Die Active Directory-Replikationsereignis-IDs 2108 und 1084 treten während der eingehenden Replikation von Active Directory Domain Services

  • Artikel

Dieser Artikel bietet eine Lösung für ein Problem, bei dem Sie die Ereignis-IDs 2108 und 1084 erhalten, wenn die eingehende Replikation des Active Directory Domain Services (AD DS) auftritt.

Gilt für: Windows Server 2016, Windows Server 2012 R2
Ursprüngliche KB-Nummer: 837932

Symptome

Wenn die eingehende Replikation des Active Directory Domain Services (AD DS) erfolgt, protokolliert ein Zieldomänencontroller, auf dem Microsoft Windows Server 2003 Service Pack 1 (SP1) ausgeführt wird, über Windows Server 2016 das folgende Ereignis im Verzeichnisdienstprotokoll:

Ereignis-ID 1084: Internes Ereignis: Active Directory Domain Services konnte das folgende Objekt nicht mit Änderungen aktualisieren, die vom folgenden Quellverzeichnisdienst empfangen wurden. Dies liegt daran, dass während der Anwendung der Änderungen an Active Directory Domain Services im Verzeichnisdienst ein Fehler aufgetreten ist.

Objekt: CN=<cn path>

Objekt-GUID: <objectguid>

Quellverzeichnisdienst: NTDSA._msdcs.<forst-DNS-Stammdomänenname>

Die Synchronisierung des Verzeichnisdiensts mit dem Quellverzeichnisdienst wird blockiert, bis dieses Updateproblem behoben wurde.

Dieser Vorgang wird bei der nächsten geplanten Replikation erneut versucht.

Benutzeraktion:

Starten Sie den lokalen Computer neu, wenn diese Bedingung mit geringen Systemressourcen (z. B. geringem physischem oder virtuellem Arbeitsspeicher) zusammenhängt.

Zusätzliche Daten:

Fehlerwert: <Fehlercode-Fehlerzeichenfolge><>

Hinweis

  • Im Text Fehlerwert stellen Fehlercode und Fehlerzeichenfolge> die tatsächlichen Werte dar, <die im Protokolleintrag angezeigt <werden.>
  • Ereignis 1804 wurde seit Windows 2000 Server protokolliert.

Zieldomänencontroller, auf denen Windows Server 2003 SP1 ausgeführt wird, protokollieren auch das folgende Ereignis im Verzeichnisdienstprotokoll:

Ereignis-ID 2108: Dieses Ereignis enthält REPAIR PROCEDURES für das ereignis 1084, das zuvor protokolliert wurde. Diese Meldung weist auf ein bestimmtes Problem mit der Konsistenz der Active Directory Domain Services Datenbank auf diesem Replikationsziel hin. Datenbankfehler beim Anwenden replizierter Änderungen auf das folgende Objekt. Die Datenbank enthielt unerwartete Inhalte, wodurch verhindert wurde, dass die Änderung vorgenommen wurde.

Hinweis

  • Ereignis 2108 wird unter Windows Server 2003 protokolliert, nachdem SP1 installiert wurde.
  • Dies ist ein Partnerereignis für Ereignis 1084.

Ursache

Diese Ereignisse treten auf, wenn der Domänencontroller keine Transaktionsänderung in die lokale Kopie der Active Directory-Datenbank schreiben kann.

Lösung

Führen Sie die folgenden Schritte aus, um dieses Problem zu beheben. Wiederholen Sie den Replikationsvorgang nach jedem Schritt, der eine Änderung vornimmt.

  1. Stellen Sie sicher, dass auf den Volumes, auf denen die Active Directory-Datenbank gehostet wird, ausreichend freier Speicherplatz verfügbar ist, und wiederholen Sie dann den Vorgang. Führen Sie die folgenden Schritte aus, um zusätzlichen Speicherplatz frei zu geben:

    1. Verschieben sie nicht verknüpfte Dateien auf ein anderes Volume.

    2. Führen Sie eine Systemstatussicherung durch. Dieser Prozess reduziert die Größe der Transaktionsprotokolldateien. Weitere Informationen finden Sie unter Verwenden des Sicherungsfeatures zum Sichern und Wiederherstellen von Daten in Windows Server 2003.

    3. Führen Sie eine Offline-Defragmentierung von Active Directory durch. Weitere Informationen finden Sie unter Ausführen der Offlinedefragmentierung der Active Directory-Datenbank.

  2. Stellen Sie sicher, dass auf den physischen Laufwerken, auf denen die Datei "Ntds.dit" und die Transaktionsprotokolldateien gehostet werden, keine NTFS-Dateisystemkomprimierung aktiviert ist. Um dies zu bestätigen, klicken Sie unter "Arbeitsplatz" mit der rechten Maustaste auf den Laufwerkbuchstaben, und stellen Sie dann sicher, dass das Kontrollkästchen Laufwerk zum Sparen von Speicherplatz komprimieren nicht aktiviert ist.

  3. Stellen Sie sicher, dass die physischen Laufwerke, auf denen die Datei "Ntds.dit" und die Transaktionsprotokolldateien gehostet werden, ausdrücklich von Remote- und lokalen Antivirenprogrammen ausgeschlossen sind. Weitere Informationen finden Sie in der Dokumentation zur Antivirensoftware.

  4. Wenn der Zieldomänencontroller den globalen Katalog enthält und der Fehler in einer der schreibgeschützten Partitionen auftritt, verwenden Sie eine der folgenden Methoden, um das Problem zu beheben:

    • Methode 1: Verwenden Sie die Option zum erneuten Hosten des tools Repadmin.exe, um die betroffene Partition neu zu hosten.

      Das Repadmin.exe-Tool wird auf Computern mit der Domänencontrollerrolle installiert und zusammen mit dem RSAT-Tool auf Mitgliedsarbeitsstationen und -servern installiert. Geben Sie hierzu Folgendes an einer Eingabeaufforderung ein, wobei domain_controller der Name des Zieldomänencontrollers und good_source_domain_controller_name der Name eines anderen Domänencontrollers ist:

      repadmin /rehost domain_controller naming_context good_source_domain_controller_name

    • Methode 2: Konfigurieren Sie den Domänencontroller so, dass er kein globaler Katalogserver mehr ist. Gehen Sie folgendermaßen vor:

      1. Klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie dann auf Active Directory-Standorte und -Dienste.
      2. Suchen Sie die Unterstruktur Default-First-Site-Name\ Servers\ domain_controller_name\ NTDS-Einstellungen .
      3. Klicken Sie mit der rechten Maustaste auf NTDS-Einstellungen, und klicken Sie dann auf Eigenschaften.
      4. Deaktivieren Sie das Kontrollkästchen Globaler Katalog , und klicken Sie dann auf OK.

    • Methode 3

      Wenn der Fehler in einer Programmpartition auftritt, verwenden Sie das Ntdsutil.exe Tool, um das Replikat zu ändern, das die Programmpartition hostet.

  5. Verwenden Sie ein Hilfsprogramm eines Drittanbieters, z. B. das FileMon-Hilfsprogramm, um zu ermitteln, ob ein Programm oder ein Benutzer auf die Active Directory-Datenbank, die Transaktionsprotokolldateien oder die Edp.tmp-Datei zugreift. Wenn eine Dateizugriffsaktivität vorhanden ist, beenden Sie die Dienste, die für die Aktivität verantwortlich sind. Weitere Informationen zum FileMon-Hilfsprogramm finden Sie unter FileMon für Windows v7.04.

  6. Ermitteln Sie, ob das Problem mit dem übergeordneten Active Directory-Objekt auf dem Zieldomänencontroller zusammenhängt. Gehen Sie dazu wie folgt vor:

    1. Verschieben Sie auf dem Quelldomänencontroller vorübergehend das Objekt, auf das in Ereignis 1084 verwiesen wird, in einen Organisationseinheitscontainer . Die Organisationseinheit muss nicht mit dem aktuellen Container verknüpft sein. Verschieben Sie z. B. das -Objekt in einen neuen Container vom Stamm der Domäne.

    2. Wenn die Replikation abgeschlossen ist, nachdem Sie das Objekt verschoben haben, verschieben Sie das Objekt zurück in den ursprünglichen Container.

    3. Erzwingen Sie, dass die Sicherheitsbeschreibungsverbreiterung die Ahnenstruktur des Objektcontainers in der Datenbank neu erstellt, die sowohl auf dem Quell- als auch auf dem Zieldomänencontroller vorhanden ist. Gehen Sie dazu wie folgt vor:

      1. Stellen Sie sicher, dass die Windows Server 2003-Supporttools installiert sind. Die Supporttools sind auf der Windows Server 2003-CD-ROM im Ordner Support\Tools verfügbar. Doppelklicken Sie auf die datei Suptools.msi, um die Tools zu installieren.

      2. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie ldp ein, und klicken Sie dann auf OK.

      3. Klicken Sie auf Verbindung, klicken Sie auf Verbinden, und geben Sie dann den Namen des Servers ein, mit dem Sie eine Verbindung herstellen möchten.

        Hinweis

        Sie stellen eine Verbindung über Port 389 für Active Directory her.

      4. Klicken Sie auf Verbindung, klicken Sie auf Binden, und geben Sie dann Ihren Administratorbenutzernamen, das Kennwort und die Domäne ein. (Sie müssen Anmeldeinformationen für Domänenadministrator oder Unternehmensadministrator verwenden.) Klicken Sie auf OK.

      5. Klicken Sie im Menü Durchsuchen auf Ändern. Lassen Sie das Textfeld DN leer. Geben Sie im Textfeld Attribut den Text FixUpInheritance ein. Klicken Sie im Textfeld Wert auf Ja.

      6. Klicken Sie im Bereich Vorgang auf Hinzufügen.

      7. Klicken Sie auf DIE EINGABETASTE , um den Bereich Eintragsliste aufzufüllen .

        Hinweis

        Im Bereich Eintragsliste wird [Hinzufügen]fixupinheritance:yes angezeigt.

      8. Klicken Sie auf Ausführen.

        Hinweis

        Im rechten Bereich wird nun eine geänderte status angezeigt, und die Sicherheitsbeschreibungsweitergabe wird gestartet. Die Laufzeit für die Sicherheitsdeskriptorweitergabe hängt von der Größe der Active Directory-Datenbank ab. Der Prozess ist abgeschlossen, wenn der Leistungsindikator DS-Sicherheitsweitergabeereignisse im NTDS-Leistungsobjekt auf 0 (null) zurückgesetzt wird.

      9. Klicken Sie auf Schließen, klicken Sie auf Verbindung und dann auf Beenden.

  7. Geben Sie repadmin /showmeta distinguished_name_path auf dem Quelldomänencontroller an einer Eingabeaufforderung ein, und zeigen Sie dann die Objektmetadaten für den Distinguished Name-Pfad an, auf den in Ereignis 1084 verwiesen wird. Wiederholen Sie diesen Schritt auf dem Zieldomänencontroller. Suchen Sie nach inkonsistenten Werten, die Folgendes enthalten, aber nicht beschränkt sind:

    • Falsche Namen und Anzahl von Attributen, die für das Objekt angezeigt werden
    • Falsche Ursprungszeit oder Datumsstempel
    • Falsche lokale Updatesequenznummern (USN)

    Falsche Werte können auf ein Problem mit der Datenbankseite hinweisen, auf der das Objekt gehostet wird.

    Um das Tool Repadmin.exe zu verwenden, wenn der Distinguished Name-Pfad auf ein Liveobjekt verweist, geben Sie Folgendes an einer Eingabeaufforderung ein:

    repadmin /showmeta remote_domain_controller_name distinguished_name_path_of_reference _object

    Wenn sich das Objekt in einem Container für gelöschte Objekte befindet oder Sie das Repadmin.exe-Tool nicht verwenden können, um das Objekt zu finden, verwenden Sie den GUID-Verweis des Objekts, um das Objekt zu suchen. Auf diese GUID wird in Ereignis 1084 verwiesen. Geben Sie hierzu Folgendes an einer Eingabeaufforderung ein:

    repadmin /showmeta remote_domain_controller_name "GUID_for_the_object that_is_referenced_in_Event_ID_1084"

    Wenn z. B. Ereignis 1084 und Ereignis 2108 auf ein Objekt verweisen, bei dem die GUID b49cd496-98a2-4500-bb08-58550c2f79ac ist, geben Sie ein repadmin /showmeta "<GUID=b49cd496-98a2-4500-bb08-58550c2f79ac>".

    Hinweis

    Die Anführungszeichen und Klammern sind erforderlich.

  8. Rufen Sie das neueste Ntdsutil.exe Tool ab, indem Sie das neueste Service Pack für Ihr Betriebssystem installieren. Verwenden Sie das tool Ntdsutil.exe, um eine Integritätsprüfung der Active Directory-Datenbank auf dem Quelldomänencontroller durchzuführen.

    Bevor Sie den Computer im Wiederherstellungsmodus der Verzeichnisdienste starten, rufen Sie das Kennwort für das Offlineadministratorkonto ab. Wenn Sie das Kennwort des Administratorkontos nicht kennen, setzen Sie das Kennwort für den Wiederherstellungsmodus der Verzeichnisdienste zurück, bevor Sie in diesem Modus starten. Verwenden Sie auf Domänencontrollern, auf denen Windows 2000 Service Pack 2 (SP2) und höher ausgeführt wird, den Befehl Setpwd.exe. Der befehl Setpwd.exe befindet sich im Ordner %Systemroot%\System32. Verwenden Sie auf Windows Server 2003-basierten Domänencontrollern den Befehl Ntdsutil Set Directory Services Restore Mode Password.

    Weitere Informationen zum Wiederherstellungsmodus für Verzeichnisdienste finden Sie unter Fehlermeldung "Verzeichnisdienste können nicht gestartet werden", wenn Sie Ihren Windows-basierten oder SBS-basierten Domänencontroller starten.

    Weitere Informationen zum Ändern des Kennworts in Windows Server 2003 finden Sie unter Fehlermeldung "Verzeichnisdienste können nicht gestartet werden", wenn Sie Ihren Windows-basierten oder SBS-basierten Domänencontroller starten.

  9. Starten Sie den Quelldomänencontroller neu, und drücken Sie dann F8, um den Wiederherstellungsmodus für Verzeichnisdienste zu starten. Geben Sie an der Eingabeaufforderung ntdsutil files integrity ein, und drücken Sie die Eingabetaste.

    Hinweis

    Dieser Befehl bestätigt die Integrität der Datenbank.

    • Wenn das Ntdsutil-Tool meldet, dass die Datenbank beschädigt ist und Sie über Replikate der Namenskontexte auf dem Quelldomänencontroller verfügen, erzwingen Sie eine Herabstufung des Quelldomänencontrollers, und stufen Sie ihn dann erneut hoch, nachdem Sie die Integrität der Treiber, der Firmware und der physischen Laufwerke überprüft haben, die die Active Directory-Datenbank und die Transaktionsprotokolldateien hosten.

    • Wenn die Datenbank beschädigt ist und keine Replikate des Namenskontexts auf dem Quelldomänencontroller vorhanden sind, stellen Sie den neuesten Systemstatus wieder her. Verwenden Sie das NTDSutil.exe Tool, um die Integrität der Datenbank erneut zu bestätigen. Wenn weiterhin eine Beschädigungsmeldung angezeigt wird, stellen Sie ältere Sicherungen wieder her, bis Sie die Integrität des Domänencontrollers bestätigen können.

    • Wenn die Datenbank weiterhin beschädigt ist, stellen Sie die neueste Sicherung des Systemzustands wieder her, und geben Sie dann an einer Eingabeaufforderung Folgendes ein:

      ntdsutil files recover

      Verwenden Sie das NTDSutil.exe-Tool, um die Integrität der Datenbank erneut zu bestätigen. Wenn die Datenbank die Integritätsprüfung besteht, führen Sie eine Offline-Defragmentierung der Datenträgerpartition durch. Weitere Informationen finden Sie unter Ausführen der Offlinedefragmentierung der Active Directory-Datenbank.

      Um eine Integritätsprüfung der Datenbank durchzuführen, geben Sie Folgendes an einer Eingabeaufforderung ein, und drücken Sie dann die EINGABETASTE, wobei database_name der Name der Active Directory-Datenbank ist:

      esentutl.exe /g database_name

      Verwenden Sie abschließend die Option Windows normal starten, um den Computer neu zu starten, und wiederholen Sie dann die Replikation vom Quelldomänencontroller auf den betroffenen Zieldomänencontroller. Wenn die Datenbank die Integritätsprüfung nicht besteht, muss der Domänencontroller eingestellt werden. Sie verwenden das Active Directory-Migrationstool (ADMT), um Objekte zu migrieren. Sie können auch die Tools Ldifde.exe und Csvde.exe verwenden, um Objekte zu exportieren, die Sie auf einen neuen Zieldomänencontroller importieren.

      Weitere Informationen zur Verwendung der tools Ldifde.exe und Csvde.exe finden Sie unter Schritt-für-Schritt-Anleitung zum Massenimport und -export in Active Directory.

  10. Wenn diese Schritte nicht erfolgreich sind und der Replikationsfehler weiterhin besteht, stufen Sie den Domänencontroller herab, bestätigen Sie die Integrität der physischen Laufwerke und der Volumes, auf denen die Datei "Ntds.dit" und das Datenträgersubsystem gehostet werden, und stufen Sie den Domänencontroller dann erneut herauf. Verwenden Sie denselben Computernamen.

  11. Verwenden Sie den Befehl ntdsutil files compact, um eine Offlinedefragmentierung der Active Directory-Datenbank durchzuführen. Weitere Informationen finden Sie unter Ausführen der Offlinedefragmentierung der Active Directory-Datenbank .

  12. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:

    ntdsutil "semantic database analysis" "go"

    Hinweis

    Die Anführungszeichen in diesem Beispiel sind erforderlich, um den Befehl zur semantischen Datenbankanalyse mithilfe eines einzelnen Befehlszeilenarguments auszuführen.

    Wenn Fehler gemeldet werden, type ntdsutil go fixupdrücken Sie die EINGABETASTE.

    Hinweis

    Die semantischen Datenbankbefehle führen keine verlustbehafteten Reparaturen an Active Directory-Datenbanken wie den Befehlen vor Windows Server 2003 Service Pack 1 Ntdsutil File Repair oder Esentutl /p den Befehlen vor Windows Server 2003 durch.

    Informationen zum Haftungsausschluss von Drittanbietern

    Die in diesem Artikel genannten Drittanbieterprodukte stammen von Herstellern, die von Microsoft unabhängig sind. Microsoft gewährt keine implizite oder sonstige Garantie in Bezug auf die Leistung oder Zuverlässigkeit dieser Produkte.

Datensammlung

Wenn Sie Unterstützung vom Microsoft-Support benötigen, empfehlen wir Ihnen, die Informationen zu sammeln, indem Sie die unter Sammeln von Informationen mithilfe von TSS für Active Directory-Replikationsprobleme beschriebenen Schritte ausführen.