エラー 8409 と AD レプリケーションは、Windows Server 2016で AD オブジェクトを復元または削除解除した後に失敗します

この記事では、AD オブジェクトを復元または削除解除した後のエラー 8409 の解決策について説明します。

適用対象: Windows Server 2016
元の KB 番号: 4046675

現象

Windows Server 2016にドメイン コントローラーがある Windows Active Directory フォレストがあり、ごみ箱のオプション機能が有効になっていないとします。 また、NTDSUTIL 権限のある復元操作を使用して削除されたオブジェクトを復元するか、LDAP コマンドまたは商用回復ツールを使用して削除を取り消す必要があるとします。

更新がレプリケートされると、Active Directory レプリケーションは失敗し、エラー 8409 が返されます。

さらに、次のイベントは、Windows Server 2016のドメイン コントローラーの Windows NT Directory Services (NTDS) イベント ログに記録されます。

ログ名: ディレクトリ サービス
ソース: Microsoft-Windows-ActiveDirectory_DomainService
イベント ID: 1481
タスク カテゴリ: 内部処理
説明:
内部エラー: オブジェクトに対する操作が失敗しました。

追加データ
エラー値:
5 000020D9: SvcErr: DSID-030F2534、 問題 5001 (BUSY)、データ 0

ログ名: ディレクトリ サービス
ソース: Microsoft-Windows-ActiveDirectory_DomainService
イベント ID: 1084
タスク カテゴリ: レプリケーション
説明:
内部イベント: Active Directory Domain Servicesは、次のソース ディレクトリ サービスから受け取った変更で次のオブジェクトを更新できませんでした。 これは、ディレクトリ サービスでActive Directory Domain Servicesへの変更の適用中にエラーが発生したためです。

オブジェクト：
CN=user,OU=users,DC=contoso,DC=com
オブジェクト GUID: GUID
ソース ディレクトリ サービス:
GUID._msdcs.contoso.com

この更新プログラムの問題が修正されるまで、ディレクトリ サービスとソース ディレクトリ サービスの同期はブロックされます。

この操作は、次回のスケジュールされたレプリケーションで再試行されます。

ユーザー操作
この条件が低いシステム リソース (物理メモリや仮想メモリの不足など) に関連しているように見える場合は、ローカル コンピューターを再起動します。

追加データ
エラー値:
8409 データベース エラーが発生しました。
ログ名: ディレクトリ サービス
ソース: Microsoft-Windows-ActiveDirectory_DomainService
イベント ID: 2108
タスク カテゴリ: レプリケーション
説明:
このイベントには、以前にログに記録された 1084 イベントの REPAIR PROCEDURES が含まれています。 このメッセージは、このレプリケーション先のActive Directory Domain Services データベースの整合性に関する特定の問題を示します。 レプリケートされた変更を次のオブジェクトに適用しているときに、データベース エラーが発生しました。 データベースに予期しない内容があり、変更が行われないようにしました。

オブジェクト：
CN=user,OU=users,DC=contoso,DC=com
オブジェクト GUID: GUID
ソース ディレクトリ サービス:
GUID._msdcs.contoso.com

ユーザー操作
...
追加データ
プライマリ エラー値:
8409 データベース エラーが発生しました。
セカンダリ エラー値:
0 操作が正常に完了しました。

原因

WINDOWS Server 2008 R2 以降のバージョンで NTDS を起動すると、DS は内部タスクを開始して、すべての書き込み可能な NC をチェックし、削除されたオブジェクトの IsRecycled 属性に TRUE の値を割り当てる必要があります。

このタスクが完了するまで、ごみ箱のオプション機能の状態は無効になります。 この状態では、レプリケーション エンジンは Active Directory オブジェクトの削除または復元を許可しません。 したがって、 これは isRecycled 属性の追加とは対話しません。

オブジェクトの属性値が TRUE の場合、このタスクは数秒で完了します。 Windows Server 2016では、DS の起動時間を短縮するために、スタートアップ時にタスクが遅延され、6 時間後に開始するように再スケジュールされます。 そのため、DS アップタイムの最初の 6 時間は、AD オブジェクトの復元プロセスをレプリケートできません。

NTDS 診断レベル 2 の 6 つのガベージ コレクションのログ記録を使用すると、タスクの開始を示す "2406" イベントと、タスクの終了を示す "2405" イベントを表示できます。

AD レプリケーションの優先度が最も高い場合は、オブジェクトをもう一度削除してから、後でもう一度復元できます。 または、タスクが完了するまで 6 時間待つことができます。 ドメイン コントローラーを再起動すると、この問題でさらに 6 時間の間隔が開始されます。

解決方法

この問題を解決するには、ごみ箱のオプション機能を有効にして、元に戻す操作または復元操作を完了できるようにします。 これを行った後、オプション機能を無効にするタスクは開始されません。

詳細

ディレクトリ サービスは、開始すると、NTDS イベント ログに記録されるイベントを通じてタスクの進行状況を追跡します。 ごみ箱オプション機能の無効化を管理するためのイベントは次のとおりです。

状態の無効化:

ログ名: ディレクトリ サービス
ソース: Microsoft-Windows-ActiveDirectory_DomainService
イベント ID: 2406
タスク カテゴリ: 内部構成
レベル: 情報
説明:
このActive Directory Domain Services サーバーでは、"ごみ箱機能" オプション機能のサポートが無効になっています。

ログ名: ディレクトリ サービス
ソース: Microsoft-Windows-ActiveDirectory_DomainService
イベント ID: 2121
タスク カテゴリ: 内部構成
レベル: 情報
説明:
このActive Directory Domain Servicesサーバーはごみ箱を無効にしています。 削除されたオブジェクトは、現時点では削除されない可能性があります。

無効な状態:
ログ名: ディレクトリ サービス
ソース: Microsoft-Windows-ActiveDirectory_DomainService
イベント ID: 2405
タスク カテゴリ: 内部構成
レベル: 情報
説明:
このActive Directory Domain Services サーバーでは、"ごみ箱機能" オプション機能はサポートされていません。

ログ名: ディレクトリ サービス
ソース: Microsoft-Windows-ActiveDirectory_DomainService
イベント ID: 2120
タスク カテゴリ: 内部構成
レベル: 情報
説明:
このActive Directory Domain Services サーバーはごみ箱をサポートしていません。 削除されたオブジェクトは削除されない場合がありますが、オブジェクトが削除されていない場合、そのオブジェクトの一部の属性が失われる可能性があります。 さらに、削除されていないオブジェクトを参照する他のオブジェクトの属性も失われる可能性があります。

データ収集

Microsoft サポートからの支援が必要な場合は、「 Active Directory レプリケーションの問題に TSS を使用して情報を収集する」で説明されている手順に従って情報を収集することをお勧めします。