritt, werden die folgenden Ereignisse protokolliert:
Protokollname: Verzeichnisdienst
Quelle: Microsoft-Windows-ActiveDirectory_DomainService
Ereignis-ID: 2094
Aufgabenkategorie: Replikation
Ebene: Warnung
Schlüsselwörter: Klassisch
Beschreibung: Leistungswarnung: Die Replikation wurde verzögert, während Änderungen auf das folgende Objekt angewendet wurden. Wenn diese Meldung häufig auftritt, weist sie darauf hin, dass die Replikation langsam auftritt und dass der Server schwierigkeiten hat, änderungen zu halten.
Objekt-DN: <Objektname>
Objekt-GUID: <Objekt-GUID>
Partition DN: DC=contoso,DC=com
Server: xxxx-xxxx-xxxx-xxxx-xxxxxxx._msdcs.contoso.com
Verstrichene Zeit (Sek.): 11
Benutzeraktion
Ein häufiger Grund für diese Verzögerung ist, dass dieses Objekt besonders groß ist, entweder in der Größe seiner Werte oder in der Anzahl der Werte. Sie sollten zuerst überlegen, ob die Anwendung geändert werden kann, um die Menge der im Objekt gespeicherten Daten oder die Anzahl der Werte zu verringern. Wenn es sich um eine große Gruppe oder Verteilerliste handelt, können Sie die Funktionsebene der Gesamtstruktur auf Windows Server 2003 oder höher erhöhen, da dadurch die Replikation effizienter funktioniert. Sie sollten auswerten, ob die Serverplattform über genügend Leistung im Hinblick auf Arbeitsspeicher und Verarbeitungsleistung verfügt. Schließlich empfiehlt es sich, die Active Directory-Domäne Services-Datenbank zu optimieren, indem Sie die Datenbank und Protokolle in separate Datenträgerpartitionen verschieben.
Wenn Sie den Warngrenzwert ändern möchten, ist der Registrierungsschlüssel unten enthalten. Der Wert null deaktiviert die Überprüfung.
Zusätzliche Daten
Warngrenzwert (Sek.): 10
Registrierungsschlüssel einschränken: System\CurrentControlSet\Services\NTDS\Parameters\Replicator maximum wait for update object (secs)
Protokollname: Verzeichnisdienst
Quelle: Microsoft-Windows-ActiveDirectory_DomainService
Ereignis-ID: 1083
Aufgabenkategorie: Replikation
Ebene: Warnung
Schlüsselwörter: Klassisch
Beschreibung:
Active Directory-Domäne Dienste konnten das folgende Objekt nicht mit Änderungen aktualisieren, die vom Verzeichnisdienst an der folgenden Netzwerkadresse empfangen wurden, da Active Directory-Domäne Dienste die Verarbeitung von Informationen ausgelastet waren.
Objekt: <Objektname>
Netzwerkadresse: xxxxx-xxxx-xxxx-xxxx-xxxxxxx._msdcs.contoso.com
Dieser Vorgang wird später erneut versucht.
Protokollname: Verzeichnisdienst
Quelle: Microsoft-Windows-ActiveDirectory_DomainService
Ereignis-ID: 1955
Aufgabenkategorie: Replikation
Ebene: Information
Schlüsselwörter: Klassisch
Benutzer: ANONYME ANMELDUNG
Beschreibung: Active Directory-Domäne Services ist beim Anwenden replizierter Änderungen auf das folgende Objekt ein Schreibkonflikt aufgetreten.
Objekt: <Objektname>
Zeit in Sekunden: 48
Ereignisprotokolleinträge vor diesem Eintrag geben an, ob das Update akzeptiert wurde.
Ein Schreibkonflikt kann durch gleichzeitige Änderungen am selben Objekt oder gleichzeitige Änderungen an anderen Objekten verursacht werden, die Attribute aufweisen, die auf dieses Objekt verweisen. Dies tritt häufig auf, wenn das Objekt eine große Gruppe mit vielen Mitgliedern darstellt und die Funktionsebene der Gesamtstruktur auf Windows 2000 festgelegt ist. Dieser Konflikt löste zusätzliche Wiederholungen des Updates aus. Wenn das System langsam erscheint, liegt dies möglicherweise daran, dass die Replikation dieser Änderungen auftritt.
Benutzeraktion
Verwenden Sie kleinere Gruppen für diesen Vorgang, oder erhöhen Sie die Gesamtstrukturfunktionsebene auf Windows Server 2003.
Weitere Informationen
Wenn Sie ein Active Directory-Objekt löschen, das eine außergewöhnlich große Anzahl von Vorwärts- und Rückwärtsverknüpfungen aufweist, werden 10.000 Verknüpfungen gleichzeitig gelöscht. Wenn andere Threads die Zielobjekte dieser Verknüpfungen aktualisieren, wird die Verknüpfungslöschtransaktion angehalten, bis die Objekte wieder verfügbar sind. Diese Aussetzung kann dazu führen, dass die gesamte Löschtransaktion viel Zeit in Anspruch nimmt. Während dieser Zeit werden andere Replikationsaufgaben von dieser lang ausgeführten Aufgabe gehalten. Sie können beispielsweise feststellen, dass Kennwörter und Gruppenmitgliedschaftsaktualisierungen nicht in der gesamten Gesamtstruktur ausgeführt werden.
Während dieses Update aussteht, sehen Administratoren möglicherweise Schreibkonflikte und Transaktionsfehlerereignisse. Da zusätzliche Objekte von der Replikation verarbeitet werden, wird immer mehr Versionsspeicher zugewiesen, da die ausstehende große Transaktion den zugeordneten Versionsspeicher erst freigegeben, wenn die Löschtransaktion abgeschlossen ist. Dies kann zu Versionsspeicherfehlern und Replikationswarnungsereignissen führen.
Notiz
- Die Garbage Collection bezieht sich nicht auf die Verarbeitung von Löschungen von Gruppenmitgliedschaftslinks.
- Das Verringern von TSL ist keine gültige Methode zum Beschleunigen von Verknüpfungslöschungen.
- Der Legacywert für die Batchgröße des Links-Prozesses beträgt 1.000 in Versionen vor Windows Server 2008 R2. In späteren Versionen wird die Batchgröße auf 10.000 erhöht, um die Leistung der Rückgängigmachens in Gesamtstrukturen zu verbessern, die den Papierkorb aktiviert haben.
- Überprüfen Sie die Werte des Parameters für die Batchgröße des Links-Prozesses. Wenn er nicht standardmäßig ist, legen Sie den Wert wieder auf den Standardwert oder einen noch kleineren Wert wie 1.000 oder 100 fest.
Kleinere Werte verringern die Versionsspeichernutzung, indem eine kleinere Anzahl von Objekten pro Löschvorgang gelöscht wird, wodurch die Gesamtzeit für die Ausführung einer einzelnen Löschtransaktion reduziert wird. Dies hat den positiven Nebeneffekt, den Versionsspeicher und das Zeitfenster für Schreibkonflikte zu reduzieren, während Sie die Zeit erhöhen, die erforderlich ist, um die Gruppenmitgliedschaft im Verzeichnis genau widerzuspiegeln.
Active Directory-Dienste suchen nach dem folgenden Registrierungsschlüssel.
Für AD DS:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Links process batch size
Für AD LDS:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<adam instance>\Parameters\Links process batch size
Typ: DWORD
Min Wert: 100
Maximalwert: 10000
Dieser Wert überschreibt den Standardwert von 10.000 als die Anzahl der zu verarbeitenden Atomverbindungen gleichzeitig. Sie müssen den NTDS- oder LDS-Instanzdienst nicht neu starten oder den Computer neu starten, damit die Einstellung wirksam wird.
Nach jedem Atomvorgang wird der entsprechende Versionsspeicher freigegeben. Der Versionsspeicher wird nur während des nächsten atomrischen Vorgangs erneut abgerufen, der dasselbe Objekt weiter verarbeitet. Möglicherweise haben Sie zweite Gedanken, die Größe der Linkbatchgröße um ein großes Maß zu verknüpfen. Sie können es mit einer Erhöhung des ESE-Versionsspeichers kombinieren. Wenn Sie vielleicht aus einem Grund, dass Sie den Versionsspeicher erhöht haben, können Sie sich entscheiden, den Versionsspeicher mehr zu erhöhen oder nicht den Wert der Batchgröße des Links-Prozesses so viel zu verringern.
Weitere Informationen finden Sie in den folgenden Artikeln:
- Der Versionsspeicher wird aufgerufen, und sie sind alle out of Buckets
- Der Domänencontroller wird langsamer ausgeführt oder reagiert nicht mehr, wenn der Garbage Collection-Prozess ausgeführt wird.
Problemumgehung
Um dieses Problem zu umgehen, legen Sie den Wert der Batchgröße des Links-Prozesses unter 10.000 fest. Dadurch wird das Potenzial für einen Objektzugriffskonflikt verringert. Dadurch machen Sie den Replikationsprozess des Löschens großer Objekte zuverlässiger. Außerdem dauert es jetzt länger, bis die gesamte Transaktion abgeschlossen ist. Dies hilft Ihnen auch, den Versionsspeicher zu vermeiden.
Datensammlung
Wenn Sie Unterstützung vom Microsoft-Support benötigen, empfehlen wir, die Informationen zu sammeln, indem Sie die unter " Sammeln von Informationen" genannten Schritte ausführen, indem Sie TSS für Active Directory-Replikationsprobleme verwenden.
References
Weitere Informationen finden Sie in den folgenden Artikeln: