Active Directory-replicatiegebeurtenis-id's 2108 en 1084 vinden plaats tijdens binnenkomende replicatie van Active Directory Domain Services

Dit artikel biedt een oplossing voor een probleem waarbij u gebeurtenis-id's 2108 en 1084 krijgt wanneer binnenkomende replicatie van Active Directory Domain Services (AD DS) plaatsvindt.

Van toepassing op: Ondersteunde versies van Windows Server
Origineel KB-nummer: 837932

Symptomen

Wanneer binnenkomende replicatie van de Active Directory Domain Services (AD DS) plaatsvindt, registreert een doeldomeincontroller de volgende gebeurtenissen in het logboek van de directoryservice:

Event ID 1084: Internal event: Active Directory Domain Services could not update the following object with changes received from the following source directory service. This is because an error occurred during the application of the changes to Active Directory Domain Services on the directory service.
Object: CN=<cn path>  
Object GUID: <objectguid>  
Source directory service: NTDSA._msdcs.<forest root DNS domain name>  
Synchronization of the directory service with the source directory service is blocked until this update problem is corrected.  
This operation will be tried again at the next scheduled replication.  
User Action:  
Restart the local computer if this condition appears to be related to low system resources (for example, low physical or virtual memory).  
Additional Data:  
Error value: <error code> <error string>

Opmerking

In de Error value tekst <vertegenwoordigen foutcode> en <fouttekenreeks> de werkelijke waarden die worden weergegeven in de logboekvermelding.

Event ID 2108: This event contains REPAIR PROCEDURES for the 1084 event which has previously been logged. This message indicates a specific issue with the consistency of the Active Directory Domain Services database on this replication destination. A database error occurred while applying replicated changes to the following object. The database had unexpected contents, preventing the change from being made.  
Object: CN=<cn path>  
Object GUID: <objectguid>   
Source directory service: NTDSA._msdcs.<forest root DNS domain name>

Opmerking

Dit is een partner-gebeurtenis voor gebeurtenis 1084.

Oorzaak

Deze gebeurtenissen treden op wanneer de domeincontroller geen transactionele wijziging kan schrijven naar de lokale kopie van de Active Directory-database.

Oplossing

Volg deze stappen om dit probleem op te lossen. Voer de replicatiebewerking opnieuw uit na elke stap die een wijziging aanbrengt.

1. Zorg ervoor dat er voldoende vrije schijfruimte beschikbaar is op de volumes die als host fungeren voor de Active Directory-database en voer de bewerking opnieuw uit. Volg deze stappen om extra schijfruimte vrij te maken:

   1. Verplaats niet-gerelateerde bestanden naar een ander volume.

   2. Voer een back-up van de systeemstatus uit. Dit proces vermindert de grootte van de transactielogboekbestanden. Zie De back-upfunctie gebruiken om back-ups van gegevens te maken en te herstellen voor meer informatie.

   3. Voer een offlinedefragmentatie van Active Directory uit. Zie Offline defragmentatie van de Active Directory-database uitvoeren voor meer informatie.

2. Zorg ervoor dat op de fysieke stations waarop het bestand Ntds.dit en de transactielogboekbestanden worden gehost, ntfs-bestandssysteemcompressie niet is ingeschakeld. Als u dit wilt bevestigen, klikt u met de rechtermuisknop op de stationsletter in Deze computer en controleert u of het selectievakje Station comprimeren om schijfruimte te besparen niet is ingeschakeld.

3. Zorg ervoor dat de fysieke stations die als host fungeren voor het bestand Ntds.dit en de transactielogboekbestanden specifiek zijn uitgesloten van externe en lokale antivirusprogramma's. Zie voor meer informatie:

   • Microsoft Defender Antivirus-uitsluitingen op Windows Server
   • Aanbevelingen voor virusscans voor bedrijfscomputers met Windows of Windows Server (KB822158)

4. Als de doeldomeincontroller de globale catalogus bevat en de fout optreedt in een van de alleen-lezen partities, gebruikt u een van de volgende methoden om het probleem op te lossen:

   • Methode 1: Gebruik de optie rehost van het hulpprogrammaRepadmin.exe om de betrokken partitie opnieuw te hosten.

     Het hulpprogrammaRepadmin.exe wordt geïnstalleerd op computers met de domeincontrollerrol en wordt samen met de Remote Server Administration Tools (RSAT) geïnstalleerd op lidwerkstations en servers. Typ hiervoor het volgende bij een opdrachtprompt, waarbij domain_controller de naam van de doeldomeincontroller is en good_source_domain_controller_name de naam van een andere domeincontroller is:

     repadmin /rehost domain_controller naming_context good_source_domain_controller_name
     

   • Methode 2: Configureer de domeincontroller zodat deze niet langer een globale catalogusserver is. Volg deze stappen:

     1. Selecteer Start, wijs Systeembeheer aan en selecteer vervolgens Active Directory-sites en -services.
     2. Zoek de standaard-eerste-site-naamservers\ \ domain_controller_name\ substructuur NTDS-instellingen.
     3. Klik met de rechtermuisknop op NTDS-instellingen en selecteer vervolgens Eigenschappen.
     4. Schakel het selectievakje Globale catalogus in en selecteer VERVOLGENS OK.

   • Methode 3

     Als de fout optreedt in een programmapartitie, gebruikt u het hulpprogrammaNtdsutil.exe om de replica te wijzigen die als host fungeert voor de programmapartitie.

5. Gebruik een hulpprogramma van derden, zoals het hulpprogramma ProcMon, om te bepalen of een programma of een gebruiker toegang heeft tot de Active Directory-database, de transactielogboekbestanden of het Edp.tmp-bestand . Als er een bestandstoegangsactiviteit bestaat, stopt u de services die verantwoordelijk zijn voor de activiteit. Zie ProcMon voor meer informatie over het hulpprogramma ProcMon.

6. Bepaal of het probleem te maken heeft met de bovenliggende versie van het Active Directory-object op de doeldomeincontroller. Ga hiervoor als volgt te werk:

   1. Verplaats op de brondomeincontroller het object waarnaar wordt verwezen in gebeurtenis 1084 tijdelijk naar een organisatie-eenheid (OE)-container. De OE moet niet gerelateerd zijn aan de huidige container. Verplaats het object bijvoorbeeld naar een nieuwe container buiten de hoofdmap van het domein.

   2. Als de replicatie is voltooid nadat u het object hebt verplaatst, verplaatst u het object terug naar de oorspronkelijke container.

   3. Dwing de doorgifte van de beveiligingsdescriptor af om de objectcontainer ancestry opnieuw te bouwen in de database die bestaat op zowel de bron- als doeldomeincontrollers. Ga hiervoor als volgt te werk:

      1. Open een opdrachtprompt met verhoogde bevoegdheid op de domeincontroller of Windows-client waarop RSAT is geïnstalleerd.

      2. Typ ldp.exe <DC-naam> en druk op Enter.

      3. Selecteer Verbinding>verbinding maken en typ de naam van de server waarmee u verbinding wilt maken.

         Opmerking

         U maakt verbinding via poort 389 voor Active Directory.

      4. Selecteer Verbindingsband> en typ vervolgens uw gebruikersnaam, wachtwoord en domein voor beheerdersrechten. (U moet referenties voor domeinbeheerder of ondernemingsbeheerder gebruiken.) Selecteer OK.

      5. Selecteer wijzigen in het menu Bladeren. Laat het tekstvak DN leeg. Typ FixUpInheritance in het tekstvak Kenmerk. Selecteer Ja in het tekstvak Waarde .

      6. Selecteer toevoegen in het gebied Bewerking.

      7. Selecteer Enter om het gebied Vermeldingenlijst te vullen.

         Opmerking

         In het gebied Vermeldingenlijst wordt [Add]fixupinheritance:yes weergegeven.

      8. Selecteer Uitvoeren.

         Opmerking

         In het rechterdeelvenster wordt nu de status Gewijzigd weergegeven en wordt de doorgifte van de beveiligingsdescriptor gestart. De runtime voor de doorgifte van de beveiligingsdescriptor is afhankelijk van de grootte van de Active Directory-database. Het proces is voltooid wanneer het teller DS-beveiligingsdoorgiftegebeurtenissen in het NTDS-prestatieobject terugkeert naar nul.

      9. SelecteerVerbinding>afsluiten sluiten>.

7. Typ repadmin /showmeta distinguished_name_path op de brondomeincontroller bij een opdrachtprompt en bekijk vervolgens de objectmetagegevens voor het DN-naampad waarnaar wordt verwezen in gebeurtenis 1084. Herhaal deze stap op de doeldomeincontroller. Zoek naar inconsistente waarden die het volgende bevatten, maar niet beperkt zijn tot:

   • Onjuiste namen en nummers van kenmerken die op het object worden weergegeven
   • Onjuiste oorspronkelijke tijd- of datumstempels
   • Onjuiste lokale reeksnummers voor updates (USN)

   Onjuiste waarden kunnen duiden op een probleem met de databasepagina waarop het object wordt gehost.

   Als u het hulpprogrammaRepadmin.exe wilt gebruiken wanneer het DN-naampad verwijst naar een live-object, typt u het volgende bij een opdrachtprompt:

   repadmin /showmeta remote_domain_controller_name distinguished_name_path_of_reference _object
   

   Als het object zich in een container met verwijderde objecten bevindt of als u het hulpprogramma Repadmin.exe niet kunt gebruiken om het object te vinden, gebruikt u de GUID-verwijzing van het object om het object te vinden. Naar deze GUID wordt verwezen in gebeurtenis 1084. Typ hiervoor het volgende bij een opdrachtprompt:

   repadmin /showmeta remote_domain_controller_name "GUID_for_the_object that_is_referenced_in_Event_ID_1084"
   

   Als gebeurtenis 1084 en gebeurtenis 2108 bijvoorbeeld verwijzen naar een object waarvan de GUID b49cd496-98a2-4500-bb08-58550c2f79ac is, typt u repadmin /showmeta "<GUID=b49cd496-98a2-4500-bb08-58550c2f79ac>".

   Opmerking

   De aanhalingstekens en haken zijn vereist.

8. Gebruik het hulpprogrammaNtdsutil.exe om een integriteitscontrole uit te voeren van de Active Directory-database op de brondomeincontroller.

   Voordat u de computer start in DSRM (Directory Services Restore Mode), moet u het wachtwoord ophalen voor het offline beheerdersaccount en het DSRM-account. Als uw DSRM-accountwachtwoorden worden beheerd door Windows LAPS, verkrijgt u het wachtwoord met behulp van Get-LapsADPassword.

   Als u het wachtwoord van het beheerdersaccount niet weet, stelt u het wachtwoord voor de herstelmodus van Directory Services opnieuw in voordat u in deze modus begint.

   Gebruik de opdracht Ntdsutil Set Directory Services Restore Mode Password.

   Zie het foutbericht 'Directory Services kan niet worden gestart' wanneer u uw Windows- of SBS-domeincontroller start voor meer informatie over het wijzigen van het wachtwoord.

9. Start de brondomeincontroller opnieuw op en druk op F8 om de herstelmodus van Directory Services te starten. Typ ntdsutil files integrity bij de opdrachtprompt en druk vervolgens op Enter.

   Opmerking

   Deze opdracht bevestigt de integriteit van de database.

   • Als het hulpprogramma Ntdsutil meldt dat de database beschadigd is en u replica's van de naamgevingscontexten op de brondomeincontroller hebt, dwingt u een degradatie van de brondomeincontroller af en promoveert u deze opnieuw nadat u de integriteit van de stuurprogramma's, de firmware en de fysieke stations hebt gecontroleerd die als host fungeren voor de Active Directory-database en de transactielogboekbestanden.

   • Als de database is beschadigd en er geen replica's van de naamgevingscontext op de brondomeincontroller bestaan, herstelt u de nieuwste systeemstatus. Gebruik het hulpprogramma NTDSutil.exe om de integriteit van de database opnieuw te bevestigen. Als u nog steeds een beschadigd bericht ontvangt, herstelt u oudere back-ups totdat u de integriteit van de domeincontroller kunt bevestigen.

   • Als de database nog steeds beschadigd is, herstelt u de meest recente back-up van de systeemstatus en typt u bij een opdrachtprompt:

     ntdsutil files recover
     

     Gebruik het hulpprogramma NTDSutil.exe de integriteit van de database opnieuw bevestigen. Als de database de integriteitscontrole doorstaat, voert u een offlinedefragmentatie van de schijfpartitie uit. Zie Offline defragmentatie van de Active Directory-database uitvoeren voor meer informatie.

     Als u een integriteitscontrole van de database wilt uitvoeren, typt u het volgende bij een opdrachtprompt en drukt u op Enter, waarbij database_name de naam van de Active Directory-database is:

     esentutl.exe /g database_name
     

     Gebruik ten slotte de optie Windows normaal starten om de computer opnieuw op te starten en probeer vervolgens de replicatie van de brondomeincontroller naar de betreffende doeldomeincontroller opnieuw uit te voeren.

10. Als deze stappen niet slagen en de replicatiefout blijft optreden, degradeert u de domeincontroller, bevestigt u de integriteit van de fysieke stations en de volumes die als host fungeren voor het bestand Ntds.dit en het schijfsubsysteem en promoveert u de domeincontroller opnieuw. Gebruik dezelfde computernaam.

11. Gebruik de opdracht ntdsutil files compact om offline defragmentatie van de Active Directory-database uit te voeren. Zie Offline defragmentatie van de Active Directory-database uitvoeren voor meer informatie.

12. Typ de volgende opdracht bij de opdrachtprompt en druk op Enter:

    ntdsutil "semantic database analysis" "go"
    

    Opmerking

    De aanhalingstekens in dit voorbeeld zijn vereist om de opdracht semantische databaseanalyse uit te voeren met behulp van één opdrachtregelargument.

    Als er fouten worden gerapporteerd, typt ntdsutil go fixupu en drukt u op Enter.

Gegevensverzameling

Als u hulp nodig hebt van Microsoft-ondersteuning, raden we u aan de gegevens te verzamelen door de stappen te volgen die worden vermeld in Gegevens verzamelen met behulp van TSS voor replicatieproblemen met Active Directory.

Disclaimerinformatie van derden

De producten van derden die in dit artikel worden vermeld, worden vervaardigd door bedrijven die onafhankelijk zijn van Microsoft. Microsoft verleent dan ook geen enkele garantie, impliciet noch anderszins, omtrent de prestaties of de betrouwbaarheid van deze producten.