Problembehandlung bei Active Directory-Replikationsfehler 8614

In diesem Artikel werden die Schritte zum Beheben von Active Directory-Replikationsfehlern 8614 beschrieben.

Gilt für: Windows Server 2012 R2
Ursprüngliche KB-Nummer: 2020053

Symptome

1. DCDIAG meldet, dass der Active Directory-Replikationstest fehlgeschlagen ist, status Code 8614: Active Directory kann mit diesem Server nicht repliziert werden, da die Zeit seit der letzten Replikation mit diesem Server die Tombstone-Lebensdauer überschritten hat.

   Testing server: <site name><destination dc name>  
   Starting test: Replications  
   * Replications Check  
   [Replications Check,<destination DC name] A recent replication attempt failed:  
   From <source DC> to <destination DC>  
   Naming Context: <directory partition DN path>  
    The replication generated an error (8614):
    Active Directory cannot replicate with this server because the time since the last replication with this server has exceeded the tombstone lifetime.  
   The failure occurred at <date> <time>.  
   The last success occurred at <date> <time>.  
   3 failures have occurred since the last success.  
   

2. REPADMIN.EXE meldet, dass der letzte Replikationsversuch mit status 8614 fehlgeschlagen ist. REPADMIN-Befehle, die häufig die 8614-status enthalten, sind jedoch nicht auf Folgendes beschränkt:

   • REPADMIN /REPLSUM
   • REPADMIN /SHOWREPL
   • REPADMIN /SHOWREPS
   • REPADMIN /SYNCALL

   Die Beispielausgabe der Darstellung der REPADMIN /SHOWREPS eingehenden Replikation von CONTOSO-DC2 zu CONTOSO-DC1, bei der der Replikationszugriff verweigert wurde, ist unten dargestellt:

    efault-First-Site-Name\CONTOSO-DC1  
    DSA Options: IS_GC  
    Site Options: (none)  
    DSA object GUID:  
    DSA invocationID:  
   
   ==== INBOUND NEIGHBORS ======================================  
   
   DC=contoso,DC=com  
   Default-First-Site-Name\CONTOSO-DC2 via RPC  
   DSA object GUID:  
   Last attempt @ <date> <time> failed, result 8614(0x21a6):
   The Active Directory cannot replicate with this server because the time since the last replication with this server has exceeded the tombstone lifetime.  
   <#> consecutive failure(s).  
   Last success @ <date> <time>.  
   

3. NTDS KCC-, NTDS General- oder Microsoft-Windows-ActiveDirectory_DomainService-Ereignisse mit den fünf Status werden im Verzeichnisdienst-Ereignisprotokoll protokolliert.

   Active Directory-Ereignisse, die häufig die 8524-status enthalten, sind jedoch nicht beschränkt auf:

   Ereignisquelle	ID	Ereigniszeichenfolge
   NTDS KCC	1925	Fehler beim Versuch, einen Replikationslink für die folgende beschreibbare Verzeichnispartition einzurichten.

4. Das NTDS-Replikationsereignis 2042 wird möglicherweise im Verzeichnisdienstereignisprotokoll protokolliert:

   Event Type: Error
   Event Source: NTDS Replication
   Event Category: Replication
   Event ID: 2042
   User: NT AUTHORITY\ANONYMOUS LOGON
   Computer: <name of DC that logged event>
   
   Description:  
   It has been too long since this machine last replicated with the named source
   machine. The time between replications with this source has exceeded the tombstone
   lifetime. Replication has been stopped with this source.
   
   The reason that replication is not allowed to continue is that the two machine's views of deleted objects may now be different. The source machine may still have copies of objects that have been deleted (and garbage collected) on this machine. If they were allowed to replicate, the source machine might return objects which have already been deleted.
   
   Time of last successful replication: YYYY-MM-DD HH:MM:SS
   Invocation ID of source: <32 character GUID for source DC>
   Name of source: <fully qualified cname record of source DC>
   Tombstone lifetime (days): <current TSL value. Default = 60 or 180 days>
   
   The replication operation has failed.
   
   User Action:
   
   Determine which of the two machines was disconnected from the forest and is now out of date. You have three options:
   
   1. Demote or reinstall the machine(s) that were disconnected.
   2. Use the repadmin /removelingeringobjects tool to remove inconsistent deleted objects and then resume replication.
   3. Resume replication. Inconsistent deleted objects may be introduced. You can continue replication by using the following registry key. Once the systems replicate once, it's recommended that you remove the key to reinstate the protection.  
   

5. Der Befehl jetzt replizieren in Active Directory-Standorte und -Dienste gibt die folgende Meldung zurück:

   Active Directory kann mit diesem Server nicht repliziert werden, da die Zeit seit der letzten Replikation mit diesem Server die Tombstone-Lebensdauer überschritten hat.

   Klicken Sie mit der rechten Maustaste auf das Verbindungsobjekt von einem Quelldomänencontroller, und wählen Sie jetzt replizieren in Active Directory-Standorte und -Dienste (DSSITE). MSC) ist nicht erfolgreich. Sie erhalten die folgende Meldung:

   Active Directory kann mit diesem Server nicht repliziert werden, da die Zeit seit der letzten Replikation mit diesem Server die Tombstone-Lebensdauer überschritten hat.

   Der Fehlermeldungstext auf dem Bildschirm lautet wie folgt:

   Dialogtiteltext: Jetzt replizieren
   Dialogmeldungstext: Der folgende Fehler ist beim Versuch aufgetreten, den Namenskontext <%Verzeichnispartitionsname%> vom Domänencontroller-Quell-Domänencontroller <> mit dem Domänencontroller-Zieldomänencontroller <>zu synchronisieren:

   Active Directory kann nicht mit diesem Server repliziert werden, da die Zeit seit der letzten Replikation mit diesem Server die Tombstone-Lebensdauer überschritten hat.
   Der Vorgang wird nicht fortgesetzt.

   Schaltflächen im Dialogfeld: OK

Ursache

Active Directory-Domänencontroller unterstützen die Replikation mit mehreren master. Jeder Domänencontroller, der eine beschreibbare Partition enthält, kann ein Objekt oder Attribut (Wert) erstellen, ändern oder löschen. Das Wissen über das Löschen von Objekten/Attributen bleibt für die Lebensdauer der Tombstone-Anzahl von Tagen erhalten. (Weitere Informationen finden Sie unter Informationen zu bleibenden Objekten in einer Windows Server Active Directory Gesamtstruktur.

Active Directory erfordert eine End-to-End-Replikation von allen Partitionsinhabern, um alle ursprünglichen Löschvorgänge für Verzeichnispartitionen transitiv an alle Partitionsinhaber zu replizieren. Wenn eine Verzeichnispartition in einer fortlaufenden TSL-Anzahl von Tagen nicht eingehend repliziert wird, führt dies dazu, dass Objekte nicht mehr eingehend repliziert werden. Ein beibehaltenes Objekt ist ein Objekt, das absichtlich von mindestens einem Domänencontroller gelöscht wurde, aber fälschlicherweise auf Ziel-DCs vorhanden ist, die die vorübergehende Kenntnis aller eindeutigen Löschungen nicht eingehend replizieren konnten.

Fehler 8614 ist ein Beispiel für logik, die auf Domänencontrollern mit Windows Server 2003 oder einer höheren Version hinzugefügt wurde. Sie stellt die Verbreitung von objekten unter Quarantäne und identifiziert langfristige Replikationsfehler, die zu inkonsistenten Verzeichnispartitionen führen.

Zu den Ursachen für Fehler 8614 und NTDS-Replikationsereignis 2042 gehören:

1. Der Zieldomänencontroller, der den Fehler 8614 protokolliert, konnte eine Verzeichnispartition von einem oder mehreren Quell-DCs für die Tombstone-Lebensdaueranzahl von Tagen nicht eingehend replizieren.

2. Die Systemzeit auf dem Zieldomänencontroller hat die Tombstone-Lebensdauer um eine oder mehrere Tage in der Zukunft seit der letzten erfolgreichen Replikation verschoben oder gesprungen. Es gibt der Replikations-Engine den Eindruck , dass der Zieldomänencontroller eine Verzeichnispartition für die verstrichene Anzahl von Tagen nicht eingehend replizieren konnte.

   Zeitsprünge können auftreten, wenn die folgenden Bedingungen erfüllt sind:

   • Ein Zieldomänencontroller wird erfolgreich in eingehender Richtung repliziert, übernimmt eine fehlerhafte Systemzeit-TSL oder mehr Tage in der Zukunft.
   • Der Zieldomänencontroller versucht dann, eingehende Replikationen aus einer Quelle durchzuführen, die zuletzt aus TSL oder mehr Tagen in der Vergangenheit repliziert wurde.

   Oder

   Die Zeit springt von der aktuellen Zeit zu einer Datums-/Uhrzeit-Tombstone-Lebensdauer oder mehr Tage in der Vergangenheit, die eingehende Replikation erfolgreich durchgeführt wird. Anschließend wird versucht, eingehende Replikationen durchzuführen, nachdem die Zeit-TSL oder eine größere Anzahl von Tagen in der Zukunft übernommen wurde.

Grundsätzlich gelten die Ursache und Die Lösung für den Replikationsfehler 8614 gleichermaßen für die Ursache und die Lösung für das NTDS-Replikationsereignis 2042.

Lösung

1. Suchen Sie nach nicht standardmäßigen Werten der Tombstone-Lebensdauer.

   Standardmäßig beträgt die Tombstone-Lebensdauer entweder 60 oder 180 Tage, abhängig von der Version von Windows, die in Ihrer Gesamtstruktur bereitgestellt wird. Microsoft-Support werden regelmäßig Domänencontroller angezeigt, bei denen die eingehende Replikation in diesen Zeiträumen fehlgeschlagen ist. Es ist auch möglich, dass die Tombstone-Lebensdauer auf einen kurzen Zeitraum konfiguriert wurde, z. B. zwei Tage. Wenn dies der Fall ist, schlagen DCs, die z. B. fünf Tage lang keine eingehende Replikation durchgeführt haben, den folgenden Test fehl:

   Alle DCs müssen mit einer fortlaufenden TSL-Anzahl von Tagen repliziert werden.

   Verwenden Sie repadmin /showattr , um festzustellen, ob ein nicht standardmäßiger Wert für das TombstoneLifetime-Attribut konfiguriert wurde.

   repadmin /showattr "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=<forest root domain>,DC=<top level domain>"
   

   Wenn das Attribut in der showattr Ausgabe nicht vorhanden ist, wird ein interner Standardwert verwendet.

2. Suchen Sie nach DCs, bei denen die eingehende Replikation für die TSL-Anzahl von Tagen fehlgeschlagen ist.

   Führen Sie repadmin /showrepl * /csv analysiert aus, indem Sie Excel verwenden, wie im Abschnitt Überprüfen einer erfolgreichen Replikation auf einem Domänencontroller angegeben. Sortieren Sie die Replsum-Ausgabe in Excel in der Spalte mit dem letzten Replikationserfolg in der Reihenfolge zwischen dem kleinsten aktuellen und dem aktuellsten Datum und der aktuellsten Uhrzeit.

3. Suchen Sie nach Windows Server 2003 RTM-Domänencontrollern.

   Wenn der Fehler 8614 auf einem Windows Server 2003 RTM-Domänencontroller aufgetreten ist, installieren Sie das neueste Windows Server 2003 Service Pack.

4. Überprüfen Sie, ob Zeitsprünge vorhanden sind.

   Um zu ermitteln, ob ein Zeitsprung aufgetreten ist, überprüfen Sie Ereignis- und Diagnoseprotokolle (repadmin /showrepsdcdiag-Protokolle) auf Ziel-DCs, die 8614-Fehler für die folgenden Zeitstempel protokollieren:

   • Datumsstempel, die vor der Veröffentlichung eines Betriebssystems erscheinen. Beispielsweise Datumsstempel aus Windows Server 2003 für ein In Windows Server 2008 veröffentlichtes Betriebssystem.
   • Datumsstempel, die der Installation des Betriebssystems in Ihrer Gesamtstruktur voraus sind.
   • Datumsstempel in der Zukunft.
   • In einem bestimmten Datumsbereich werden keine Ereignisse protokolliert.

   Microsoft-Support Teams haben die Systemzeit auf Produktionsdomänencontrollern in früheren und zukünftigen Jahren fälschlicherweise über Stunden, Tage, Wochen, Jahre und sogar dutzende Jahre hinweg gesehen.

   Wenn die Systemzeit ungenau ist, korrigieren Sie sie. Versuchen Sie dann zu ermitteln, warum die Zeit gesprungen ist und was getan werden kann, um eine ungenaue Zeit zu verhindern, anstatt nur die schlechte Zeit zu korrigieren. Mögliche Bereiche, die untersucht werden müssen, sind:

   • Wurde die Stamm-PDC der Gesamtstruktur mithilfe einer externen Zeitquelle konfiguriert?
   • Sind Referenzzeitquellen online, im Netzwerk verfügbar und in DNS auflösbar?
   • Wurde der Zeitdienst von Microsoft oder Drittanbietern ausgeführt und in einem fehlerfreien Zustand?
   • Sind DC-Role-Computer so konfiguriert, dass sie die NT5DS-Hierarchie zur Quellzeit verwenden?
   • Wurde der Zeitrollbackschutz unter Konfigurieren des Windows-Zeitdiensts für einen großen Zeitoffset beschrieben?
   • Verfügen Systemuhren über gute Akkus und genaue Zeit im BIOS?
   • Sind virtuelle Host- und Gastcomputer gemäß den Empfehlungen des Hostingherstellers für die Quellzeit konfiguriert?

   In diesem Artikel Erfahren Sie, wie Sie den Windows-Zeitdienst für einen großen Zeitoffset konfigurieren , um Domänencontroller vor dem Lauschen auf ungültige Zeitbeispiele zu schützen. Weitere Informationen zu MaxPosPhaseCorrection und MaxNegPhaseCorrection finden Sie im Windows-Zeitdienst.

5. Suchen Sie nach objekten, die vorhanden sind, und entfernen Sie sie.

   Der Punkt der 8614-Fehlerreplikationsquarantäne besteht darin, nach fortbestehenden Objekten zu suchen und diese ggf. in jeder lokal gehaltenen Partition zu entfernen, bevor Replikation mit abweichendem und beschädigtem Partner zulassen in der Registrierung des Zieldomänencontrollers auf 1 festgelegt wird, auch wenn Sie der Meinung sind, dass alle Ziel-DCs in der Gesamtstruktur in strenger Replikationskonsistenz ausgeführt werden.

   Das Entfernen von bleibenden Objekten geht über den Rahmen dieses Artikels hinaus. Weitere Informationen finden Sie in den folgenden Artikeln:

   • Informationen zu bleibenden Objekten in einer Windows Server Active Directory Gesamtstruktur.

   • Ereignis-ID 1388 oder 1988: Ein anhaltendes Objekt wird erkannt

   Repadmin Syntax wird hier gezeigt:

   Syntax	Onlinehilfe (Windows Server 2008 und höher)
   c:\>repadmin /removelingeringobjects <Dest_DSA_LIST> <Source DSA GUID> <NC> [/advisory_mode]	c:\>repadmin /help:removelingeringobject

6. Auswerten der Einstellung der strikten Replikation auf Ziel-DCs.

   Die Replikation im strikten Modus verhindert, dass beibehaltene Objekte auf Ziel-DCs, die die Garbage Collection zum Erstellen, Löschen und Freigeben absichtlich gelöschter Objekte verwendet haben, reanimiert werden.

   Der Registrierungsschlüssel für die strikte Replikation:

   • Pfad: HKEY_LOCAL_MACHINE\system\ccs\services\ntds\parameters
   • Einstellung: Strikte Replikationskonsistenz <– keine Groß-/Kleinschreibung>
   • Typ: reg_dword
   • Wert: 0 | 1

   Repadmin Die Syntax zum Aktivieren und Deaktivieren der strengen Replikation auf einem einzelnen oder mehreren DOmänencontrollern lautet wie folgt:

   Syntax	Onlinehilfe (Windows Server 2008 und höher)	Aktivieren auf einem einzelnen Domänencontroller	Aktivieren auf allen DOmänencontrollern in der Gesamtstruktur	Aktivieren für alle GCs in der Gesamtstruktur
   repadmin /regkey <DSA_LIST> <{+|-}key> [value [/reg_sz]]	Repadmin /help:regkey	repadmin /regkey <fully qualified computer name> +strict	repadmin /regkey * +strict	repadmin /regkey gc: +strict

7. Legen Sie Replikation mit abweichendem und beschädigtem Partner zulassen auf 1 auf dem 8614 DC fest.

   Deaktivieren Sie die zeitbasierte Replikationsquarantäne, nachdem alle beibehaltenen Objekte entfernt wurden:

   Registrierungsmethode:

   • Registrierungspfad: HKEY_LOCAL_MACHINE\system\ccs\services\ntds\parameters
   • Registrierungseinstellung: Replikation mit abweichendem und beschädigtem Partner <zulassen – Groß-/Kleinschreibung wird nicht beachtet》
   • Registrierungswert: 0 = nicht zulassen, 1 = zulassen

   Repadmin -Methode:

   Syntax	Onlinehilfe (Windows Server 2008 und höher)	Aktivieren auf einem einzelnen Domänencontroller	Aktivieren auf allen DOmänencontrollern in der Gesamtstruktur	Aktivieren für alle GCs in der Gesamtstruktur
   repadmin /regkey <DSA_LIST> <{+|-}key> [value [/reg_sz]]	Repadmin /help:regkey	repadmin /regkey dc01.contoso.com +allowDivergent	repadmin /regkey * +allowDivergent	repadmin /regkey GC: +allowDivergent

8. Beheben Sie AD-Replikationsfehler, wenn sie vorhanden sind.

   Wenn der Fehler 8614 status auf einem Zieldomänencontroller protokolliert wird, werden frühere Replikationsfehler, die in der vorherigen TSL-Anzahl von Tagen protokolliert wurden, maskiert.

   Die Tatsache, dass der Fehler 8614 vom Zieldomänencontroller gemeldet wurde, bedeutet nicht, dass sich der Replikationsfehler auf dem Zieldomänencontroller befindet. Stattdessen könnte die Quelle des Replikationsfehlers in der Netzwerk- oder DNS-Namensauflösung liegen. Oder es könnte ein Problem mit einem der folgenden Elemente vorliegen:

   • Authentifizierung
   • Jet-Datenbank
   • Topologie
   • Die Replikations-Engine auf dem Quelldomänencontroller oder dem Zieldomänencontroller

   Überprüfen Sie vergangene Verzeichnisdienstereignisse und Diagnoseausgaben (dcdiag, repadmin protokolle), die vom Quelldomänencontroller, vom Zieldomänencontroller und von alternativen Replikationspartnern in der Vergangenheit generiert wurden, um den Umfang und den Fehler status zu identifizieren, die die Replikation zwischen dem Zieldomänencontroller und dem Quelldomänencontroller verhindern.

9. Löschen Sie Replikation mit abweichendem und beschädigtem Partner zulassen , oder legen Sie Replikation mit abweichendem und beschädigtem Partner zulassen in der Registrierung auf 0 fest.

10. Überwachen Sie die Active Directory-Replikation in Zukunft täglich.

    Überwachen Sie die End-to-End-Replikation in Ihrer Active Directory-Gesamtstruktur täglich mithilfe einer Active Directory-Überwachungsanwendung. Eine kostengünstige, aber effektive Option besteht darin, die Ergebnisse in Excel auszuführen repadmin /showrepl * /csv und dann zu analysieren. Weitere Informationen finden Sie unter Methode 2: Überwachen der Replikation mithilfe einer Befehlszeile.

    Identifizieren Sie DCs, bei denen Replikationsfehler für 50 Prozent und für 90 Prozent der Tombstone-Lebensdauer auftreten. Fügen Sie sie in eine watch Liste ein. Führen Sie bei 50 Prozent der TSL einen starken Push aus, um Replikationsfehler zu beheben. Erwägen Sie bei 90 Prozent die Herabstufung von DCs, die Replikationsfehler verursachen, falls dies erforderlich ist. Verwenden Sie dazu den dcpromo /forceremoval Befehl.

    Auch hier können Replikationsfehler, die auf einem Zieldomänencontroller protokolliert werden, durch ein Problem verursacht werden:

    • Der Quelldomänencontroller
    • Der Zieldomänencontroller
    • Das zugrunde liegende Netzwerk

    Versuchen Sie daher, die Ursache und den Fehlerort zu ermitteln, bevor Sie vorbeugende Maßnahmen ergreifen.

Datensammlung

Wenn Sie Unterstützung vom Microsoft-Support benötigen, empfehlen wir Ihnen, die Informationen zu sammeln, indem Sie die unter Sammeln von Informationen mithilfe von TSS für Active Directory-Replikationsprobleme beschriebenen Schritte ausführen.

References

Beheben von Problemen mit replikationsbasierten Objekten (Ereignis-IDs 1388, 1988, 2042)