Problembehandlung für Active Directory-Replikationsprobleme
Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Testen Sie unseren Virtual Agent – er kann Ihnen helfen, häufige Probleme bei der Active Directory-Replikation schnell zu erkennen und zu beheben.
Probleme bei der Active Directory-Replikation können verschiedene Ursachen haben. Beispielsweise können DNS-Probleme (Domain Name System), Netzwerkprobleme oder Sicherheitsprobleme zu Fehlern bei der Active Directory-Replikation führen.
Im weiteren Verlauf dieses Artikels werden Tools und eine allgemeine Methodik zur Behebung von Active Directory-Replikationsfehlern erläutert. Die folgenden Unterthemen behandeln Symptome, Ursachen und die Behebung bestimmter Replikationsfehler:
Einführung und Ressourcen für die Behandlung von Active Directory-Replikationsfehlern
Fehler bei eingehenden oder ausgehenden Replikationsverbindungen können dazu führen, dass Active Directory-Objekte, die Replikationstopologie, Replikationszeitplan, Domänencontroller, Benutzer, Computer, Kennwörter, Sicherheitsgruppen, Gruppenmitgliedschaften und Gruppenrichtlinie darstellen, zwischen Domänencontrollern inkonsistent sind. Verzeichnisinkonsistenz und Replikationsfehler führen je nach Domänencontroller, der für den Vorgang kontaktiert wird, entweder zu Betriebsfehlern oder inkonsistenten Ergebnissen und können die Anwendung von Gruppenrichtlinie und Zugriffssteuerungsberechtigungen verhindern. Active Directory Domain Services (AD DS) hängen von Netzwerkkonnektivität, Namensauflösung, Authentifizierung und Autorisierung, Verzeichnisdatenbank, Replikationstopologie und Replikations-Engine ab. Wenn die Grundursache eines Replikationsproblems nicht sofort ersichtlich ist, muss die Ursache unter den vielen möglichen Ursachen systematisch eliminiert werden.
Für ein UI-basiertes Tool zur Überwachung der Replikation und zur Fehlerdiagnose laden Sie das Tool Microsoft Support and Recovery Assistant herunter und führen es aus.
Ein umfassendes Dokument, in dem beschrieben wird, wie Sie das Tool „Repadmin“ zur Problembehandlung bei der Active Directory-Replikation verwenden können, finden Sie unter Überwachung und Problembehandlung bei der Active Directory-Replikation mithilfe von „Repadmin“.
Informationen zur Funktionsweise der Active Directory-Replikation finden Sie in den folgenden technischen Referenzen:
- Technische Referenz zum Active Directory-Replikationsmodell
- Technische Referenz zur Active Directory-Replikationstopologie
Lösungsempfehlungen für Ereignisse und Tools
Idealerweise weisen die im Ereignisprotokoll des Verzeichnisdiensts rot (Fehler) und gelb (Warnung) markierten Ereignisse auf die spezielle Einschränkung hin, die einen Replikationsfehler auf dem Quell- oder Zieldomänencontroller verursacht. Falls die Ereignismeldung empfohlene Schritte für die Lösung eines Problems enthält, probieren Sie diese aus. Das Tool „Repadmin“ und andere Diagnosetools stellen auch Informationen bereit, mit denen Sie Replikationsfehler beheben können.
Ausführliche Informationen zur Verwendung von „Repadmin“ zur Problembehandlung bei Replikationsfehlern finden Sie unter Überwachung und Problembehandlung bei der Active Directory-Replikation mithilfe von „Repadmin“.
Ausschließen von absichtlichen Unterbrechungen oder Hardwarefehlern
Manchmal treten Replikationsfehler aufgrund absichtlicher Unterbrechungen auf. Wenn Sie beispielsweise Probleme mit der Active Directory-Replikation beheben, schließen Sie zuerst absichtliche Trennungen und Hardwarefehler oder Upgrades aus.
Absichtliche Trennungen
Wenn Replikationsfehler von einem Domänencontroller gemeldet werden, der versucht, die Replikation mit einem Domänencontroller auszuführen, der an einem Stagingstandort erstellt wurde, derzeit offline ist und auf seine Bereitstellung am endgültigen Produktionsstandort (Remotestandort, z. B. Filiale) wartet, können Sie die Replikationsfehler darauf zurückführen. Um die Trennung eines Domänencontrollers von der Replikationstopologie für einen längeren Zeitraum zu vermeiden, was fortlaufende Fehler verursacht, bis die Verbindung zum Domänencontroller wieder hergestellt wird, sollten Sie diese Computer zunächst als Memberserver hinzufügen und die IFM-Methode (Install from Media, IFM) verwenden, um Active Directory Domain Services (AD DS) zu installieren. Sie können das Befehlszeilentool „Ntdsutil“ verwenden, um Installationsmedien zu erstellen, die Sie auf Wechselmedien (CD, DVD oder andere Medien) speichern und an den Zielstandort senden können. Anschließend können Sie mithilfe der Installationsmedien AD DS auf den Domänencontrollern am Standort installieren, ohne die Replikation zu verwenden.
Hardwarefehler oder Upgrades
Wenn Replikationsprobleme aufgrund eines Hardwarefehlers auftreten (z. B. Fehlfunktion von Hauptplatine, Datenträgersubsystem oder Festplatte), benachrichtigen Sie den Serverbesitzer, damit das Hardwareproblem behoben werden kann.
Auch regelmäßige Hardwareupgrades können dazu führen, dass Domänencontroller außer Betrieb sind. Stellen Sie sicher, dass Ihre Serverbesitzer über ein gutes System für die rechtzeitige Bekanntgabe solcher Ausfälle verfügen.
Firewallkonfiguration
Standardmäßig erfolgen Remoteprozeduraufrufe (Remote Procedure Calls, RPCs) der Active Directory-Replikation dynamisch über einen verfügbaren Port durch die RPC-Endpunktzuordnung (RPCSS) an Port 135. Stellen Sie sicher, dass Windows Firewall mit erweiterter Sicherheit und weitere Firewalls korrekt konfiguriert sind, um die Replikation zu ermöglichen. Informationen zum Angeben des Ports für die Active Directory-Replikation und die Porteinstellungen finden Sie in Artikel 224196 in der Microsoft Knowledge Base.
Informationen zu den von der Active Directory-Replikation verwendeten Ports finden Sie unter Active Directory-Replikationstools und Einstellungen.
Informationen zum Verwalten der Active Directory-Replikation über Firewalls finden Sie unter Active Directory-Replikation über Firewalls.
Reaktion auf die Fehlfunktion eines veralteten Servers unter Windows 2000 Server
Wenn ein Domänencontroller unter Windows 2000 Server länger als die in der TombStone-Lebensdauer genannte Anzahl von Tagen ausfällt, ist die Lösung immer gleich:
- Verschieben Sie den Server aus dem Unternehmensnetzwerk in ein privates Netzwerk.
- Entfernen Sie Active Directory entweder zwangsweise, oder installieren Sie das Betriebssystem neu.
- Entfernen Sie die Server-Metadaten aus Active Directory, damit das Serverobjekt nicht wiederbelebt werden kann.
Zum Bereinigen von Servermetadaten auf den meisten Windows-Betriebssystemen können Sie ein Skript verwenden. Informationen zur Verwendung dieses Skripts finden Sie unter Entfernen der Metadaten von Active Directory-Domänencontrollern.
Standardmäßig werden gelöschte NTDS-Einstellungsobjekte automatisch für einen Zeitraum von 14 Tagen wiederhergestellt. Wenn Sie also die Server-Metadaten nicht entfernen (verwenden Sie Ntdsutil oder das zuvor erwähnte Skript, um die Metadaten zu bereinigen), werden die Server-Metadaten im Verzeichnis wiederhergestellt, was zu Replikationsversuchen führt. In diesem Fall werden dauerhaft Fehler protokolliert, da keine Replikation mit dem fehlenden Domänencontroller erfolgen kann.
Grundursachen
Wenn Sie absichtliche Trennungen, Hardwarefehler und veraltete Windows 2000-Domänencontroller ausschließen können, liegt den übrigen Replikationsproblemen fast immer eine der folgenden Ursachen zugrunde:
- Netzwerkkonnektivität: Die Netzwerkverbindung ist möglicherweise nicht verfügbar, oder die Netzwerkeinstellungen sind nicht richtig konfiguriert.
- Namensauflösung: DNS-Fehlkonfigurationen sind eine häufige Ursache für Replikationsfehler.
- Authentifizierung und Autorisierung: Authentifizierungs- und Autorisierungsprobleme verursachen Fehler vom Typ „Zugriff verweigert“, wenn ein Domänencontroller versucht, eine Verbindung mit seinem Replikationspartner herzustellen.
- Verzeichnisdatenbank (Speicher): Die Verzeichnisdatenbank kann Transaktionen möglicherweise nicht schnell genug verarbeiten, um mit den Timeouts der Replikation Schritt zu halten.
- Replikations-Engine: Wenn die Zeitpläne für die standortübergreifende Replikation zu kurz sind, sind die Replikationswarteschlangen möglicherweise zu umfangreich, um sie in der für den Zeitplan der ausgehenden Replikation erforderlichen Zeit zu verarbeiten. In diesem Fall kann die Replikation einiger Änderungen auf unbestimmte Zeit unterbrochen werden – lange genug, um die TombStone-Lebensdauer zu überschreiten.
- Replikationstopologie: Domänencontroller müssen über standortübergreifende Verbindungen in AD DS verfügen, die echten WAN-Verbindungen (Wide Area Network) oder VPN-Verbindungen (virtuelles privates Netzwerk) zugeordnet sind. Wenn Sie in AD DS Objekte für die Replikationstopologie erstellen, die von der tatsächlichen Standorttopologie Ihres Netzwerks nicht unterstützt werden, schlägt die Replikation, die die falsch konfigurierte Topologie erfordert, fehl.
Allgemeiner Ansatz zum Beheben von Problemen
Verwenden Sie den folgenden allgemeinen Ansatz zum Beheben von Replikationsproblemen:
Überwachen Sie täglich die Replikationsintegrität, oder rufen Sie täglich mithilfe von „Repadmin.exe“ den Replikationsstatus ab.
Versuchen Sie, alle gemeldeten Fehler zeitnah zu beheben, indem Sie die Methoden verwenden, die in den Ereignismeldungen und in diesem Leitfaden beschrieben sind. Wenn das Problem durch eine Software verursacht wird, deinstallieren Sie diese, bevor Sie andere Lösungen ausprobieren.
Wenn das Problem, das zum Scheitern der Replikation führt, mit keiner bekannten Methode behoben werden kann, entfernen Sie AD DS vom Server und installieren Sie AD DS neu. Weitere Informationen zur Neuinstallation von AD DS finden Sie unter Außerbetriebsetzen eines Domänencontrollers.
Wenn AD DS nicht normal entfernt werden kann, während der Server mit dem Netzwerk verbunden ist, verwenden Sie eine der folgenden Methoden, um das Problem zu lösen:
- Erzwingen Sie die Entfernung von AD DS im Wiederherstellungsmodus für Verzeichnisdienste (Directory Services Restore Mode, DSRM), bereinigen Sie die Servermetadaten, und installieren Sie AD DS dann neu.
- Installieren Sie das Betriebssystem neu, und erstellen Sie den Domänencontroller neu.
Weitere Informationen zum zwangsweisen Entfernen von AD DS finden Sie unter Erzwingen des Entfernens eines Domänencontrollers.
Verwenden von „Repadmin“ zum Abrufen des Replikationsstatus
Der Replikationsstatus ist eine wichtige Möglichkeit, den Status des Verzeichnisdiensts zu bewerten. Wenn die Replikation fehlerfrei funktioniert, wissen Sie, welche Domänencontroller online sind. Sie wissen auch, dass die folgenden Systeme und Dienste funktionieren:
- DNS-Infrastruktur
- Kerberos-Authentifizierungsprotokoll
- Windows-Zeitdienst (W32Time)
- Remoteprozeduraufruf (RPC)
- Netzwerkverbindung
Verwenden Sie „Repadmin“, um den Replikationsstatus täglich zu überwachen, indem Sie einen Befehl ausführen, mit dem der Replikationsstatus aller Domänencontroller in Ihrer Gesamtstruktur bewertet wird. Die Prozedur generiert eine CSV-Datei, die Sie in Microsoft Excel öffnen und nach Replikationsfehlern filtern können.
Sie können das folgende Verfahren verwenden, um den Replikationsstatus aller Domänencontroller in der Gesamtstruktur abzurufen.
Anforderungen
Um dieses Verfahren auszuführen, ist mindestens die Mitgliedschaft in Unternehmensadministratoren oder eine entsprechende Berechtigung erforderlich.
Tools:
- Repadmin.exe
- Excel (Microsoft Office)
So generieren Sie mit „Repadmin /showrepl“ eine Tabelle für Domänencontroller
Öffnen Sie eine Eingabeaufforderung als Administrator: Klicken Sie im Menü „Start“ mit der rechten Maustaste auf „Eingabeaufforderung“, und klicken Sie dann auf „Als Administrator ausführen“. Wenn das Dialogfeld „Benutzerkontensteuerung“ angezeigt wird, geben Sie bei Bedarf die Anmeldeinformationen des Unternehmensadministrators ein, und klicken Sie dann auf „Weiter“.
Geben Sie an der Eingabeaufforderung den Befehl
repadmin /showrepl * /csv > showrepl.csvein, und drücken Sie dann die EINGABETASTE.Öffnen Sie Excel.
Klicken Sie auf die Schaltfläche „Office“, klicken Sie auf „Öffnen“, navigieren Sie zu „showrepl.csv“, und klicken Sie dann auf „Öffnen“.
Löschen Sie wie folgt die Spalte A und die Spalte „Transporttyp“ (oder blenden Sie diese Spalten aus):
Wählen Sie eine Spalte aus, die Sie ausblenden oder löschen möchten.
- Um die Spalte auszublenden, klicken Sie mit der rechten Maustaste auf die Spalte und dann auf „Ausblenden“.
- Zum Löschen der Spalte klicken Sie mit der rechten Maustaste auf die ausgewählte Spalte und dann auf „Löschen“.
Wählen Sie Zeile 1 unter der Spaltenüberschriftenzeile aus. Klicken Sie auf der Registerkarte „Ansicht“ auf „Fenster fixieren“, und klicken Sie dann auf „Oberste Zeile fixieren“.
Wählen Sie die gesamte Tabelle aus. Klicken Sie auf der Registerkarte „Daten“ auf „Filter“.
Klicken Sie in der Spalte „Zeitpunkt des letzten Erfolgs“ auf den Pfeil nach unten, und klicken Sie dann auf „Aufsteigend sortieren“.
Klicken Sie in der Spalte „Quell-DC“ auf den Filterpfeil nach unten, zeigen Sie auf „Textfilter“, und klicken Sie dann auf „Benutzerdefinierter Filter“.
Klicken Sie im Dialogfeld Benutzerdefinierter AutoFilter unter Zeilen anzeigen wo auf Nicht enthalten. Geben Sie
delim angrenzenden Textfeld ein, um die Ergebnisse für gelöschte Domänencontroller nicht anzuzeigen.Wiederholen Sie Schritt 11 für die Spalte Letzte Ausfallzeit, aber verwenden Sie den Wert ungleich, und geben Sie dann den Wert 0 ein.
Beheben Sie die Replikationsfehler.
Die Tabelle enthält für jeden Domänencontroller in der Gesamtstruktur den Quellreplikationspartner, den Zeitpunkt der letzten Replikation und den Zeitpunkt des letzten Replikationsfehlers für jeden Namenskontext (Verzeichnispartition). Wenn Sie AutoFilter in Excel verwenden, können Sie die Replikationsintegrität nur für funktionierende Domänencontroller, nur für fehlerhafte Domänencontroller oder nur für Domänencontroller mit der höchsten (oder niedrigsten) Aktualität anzeigen. Sie können auch die Replikationspartner mit erfolgreicher Replikation anzeigen.
Replikationsprobleme und Lösungen
Replikationsprobleme werden gemeldet in Ereignismeldungen und in verschiedenen Fehlermeldungen, die generiert werden, wenn eine Anwendung oder ein Dienst einen Vorgang versucht. Im Idealfall werden diese Nachrichten von Ihrer Überwachungsanwendung oder beim Abrufen des Replikationsstatus gesammelt.
Die meisten Replikationsprobleme werden in den protokollierten Ereignismeldungen im Verzeichnisdienst-Ereignisprotokoll angegeben. Replikationsprobleme können auch in Form von Fehlermeldungen in der Ausgabe des Befehls repadmin /showrepl enthalten sein.
Fehlermeldungen in der mit „repadmin /showrepl“ erzeugten Tabelle, die auf Replikationsprobleme hinweisen
Verwenden Sie, wie im vorherigen Abschnitt beschrieben, den Befehl repadmin /showrepl, um Probleme mit der Active Directory-Replikation zu identifizieren. In der folgenden Tabelle werden neben den von diesem Befehl generierten Fehlermeldungen auch die Ursachen der Fehler sowie Links zu Themen aufgeführt, die Lösungen für die Fehler bieten.
| „Repadmin“-Fehler | Grundursache | Lösung |
|---|---|---|
| Die Zeit seit der letzten Replikation mit diesem Server hat die TombStone-Lebensdauer überschritten. | Bei einem Domänencontroller ist die eingehende Replikationsverbindung mit dem benannten Quelldomänencontroller so lange fehlgeschlagen, dass eine Löschung mit einem TombStone versehen, repliziert und durch die automatische Speicherbereinigung (Garbage-Collection) von AD DS entfernt wurde. | Ereignis-ID 2042: Die Replikation dieses Computers ist zu lange her |
| Keine eingehenden Nachbarn. | Wenn im Abschnitt „Inbound Neighbors“ der von repadmin /showrepl erzeugten Ausgabe keine Einträge erscheinen, konnte der Domänencontroller keine Replikationsverbindungen mit einem anderen Domänencontroller herstellen. | Beheben von Verbindungsproblemen bei der Replikation (Ereignis-ID 1925) |
| Zugriff verweigert.“ | Es besteht eine Replikationsverbindung zwischen zwei Domänencontrollern, aber die Replikation kann aufgrund eines Authentifizierungsfehlers nicht ordnungsgemäß durchgeführt werden. | Beheben von Problemen mit der Replikationssicherheit |
| Letzter Versuch am <Datum – Uhrzeit> ist fehlgeschlagen mit der Meldung „Der Zielkontoname ist falsch“. | Dieses Problem kann mit Verbindungs-, DNS- oder Authentifizierungsproblemen zusammenhängen. Wenn dies ein DNS-Fehler ist, konnte der lokale Domänencontroller den GUID-basierten DNS-Namen des Replikationspartners nicht auflösen. | Beheben von Problemen beim DNS-Lookup bei der Replikation (Ereignis-IDs 1925, 2087, 2088) Beheben von Problemen mit der Replikationssicherheit Beheben von Verbindungsproblemen bei der Replikation (Ereignis-ID 1925) |
| LDAP-Fehler 49. | Das Computerkonto des Domänencontrollers wird möglicherweise nicht mit dem Schlüsselverteilungscenter (Key Distribution Center, KDC) synchronisiert. | Beheben von Problemen mit der Replikationssicherheit |
| LDAP-Verbindung zum lokalen Host kann nicht geöffnet werden | Das Verwaltungstool konnte AD DS nicht kontaktieren. | Beheben von DNS-Lookup-Problemen bei der Replikation (Ereignis-IDs 1925, 2087, 2088) |
| Die Active Directory-Replikation wurde vorzeitig entfernt. | Der Fortschritt der eingehenden Replikation wurde durch eine Replikationsanforderung mit höherer Priorität unterbrochen, z. B. durch eine Anforderung, die manuell mit dem Befehl „repadmin /sync“ generiert wurde. | Warten Sie, bis die Replikation abgeschlossen ist. Diese Informationsmeldung gibt den normalen Betrieb an. |
| Replikation bereitgestellt, wartend. | Der Domänencontroller hat eine Replikationsanforderung bereitgestellt und wartet auf eine Antwort. Die Replikation wird von dieser Quelle aus ausgeführt. | Warten Sie, bis die Replikation abgeschlossen ist. Diese Informationsmeldung gibt den normalen Betrieb an. |
In der folgenden Tabelle sind allgemeine Ereignisse aufgeführt, die auf Probleme mit der Active Directory-Replikation hinweisen können, sowie die Grundursachen der Probleme. Enthalten sind außerdem Links zu Themen, die Lösungen für die Probleme bereitstellen.
| Ereignis-ID und Quelle | Grundursache | Lösung |
|---|---|---|
| 1311 NTDS KCC | Die Replikationskonfigurationsinformationen in AD DS spiegeln die physische Topologie des Netzwerks nicht genau wider. | Beheben von Topologieproblemen bei der Replikation (Ereignis-ID 1311) |
| 1388 NTDS-Replikation | Strenge Replikationskonsistenz ist nicht in Kraft, und ein verweilendes Objekt wurde auf den Domänencontroller repliziert. | Beheben von Problemen bei der Replikation fortbestehender Objekte (Ereignis-IDs 1388, 1988 2042) |
| 1925 NTDS KCC | Beim Versuch, einen Replikationslink für eine beschreibbare Verzeichnispartition herzustellen, ist ein Fehler aufgetreten. Dieses Ereignis kann je nach Fehler unterschiedliche Ursachen haben. | Beheben von Problemen mit der Replikationskonnektivität (Ereignis-ID 1925) Beheben von DNS-Lookup-Problemen bei der Replikation (Ereignis-IDs 1925, 2087, 2088) |
| 1988 NTDS-Replikation | Der lokale Domänencontroller hat versucht, ein Objekt von einem Quelldomänencontroller zu replizieren, das auf dem lokalen Domänencontroller nicht vorhanden ist, weil es möglicherweise gelöscht und bereits als Müll gesammelt wurde. Die Replikation wird für diese Verzeichnispartition mit diesem Partner nicht fortgesetzt, bis die Situation geklärt ist. | Beheben von Problemen bei der Replikation fortbestehender Objekte (Ereignis-IDs 1388, 1988 2042) |
| 2042 NTDS-Replikation | Die Replikation hat mit diesem Partner seit einer Tombstone-Lifetime nicht stattgefunden, und die Replikation kann nicht fortgesetzt werden. | Beheben von Problemen bei der Replikation fortbestehender Objekte (Ereignis-IDs 1388, 1988 2042) |
| 2087 NTDS-Replikation | AD DS konnte den DNS-Hostnamen des Quell-Domänencontrollers nicht in eine IP-Adresse auflösen, und die Replikation schlug fehl. | Beheben von DNS-Lookup-Problemen bei der Replikation (Ereignis-IDs 1925, 2087, 2088) |
| 2088 NTDS-Replikation | AD DS konnte den DNS-Hostnamen des Quelldomänencontrollers nicht in eine IP-Adresse auflösen, aber die Replikation war erfolgreich. | Beheben von DNS-Lookup-Problemen bei der Replikation (Ereignis-IDs 1925, 2087, 2088) |
| 5805 Netzanmeldung | Ein Computerkonto konnte sich nicht authentifizieren, was in der Regel darauf zurückzuführen ist, dass entweder mehrere Instanzen desselben Computernamens vorhanden sind oder der Computername nicht auf jeden Domänencontroller repliziert wird. | Beheben von Problemen mit der Replikationssicherheit |
Weitere Informationen zu Replikationskonzepten finden Sie unter Active Directory-Replikationstechnologien.
Nächste Schritte
Weitere Informationen, darunter auch spezielle Supportartikel für Fehlercodes, finden Sie im Supportartikel Behandeln häufiger Active Directory-Replikationsfehler