7
Probleme mit der NTDS Replication
Hallo,
ich habe in unserem Serverleistungsbericht eine Fehlermeldung entdeckt, die mir etwas Sorgen bereitet:
NTDS Replication
1864
10.04.2011 23:50
Der Replikationsstatus für die folgende Verzeichnispartition des lokalen Domänencontrollers ist wie folgt. Verzeichnispartition: DC=richter,DC=local n Der lokale Domänencontroller hat in jüngster Zeit von einer bestimmten Anzahl an Domäncontrollern keine Replikationsinformationen mehr erhalten. Die Anzahl an Domänencontrollern wird unterteilt in die folgenden Intervalle gezeigt. n Länger als 24 Stunden: 1 Länger als eine Woche: 1 Länger als einen Monat: 1 Länger als zwei Monate: 1 Längerals die Tombstone-Ablaufzeit: 1 Tombstone-Ablaufzeit (in Tagen): 60 Bei Domänencontrollern, die nicht rechtzeitig repliziert werden, können Fehler auftreten. Ihnen können Kennwortänderungen entgehen, und sie können daher ggf. nicht in authentifiziert werden. Einem Domänencontroller, der innerhalb der Tobstone-Ablaufzeit nicht repliziert wurde, kann das Löschen von Objekten entgehen, und er wird ggf. für die zukünftige Replikation gesperrt, bis er wieder abgestimmt wurde. Installieren Sie die Supporttools von der Installations-CD und führen Sie dcdiag.exe aus, um Domänencontroller anhand des Namens zu identifizieren. Sie können auch das Supporttool repadmin.exe verwenden, um Replikations- latenzzeiten der Domänencontroller in der Struktur anzuzeigen. Der Befehl lautet "repadmin /showvector /latency <partition-dn>".
Hier noch ein Auszug aus der dcdiag.exe:
C:\Dokumente und Einstellungen\admin>dcdiag
Domain Controller Diagnosis
Performing initial setup:
Done gathering initial info.
Doing initial required tests
Testing server: Standardname-des-ersten-Standorts\MAINSERVER
Starting test: Connectivity
......................... MAINSERVER passed test Connectivity
Doing primary tests
Testing server: Standardname-des-ersten-Standorts\MAINSERVER
Starting test: Replications
[Replications Check,MAINSERVER] A recent replication attempt failed:
From DATASERVER to MAINSERVER
Naming Context: DC=richter,DC=local
The replication generated an error (8614):
Active Directory kann mit diesem Server nicht replizieren, da die di
e seit der letzten Replikation abgelaufene Zeit die Tombstone-Ablaufzeit übersch
ritten hat.
The failure occurred at 2011-04-11 08:20:33.
The last success occurred at 2010-07-18 22:22:17.
37553 failures have occurred since the last success.
REPLICATION-RECEIVED LATENCY WARNING
MAINSERVER: Current time is 2011-04-11 08:22:10.
DC=richter,DC=local
Last replication recieved from DATASERVER at 2010-07-18 20:22:15.
WARNING: This latency is over the Tombstone Lifetime of 60 days!
Die beiden Server sind Windows 2003.
Danke für Eure Hilfe!
ich habe in unserem Serverleistungsbericht eine Fehlermeldung entdeckt, die mir etwas Sorgen bereitet:
NTDS Replication
1864
10.04.2011 23:50
Der Replikationsstatus für die folgende Verzeichnispartition des lokalen Domänencontrollers ist wie folgt. Verzeichnispartition: DC=richter,DC=local n Der lokale Domänencontroller hat in jüngster Zeit von einer bestimmten Anzahl an Domäncontrollern keine Replikationsinformationen mehr erhalten. Die Anzahl an Domänencontrollern wird unterteilt in die folgenden Intervalle gezeigt. n Länger als 24 Stunden: 1 Länger als eine Woche: 1 Länger als einen Monat: 1 Länger als zwei Monate: 1 Längerals die Tombstone-Ablaufzeit: 1 Tombstone-Ablaufzeit (in Tagen): 60 Bei Domänencontrollern, die nicht rechtzeitig repliziert werden, können Fehler auftreten. Ihnen können Kennwortänderungen entgehen, und sie können daher ggf. nicht in authentifiziert werden. Einem Domänencontroller, der innerhalb der Tobstone-Ablaufzeit nicht repliziert wurde, kann das Löschen von Objekten entgehen, und er wird ggf. für die zukünftige Replikation gesperrt, bis er wieder abgestimmt wurde. Installieren Sie die Supporttools von der Installations-CD und führen Sie dcdiag.exe aus, um Domänencontroller anhand des Namens zu identifizieren. Sie können auch das Supporttool repadmin.exe verwenden, um Replikations- latenzzeiten der Domänencontroller in der Struktur anzuzeigen. Der Befehl lautet "repadmin /showvector /latency <partition-dn>".
Hier noch ein Auszug aus der dcdiag.exe:
C:\Dokumente und Einstellungen\admin>dcdiag
Domain Controller Diagnosis
Performing initial setup:
Done gathering initial info.
Doing initial required tests
Testing server: Standardname-des-ersten-Standorts\MAINSERVER
Starting test: Connectivity
......................... MAINSERVER passed test Connectivity
Doing primary tests
Testing server: Standardname-des-ersten-Standorts\MAINSERVER
Starting test: Replications
[Replications Check,MAINSERVER] A recent replication attempt failed:
From DATASERVER to MAINSERVER
Naming Context: DC=richter,DC=local
The replication generated an error (8614):
Active Directory kann mit diesem Server nicht replizieren, da die di
e seit der letzten Replikation abgelaufene Zeit die Tombstone-Ablaufzeit übersch
ritten hat.
The failure occurred at 2011-04-11 08:20:33.
The last success occurred at 2010-07-18 22:22:17.
37553 failures have occurred since the last success.
REPLICATION-RECEIVED LATENCY WARNING
MAINSERVER: Current time is 2011-04-11 08:22:10.
DC=richter,DC=local
Last replication recieved from DATASERVER at 2010-07-18 20:22:15.
WARNING: This latency is over the Tombstone Lifetime of 60 days!
Die beiden Server sind Windows 2003.
Danke für Eure Hilfe!
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 164302
Url: https://administrator.de/forum/probleme-mit-der-ntds-replication-164302.html
Ausgedruckt am: 16.04.2025 um 15:04 Uhr
7 Kommentare
Neuester Kommentar
moin,
tja was soll man dir nun raten.....
Welche Fehler hat der denn noch - keine NTDS KCC Fehler im Eventlog?
Gruß
The last success occurred at 2010-07-18 22:22:17.
tja was soll man dir nun raten.....
- wo steht denn der betreffende DC?
- gleicher oder ein anderer Standort?
- wenn 2. was für eine Verbindung dahin?
- Es kann unter Umständen besser sein - den "defekten" DC via DCpromo /force rauszuwerfen, die AD via ADSedit zu säubern und den DC komplett neu - von FDISK zumindestens der NTDS Partitionen angefangen - neu aufzusetzen.
- Das ist aber der allerletzte Weg, der immer Erfolgreich ist - wenn man Ihn abends in Ruhe macht - und bei dem man den Zeitaufwand abschätzen kann.
Welche Fehler hat der denn noch - keine NTDS KCC Fehler im Eventlog?
Gruß
Die beiden Server stehen am gleichen Standort. NTDS KCC Fehler sind keine im Evenlog zu finden. Diese Warnung ist aber noch drin:
Ereignistyp: Warnung
Ereignisquelle: NTDS Replication
Ereigniskategorie: Replikation
Ereigniskennung: 2092
Datum: 10.04.2011
Zeit: 23:50:15
Benutzer: NT-AUTORITÄT\ANONYMOUS-ANMELDUNG
Computer: MAINSERVER
Beschreibung:
Dieser Server ist der Besitzer der folgenden FSMO-Rolle, jedoch wird diese nicht als gültig angesehen. Für die Partition, die das FSMO enthält, wurde dieser Server nicht erfolgreich mit irgendeinem der Partner seit dem letzten Neustart des Servers repliziert. Replikationsfehler verhindern die Bestätigung dieser Rolle.
Vorgänge, die eine Kontaktaufnahme mit dem FSMO-Betriebsmaster erfordern, schlagen fehl, solange dieser Zustand nicht behoben wird.
FSMO-Rolle: CN=RID Manager$,CN=System,DC=richter,DC=local
Benutzeraktion:
1. Die ursprüngliche Synchronisierung ist die erste Replikation, die von dem System beim Start durchgeführt wird. Das Fehlschlagen der ursprünglichen Synchronisierung ist eventuell die Ursache dafür, dass die FSMO-Rolle nicht bestätigt werden kann. Dieser Prozess wird im KB-Artikel 305476 erklärt.
2. Dieser Server verfügt über mindestens einen Replikationspartner und die Replikation schlägt für alle Partner fehl. Führen Sie den Befehl REPADMIN /showrepl aus, um die Replikationsfehler anzuzeigen. Beheben Sie den fraglichen Fehler. Es sind eventuell Problem mit der IP-Konnektivität, der DNS-Namenauflösung oder mit der Sicherheitsauthentifizierung aufgetreten, die die erfolgreiche Replikation verhindern.
3. In dem Ausnahmefall, dass alle Replikationspartner inaktiv sind, eventuell zu Wartungszwecken oder zur Notfall-Wiederherstellung, können Sie die Bestätigung der Rolle erzwingen. Führen Sie NTDSUTIL.EXE aus, um die Rolle für denselben Server zu übernehmen. Dieser Vorgang sollte entsprechend den Schritten, die in den KB-Artikeln 255504 und 324801 auf http://support.microsoft.com aufgelistet sind, durchgeführt werden.
Die folgenden Vorgänge werden eventuell beeinträchtigt:
Schema: Sie können das Schema für diese Gesamtstruktur nicht mehr modifizieren.
Domänenbenennung: Sie können keine Domänen zu dieser Gesamtstruktur hinzufügen bzw. daraus entfernen.
PDC: Sie können keine weiteren Vorgänge, wie z. B. die Aktualisierung von Gruppenrichtlinien oder das Zurücksetzen von Kennwörtern für nicht in Active Directory vorhandene Konten, auf dem primären Domänencontroller durchführen.
RID: Sie können keine neuen Sicherheitskennungen für neue Benutzer- oder Computerkonten bzw. für Sicherheitsgruppen zuweisen.
Infrastruktur: Domänenübergreifende Namenreferenzen, wie z. B. universelle Gruppenmitgliedschaften, werden nicht richtig aktualisiert, wenn das Zielobjekt entfernt oder umbenannt wird.
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
Ereignistyp: Warnung
Ereignisquelle: NTDS Replication
Ereigniskategorie: Replikation
Ereigniskennung: 2092
Datum: 10.04.2011
Zeit: 23:50:15
Benutzer: NT-AUTORITÄT\ANONYMOUS-ANMELDUNG
Computer: MAINSERVER
Beschreibung:
Dieser Server ist der Besitzer der folgenden FSMO-Rolle, jedoch wird diese nicht als gültig angesehen. Für die Partition, die das FSMO enthält, wurde dieser Server nicht erfolgreich mit irgendeinem der Partner seit dem letzten Neustart des Servers repliziert. Replikationsfehler verhindern die Bestätigung dieser Rolle.
Vorgänge, die eine Kontaktaufnahme mit dem FSMO-Betriebsmaster erfordern, schlagen fehl, solange dieser Zustand nicht behoben wird.
FSMO-Rolle: CN=RID Manager$,CN=System,DC=richter,DC=local
Benutzeraktion:
1. Die ursprüngliche Synchronisierung ist die erste Replikation, die von dem System beim Start durchgeführt wird. Das Fehlschlagen der ursprünglichen Synchronisierung ist eventuell die Ursache dafür, dass die FSMO-Rolle nicht bestätigt werden kann. Dieser Prozess wird im KB-Artikel 305476 erklärt.
2. Dieser Server verfügt über mindestens einen Replikationspartner und die Replikation schlägt für alle Partner fehl. Führen Sie den Befehl REPADMIN /showrepl aus, um die Replikationsfehler anzuzeigen. Beheben Sie den fraglichen Fehler. Es sind eventuell Problem mit der IP-Konnektivität, der DNS-Namenauflösung oder mit der Sicherheitsauthentifizierung aufgetreten, die die erfolgreiche Replikation verhindern.
3. In dem Ausnahmefall, dass alle Replikationspartner inaktiv sind, eventuell zu Wartungszwecken oder zur Notfall-Wiederherstellung, können Sie die Bestätigung der Rolle erzwingen. Führen Sie NTDSUTIL.EXE aus, um die Rolle für denselben Server zu übernehmen. Dieser Vorgang sollte entsprechend den Schritten, die in den KB-Artikeln 255504 und 324801 auf http://support.microsoft.com aufgelistet sind, durchgeführt werden.
Die folgenden Vorgänge werden eventuell beeinträchtigt:
Schema: Sie können das Schema für diese Gesamtstruktur nicht mehr modifizieren.
Domänenbenennung: Sie können keine Domänen zu dieser Gesamtstruktur hinzufügen bzw. daraus entfernen.
PDC: Sie können keine weiteren Vorgänge, wie z. B. die Aktualisierung von Gruppenrichtlinien oder das Zurücksetzen von Kennwörtern für nicht in Active Directory vorhandene Konten, auf dem primären Domänencontroller durchführen.
RID: Sie können keine neuen Sicherheitskennungen für neue Benutzer- oder Computerkonten bzw. für Sicherheitsgruppen zuweisen.
Infrastruktur: Domänenübergreifende Namenreferenzen, wie z. B. universelle Gruppenmitgliedschaften, werden nicht richtig aktualisiert, wenn das Zielobjekt entfernt oder umbenannt wird.
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
und...
was sagen die Ergebnise der Tipps / Schritte aus dem Eventlog?
was sagen die Ergebnise der Tipps / Schritte aus dem Eventlog?
Moin,
hast Du den 2. DC zufällig kürzlich virtualisiert?
Gruß
hast Du den 2. DC zufällig kürzlich virtualisiert?
Gruß
Wir haben den MAINSERVER vor einem dreiviertel Jahr virtualisiert.
Wir haben den MAINSERVER vor einem dreiviertel Jahr virtualisiert.
The last success occurred at 2010-07-18 22:22:17.
The last success occurred at 2010-07-18 22:22:17.
- passt ja.....
- und danach nicht überprüft, obs der überhaupt tut.....
naja -die nötigen Schritte kennst du ja...
Zitat von @60730:
> Wir haben den MAINSERVER vor einem dreiviertel Jahr virtualisiert.
> The last success occurred at 2010-07-18 22:22:17.
naja -die nötigen Schritte kennst du ja...
> Wir haben den MAINSERVER vor einem dreiviertel Jahr virtualisiert.
> The last success occurred at 2010-07-18 22:22:17.
- passt ja.....
- und danach nicht überprüft, obs der überhaupt tut.....
naja -die nötigen Schritte kennst du ja...
Als Lektüre kann ich folgendes Blog nur empfehlen: http://blog.dikmenoglu.de/ .
Die sauberste Lösung ist sicherlich die von Timo.
evtl könnten Dir auch folgende Stichworte weiterhelfen, ich gehe davon aus daß Du im eventlog noch weitere Fehler finden wirst...
(Voraussetzung ist natürlich, daß die generelle Konnektivität zwischen den DCs noch besteht; Authentifizierungsfehler ?).
- NTFRS_CMD_FILE_MOVE_ROOT http://support.microsoft.com/kb/887440 (geht auch unter 2003)
- BurFlags http://support.microsoft.com/kb/290762/de
Aber wie gesagt, saubere Lösung s.o....und mit nem DC ist nicht zu spaßen
