Partager via

Résolution des problèmes liés à l’erreur de réplication AD 8333 : Objet Directory introuvable

Cet article décrit un problème où les réplications Active Directory échouent avec l’erreur 8333 : Objet Directory introuvable (ERROR_DS_OBJ_NOT_FOUND).

Numéro de base de connaissances d’origine : 2703708

Symptômes

Cet article décrit les symptômes, la cause et les étapes de résolution lorsque la réplication Active Directory échoue avec l’erreur 8333 : Objet Directory introuvable (ERROR_DS_OBJ_NOT_FOUND).

  1. Les formats possibles pour l’erreur sont les suivants :

    Décimal Hex Symbolique Chaîne d’erreur
    8333 0x208d ERROR_DS_OBJ_NOT_FOUND Objet Directory introuvable.

  2. Les événements suivants peuvent être enregistrés

    Source de l’événement ID événement Chaîne d’événements
    Réplication NTDS 2108 Cet événement contient REPAIR PROCEDURES pour l’événement 1084 qui a été enregistré précédemment. Ce message indique un problème spécifique lié à la cohérence de la base de données Active Directory sur cette destination de réplication. Une erreur de base de données s’est produite lors de l’application de modifications répliquées à l’objet suivant. La base de données disposait d’un contenu inattendu, ce qui empêchait la modification d’être apportée. Objet : OU=TestOU,DC=contoso,DC=com Object GUID : <GUID> Source domain controller : A52b57e3-92b9-4264-822b-72963eaf1030._msdcs.contoso.com Additional Data Primary Error value : 8333 Directory object not found. Valeur d’erreur secondaire : -1601 JET_errRecordNotFound, la clé est introuvable

    NTDS General    		 2031 L’objet DS Service Configuration est introuvable. Elle a peut-être été supprimée accidentellement. Active Directory pourra fonctionner normalement, mais vous ne pourrez pas définir certains paramètres de service, tels que les limites LDAP, les stratégies de requête par défaut et les mappages SPN. Objet configuration du service DS : CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=contoso,DC=com Error : 8333 (Objet Directory introuvable.) Action de l’utilisateur : essayez de restaurer l’objet DS Service Configuration.

  3. Il peut y avoir une sortie à partir de repadmin /replsum

    DC-1-03 03h :14m :11s 1 / 52 1 (8333) Objet Directory introuvable.
    DC-2-01 03h :13m :39s 1 / 26 3 (8333) Objet Directory introuvable.
    DC-3-09 03h :08m :45s 2 / 103 1 (8333) Objet Directory introuvable.
    DC-4-03 03h :05m :52s 1 / 13 7 (8333) Objet Directory introuvable.

  4. DCPromo peut échouer lors de la promotion d’un nouveau contrôleur de domaine et vous verrez les erreurs suivantes dans le journal DCPROMO

    <DateTime> [INFO] Création d’utilisateurs de domaine, de groupes et d’objets d’ordinateur
    <Erreur DateTime> [INFO] : Active Directory ne contient pas d’informations critiques après l’installation et ne peut pas continuer. S’il s’agit d’un contrôleur de domaine de réplica, rejoignez ce serveur au domaine. (8333)
    <DateTime> [INFO] NtdsInstall pour contoso.com le 8333 retourné
    <DateTime> [INFO] DsRolepInstallDs retourné 8333
    <DateTime> [ERROR] Échec de l’installation dans le service d’annuaire (8333)

    Note

    L’erreur 8333 se traduit par ERROR_DS_OBJ_NOT_FOUND ou « Objet Directory introuvable ».

  5. Lors de la tentative de réhébergement d’une partition sur le catalogue global

    repadmin /rehost \<dc-name>\<partition to rehost>\<good source>

    repadmin /rehost failed with DsReplicaAdd failed with status 8333 (0x208d)

Cause

L’état d’erreur 8333 « Objet directory introuvable » a plusieurs causes racines, notamment :

  1. Altération de la base de données avec des erreurs associées supplémentaires enregistrées dans le journal des événements du contrôleur de domaine source :

    Source ID d'événement Description
    Réplication NTDS 2108 Cet événement contient REPAIR PROCEDURES pour l’événement 1084 qui a été enregistré précédemment. Ce message indique un problème spécifique lié à la cohérence de la base de données services de domaine Active Directory sur cette destination de réplication. Une erreur de base de données s’est produite lors de l’application de modifications répliquées à l’objet suivant. La base de données disposait d’un contenu inattendu, ce qui empêchait la modification d’être apportée. Objet : CN=chduffey,OU=IT,OU=Corp,DC=contoso,DC=com
    GUID de l’objet : <GUID>
    Contrôleur de domaine source : c4efaf4e-d652-4630-8623-afec5ebc8532._msdcs.contso.comAdditional Data
    Valeur d’erreur principale : Objet Directory 8333 introuvable.
    NTDS General 1168 Erreur :1073741790(c0000022) s’est produite (ID interne 3000b3a). Pour obtenir de l’aide, contactez les services de support technique Microsoft.
    Microsoft-Windows -
    ActiveDirectory_DomainService    		 1084 Événement interne : Active Directory n’a pas pu mettre à jour l’objet suivant avec les modifications reçues du contrôleur de domaine source suivant. Cela est dû au fait qu’une erreur s’est produite pendant l’application des modifications apportées à Active Directory sur le contrôleur de domaine.
    Réplication NTDS 1699 Le contrôleur de domaine local n’a pas pu récupérer les modifications demandées pour la partition de répertoire suivante. Par conséquent, il n’a pas pu envoyer les demandes de modification au contrôleur de domaine à l’adresse réseau suivante. 8446 L’opération de réplication n’a pas pu allouer de mémoire

    En outre, vous pouvez voir le code d’état de réplication :

    Code Sources Informations supplémentaires
    8451 Repadmin, DcPromo, en tant que sous-code dans les événements d’altération de la base de données Reportez-vous au guide de résolution des problèmes 8451 dans la première instance si cette erreur est identifiée.

    2645996

  2. Objets persistants avec les erreurs associées journalisées :

    Source ID de l’événement Description
    Réplication NTDS 1988 La réplication Active Directory a rencontré l’existence d’objets dans la partition suivante qui ont été supprimés de la base de données Active Directory des contrôleurs de domaine locaux. Tous les partenaires de réplication directe ou transitive ne sont pas répliqués dans la suppression avant le nombre de jours de durée de vie tombstone écoulé. Les objets qui ont été supprimés et collectés à partir d’une partition Active Directory, mais qui existent toujours dans les partitions accessibles en écriture d’autres contrôleurs de domaine du même domaine, ou des partitions en lecture seule de serveurs de catalogue globaux dans d’autres domaines de la forêt sont appelés « objets persistants ».
    Réplication NTDS 1388 Un autre contrôleur de domaine (DC) a tenté de répliquer dans ce contrôleur de domaine un objet qui n’est pas présent dans la base de données Active Directory locale. L’objet a peut-être été supprimé et déjà récupéré par la mémoire (une durée de vie tombstone ou plus est passée depuis la suppression de l’objet) sur ce contrôleur de domaine. L’ensemble d’attributs inclus dans la demande de mise à jour n’est pas suffisant pour créer l’objet. L’objet sera réinscrit avec un jeu d’attributs complet et recréé sur ce contrôleur de domaine.

    En outre, vous pouvez voir les codes d’état de réplication suivants :

    Source Sources Description
    8,606 Repadmin, DCPromo, sous-code dans les événements de réplication NTDS Reportez-vous au guide de résolution des problèmes 8606 dans la première instance si cette erreur est identifiée. 2028495
    1722 Repadmin, DCPromo, sous-code dans les événements de réplication NTDS Reportez-vous au guide de résolution des problèmes 1722 dans la première instance si cette erreur est identifiée. 2102154

  3. Objets conflictuels

  4. Processus tiers

    1. Antivirus
    2. Logiciel de synchronisation d’annuaires

Résolution

L’examen du message d’erreur 8333 « Objet directory introuvable » doit commencer sur le contrôleur de domaine source dans le partenariat de réplication. En faisant référence à chacune des causes possibles du problème de la section « cause » de ce document, un professionnel du support doit commencer son enquête sur la source du partenariat de réplication source/destination.

  1. Vérifiez les indications de l’altération de la base de données Active Directory (JET) :

    1. Passez en revue le journal des événements des services d’annuaire sur les partenaires de réplication source et de destination pour les événements d’altération de la base de données JET. Les événements possibles sont les suivants :

      Source ID d'événement Description
      Réplication NTDS 2108 Cet événement contient REPAIR PROCEDURES pour l’événement 1084 qui a été enregistré précédemment. Ce message indique un problème spécifique lié à la cohérence de la base de données services de domaine Active Directory sur cette destination de réplication. Une erreur de base de données s’est produite lors de l’application de modifications répliquées à l’objet suivant. La base de données disposait d’un contenu inattendu, ce qui empêchait la modification d’être apportée. Objet : CN=chduffey,OU=IT,OU=Corp,DC=contoso,DC=com
      GUID de l’objet : <GUID>
      Contrôleur de domaine source : c4efaf4e-d652-4630-8623-afec5ebc8532._msdcs.contso.comAdditional Data
      Valeur d’erreur principale : Objet Directory 8333 introuvable.
      NTDS General 1168 Erreur :1073741790(c0000022) s’est produite (ID interne 3000b3a). Pour obtenir de l’aide, contactez les services de support technique Microsoft.
      Microsoft-Windows -
      ActiveDirectory_DomainService      		 1084 Événement interne : Active Directory n’a pas pu mettre à jour l’objet suivant avec les modifications reçues du contrôleur de domaine source suivant. Cela est dû au fait qu’une erreur s’est produite pendant l’application des modifications apportées à Active Directory sur le contrôleur de domaine.
      Réplication NTDS 1699 Le contrôleur de domaine local n’a pas pu récupérer les modifications demandées pour la partition de répertoire suivante. Par conséquent, il n’a pas pu envoyer les demandes de modification au contrôleur de domaine à l’adresse réseau suivante. 8446 L’opération de réplication n’a pas pu allouer de mémoire

      En outre, vous pouvez voir le code d’état de réplication :

      Code Sources Informations supplémentaires
      8451 Repadmin, DcPromo, en tant que sous-code dans les événements d’altération de la base de données Reportez-vous au guide de résolution des problèmes 8451 dans la première instance si cette erreur est identifiée.

      2645996

    2. Activez la journalisation avancée des services d’annuaire :

      Important

      Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, vérifiez que vous suivez ces étapes attentivement. Pour une protection supplémentaire, sauvegardez le Registre avant de le modifier. Vous pouvez alors le restaurer en cas de problème. Pour plus d’informations sur la procédure de sauvegarde et de restauration du Registre, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :
      322756 Comment sauvegarder et restaurer le Registre dans Windows

      Pour augmenter la journalisation des diagnostics NTDS, modifiez les valeurs de REG_DWORD suivantes dans le registre du contrôleur de domaine de destination sous la clé de Registre suivante :
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics
      Définissez la valeur des sous-clés suivantes sur 5 :
      5 Événements de réplication
      9 Traitement interne
      Notez que la journalisation niveau 5 est extrêmement détaillée et les valeurs des deux sous-clés doivent être rétablies sur la valeur par défaut de 0 une fois le problème résolu. Le filtrage du journal des événements des services d’annuaire doit être effectué pour isoler et identifier ces événements.

    3. Passez en revue les journaux des événements pour les nouveaux événements générés à partir de la journalisation accrue pour les valeurs d’erreur qui donnent une vue définitive de l’altération de la base de données.

    4. Si l’altération de la base de données a été détectée, assurez-vous que les sauvegardes récentes existent de chaque domaine dans la forêt.

    5. Redémarrez le contrôleur de domaine signalant l’altération de la base de données en mode de restauration des services d’annuaire. (Appuyez sur F8 pendant le redémarrage du serveur, ou s’il n’est pas possible, ouvrez msconfig.exe et sélectionnez Réparation Active Directory dans les options de démarrage.)

    6. Pour effectuer une inspection de la base de données en mode de restauration des services d’annuaire :

      1. Ouvrez une invite de commandes
      2. Tapez ntdsutil.
      3. Tapez activate instance ntds.
      4. Tapez Semantic database analysis.
      5. Tapez go.

      Si des erreurs sont détectées, elles sont affichées dans la console et écrites dans un fichier journal dans le répertoire de travail actuel.

    7. Si des erreurs d’altération de la base de données sont détectées, vous êtes invité à contacter Support Microsoft Services.

      Note

      Pour démarrer le contrôleur de domaine normalement après avoir effectué l’inspection de la base de données en mode restauration des services d’annuaire, tapez la bcdedit /deletevalue safeboot commande à partir d’une invite de commandes avec élévation de privilèges ou ouvrez msconfig.exe et désactivez la zone de démarrage sécurisée dans les options de démarrage.

    8. En dernière option. Vous pouvez rétrograder le contrôleur de domaine et le promouvoir à nouveau pour remplacer la base de données et répliquer le contenu à partir d’un autre serveur du domaine.

      Note

      Si une base de données Active Directory a été endommagée dans votre environnement, il est important de prendre en compte la source de la corruption pour éviter les problèmes à l’avenir. Certaines des causes connues de cette corruption sont les suivantes :

      1. Matériel défaillant : disque dur ou contrôleur
      2. Mise en cache : contrôleur de disque dur
      3. Pilotes obsolètes : contrôleur de disque dur
      4. Microprogramme obsolète : BIOS, contrôleur de disque dur, disque dur
      5. Perte soudaine de puissance

  2. Vérifiez l’existence et supprimez les objets persistants sur tous les contrôleurs de domaine de la forêt.

    Il existe plusieurs approches pour rechercher des objets persistants, notamment :

    1. Vérifiez l’existence des événements services d’annuaire suivants sur les contrôleurs de domaine de la forêt :

      Source ID de l’événement Description
      Réplication NTDS 1988 La réplication Active Directory a rencontré l’existence d’objets dans la partition suivante qui ont été supprimés de la base de données Active Directory des contrôleurs de domaine locaux. Tous les partenaires de réplication directe ou transitive ne sont pas répliqués dans la suppression avant le nombre de jours de durée de vie tombstone écoulé. Les objets qui ont été supprimés et collectés à partir d’une partition Active Directory, mais qui existent toujours dans les partitions accessibles en écriture d’autres contrôleurs de domaine du même domaine, ou des partitions en lecture seule de serveurs de catalogue globaux dans d’autres domaines de la forêt sont appelés « objets persistants ».
      Réplication NTDS 1388 Un autre contrôleur de domaine (DC) a tenté de répliquer dans ce contrôleur de domaine un objet qui n’est pas présent dans la base de données Active Directory locale. L’objet a peut-être été supprimé et déjà récupéré par la mémoire (une durée de vie tombstone ou plus est passée depuis la suppression de l’objet) sur ce contrôleur de domaine. L’ensemble d’attributs inclus dans la demande de mise à jour n’est pas suffisant pour créer l’objet. L’objet sera réinscrit avec un jeu d’attributs complet et recréé sur ce contrôleur de domaine.

      En outre, vous pouvez voir les codes d’état de réplication suivants :

      Code Sources Informations supplémentaires
      8451 Repadmin, DcPromo, en tant que sous-code dans les événements d’altération de la base de données Reportez-vous au guide de résolution des problèmes 8451 dans la première instance si cette erreur est identifiée.

      2645996

    2. Examinez la forêt pour rechercher des objets persistants.

      La méthode préférée pour détecter et supprimer des objets persistants utilise Lingering Object Liquidator v2 (LoLv2).

      Pour plus d’informations sur LoLv2, consultez :

      Dans certains cas où LoLv2 ne peut pas être utilisé, vous pouvez utiliser Repadmin.exe. Pour ce faire, exécutez la repadmin /removelingeringobjects commande en mode conseil, comme décrit dans Identifier les objets persistants.

  3. Recherchez l’existence et la suppression d’objets en conflit :
    a. Recherchez les partitions d’annuaire appropriées pour les objets gérés par CNF et l’objet que l’objet en conflit est en conflit avec la syntaxe suivante :

    repadmin /showattr localhost "dc=parent,dc=com" /subtree /filter:"((&(objectClass=*)(cn=*\0acnf:*)))" /atts:objectclass,whencreated,whenchanged

    Dans cet exemple, « dc=parent,dc=com » est le nom unique du parent.com domaine.

    Dans la plupart des cas, l’erreur 8333 indique quelles partitions de répertoire doivent être évaluées pour les objets en conflit. Il est recommandé que la partition de configuration soit vérifiée dans toutes les instances :

    repadmin /showattr localhost "cn=configuration,dc=parent,dc=com" /subtree /filter:"((&(objectClass=*)(cn=*\0acnf:*)))" /atts:objectclass,whencreated,whenchanged

    b. Passez en revue les attributs, les valeurs d’attribut et, le cas échéant, les objets subordonnés pour déterminer quel objet doit rester et qui doit être supprimé

    c. Vérifiez que vous disposez d’une sauvegarde à jour du répertoire

    d. Supprimez l’objet/conteneur en conflit ou l’objet avec lequel il est en conflit avec l’utilisation de LDP.EXE, ADSIEDIT ou l’un des outils de gestion Active Directory.

  4. Effectuez des tests des partenaires de réplication avec des composants tiers supprimés.
    Plusieurs produits tiers ont été trouvés pour provoquer ce problème, notamment :

    1. Logiciel antivirus
    2. Synchronisation d'annuaires

Collecte de données

Si vous avez besoin d’aide du support Microsoft, nous vous recommandons de collecter les informations en suivant les étapes mentionnées dans Collecter des informations à l’aide de TSS pour les problèmes de réplication Active Directory.

Plus d’informations

Objets persistants :

Nettoyer cette forêt Active Directory d’objets persistants

Corruption de base de données :

ID d’événement 1539 : intégrité de la base de données

  • Last updated on