Active Directory-Replikationsereignis-ID 2108 und 1084: Ereignis 2108 und1084 treten während der eingehenden Replikation von Active Directory-Domänendiensten auf

Die Informationen in diesem Artikel beziehen sich auf die folgenden Produkte.

Problembeschreibung

Wenn die eingehende Replikation der Active Directory-Domänendienste (AD DS) erfolgt, protokolliert ein Zieldomänencontroller, auf dem Microsoft Windows Server 2003 Service Pack 1 (SP1) über Windows Server 2016 ausgeführt wird, das folgende Ereignis im Verzeichnisdienstprotokoll:

Ereignis-ID 1084: Internes Ereignis: Active Directory-Domänendienste konnten das folgende Objekt nicht mit Änderungen aktualisieren, die vom folgenden Quellverzeichnisdienst empfangen wurden. Dies liegt daran, dass während der Anwendung der Änderungen an Active Directory-Domänendiensten im Verzeichnisdienst ein Fehler aufgetreten ist.  Objekt: CN=<cn pfad> Objekt-GUID: <objectguid> Quellverzeichnisdienst: NTDSA._msdcs.<forst root DNS-Domänenname>  Die Synchronisierung des Verzeichnisdienstes mit dem Quellverzeichnisdienst wird blockiert, bis dieses Updateproblem behoben ist.  Dieser Vorgang wird bei der nächsten geplanten Replikation erneut versucht.  Benutzeraktion Starten Sie den lokalen Computer neu, wenn diese Bedingung mit niedrigen Systemressourcen (z. B. geringem physischen oder virtuellen Speicher) zusammenhängt.  Zusätzliche Daten Fehlerwert: <Fehlercode> <Fehlerzeichenfolge>

Hinweise

  • Im Text "Fehlerwert" stellen <Fehlercode> und <Fehlerzeichenfolge> die tatsächlichen Werte dar, die im Protokolleintrag angezeigt werden.

  • Ereignis 1804 wurde seit Windows 2000 Server protokolliert.

Zieldomänencontroller, auf denen Windows Server 2003 SP1 ausgeführt wird, protokollieren auch das folgende Ereignis im Verzeichnisdienstprotokoll:

Ereignis-ID 2108: Dieses Ereignis enthält REPAIR PROCEDURES für das 1084-Ereignis, das zuvor protokolliert wurde. Diese Meldung weist auf ein bestimmtes Problem mit der Konsistenz der Active Directory-Domänendienstedatenbank an diesem Replikationsziel hin. Beim Anwenden replizierter Änderungen auf das folgende Objekt ist ein Datenbankfehler aufgetreten. Die Datenbank hatte unerwarteten Inhalt, wodurch die Änderung verhindert wurde.

Hinweise

  • Ereignis 2108 wird auf Windows Server 2003 angemeldet, nachdem SP1 installiert wurde.

  • Dies ist ein Partnerereignis für Event 1084.

Ursache

Diese Ereignisse treten auf, wenn der Domänencontroller keine Transaktionsänderung in die lokale Kopie der Active Directory-Datenbank schreiben kann.

Fehlerbehebung

Führen Sie die folgenden Schritte aus, um dieses Problem zu beheben. Wiederholen Sie den Replikationsvorgang nach jedem Schritt, der eine Änderung vornimmt.

  1. Stellen Sie sicher, dass auf den Volumes, auf denen die Active Directory-Datenbank hosten, ausreichend freier Speicherplatz verfügbar ist, und wiederholen Sie dann den Vorgang. Führen Sie die folgenden Schritte aus, um zusätzlichen Speicherplatz freizugeben:

    1. Verschieben Sie nicht verknüpfte Dateien auf ein anderes Volume.

    2. Führen Sie eine Systemstatussicherung durch. Dieser Vorgang reduziert die Größe der Transaktionsprotokolldateien. Weitere Informationen erhalten Sie, um die Artikel in der Microsoft Knowledge Base anzuzeigen:

      So verwenden Sie das Sicherungsprogramm zum Sichern und Wiederherstellen des Systemstatus in Windows 2000

      Verwenden der Sicherungsfunktion zum Sichern und Wiederherstellen von Daten in Windows Server 2003

    3. Führen Sie eine Offlinedefragmentierung von Active Directory durch. Weitere Informationen erhalten Sie, um den Artikel in der Microsoft Knowledge Base anzuzeigen:

      Offlinedefragmentierung der Active Directory-Datenbank

  2. Stellen Sie sicher, dass auf den physischen Laufwerken, auf denen die Datei Ntds.dit und die Transaktionsprotokolldateien hosten, die NTFS-Dateisystemkomprimierung nicht aktiviert ist. Um dies zu bestätigen, klicken Sie mit der rechten Maustaste auf den Laufwerkbuchstaben in "Mein Computer", und stellen Sie dann sicher, dass das Kontrollkästchen Laufwerk komprimierenzum Speichern von Speicherplatz nicht aktiviert ist.

  3. Stellen Sie sicher, dass die physischen Laufwerke, auf denen die Datei Ntds.dit und die Transaktionsprotokolldateien basieren, ausdrücklich von Remote- und lokalen Antivirenprogrammen ausgeschlossen sind. Weitere Informationen finden Sie in der Dokumentation zu Antivirensoftware.

  4. Wenn der Zieldomänencontroller den globalen Katalog enthält und der Fehler in einer der schreibgeschützten Partitionen auftritt, verwenden Sie eine der folgenden Methoden, um das Problem zu beheben:

    Methode 1Verwenden Sie die Rehost-Option des Tools Repadmin.exe, um die betroffene Partition erneut zu hosten. Das Tool Repadmin.exe wird auf Computern mit der Domänencontrollerrolle installiert und zusammen mit dem RSAT-Tool auf Mitgliedsarbeitsstationen und -servern installiert. Geben Sie dazu Folgendes an einer Eingabeaufforderung ein, domain_controller ist der Name des Zieldomänencontrollers und good_source_domain_controller_name ist der Name eines anderen Domänencontrollers:

    repadmin /rehost domain_controller naming_contextgood_source_domain_controller_name

    Methode 2Führen Sie die folgenden Schritte aus, um den Domänencontroller so zu konfigurieren, dass er kein globaler Katalogserver mehr ist:

    1. Klicken Sie auf Start, zeigen Sie auf Verwaltungstools, und klicken Sie dann auf Active Directory Sites and Services.

    2. Suchen Sie die Default-First-Site-Name-Server-domain_controller_name-NTDS-Einstellungen-Unterstruktur.

    3. Klicken Sie mit der rechten Maustaste auf NTDS-Einstellungen, und klicken Sie dann auf Eigenschaften.

    4. Klicken Sie hierauf, um das Kontrollkästchen Globaler Katalog zu deaktivieren, und klicken Sie dann auf OK.

    Methode 3Wenn der Fehler in einer Programmpartition auftritt, verwenden Sie das Tool Ntdsutil.exe, um das Replikat zu ändern, das die Programmpartition hostet. Weitere Informationen zum Active Directory Services Maintenance Utility (Ntdsutil.exe) finden Sie auf der folgenden Microsoft-Website:

  5. Verwenden Sie ein Dienstprogramm eines Drittanbieters, z. B. das FileMon-Dienstprogramm, um zu bestimmen, ob ein Programm oder ein Benutzer auf die Active Directory-Datenbank, die Transaktionsprotokolldateien oder die Datei Edp.tmp zugreift. Wenn Dateizugriffsaktivität vorhanden ist, beenden Sie die Dienste, die für die Aktivität verantwortlich sind. Weitere Informationen zum FileMon-Dienstprogramm finden Sie auf der folgenden Sysinternals-Website:

  6. Stellen Sie fest, ob das Problem mit dem übergeordneten Element des Active Directory-Objekts auf dem Zieldomänencontroller zusammenhängt. Führen Sie hierzu die folgenden Schritte aus:

    1. Verschieben Sie auf dem Quelldomänencontroller das Objekt, auf das in Ereignis 1084 verwiesen wird, vorübergehend in einen Organisationseinheitscontainer (Organizational Unit, OU). Die Organisationseinheit muss nichts mit dem aktuellen Container zu tun haben. Verschieben Sie das Objekt beispielsweise in einen neuen Container aus dem Stamm der Domäne.

    2. Wenn die Replikation nach dem Verschieben des Objekts abgeschlossen ist, verschieben Sie das Objekt zurück in den ursprünglichen Container.

    3. Erzwingen Sie, dass der Sicherheitsdeskriptorpropagator die Objektcontainer-Abstammung in der Datenbank neu erstellt, die sowohl auf den Quell- als auch auf den Zieldomänencontrollern vorhanden ist. Führen Sie hierzu die folgenden Schritte aus:

      1. Stellen Sie sicher, dass die Windows Server 2003-Supporttools installiert sind. Die Supporttools sind auf der Windows Server 2003-CD-ROM im Ordner "Support-Tools" verfügbar. Doppelklicken Sie auf die Datei Suptools.msi, um die Tools zu installieren.

      2. Klicken Sie auf Starten, klicken Sie auf Ausführen, geben Sie ldpein, und klicken Sie dann auf OK.

      3. Klicken Sie auf Verbindung, klicken Sie auf Verbinden, und geben Sie dann den Namen des Servers ein, mit dem Sie eine Verbindung herstellen möchten. Hinweis Sie stellen eine Verbindung über Port 389 für Active Directory her.

      4. Klicken Sie auf Verbindung, klicken Sie auf Binden, und geben Sie dann Ihren administrativen Benutzernamen, Ihr Kennwort und Ihre Domäne ein. (Sie müssen Domänenadministrator- oder Unternehmensadministratoranmeldeinformationen verwenden.) Klicken Sie auf OK.

      5. Klicken Sie im Menü Durchsuchen auf Ändern. Lassen Sie das DN-Textfeld leer. Geben Sie im Textfeld AttributFixUpInheritanceein. Klicken Sie im Textfeld Wert auf Ja.

      6. Klicken Sie im Bereich Vorgang auf Hinzufügen.

      7. Klicken Sie auf Enter, um den Bereich Eintragsliste aufzufüllen. Hinweis Im Bereich Eintragsliste wird [Add]fixupinheritance:yes angezeigt.

      8. Klicken Sie auf Ausführen. Hinweis Der rechte Bereich zeigt nun den Status "Geändert" an, und der Schutzdeskriptorpropagator wird gestartet. Die Laufzeit für den Sicherheitsdeskriptorenpropagator hängt von der Größe der Active Directory-Datenbank ab. Der Vorgang ist abgeschlossen, wenn der Leistungsindikator für DS-Sicherheitspropagationsereignisse im NTDS-Leistungsobjekt auf Null zurückgesetzt wird.

      9. Klicken Sie auf Schließen, klicken Sie auf Verbindung, und dann auf Beenden.

    Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:

    Manuelleinitialisierung des SD-Vermehrungsthreads zum Auswerten vererbter Berechtigungen für Objekte in Active Directory

  7. Geben Sie auf dem Quelldomänencontroller repadmin /showmeta distinguished_name_path an einer Eingabeaufforderung ein, und zeigen Sie dann die Objektmetadaten für den definierten Namenspfad an, auf den in Ereignis 1084 verwiesen wird. Wiederholen Sie diesen Schritt auf dem Zieldomänencontroller. Suchen Sie nach inkonsistenten Werten, die Folgendes umfassen, aber nicht darauf beschränkt sind:

    • Falsche Namen und Anzahl der Attribute, die im Objekt angezeigt werden

    • Falsche Ursprungszeit- oder Datumsstempel

    • Falsche lokale Aktualisierungssequenznummern (USN)

    Falsche Werte können auf ein Problem mit der Datenbankseite hinweisen, auf der das Objekt gehostet wird. Um das Werkzeug Repadmin.exe zu verwenden, wenn der Pfad des definierten Namens auf ein Liveobjekt verweist, geben Sie folgendes an einer Eingabeaufforderung ein:

    repadmin /showmeta remote_domain_controller_name_object distinguished_name_path_of_referenceWenn sich das Objekt in einem Container für gelöschte Objekte befindet oder Sie das Werkzeug Repadmin.exe nicht zum Suchen des Objekts verwenden können, verwenden Sie den GUID-Verweis des Objekts, um das Objekt zu finden. Auf diese GUID wird in Ereignis 1084 verwiesen. Geben Sie dazu an einer Eingabeaufforderung Folgendes ein:

    repadmin /showmeta remote_domain_controller_name "GUID_for_the_object that_is_referenced_in_Event_ID_1084"Wenn beispielsweise Ereignis 1084 und Ereignis 2108 auf ein Objekt verweisen, bei dem die GUID b49cd496-98a2-4500-bb08-58550c2f79aclautet, geben Sie:

    repadmin /showmeta "<GUID=b49cd496-98a2-4500-bb08-58550c2f79ac>" Hinweis Die Anführungszeichen und Klammern sind erforderlich.

  8. Rufen Sie das neueste Ntdsutil.exe-Tool ab, indem Sie das neueste Service Pack für Ihr Betriebssystem installieren. Verwenden Sie das Tool Ntdsutil.exe, um eine Integritätsprüfung der Active Directory-Datenbank auf dem Quelldomänencontroller durchzuführen. Bevor Sie den Computer im Verzeichnisdienstewiederherstellungsmodus starten, rufen Sie das Kennwort für das Offlineadministratorkonto ab. Wenn Sie das Kennwort für das Administratorkonto nicht kennen, setzen Sie das Kennwort für den Wiederherstellungsmodus der Verzeichnisdienste zurück, bevor Sie in diesem Modus starten. Verwenden Sie auf Domänencontrollern, auf denen Windows 2000 Service Pack 2 (SP2) und höher ausgeführt wird, den Befehl Setpwd.exe. Der Befehl Setpwd.exe befindet sich im Ordner %Systemroot%-System32. Verwenden Sie auf Windows Server 2003-basierten Domänencontrollern den Befehl Ntdsutil Set Directory Services Restore Mode Password. Weitere Informationen zum Wiederherstellungsmodus für Verzeichnisdienste erhalten Sie, um den Artikel in der Microsoft Knowledge Base anzuzeigen:

    Fehlermeldung "Verzeichnisdienste können nicht gestartet werden", wenn Sie Ihren Windows- oder SBS-basierten Domänencontroller starten Weitere Informationen zum Ändern des Kennworts in Windows 2000 Server finden Sie unter der folgenden Artikelnummer, um den Artikel in der Microsoft Knowledge Base anzuzeigen:

    Ändern des Administratorkennworts der Wiederherstellungskonsole auf einem Domänencontroller Weitere Informationen zum Ändern des Kennworts in Windows Server 2003 finden Sie unter der folgenden Artikelnummer, um den Artikel in der Microsoft Knowledge Base anzuzeigen:

    Zurücksetzen des Administratorkontokennworts für den Verzeichnisdienstewiederherstellungsmodus in Windows Server 2003

  9. Starten Sie den Quelldomänencontroller neu, und drücken Sie dann F8, um den Verzeichnisdienstwiederherstellungsmodus zu starten. Geben Sie an der Eingabeaufforderung ntdsutil dateien Integrität, und drücken Sie dann Enter. Hinweis Dieser Befehl bestätigt die Integrität der Datenbank.

    • Wenn das Ntdsutil-Tool meldet, dass die Datenbank beschädigt ist, und Sie über Replikate der Namenskontexte auf dem Quelldomänencontroller verfügen, erzwingen Sie eine Herabstufung des Quelldomänencontrollers, und stufen Sie ihn dann erneut herauf, nachdem Sie die Integrität der Treiber überprüft haben. Firmware und die physischen Laufwerke, auf denen die Active Directory-Datenbank und die Transaktionsprotokolldateien hosten.

    • Wenn die Datenbank beschädigt ist und keine Replikate des Namenskontexts auf dem Quelldomänencontroller vorhanden sind, stellen Sie den neuesten Systemstatus wieder her. Verwenden Sie das Tool NTDSutil.exe, um die Integrität der Datenbank erneut zu bestätigen. Wenn Sie weiterhin eine Fehlermeldung erhalten, stellen Sie ältere Sicherungen wieder her, bis Sie die Integrität des Domänencontrollers bestätigen können.

    • Wenn die Datenbank immer noch beschädigt ist, stellen Sie die letzte Systemstatussicherung wieder her, und geben Sie dann über eine Eingabeaufforderung folgende Eingabe ein:

      ntdsutil files recover

      Verwenden Sie das Tool NTDSutil.exe, um die Integrität der Datenbank erneut zu bestätigen. Wenn die Datenbank die Integritätsprüfung besteht, führen Sie eine Offlinedefragmentierung der Datenträgerpartition durch. Weitere Informationen erhalten Sie, um den Artikel in der Microsoft Knowledge Base anzuzeigen:

      Offlinedefragmentierung der Active Directory-DatenbankUm eine Integritätsprüfung der Datenbank durchzuführen, geben Sie Folgendes an einer Eingabeaufforderung ein, und drücken Sie dann die Eingabetaste, wobei database_name der Name der Active Directory-Datenbank ist:

      esentutl.exe /g database_name Verwenden Sie schließlich die Option Windows normal starten, um den Computer neu zu starten, und wiederholen Sie dann die Replikation vom Quelldomänencontroller auf den betroffenen Zieldomänencontroller. Wenn die Datenbank die Integritätsprüfung nicht besteht, muss der Domänencontroller eingestellt werden. Sie verwenden das Active Directory Migration Tool (ADMT), um Objekte zu migrieren. Sie können auch die Tools Ldifde.exe und Csvde.exe verwenden, um Objekte zu exportieren, die Sie in einen neuen Zieldomänencontroller importieren. Weitere Informationen zur Verwendung von ADMT erhalten Sie von den folgenden Artikelnummern, um die Artikel in der Microsoft Knowledge Base anzuzeigen:

      Verwenden von Active Directory Migration Tool Version 2 zur Migration von Windows 2000 zu Windows Server 2003 Weitere Informationen zur Verwendung der Tools Ldifde.exe und Csvde.exe finden Sie in den folgenden Artikelnummern, um die Artikel in der Microsoft Knowledge Base anzuzeigen:

      Verwenden von LDIFDE zum Importieren und Exportieren von Verzeichnisobjekten in Active Directory

      Verwenden von Csvde zum Importieren von Kontakten und Benutzerobjekten in Active Directory

      Die neuen Befehlszeilentools für Active Directory in Windows Server 2003

  10. Wenn diese Schritte nicht erfolgreich sind und der Replikationsfehler fortgesetzt wird, stufen Sie den Domänencontroller herab, bestätigen Sie die Integrität der physischen Laufwerke und der Volumes, auf denen die Datei Ntds.dit und das Datenträgersubsystem hosten, und stufen Sie dann den Domänencontroller erneut herauf. Verwenden Sie denselben Computernamen.

  11. Verwenden Sie den Befehl ntdsutil files compact, um eine Offlinedefragmentierung der Active Directory-Datenbank durchzuführen. Weitere Informationen erhalten Sie, um den Artikel in der Microsoft Knowledge Base anzuzeigen:

    Offlinedefragmentierung der Active Directory-Datenbank

  12. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, und drücken Sie dann die Eingabetaste:

    ntdsutil "semantic database analysis" "go" Hinweis Die Anführungszeichen in diesem Beispiel sind erforderlich, um den Befehl für die semantische Datenbankanalyse mithilfe eines einzelnen Befehlszeilenarguments auszuführen. Wenn Fehler gemeldet werden, geben Sie ntdsutil go fixupein, und drücken Sie dann die Eingabetaste. Hinweis Die semantischen Datenbankbefehle führen keine verlustreichen Reparaturen an Active Directory-Datenbanken wie den Befehlen vor Windows Server 2003 Service Pack 1 Ntdsutil File Repair oder Esentutl /p durch.

Dieser Artikel bezieht sich auf:

Windows Server 2016, Windows Server 2012 R2, Windows Server 2008 R2, Windows Server 2003 SP1, Windows 2000 Server

Die Kontaktinformationen zu den in diesem Artikel erwähnten Drittanbietern sollen Ihnen helfen, zusätzliche Informationen zu diesem Thema zu finden. Diese Kontaktinformationen können ohne vorherige Ankündigung geändert werden. Sie werden von Microsoft ohne jede Gewähr weitergegeben.

Benötigen Sie weitere Hilfe?

Ihre Office-Fähigkeiten erweitern
Schulungen erkunden
Neue Funktionen als Erster erhalten
Microsoft Insider beitreten

War diese Information hilfreich?

Vielen Dank für Ihr Feedback!

Vielen Dank für Ihr Feedback. Es klingt, als ob es hilfreich sein könnte, Sie mit einem unserer Office-Supportmitarbeiter zu verbinden.

×