Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Probeer onze virtuele agent : hiermee kunt u snel veelvoorkomende problemen met Active Directory-replicatie identificeren en oplossen.
Active Directory-replicatieproblemen kunnen verschillende bronnen hebben. Dns-problemen (Domain Name System), netwerkproblemen of beveiligingsproblemen kunnen er bijvoorbeeld voor zorgen dat Active Directory-replicatie mislukt.
In de rest van dit artikel worden hulpprogramma's en een algemene methodologie beschreven voor het oplossen van Active Directory-replicatiefouten. De volgende subonderwerpen behandelen symptomen, oorzaken en hoe u specifieke replicatiefouten kunt oplossen:
Inleiding en bronnen voor het oplossen van problemen met Active Directory-replicatie
Inkomende of uitgaande replicatiefouten zorgen ervoor dat Active Directory-objecten, die de replicatietopologie, het replicatieplan, domeincontrollers, gebruikers, computers, wachtwoorden, beveiligingsgroepen, groepslidmaatschappen en Groepsbeleid vertegenwoordigen, inconsistenties vertonen tussen domeincontrollers. Directory-inconsistentie en replicatiefout veroorzaken operationele fouten of inconsistente resultaten, afhankelijk van de domeincontroller die voor de bewerking wordt gebruikt, en kan de toepassing van groepsbeleid- en toegangsbeheermachtigingen voorkomen. Active Directory Domain Services (AD DS) is afhankelijk van de netwerkverbinding, naamomzetting, verificatie en autorisatie, de directorydatabase, de replicatietopologie en de replicatie-engine. Wanneer de hoofdoorzaak van een replicatieprobleem niet direct duidelijk is, vereist het vaststellen van de oorzaak tussen de vele mogelijke oorzaken het systematisch uitsluiten van waarschijnlijke oorzaken.
Voor een hulpprogramma op basis van een gebruikersinterface om replicatie te controleren en fouten te diagnosticeren, downloadt en voert u het hulpprogramma Microsoft Support and Recovery Assistant uit.
Voor een uitgebreid document waarin wordt beschreven hoe u het hulpprogramma Repadmin kunt gebruiken om problemen met Active Directory-replicatie op te lossen, is beschikbaar; zie Bewaking en probleemoplossing voor Active Directory-replicatie met repadmin.
Zie de volgende technische verwijzingen voor informatie over de werking van Active Directory-replicatie:
- Technische referentie voor Active Directory-replicatiemodel
- Technische referentie over de replicatietopologie van Active Directory
Aanbevelingen voor evenement- en tooloplossingen
In het ideale geval suggereren de rode (fout) en gele (waarschuwings) gebeurtenissen in het gebeurtenislogboek directoryservice de specifieke beperking die replicatiefouten veroorzaakt op de bron- of doeldomeincontroller. Als in het gebeurtenisbericht stappen voor een oplossing worden voorgesteld, probeert u de stappen die in de gebeurtenis worden beschreven. Het hulpprogramma Repadmin en andere diagnostische hulpprogramma's bieden ook informatie waarmee u replicatiefouten kunt oplossen.
Zie Bewaking en probleemoplossing van Active Directory-replicatie met Repadmin voor gedetailleerde informatie over het gebruik van Repadmin voor het oplossen van replicatieproblemen.
Opzettelijke onderbrekingen of hardwarefouten uitsluiten
Soms treden replicatiefouten op vanwege opzettelijke onderbrekingen. Wanneer u bijvoorbeeld problemen met Active Directory-replicatie oplost, sluit u opzettelijke verbroken verbindingen en hardwarefouten of upgrades eerst uit.
Opzettelijke verbroken verbindingen
Als replicatiefouten worden gerapporteerd door een domeincontroller die replicatie probeert uit te voeren met een domeincontroller die is opgezet in een voorbereidingssite en momenteel offline is, in afwachting van implementatie in de uiteindelijke productiesite (een externe locatie, zoals een filiaal), kunt u rekening houden met die replicatiefouten. Om te voorkomen dat een domeincontroller wordt gescheiden van de replicatietopologie gedurende langere perioden, wat continue fouten veroorzaakt totdat de domeincontroller opnieuw verbinding maakt, kunt u overwegen om dergelijke computers in eerste instantie toe te voegen als lidservers en de installatie van media (IFM) te gebruiken om Active Directory Domain Services (AD DS) te installeren. U kunt het opdrachtregelprogramma Ntdsutil gebruiken om installatiemedia te maken die u kunt opslaan op verwisselbare media (cd, dvd of andere media) en naar de doelsite te verzenden. Vervolgens kunt u de installatiemedia gebruiken om AD DS op de domeincontrollers op de site te installeren, zonder replicatie te gebruiken.
Hardwarefouten of upgrades
Als er replicatieproblemen optreden als gevolg van hardwarestoringen (bijvoorbeeld een storing van een moederbord, schijfsubsysteem of harde schijf), meldt u de eigenaar van de server zodat het hardwareprobleem kan worden opgelost.
Periodieke hardware-upgrades kunnen er ook voor zorgen dat domeincontrollers niet meer worden gebruikt. Zorg ervoor dat uw servereigenaren een goed systeem hebben om dergelijke storingen vooraf te communiceren.
Firewall configuratie
Active Directory-replicatie van externe procedureaanroepen (RPC's) vindt standaard dynamisch plaats via een beschikbare poort via RPC Endpoint Mapper (RPCSS) op poort 135. Zorg ervoor dat Windows Firewall met geavanceerde beveiliging en andere firewalls correct zijn geconfigureerd om replicatie toe te staan. Zie het artikel 224196 in de Microsoft Knowledge Base voor informatie over het opgeven van de poort voor Active Directory-replicatie en poortinstellingen.
Zie Active Directory-replicatiehulpprogramma's en -instellingen voor informatie over de poorten die door Active Directory-replicatie worden gebruikt.
Reageren op een fout van een verouderde server met Windows 2000 Server
Als een domeincontroller met Windows 2000 Server langer dan het aantal dagen in de tombstone-levensduur is mislukt, is de oplossing altijd hetzelfde:
- Verplaats de server van het bedrijfsnetwerk naar een particulier netwerk.
- Active Directory geforceerd verwijderen of het besturingssysteem opnieuw installeren.
- Verwijder de servermetagegevens uit Active Directory, zodat het serverobject niet opnieuw kan worden geactiveerd.
Standaard worden NTDS Settings-objecten die worden verwijderd automatisch opnieuw gestart gedurende een periode van 14 dagen. Als u daarom geen servermetagegevens verwijdert (gebruik Ntdsutil of het script dat eerder wordt vermeld om metagegevens op te ruimen), worden de servermetagegevens opnieuw in de map weergegeven, waardoor replicatiepogingen worden uitgevoerd. In dit geval worden fouten permanent geregistreerd als gevolg van het niet kunnen repliceren met de ontbrekende domeincontroller.
Zie De metagegevens van de Active Directory-domeincontrollerserver opschonen voor meer informatie over het verwijderen van servermetagegevens.
Oorzaken
Als u opzettelijke verbroken verbindingen, hardwarefouten en verouderde Windows Server 2000-domeincontrollers uit sluit, hebben de rest van replicatieproblemen bijna altijd een van de volgende hoofdoorzaken:
- Netwerkverbinding: de netwerkverbinding is mogelijk niet beschikbaar of netwerkinstellingen zijn niet juist geconfigureerd.
- Naamresolutie: onjuiste DNS-configuraties zijn een veelvoorkomende oorzaak van replicatiefouten.
- Verificatie en autorisatie: verificatie- en autorisatieproblemen veroorzaken fouten met toegang geweigerd wanneer een domeincontroller verbinding probeert te maken met de replicatiepartner.
- Directorydatabase (archief): De directorydatabase kan transacties mogelijk niet snel genoeg verwerken om time-outs voor replicatie bij te houden.
- Replicatie-engine: als intersitereplicatieschema's te kort zijn, zijn de replicatiewachtrijen mogelijk te lang om te worden verwerkt in de tijd die is vereist voor het uitgaande-replicatieschema. In dit geval kan de replicatie van sommige wijzigingen voor onbepaalde tijd worden onderbroken, lang genoeg om de tombstone-levensduur te overschrijden.
- Replicatietopologie: domeincontrollers moeten intersitekoppelingen hebben in AD DS die overeenkomen met echte wide area network (WAN)- of virtual private network (VPN)-verbindingen. Als u objecten in AD DS maakt voor de replicatietopologie die niet worden ondersteund voor de werkelijke sitetopologie van uw netwerk, mislukt de replicatie die de onjuist geconfigureerde topologie vereist.
Algemene aanpak voor het oplossen van problemen
Gebruik de volgende algemene benadering om replicatieproblemen op te lossen:
Bewaak de replicatiestatus dagelijks of gebruik Repadmin.exe om de replicatiestatus dagelijks op te halen.
Probeer gemelde fouten tijdig op te lossen met behulp van de methoden die worden beschreven in gebeurtenisberichten en deze handleiding. Als software het probleem kan veroorzaken, verwijdert u de software voordat u doorgaat met andere oplossingen.
Als het probleem dat ervoor zorgt dat replicatie faalt, niet kan worden opgelost met bekende methoden, verwijder dan AD DS van de server en installeer AD DS opnieuw. Zie Een domeincontroller buiten gebruik stellen voor meer informatie over het opnieuw installeren van AD DS.
Als AD DS normaal gesproken niet kan worden verwijderd terwijl de server is verbonden met het netwerk, gebruikt u een van de volgende methoden om het probleem op te lossen:
- Ad DS verwijderen forceren in Directory Services Restore Mode (DSRM), servermetagegevens opschonen en vervolgens AD DS opnieuw installeren.
- Installeer het besturingssysteem opnieuw en bouw de domeincontroller opnieuw.
Voor meer informatie over het afdwingen van het verwijderen van AD DS, zie Dwingen tot het verwijderen van een domeincontroller.
Repadmin gebruiken om de replicatiestatus op te halen
Replicatiestatus is een belangrijke manier om de status van de adreslijstservice te evalueren. Als replicatie zonder fouten werkt, weet u welke domeincontrollers online zijn. U weet ook dat de volgende systemen en services werken:
- DNS-infrastructuur
- Kerberos-verificatieprotocol
- Windows Time-service (W32time)
- Externe procedure-aanroep (RPC)
- Netwerkverbinding
Gebruik Repadmin om de replicatiestatus dagelijks te controleren door een opdracht uit te voeren waarmee de replicatiestatus van alle domeincontrollers in uw forest wordt beoordeeld. Met de procedure wordt een .csv-bestand gegenereerd dat u kunt openen in Microsoft Excel en kunt filteren op replicatiefouten.
U kunt de volgende procedure gebruiken om de replicatiestatus van alle domeincontrollers in het forest op te halen.
Requirements
Lidmaatschap van Ondernemingsbeheerders of gelijkwaardig is het minimum dat nodig is om deze procedure te voltooien.
Tools:
- Repadmin.exe
- Excel (Microsoft Office)
Een repadmin /showrepl-spreadsheet genereren voor domeincontrollers
Open een opdrachtprompt als beheerder: klik in het menu Start met de rechtermuisknop op Opdrachtprompt en klik vervolgens op Als administrator uitvoeren. Als het dialoogvenster Gebruikersaccountbeheer wordt weergegeven, geeft u, indien nodig, referenties voor ondernemingsbeheerders op en klikt u op Doorgaan.
Typ bij de opdrachtprompt de volgende opdracht en druk op Enter:
repadmin /showrepl * /csv > showrepl.csvOpen het Excel-programma.
Klik op de Office-knop, klik op Openen, navigeer naar showrepl.csven klik vervolgens op Openen.
Verberg of verwijder kolom A en de kolom Transporttype als volgt:
Selecteer een kolom die u wilt verbergen of verwijderen.
- Als u de kolom wilt verbergen, klikt u met de rechtermuisknop op de kolom en klikt u vervolgens op Verbergen.
- Als u de kolom wilt verwijderen, klikt u met de rechtermuisknop op de geselecteerde kolom en klikt u vervolgens op Verwijderen.
Selecteer rij 1 onder de rij met kolomkoppen. Klik op het tabblad Weergave op Venster vastzetten en klik vervolgens op Bovenste rij vastzetten.
Selecteer het hele werkblad. Klik op het tabblad Gegevens op Filteren.
Klik in de kolom Laatste succestijd op de pijl-omlaag en klik vervolgens op Oplopend sorteren.
Klik in de kolom Bron-DC op de pijl om omlaag van het filter, houd de muisaanwijzer op Tekstfilters en klik vervolgens op Aangepast filter.
Klik in het dialoogvenster Aangepast AutoFilter onder Rijen weergeven waar deze niet bevat. Typ
delin het aangrenzende tekstvak om de resultaten voor verwijderde domeincontrollers uit het zicht te verwijderen.Herhaal stap 11 voor de kolom Laatste fouttijd, maar gebruik de waarde niet gelijk aan en typ vervolgens de waarde 0.
Zorg ervoor dat replicatiefouten worden opgelost.
Voor elke domeincontroller in het forest toont de spreadsheet de bronreplicatiepartner, het tijdstip waarop de replicatie voor het laatst heeft plaatsgevonden en wanneer de laatste replicatiefout heeft plaatsgevonden voor elke naamgevingscontext (mappartitie). Met Autofilter in Excel kunt u de replicatiegezondheid alleen voor werkende domeincontrollers weergeven, alleen voor mislukte domeincontrollers, of voor domeincontrollers die het minst of meest up-to-date zijn, en u kunt de replicatiepartners zien die succesvol repliceren.
Replicatieproblemen en oplossingen
Replicatieproblemen worden gerapporteerd in gebeurtenisberichten en in verschillende foutberichten die optreden wanneer een toepassing of service een bewerking probeert uit te voeren. In het ideale gevallen worden deze berichten verzameld door uw bewakingstoepassing of wanneer u de replicatiestatus ophaalt.
De meeste replicatieproblemen worden geïdentificeerd in de gebeurtenisberichten die zijn vastgelegd in het gebeurtenislogboek van Directory Service. Replicatieproblemen kunnen ook worden geïdentificeerd in de vorm van foutberichten in de uitvoer van de opdracht repadmin /showrepl.
repadmin /showrepl-foutberichten die replicatieproblemen aangeven
Als u problemen met Active Directory-replicatie wilt identificeren, gebruikt u de repadmin /showrepl opdracht, zoals beschreven in de vorige sectie. De volgende tabel bevat foutberichten die met deze opdracht worden gegenereerd, samen met de hoofdoorzaken van de fouten en koppelingen naar onderwerpen die oplossingen bieden voor de fouten.
| Repadmin-fout | Oorzaak | Solution |
|---|---|---|
| De tijd sinds de laatste replicatie met deze server heeft de tombstone-levensduur overschreden. | ** Een domeincontroller is niet geslaagd in inkomende replicatie met de gespecificeerde brondomeincontroller lang genoeg voor een verwijdering om te zijn verwijderd, gerepliceerd en opgeruimd vanuit Active Directory Domain Services. | Gebeurtenis-id 2042: Het is te lang geleden dat deze machine is gerepliceerd |
| Geen binnenkomende buren. | Als er geen items worden weergegeven in de sectie 'Binnenkomende buren' van de uitvoer die wordt gegenereerd door repadmin /showrepl, kon de domeincontroller geen replicatiekoppelingen met een andere domeincontroller tot stand brengen. | Problemen met de replicatieconnectiviteit oplossen (gebeurtenis-id 1925) |
| De toegang wordt geweigerd. | Er bestaat een replicatiekoppeling tussen twee domeincontrollers, maar de replicatie kan niet goed worden uitgevoerd als gevolg van een verificatiefout. | Beveiligingsproblemen met replicatie oplossen |
| Laatste poging op <datum - tijd> is mislukt met de naam van het doelaccount is onjuist. | Dit probleem kan te maken hebben met connectiviteits-, DNS- of verificatieproblemen. Als dit een DNS-fout is, kan de lokale domeincontroller de OP GUID gebaseerde DNS-naam (Globally Unique Identifier) van de replicatiepartner niet omzetten. | DNS-opzoekproblemen voor replicatie oplossen (gebeurtenis-id's 1925, 2087, 2088) Oplossen van problemen met replicatiebeveiliging Oplossen van problemen met replicatieconnectiviteit (gebeurtenis-id 1925). |
| LDAP-fout 49. | Het computeraccount van de domeincontroller wordt mogelijk niet gesynchroniseerd met het KDC (Key Distribution Center). | Beveiligingsproblemen met replicatie oplossen |
| Kan ldap-verbinding met lokale host niet openen | Het beheerprogramma kan geen contact opnemen met AD DS. | Problemen met dns-zoekacties voor replicatie oplossen (gebeurtenis-id's 1925, 2087, 2088) |
| Active Directory-replicatie is onderbroken. | De voortgang van binnenkomende replicatie is onderbroken door een replicatieaanvraag met een hogere prioriteit, zoals een aanvraag die handmatig is gegenereerd met de opdracht repadmin /sync. | Wacht tot de replicatie is voltooid. Dit informatieve bericht geeft een normale werking aan. |
| Replicatie geplaatst, wachten. | De domeincontroller heeft een replicatieaanvraag geplaatst en wacht op een antwoord. De replicatie wordt uitgevoerd vanuit deze bron. | Wacht tot de replicatie is voltooid. Dit informatieve bericht geeft een normale werking aan. |
De volgende tabel bevat veelvoorkomende gebeurtenissen die kunnen duiden op problemen met Active Directory-replicatie, samen met de hoofdoorzaken van de problemen en koppelingen naar onderwerpen die oplossingen bieden voor de problemen.
| Gebeurtenis-id en bron | Hoofdoorzaak | Solution |
|---|---|---|
| 1311 NTDS KCC | De informatie over de replicatieconfiguratie in AD DS weerspiegelt niet nauwkeurig de fysieke topologie van het netwerk. | Problemen met replicatietopologie oplossen (gebeurtenis-id 1311) |
| 1388 NTDS-replicatie | Strikte replicatieconsistentie is niet van kracht en er is een achtergebleven object gerepliceerd naar de domeincontroller. | Replicatieproblemen met achtergebleven objecten oplossen (gebeurtenis-id's 1388, 1988, 2042) |
| 1925 NTDS KCC | De poging om een replicatiekoppeling tot stand te brengen voor een beschrijfbare mappartitie is mislukt. Deze gebeurtenis kan verschillende oorzaken hebben, afhankelijk van de fout. | Connectiviteitsproblemen met replicatie oplossen (gebeurtenis-id 1925) dns-zoekproblemen oplossen (gebeurtenis-id's 1925, 2087, 2088) |
| 1988 NTDS-replicatie | De lokale domeincontroller heeft geprobeerd een object te repliceren van een brondomeincontroller dat niet aanwezig is op de lokale domeincontroller, omdat het mogelijk is verwijderd en al door garbagecollection verwerkt. Replicatie gaat pas verder voor deze mappartitie met deze partner als de situatie is opgelost. | Replicatieproblemen met achtergebleven objecten oplossen (gebeurtenis-id's 1388, 1988, 2042) |
| 2042 NTDS-replicatie | Replicatie heeft gedurende de tombstone-levensduur niet met deze partner plaatsgevonden, waardoor replicatie niet kan worden voortgezet. | Replicatieproblemen met achtergebleven objecten oplossen (gebeurtenis-id's 1388, 1988, 2042) |
| 2087 NTDS-replicatie | AD DS kan de DNS-hostnaam van de brondomeincontroller niet omzetten in een IP-adres en replicatie is mislukt. | Problemen met dns-zoekacties voor replicatie oplossen (gebeurtenis-id's 1925, 2087, 2088) |
| 2088 NTDS-replicatie | AD DS kan de DNS-hostnaam van de brondomeincontroller niet omzetten in een IP-adres, maar de replicatie is geslaagd. | Problemen met dns-zoekacties voor replicatie oplossen (gebeurtenis-id's 1925, 2087, 2088) |
| 5805 Netto aanmelding | Een computeraccount kan niet worden geverifieerd. Dit wordt meestal veroorzaakt door meerdere exemplaren van dezelfde computernaam of de computernaam wordt niet gerepliceerd naar elke domeincontroller. | Beveiligingsproblemen met replicatie oplossen |
Zie Active Directory-replicatietechnologieën voor meer informatie over replicatieconcepten.
Volgende stappen
Zie het ondersteuningsartikel voor meer informatie, waaronder ondersteuningsartikelen die specifiek zijn voor foutcodes: Veelvoorkomende Active Directory-replicatiefouten oplossen