Active Directory-replicatiegebeurtenis-id's 2108 en 1084 vinden plaats tijdens binnenkomende replicatie van Active Directory Domain Services

  • Artikel

Dit artikel biedt een oplossing voor een probleem waarbij u gebeurtenis-id's 2108 en 1084 krijgt wanneer binnenkomende replicatie van de Active Directory Domain Services (AD DS) plaatsvindt.

Van toepassing op: Windows Server 2016, Windows Server 2012 R2
Origineel KB-nummer: 837932

Symptomen

Wanneer binnenkomende replicatie van de Active Directory Domain Services (AD DS) plaatsvindt, registreert een doeldomeincontroller met Microsoft Windows Server 2003 Service Pack 1 (SP1) via Windows Server 2016 de volgende gebeurtenis in het logboek van de adreslijstservice:

Gebeurtenis-id 1084: Interne gebeurtenis: Active Directory Domain Services kan het volgende object niet bijwerken met wijzigingen die zijn ontvangen van de volgende bronmapservice. Dit komt doordat er een fout is opgetreden tijdens het toepassen van de wijzigingen in Active Directory Domain Services op de adreslijstservice.

Object: CN=<cn pad>

Object-GUID: <objectguid>

Bronmapservice: NTDSA._msdcs.<forst root DNS-domeinnaam>

Synchronisatie van de adreslijstservice met de brondirectoryservice wordt geblokkeerd totdat dit updateprobleem is opgelost.

Deze bewerking wordt opnieuw geprobeerd bij de volgende geplande replicatie.

Gebruikersactie:

Start de lokale computer opnieuw op als deze voorwaarde lijkt te zijn gerelateerd aan weinig systeembronnen (bijvoorbeeld weinig fysiek of virtueel geheugen).

Aanvullende gegevens:

Foutwaarde: <foutcodefouttekenreeks><>

Opmerking

  • In de tekst <Foutwaarde vertegenwoordigen foutcode> en <fouttekenreeks> de werkelijke waarden die worden weergegeven in de logboekvermelding.
  • Gebeurtenis 1804 is vastgelegd sinds Windows 2000 Server.

Doeldomeincontrollers waarop Windows Server 2003 SP1 wordt uitgevoerd, registreren ook de volgende gebeurtenis in het directoryservicelogboek:

Gebeurtenis-id 2108: deze gebeurtenis bevat HERSTELPROCEDURES voor de 1084-gebeurtenis die eerder is geregistreerd. Dit bericht geeft een specifiek probleem aan met de consistentie van de Active Directory Domain Services-database op deze replicatiebestemming. Er is een databasefout opgetreden tijdens het toepassen van gerepliceerde wijzigingen op het volgende object. De database had onverwachte inhoud, waardoor de wijziging niet kan worden aangebracht.

Opmerking

  • Gebeurtenis 2108 wordt geregistreerd op Windows Server 2003 nadat SP1 is geïnstalleerd.
  • Dit is een partner-gebeurtenis voor gebeurtenis 1084.

Oorzaak

Deze gebeurtenissen treden op wanneer de domeincontroller geen transactionele wijziging kan schrijven naar de lokale kopie van de Active Directory-database.

Oplossing

Volg deze stappen om dit probleem op te lossen. Voer de replicatiebewerking opnieuw uit na elke stap die een wijziging aanbrengt.

  1. Zorg ervoor dat er voldoende vrije schijfruimte beschikbaar is op de volumes die als host fungeren voor de Active Directory-database en voer de bewerking opnieuw uit. Volg deze stappen om extra schijfruimte vrij te maken:

    1. Verplaats niet-gerelateerde bestanden naar een ander volume.

    2. Voer een back-up van de systeemstatus uit. Dit proces vermindert de grootte van de transactielogboekbestanden. Zie De back-upfunctie gebruiken voor het maken van back-ups en het herstellen van gegevens in Windows Server 2003 voor meer informatie.

    3. Voer een offlinedefragmentatie van Active Directory uit. Zie Offline defragmentatie van de Active Directory-database uitvoeren voor meer informatie.

  2. Zorg ervoor dat op de fysieke stations waarop het bestand Ntds.dit en de transactielogboekbestanden worden gehost, ntfs-bestandssysteemcompressie niet is ingeschakeld. Als u dit wilt bevestigen, klikt u met de rechtermuisknop op de stationsletter in Deze computer en controleert u of het selectievakje Station comprimeren om schijfruimte te besparen niet is ingeschakeld.

  3. Zorg ervoor dat de fysieke stations die als host fungeren voor het bestand Ntds.dit en de transactielogboekbestanden specifiek zijn uitgesloten van externe en lokale antivirusprogramma's. Raadpleeg de documentatie van uw antivirussoftware voor meer informatie.

  4. Als de doeldomeincontroller de globale catalogus bevat en de fout optreedt in een van de alleen-lezen partities, gebruikt u een van de volgende methoden om het probleem op te lossen:

    • Methode 1: Gebruik de optie rehost van het hulpprogramma Repadmin.exe om de betrokken partitie opnieuw te hosten.

      Het hulpprogramma Repadmin.exe wordt geïnstalleerd op computers met de domeincontrollerrol en wordt samen met het RSAT-hulpprogramma geïnstalleerd op lidwerkstations en servers. Typ hiervoor het volgende bij een opdrachtprompt, waarbij domain_controller de naam van de doeldomeincontroller is en good_source_domain_controller_name de naam van een andere domeincontroller is:

      repadmin /rehost domain_controller naming_context good_source_domain_controller_name

    • Methode 2: Configureer de domeincontroller zodat deze niet langer een globale catalogusserver is. Volg deze stappen:

      1. Klik op Start, wijs Systeembeheer aan en klik vervolgens op Active Directory-sites en -services.
      2. Zoek de standaard-eerste-site-naamservers\ \ domain_controller_name\ substructuur NTDS-instellingen.
      3. Klik met de rechtermuisknop op NTDS-instellingen en klik vervolgens op Eigenschappen.
      4. Schakel het selectievakje Globale catalogus uit en klik vervolgens op OK.

    • Methode 3

      Als de fout optreedt in een programmapartitie, gebruikt u het hulpprogramma Ntdsutil.exe om de replica te wijzigen die als host fungeert voor de programmapartitie.

  5. Gebruik een hulpprogramma van derden, zoals het hulpprogramma FileMon, om te bepalen of een programma of een gebruiker toegang heeft tot de Active Directory-database, de transactielogboekbestanden of het Edp.tmp-bestand. Als er een bestandstoegangsactiviteit bestaat, stopt u de services die verantwoordelijk zijn voor de activiteit. Zie FileMon voor Windows v7.04 voor meer informatie over het hulpprogramma FileMon.

  6. Bepaal of het probleem te maken heeft met de bovenliggende versie van het Active Directory-object op de doeldomeincontroller. Ga hiervoor als volgt te werk:

    1. Verplaats op de brondomeincontroller het object waarnaar wordt verwezen in gebeurtenis 1084 tijdelijk naar een organisatie-eenheid (OE)-container. De OE moet niet gerelateerd zijn aan de huidige container. Verplaats het object bijvoorbeeld naar een nieuwe container buiten de hoofdmap van het domein.

    2. Als de replicatie is voltooid nadat u het object hebt verplaatst, verplaatst u het object terug naar de oorspronkelijke container.

    3. Dwing de doorgifte van de beveiligingsdescriptor af om de objectcontainer ancestry opnieuw te bouwen in de database die bestaat op zowel de bron- als doeldomeincontrollers. Ga hiervoor als volgt te werk:

      1. Zorg ervoor dat de Ondersteuningshulpprogramma's voor Windows Server 2003 zijn geïnstalleerd. De ondersteuningshulpprogramma's zijn beschikbaar op de cd-rom van Windows Server 2003 in de map Support\Tools. Dubbelklik op het Suptools.msi-bestand om de hulpprogramma's te installeren.

      2. Klik op Start, klik op Uitvoeren, typ ldp en klik vervolgens op OK.

      3. Klik op Verbinding, klik op Verbinding maken en typ de naam van de server waarmee u verbinding wilt maken.

        Opmerking

        U maakt verbinding via poort 389 voor Active Directory.

      4. Klik op Verbinding, klik op Binden en typ vervolgens uw gebruikersnaam, wachtwoord en domein voor beheerdersrechten. (U moet referenties voor domeinbeheerder of ondernemingsbeheerder gebruiken.) Klik op OK.

      5. Klik in het menu Bladeren op Wijzigen. Laat het tekstvak DN leeg. Typ FixUpInheritance in het tekstvak Kenmerk. Klik op Ja in het tekstvak Waarde .

      6. Klik in het gebied Bewerking op Toevoegen.

      7. Klik op Enter om het gebied Vermeldingenlijst in te vullen.

        Opmerking

        In het gebied Vermeldingenlijst wordt [Add]fixupinheritance:yes weergegeven.

      8. Klik op Uitvoeren.

        Opmerking

        In het rechterdeelvenster wordt nu de status Gewijzigd weergegeven en wordt de doorgifte van de beveiligingsdescriptor gestart. De runtime voor de doorgifte van de beveiligingsdescriptor is afhankelijk van de grootte van de Active Directory-database. Het proces is voltooid wanneer het teller DS-beveiligingsdoorgiftegebeurtenissen in het NTDS-prestatieobject terugkeert naar nul.

      9. Klik op Sluiten, klik op Verbinding en klik vervolgens op Afsluiten.

  7. Typ repadmin /showmeta distinguished_name_path op de brondomeincontroller bij een opdrachtprompt en bekijk vervolgens de objectmetagegevens voor het DN-naampad waarnaar wordt verwezen in gebeurtenis 1084. Herhaal deze stap op de doeldomeincontroller. Zoek naar inconsistente waarden die het volgende bevatten, maar niet beperkt zijn tot:

    • Onjuiste namen en nummers van kenmerken die op het object worden weergegeven
    • Onjuiste oorspronkelijke tijd- of datumstempels
    • Onjuiste lokale reeksnummers voor updates (USN)

    Onjuiste waarden kunnen duiden op een probleem met de databasepagina waarop het object wordt gehost.

    Als u het hulpprogramma Repadmin.exe wilt gebruiken wanneer het DN-naampad naar een live-object verwijst, typt u het volgende bij een opdrachtprompt:

    repadmin /showmeta remote_domain_controller_name distinguished_name_path_of_reference _object

    Als het object zich in een container met verwijderde objecten bevindt of als u het hulpprogramma Repadmin.exe niet kunt gebruiken om het object te vinden, gebruikt u de GUID-verwijzing van het object om het object te vinden. Naar deze GUID wordt verwezen in gebeurtenis 1084. Typ hiervoor het volgende bij een opdrachtprompt:

    repadmin /showmeta remote_domain_controller_name "GUID_for_the_object that_is_referenced_in_Event_ID_1084"

    Als gebeurtenis 1084 en gebeurtenis 2108 bijvoorbeeld verwijzen naar een object waarvan de GUID b49cd496-98a2-4500-bb08-58550c2f79ac is, typt u repadmin /showmeta "<GUID=b49cd496-98a2-4500-bb08-58550c2f79ac>".

    Opmerking

    De aanhalingstekens en haken zijn vereist.

  8. Haal het meest recente Ntdsutil.exe hulpprogramma op door het nieuwste servicepack voor uw besturingssysteem te installeren. Gebruik het hulpprogramma Ntdsutil.exe om een integriteitscontrole van de Active Directory-database op de brondomeincontroller uit te voeren.

    Voordat u de computer start in de modus Directory Services herstellen, moet u het wachtwoord voor het offlinebeheerdersaccount ophalen. Als u het wachtwoord van het beheerdersaccount niet weet, stelt u het wachtwoord voor de herstelmodus van Directory Services opnieuw in voordat u in deze modus begint. Gebruik op domeincontrollers met Windows 2000 Service Pack 2 (SP2) en hoger de opdracht Setpwd.exe. De opdracht Setpwd.exe bevindt zich in de map %Systemroot%\System32. Gebruik op Windows Server 2003-gebaseerde domeincontrollers de opdracht Ntdsutil Set Directory Services Restore Mode Password.

    Zie het foutbericht 'Directory Services kan niet worden gestart' wanneer u uw Windows- of SBS-domeincontroller start voor meer informatie over de herstelmodus van Directory Services.

    Voor meer informatie over het wijzigen van het wachtwoord in Windows Server 2003 raadpleegt u het foutbericht 'Directory Services kan niet starten' wanneer u uw Windows- of SBS-domeincontroller start.

  9. Start de brondomeincontroller opnieuw op en druk op F8 om de herstelmodus van Directory Services te starten. Typ ntdsutil files integrity bij de opdrachtprompt en druk vervolgens op Enter.

    Opmerking

    Deze opdracht bevestigt de integriteit van de database.

    • Als het hulpprogramma Ntdsutil meldt dat de database beschadigd is en u replica's van de naamgevingscontexten op de brondomeincontroller hebt, dwingt u een degradatie van de brondomeincontroller af en promoveert u deze opnieuw nadat u de integriteit van de stuurprogramma's, de firmware en de fysieke stations hebt gecontroleerd die als host fungeren voor de Active Directory-database en de transactielogboekbestanden.

    • Als de database is beschadigd en er geen replica's van de naamgevingscontext op de brondomeincontroller bestaan, herstelt u de nieuwste systeemstatus. Gebruik het hulpprogramma NTDSutil.exe om de integriteit van de database opnieuw te bevestigen. Als u nog steeds een beschadigd bericht ontvangt, herstelt u oudere back-ups totdat u de integriteit van de domeincontroller kunt bevestigen.

    • Als de database nog steeds beschadigd is, herstelt u de meest recente back-up van de systeemstatus en typt u bij een opdrachtprompt:

      ntdsutil files recover

      Gebruik het hulpprogramma NTDSutil.exe de integriteit van de database opnieuw bevestigen. Als de database de integriteitscontrole doorstaat, voert u een offlinedefragmentatie van de schijfpartitie uit. Zie Offline defragmentatie van de Active Directory-database uitvoeren voor meer informatie.

      Als u een integriteitscontrole van de database wilt uitvoeren, typt u het volgende bij een opdrachtprompt en drukt u op Enter, waarbij database_name de naam van de Active Directory-database is:

      esentutl.exe /g database_name

      Gebruik ten slotte de optie Windows normaal starten om de computer opnieuw op te starten en probeer vervolgens de replicatie van de brondomeincontroller naar de betreffende doeldomeincontroller opnieuw uit te voeren. Als de integriteitscontrole van de database mislukt, moet de domeincontroller worden stopgezet. U gebruikt het Active Directory Migration Tool (ADMT) om objecten te migreren. U kunt ook de hulpprogramma's Ldifde.exe en Csvde.exe gebruiken om objecten te exporteren die u gaat importeren naar een nieuwe doeldomeincontroller.

      Zie Stapsgewijze handleiding voor bulkimport en export naar Active Directory voor meer informatie over het gebruik van de hulpprogramma's Ldifde.exe en Csvde.exe.

  10. Als deze stappen niet slagen en de replicatiefout blijft optreden, degradeert u de domeincontroller, bevestigt u de integriteit van de fysieke stations en de volumes die als host fungeren voor het bestand Ntds.dit en het schijfsubsysteem en promoveert u de domeincontroller opnieuw. Gebruik dezelfde computernaam.

  11. Gebruik de opdracht ntdsutil files compact om offline defragmentatie van de Active Directory-database uit te voeren. Zie Offline defragmentatie van de Active Directory-database uitvoeren voor meer informatie.

  12. Typ de volgende opdracht bij de opdrachtprompt en druk op Enter:

    ntdsutil "semantic database analysis" "go"

    Opmerking

    De aanhalingstekens in dit voorbeeld zijn vereist om de opdracht semantische databaseanalyse uit te voeren met behulp van één opdrachtregelargument.

    Als er fouten worden gerapporteerd, type ntdsutil go fixupdrukt u op Enter.

    Opmerking

    Met de semantische databaseopdrachten worden geen herstelbewerkingen uitgevoerd op Active Directory-databases zoals de pre-Windows Server 2003 Service Pack 1 Ntdsutil File Repair of Esentutl /p opdrachten.

    Disclaimerinformatie van derden

    De producten van derden die in dit artikel worden vermeld, worden vervaardigd door bedrijven die onafhankelijk zijn van Microsoft. Microsoft verleent dan ook geen enkele garantie, impliciet noch anderszins, omtrent de prestaties of de betrouwbaarheid van deze producten.

Gegevensverzameling

Als u hulp nodig hebt van Microsoft-ondersteuning, raden we u aan de gegevens te verzamelen door de stappen te volgen die worden vermeld in Gegevens verzamelen met behulp van TSS voor replicatieproblemen met Active Directory.