Beschreibung der NTDS-Replikationswarnungs-IDs 1083 und 1061 und SAM-Fehler-ID 12294 aufgrund einer Active Directory-Kollision
Dieser Artikel bietet Hilfe bei der Behebung eines Problems, das auftritt, wenn eine Änderung, die auf dem lokalen Domänencontroller vorgenommen wird, auch auf dem Domänencontroller vorgenommen wird, der die PDC-Vorgänge master Rolle enthält.
Gilt für: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Ursprüngliche KB-Nummer: 306091
Zusammenfassung
Gleichzeitige Änderungen an Active Directory-Objektattributen auf verschiedenen Domänencontrollern können einen Active Directory-Konflikt für das Update verursachen. In diesem Fall werden möglicherweise die NTDS-Replikationswarnungen 1083 oder 1061 oder die SAM-Fehler-ID 12294 protokolliert.
Weitere Informationen
Die folgenden Ereignisse können protokolliert werden, wenn die sofortige Replikation ausgelöst wird (z. B. durch eine dringende Replikation für eine Benutzersperrbedingung) und mit dem lokalen Active Directory-Update kollidiert:
Ereignistyp: Warnung
Ereignisquelle: NTDS-Replikation
Ereigniskategorie: Replikation
Ereignis-ID: 1083
Beschreibung:
Replikationswarnung: Das Verzeichnis ist ausgelastet. Objekt CN=konnte nicht aktualisiert werden... mit Änderungen, die vom Verzeichnis GUID._msdcs.domain vorgenommen wurden. Versucht es später erneut.
Dies weist darauf hin, dass der erfolglose Versuch des remote ausgelösten Updates, das später wiederholt wird, angezeigt wird:
Ereignistyp: Warnung
Ereignisquelle: NTDS-Replikation
Ereigniskategorie: Replikation
Ereignis-ID: 1061
Beschreibung:
Interner Fehler: Der Aufruf des Verzeichnisreplikations-Agents (DRA) hat den Fehler 8438 zurückgegeben.
(decimal 8438 / hexadezimal 0x20f6: ERROR_DS_DRA_BUSY, winerror.h)
Wenn die erweiterte NTDS-Protokollierung aktiviert ist, wird möglicherweise auch die folgende Fehler-ID protokolliert:
Ereignistyp: Warnung
Ereignisquelle: NTDS Allgemein
Ereigniskategorie: Interne Verarbeitung
Ereignis-ID: 1173
Beschreibung:
Internes Ereignis: Ausnahme e0010004 mit den Parametern -1102 und 0 (interne ID 2030537).
(JetDataBase-ID -1102: JET_errWriteConflict -1102, Schreibsperre aufgrund einer ausstehenden Schreibsperre fehlgeschlagen)
Wenn die NTDS-Protokollierung im Eintrag HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Diagnostics\ Replikationsereignisse des Unterschlüssels auf 4 (Ausführlich) oder höher festgelegt ist, wird möglicherweise auch die folgende Fehler-ID protokolliert:
Ereignistyp: Warnung
Ereignisquelle: NTDS-Replikationsereignis
Kategorie: Replikation
Ereignis-ID: 1413
Beschreibung:
Die folgenden Objektänderungen wurden nicht auf die lokale Active Directory-Datenbank angewendet, da die lokalen Metadaten für das Objekt angeben, dass die Änderung redundant ist.
Wenn das remote ausgelöste Update gegen das lokale Update gewinnt, wird möglicherweise das folgende Systemereignis für eine Benutzerkontosperre protokolliert:
Ereignistyp: Fehler
Ereignisquelle: SAM
Ereigniskategorie: Keine
Ereignis-ID: 12294
Benutzer: user-SID
Beschreibung:
Die SAM-Datenbank konnte das Konto des Benutzers aufgrund eines Ressourcenfehlers nicht sperren, z. B. aufgrund eines Festplattenschreibfehlers (der spezifische Fehlercode befindet sich in den Fehlerdaten). Konten werden gesperrt, nachdem eine bestimmte Anzahl von ungültigen Kennwörtern bereitgestellt wurde. Ziehen Sie daher in Betracht, das Kennwort des oben genannten Kontos zurückzusetzen.
Daten: 0000: c00002a5
Sie müssen die Fehlerdaten analysieren, um die richtige Fehlerbedingung zu erhalten. DWord-Daten hexadezimal 0xc00002a5 = decimal -1073741147: STATUS_DS_BUSY, ntstatus.h).
Nach den Warnungen wird ein NTDS-Informationsereignis protokolliert, das meldet, dass das Update in der Warteschlange bereits vorgenommen wurde (mit der gleichen Versions-ID) und als redundant ignoriert wird:
Ereignistyp: Information
Ereignisquelle: NTDS-Replikation
Ereigniskategorie: Replikation
Ereignis-ID: 1413
Beschreibung:
Eigenschaft 90296 (lockoutTime) des Objekts CN=benutzername,OU=... wird nicht auf die lokale Datenbank angewendet, da die lokalen Metadaten bedeuten, dass die Änderung redundant ist. Die lokale Version ist (Versions-ID).
Wenn diese Bedingung vorhanden ist, ist kein Replikationsfehler aufgetreten. Active Directory ist konsistent, und Sie können die resultierenden Ereignisprotokolle problemlos ignorieren.
Auf einem Computer, auf dem Microsoft Windows Server ausgeführt wird, können Sie auch ermitteln, ob ein Replikationsfehler aufgetreten ist, indem Sie die Replikationsmetadaten des Objekts exportieren. Verwenden Sie dazu den folgenden Befehl in einer Eingabeaufforderung:
repadmin /showobjmeta <domainController> <objectDN>
Hinweis
Nehmen Sie in diesem Befehl den folgenden Ersatz für die Platzhalter vor:
- Ersetzen Sie den DomainController-Platzhalter durch den Hostnamen eines Domänencontrollers.
- Ersetzen Sie den ObjectDN-Platzhalter durch den Distinguished Name des betroffenen Objekts.
Passen Sie in der Ausgabe, die dieser Befehl generiert, die letzten Aktualisierungszeiten des Attributs den Zeitpunkten an, zu denen die Ereignisse protokolliert wurden. Anhand dieser Informationen können Sie bestimmen, welches Attribut den Replikationsfehler verursacht hat.
Im Allgemeinen tritt dieses Problem mit dem lockoutTime-Attribut oder mit einem der Kennwortattribute auf. In diesen Fällen können Sie die Ereignisse problemlos ignorieren. Die Ereignisse treten auf, weil die Änderung, die auf dem primären Domänencontroller (PDC) auftritt, auch auf den lokalen Domänencontroller geschrieben wird. Gleichzeitig wird die Änderung auf den Domänencontrollern repliziert. Für lockoutTime wird die Änderung dringend am Standort des PDC repliziert.
Aufgrund der kurzen Replikationsbenachrichtigungsintervalle, die Sie in Microsoft Windows Server haben können, kann es am selben Standort des PDC zu Replikationskonflikten gekommen sein. Kennwortänderungen sind ein Beispiel für ein Szenario, in dem ein Replikationskonflikt auftreten kann. Dieses Verhalten tritt auf, weil ein Domänencontroller neue Kennwörter an den PDC weiterleitet. Sowohl der PDC als auch der lokale Domänencontroller replizieren dann die geänderten Kennwortinformationen. Daher kann ein Replikationskonflikt auf einem anderen Domänencontroller am gleichen Standort auftreten. Weitere Informationen zur Replikationsbenachrichtigung finden Sie in der Microsoft Knowledge Base im folgenden Artikel:
214678 Ändern des standardmäßigen Replikationsintervalls für standortinterne Domänencontroller
Um die Generierung von Replikationskonfliktereignissen zu reduzieren, konfigurieren Sie den PDC an einem Standort, der nicht über andere Domänencontroller oder Clientcomputer verfügt. In diesem Szenario repliziert der PDC die empfangenen Updates nicht dringend. Daher können Sie das Risiko von Replikationskonflikten verringern. In einer großen Domäne können Sie diese Methode verwenden, um die Last auf dem PDC zu reduzieren.
Datensammlung
Wenn Sie Unterstützung vom Microsoft-Support benötigen, empfehlen wir Ihnen, die Informationen zu sammeln, indem Sie die unter Sammeln von Informationen mithilfe von TSS für Active Directory-Replikationsprobleme beschriebenen Schritte ausführen.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für