Active Directory-Replikationsfehler 8456 oder 8457: Die Quelle | Der Zielserver lehnt derzeit Replikationsanforderungen ab.

  • Artikel

In diesem Artikel werden die Symptome, Ursachen und Lösungsschritte für Situationen beschrieben, in denen Active Directory-Vorgänge mit dem Fehler 8456 oder 8457 fehlschlagen.

Gilt für: Windows Server (alle unterstützten Versionen)
Ursprüngliche KB-Nummer: 2023007

Hinweis

Private Benutzer: Dieser Artikel richtet sich nur an Technische Supportmitarbeiter und IT-Experten. Wenn Sie Hilfe bei einem Problem benötigen, wenden Sie sich an die Microsoft Community.

Problembeschreibung

Active Directory-Vorgänge schlagen mit Fehler 8456 oder 8457 fehl: Die Quelle | Der Zielserver lehnt derzeit Replikationsanforderungen ab.

  1. Die DCPROMO-Heraufstufung eines neuen Domänencontrollers in einer vorhandenen Gesamtstruktur schlägt mit dem folgenden Fehler fehl: Der Quellserver lehnt derzeit Replikationsanforderungen ab.

    Dialogtiteltext: Active Directory-Installations-Assistent Meldungstext des Dialogfelds:

    Fehler beim Vorgang: Active Directory konnte die verbleibenden Daten im DN-Pfad> der Verzeichnispartitionspartitionspartition <nicht an den Domänencontroller-Zieldomänencontroller <>übertragen. "Der Quellserver lehnt derzeit Replikationsanforderungen ab."

  2. DCDIAG meldet den Fehler: Der Quellserver lehnt derzeit Replikationsanforderungen ab, oder Der Zielserver lehnt replikationsanforderungen derzeit ab.

    Testserver: Name des Standard-First-Site-Name<DC NAME>
    Test wird gestartet: Replikationen
    * Replikationsüberprüfung
    [Replikationsprüfung,<DC NAME>] Fehler beim letzten Replikationsversuch:
    Von IADOMINO zu <DC NAME>
    Benennungskontext: DC=<DN-Pfad der Partition>
    Die Replikation hat einen Fehler (8456) generiert:
    Der Quellserver lehnt derzeit Replikationsanforderungen ab.
    Der Fehler ist zum Zeitpunkt des <Datums><> aufgetreten.
    Der letzte Erfolg ist zum Zeitpunkt des <Datums><> aufgetreten.
    Seit dem letzten Erfolg sind 957 Fehler aufgetreten.
    Die Replikation wurde über die Serveroptionen explizit deaktiviert.

    Testserver: Name des Standard-First-Site-Name<DC NAME>
    Test wird gestartet: Replikationen
    * Replikationsüberprüfung
    [Replikationsprüfung,<DC NAME>] Fehler beim letzten Replikationsversuch:
    Von IADOMINO zu <DC NAME>
    Benennungskontext: DC=<DN-Pfad der Partition>
    Die Replikation hat einen Fehler (8457) generiert:
    Der Zielserver lehnt derzeit Replikationsanforderungen ab.
    Der Fehler ist zum Zeitpunkt des <Datums><> aufgetreten.
    Der letzte Erfolg ist zum Zeitpunkt des <Datums><> aufgetreten.
    Seit dem letzten Erfolg sind 957 Fehler aufgetreten.
    Die Replikation wurde über die Serveroptionen explizit deaktiviert.

  3. REPADMIN gibt an, dass bei der eingehenden und ausgehenden Active Directory-Replikation möglicherweise ein Fehler auftritt: Die Quelle | Der Zielserver lehnt die Replikation derzeit ab.

    DC=Contoso,DC=COM
    <Standortname><DC-Name> über RPC
    DC-Objekt-GUID: <Objectguid des NTDS-Einstellungsobjekts der Quell-DCs>
    Fehler beim letzten Versuch @ <Datum><uhrzeit> , Ergebnis 8457 (0x2109):
    Der Zielserver lehnt derzeit Replikationsanforderungen ab.

    DC=Contoso,DC=COM
    <Standortname><DC-Name> über RPC
    DC-Objekt-GUID: <Objectguid des NTDS-Einstellungsobjekts der Quell-DCs>
    Fehler beim letzten Versuch @ <Datum></ Uhrzeit> , Ergebnis 8456 (0x2108):
    Der Quellserver lehnt derzeit Replikationsanforderungen ab.

    Hinweis

    REPADMIN-Befehle können sowohl die hexadezimale als auch die dezimale Entsprechung für den derzeit abgelehnten Replikationsfehler anzeigen.

  4. Ereignisquellen und Ereignis-IDs, die angeben, dass ein USN-Rollback stattgefunden hat, umfassen, sind jedoch nicht auf folgendes beschränkt.

    Ereignisquelle Ereignis-ID Ereigniszeichenfolge
    NTDS KCC 1308 Die Wissenskonsistenzprüfung (Knowledge Consistency Checker, KCC) hat festgestellt, dass aufeinanderfolgende Replikationsversuche mit dem folgenden Domänencontroller konsistent fehlgeschlagen sind.
    NTDS KCC 1925 Fehler beim Versuch, einen Replikationslink für die folgende beschreibbare Verzeichnispartition einzurichten.
    NTDS KCC 1926 Fehler beim Versuch, eine Replikationsverknüpfung mit einer schreibgeschützten Verzeichnispartition mit den folgenden Parametern herzustellen
    NTDS-Replikation 1586 Der Replikationsprüfpunkt für Windows NT 4.0 oder früher mit dem PDC-Emulator master war nicht erfolgreich. Eine vollständige Synchronisierung der SAM-Datenbank (Security Accounts Manager) mit Domänencontrollern unter Windows NT 4.0 und früher kann erfolgen, wenn der PDC-Emulator master Rolle vor dem nächsten erfolgreichen Prüfpunkt auf den lokalen Domänencontroller übertragen wird. Der Prüfpunktprozess wird in vier Stunden erneut versucht.
    NTDS-Replikation 2023 Der lokale Domänencontroller konnte keine Änderungen an dem folgenden Remotedomänencontroller für die folgende Verzeichnispartition replizieren.
    Microsoft-Windows-ActiveDirectory_DomainService 2095 Während einer Active Directory Domain Services Replikationsanforderung hat der lokale Domänencontroller (DC) mithilfe bereits bestätigter USN-Nachverfolgungsnummern einen Remotedomänencontroller identifiziert, der Replikationsdaten vom lokalen Domänencontroller empfangen hat.
    Microsoft-Windows-ActiveDirectory_DomainService 2103 Die Active Directory Domain Services Datenbank wurde mithilfe eines nicht unterstützten Wiederherstellungsverfahrens wiederhergestellt. Active Directory Domain Services benutzer können sich nicht anmelden, solange diese Bedingung weiterhin besteht. Daher wurde der Net Logon-Dienst angehalten.

    Dabei werden eingebettete status Codes 8456 und 8457 wie folgt zugeordnet.

    Dezimalfehler Hexadezimaler Fehler Fehlerzeichenfolge
    8456 2108 Der Quellserver lehnt derzeit die Replikation ab.
    8457 2109 Der Zielserver lehnt derzeit die Replikation ab.

  5. Das allgemeine NTDS-Ereignis 2013 wird möglicherweise im Verzeichnisdienste-Ereignisprotokoll protokolliert. Dies gibt an, dass ein USN-Rollback aufgrund eines nicht unterstützten Rollbacks oder einer Nicht unterstützten Wiederherstellung der Active Directory-Datenbank aufgetreten ist.

    Ereignistyp: Fehler
    Ereignisquelle: NTDS Allgemein
    Ereigniskategorie: Dienststeuerung
    Ereignis-ID: 2103
    Datum: <Datum>
    Zeit: <Zeit>
    Benutzer: <Benutzername>
    Computer: <Computername>
    Beschreibung: Die Active Directory-Datenbank wurde mithilfe eines nicht unterstützten Wiederherstellungsverfahrens wiederhergestellt. Active Directory kann sich nicht bei Benutzern anmelden, während diese Bedingung weiterhin besteht. Daher wurde der Net Logon-Dienst angehalten. Benutzeraktion Weitere Informationen finden Sie in den vorherigen Ereignisprotokollen. Weitere Informationen finden Sie im Hilfe- und Supportcenter unter https://support.microsoft.com.

  6. Das allgemeine NTDS-Ereignis 1393 kann im Ereignisprotokoll der Verzeichnisdienste protokolliert werden. Dies gibt an, dass auf dem physischen oder virtuellen Laufwerk, auf dem die Active Directory-Datenbank- oder -Protokolldateien gehostet werden, nicht genügend freier Speicherplatz vorhanden ist:

    Ereignistyp: Fehler
    Ereignisquelle: NTDS Allgemein
    Ereigniskategorie: Dienststeuerung
    Ereignis-ID: 1393
    Datum: <Datum>
    Zeit: <Zeit>
    Benutzer: <Benutzername>
    Computer: <Computername> Beschreibung:
    Bei versuchen, die Verzeichnisdienstdatenbank zu aktualisieren, tritt der Fehler 112 auf. Da Windows keine Benutzer anmelden kann, während diese Bedingung weiterhin besteht, wird der NetLogon-Dienst angehalten. Stellen Sie sicher, dass auf den Laufwerken, auf denen sich die Verzeichnisdatenbank und die Protokolldateien befinden, ausreichend freier Speicherplatz verfügbar ist.

Ursache

Die eingehende oder ausgehende Replikation wurde vom Betriebssystem aufgrund mehrerer Ursachen automatisch deaktiviert.

Drei Ereignisse, die die ein- oder ausgehende Replikation deaktivieren, sind:

  • Es ist ein USN-Rollback aufgetreten (NTDS General Event 2103).
  • Die Festplatte ist voll (NTDS General Event 1393).
  • Ein beschädigter UTD-Vektor ist vorhanden (Ereignis 2881).

Das Betriebssystem nimmt automatisch vier Konfigurationsänderungen vor, wenn eine von drei Bedingungen auftritt. Die vier Konfigurationsänderungen sind wie folgt:

  1. Die eingehende Active Directory-Replikation ist deaktiviert.
  2. Die ausgehende Active Directory-Replikation ist deaktiviert.
  3. DSA nicht schreibbar ist in der Registrierung auf einen Wert ungleich 0 festgelegt.
  4. Der NETLOGON-Dienst status von "Running" in "Angehalten" geändert wird.

Die dominante Grundursache für diese Fehlerbedingung ist ein USN-Rollback, der unter A Windows Server Domänencontroller logs Directory Services event 2095 beschrieben wird, wenn ein USN-Rollback auftritt.

Gehen Sie nicht davon aus, dass ein Wert ungleich 0 (null) für DSA nicht beschreibbar ist oder dass ein Quell- oder Zielserver derzeit Replikationsanforderungen während der DCPROMO/AD-Replikation ablehnt, definitiv bedeutet, dass ein USN-Rollback aufgetreten ist und dass solche Domänencontroller implizit erzwungen oder erzwungen erneut bereitgestellt werden müssen. Herabstufung muss die richtige Option sein. Es kann jedoch übermäßig sein, wenn der Fehler durch unzureichenden freien Speicherplatz verursacht wird.

Fehlerbehebung

  1. Überprüfen Sie den Wert für DSA nicht beschreibbar.

    Ermitteln Sie für jeden Domänencontroller, der den Fehler 8456 oder 8457 protokolliert, ob eines der drei auslösenden Ereignisse die eingehende oder ausgehende Active Directory-Replikation automatisch deaktiviert hat, indem Sie den Wert für "DSA not writable" aus der lokalen Registrierung lesen.

    Wenn die Replikation automatisch deaktiviert wird, schreibt das Betriebssystem einen von vier möglichen Werten in DSA, die nicht beschreibbar ist:

    • Pfad: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
    • Einstellung: DSA nicht beschreibbar
    • Typ: Reg_dword
    • Werte:
      • #define DSA_WRITABLE_GEN 1
      • #define DSA_WRITABLE_NO_SPACE 2
      • #define DSA_WRITABLE_USNROLLBCK 4
      • #define DSA_WRITABLE_CORRUPT_UTDV 8

    Der Wert 1 kann nur geschrieben werden, wenn die Gesamtstrukturversion nicht mit dem Betriebssystem kompatibel ist (z. B. wird der W2K-DC in eine Gesamtstruktur auf Funktionsebene von Windows Server 2003 höher gestuft oder ähnliches).

    Der Wert 2 bedeutet, dass auf dem physischen oder virtuellen Laufwerk, auf dem die Active Directory-Datenbank oder -Protokolldateien gehostet werden, nicht genügend freier Speicherplatz vorhanden ist.

    Der Wert 4 bedeutet, dass ein USN-Rollback aufgetreten ist, weil für die Active Directory-Datenbank ein falsches Rollback durchgeführt wurde. Zu den Vorgängen, von denen bekannt ist, dass sie einen USN-Rollback verursachen, gehören:

    • Das Starten von zuvor gespeicherten Momentaufnahmen virtueller Computer von Domänencontrollerrollencomputern auf Hyper-V- oder VMWARE-Hosts.
    • Falsche Physische in virtuelle (P2V)-Konvertierungen in Gesamtstrukturen, die mehr als einen Domänencontroller enthalten.
    • Wiederherstellen von Dc-Rollencomputern mithilfe von Imageerstellungsprodukten wie Ghost.
    • Rollieren sie den Inhalt einer Partition, die die Active Directory-Datenbank hosten, mithilfe eines erweiterten Datenträgersubsystems zurück in die Zeit.

    Der Wert 8 gibt an, dass der aktuelle Vektor auf dem lokalen DC beschädigt ist.

    Technisch gesehen kann DSA nicht beschreibbar aus mehreren Werten bestehen. Ein Registrierungswert von 10 würde beispielsweise auf unzureichenden Speicherplatz und eine beschädigte UTD hinweisen. In der Regel wird ein einzelner Wert in DSA geschrieben, der nicht beschreibbar ist.

    Hinweis

    Supportexperten und Administratoren müssen die Replikationsquarantäne häufig teilweise deaktivieren, indem sie die ausgehende Replikation aktivieren, die eingehende Replikation aktivieren, den Startwert für den NETLOGON-Dienst von deaktiviert in automatisch ändern und den NETLOGON-Dienst starten. Daher ist die vollständige Quarantänekonfiguration möglicherweise nicht vorhanden, wenn sie untersucht wird.

  2. Überprüfen Sie das Verzeichnisdienstereignisprotokoll auf Quarantäneereignisse.

    Angenommen, das Verzeichnisdienst-Ereignisprotokoll wurde nicht umschlossen, finden Sie möglicherweise ein oder mehrere verwandte Ereignisse, die im Verzeichnisdienst-Ereignisprotokoll eines Domänencontrollers protokolliert werden, der den Fehler 8456 oder 8457 protokolliert.

    Ereignis Details
    NTDS Allgemein 2103 Die Active Directory-Datenbank wurde mithilfe eines nicht unterstützten Wiederherstellungsverfahrens wiederhergestellt. Active Directory kann sich nicht bei Benutzern anmelden, während diese Bedingung weiterhin besteht. Daher wurde der Net Logon-Dienst angehalten. Benutzeraktion Weitere Informationen finden Sie in den vorherigen Ereignisprotokollen.
    NTDS General Event 1393 Auf dem Datenträger ist nicht genügend Speicherplatz vorhanden.
    Ereignis 2881 Nicht zutreffend

  3. Führen Sie die Wiederherstellung basierend auf dem Wert von DSA nicht beschreibbar oder auf Ereignissen aus, die auf dem System protokolliert werden:

    • Wenn DSA nicht beschreibbar gleich 4 ist oder ntds General Event 2103 protokolliert wird, führen Sie die Wiederherstellungsschritte für einen USN-Rollback aus. Weitere Informationen finden Sie unter Ein Windows Server-Domänencontroller protokolliert verzeichnisdienstereignis 2095, wenn ein USN-Rollback auftritt.

    • Wenn DSA nicht beschreibbar gleich 2 ist oder wenn das NTDS-Allgemeine Ereignis 1393 protokolliert wird, überprüfen Sie, ob genügend freier Speicherplatz auf den physischen und virtuellen Partitionen vorhanden ist, die die Active Directory-Datenbank und die Protokolldateien hosten. Geben Sie nach Bedarf Speicherplatz frei.

    • Wenn DSA nicht beschreibbar gleich 8 ist, stufen Sie den Domänencontroller herab, und wiederholen Sie ihn erneut, bevor er seinen ungültigen Wert auf andere Domänencontroller in der Gesamtstruktur replizieren kann.

Datensammlung

Wenn Sie Unterstützung vom Microsoft-Support benötigen, empfehlen wir Ihnen, die Informationen zu sammeln, indem Sie die unter Sammeln von Informationen mithilfe von TSS für Active Directory-Replikationsprobleme beschriebenen Schritte ausführen.