Problembehandlung für Active Directory-Replikationsprobleme

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Testen Sie unseren virtuellen Agent – Es kann Ihnen helfen, häufige Active Directory-Replikationsprobleme schnell zu identifizieren und zu beheben.

Active Directory-Replikationsprobleme können mehrere verschiedene Quellen aufweisen. Beispielsweise können Probleme mit Domänennamensystem (DNS), Netzwerkproblemen oder Sicherheitsproblemen dazu führen, dass die Active Directory-Replikation fehlschlägt.

Der Rest dieses Themas erläutert Tools und eine allgemeine Methodik zum Beheben von Active Directory-Replikationsfehlern. Die folgenden Untertopien umfassen Symptome, Ursachen und beheben bestimmte Replikationsfehler:

Einführung und Ressourcen zur Problembehandlung bei der Active Directory-Replikation

Ein ausgehender oder ausgehender Replikationsfehler verursacht Active Directory-Objekte, die die Replikationstopologie, Replikationszeitpläne, Domänencontroller, Benutzer, Computer, Kennwörter, Sicherheitsgruppen, Gruppenmitgliedschaften und Gruppenrichtlinie inkonsistent zwischen Domänencontrollern darstellen. Verzeichniskonsistenz- und Replikationsfehler verursachen entweder Betriebsfehler oder inkonsistente Ergebnisse, abhängig von dem Domänencontroller, der für den Vorgang kontaktiert wird, und kann die Anwendung von Berechtigungen für Gruppenrichtlinie und Zugriffssteuerung verhindern. Active Directory Domain Services (AD DS) hängt von netzwerkkonnektivität, Nameauflösung, Authentifizierung und Autorisierung, der Verzeichnisdatenbank, der Replikationstopologie und dem Replikationsmodul ab. Wenn die Ursache eines Replikationsproblems nicht sofort offensichtlich ist, erfordert die Bestimmung der Ursache unter den vielen möglichen Ursachen eine systematische Beseitigung von wahrscheinlichen Ursachen.

Zum Überwachen von Replikations- und Diagnosefehlern können Sie das Tool "Microsoft-Support- und Wiederherstellungs-Assistent" herunterladen und ausführen oder das Active Directory-Replikationsstatustool verwenden, wenn Sie nur den Replikationsstatus analysieren möchten.

Ein umfassendes Dokument, das beschreibt, wie Sie das Repadmin-Tool verwenden können, um die Active Directory-Replikation zu beheben, ist verfügbar; Siehe Überwachung und Problembehandlung bei der Active Directory-Replikation mithilfe von Repadmin.

Informationen zur Funktionsweise der Active Directory-Replikation finden Sie in den folgenden technischen Verweisen:

Empfehlungen für Ereignis- und Toollösungen

Idealerweise schlagen die roten (Fehler) und gelben (Warnungsereignisse) im Verzeichnisdienstereignisprotokoll die spezifische Einschränkung vor, die zu Replikationsfehlern im Quell- oder Zieldomänen-Domänencontroller führt. Falls die Ereignismeldung empfohlene Schritte für die Lösung eines Problems enthält, probieren Sie diese aus. Das Repadmin-Tool und andere Diagnosetools bieten auch Informationen, die Ihnen helfen können, Replikationsfehler zu beheben.

Ausführliche Informationen zur Verwendung von Repadmin zur Problembehandlung bei Replikationsproblemen finden Sie unter Überwachung und Problembehandlung bei der Active Directory-Replikation mithilfe von Repadmin.

Ausschließen von absichtlichen Störungen oder Hardwarefehlern

Manchmal treten Replikationsfehler aufgrund absichtlicher Unterbrechungen auf. Wenn Sie beispielsweise Active Directory-Replikationsprobleme beheben, ausschließen Sie absichtliche Trennungen und Hardwarefehler oder Upgrades zuerst.

Absichtliche Trennungen

Wenn Replikationsfehler von einem Domänencontroller gemeldet werden, der die Replikation mit einem Domänencontroller versucht, der in einer Stagingwebsite erstellt wurde und derzeit offline auf die Bereitstellung in der endgültigen Produktionswebsite (z. B. eine Zweigstelle) wartet, können Sie diese Replikationsfehler berücksichtigen. Um die Trennung eines Domänencontrollers aus der Replikationstopologie für längere Zeiträume zu vermeiden, was zu kontinuierlichen Fehlern führt, bis der Domänencontroller erneut verbunden ist, sollten Sie diese Computer zunächst als Memberserver hinzufügen und die Installation von Medien (IFM) verwenden, um Active Directory Domain Services (AD DS) zu installieren. Sie können das Ntdsutil-Befehlszeilentool verwenden, um Installationsmedien zu erstellen, die Sie auf Wechselmedien (CD, DVD oder anderen Medien) speichern und an die Zielwebsite senden können. Anschließend können Sie die Installationsmedien verwenden, um AD DS auf den Domänencontrollern an der Website zu installieren, ohne die Replikation zu verwenden.

Hardwarefehler oder Upgrades

Wenn Replikationsprobleme aufgrund von Hardwarefehlern auftreten (z. B. Fehler eines Motherboards, Datenträger-Subsystems oder Festplattenlaufwerks), benachrichtigen Sie den Serverbesitzer, damit das Hardwareproblem behoben werden kann.

Regelmäßige Hardwareupgrades können auch Domänencontroller dazu führen, dass sie nicht im Dienst sind. Stellen Sie sicher, dass Ihre Serverbesitzer ein gutes System für die Kommunikation solcher Ausfalle im Voraus haben.

Firewallkonfiguration

Standardmäßig treten Active Directory-Replikationsprozeduraufrufe (RPCs) dynamisch über einen verfügbaren Port über die RPC-Endpunktzuordnung (RPC Endpoint Mapper, RPCSS) auf Port 135 auf. Stellen Sie sicher, dass Windows Firewall mit erweiterter Sicherheit und anderen Firewalls ordnungsgemäß konfiguriert sind, um die Replikation zu ermöglichen. Informationen zum Angeben des Ports für Active Directory-Replikations- und Porteinstellungen finden Sie im Artikel 224196 in der Microsoft Knowledge Base.

Informationen zu den Ports, die die Active Directory-Replikation verwendet, finden Sie unter Active Directory-Replikationstools und Einstellungen.

Informationen zum Verwalten der Active Directory-Replikation über Firewalls finden Sie unter Active Directory-Replikation über Firewalls.

Reaktion auf Fehler eines veralteten Servers, der Windows 2000 Server ausgeführt wird

Wenn ein Domänencontroller, der Windows 2000 Server ausführt, länger als die Anzahl der Tage im Grabsteinleben fehlgeschlagen ist, ist die Lösung immer gleich:

  1. Verschieben Sie den Server vom Unternehmensnetzwerk in ein privates Netzwerk.
  2. Entfernen Sie entweder Active Directory, oder installieren Sie das Betriebssystem erneut.
  3. Entfernen Sie die Servermetadaten aus Active Directory, sodass das Serverobjekt nicht wiederbelebt werden kann.

Sie können ein Skript verwenden, um Servermetadaten auf den meisten Windows Betriebssystemen zu bereinigen. Informationen zur Verwendung dieses Skripts finden Sie unter Entfernen von Active Directory-Domäne Controllermetadaten.

Standardmäßig werden NTDS-Einstellungen Objekte, die gelöscht werden, automatisch für einen Zeitraum von 14 Tagen wiederbelebt. Wenn Sie daher keine Servermetadaten entfernen (verwenden Sie Ntdsutil oder das skript, das zuvor erwähnt wurde, um metadatenbereinigung auszuführen), wird die Servermetadaten im Verzeichnis erneut angegeben, was die Replikationsversuche auffordert. In diesem Fall werden Fehler aufgrund der Unzustellbarkeit zum Replizieren mit dem fehlenden Domänencontroller beständig protokolliert.

Grundursachen

Wenn Sie absichtliche Trennungen, Hardwarefehler und veraltete Windows 2000-Domänencontroller ausschließen, haben die restlichen Replikationsprobleme fast immer eine der folgenden Stammursachen:

  • Netzwerkkonnektivität: Die Netzwerkverbindung ist möglicherweise nicht verfügbar, oder Netzwerkeinstellungen sind nicht ordnungsgemäß konfiguriert.
  • Namensauflösung: DNS-Fehlkonfigurationen sind eine häufige Ursache für Replikationsfehler.
  • Authentifizierung und Autorisierung: Authentifizierungs- und Autorisierungsprobleme verursachen Fehler bei "Zugriff verweigert", wenn ein Domänencontroller versucht, eine Verbindung mit seinem Replikationspartner herzustellen.
  • Verzeichnisdatenbank (Store): Die Verzeichnisdatenbank kann möglicherweise keine Transaktionen schnell genug verarbeiten, um die Replikationszeit zu erhalten.
  • Replikations-Engine: Wenn die Zeitpläne für die standortübergreifende Replikation zu kurz sind, sind die Replikationswarteschlangen möglicherweise zu umfangreich, um sie in der für den Zeitplan der ausgehenden Replikation erforderlichen Zeit zu verarbeiten. In diesem Fall kann die Replikation einiger Änderungen unbegrenzt blockiert werden, lange genug, um die Grabsteinlebensdauer zu überschreiten.
  • Replikationstopologie: Domänencontroller müssen Überwebsitelinks in AD DS verfügen, die den verbindungen mit echtem Netzwerk (WAN) oder virtuellen privaten Netzwerken (VPN) zugeordnet sind. Wenn Sie in AD DS Objekte für die Replikationstopologie erstellen, die von der tatsächlichen Standorttopologie Ihres Netzwerks nicht unterstützt werden, tritt bei einer Replikation, die die falsch konfigurierte Topologie erfordert, ein Fehler auf.

Allgemeiner Ansatz zur Behebung von Problemen

Verwenden Sie den folgenden allgemeinen Ansatz zum Beheben von Replikationsproblemen:

  1. Überwachen Sie die Replikationsintegrität täglich oder verwenden Sie Repadmin.exe, um den Replikationsstatus täglich abzurufen.

  2. Versuchen Sie, alle gemeldeten Fehler rechtzeitig zu beheben, indem Sie die Methoden verwenden, die in Ereignisnachrichten und diesem Leitfaden beschrieben werden. Wenn Software möglicherweise das Problem verursacht, deinstallieren Sie die Software, bevor Sie mit anderen Lösungen fortfahren.

  3. Wenn das Problem, das die Replikation verursacht, nicht durch bekannte Methoden behoben werden kann, entfernen Sie AD DS aus dem Server, und installieren Sie dann AD DS erneut. Weitere Informationen zur Neuinstallation von AD DS finden Sie unter Außerbetriebsetzen eines Domänencontrollers.

  4. Wenn AD DS nicht normal entfernt werden kann, während der Server mit dem Netzwerk verbunden ist, verwenden Sie eine der folgenden Methoden, um das Problem zu beheben:

    • Erzwingen Sie die Entfernung von AD DS im Wiederherstellungsmodus für Verzeichnisdienste (Directory Services Restore Mode, DSRM), bereinigen Sie die Servermetadaten, und installieren Sie AD DS dann neu.
    • Installieren Sie das Betriebssystem neu, und erstellen Sie den Domänencontroller neu.

Weitere Informationen zum Entfernen von AD DS finden Sie unter Erzwingen des Entfernens eines Domänencontrollers.

Verwenden von Repadmin zum Abrufen des Replikationsstatus

Der Replikationsstatus ist eine wichtige Möglichkeit, um den Status des Verzeichnisdiensts zu bewerten. Wenn die Replikation ohne Fehler funktioniert, wissen Sie die Domänencontroller, die online sind. Sie wissen auch, dass die folgenden Systeme und Dienste funktionieren:

  • DNS-Infrastruktur
  • Kerberos-Authentifizierungsprotokoll
  • Windows Zeitdienst (W32time)
  • Remoteprozeduraufruf (RPC)
  • Netzwerkverbindung

Verwenden Sie Repadmin, um den Replikationsstatus täglich zu überwachen, indem Sie einen Befehl ausführen, der den Replikationsstatus aller Domänencontroller in Ihrer Gesamtstruktur bewertet. Die Prozedur generiert eine .csv Datei, die Sie in Microsoft Excel öffnen und nach Replikationsfehlern filtern können.

Sie können die folgende Prozedur verwenden, um den Replikationsstatus aller Domänencontroller in der Gesamtstruktur abzurufen.

Anforderungen

Um dieses Verfahren auszuführen, ist mindestens die Mitgliedschaft in Unternehmensadministratoren oder eine entsprechende Berechtigung erforderlich.

Tools:

  • Repadmin.exe
  • Excel (Microsoft Office)

So generieren Sie ein Repadmin /showrepl-Arbeitsblatt für Domänencontroller

  1. Öffnen Sie eine Eingabeaufforderung als Administrator: Klicken Sie auf der Startmenü mit der rechten Maustaste auf die Eingabeaufforderung, und klicken Sie dann auf "Als Administrator ausführen". Wenn das Dialogfeld "Benutzerkontensteuerung" angezeigt wird, geben Sie Enterprise Administratoranmeldeinformationen an, falls erforderlich, und klicken Sie dann auf "Fortfahren".

  2. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE: repadmin /showrepl * /csv > showrepl.csv

  3. Öffnen Sie Excel.

  4. Klicken Sie auf die Schaltfläche Office, klicken Sie auf "Öffnen", navigieren Sie zu showrepl.csv, und klicken Sie dann auf "Öffnen".

  5. Ausblenden oder Löschen von Spalte A sowie der Spalte "Transporttyp" wie folgt:

  6. Wählen Sie eine Spalte aus, die Sie ausblenden oder löschen möchten.

    • Um die Spalte auszublenden, klicken Sie mit der rechten Maustaste auf die Spalte, und klicken Sie dann auf "Ausblenden".
    • Um die Spalte zu löschen, klicken Sie mit der rechten Maustaste auf die ausgewählte Spalte, und klicken Sie dann auf "Löschen".
  7. Wählen Sie Zeile 1 unter der Spaltenüberschriftzeile aus. Klicken Sie auf der Registerkarte "Ansicht" auf "Fenster fixieren", und klicken Sie dann auf "Obere Zeile fixieren".

  8. Wählen Sie die gesamte Kalkulationstabelle aus. Klicken Sie auf der Registerkarte "Daten" auf "Filter".

  9. Klicken Sie in der Spalte "Letzte Erfolgszeit" auf den NACH-UNTEN-PFEIL, und klicken Sie dann auf "Aufsteigend sortieren".

  10. Klicken Sie in der Spalte "Quell-DC" auf den Pfeil nach unten, zeigen Sie auf Textfilter, und klicken Sie dann auf "Benutzerdefinierter Filter".

  11. Klicken Sie im Dialogfeld "Benutzerdefiniertes AutoFilter" unter "Zeilen anzeigen" nicht. Geben Sie del im angrenzenden Textfeld die Ergebnisse für gelöschte Domänencontroller ein, um die Ergebnisse zu entfernen.

  12. Wiederholen Sie Schritt 11 für die Spalte "Letzte Fehlerzeit", verwenden Sie jedoch den Wert nicht, und geben Sie dann den Wert 0 ein.

  13. Beheben von Replikationsfehlern.

Für jeden Domänencontroller in der Gesamtstruktur zeigt die Tabelle den Quellreplikationspartner, die Zeit, zu der die Replikation zuletzt aufgetreten ist, und die Uhrzeit, zu der der letzte Replikationsfehler für jeden Benennungskontext (Verzeichnispartition) aufgetreten ist. Mithilfe des Autofilters in Excel können Sie die Replikationsintegrität nur für arbeitsende Domänencontroller anzeigen, domänencontroller nicht nur oder domänencontroller, die am wenigsten oder aktuell sind, und Sie können die Replikationspartner anzeigen, die erfolgreich repliziert werden.

Replikationsprobleme und -auflösungen

Replikationsprobleme werden in Ereignisnachrichten und in verschiedenen Fehlermeldungen gemeldet, die auftreten, wenn eine Anwendung oder ein Dienst einen Vorgang versucht. Idealerweise werden diese Nachrichten von Ihrer Überwachungsanwendung oder beim Abrufen des Replikationsstatus erfasst.

Die meisten Replikationsprobleme werden in den protokollierten Ereignismeldungen im Verzeichnisdienst-Ereignisprotokoll angegeben. Replikationsprobleme können auch in Form von Fehlermeldungen in der Ausgabe des Befehls repadmin /showrepl enthalten sein.

Repadmin /showrepl-Fehlermeldungen, die Replikationsprobleme angeben

Um Active Directory-Replikationsprobleme zu identifizieren, verwenden Sie den repadmin /showrepl Befehl, wie im vorherigen Abschnitt beschrieben. In der folgenden Tabelle werden Fehlermeldungen angezeigt, die dieser Befehl generiert, zusammen mit den Stammursachen der Fehler und Links zu Themen, die Lösungen für die Fehler bereitstellen.

Fehler beim Repadmin Grundursache Lösung
Die Zeit seit der letzten Replikation mit diesem Server hat die Grabsteinlebensdauer überschritten. Ein Domänencontroller hat die eingehende Replikation mit dem benannten Quelldomänencontroller lang genug fehlgeschlagen, damit ein Löschvorgang grabsteiniert, repliziert und von AD DS gesammelt wird. Ereignis-ID 2042: Die Replikation dieses Computers ist zu lange her
Keine eingehenden Nachbarn. Wenn keine Elemente im Abschnitt "Eingehende Nachbarn" der Ausgabe angezeigt werden, die von repadmin /showrepl generiert wird, konnte der Domänencontroller keine Replikationsverbindungen mit einem anderen Domänencontroller einrichten. Beheben von Verbindungsproblemen bei der Replikation (Ereignis-ID 1925)
Zugriff verweigert.“ Eine Replikationsverbindung besteht zwischen zwei Domänencontrollern, die Replikation kann jedoch aufgrund eines Authentifizierungsfehlers nicht ordnungsgemäß ausgeführt werden. Beheben von Problemen mit der Replikationssicherheit
Letzter Versuch am <Datum - Uhrzeit> fehlgeschlagen mit dem Namen des Zielkontos ist falsch. Dieses Problem kann sich auf Konnektivitäts-, DNS- oder Authentifizierungsprobleme beziehen. Wenn es sich um einen DNS-Fehler handelt, konnte der lokale Domänencontroller den GUID-basierten DNS-Namen seines Replikationspartners nicht auflösen. Beheben von Replikations-DNS-Nachschlageproblemen (Ereignis-IDs 1925, 2087, 2088) Beheben von Replikationssicherheitsproblemen beim Beheben von Replikationsverbindungsproblemen (Ereignis-ID 1925)
LDAP-Fehler 49. Das Domänencontrollercomputerkonto wird möglicherweise nicht mit dem Key Distribution Center (KDC) synchronisiert. Beheben von Problemen mit der Replikationssicherheit
Die LDAP-Verbindung mit dem lokalen Host kann nicht geöffnet werden. Das Verwaltungstool konnte AD DS nicht kontaktieren. Beheben von DNS-Lookup-Problemen bei der Replikation (Ereignis-IDs 1925, 2087, 2088)
Die Active Directory-Replikation wurde vorgegangen. Der Fortschritt der eingehenden Replikation wurde durch eine anforderung mit höherer Priorität unterbrochen, z. B. eine Anforderung, die manuell mit dem Befehl "repadmin /sync" generiert wurde. Warten Sie, bis die Replikation abgeschlossen ist. Diese informationale Meldung gibt den normalen Vorgang an.
Replikation veröffentlicht, warten. Der Domänencontroller hat eine Replikationsanforderung veröffentlicht und wartet auf eine Antwort. Die Replikation wird aus dieser Quelle ausgeführt. Warten Sie, bis die Replikation abgeschlossen ist. Diese informationale Meldung gibt den normalen Vorgang an.

In der folgenden Tabelle sind allgemeine Ereignisse aufgeführt, die Probleme mit der Active Directory-Replikation sowie die Ursachen der Probleme und Links zu Themen angeben, die Lösungen für die Probleme bereitstellen.

Ereignis-ID und Quelle Grundursache Lösung
1311 NTDS KCC Die Replikationskonfigurationsinformationen in AD DS spiegeln die physische Topologie des Netzwerks nicht genau wider. Beheben von Topologieproblemen bei der Replikation (Ereignis-ID 1311)
1388 NTDS-Replikation Die strenge Replikationskonsistenz ist nicht wirksam, und ein lingering-Objekt wurde auf den Domänencontroller repliziert. Beheben von Problemen bei der Replikation fortbestehender Objekte (Ereignis-IDs 1388, 1988 2042)
1925 NTDS KCC Der Versuch, einen Replikationslink für eine schreibbare Verzeichnispartition herzustellen, ist fehlgeschlagen. Dieses Ereignis kann je nach Fehler unterschiedliche Ursachen haben. Beheben von Replikationsverbindungsproblemen (Ereignis-ID 1925) Beheben von Replikations-DNS-Nachschlageproblemen (Ereignis-IDs 1925, 2087, 2088)
1988 NTDS-Replikation Der lokale Domänencontroller hat versucht, ein Objekt aus einem Quelldomänencontroller zu replizieren, der nicht auf dem lokalen Domänencontroller vorhanden ist, da er möglicherweise gelöscht und bereits gesammelt wurde. Die Replikation wird für diese Verzeichnispartition mit diesem Partner erst fortgesetzt, wenn die Situation aufgelöst wird. Beheben von Problemen bei der Replikation fortbestehender Objekte (Ereignis-IDs 1388, 1988 2042)
2042 NTDS-Replikation Die Replikation ist nicht mit diesem Partner für eine Grabsteinlebensdauer aufgetreten, und die Replikation kann nicht fortgesetzt werden. Beheben von Problemen bei der Replikation fortbestehender Objekte (Ereignis-IDs 1388, 1988 2042)
2087 NTDS-Replikation AD DS konnte den DNS-Hostnamen des Quelldomänencontrollers nicht auf eine IP-Adresse auflösen und die Replikation fehlgeschlagen sein. Beheben von DNS-Lookup-Problemen bei der Replikation (Ereignis-IDs 1925, 2087, 2088)
2088 NTDS-Replikation AD DS konnte den DNS-Hostnamen des Quelldomänencontrollers nicht auf eine IP-Adresse auflösen, aber die Replikation war erfolgreich. Beheben von DNS-Lookup-Problemen bei der Replikation (Ereignis-IDs 1925, 2087, 2088)
5805 Net Logon Ein Computerkonto konnte nicht authentifiziert werden, was in der Regel durch mehrere Instanzen desselben Computernamens oder den Computernamen verursacht wird, die nicht auf jeden Domänencontroller repliziert werden. Beheben von Problemen mit der Replikationssicherheit

Weitere Informationen zu Replikationskonzepten finden Sie unter Active Directory-Replikationstechnologien.

Nächste Schritte

Weitere Informationen, einschließlich Supportartikeln, die für Fehlercodes spezifisch sind, finden Sie im Supportartikel: Behandeln von häufigen Active Directory-Replikationsfehlern