Problembehandlung bei AD-Replikationsfehler 8333: Verzeichnisobjekt nicht gefunden

In diesem Artikel wird ein Problem beschrieben, bei dem Active Directory-Replikationen mit Fehler 8333 fehlschlagen: Das Directory-Objekt wurde nicht gefunden (ERROR_DS_OBJ_NOT_FOUND).

Gilt für: Windows Server 2012 R2
Ursprüngliche KB-Nummer: 2703708

Hinweis

Private Benutzer: Dieser Artikel richtet sich nur an technische Supportmitarbeiter und IT-Experten. Wenn Sie Hilfe bei einem Problem suchen, wenden Sie sich an die Microsoft Community.

Problembeschreibung

In diesem Artikel werden die Symptome, Ursachen und Lösungsschritte beschrieben, wenn die Active Directory-Replikation mit Fehler 8333 fehlschlägt: Verzeichnisobjekt nicht gefunden (ERROR_DS_OBJ_NOT_FOUND).

  1. Mögliche Formate für den Fehler sind:

    Dezimal Hex Symbolische Fehlerzeichenfolge
    8333 0x208d ERROR_DS_OBJ_NOT_FOUND Das Verzeichnisobjekt wurde nicht gefunden.
  2. Die folgenden Ereignisse können protokolliert werden

    Ereignisquelle Ereignis-ID Ereigniszeichenfolge
    NTDS-Replikation 2108 Dieses Ereignis enthält REPAIR PROCEDURES für das 1084-Ereignis, das zuvor protokolliert wurde. Diese Meldung gibt ein bestimmtes Problem mit der Konsistenz der Active Directory-Datenbank an diesem Replikationsziel an. Beim Anwenden replizierter Änderungen auf das folgende Objekt ist ein Datenbankfehler aufgetreten. Die Datenbank hatte unerwartete Inhalte, wodurch die Änderung verhindert wurde. Objekt: OU=TestOU,DC=contoso,DC=com Objekt-GUID: <GUID-Quelldomänencontroller> : A52b57e3-92b9-4264-822b-72963eaf1030._msdcs.contoso.com Zusätzlicher Daten-Primärfehlerwert: 8333 Directory-Objekt nicht gefunden. Sekundärer Fehlerwert: -1601 JET_errRecordNotFound, Der Schlüssel wurde nicht gefunden.

    NTDS Allgemein
    2031 Das DS-Dienstkonfigurationsobjekt wurde nicht gefunden. Möglicherweise wurde sie versehentlich gelöscht. Active Directory kann normal ausgeführt werden, sie können jedoch keine bestimmten Dienstparameter festlegen, z. B. LDAP-Grenzwerte, Standardabfragerichtlinien und SPN-Zuordnungen. DS Service Configuration-Objekt: CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=contoso,DC=com Error: 8333 (Directory object not found.) Benutzeraktion: Versuchen Sie, das DS-Dienstkonfigurationsobjekt wiederherzustellen.
  3. Es kann eine Ausgabe von repadmin /replsum

    DC-1-03 03h:14m:11s 1 / 52 1 (8333) Verzeichnisobjekt nicht gefunden.
    DC-2-01 03h:13m:39s 1 / 26 3 (8333) Verzeichnisobjekt nicht gefunden.
    DC-3-09 03h:08m:45s 2 / 103 1 (8333) Verzeichnisobjekt nicht gefunden.
    DC-4-03 03h:05m:52s 1 / 13 7 (8333) Verzeichnisobjekt nicht gefunden.

  4. DCPromo kann beim Bewerben eines neuen Domänencontrollers fehlschlagen, und im DCPROMO-Protokoll werden die folgenden Fehler angezeigt.

    <DateTime> [INFO] Erstellen neuer Domänenbenutzer, Gruppen und Computerobjekte
    <DateTime> [INFO] Fehler : Active Directory fehlen wichtige Informationen nach der Installation und können nicht fortgesetzt werden. Wenn es sich um einen Replikatdomänencontroller handelt, verbinden Sie diesen Server erneut mit der Domäne. (8333)
    <DateTime> [INFO] NtdsInstall für contoso.com zurückgegebenen 8333
    <DateTime> [INFO] DsRolepInstallDs zurückgegeben 8333
    <DateTime> [ERROR] Fehler beim Installieren im Verzeichnisdienst (8333)

    Hinweis

    Fehler 8333 wird in ERROR_DS_OBJ_NOT_FOUND oder "Directory-Objekt nicht gefunden" übersetzt.

  5. Beim Versuch, eine Partition im globalen Katalog neu zu hosten

    repadmin /rehost \<dc-name>\<partition to rehost>\<good source>

    repadmin /rehost failed with DsReplicaAdd failed with status 8333 (0x208d)

Ursache

Der Fehlerstatus 8333 "Verzeichnisobjekt nicht gefunden" hat mehrere Ursachen, darunter:

  1. Datenbankfehler mit zusätzlichen zugeordneten Fehlern, die im Ereignisprotokoll des Quelldomänencontrollers protokolliert werden:

    Source Ereignis-ID Beschreibung
    NTDS-Replikation 2108 Dieses Ereignis enthält REPAIR PROCEDURES für das 1084-Ereignis, das zuvor protokolliert wurde. Diese Meldung gibt ein bestimmtes Problem mit der Konsistenz der Active Directory Domain Services Datenbank für dieses Replikationsziel an. Beim Anwenden replizierter Änderungen auf das folgende Objekt ist ein Datenbankfehler aufgetreten. Die Datenbank hatte unerwartete Inhalte, wodurch die Änderung verhindert wurde. Objekt: CN=chduffey,OU=IT,OU=Corp,DC=contoso,DC=com
    Objekt-GUID: <GUID>
    Quelldomänencontroller: c4efaf4e-d652-4630-8623-afec5ebc8532._msdcs.contso.comAdditional Data
    Primärer Fehlerwert: 8333 Directory-Objekt nicht gefunden.
    NTDS Allgemein 1168 Fehler -1073741790(c0000022) ist aufgetreten (interne ID 3000b3a). Wenden Sie sich an den Microsoft-Produktsupport, um Hilfe zu erhalten.
    Microsoft-Windows–
    ActiveDirectory_DomainService
    1084 Internes Ereignis: Active Directory konnte das folgende Objekt nicht mit Änderungen aktualisieren, die vom folgenden Quelldomänencontroller empfangen wurden. Dies liegt daran, dass während der Anwendung der Änderungen an Active Directory auf dem Domänencontroller ein Fehler aufgetreten ist.
    NTDS-Replikation 1699 Fehler beim Abrufen der für die folgende Verzeichnispartition angeforderten Änderungen durch den lokalen Domänencontroller. Daher konnten die Änderungsanforderungen nicht an den Domänencontroller unter der folgenden Netzwerkadresse gesendet werden. 8446 Fehler beim Zuweisen von Speicher durch den Replikationsvorgang

    Darüber hinaus wird möglicherweise Replikationsstatuscode angezeigt:

    Code Sources Zusätzliche Informationen
    8451 Repadmin, DcPromo, als Untercode in Datenbankkorruptionsereignissen Wenn dieser Fehler erkannt wird, lesen Sie zunächst das Problembehandlungshandbuch für 8451.

    2645996
  2. Bleibende Objekte mit zugeordneten Fehlern protokolliert:

    Source Ereignis-ID Beschreibung
    NTDS-Replikation 1988 Bei der Active Directory-Replikation sind Objekte in der folgenden Partition vorhanden, die aus der Active Directory-Datenbank für lokale Domänencontroller (DCs) gelöscht wurden. Nicht alle direkten oder transitiven Replikationspartner, die bei der Löschung repliziert wurden, bevor die Lebensdauer des Tombstones vergangen ist. Objekte, die gelöscht und von einer Active Directory-Partition gesammelt wurden, aber weiterhin in den beschreibbaren Partitionen anderer DCs in derselben Domäne vorhanden sind, oder schreibgeschützte Partitionen von globalen Katalogservern in anderen Domänen in der Gesamtstruktur werden als "bleibende Objekte" bezeichnet.
    NTDS-Replikation 1388 Ein anderer Domänencontroller (DC) hat versucht, in diesen DC ein Objekt zu replizieren, das in der lokalen Active Directory-Datenbank nicht vorhanden ist. Das Objekt wurde möglicherweise gelöscht und bereits garbage collected (eine Tombstone-Lebensdauer oder mehr ist seit dem Löschen des Objekts vergangen) auf diesem DC. Der in der Aktualisierungsanforderung enthaltene Attributsatz reicht nicht aus, um das Objekt zu erstellen. Das Objekt wird mit einem vollständigen Attributsatz erneut angefordert und auf diesem DC neu erstellt.

    Darüber hinaus werden möglicherweise die folgenden Replikationsstatuscodes angezeigt:

    Source Quellen Beschreibung
    8606 Repadmin, DCPromo, Untercode in NTDS-Replikationsereignissen Wenn dieser Fehler erkannt wird, finden Sie informationen zum Problembehandlungshandbuch für 8606 in der ersten Instanz. 2028495
    1722 Repadmin, DCPromo, Untercode in NTDS-Replikationsereignissen Wenn dieser Fehler erkannt wird, finden Sie informationen zum Problembehandlungshandbuch für 1722 in der ersten Instanz. 2102154
  3. Conflict-Objekte

  4. Drittanbieterprozess

    1. Antivirus
    2. Verzeichnissynchronisierungssoftware

Lösung

Die Untersuchung der Fehlermeldung 8333 "Verzeichnisobjekt nicht gefunden" sollte auf dem Quelldomänencontroller in der Replikationspartnerschaft beginnen. In Bezug auf jede mögliche Ursache des Problems aus dem Abschnitt "Ursache" dieses Dokuments sollte ein Supportmitarbeiter mit der Untersuchung der Quelle der Quell-/Zielreplikationspartnerschaft beginnen.

  1. Überprüfen Auf Hinweise auf Eine Beschädigung der Active Directory (JET)-Datenbank:

    1. Überprüfen Sie das Verzeichnisdienste-Ereignisprotokoll bei den Quell- und Zielreplikationspartnern auf JET-Datenbankfehlerereignisse. Mögliche Ereignisse sind:

      Source Ereignis-ID Beschreibung
      NTDS-Replikation 2108 Dieses Ereignis enthält REPAIR PROCEDURES für das 1084-Ereignis, das zuvor protokolliert wurde. Diese Meldung gibt ein bestimmtes Problem mit der Konsistenz der Active Directory Domain Services Datenbank für dieses Replikationsziel an. Beim Anwenden replizierter Änderungen auf das folgende Objekt ist ein Datenbankfehler aufgetreten. Die Datenbank hatte unerwartete Inhalte, wodurch die Änderung verhindert wurde. Objekt: CN=chduffey,OU=IT,OU=Corp,DC=contoso,DC=com
      Objekt-GUID: <GUID>
      Quelldomänencontroller: c4efaf4e-d652-4630-8623-afec5ebc8532._msdcs.contso.comAdditional Data
      Primärer Fehlerwert: 8333 Directory-Objekt nicht gefunden.
      NTDS Allgemein 1168 Fehler -1073741790(c0000022) ist aufgetreten (interne ID 3000b3a). Wenden Sie sich an den Microsoft-Produktsupport, um Hilfe zu erhalten.
      Microsoft-Windows–
      ActiveDirectory_DomainService
      1084 Internes Ereignis: Active Directory konnte das folgende Objekt nicht mit Änderungen aktualisieren, die vom folgenden Quelldomänencontroller empfangen wurden. Dies liegt daran, dass während der Anwendung der Änderungen an Active Directory auf dem Domänencontroller ein Fehler aufgetreten ist.
      NTDS-Replikation 1699 Fehler beim Abrufen der für die folgende Verzeichnispartition angeforderten Änderungen durch den lokalen Domänencontroller. Daher konnten die Änderungsanforderungen nicht an den Domänencontroller unter der folgenden Netzwerkadresse gesendet werden. 8446 Fehler beim Zuweisen von Speicher durch den Replikationsvorgang

      Darüber hinaus wird möglicherweise Replikationsstatuscode angezeigt:

      Code Sources Zusätzliche Informationen
      8451 Repadmin, DcPromo, als Untercode in Datenbankkorruptionsereignissen Wenn dieser Fehler erkannt wird, lesen Sie zunächst das Problembehandlungshandbuch für 8451.

      2645996
    2. Aktivieren der Replikationsprotokollierung für erweiterte Verzeichnisdienste:

      Wichtig

      Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Für zusätzlichen Schutz sichern Sie die Registrierung, bevor Sie sie ändern. Sie können die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen zum Erstellen und Wiederherstellen einer Sicherungskopie der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
      322756 Sichern und Wiederherstellen der Registrierung in Windows

      Um die NTDS-Diagnoseprotokollierung zu erhöhen, ändern Sie die folgenden REG_DWORD Werte in der Registrierung des Zieldomänencontrollers unter dem folgenden Registrierungsschlüssel:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics
      Legen Sie den Wert der folgenden Unterschlüssel auf 5 fest:
      5 Replikationsereignisse
      9 Interne Verarbeitung
      Beachten Sie, dass die Protokollierung der Ebene 5 extrem ausführlich ist und die Werte beider Unterschlüssel auf den Standardwert 0 zurückgesetzt werden sollten, nachdem das Problem behoben wurde. Das Verzeichnisdienste-Ereignisprotokoll sollte gefiltert werden, um diese Ereignisse zu isolieren und zu identifizieren.

    3. Überprüfen Sie die Ereignisprotokolle für die neuen Ereignisse, die aus der erhöhten Protokollierung für Fehlerwerte generiert wurden, die eine endgültige Ansicht der Datenbankkorruption liefern.

    4. Wenn datenbankkorruption erkannt wurde, stellen Sie sicher, dass aktuelle Sicherungen von jeder Domäne in der Gesamtstruktur vorhanden sind.

    5. Starten Sie den Domänencontroller neu, der die Datenbankbeschädigung im Wiederherstellungsmodus der Verzeichnisdienste meldet. (Drücken Sie F8, während der Server neu gestartet wird oder wenn dies nicht möglich ist, öffnen Sie msconfig.exe, und wählen Sie in den Startoptionen "Active Directory-Reparatur" aus.)

    6. So führen Sie eine Überprüfung der Datenbank im Verzeichnisdienstwiederherstellungsmodus durch:

      1. Öffnen einer Eingabeaufforderung
      2. Geben Sie "ntdsutil" ein.
      3. Geben Sie "instanz ntds aktivieren" ein.
      4. Typ "Semantische Datenbankanalyse"
      5. Geben Sie "go" ein.

      Wenn Fehler erkannt werden, werden sie in der Konsole angezeigt und in eine Protokolldatei im aktuellen Arbeitsverzeichnis geschrieben.

    7. Wenn Datenbankbeschädigungsfehler erkannt werden, wird empfohlen, sich an Microsoft-Support Services zu wenden.

    8. Als letzte Option. Sie können den Domänencontroller tiefer stufen und erneut höher stufen, um die Datenbank zu ersetzen und den Inhalt von einem anderen Server in der Domäne zu replizieren.

      Hinweis

      Wenn eine Active Directory-Datenbank in Ihrer Umgebung beschädigt wurde, ist es wichtig, die Quelle der Beschädigung zu berücksichtigen, um Probleme in Zukunft zu vermeiden. Einige der bekannten Ursachen einer solchen Beschädigung sind:

      1. Fehlerhafte Hardware: Festplatte oder Controller
      2. Zwischenspeicherung: Festplattencontroller
      3. Veraltete Treiber: Festplattencontroller
      4. Veraltete Firmware: BIOS, Festplattencontroller, Festplatte
      5. Plötzlicher Stromausfall
  2. Überprüfen Sie, ob Lingering-Objekte auf allen Domänencontrollern in der Gesamtstruktur vorhanden sind, und entfernen Sie sie.
    Es gibt mehrere Ansätze, um nach Lingering Objects zu suchen, darunter:

    1. Überprüfen Sie, ob die folgenden Directory Services-Ereignisse auf Domänencontrollern in der Gesamtstruktur vorhanden sind:

      Source Ereignis-ID Beschreibung
      NTDS-Replikation 1988 Bei der Active Directory-Replikation sind Objekte in der folgenden Partition vorhanden, die aus der Active Directory-Datenbank für lokale Domänencontroller (DCs) gelöscht wurden. Nicht alle direkten oder transitiven Replikationspartner, die bei der Löschung repliziert wurden, bevor die Lebensdauer des Tombstones vergangen ist. Objekte, die gelöscht und von einer Active Directory-Partition gesammelt wurden, aber weiterhin in den beschreibbaren Partitionen anderer DCs in derselben Domäne vorhanden sind, oder schreibgeschützte Partitionen von globalen Katalogservern in anderen Domänen in der Gesamtstruktur werden als "bleibende Objekte" bezeichnet.
      NTDS-Replikation 1388 Ein anderer Domänencontroller (DC) hat versucht, in diesen DC ein Objekt zu replizieren, das in der lokalen Active Directory-Datenbank nicht vorhanden ist. Das Objekt wurde möglicherweise gelöscht und bereits garbage collected (eine Tombstone-Lebensdauer oder mehr ist seit dem Löschen des Objekts vergangen) auf diesem DC. Der in der Aktualisierungsanforderung enthaltene Attributsatz reicht nicht aus, um das Objekt zu erstellen. Das Objekt wird mit einem vollständigen Attributsatz erneut angefordert und auf diesem DC neu erstellt.

      Darüber hinaus werden möglicherweise die folgenden Replikationsstatuscodes angezeigt:

      Code Sources Zusätzliche Informationen
      8451 Repadmin, DcPromo, als Untercode in Datenbankkorruptionsereignissen Wenn dieser Fehler erkannt wird, lesen Sie zunächst das Problembehandlungshandbuch für 8451.

      2645996
    2. Verwenden Sie repldiag.exe, um die Gesamtstruktur auf fortbestehenden Objekte zu untersuchen.

      Repldiag kann von codeplex.com heruntergeladen werden. Verwenden Sie die Folgendes, um den Überprüfungsratgebermodus für das objektverweilende Objekt auszuführen:

      repldiag /RemoveLingeringObjects/AdvisoryMode

      Das Verzeichnisdienstereignis 1942 wird auf jedem Domänencontroller protokolliert und gibt die Anzahl der objekte an, die in jeder Verzeichnispartition erkannt wurden.Directory Service event 1942 will be logged on each domain controller and will indicate the number of lingering objects that were detected in each directory partition.

      Die von repldiag ausgeführte Arbeit kann auch mit dem integrierten Replikationstool für Verzeichnisdienste ausgeführt werden: Repadmin.exe.

      Für Supportmitarbeiter, die repadmin.exe verwenden möchten, lautet Repadmin /removelingeringobjectsder Teilbefehl . Repldiag.exe bietet gegenüber Repadmin.exe einen Vorteil, da es zum Durchsuchen aller Verzeichnispartitionen auf allen Servern in der Gesamtstruktur mit einem einzigen Befehl verwendet werden kann.

      Wenn Lingering-Objekte erkannt werden:

      1. Führen Sie eine Systemstatussicherung von zwei Domänencontrollern in jeder Domäne in der Gesamtstruktur durch.
      2. Verwenden Sie repldiag.exe zum Bereinigen von objekten, die sich noch in der Zeit fortbestehen:
        repldiag /RemoveLingeringObjects
      3. Jeder Domänencontroller protokolliert ein Verzeichnisdienstereignis 1942 für jede Verzeichnisdienstpartition, um anzugeben, ob zurückbleibende Objekte entfernt wurden.

    Für einen alternativen Ansatz zum Entfernen von zurückbleibenden Objekten können Sie das integrierte Tool Repadmin.exe mit dem /removelingeringobjects Schalter verwenden. Dieser Ansatz erfordert mehrere Befehle. Repldiag stellt ein Aggregat der Befehle bereit, die Repadmin.exe verwenden würden.

  3. Überprüfen Sie, ob Konfliktobjekte vorhanden sind, und entfernen Sie sie:
    a. Durchsuchen Sie die relevanten Verzeichnispartitionen nach CNF-verwalteten Objekten und dem Objekt, das mit der folgenden Syntax in Konflikt getreten ist:

    repadmin /showattr localhost "dc=parent,dc=com" /subtree /filter:"((&(objectClass=*)(cn=*\0acnf:*)))" /atts:objectclass,whencreated,whenchanged

    In diesem Beispiel ist "dc=parent,dc=com" der Distinguished Name für die parent.com Domäne.

    In den meisten Fällen gibt der Fehler 8333 an, welche Verzeichnispartitionen für Konfliktobjekte ausgewertet werden sollen. Es wird empfohlen, die Konfigurationspartition in allen Instanzen zu überprüfen:

    repadmin /showattr localhost "cn=configuration,dc=parent,dc=com" /subtree /filter:"((&(objectClass=*)(cn=*\0acnf:*)))" /atts:objectclass,whencreated,whenchanged

    b. Überprüfen Sie die Attribute, Attributwerte und ggf. untergeordnete Objekte, um zu bestimmen, welches Objekt verbleiben und welche gelöscht werden sollen.

    c. Stellen Sie sicher, dass Sie über eine aktuelle Sicherung des Verzeichnisses verfügen

    d. Löschen Sie das in Konflikt stehende Objekt/Denkcontainer oder das Objekt, mit dem es in Konflikt geschaltet wurde, mithilfe von LDP.EXE, ADSIEDIT oder einem der Active Directory-Verwaltungstools.

  4. Führen Sie Tests der Replikationspartner durch, wobei Komponenten von Drittanbietern entfernt wurden.
    Es wurden mehrere Drittanbieterprodukte gefunden, die dieses Problem verursachen, darunter:

    1. Antivirensoftware
    2. Directory Synchronization

Weitere Informationen

Bleibende Objekte:

Bereinigen der Active Directory-Gesamtstruktur von objekten, die sich noch befinden

Datenbankkorruption:

Ereignis-ID 1539 – Datenbankintegrität