Problembehandlung bei AD-Replikationsfehler 8333: Verzeichnisobjekt nicht gefunden

  • Artikel

In diesem Artikel wird ein Problem beschrieben, bei dem Active Directory-Replikationen mit dem Fehler 8333: Verzeichnisobjekt nicht gefunden (ERROR_DS_OBJ_NOT_FOUND) fehlschlagen.

Gilt für: Windows Server 2012 R2
Ursprüngliche KB-Nummer: 2703708

Hinweis

Private Benutzer: Dieser Artikel richtet sich nur an Technische Supportmitarbeiter und IT-Experten. Wenn Sie Hilfe bei einem Problem benötigen, wenden Sie sich an die Microsoft Community.

Symptome

In diesem Artikel werden die Symptome, Ursachen und Lösungsschritte beschrieben, wenn die Active Directory-Replikation mit dem Fehler 8333: Verzeichnisobjekt nicht gefunden (ERROR_DS_OBJ_NOT_FOUND) fehlschlägt.

  1. Mögliche Formate für den Fehler sind:

    Dezimal Hex Symbolische Fehlerzeichenfolge
    8333 0x208d ERROR_DS_OBJ_NOT_FOUND Das Verzeichnisobjekt wurde nicht gefunden.

  2. Die folgenden Ereignisse können protokolliert werden:

    Ereignisquelle Ereignis-ID Ereigniszeichenfolge
    NTDS-Replikation 2108 Dieses Ereignis enthält REPAIR PROCEDURES für das 1084-Ereignis, das zuvor protokolliert wurde. Diese Meldung weist auf ein bestimmtes Problem mit der Konsistenz der Active Directory-Datenbank auf diesem Replikationsziel hin. Datenbankfehler beim Anwenden replizierter Änderungen auf das folgende Objekt. Die Datenbank enthielt unerwartete Inhalte, wodurch verhindert wurde, dass die Änderung vorgenommen wurde. Objekt: OU=TestOU,DC=contoso,DC=com Objekt-GUID: <GUID> Quelldomänencontroller: A52b57e3-92b9-4264-822b-72963eaf1030._msdcs.contoso.com Zusätzliche Daten Primärer Fehlerwert: 8333 Verzeichnisobjekt nicht gefunden. Sekundärer Fehlerwert: -1601 JET_errRecordNotFound, Der Schlüssel wurde nicht gefunden

    NTDS Allgemein    		 2031 Das DS-Dienstkonfigurationsobjekt wurde nicht gefunden. Es wurde möglicherweise versehentlich gelöscht. Active Directory kann normal ausgeführt werden, aber Sie können bestimmte Dienstparameter wie LDAP-Grenzwerte, Standardabfragerichtlinien und SPN-Zuordnungen nicht festlegen. DS-Dienstkonfigurationsobjekt: CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=contoso,DC=com Fehler: 8333 (Verzeichnisobjekt nicht gefunden.) Benutzeraktion: Versuchen Sie, das DS-Dienstkonfigurationsobjekt wiederherzustellen.

  3. Es kann eine Ausgabe von repadmin /replsum

    DC-1-03 03h:14m:11s 1 / 52 1 (8333) Verzeichnisobjekt nicht gefunden.
    DC-2-01 03h:13m:39s 1 / 26 3 (8333) Verzeichnisobjekt nicht gefunden.
    DC-3-09 03h:08m:45s 2 / 103 1 (8333) Verzeichnisobjekt nicht gefunden.
    DC-4-03 03h:05m:52s 1 / 13 7 (8333) Verzeichnisobjekt nicht gefunden.

  4. DCPromo schlägt beim Heraufstufen eines neuen Domänencontrollers möglicherweise fehl, und im DCPROMO-Protokoll werden die folgenden Fehler angezeigt.

    <DateTime> [INFO] Erstellen neuer Domänenbenutzer, Gruppen und Computerobjekte
    <DateTime> [INFO] Fehler: Active Directory fehlen wichtige Informationen nach der Installation und kann nicht fortgesetzt werden. Wenn es sich um einen Replikatdomänencontroller handelt, fügen Sie diesen Server der Domäne erneut hinzu. (8333)
    <DateTime> [INFO] NtdsInstall für contoso.com zurückgegebene 8333
    <DateTime> [INFO] DsRolepInstallDs gibt 8333 zurück
    <DateTime> [ERROR] Fehler beim Installieren im Verzeichnisdienst (8333)

    Hinweis

    Fehler 8333 wird in ERROR_DS_OBJ_NOT_FOUND oder "Verzeichnisobjekt nicht gefunden" übersetzt.

  5. Beim Versuch, eine Partition im globalen Katalog neu zu hosten

    repadmin /rehost \<dc-name>\<partition to rehost>\<good source>

    repadmin /rehost failed with DsReplicaAdd failed with status 8333 (0x208d)

Ursache

Der Fehler status 8333 "Verzeichnisobjekt nicht gefunden" hat mehrere Ursachen, darunter:

  1. Datenbankbeschädigung mit zusätzlichen zugeordneten Fehlern, die im Ereignisprotokoll des Quelldomänencontrollers protokolliert werden:

    Source Ereignis-ID Beschreibung
    NTDS-Replikation 2108 Dieses Ereignis enthält REPAIR PROCEDURES für das 1084-Ereignis, das zuvor protokolliert wurde. Diese Meldung weist auf ein bestimmtes Problem mit der Konsistenz der Active Directory Domain Services Datenbank auf diesem Replikationsziel hin. Datenbankfehler beim Anwenden replizierter Änderungen auf das folgende Objekt. Die Datenbank enthielt unerwartete Inhalte, wodurch verhindert wurde, dass die Änderung vorgenommen wurde. Objekt: CN=chduffey,OU=IT,OU=Corp,DC=contoso,DC=com
    Objekt-GUID: <GUID>
    Quelldomänencontroller: c4efaf4e-d652-4630-8623-afec5ebc8532._msdcs.contso.comZusätzliche Daten
    Primärer Fehlerwert: 8333 Verzeichnisobjekt nicht gefunden.
    NTDS Allgemein 1168 Fehler -1073741790(c0000022) ist aufgetreten (interne ID 3000b3a). Wenden Sie sich an den Microsoft-Produktsupport, um Unterstützung zu erhalten.
    Microsoft-Windows:
    ActiveDirectory_DomainService    		 1084 Internes Ereignis: Active Directory konnte das folgende Objekt nicht mit Änderungen aktualisieren, die vom folgenden Quelldomänencontroller empfangen wurden. Dies liegt daran, dass während der Anwendung der Änderungen an Active Directory auf dem Domänencontroller ein Fehler aufgetreten ist.
    NTDS-Replikation 1699 Der lokale Domänencontroller konnte die für die folgende Verzeichnispartition angeforderten Änderungen nicht abrufen. Daher konnten die Änderungsanforderungen nicht an den Domänencontroller unter der folgenden Netzwerkadresse gesendet werden. 8446 Fehler beim Zuweisen von Arbeitsspeicher beim Replikationsvorgang

    Darüber hinaus können Replikations-status Code angezeigt werden:

    Code Sources Zusätzliche Informationen
    8451 Repadmin, DcPromo, als Untercode in Datenbankbeschädigungsereignissen Lesen Sie den Leitfaden zur Problembehandlung für 8451 im ersten instance, wenn dieser Fehler identifiziert wird.

    2645996

  2. Lingering Objects with associated errors protokolliert:

    Quelle Ereignis-ID Beschreibung
    NTDS-Replikation 1988 Bei der Active Directory-Replikation sind Objekte in der folgenden Partition vorhanden, die aus der Active Directory-Datenbank der lokalen Domänencontroller (DCs) gelöscht wurden. Nicht alle direkten oder transitiven Replikationspartner wurden beim Löschen repliziert, bevor die Tombstone-Lebensdauer die Anzahl der Tage verstrichen ist. Objekte, die gelöscht und aus einer Active Directory-Partition gesammelt wurden, aber weiterhin in den beschreibbaren Partitionen anderer Domänencontroller in derselben Domäne vorhanden sind, oder schreibgeschützte Partitionen von globalen Katalogservern in anderen Domänen in der Gesamtstruktur werden als "beibehaltene Objekte" bezeichnet.
    NTDS-Replikation 1388 Ein anderer Domänencontroller (DC) hat versucht, ein Objekt, das nicht in der lokalen Active Directory-Datenbank vorhanden ist, in diesen Domänencontroller zu replizieren. Das Objekt wurde möglicherweise gelöscht und auf diesem Domänencontroller bereits garbage collected (eine Tombstone-Lebensdauer oder mehr ist seit dem Löschen des Objekts vergangen). Der in der Updateanforderung enthaltene Attributsatz reicht nicht aus, um das Objekt zu erstellen. Das Objekt wird mit einem vollständigen Attributsatz erneut angefordert und auf diesem Domänencontroller neu erstellt.

    Darüber hinaus werden möglicherweise die folgenden Replikationscodes status angezeigt:

    Quelle Quellen Beschreibung
    8606 Repadmin, DCPromo, Untercode in NTDS-Replikationsereignissen Lesen Sie den Leitfaden zur Problembehandlung für 8606 im ersten instance, wenn dieser Fehler identifiziert wird. 2028495
    1722 Repadmin, DCPromo, Untercode in NTDS-Replikationsereignissen Lesen Sie den Leitfaden zur Problembehandlung für 1722 im ersten instance, wenn dieser Fehler identifiziert wird. 2102154

  3. Konfliktobjekte

  4. Prozess von Drittanbietern

    1. Antivirus
    2. Verzeichnissynchronisierungssoftware

Lösung

Die Untersuchung der Fehlermeldung 8333 "Verzeichnisobjekt wurde nicht gefunden" sollte auf dem Quelldomänencontroller in der Replikationspartnerschaft beginnen. Unter Bezugnahme auf die möglichen Ursachen des Problems aus dem Abschnitt "Ursache" dieses Dokuments sollte ein Supportmitarbeiter seine Untersuchung zur Quelle der Quell-/Zielreplikationspartnerschaft beginnen.

  1. Überprüfen Sie, ob Hinweise auf eine Beschädigung der Active Directory-Datenbank (JET) vorliegen:

    1. Überprüfen Sie das Verzeichnisdienste-Ereignisprotokoll auf den Quell- und Zielreplikationspartnern auf Jet-Datenbankbeschädigungsereignisse. Mögliche Ereignisse sind:

      Source Ereignis-ID Beschreibung
      NTDS-Replikation 2108 Dieses Ereignis enthält REPAIR PROCEDURES für das 1084-Ereignis, das zuvor protokolliert wurde. Diese Meldung weist auf ein bestimmtes Problem mit der Konsistenz der Active Directory Domain Services Datenbank auf diesem Replikationsziel hin. Datenbankfehler beim Anwenden replizierter Änderungen auf das folgende Objekt. Die Datenbank enthielt unerwartete Inhalte, wodurch verhindert wurde, dass die Änderung vorgenommen wurde. Objekt: CN=chduffey,OU=IT,OU=Corp,DC=contoso,DC=com
      Objekt-GUID: <GUID>
      Quelldomänencontroller: c4efaf4e-d652-4630-8623-afec5ebc8532._msdcs.contso.comZusätzliche Daten
      Primärer Fehlerwert: 8333 Verzeichnisobjekt nicht gefunden.
      NTDS Allgemein 1168 Fehler -1073741790(c0000022) ist aufgetreten (interne ID 3000b3a). Wenden Sie sich an den Microsoft-Produktsupport, um Unterstützung zu erhalten.
      Microsoft-Windows:
      ActiveDirectory_DomainService      		 1084 Internes Ereignis: Active Directory konnte das folgende Objekt nicht mit Änderungen aktualisieren, die vom folgenden Quelldomänencontroller empfangen wurden. Dies liegt daran, dass während der Anwendung der Änderungen an Active Directory auf dem Domänencontroller ein Fehler aufgetreten ist.
      NTDS-Replikation 1699 Der lokale Domänencontroller konnte die für die folgende Verzeichnispartition angeforderten Änderungen nicht abrufen. Daher konnten die Änderungsanforderungen nicht an den Domänencontroller unter der folgenden Netzwerkadresse gesendet werden. 8446 Fehler beim Zuweisen von Arbeitsspeicher beim Replikationsvorgang

      Darüber hinaus können Replikations-status Code angezeigt werden:

      Code Sources Zusätzliche Informationen
      8451 Repadmin, DcPromo, als Untercode in Datenbankbeschädigungsereignissen Lesen Sie den Leitfaden zur Problembehandlung für 8451 im ersten instance, wenn dieser Fehler identifiziert wird.

      2645996

    2. Aktivieren Der erweiterten Protokollierung der Verzeichnisdienstereplikation:

      Wichtig

      Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Für zusätzlichen Schutz sichern Sie die Registrierung, bevor Sie sie ändern. Sie können die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen zum Erstellen und Wiederherstellen einer Sicherungskopie der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
      322756 Sichern und Wiederherstellen der Registrierung in Windows

      Um die NTDS-Diagnoseprotokollierung zu erhöhen, ändern Sie die folgenden REG_DWORD Werte in der Registrierung des Zieldomänencontrollers unter dem folgenden Registrierungsschlüssel:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics
      Legen Sie den Wert der folgenden Unterschlüssel auf 5 fest:
      5 Replikationsereignisse
      9 Interne Verarbeitung
      Hinweis Die Protokollierung der Ebene 5 ist äußerst ausführlich, und die Werte beider Unterschlüssel sollten auf den Standardwert 0 zurückgesetzt werden, nachdem das Problem behoben wurde. Das Verzeichnisdienste-Ereignisprotokoll sollte gefiltert werden, um diese Ereignisse zu isolieren und zu identifizieren.

    3. Überprüfen Sie die Ereignisprotokolle auf die neuen Ereignisse, die aus der erhöhten Protokollierung generiert wurden, auf Fehlerwerte, die eine endgültige Ansicht der Datenbankbeschädigung bieten.

    4. Wenn eine Datenbankbeschädigung erkannt wurde, stellen Sie sicher, dass für jede Domäne in der Gesamtstruktur aktuelle Sicherungen vorhanden sind.

    5. Starten Sie den Domänencontroller neu, der die Datenbankbeschädigung im Wiederherstellungsmodus der Verzeichnisdienste meldet. (Drücken Sie F8, während der Server neu gestartet wird oder wenn dies nicht möglich ist, öffnen Sie msconfig.exe und wählen Sie in den Startoptionen die Option "Active Directory-Reparatur" aus.)

    6. So führen Sie eine Überprüfung der Datenbank im Wiederherstellungsmodus für Verzeichnisdienste durch:

      1. Öffnen einer Eingabeaufforderung
      2. Geben Sie "ntdsutil" ein.
      3. Geben Sie "activate instance ntds" ein.
      4. Typ "Semantische Datenbankanalyse"
      5. Geben Sie "go" ein.

      Wenn Fehler erkannt werden, werden sie in der Konsole angezeigt und in eine Protokolldatei im aktuellen Arbeitsverzeichnis geschrieben.

    7. Wenn Datenbankbeschädigungsfehler erkannt werden, wird empfohlen, sich an Microsoft-Support Services zu wenden.

    8. Als letzte Option. Sie können den Domänencontroller herabstufen und erneut heraufstufen, um die Datenbank zu ersetzen und den Inhalt von einem anderen Server in der Domäne zu replizieren.

      Hinweis

      Wenn eine Active Directory-Datenbank in Ihrer Umgebung beschädigt wurde, ist es wichtig, die Quelle der Beschädigung zu berücksichtigen, um Probleme in Zukunft zu vermeiden. Einige der bekannten Ursachen für eine solche Beschädigung sind:

      1. Hardwarefehler: Festplatte oder Controller
      2. Zwischenspeichern: Festplattencontroller
      3. Veraltete Treiber: Festplattencontroller
      4. Veraltete Firmware: BIOS, Festplattencontroller, Festplatte
      5. Plötzlicher Stromausfall

  2. Überprüfen Sie, ob lingering Objects auf allen Domänencontrollern in der Gesamtstruktur vorhanden sind, und entfernen Sie sie.
    Es gibt mehrere Ansätze, um nach Lingering Objects zu suchen, einschließlich:

    1. Überprüfen Sie, ob die folgenden Verzeichnisdienste-Ereignisse auf Domänencontrollern in der Gesamtstruktur vorhanden sind:

      Quelle Ereignis-ID Beschreibung
      NTDS-Replikation 1988 Bei der Active Directory-Replikation sind Objekte in der folgenden Partition vorhanden, die aus der Active Directory-Datenbank der lokalen Domänencontroller (DCs) gelöscht wurden. Nicht alle direkten oder transitiven Replikationspartner wurden beim Löschen repliziert, bevor die Tombstone-Lebensdauer die Anzahl der Tage verstrichen ist. Objekte, die gelöscht und aus einer Active Directory-Partition gesammelt wurden, aber weiterhin in den beschreibbaren Partitionen anderer Domänencontroller in derselben Domäne vorhanden sind, oder schreibgeschützte Partitionen von globalen Katalogservern in anderen Domänen in der Gesamtstruktur werden als "beibehaltene Objekte" bezeichnet.
      NTDS-Replikation 1388 Ein anderer Domänencontroller (DC) hat versucht, ein Objekt, das nicht in der lokalen Active Directory-Datenbank vorhanden ist, in diesen Domänencontroller zu replizieren. Das Objekt wurde möglicherweise gelöscht und auf diesem Domänencontroller bereits garbage collected (eine Tombstone-Lebensdauer oder mehr ist seit dem Löschen des Objekts vergangen). Der in der Updateanforderung enthaltene Attributsatz reicht nicht aus, um das Objekt zu erstellen. Das Objekt wird mit einem vollständigen Attributsatz erneut angefordert und auf diesem Domänencontroller neu erstellt.

      Darüber hinaus werden möglicherweise die folgenden Replikationscodes status angezeigt:

      Code Sources Zusätzliche Informationen
      8451 Repadmin, DcPromo, als Untercode in Datenbankbeschädigungsereignissen Lesen Sie den Leitfaden zur Problembehandlung für 8451 im ersten instance, wenn dieser Fehler identifiziert wird.

      2645996

    2. Verwenden Sie repldiag.exe, um die Gesamtstruktur auf bleibende Objekte zu untersuchen.

      Repldiag kann von codeplex.com heruntergeladen werden. Verwenden Sie die Folgende Syntax, um den lingering object check-in advisory mode auszuführen:

      repldiag /RemoveLingeringObjects/AdvisoryMode

      Das Verzeichnisdienstereignis 1942 wird auf jedem Domänencontroller protokolliert und gibt die Anzahl der objekte an, die in jeder Verzeichnispartition erkannt wurden.

      Die von repldiag ausgeführten Aufgaben können auch mit dem integrierten Replikationstool für Verzeichnisdienste ausgeführt werden: Repadmin.exe.

      Für Supportexperten, die repadmin.exe bevorzugen, ist Repadmin /removelingeringobjectsder Teilbefehl . Repldiag.exe bietet gegenüber Repadmin.exe einen Vorteil, da es verwendet werden kann, um alle Verzeichnispartitionen auf allen Servern in der Gesamtstruktur mit einem einzigen Befehl zu durchsuchen.

      Wenn Lingering-Objekte erkannt werden:

      1. Führen Sie eine Systemstatussicherung von zwei Domänencontrollern in jeder Domäne in der Gesamtstruktur durch.
      2. Verwenden Sie repldiag.exe, um sauber von objekten auszuführen:
        repldiag /RemoveLingeringObjects
      3. Jeder Domänencontroller protokolliert ein Verzeichnisdienstereignis 1942 für jede Verzeichnisdienstpartition, um anzugeben, ob beibehaltene Objekte entfernt wurden.

    Für einen alternativen Ansatz zum Entfernen von bleibenden Objekten können Sie das integrierte Tool Repadmin.exe mit dem /removelingeringobjects Schalter verwenden. Dieser Ansatz erfordert mehrere Befehle. repldiag stellt ein Aggregat der Befehle bereit, die Repadmin.exe verwenden würden.

  3. Überprüfen Sie, ob Konfliktobjekte vorhanden sind, und entfernen Sie sie:
    a. Durchsuchen Sie die relevanten Verzeichnispartitionen nach CNF-verwalteten Objekten und dem Objekt, für das das konfliktverwaltete Objekt einen Konflikt mit der folgenden Syntax verursacht hat:

    repadmin /showattr localhost "dc=parent,dc=com" /subtree /filter:"((&(objectClass=*)(cn=*\0acnf:*)))" /atts:objectclass,whencreated,whenchanged

    In diesem Beispiel ist "dc=parent,dc=com" der Distinguished Name für die parent.com Domäne.

    In den meisten Fällen gibt der Fehler 8333 an, welche Verzeichnispartitionen für Konfliktobjekte ausgewertet werden sollen. Es wird empfohlen, die Konfigurationspartition in allen Instanzen zu überprüfen:

    repadmin /showattr localhost "cn=configuration,dc=parent,dc=com" /subtree /filter:"((&(objectClass=*)(cn=*\0acnf:*)))" /atts:objectclass,whencreated,whenchanged

    b. Überprüfen Sie die Attribute, Attributwerte und falls vorhanden, untergeordnete Objekte, um zu bestimmen, welches Objekt verbleiben und welches gelöscht werden soll.

    c. Stellen Sie sicher, dass Sie über eine aktuelle Sicherung des Verzeichnisses verfügen.

    d. Löschen Sie das konfliktgefashte Objekt/Container oder das Objekt, mit dem ein Konflikt aufgetreten ist, mithilfe von LDP.EXE, ADSIEDIT oder einem der Active Directory-Verwaltungstools.

  4. Führen Sie Tests der Replikationspartner mit entfernten Komponenten von Drittanbietern durch.
    Es wurde festgestellt, dass mehrere Drittanbieterprodukte dieses Problem verursachen, einschließlich:

    1. Anti-Virus-Software
    2. Directory Synchronization

Datensammlung

Wenn Sie Unterstützung vom Microsoft-Support benötigen, empfehlen wir Ihnen, die Informationen zu sammeln, indem Sie die unter Sammeln von Informationen mithilfe von TSS für Active Directory-Replikationsprobleme beschriebenen Schritte ausführen.

Weitere Informationen

Lingering Objects(Lingering Objects):

Bereinigen der Active Directory-Gesamtstruktur von bleibenden Objekten

Datenbankbeschädigung:

Ereignis-ID 1539 – Datenbankintegrität