Delen via

Problemen met AD-replicatiefout 1908 oplossen: kan de domeincontroller voor dit domein niet vinden

Dit artikel bevat een oplossing voor het oplossen van problemen met AD-replicatiefout 1908: kan de domeincontroller voor dit domein niet vinden.

Oorspronkelijk KB-nummer: 2712026

Notitie

Thuisgebruikers: Dit artikel is alleen bedoeld voor technische ondersteuningsmedewerkers en IT-professionals. Als u hulp zoekt bij een probleem, vraagt u de Microsoft-community.

Symptomen

  1. REPADMIN.exe meldt dat de replicatiepoging is mislukt met status 1908.

    REPADMIN-opdrachten die vaak de status 1908 bevatten, maar die niet beperkt zijn tot:

    • REPADMIN /ADD
    • REPADMIN /REPLSUM *
    • REPADMIN /REHOST
    • REPADMIN /SHOWVECTOR /LATENCY
    • REPADMIN /SHOWREPS
    • REPADMIN /SHOWREPL

    Voorbeelduitvoer van repadmin /syncall opdracht:

    Syncing all NC's held on CONTOSO-DC02.  
Syncing partition: DC=ForestDnsZones,DC=Contoso,DC=com  
CALLBACK MESSAGE: Error contacting server 1b136427-14f0-448a-965c-  
9cbb61400fcd._msdcs.Contoso.com (network error): 1908 (0x774):  
 Could not find the domain controller for this domain.

    Voorbeelduitvoer van repadmin /showreps opdracht:

    DC=ForestDnsZones,DC=Contoso,DC=com  
HQ\Contoso-DC02 via RPC  
DC object GUID:1b136427-14f0-448a-965c-9cbb61400fcd._msdcs.Contoso.com/  
Last attempt @ <DATE> <TIME> failed, result 1908 (0x774):  
Could not find the domain controller for this domain.  
<# consecutive failure>  
<Last Success>

  2. NTDS KCC, NTDS-replicatiegebeurtenissen met de status 1908 worden vastgelegd in het gebeurtenislogboek van de directoryservice.

    Active Directory-gebeurtenissen die vaak de status 1908 vermelden, zijn onder meer, maar zijn niet beperkt tot:

    Bron van gebeurtenis Gebeurteniscategorie Gebeurtenis-id Gebeurtenistype Gebeurtenisreeks
    NTDS KCC Kennisconsistentiecontrole 1926 Waarschuwing De poging om een replicatiekoppeling naar een alleen-lezen mappartitie tot stand te brengen met de volgende parameters is mislukt.
    NTDS KCC Kennisconsistentiecontrole 1925 Waarschuwing De poging om een replicatiekoppeling tot stand te brengen voor de volgende beschrijfbare mappartitie is mislukt.
    NTDS-replicatie Replicatie 1943 Error Active Directory kan niet alle achtergebleven objecten op de lokale domeincontroller verwijderen. Sommige achtergebleven objecten zijn echter mogelijk verwijderd op deze domeincontroller voordat deze bewerking is gestopt. Alle objecten hadden hun bestaan geverifieerd op de volgende brondomeincontroller.
    NTDS-replicatie Instellingen 1125 Error De wizard Active Directory-domein Services installeren (Dcpromo) kan geen verbinding maken met de volgende domeincontroller.

    Deze gebeurtenissen bevatten de volgende subfoutwaarde:

    Extra gegevens
    Foutwaarde:
    Kan de domeincontroller voor dit domein niet vinden. 1908

  3. Wanneer u replicatie probeert af te dwingen in de Active Directory Sites and Services-console (dssite.msc) via de optie 'Nu repliceren', wordt de onderstaande fout mogelijk weergegeven:

    Titeltekst van dialoogvenster: Nu repliceren

    Tekst van dialoogvenster: De volgende fout is opgetreden tijdens de poging om naamgevingscontext naamgevingscontext <> te synchroniseren van domeincontrollerbron-DC-naam> <naar <domeincontroller destination-DC-name>: kan de domeincontroller voor dit domein niet vinden.

    Foutbericht: kan de domeincontroller voor dit domein niet vinden.

    Knoppen in dialoogvenster: OK

  4. Promotie/degradatie van domeincontrollers

    Dialoogvenster over Dcpromo.exe fout:

    Tekst van dialoogvenstertitel: Wizard Active Directory-installatie

    Tekst van dialoogvenster: Active Directory kan het object NTDS-instellingen voor deze domeincontroller CN=NTDS-instellingen, CN=DC_Name,CN>=Servers,CN=<SiteName,CN>=Sites,CN=Configuration,DomainDN>< maken op de domeincontroller <verwijderen Remote_DC_FQDN>.< Zorg ervoor dat de opgegeven netwerkreferenties voldoende machtigingen hebben.

    Foutbericht: kan de domeincontroller voor dit domein niet vinden.

    Knoppen in dialoogvenster: OK

    DCPromo.log bestandsrapporten (%windir%\debug\DCPromo.log):

    [INFO] Fout: Active Directory-domein Services kan het object NTDS-instellingen niet maken voor dit Active Directory-domein Controller CN=NTDS-instellingen,CN=CONTOSO-DC02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Contoso,DC=com op de externe AD DC contoso-dc01.Contoso.com. Zorg ervoor dat de opgegeven netwerkreferenties voldoende machtigingen hebben. (1908)
    [INFO] NtdsInstall voor Contoso.com geretourneerd 1908
    [INFO] DsRolepInstallDs heeft 1908 geretourneerd
    [FOUT] Kan niet installeren in Directory Service (1908)

Oorzaak

Foutcode 1908 vertegenwoordigt de fout die wordt weergegeven als 'Kan de domeincontroller voor dit domein niet vinden'. Deze fout heeft twee primaire oorzaken:

  1. De doeldomeincontroller kan geen contact opnemen met een KDC (Key Distribution Center)

  2. De computer ondervindt kerberos-gerelateerde fouten

Een belangrijk concept voor dit scenario is dat de KDC die wordt gebruikt voor replicatiebewerkingen:

a. De doel-DC
b. De brondomeincontroller
c. Een volledig andere DC (niet de bron- of doel-DC).

Oplossing

  1. Controleer of de sleuteldistributieservice wordt uitgevoerd op de doeldomeincontroller

    Ontdek het Kerberos-sleuteldistributiecentrum waarmee u contact op neemt. Het kan worden gedetecteerd met behulp van een pakketopnameprogramma zoals Network Monitor 3.4.

    1. Gebruik Network Monitor om het gereproduceerde foutbericht vast te leggen. (Mogelijk moet u eerst de DNS-clientservice stoppen, zodat u het DNS-queryverkeer ziet)

    2. Controleer de pakketopname voor de DNS-query voor een KDC: Voorbeeldadresquery's:

      _kerberos.Tcp.<SiteName>._sites.dc._msdcs.<Domein>.com
      _kerberos._tcp.dc._msdcs.<Domein>.com

    3. Controleer op verkeer DCLocator :
      Voorbeeld van netwerkmonitor 3.4-opname van DcLocator-verkeer. In dit voorbeeld is 10.0.1.11 de KDC die we hebben gedetecteerd en is 10.0.1.10 de client die een ticket aanvraagt. Hierbij wordt de standaardindeling netwerkmonitorkolom gebruikt.

      Lijst # Tijd en datum Tijdverschil Bron-IP Doel-IP DETAILS
      42 3/7/2012 3.6455760 10.0.1.10 10.0.1.11 LDAPMessage: Zoekaanvraag, MessageID: 371 *** Dit pakket is een UDP LDAP-aanroep voor DC Locator op zoek naar Netlogon***
      43 3/7/2012 3.6455760 10.0.1.11 10.0.1.10 NetLogon:LogonSAMPauseResponseEX (SAM-antwoord wanneer Netlogon is onderbroken): 24 (0x18)

    4. Controleer of de KDC en Netlogon services van 10.10.1.11 worden uitgevoerd. Controleer op gedetecteerde domeincontroller(10.0.1.11) de KDC- en Netlogon servicestatus met SC Query

      Voorbeeld: voer een query uit op de KDC-service met: 'SC Query KDC' en de Netlogon service met: 'SC Query Netlogon' Deze opdrachten moeten 'State: Running' retourneren

  2. Controleer of de doeldomeincontroller adverteren als een sleuteldistributiecentrum
    Gebruik DCDIAG.exe om te controleren of de doeldomeincontroller reclame maakt. Voer vanaf een CMD.exe prompt de volgende opdracht uit:

    C:\DCDiag.exe /v /test:Advertising /test:SysVolCheck

    Controleer of de domeincontroller de advertising- en SYSVOLCHeck-tests doorstaat en adverteren als key distribution center en SysVol gereed is. Als SysVol deze niet gereed is, kan de server niet adverteren als een domeincontroller.

    Server testen:<SiteName DC-naam><>
    Test starten: Reclame
    De DC DC-naam <> adverteren zichzelf als een DC en met een DS
    De DC DC-naam <> adverteren als een LDAP-server
    De DC DC-naam <> adverteren als een schrijfbare map
    De DC DC-naam <> adverteren als een sleuteldistributiecentrum
    De DC DC-naam <> adverteren als een tijdserver
    De DS <DC-naam> adverteren als een GC.

    Test starten: SysVolCheck * De SYSVOL-test voor file replication-service
    SYSVOL van file replication service is gereed
    ..<DC-naam> geslaagd voor test SysVolCheck

  3. Controleer of de broncomputer en doelcomputer binnen 5 minuten van elkaar liggen.

  4. Controleren op kerberos-fouten

    1. Schakel Kerberos-gebeurtenislogboekregistratie in op clientcomputers en domeincontrollers op de site.
    2. KB: 262177 Kerberos-gebeurtenislogboeken inschakelen
    3. Problemen met Kerberos oplossen

Meer informatie

Deze fout is een van de aanbevolen oefeningen in het volgende praktische TechNet-lab: TechNet hands-on lab: Problemen met Active Directory-replicatiefouten oplossen
In dit lab doorloopt u de fasen voor probleemoplossing, analyse en implementatie van veelvoorkomende Active Directory-replicatiefouten. U gebruikt een combinatie van ADREPLSTATUS, repadmin.exe en andere hulpprogramma's om problemen met een vijf DC-, drie-domeinomgeving op te lossen. AD-replicatiefouten in het lab zijn -2146893022, 1256, 1908, 8453 en 8606.