Änderungen an Sicherheitsgruppen oder Verteilergruppen werden nicht auf Zieldomänencontroller repliziert, wenn Sie die Linkwertreplikation in einer Windows Server 2003-Umgebung verwenden.

  • Artikel

Dieser Artikel bietet eine Lösung für ein Problem, bei dem Änderungen, die an Sicherheitsgruppen oder Verteilergruppen vorgenommen werden, nicht auf Zieldomänencontroller repliziert werden, wenn Sie die Linkwertreplikation verwenden.

Gilt für: Windows Server 2012 R2
Ursprüngliche KB-Nummer: 958838

Problembeschreibung

Stellen Sie sich folgendes Szenario vor: In einer Windows Server 2003-Umgebung legen Sie die Gesamtstrukturfunktionsebene in der Gesamtstruktur auf Windows Server 2003 oder eine höhere Version von Windows fest. Sie tun dies, um Änderungen der Linkwertreplikation (LVR) auf die Gruppenmitgliedschaft auf LVR-fähige Attribute anzuwenden. In diesem Szenario können die folgenden Symptome auftreten:

  • Änderungen an der Sicherheitsgruppe oder Verteilergruppe, die auf dem Quelldomänencontroller vorhanden sind, werden nicht auf die Zieldomänencontroller repliziert. Dieses Symptom tritt auf, wenn die Änderung der Gruppenmitgliedschaft entweder von einem Administrator oder von einem Programm initiiert wird.

  • Wenn Sie den repadmin /showreps Befehl ausführen, erhalten Sie eine Meldung, die besagt, dass ein Windows Server 2008- oder Windows Server 2003-basierter Zieldomänencontroller keine eingehenden Änderungen an einer Verzeichnispartition von einem oder mehreren Quelldomänencontrollern replizieren kann. In diesem Fall erhalten Sie auch den Win32-Fehler 8451.

    Hinweis

    Win32-Fehler 8451 entspricht dem ERROR_DS_DRA_DB_ERROR Fehler und der folgenden Beschreibung:
    Beim Replikationsvorgang ist ein Datenbankfehler aufgetreten.

    Der betroffene Windows Server 2008- oder Windows Server 2003-basierte Zieldomänencontroller repliziert möglicherweise keine eingehenden Änderungen, die an schreibgeschützten Partitionen aus globalen Katalogen oder von Domänencontrollern vorgenommen werden, die beschreibbare Verzeichnispartitionen hosten.

  • Windows Server 2008- und Windows Server 2003-basierte Zieldomänencontroller protokollieren Ereignisse im Verzeichnisdienstprotokoll.

    Hinweis

    • Allgemeines NTDS-Ereignis 1173 weist auf einen generischen Replikationsfehler hin.
    • Der zusätzliche Datenfehlerwert -1603 wird einem Currency not on a record jet error und dem symbolischen Namen errNoCurrentRecord zugeordnet. Die Rechtschreibfehler von, die sich derzeit in der Währung nicht auf einem Datensatzfehlertext befindet.
    • Ausnahme e0010004 entspricht dem Fehler DSA_DB_EXCEPTION.
    • Die interne ID 2050344 entspricht einer Funktion im Datenbankschichtcode von NTDS. Diese Anzahl hängt vom Betriebssystem, vom Service Pack und von den Patchrevisionen ab.

  • Windows Server 2008- und Windows Server 2003-basierte Zieldomänencontroller protokollieren das Verzeichnisdienstereignis 1692.

    Hinweis

    Dieses Ereignis wird protokolliert, wenn Sie die Diagnoseprotokollierung aktivieren und den Wert für den Registrierungseintrag 5 Replikationsereignisse auf 1 oder höher festlegen.

    Weitere Informationen zur NTDS-Diagnoseprotokollierung finden Sie unter Konfigurieren der Protokollierung von Active Directory- und LDS-Diagnoseereignissen.

Diese Symptome können auftreten, wenn Änderungen an einer LVR-replizierten Objektklasse vorgenommen werden, die Weiterleitungslinks aufweist. (Diese Änderungen an der LVR-replizierten Objektklasse beziehen sich auch auf die Änderungen, die an Sicherheits- und Verteilergruppen vorgenommen werden.)

Ursache

Dieses Problem tritt auf, wenn Windows Server 2008- oder Windows Server 2003-basierte Zieldomänencontroller die eingehende Replikation beenden, wenn sie LVR-Updates von Objekten erhalten, die nicht in ihren lokalen Kopien von Active Directory vorhanden sind.

Dieses Problem kann insbesondere auftreten, wenn die folgenden Bedingungen erfüllt sind:

  • Mitgliedschaftsänderungen, die an beibehaltenen Sicherheits- oder Verteilergruppen auf Quelldomänencontrollern vorgenommen werden, werden mithilfe der Linkwertreplikation (LVR) auf Zieldomänencontrollern repliziert, die keine instance der Gruppe aufweisen, die gerade geändert wird. Dieses Problem kann beispielsweise auftreten, wenn ein Objekt gelöscht wird und die Lebensdauer der Tombstone-Objekte aus der lokalen Kopie von Active Directory abgelaufen ist.

  • Die Gesamtstrukturfunktionsebene ist auf den Windows Server 2003-Zwischenmodus oder eine höhere Version festgelegt.

  • Die nach wie vor vorhandenen Sicherheits- oder Verteilergruppen befinden sich entweder auf schreibgeschützten oder beschreibbaren Partitionen von Windows Server 2003- oder Windows Server 2008-basierten Quelldomänencontrollern, und die Replikation wird zwischen den Quell- und Zieldomänencontrollern beendet.

Lösung

Wichtig

Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Für zusätzlichen Schutz sichern Sie die Registrierung, bevor Sie sie ändern. Sie können die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen zum Erstellen und Wiederherstellen einer Sicherungskopie der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
322756 Sichern und Wiederherstellen der Registrierung in Windows

Gehen Sie folgendermaßen vor, um dieses Problem zu beheben:

  1. Führen Sie den folgenden repadmin-Befehl auf dem primären Domänencontroller (PDC) aus, um eine .csv Datei zu erstellen, die die Liste der Zieldomänencontroller enthält:

    repadmin /showrepl * /csv >showrepl.csv

  2. Öffnen Sie die .csv-Datei in Excel, und identifizieren Sie dann Replikationsfehler auf Zieldomänencontrollern, bei denen der eingehende Replikationsprozess fehlgeschlagen ist und win32-Fehler 8451 angezeigt wird.

  3. Stellen Sie auf den Domänencontrollern, die die Fehlermeldung "Win32-Fehler 8451" protokollieren, sicher, dass die Diagnoseprotokollierung für den Registrierungseintrag 5 Replikationsereignisse auf den Wert 1 festgelegt ist. Gehen Sie dazu wie folgt vor:

    1. Klicken Sie auf Start und anschließend auf Ausführen.

    2. Geben Sie „regedit“ in das Feld Öffnen ein, und klicken Sie auf OK.

    3. Suchen Sie den folgenden Registrierungsschlüssel, und klicken Sie dann auf den folgenden Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics

    4. Doppelklicken Sie im Detailbereich auf 5 Replikationsereignisse, geben Sie 1 in das Feld Wert ein , und klicken Sie dann auf OK.

    5. Schließen Sie den Registrierungs-Editor.

  4. Stellen Sie auf den Zieldomänencontrollern sicher, dass das Verzeichnisdienstereignis 1692 im Verzeichnisdienstprotokoll protokolliert wird. Das Ereignis zeigt Änderungen am Member-Attribut der Sicherheitsgruppe oder an anderen LVR-replizierten Attributen und an den stehenden Objekt-GUIDs an.

  5. Entfernen Sie die objekte aus den Windows Server 2008- oder Windows Server 2003-basierten Zieldomänencontrollern, indem Sie den repadmin /removelingeringobjects Befehl verwenden.

Wichtig

Das Deaktivieren der strikten Replikationskonsistenzfunktionalität in der Registrierung von Windows Server 2008- oder Windows Server 2003-basierten Zieldomänencontrollern wird die Replikation nicht fortsetzen. Sie dürfen den Wert des Registrierungseintrags Strict Replication Consistency nicht auf 0 festlegen, um die Replikation von Verzeichnispartitionen zu entsperren.

Erzwingen Sie keine Replikation von Verzeichnispartitionen auf Quelldomänencontrollern, indem Sie den Befehl repadmin /sync oder einen entsprechenden Befehl zusammen mit dem Schalter /force verwenden.

Datensammlung

Wenn Sie Unterstützung vom Microsoft-Support benötigen, empfehlen wir Ihnen, die Informationen zu sammeln, indem Sie die unter Sammeln von Informationen mithilfe von TSS für Active Directory-Replikationsprobleme beschriebenen Schritte ausführen.