Problembehandlung bei AD-Replikationsfehler 8333: Verzeichnisobjekt nicht gefunden

In diesem Artikel wird ein Problem beschrieben, bei dem active Directory-Replikationen mit Fehler 8333 fehlschlagen: Verzeichnisobjekt nicht gefunden (ERROR_DS_OBJ_NOT_FOUND).

Gilt für:   Windows Server 2012 R2
Ursprüngliche KB-Nummer:   2703708

Hinweis

Private Benutzer: Dieser Artikel richtet sich nur an technische Supportmitarbeiter und IT-Experten. Wenn Sie Hilfe bei einem Problem suchen, wenden Sie sich an microsoft Community.

Problembeschreibung

In diesem Artikel werden die Symptome, Ursachen und Lösungsschritte beschrieben, wenn die Active Directory-Replikation mit Fehler 8333 fehlschlägt: Verzeichnisobjekt nicht gefunden (ERROR_DS_OBJ_NOT_FOUND).

  1. Mögliche Formate für den Fehler sind:

    Dezimal Hex Symbolische Fehlerzeichenfolge
    8333 0x208d ERROR_DS_OBJ_NOT_FOUND Directory-Objekt nicht gefunden.
  2. Die folgenden Ereignisse können protokolliert werden.

    Ereignisquelle Ereignis-ID Ereigniszeichenfolge
    NTDS-Replikation 2108 Dieses Ereignis enthält REPAIR PROCEDURES für das 1084-Ereignis, das zuvor protokolliert wurde. Diese Meldung weist auf ein bestimmtes Problem mit der Konsistenz der Active Directory-Datenbank an diesem Replikationsziel hin. Beim Anwenden replizierter Änderungen auf das folgende Objekt ist ein Datenbankfehler aufgetreten. Die Datenbank hatte unerwartete Inhalte, sodass die Änderung nicht vorgenommen werden kann. Object: OU=TestOU,DC=contoso,DC=com Object GUID: <GUID> Source domain controller: A52b57e3-92b9-4264-822b-72963eaf1030._msdcs.contoso.com Additional Data Primary Error value: 8333 Directory object not found. Sekundärer Fehlerwert: -1601 JET_errRecordNotFound, der Schlüssel wurde nicht gefunden

    NTDS General
    2031 Das DS Service Configuration-Objekt wurde nicht gefunden. Möglicherweise wurde sie versehentlich gelöscht. Active Directory kann normal ausgeführt werden, Sie können jedoch keine bestimmten Dienstparameter festlegen, z. B. LDAP-Grenzwerte, Standardabfragerichtlinien und SPN-Zuordnungen. DS-Dienstkonfigurationsobjekt: CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=contoso,DC=com Fehler: 8333 (Verzeichnisobjekt nicht gefunden.) Benutzeraktion: Versuchen Sie, das DS Service Configuration-Objekt wiederherzustellen.
  3. Es kann eine Ausgabe von repadmin /replsum

    DC-1-03 03h:14m:11s 1 / 52 1 (8333) Directory-Objekt nicht gefunden.
    DC-2-01 03h:13m:39s 1 / 26 3 (8333) Directory-Objekt nicht gefunden.
    DC-3-09 03h:08m:45s 2 / 103 1 (8333) Directory-Objekt nicht gefunden.
    DC-4-03 03h:05m:52s 1 / 13 7 (8333) Directory-Objekt nicht gefunden.

  4. DCPromo kann beim Bewerben eines neuen Domänencontrollers fehlschlagen, und die folgenden Fehler werden im DCPROMO-Protokoll angezeigt.

    <DateTime> [INFO] Erstellen neuer Domänenbenutzer, Gruppen und Computerobjekte
    <DateTime> [INFO] Fehler: Active Directory fehlen wichtige Informationen nach der Installation und können nicht fortgesetzt werden. Wenn es sich um einen Replikat-Domänencontroller handelt, verbinden Sie diesen Server erneut mit der Domäne. (8333)
    <DateTime> [INFO] NtdsInstall für contoso.com zurückgegebene 8333
    <DateTime> [INFO] DsRolepInstallDs zurückgegeben 8333
    <DateTime> [FEHLER] Fehler beim Installieren im Verzeichnisdienst (8333)

    Hinweis

    Fehler 8333 führt zu ERROR_DS_OBJ_NOT_FOUND oder "Verzeichnisobjekt nicht gefunden".

  5. Beim Versuch, eine Partition im globalen Katalog neu zu hosten

    repadmin /rehost \<dc-name>\<partition to rehost>\<good source>

    repadmin /rehost failed with DsReplicaAdd failed with status 8333 (0x208d)

Ursache

Der Fehlerstatus 8333 "Directory-Objekt nicht gefunden" hat mehrere Ursachen, darunter:

  1. Datenbankbeschädigung mit zusätzlichen zugehörigen Fehlern, die im Ereignisprotokoll des Quelldomänencontrollers protokolliert wurden:

    Source Ereignis-ID Beschreibung
    NTDS-Replikation 2108 Dieses Ereignis enthält REPAIR PROCEDURES für das 1084-Ereignis, das zuvor protokolliert wurde. Diese Meldung weist auf ein bestimmtes Problem mit der Konsistenz der Active Directory Domain Services-Datenbank an diesem Replikationsziel hin. Beim Anwenden replizierter Änderungen auf das folgende Objekt ist ein Datenbankfehler aufgetreten. Die Datenbank hatte unerwartete Inhalte, sodass die Änderung nicht vorgenommen werden kann. Objekt: CN=chduffyan,OU=IT,OU=Corp,DC=contoso,DC=com
    Objekt-GUID: <GUID>
    Quelldomänencontroller: c4efaf4e-d652-4630-8623-afec5ebc8532._msdcs.contso.comAdditional Data
    Primärer Fehlerwert: 8333 Directory-Objekt nicht gefunden.
    NTDS General 1168 Fehler -1073741790(c0000022) ist aufgetreten (interne ID 3000b3a). Wenden Sie sich an den Microsoft-Produktsupport, um Unterstützung zu erhalten.
    Microsoft-Windows-
    ActiveDirectory_DomainService
    1084 Internes Ereignis: Active Directory konnte das folgende Objekt nicht mit Änderungen aktualisieren, die vom folgenden Quelldomänencontroller empfangen wurden. Dies liegt daran, dass während der Anwendung der Änderungen an Active Directory auf dem Domänencontroller ein Fehler aufgetreten ist.
    NTDS-Replikation 1699 Der lokale Domänencontroller konnte die für die folgende Verzeichnispartition angeforderten Änderungen nicht abrufen. Daher konnten die Änderungsanforderungen nicht an den Domänencontroller an der folgenden Netzwerkadresse gesendet werden. 8446 Beim Replikationsvorgang konnte kein Speicher zugeordnet werden.

    Außerdem wird möglicherweise Der Replikationsstatuscode angezeigt:

    Code Sources Zusätzliche Informationen
    8451 Repadmin, DcPromo, als Untercode in Datenbankbeschädigungsereignissen Wenn dieser Fehler erkannt wird, finden Sie in der ersten Instanz die Problembehandlungshandbuch für 8451.

    2645996
  2. Objekte mit zugehörigen Fehlern protokolliert:

    Quelle Ereignis-ID Beschreibung
    NTDS-Replikation 1988 Bei der Active Directory-Replikation sind Objekte in der folgenden Partition aufgetreten, die aus der Active Directory-Datenbank der lokalen Domänencontroller (DCs) gelöscht wurden. Nicht alle direkten oder transitiven Replikationspartner, die beim Löschen repliziert wurden, bevor die Lebensdauer des Grabsteins überschritten wurde. Objekte, die gelöscht und von einer Active Directory-Partition gesammelt wurden, aber weiterhin in den beschreibbaren Partitionen anderer DCs in derselben Domäne vorhanden sind, oder schreibgeschützte Partitionen von globalen Katalogservern in anderen Domänen in der Gesamtstruktur werden als "verwandte Objekte" bezeichnet.
    NTDS-Replikation 1388 Ein anderer Domänencontroller (DC) hat versucht, in diesem DC ein Objekt zu replizieren, das nicht in der lokalen Active Directory-Datenbank vorhanden ist. Möglicherweise wurde das Objekt auf diesem DC gelöscht und bereits gelöscht (eine Gültigkeitsdauer von Grabsteinen oder mehr ist seit dem Löschen des Objekts vergangen). Der in der Aktualisierungsanforderung enthaltene Attributsatz reicht nicht aus, um das Objekt zu erstellen. Das Objekt wird mit einem vollständigen Attributsatz erneut angefordert und auf diesem DC neu erstellt.

    Außerdem werden möglicherweise die folgenden Replikationsstatuscodes angezeigt:

    Quelle Quellen Beschreibung
    8606 Repadmin, DCPromo, Untercode in NTDS-Replikationsereignissen Wenn dieser Fehler erkannt wird, finden Sie in der ersten Instanz die Problembehandlungshandbuch für 8606. 2028495
    1722 Repadmin, DCPromo, Untercode in NTDS-Replikationsereignissen Wenn dieser Fehler erkannt wird, lesen Sie die Problembehandlungshandbuch für 1722 in der ersten Instanz. 2102154
  3. Conflict-Objekte

  4. Drittanbieterprozess

    1. Antivirus
    2. Verzeichnissynchronisierungssoftware

Lösung

Die Untersuchung der Fehlermeldung 8333 "Verzeichnisobjekt nicht gefunden" sollte auf dem Quelldomänencontroller in der Replikationspartnerschaft beginnen. In Bezug auf jede der möglichen Ursachen des Problems aus dem Abschnitt "Ursache" dieses Dokuments sollte ein Supportmitarbeiter mit der Untersuchung der Quelle der Quell-/Zielreplikationspartnerschaft beginnen.

  1. Überprüfen Sie, ob Hinweise auf eine Beschädigung der Active Directory-Datenbank (JET) vorliegen:

    1. Überprüfen Sie das Verzeichnisdienste-Ereignisprotokoll der Quell- und Zielreplikationspartner auf JET-Datenbankbeschädigungsereignisse. Mögliche Ereignisse sind:

      Source Ereignis-ID Beschreibung
      NTDS-Replikation 2108 Dieses Ereignis enthält REPAIR PROCEDURES für das 1084-Ereignis, das zuvor protokolliert wurde. Diese Meldung weist auf ein bestimmtes Problem mit der Konsistenz der Active Directory Domain Services-Datenbank an diesem Replikationsziel hin. Beim Anwenden replizierter Änderungen auf das folgende Objekt ist ein Datenbankfehler aufgetreten. Die Datenbank hatte unerwartete Inhalte, sodass die Änderung nicht vorgenommen werden kann. Objekt: CN=chduffyan,OU=IT,OU=Corp,DC=contoso,DC=com
      Objekt-GUID: <GUID>
      Quelldomänencontroller: c4efaf4e-d652-4630-8623-afec5ebc8532._msdcs.contso.comAdditional Data
      Primärer Fehlerwert: 8333 Directory-Objekt nicht gefunden.
      NTDS General 1168 Fehler -1073741790(c0000022) ist aufgetreten (interne ID 3000b3a). Wenden Sie sich an den Microsoft-Produktsupport, um Unterstützung zu erhalten.
      Microsoft-Windows-
      ActiveDirectory_DomainService
      1084 Internes Ereignis: Active Directory konnte das folgende Objekt nicht mit Änderungen aktualisieren, die vom folgenden Quelldomänencontroller empfangen wurden. Dies liegt daran, dass während der Anwendung der Änderungen an Active Directory auf dem Domänencontroller ein Fehler aufgetreten ist.
      NTDS-Replikation 1699 Der lokale Domänencontroller konnte die für die folgende Verzeichnispartition angeforderten Änderungen nicht abrufen. Daher konnten die Änderungsanforderungen nicht an den Domänencontroller an der folgenden Netzwerkadresse gesendet werden. 8446 Beim Replikationsvorgang konnte kein Speicher zugeordnet werden.

      Außerdem wird möglicherweise Der Replikationsstatuscode angezeigt:

      Code Sources Zusätzliche Informationen
      8451 Repadmin, DcPromo, als Untercode in Datenbankbeschädigungsereignissen Wenn dieser Fehler erkannt wird, finden Sie in der ersten Instanz die Problembehandlungshandbuch für 8451.

      2645996
    2. Aktivieren Sie die Replikationsprotokollierung für erweiterte Verzeichnisdienste:

      Wichtig

      Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Für zusätzlichen Schutz sichern Sie die Registrierung, bevor Sie sie ändern. Sie können die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie unter der folgenden Artikelnummer, um den Artikel in der Microsoft Knowledge Base anzuzeigen:
      322756 Sichern und Wiederherstellen der Registrierung in Windows

      Um die NTDS-Diagnoseprotokollierung zu erhöhen, ändern Sie die folgenden REG_DWORD Werte in der Registrierung des Zieldomänencontrollers unter dem folgenden Registrierungsschlüssel:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics
      Legen Sie den Wert der folgenden Unterschlüssel auf 5 fest:
      5 Replikationsereignisse
      9 Interne Verarbeitung
      Die Protokollierung der Ebene 5 ist äußerst ausführlich, und die Werte beider Unterschlüssel sollten auf den Standardwert 0 zurückgesetzt werden, nachdem das Problem behoben wurde. Das Verzeichnisdienste-Ereignisprotokoll sollte gefiltert werden, um diese Ereignisse zu isolieren und zu identifizieren.

    3. Überprüfen Sie die Ereignisprotokolle für die neuen Ereignisse, die aus der erhöhten Protokollierung generiert wurden, auf Fehlerwerte, die eine endgültige Ansicht der Datenbankbeschädigung liefern.

    4. Wenn eine Datenbankbeschädigung erkannt wurde, stellen Sie sicher, dass die letzten Sicherungen für jede Domäne in der Gesamtstruktur vorhanden sind.

    5. Starten Sie den Domänencontroller neu, der die Datenbankbeschädigung im Wiederherstellungsmodus der Verzeichnisdienste meldet. (Drücken Sie F8, während der Server neu gestartet wird, oder wenn dies nicht möglich ist, öffnen Sie msconfig.exe, und wählen Sie in den Startoptionen "Active Directory-Reparatur" aus.)

    6. So führen Sie eine Überprüfung der Datenbank im Verzeichnisdienste-Wiederherstellungsmodus durch:

      1. Öffnen einer Eingabeaufforderung
      2. Geben Sie "ntdsutil" ein.
      3. Geben Sie "Instanz ntds aktivieren" ein.
      4. Typ "Semantische Datenbankanalyse"
      5. Geben Sie "go" ein.

      Wenn Fehler erkannt werden, werden sie in der Konsole angezeigt und in eine Protokolldatei im aktuellen Arbeitsverzeichnis geschrieben.

    7. Wenn Datenbankbeschädigungsfehler erkannt werden, wird empfohlen, sich an den Microsoft-Support zu wenden.

    8. Als letzte Option. Sie können den Domänencontroller herabstufen und ihn erneut höherstufen, um die Datenbank zu ersetzen und den Inhalt von einem anderen Server in der Domäne zu replizieren.

      Hinweis

      Wenn eine Active Directory-Datenbank in Ihrer Umgebung beschädigt wurde, ist es wichtig, die Quelle der Beschädigung zu berücksichtigen, um Probleme in der Zukunft zu vermeiden. Einige der bekannten Ursachen für eine solche Beschädigung sind:

      1. Fehlerhafte Hardware: Festplatte oder Controller
      2. Zwischenspeichern: Festplattencontroller
      3. Veraltete Treiber: Festplattencontroller
      4. Veraltete Firmware: BIOS, Festplattencontroller, Festplatte
      5. Plötzlicher Energieverlust
  2. Überprüfen Sie, ob Ierende Objekte auf allen Domänencontrollern in der Gesamtstruktur vorhanden sind, und entfernen Sie sie.
    Es gibt mehrere Ansätze, um nach Objekten zu suchen, darunter:

    1. Überprüfen Sie, ob die folgenden Directory Services-Ereignisse auf Domänencontrollern in der Gesamtstruktur vorhanden sind:

      Quelle Ereignis-ID Beschreibung
      NTDS-Replikation 1988 Bei der Active Directory-Replikation sind Objekte in der folgenden Partition aufgetreten, die aus der Active Directory-Datenbank der lokalen Domänencontroller (DCs) gelöscht wurden. Nicht alle direkten oder transitiven Replikationspartner, die beim Löschen repliziert wurden, bevor die Lebensdauer des Grabsteins überschritten wurde. Objekte, die gelöscht und von einer Active Directory-Partition gesammelt wurden, aber weiterhin in den beschreibbaren Partitionen anderer DCs in derselben Domäne vorhanden sind, oder schreibgeschützte Partitionen von globalen Katalogservern in anderen Domänen in der Gesamtstruktur werden als "verwandte Objekte" bezeichnet.
      NTDS-Replikation 1388 Ein anderer Domänencontroller (DC) hat versucht, in diesem DC ein Objekt zu replizieren, das nicht in der lokalen Active Directory-Datenbank vorhanden ist. Möglicherweise wurde das Objekt auf diesem DC gelöscht und bereits gelöscht (eine Gültigkeitsdauer von Grabsteinen oder mehr ist seit dem Löschen des Objekts vergangen). Der in der Aktualisierungsanforderung enthaltene Attributsatz reicht nicht aus, um das Objekt zu erstellen. Das Objekt wird mit einem vollständigen Attributsatz erneut angefordert und auf diesem DC neu erstellt.

      Außerdem werden möglicherweise die folgenden Replikationsstatuscodes angezeigt:

      Code Sources Zusätzliche Informationen
      8451 Repadmin, DcPromo, als Untercode in Datenbankbeschädigungsereignissen Wenn dieser Fehler erkannt wird, finden Sie in der ersten Instanz die Problembehandlungshandbuch für 8451.

      2645996
    2. Verwenden Sie repldiag.exe, um die Gesamtstruktur auf veraltete Objekte zu untersuchen.

      Repldiag kann von codeplex.com heruntergeladen werden. Verwenden Sie die folgende Syntax, um den Eincheck-Empfehlungsmodus für das ausstehende Objekt auszuführen:

      repldiag /RemoveLingeringObjects/AdvisoryMode

      Das Verzeichnisdienstereignis 1942 wird auf jedem Domänencontroller protokolliert und gibt die Anzahl der veralteten Objekte an, die in jeder Verzeichnispartition erkannt wurden.

      Die von repldiag ausgeführten Aufgaben können auch mit dem integrierten Replikationstool für Verzeichnisdienste ausgeführt werden: Repadmin.exe.

      Für Support-Experten, die repadmin.exe bevorzugen, lautet der Teilbefehl Repadmin /removelingeringobjects . Repldiag.exe bietet einen Vorteil gegenüber Repadmin.exe, da es zum Durchsuchen aller Verzeichnispartitionen auf allen Servern in der Gesamtstruktur mit einem einzigen Befehl verwendet werden kann.

      Wenn Zustellobjekte erkannt werden:

      1. Führen Sie eine Systemstatussicherung von zwei Domänencontrollern in jeder Domäne in der Gesamtstruktur durch.
      2. Verwenden Sie repldiag.exe zum Bereinigen von veralteten Objekten:
        repldiag /RemoveListeningObjects
      3. Jeder Domänencontroller protokolliert ein Verzeichnisdienstereignis 1942 für jede Verzeichnisdienstpartition, um anzugeben, ob veraltete Objekte entfernt wurden.

    Für einen alternativen Ansatz zum Entfernen von veralteten Objekten können Sie das integrierte Tool Repadmin.exe mit dem /removelingeringobjects Switch verwenden. Dieser Ansatz erfordert mehrere Befehle. Repldiag stellt ein Aggregat der Befehle bereit, die Repadmin.exe verwenden würden.

  3. Überprüfen Sie, ob Konfliktobjekte vorhanden sind, und entfernen Sie diese:
    a. Durchsuchen Sie die relevanten Verzeichnispartitionen nach von CNF verwalteten Objekten und dem Objekt, für das das Konfliktmangledobjekt einen Konflikt mit der folgenden Syntax aufwies:

    repadmin /showattr localhost "dc=parent,dc=com" /subtree /filter:"((&(objectClass=*)(cn=*\0acnf:*)))" /atts:objectclass,whencreated,whenchanged

    In diesem Beispiel ist "dc=parent,dc=com" der Distinguished Name für die parent.com Domäne.

    In den meisten Fällen gibt der 8333-Fehler an, welche Verzeichnispartitionen für Konfliktobjekte ausgewertet werden sollen. Es wird empfohlen, die Konfigurationspartition in allen Instanzen zu überprüfen:

    repadmin /showattr localhost "cn=configuration,dc=parent,dc=com" /subtree /filter:"((&(objectClass=*)(cn=*\0acnf:*)))" /atts:objectclass,whencreated,whenchanged

    b. Überprüfen Sie die Attribute, Attributwerte und ggf. untergeordneten Objekte, um zu bestimmen, welches Objekt verbleiben und welches gelöscht werden soll.

    c. Sicherstellen, dass Sie über eine aktuelle Sicherung des Verzeichnisses verfügen

    d. Löschen Sie das Konfliktobjekt/den Konfliktcontainer oder das Objekt, mit dem ein Konflikt aufgetreten ist, mit LDP.EXE, ADSIEDIT oder einem der Active Directory-Verwaltungstools.

  4. Führen Sie Tests der Replikationspartner durch, wobei Komponenten von Drittanbietern entfernt wurden.
    Es wurden mehrere Drittanbieterprodukte gefunden, die dieses Problem verursachen, darunter:

    1. Antivirensoftware
    2. Directory Synchronization

Weitere Informationen

Verweilende Objekte:

Bereinigen sie die Active Directory-Gesamtstruktur der veralteten Objekte.

Datenbankbeschädigung:

Ereignis-ID 1539 – Datenbankintegrität