Beschreibung der NTDS-Replikationswarnungs-IDs 1083 und 1061 sowie der SAM-Fehler-ID 12294 aufgrund eines Active Directory-Kollisions.

Dieser Artikel enthält Hilfe zum Beheben eines Problems, das auftritt, wenn eine Änderung, die auf dem lokalen Domänencontroller vorgenommen wird, auch auf dem Domänencontroller vorgenommen wird, der die Masterrolle "PDC-Vorgänge" enthält.

Ursprüngliche Produktversion:   Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Ursprüngliche KB-Nummer:   306091

Zusammenfassung

Gleichzeitige Änderungen an Active Directory-Objektattributen auf verschiedenen Domänencontrollern können zu einer Active Directory-Kollision für das Update führen. In diesem Fall werden möglicherweise die NTDS-Replikationswarnungen 1083 oder 1061 oder die SAM-Fehler-ID 12294 protokolliert.

Weitere Informationen

Die folgenden Ereignisse können protokolliert werden, wenn die sofortige Replikation ausgelöst wird (z. B. durch eine dringende Replikation für eine Benutzersperrungsbedingung) und mit dem lokalen Active Directory Update kollidiert:

Ereignistyp: Warnung
Ereignisquelle: NTDS-Replikation
Ereigniskategorie: Replikation
Ereignis-ID: 1083
Beschreibung:
Replikationswarnung: Das Verzeichnis ist ausgelastet. Objekt CN=... konnte nicht aktualisiert werden... mit Änderungen, die vom Verzeichnis GUID._msdcs.domain vorgenommen wurden. Wird es später erneut versuchen.

Dies weist darauf hin, dass der erfolglose Versuch des remote ausgelösten Updates, das später wiederholt wird, erfolgreich war:

Ereignistyp: Warnung
Ereignisquelle: NTDS-Replikation
Ereigniskategorie: Replikation
Ereignis-ID: 1061
Beschreibung:
Interner Fehler: Der Aufruf des Verzeichnisreplikation-Agents (Directory Replication Agent, DRA) hat fehler 8438 zurückgegeben.
(Dezimalzahl 8438 /hex 0x20f6: ERROR_DS_DRA_BUSY, winerror.h)

Wenn die erweiterte NTDS-Protokollierung aktiviert ist, kann auch die folgende Fehler-ID protokolliert werden:

Ereignistyp: Warnung
Ereignisquelle: NTDS General
Ereigniskategorie: Interne Verarbeitung
Ereignis-ID: 1173
Beschreibung:
Internes Ereignis: Ausnahme e0010004 mit parameter -1102 und 0 (interne ID 2030537).
(JetDataBase ID -1102: JET_errWriteConflict -1102, Schreibsperre aufgrund ausstehender Schreibsperre fehlgeschlagen)

Wenn die NTDS-Protokollierung im Eintrag "Replikationsereignisse" des Unterschlüssels auf 4 (ausführlich) oder höher festgelegt ist, kann auch die folgende HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Diagnostics\ Fehler-ID protokolliert werden:

Ereignistyp: Warnung
Ereignisquelle: NTDS-Replikationsereignis
Kategorie: Replikation
Ereignis-ID: 1413
Beschreibung:
Die folgenden Objektänderungen wurden nicht auf die lokale Active Directory-Datenbank angewendet, da die lokalen Metadaten für das Objekt angeben, dass die Änderung redundant ist.

Wenn das remote ausgelöste Update für das lokale Update erfolgreich ist, wird möglicherweise das folgende Systemereignis für eine Benutzerkontosperrung protokolliert:

Ereignistyp: Fehler
Ereignisquelle: SAM
Ereigniskategorie: Keine
Ereignis-ID: 12294
Benutzer: user-SID
Beschreibung:
Die SAM-Datenbank konnte das Konto des Benutzers aufgrund eines Ressourcenfehlers nicht sperren, z. B. aufgrund eines Festplatten-Schreibfehlers (der spezifische Fehlercode befindet sich in den Fehlerdaten). Konten werden gesperrt, nachdem eine bestimmte Anzahl von ungültigen Kennwörtern bereitgestellt wurde. Erwägen Sie daher, das Kennwort des oben genannten Kontos zurückzusetzen.
Daten: 0000: c00002a5

Sie müssen die Fehlerdaten analysieren, um die richtige Fehlerbedingung zu erhalten. DWord data hexadecimal 0xc00002a5 = decimal -1073741147: STATUS_DS_BUSY, ntstatus.h).

Nach den Warnungen wird ein NTDS-Informationsereignis protokolliert, das meldet, dass das Update in der Warteschlange bereits vorgenommen wurde (mit derselben Versions-ID) und als redundant ignoriert wird:

Ereignistyp: Information
Ereignisquelle: NTDS-Replikation
Ereigniskategorie: Replikation
Ereignis-ID: 1413
Beschreibung:
Eigenschaft 90296 (lockoutTime) des Objekts CN=benutzername,OU=... wird nicht auf die lokale Datenbank angewendet, da die lokalen Metadaten impliziert, dass die Änderung redundant ist. Die lokale Version ist (Version-ID).

Wenn diese Bedingung vorhanden ist, ist kein Replikationsfehler aufgetreten. Active Directory ist konsistent, und Sie können die resultierenden Ereignisprotokolle ignorieren.

Auf einem Computer mit Microsoft Windows Server können Sie auch ermitteln, ob ein Replikationsfehler aufgetreten ist, indem Sie die Replikationsmetadaten des Objekts exportieren. Führen Sie dazu den folgenden Befehl an einer Eingabeaufforderung aus:

repadmin /showobjmeta <domainController> <objectDN>  

Hinweis

Ersetzen Sie in diesem Befehl die folgenden Platzhalter:

  • Ersetzen Sie den Platzhalter "domainController" durch den Hostnamen eines Domänencontrollers.
  • Ersetzen Sie den Platzhalter "objectDN" durch den Distinguished Name des betroffenen Objekts.

Passen Sie in der Ausgabe, die dieser Befehl generiert, die letzten Aktualisierungszeiten des Attributs mit den Zeiten ab, zu der die Ereignisse protokolliert wurden. Aus diesen Informationen können Sie ermitteln, welches Attribut den Replikationsfehler verursacht hat.

Im Allgemeinen wird dieses Problem mit dem LockoutTime-Attribut oder einem der Kennwortattribute verursacht. In diesen Fällen können Sie die Ereignisse bedenkenlos ignorieren. Die Ereignisse treten auf, weil die Änderung, die auf dem primären Domänencontroller (PRIMARY Domain Controller, PDC) auftritt, auch auf den lokalen Domänencontroller geschrieben wird. Gleichzeitig wird die Änderung unter den Domänencontrollern repliziert. Bei "lockoutTime" wird die Änderung dringend am Standort des PDC repliziert.

Aufgrund der kurzen Replikationsbenachrichtigungsintervalle, die Sie in Microsoft Windows Server haben können, kann es am selben Standort des PDC zu einem Replikationskollision gekommen sein. Kennwortänderungen sind ein Beispiel für ein Szenario, in dem es zu einem Replikationskollision kommen kann. Dieses Verhalten tritt auf, weil ein Domänencontroller neue Kennwörter an die PDC weiter gibt. Sowohl der PDC als auch der lokale Domänencontroller replizieren dann die geänderten Kennwortinformationen. Daher kann ein Replikationskollision auf einem anderen Domänencontroller am gleichen Standort auftreten. Klicken Sie auf die folgende Artikelnummer, um den Artikel in der Microsoft Knowledge Base zu sehen, um weitere Informationen zur Replikationsbenachrichtigung zu erhalten:
214678 Ändern des standardmäßigen Replikationsintervalls für standortinterne Domänencontroller

Um die Generierung von Replikationskollisionereignissen zu reduzieren, konfigurieren Sie den PDC an einem Standort, der nicht über andere Domänencontroller oder Clientcomputer verfügt. In diesem Szenario repliziert die PDC keine updates, die sie empfängt. Daher können Sie das Risiko von Replikationskollisionen verringern. In einer großen Domäne können Sie diese Methode verwenden, um die Last des PDC zu reduzieren.