8
Replikation Domaincontroller Fehler
Hallo zusammen,
ich habe ein Problem :
In der folgenden Partition wurden von der Active Directory-Domänendienste-Replikation Objekte entdeckt, die von der Active Directory-Domänendienste-Datenbank des lokalen Domänencontrollers gelöscht wurden. Beim Löschen replizierten nicht alle direkten oder transitiven Replikationspartner vor Ablauf der Tombstone- Verfallszeit. Objekte, die von einer Active Directory-Domänendienste-Partition gelöscht und in die Sammlung veralteter Objekte aufgenommen wurden, aber nach wie vor in den beschreibbaren Partitionen anderer Domänencontroller der gleichen Domäne vorhanden sind, oder schreibgeschützte Partitionen der globalen Katalogserver in anderen Domänen innerhalb der Gesamtstruktur werden als "veraltete Objekte" bezeichnet.
Quelldomänencontroller:
36a0e847-22ea-4d53-a772-6417fc817fce._msdcs.XXXelgmbh.eu
Objekt:
CN=SophosFimDataReaders\0ACNF:77e9cc64-5cf5-4ef3-bb33-e33acae6fad1,CN=Users,DC=XXXelgmbh,DC=eu
Objekt-GUID:
77e9cc64-5cf5-4ef3-bb33-e33acae6fad1 Dieses Ereignis wird protokolliert, da der Quelldomänencontroller ein veraltetes Objekt enthält, das nicht auf den lokalen Domänencontrollern der Active Directory-Domänendienste-Datenbank vorhanden ist. Dieser Replikationsversuch wurde blockiert.
Dieses Problem lässt sich am besten durch Identifizieren und Entfernen aller veralteten Objekte in der Gesamtstruktur beheben.
Benutzeraktion:
Entfernen Sie Objekte:
Der Aktionsplan zum Beheben dieses Fehlers kann unter "http://support.microsoft.com/?id=314282" abgerufen werden.
Handelt es sich bei Quell- und Zieldomänencontrollern um Windows 2003-Serverdomänencontroller, installieren Sie die Supporttools auf der Installations-CD. Um die zu löschenden Objekte anzuzeigen, ohne sie tatsächlich zu löschen, führen Sie die Option "repadmin /removelingeringobjects <Quell-DC> <Ziel-DC-DSA-GUID> <NC> /ADVISORY_MODE" aus. Die Ereignisprotokolle auf dem Quelldomänencontroller listen alle veralteten Objekte auf. Führen Sie zum Entfernen verbleibender Objekte von einem Quelldomänencontroller "repadmin /removelingeringobjects <Quell-DC> <Ziel-DC-DSA-GUID> <NC>" aus.
Handelt es sich bei dem Quell- oder Zieldomänencontroller um einen Windows 2000-Serverdomänencontroller, erhalten Sie unter "http://support.microsoft.com/?id=314282" oder von Ihrem Microsoft-Support Informationen über das Entfernen von veralteten Objekten auf dem Quelldomänencontroller.
Muss die Active Directory-Domänendienste-Replikation unbedingt sofort funktionieren, und haben Sie keine Zeit, veraltete Objekte zu entfernen, aktivieren Sie eine lose Replikationskonsistenz durch Löschen des folgenden Registrierungsschlüssels:
Registrierungsschlüssel:
HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Strict Replication Consistency
Durch Replikationsfehler zwischen Domänencontrollern mit gemeinsamer Partition kann verhindert werden, dass Benutzer- und Computerkonten, Vertrauensstellungen, ihre Kennwörter, Sicherheitsgruppen, Sicherheitsgruppenmitgliedschaften und andere Active Directory-Domänendienste-Konfigurationsdaten zwischen Domänencontrollern variieren. nDas beeinflusst die Möglichkeit, sich anzumelden, wichtige Objekte zu finden und andere wichtige Vorgänge auszuführen. Diese Inkonsistenzen treten nach Beheben der Replikationsfehler nicht mehr auf. Domänencontroller, die keine eingehenden gelöschten Objekte innerhalb der Tombstone-Verfallszeit replizieren, bleiben so lange inkonsistent, bis veraltete Objekte manuell von einem Administrator jedes lokalen Domänencontrollers entfernt werden.
Veraltete Objekte werden vermieden, indem sichergestellt wird, dass alle Domänencontroller, die in der Gesamtstruktur die Active Directory-Domänendienste ausführen, durch eine umfassende Strukturverbindungstopologie verbunden sind, und eine eingehende Replikation vor Ablauf der Tombstone-Verfallszeit durchführen.
Leider komme ich nun bei der Syntax nicht richtig weiter.
repadmin /removelingeringobjects <ServerName> <ServerGUID> <DirectoryPartition> /advisory_mode
- Servername ist der Server der den Fehler gemeldet hat ?
- Server GUID der Server der keine Fehler hat?
- Directory Partition wäre dann ? --> CN=SophosFimDataReaders\0ACNF:77e9cc64-5cf5-4ef3-bb33-e33acae6fad1,CN=Users,DC=XXXelgmbh,DC=eu
Danke für die Hilfe
ich habe ein Problem :
In der folgenden Partition wurden von der Active Directory-Domänendienste-Replikation Objekte entdeckt, die von der Active Directory-Domänendienste-Datenbank des lokalen Domänencontrollers gelöscht wurden. Beim Löschen replizierten nicht alle direkten oder transitiven Replikationspartner vor Ablauf der Tombstone- Verfallszeit. Objekte, die von einer Active Directory-Domänendienste-Partition gelöscht und in die Sammlung veralteter Objekte aufgenommen wurden, aber nach wie vor in den beschreibbaren Partitionen anderer Domänencontroller der gleichen Domäne vorhanden sind, oder schreibgeschützte Partitionen der globalen Katalogserver in anderen Domänen innerhalb der Gesamtstruktur werden als "veraltete Objekte" bezeichnet.
Quelldomänencontroller:
36a0e847-22ea-4d53-a772-6417fc817fce._msdcs.XXXelgmbh.eu
Objekt:
CN=SophosFimDataReaders\0ACNF:77e9cc64-5cf5-4ef3-bb33-e33acae6fad1,CN=Users,DC=XXXelgmbh,DC=eu
Objekt-GUID:
77e9cc64-5cf5-4ef3-bb33-e33acae6fad1 Dieses Ereignis wird protokolliert, da der Quelldomänencontroller ein veraltetes Objekt enthält, das nicht auf den lokalen Domänencontrollern der Active Directory-Domänendienste-Datenbank vorhanden ist. Dieser Replikationsversuch wurde blockiert.
Dieses Problem lässt sich am besten durch Identifizieren und Entfernen aller veralteten Objekte in der Gesamtstruktur beheben.
Benutzeraktion:
Entfernen Sie Objekte:
Der Aktionsplan zum Beheben dieses Fehlers kann unter "http://support.microsoft.com/?id=314282" abgerufen werden.
Handelt es sich bei Quell- und Zieldomänencontrollern um Windows 2003-Serverdomänencontroller, installieren Sie die Supporttools auf der Installations-CD. Um die zu löschenden Objekte anzuzeigen, ohne sie tatsächlich zu löschen, führen Sie die Option "repadmin /removelingeringobjects <Quell-DC> <Ziel-DC-DSA-GUID> <NC> /ADVISORY_MODE" aus. Die Ereignisprotokolle auf dem Quelldomänencontroller listen alle veralteten Objekte auf. Führen Sie zum Entfernen verbleibender Objekte von einem Quelldomänencontroller "repadmin /removelingeringobjects <Quell-DC> <Ziel-DC-DSA-GUID> <NC>" aus.
Handelt es sich bei dem Quell- oder Zieldomänencontroller um einen Windows 2000-Serverdomänencontroller, erhalten Sie unter "http://support.microsoft.com/?id=314282" oder von Ihrem Microsoft-Support Informationen über das Entfernen von veralteten Objekten auf dem Quelldomänencontroller.
Muss die Active Directory-Domänendienste-Replikation unbedingt sofort funktionieren, und haben Sie keine Zeit, veraltete Objekte zu entfernen, aktivieren Sie eine lose Replikationskonsistenz durch Löschen des folgenden Registrierungsschlüssels:
Registrierungsschlüssel:
HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Strict Replication Consistency
Durch Replikationsfehler zwischen Domänencontrollern mit gemeinsamer Partition kann verhindert werden, dass Benutzer- und Computerkonten, Vertrauensstellungen, ihre Kennwörter, Sicherheitsgruppen, Sicherheitsgruppenmitgliedschaften und andere Active Directory-Domänendienste-Konfigurationsdaten zwischen Domänencontrollern variieren. nDas beeinflusst die Möglichkeit, sich anzumelden, wichtige Objekte zu finden und andere wichtige Vorgänge auszuführen. Diese Inkonsistenzen treten nach Beheben der Replikationsfehler nicht mehr auf. Domänencontroller, die keine eingehenden gelöschten Objekte innerhalb der Tombstone-Verfallszeit replizieren, bleiben so lange inkonsistent, bis veraltete Objekte manuell von einem Administrator jedes lokalen Domänencontrollers entfernt werden.
Veraltete Objekte werden vermieden, indem sichergestellt wird, dass alle Domänencontroller, die in der Gesamtstruktur die Active Directory-Domänendienste ausführen, durch eine umfassende Strukturverbindungstopologie verbunden sind, und eine eingehende Replikation vor Ablauf der Tombstone-Verfallszeit durchführen.
Leider komme ich nun bei der Syntax nicht richtig weiter.
repadmin /removelingeringobjects <ServerName> <ServerGUID> <DirectoryPartition> /advisory_mode
- Servername ist der Server der den Fehler gemeldet hat ?
- Server GUID der Server der keine Fehler hat?
- Directory Partition wäre dann ? --> CN=SophosFimDataReaders\0ACNF:77e9cc64-5cf5-4ef3-bb33-e33acae6fad1,CN=Users,DC=XXXelgmbh,DC=eu
Danke für die Hilfe
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 391491
Url: https://administrator.de/contentid/391491
Ausgedruckt am: 19.11.2024 um 11:11 Uhr
8 Kommentare
Neuester Kommentar
Moin,
was sind das für DCs (Version) und hast Du eventuell eine DC wiederhergestellt?
Gruss
was sind das für DCs (Version) und hast Du eventuell eine DC wiederhergestellt?
Gruss
DC01 2016
DC02 2012 den hatte ich zurückgesichert (läuft alles bis auf 2 Objekte bei den die Fehlermeldung kommt)
Der DC02 hat auch alle Betriebsmaster-Rollen. Globaler Katalog liegt auf beiden Servern. DC01 hat keine Fehler in der Ereignisanzeige.
DC02 2012 den hatte ich zurückgesichert (läuft alles bis auf 2 Objekte bei den die Fehlermeldung kommt)
Der DC02 hat auch alle Betriebsmaster-Rollen. Globaler Katalog liegt auf beiden Servern. DC01 hat keine Fehler in der Ereignisanzeige.
Hatte ich irgendwie geahnt 
Also BP ist i.d.R. alle Rollen (FSMO etc) auf den überlebenden DC übertragen, dann den "defekten" herunterstufen, entfernen etc und dann neu aufzubauen, anstatt einer Wiederherstellung.
Jetzt kannst Du immer noch überlegen, das so zu machen oder den Fehler doch noch in den Griff zu bekommen.
Allerdings mit dem Gefühl im Hinterkopf, dass da mal was nicht 100% in Ordnung war.
Gruss
Also BP ist i.d.R. alle Rollen (FSMO etc) auf den überlebenden DC übertragen, dann den "defekten" herunterstufen, entfernen etc und dann neu aufzubauen, anstatt einer Wiederherstellung.
Jetzt kannst Du immer noch überlegen, das so zu machen oder den Fehler doch noch in den Griff zu bekommen.
Allerdings mit dem Gefühl im Hinterkopf, dass da mal was nicht 100% in Ordnung war.
Gruss
Herunter und Hochstufen ist für mich keine Option, da unsere Sophos-Zertifikate und Verschlüsselung mit diesem DC zusammen hängen.
Die Lösung ist ja auch oben von Microsoft definiert. Nur ist das ganze denke etwas schlecht übersetzt und ich krieg die Syntax nicht hin.
Die beiden Fehler beeinflussen die Stabilität des AD nicht und es funktioniert alles nur diese beiden Fehler halt. Wäre schön wenn man die wegbekommt.
Die Lösung ist ja auch oben von Microsoft definiert. Nur ist das ganze denke etwas schlecht übersetzt und ich krieg die Syntax nicht hin.
Die beiden Fehler beeinflussen die Stabilität des AD nicht und es funktioniert alles nur diese beiden Fehler halt. Wäre schön wenn man die wegbekommt.
Der Link bezieht sich auf W2000, kann sein, dass der auch für W12/W16 valide ist, muss aber nicht sein.
Der Text kann auch auf Englisch gelesen werden.
Welche Active-Directory-Funktionsebene habt ihr?
Der Text kann auch auf Englisch gelesen werden.
Welche Active-Directory-Funktionsebene habt ihr?
OK, und was sollen wir nun tun? Wir können nicht per Hand-Aufs-Display legen dein Problem lösen. Demnach musst du dir wohl jemanden suchen, der überhaupt evaluieren kann, ob und wie das Problem so in den Griff zu bekommen ist.
Funktionsebene ist: Windows 2012R2
Ärgerlich das ganze :/
Ärgerlich das ganze :/
@certifiedit.net
Danke für diesen wundervollen und sehr zur Lösung beitragenden Kommentar!
Es ging mir hier von Anfang an um das Problem der Syntax und vielleicht hat jemand hier ein gleiches Problem gehabt und kann zur Lösung beitragen in dem er jemanden einen Tipp geben kann.
Das ist doch der Sinn von solchen Foren wie hier um über ein Problem zu diskutieren und Ratschläge zu bekommen.
Typen wie du regen mich echt auf.
Poste doch einfach nichts wenn du nichts zum Thema beitragen kannst, oder nur klug###en.
@sabines
Danke für die Hilfe ich werde einfach mal den MS-Support kontaktieren.
Danke
Danke für diesen wundervollen und sehr zur Lösung beitragenden Kommentar!
Es ging mir hier von Anfang an um das Problem der Syntax und vielleicht hat jemand hier ein gleiches Problem gehabt und kann zur Lösung beitragen in dem er jemanden einen Tipp geben kann.
Das ist doch der Sinn von solchen Foren wie hier um über ein Problem zu diskutieren und Ratschläge zu bekommen.
Typen wie du regen mich echt auf.
Poste doch einfach nichts wenn du nichts zum Thema beitragen kannst, oder nur klug###en.
@sabines
Danke für die Hilfe ich werde einfach mal den MS-Support kontaktieren.
Danke
1
