Устранение ошибки репликации AD 8333: объект каталога не найден

  • Статья

В этой статье описывается проблема, из-за которой репликация Active Directory завершается сбоем с ошибкой 8333: объект Directory не найден (ERROR_DS_OBJ_NOT_FOUND).

Применяется к: Windows Server 2012 R2
Исходный номер базы знаний: 2703708

Примечание.

Домашние пользователи: Эта статья предназначена только для агентов технической поддержки и ИТ-специалистов. Если вы ищете помощь по проблеме, обратитесь в сообщество Майкрософт.

Симптомы

В этой статье описываются симптомы, причины и шаги по устранению неполадок при сбое репликации Active Directory с ошибкой 8333: объект Directory не найден (ERROR_DS_OBJ_NOT_FOUND).

  1. Возможные форматы ошибки:

    Десятичное число Hex Символические Строка ошибки
    8333 0x208d ERROR_DS_OBJ_NOT_FOUND Объект каталога не найден.

  2. Можно регистрировать следующие события

    Источник события Идентификатор события Строка события
    Репликация NTDS 2108 Это событие содержит ПРОЦЕДУРЫ REPAIR для события 1084, которое было зарегистрировано ранее. Это сообщение указывает на определенную проблему с согласованность базы данных Active Directory в этом назначении репликации. Ошибка базы данных при применении реплицированных изменений к следующему объекту. В базе данных было непредвиденное содержимое, что не позволяло вносить изменения. Объект: OU=TestOU,DC=contoso,DC=com Идентификатор GUID объекта: <GUID> Исходный контроллер домена: A52b57e3-92b9-4264-822b-72963eaf1030._msdcs.contoso.com значение основной ошибки дополнительных данных: 8333 Объект каталога не найден. Значение вторичной ошибки: -1601 JET_errRecordNotFound, ключ не найден

    ОБЩИЕ NTDS    		 2031 Объект конфигурации службы DS не найден. Возможно, он был случайно удален. Active Directory сможет работать в обычном режиме, но вы не сможете задать определенные параметры службы, такие как ограничения LDAP, политики запросов по умолчанию и сопоставления имени субъекта-службы. Объект конфигурации службы DS: CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=contoso,DC=com Error: 8333 (объект каталога не найден).) Действие пользователя. Попробуйте восстановить объект конфигурации службы DS.

  3. Могут быть выходные данные из repadmin /replsum

    DC-1-03 03h:14m:11s 1 / 52 1 (8333) — объект Каталога не найден.
    DC-2-01 03h:13m:39s 1 / 26 3 (8333) Объект Каталога не найден.
    DC-3-09 03h:08m:45s 2 / 103 1 (8333) — объект каталога не найден.
    DC-4-03 03h:05m:52s 1 / 13 7 (8333) — объект Каталога не найден.

  4. DCPromo может завершиться сбоем при продвижении нового контроллера домена. В журнале DCPROMO будут отображаться следующие ошибки.

    <DateTime> [INFO] Создание новых пользователей домена, групп и объектов компьютеров
    <DateTime> [INFO] Error — Active Directory не хватает критически важных сведений после установки и не может продолжить работу. Если это контроллер домена реплика, повторно присоедините этот сервер к домену. (8333)
    <DateTime> [INFO] NtdsInstall для contoso.com возвращенного значения 8333
    <DateTime> [INFO] DsRolepInstallDs возвращается 8333
    <DateTime> [ERROR] Не удалось установить в службу каталогов (8333)

    Примечание.

    Ошибка 8333 преобразуется в ERROR_DS_OBJ_NOT_FOUND или "Объект каталога не найден".

  5. При попытке повторного размещения секции в глобальном каталоге

    repadmin /rehost \<dc-name>\<partition to rehost>\<good source>

    repadmin /rehost failed with DsReplicaAdd failed with status 8333 (0x208d)

Причина

Состояние ошибки 8333 "Объект каталога не найден" имеет несколько первопричин, в том числе:

  1. Повреждение базы данных с дополнительными связанными ошибками, зарегистрированными в журнале событий исходного контроллера домена:

    Source Код события Описание
    Репликация NTDS 2108 Это событие содержит ПРОЦЕДУРЫ REPAIR для события 1084, которое было зарегистрировано ранее. Это сообщение указывает на определенную проблему с согласованность базы данных доменные службы Active Directory в этом назначении репликации. Ошибка базы данных при применении реплицированных изменений к следующему объекту. В базе данных было непредвиденное содержимое, что не позволяло вносить изменения. Объект: CN=chduffey,OU=IT,OU=Corp,DC=contoso,DC=com
    Идентификатор GUID объекта: <GUID>
    Исходный контроллер домена: c4efaf4e-d652-4630-8623-afec5ebc8532._msdcs.contso.comДополнительными данными
    Значение первичной ошибки: 8333 Объект каталога не найден.
    ОБЩИЕ NTDS 1168 Произошла ошибка -1073741790(c0000022) (внутренний идентификатор 3000b3a). Обратитесь за помощью в службу поддержки продуктов Майкрософт.
    Microsoft-Windows-
    ActiveDirectory_DomainService    		 1084 Внутреннее событие: Active Directory не удалось обновить следующий объект с изменениями, полученными от следующего исходного контроллера домена. Это связано с ошибкой при применении изменений в Active Directory на контроллере домена.
    Репликация NTDS 1699 Локальному контроллеру домена не удалось получить изменения, запрошенные для следующей секции каталога. В результате ему не удалось отправить запросы на изменение контроллеру домена по следующему сетевому адресу. 8446 Операция репликации не смогла выделить память

    Кроме того, вы можете увидеть код состояния репликации:

    Code Sources Дополнительные сведения
    8451 Repadmin, DcPromo, как подкод в событиях повреждения базы данных Если обнаружена эта ошибка, обратитесь к руководству по устранению неполадок для 8451 в первом экземпляре.

    2645996

  2. Затяжные объекты со связанными ошибками регистрируются:

    Source Идентификатор события Описание
    Репликация NTDS 1988 Репликация Active Directory обнаружила наличие объектов в следующем разделе, которые были удалены из базы данных Active Directory локальных контроллеров домена. Не все партнеры прямой или транзитивной репликации реплицировались при удалении до истечения времени существования надгробия в течение нескольких дней. Объекты, которые были удалены и мусор, собранные из секции Active Directory, но по-прежнему существуют в записываемых разделах других контроллеров домена в том же домене, или секции, доступные только для чтения на серверах глобальных каталогов в других доменах в лесу, называются "сохраняющимися объектами".
    Репликация NTDS 1388 Другой контроллер домена (DC) пытался реплицировать в этот контроллер домена объект, которого нет в локальной базе данных Active Directory. Возможно, объект был удален и уже собран мусор (время существования надгробия или более прошло с момента удаления объекта) на этом контроллере домена. Набора атрибутов, включенного в запрос на обновление, недостаточно для создания объекта. Объект будет повторно запрошен с полным набором атрибутов и повторно создан на этом контроллере домена.

    Кроме того, могут отображаться следующие коды состояния репликации:

    Source Sources Описание
    8606 Repadmin, DCPromo, вложенный код в событиях репликации NTDS Если обнаружена эта ошибка, обратитесь к руководству по устранению неполадок для 8606 в первом экземпляре. 2028495
    1722 Repadmin, DCPromo, вложенный код в событиях репликации NTDS Если обнаружена эта ошибка, обратитесь к руководству по устранению неполадок для 1722 в первом экземпляре. 2102154

  3. Конфликтующие объекты

  4. Сторонний процесс

    1. антивирусная программа
    2. Программное обеспечение для синхронизации каталогов

Разрешение

На исходном контроллере домена в партнерстве репликации должно начаться исследование сообщения об ошибке 8333 "Объект каталога не найден". Ссылаясь на каждую из возможных причин проблемы из раздела "причина" этого документа, специалист службы поддержки должен начать исследование на источнике партнерства репликации источника и назначения.

  1. Проверьте наличие признаков повреждения базы данных Active Directory (JET):

    1. Просмотрите журнал событий служб каталогов для исходных и целевых партнеров репликации для событий повреждения базы данных JET. Возможные события:

      Source Код события Описание
      Репликация NTDS 2108 Это событие содержит ПРОЦЕДУРЫ REPAIR для события 1084, которое было зарегистрировано ранее. Это сообщение указывает на определенную проблему с согласованность базы данных доменные службы Active Directory в этом назначении репликации. Ошибка базы данных при применении реплицированных изменений к следующему объекту. В базе данных было непредвиденное содержимое, что не позволяло вносить изменения. Объект: CN=chduffey,OU=IT,OU=Corp,DC=contoso,DC=com
      Идентификатор GUID объекта: <GUID>
      Исходный контроллер домена: c4efaf4e-d652-4630-8623-afec5ebc8532._msdcs.contso.comДополнительными данными
      Значение первичной ошибки: 8333 Объект каталога не найден.
      ОБЩИЕ NTDS 1168 Произошла ошибка -1073741790(c0000022) (внутренний идентификатор 3000b3a). Обратитесь за помощью в службу поддержки продуктов Майкрософт.
      Microsoft-Windows-
      ActiveDirectory_DomainService      		 1084 Внутреннее событие: Active Directory не удалось обновить следующий объект с изменениями, полученными от следующего исходного контроллера домена. Это связано с ошибкой при применении изменений в Active Directory на контроллере домена.
      Репликация NTDS 1699 Локальному контроллеру домена не удалось получить изменения, запрошенные для следующей секции каталога. В результате ему не удалось отправить запросы на изменение контроллеру домена по следующему сетевому адресу. 8446 Операция репликации не смогла выделить память

      Кроме того, вы можете увидеть код состояния репликации:

      Code Sources Дополнительные сведения
      8451 Repadmin, DcPromo, как подкод в событиях повреждения базы данных Если обнаружена эта ошибка, обратитесь к руководству по устранению неполадок для 8451 в первом экземпляре.

      2645996

    2. Включение ведения журнала репликации расширенных служб каталогов:

      Важно!

      В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Дополнительные сведения о создании резервной копии и восстановлении реестра см. в соответствующей статье базы знаний Майкрософт:
      322756 Создание резервной копии и восстановление реестра Windows

      Чтобы увеличить ведение журнала диагностики NTDS, измените следующие REG_DWORD значения в реестре конечного контроллера домена в следующем разделе реестра:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics
      Задайте для следующих подразделов значение 5:
      5 событий репликации
      9 Внутренняя обработка
      Примечание. Ведение журнала уровня 5 является чрезвычайно подробным, и после устранения проблемы значения обоих подразделов должны быть возвращены в значение по умолчанию 0. Фильтрация журнала событий служб каталогов должна выполняться для изоляции и идентификации этих событий.

    3. Просмотрите журналы событий для новых событий, созданных в результате повышенного ведения журнала, чтобы получить полное представление о повреждении базы данных.

    4. Если обнаружено повреждение базы данных, убедитесь, что для каждого домена в лесу существуют последние резервные копии.

    5. Перезапустите контроллер домена, сообщая о повреждении базы данных в режиме восстановления служб каталогов. (Нажмите клавишу F8 во время перезапуска сервера или, если это невозможно, откройте msconfig.exe и выберите "Восстановление Active Directory" в параметрах загрузки.)

    6. Чтобы выполнить проверку базы данных в режиме восстановления служб каталогов, выполните следующие действия:

      1. Открытие командной строки
      2. Введите "ntdsutil"
      3. Введите "activate instance ntds"
      4. Тип "Анализ семантической базы данных"
      5. Введите "go"

      При обнаружении ошибок они будут отображаться в консоли и записываться в файл журнала в текущем рабочем каталоге.

    7. При обнаружении ошибок повреждения базы данных рекомендуется обратиться в службу служба поддержки Майкрософт Services.

    8. В качестве последнего параметра. Вы можете понизить уровень контроллера домена и снова повысить его, чтобы заменить базу данных и реплицировать содержимое с другого сервера в домене.

      Примечание.

      Если база данных Active Directory была повреждена в вашей среде, важно рассмотреть источник повреждения, чтобы избежать проблем в будущем. Ниже приведены некоторые из известных причин такого повреждения:

      1. Сбой оборудования: жесткий диск или контроллер
      2. Кэширование: контроллер жесткого диска
      3. Устаревшие драйверы: контроллер жесткого диска
      4. Устаревшее встроенное ПО: BIOS, контроллер жесткого диска, жесткий диск
      5. Внезапная потеря питания

  2. Проверьте наличие и удалите объекты Lingering на всех контроллерах домена в лесу.
    Существует несколько подходов к проверка для объектов Lingering, в том числе:

    1. Проверьте наличие следующих событий служб каталогов на контроллерах домена в лесу:

      Source Идентификатор события Описание
      Репликация NTDS 1988 Репликация Active Directory обнаружила наличие объектов в следующем разделе, которые были удалены из базы данных Active Directory локальных контроллеров домена. Не все партнеры прямой или транзитивной репликации реплицировались при удалении до истечения времени существования надгробия в течение нескольких дней. Объекты, которые были удалены и мусор, собранные из секции Active Directory, но по-прежнему существуют в записываемых разделах других контроллеров домена в том же домене, или секции, доступные только для чтения на серверах глобальных каталогов в других доменах в лесу, называются "сохраняющимися объектами".
      Репликация NTDS 1388 Другой контроллер домена (DC) пытался реплицировать в этот контроллер домена объект, которого нет в локальной базе данных Active Directory. Возможно, объект был удален и уже собран мусор (время существования надгробия или более прошло с момента удаления объекта) на этом контроллере домена. Набора атрибутов, включенного в запрос на обновление, недостаточно для создания объекта. Объект будет повторно запрошен с полным набором атрибутов и повторно создан на этом контроллере домена.

      Кроме того, могут отображаться следующие коды состояния репликации:

      Code Sources Дополнительные сведения
      8451 Repadmin, DcPromo, как подкод в событиях повреждения базы данных Если обнаружена эта ошибка, обратитесь к руководству по устранению неполадок для 8451 в первом экземпляре.

      2645996

    2. Используйте repldiag.exe для проверки леса на наличие затяжных объектов.

      Repldiag можно скачать с codeplex.com. Чтобы выполнить затяжной объект проверка режиме рекомендаций, используйте синтаксис:

      repldiag /RemoveLingeringObjects/AdvisoryMode

      Событие службы каталогов 1942 будет зарегистрировано на каждом контроллере домена и будет указывать количество затяжных объектов, обнаруженных в каждой секции каталога.

      Работа, выполняемая repldiag, также может выполняться с помощью встроенного средства репликации служб каталогов: Repadmin.exe.

      Для специалистов службы поддержки, предпочитающих использовать repadmin.exe, частичная команда будет иметь значение Repadmin /removelingeringobjects. Repldiag.exe дает преимущество по сравнению с Repadmin.exe тем, что его можно использовать для поиска всех разделов каталогов на всех серверах в лесу с помощью одной команды.

      Если обнаружены объекты Lingering:

      1. Выполните резервное копирование состояния системы двух контроллеров домена в каждом домене в лесу.
      2. Используйте repldiag.exe для очистки затяжных объектов:
        repldiag /RemoveLingeringObjects
      3. Каждый контроллер домена регистрирует событие служб каталогов 1942 для каждого раздела служб каталогов, чтобы указать, были ли удалены затяжные объекты.

    Для альтернативного подхода к удалению затяжных объектов можно использовать встроенный инструмент Repadmin.exe с переключателем /removelingeringobjects . Для этого подхода требуется несколько команд. Repldiag предоставляет агрегат команд, Repadmin.exe будет использоваться.

  3. Проверьте наличие и удалите конфликтующие объекты:
    А. Найдите в соответствующих разделах каталога объекты, управляемые CNF, и объект, конфликтующий с конфликтующим объектом, с помощью следующего синтаксиса:

    repadmin /showattr localhost "dc=parent,dc=com" /subtree /filter:"((&(objectClass=*)(cn=*\0acnf:*)))" /atts:objectclass,whencreated,whenchanged

    В этом примере "dc=parent,dc=com" — это различающееся имя parent.com домена.

    В большинстве случаев ошибка 8333 указывает, какие секции каталогов следует оценивать для конфликтующих объектов. Рекомендуется проверять секцию конфигурации во всех экземплярах:

    repadmin /showattr localhost "cn=configuration,dc=parent,dc=com" /subtree /filter:"((&(objectClass=*)(cn=*\0acnf:*)))" /atts:objectclass,whencreated,whenchanged

    Б. Проверьте атрибуты, значения атрибутов и, если они присутствуют, подчиненные объекты, чтобы определить, какой объект должен остаться, а какой следует удалить.

    c. Убедитесь, что у вас есть актуальная резервная копия каталога.

    d. Удалите конфликтуемый объект или контейнер или объект, с которым он конфликтовал, с помощью LDP.EXE, ADSIEDIT или одного из средств управления Active Directory.

  4. Выполните тестирование партнеров по репликации с удаленными сторонними компонентами.
    Обнаружено, что эта проблема вызвана несколькими сторонними продуктами, в том числе:

    1. Антивирусное программное обеспечение
    2. Directory Synchronization

Сбор данных

Если вам нужна помощь со стороны службы поддержки Майкрософт, рекомендуем собрать сведения, выполнив действия, описанные в разделе Сбор информации с помощью TSS для проблем с репликацией Active Directory.

Дополнительная информация

Задерживающиеся объекты:

Очистка леса Active Directory от затяжных объектов

Повреждение базы данных.

Идентификатор события 1539 — целостность базы данных