Compartilhar via

ID do evento de replicação do Active Directory 1388 ou 1988: um objeto persistente é detectado

  • Artigo

Este artigo ajuda você a solucionar problemas de ID de evento de replicação do Active Directory 1388 e 1988.

Aplica-se a: Windows Server (todas as versões com suporte)
Número de KB original: 4469619

Resumo

Se um controlador de domínio de destino registrar a ID do Evento 1388 ou a ID do Evento 1988, um objeto persistente será detectado e uma das duas condições existirá no controlador de domínio de destino:

  • ID do evento 1388: A replicação de entrada do objeto persistente ocorreu no controlador de domínio de destino.
  • ID do evento 1988: A replicação de entrada da partição de diretório do objeto persistente foi bloqueada no controlador de domínio de destino.

ID do evento 1388

Este evento indica que um controlador de domínio de destino que não tem consistência de replicação estrita habilitada recebeu uma solicitação para atualizar um objeto que não reside na cópia local do banco de dados do Active Directory. Em resposta, o controlador de domínio de destino solicitou o objeto completo do parceiro de replicação de origem. Dessa forma, um objeto persistente foi replicado para o controlador de domínio de destino. Portanto, o objeto persistente foi reintroduzido no diretório.

Importante

Quando ocorre a ID do Evento 1388, você não pode usar o Síndico de Objeto Persistente v2 (LOLv2) ou a ferramenta Repadmin para remover objetos persistentes.

Para obter informações sobre como remover objetos persistentes nesse caso, consulte:

Os procedimentos e informações neste artigo se aplicam à remoção de objetos persistentes de servidores de catálogo globais, bem como de controladores de domínio que não são servidores de catálogo globais.

O texto do evento identifica o controlador de domínio de origem e o objeto desatualizado (persistente). Veja a seguir um exemplo do texto do evento:

Nome do log: Serviço de Diretório
Fonte: Microsoft-Windows-ActiveDirectory_DomainService
Data: 3/05/2008 15:34:01
ID do evento: 1388
Categoria da Tarefa: Replicação
Nível: erro
Palavras-chave: Clássico
Usuário: LOGON ANÔNIMO
Computador: DC3.contoso.com Descrição: outro controlador de domínio (DC) tentou replicar neste DC um objeto que não está presente no banco de dados Active Directory Domain Services local. O objeto pode ter sido excluído e já coletado lixo (um tempo de vida de lápide ou mais já passou desde que o objeto foi excluído) neste DC. O conjunto de atributos incluído na solicitação de atualização não é suficiente para criar o objeto. O objeto será re-solicitado com um conjunto de atributos completo e recriado neste DC.

Origem DC (endereço de rede específico do transporte):
4a8717eb-8e58-456c-995a-c92e4add7e8e._msdcs.contoso.com
Objeto:
CN=InternalApps,CN=Users,DC=contoso,DC=com
GUID do objeto: a21aa6d9-7e8a-4a8f-bebf-c3e38d0b733a
Partição de diretório:
DC=contoso,DC=com
USN de propriedade mais alta do destino: 20510
Ação do usuário:
Verifique o desejo contínuo da existência desse objeto. Para descontinuar a recriação de objetos semelhantes futuros, a chave do registro a seguir deve ser criada.

Chave do Registro:
HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Strict Replication Consistency

ID do evento 1988

Este evento indica que um controlador de domínio de destino com consistência de replicação estrita habilitada recebeu uma solicitação para atualizar um objeto que não existe em sua cópia local do banco de dados do Active Directory. Em resposta, o controlador de domínio de destino bloqueou a replicação da partição de diretório que contém esse objeto desse controlador de domínio de origem. O texto do evento identifica o controlador de domínio de origem e o objeto desatualizado (persistente). Veja a seguir um exemplo do texto do evento:

Nome do log: Serviço de Diretório
Fonte: Microsoft-Windows-ActiveDirectory_DomainService
Data: 7/02/2008 8:20:11 ID do evento: 1988
Categoria da Tarefa: Replicação
Nível: erro
Palavras-chave: Clássico
Usuário: LOGON ANÔNIMO
Computador: DC5.contoso.com
Descrição:
Active Directory Domain Services Replicação encontrou a existência de objetos na partição a seguir que foram excluídos dos DCs (controladores de domínio) locais Active Directory Domain Services banco de dados. Nem todos os parceiros de replicação direta ou transitiva replicados na exclusão antes do número de dias de vida da lápide passar. Objetos que foram excluídos e lixo coletados de uma partição Active Directory Domain Services mas ainda existem nas partições graváveis de outros DCs no mesmo domínio ou partições somente leitura de servidores de catálogo globais em outros domínios na floresta são conhecidos como "objetos persistentes".

Esse evento está sendo registrado porque o DC de origem contém um objeto persistente que não existe nos DCs locais Active Directory Domain Services banco de dados. Essa tentativa de replicação foi bloqueada.

A melhor solução para esse problema é identificar e remover todos os objetos persistentes na floresta.

Origem DC (endereço de rede específico do transporte):
4a8717eb-8e58-456c-995a-c92e4add7e8e._msdcs.contoso.com
Objeto: CN=InternalApps,CN=Users,DC=contoso,DC=com
GUID do objeto:
a21aa6d9-7e8a-4a8f-bebf-c3e38d0b733a

Diagnóstico

Um objeto que foi excluído permanentemente do AD DS (ou seja, sua lápide foi coletada em todos os controladores de domínio conectados) permanece em um controlador de domínio desconectado. O controlador de domínio não recebeu replicação direta ou transitiva da exclusão do objeto porque ele foi desconectado (está offline ou com uma falha de replicação de entrada) da topologia de replicação por um período que excedeu o tempo de vida de uma lápide. O controlador de domínio agora está reconectado à topologia e esse objeto foi atualizado no controlador de domínio, causando uma notificação de replicação ao parceiro de replicação de que uma atualização está pronta para replicação. O parceiro de replicação respondeu de acordo com sua configuração de consistência de replicação. Essa notificação se aplica à tentativa de replicação de um objeto gravável. Uma cópia do objeto persistente gravável também pode existir em um servidor de catálogo global.

Solução

Se a replicação de um objeto persistente for detectada, você poderá remover o objeto do AD DS, juntamente com todas as réplicas somente leitura do objeto, usando LOLv2 identificando os controladores de domínio que podem armazenar esse objeto (incluindo servidores de catálogo globais) e removê-lo usando a ferramenta LOLv2 ou executando um comando de repadmin para remover objetos persistentes nesses servidores (repadmin /removelingeringobjects). Esse comando está disponível em controladores de domínio que estão executando a versão com suporte do Windows Server.

Para remover objetos persistentes, faça o seguinte:

  1. Use o texto do evento para identificar o seguinte:
    1. A partição de diretório do objeto
    2. O controlador de domínio de origem que tentou replicação do objeto persistente
  2. Use Repadmin para identificar o GUID de um controlador de domínio autoritativo.
  3. Use LOLv2 ou Repadminpara remover objetos persistentes.
  4. Habilite a consistência de replicação estrita, se necessário.
  5. Verifique se a consistência de replicação estrita está habilitada para controladores de domínio recém-promovidos, se necessário.

Use o Repadmin para identificar o GUID de um controlador de domínio autoritativo:

Para executar o procedimento que remove objetos persistentes, você deve identificar o GUID (identificador globalmente exclusivo) de um controlador de domínio atualizado que tem um réplica gravável da partição de diretório que contém o objeto persistente que foi relatado. A partição do diretório é identificada na mensagem de evento. O GUID do objeto de um controlador de domínio é armazenado no atributo objectGUID do objeto Configurações do NTDS.

Requisitos:

  • Associação em Administradores de Domínio no domínio do controlador de domínio cujo GUID você deseja identificar é o mínimo necessário para concluir esse procedimento. Examine os detalhes sobre como usar as contas apropriadas e as associações de grupo em Grupos Padrão local e de domínio.
  • Ferramenta: Repadmin.exe

Etapas para identificar o GUID de um controlador de domínio:

  1. Em um prompt de comando, digite o comando a seguir e pressione ENTER:

    repadmin /showrepl <ServerName>
    Parâmetro Descrição
    /showrepl Exibe o status de replicação, inclusive quando o controlador de domínio especificado pela <última tentativa de replicação de entrada do ServerName> de partições do Active Directory. Também exibe o GUID do controlador de domínio especificado.
    <Servername> O nome do controlador de domínio cujo GUID você deseja exibir.

  2. Na primeira seção da saída, localize a entrada objectGuid . Selecione e copie o valor GUID em um arquivo de texto para que você possa usá-lo em outro lugar.

Use LOLv2 ou Repadmin para remover objetos persistentes:

Requisitos:

  • A associação em Administradores de Domínio no domínio do controlador de domínio que tem objetos persistentes ou administradores empresariais se a partição de diretório que tem objetos persistentes for a configuração ou partição do diretório de esquema, é o mínimo necessário para concluir esse procedimento. Examine os detalhes sobre como usar as contas apropriadas e as associações de grupo em Grupos Padrão local e de domínio.

  • Sistema operacional: versão com suporte do Windows Server.

  • O método preferido para remover objetos persistentes está usando LOLv2. Em alguns casos, em que LOLv2 não pode ser usado, você pode usar Repadmin.exe

Mais informações sobre LOLv2:

Etapas para usar o Repadmin para remover objetos persistentes:

  1. Abra um Prompt de Comando como administrador: no menu Iniciar , clique com o botão direito do mouse em Prompt de Comando e clique em Executar como administrador. Se a caixa de diálogo Controle de Conta de Usuário for exibida, forneça credenciais de administradores de domínio ou administradores corporativos, se necessário, e clique em Continuar.

  2. No prompt de comando, digite o seguinte comando e pressione ENTER:

    repadmin /removelingeringobjects <ServerName> <ServerGUID> <DirectoryPartition> /advisory_mode
    Parâmetro Descrição
    /removelingeringobjects Remove objetos persistentes do controlador de domínio especificado pelo <ServerName> para a partição de diretório especificada pelo <DirectoryPartition>.
    <Servername> O nome do controlador de domínio que tem objetos persistentes, conforme identificado na mensagem de evento (ID de evento 1388 ou ID de evento 1988). Você pode usar o nome DNS (Sistema de Nomes de Domínio) ou o nome diferenciado, por exemplo, o nome distinto CN=DC5,OU=Controladores de Domínio, DC=contoso,DC=com ou o nome DC5.contoso.comDNS .
    <ServerGUID> O GUID de um controlador de domínio que tem um réplica atualizado e gravável da partição de diretório que contém o objeto persistente.
    <DirectoryPartition> O nome distinto da partição de diretório que é identificada na mensagem de evento, por exemplo:
    • Para a partição do diretório de domínio vendas na contoso.com floresta: DC=sales,DC=contoso,DC=com
    • Para a partição do diretório de configuração na contoso.com floresta: CN=configuration,DC=contoso,DC=com
    • Para a partição do diretório de esquema na contoso.com floresta: CN=schema,CN=configuration,DC=contoso,DC=com
    /advisory_mode Registra os objetos persistentes que serão removidos para que você possa revisá-los, mas não os remova.

  3. Repita a etapa 2 sem /advisory_mode excluir os objetos persistentes identificados da partição do diretório.

  4. Repita as etapas 2 e 3 para cada controlador de domínio que possa ter objetos persistentes.

Observação

O <parâmetro ServerName> usa a sintaxe DC_LIST para repadmin, que permite o uso de * para todos os controladores de domínio na floresta e gc: para todos os servidores de catálogo globais na floresta. Para ver a sintaxe DC_LIST, digite repadmin /listhelp. Para obter informações sobre a sintaxe dos /regkey parâmetros e /removelingeringobjects , digite repadmin /experthelp.

Habilitar consistência de replicação estrita:

Para garantir que objetos persistentes não possam ser replicados se ocorrerem, habilite a consistência de replicação estrita em todos os controladores de domínio. A configuração para consistência de replicação é armazenada no registro em cada controlador de domínio. No entanto, em controladores de domínio que estão executando a versão com suporte do Windows Server, você pode usar o Repadmin para habilitar a consistência de replicação estrita em um ou em todos os controladores de domínio.

Use o Repadmin para habilitar a consistência de replicação estrita:

Use esse procedimento para remover objetos persistentes em um controlador de domínio que está executando a versão com suporte do Windows Server.

A associação em administradores de domínio, ou equivalente, é o mínimo necessário para concluir esse procedimento em um único controlador de domínio. A associação a administradores corporativos, ou equivalente, é o mínimo necessário para concluir esse procedimento em todos os controladores de domínio na floresta. Examine os detalhes sobre como usar as contas apropriadas e as associações de grupo em Grupos Padrão local e de domínio.

Etapas para usar o Repadmin para habilitar a consistência de replicação estrita:

  1. Abra um Prompt de Comando como administrador: no menu Iniciar , clique com o botão direito do mouse em Prompt de Comando e clique em Executar como administrador. Se a caixa de diálogo Controle de Conta de Usuário for exibida, forneça credenciais de administradores de domínio ou administradores corporativos, se necessário, e clique em Continuar.

  2. No prompt de comando, digite o seguinte comando e pressione ENTER:

    repadmin /regkey <DC_LIST> +strict
    Parâmetro Descrição
    /regkey Habilita (+) e desabilita (-) o valor para a entrada do Registro de Consistência de Replicação Estrita no HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters.
    <DC_LIST> O nome de um único controlador de domínio ou * para aplicar a alteração a todos os controladores de domínio na floresta. Para o nome do controlador de domínio, você pode usar o nome DNS, o nome distinto do objeto do computador controlador de domínio ou o nome distinto do objeto do servidor do controlador de domínio, por exemplo, o nome distinto CN=DC5,OU=Controladores de Domínio,DC=contoso,DC=com ou o nome DC5.contoso.comDNS .
    +strict Habilita a entrada de Registro de Consistência de Replicação Estrita .

  3. Se você não usar * para aplicar a alteração a todos os controladores de domínio, repita a etapa 2 para cada controlador de domínio no qual deseja habilitar a consistência de replicação estrita.

Observação

Para obter mais opções de nomenclatura e informações sobre a sintaxe do <parâmetro DC_LIST> , no tipo repadmin /listhelpde prompt de comando . Para obter informações sobre a sintaxe dos /regkey parâmetros e /removelingeringobjects , digite repadmin /experthelp.

Use o Regedit para habilitar a consistência de replicação estrita:

Como alternativa ao uso do Repadmin, você pode habilitar a consistência de replicação estrita editando o registro diretamente. A configuração para consistência de replicação é armazenada na entrada Consistência de Replicação Estrita em HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters.

Os valores da entrada do registro de Consistência de Replicação Estrita são os seguintes:

  • Valor: 1 (0 para desabilitar)

  • Padrão: 1 (habilitado) em um novo Windows Server; caso contrário, 0.

  • Tipo de dados: REG_DWORD

Requisitos:

  • A associação em Administradores de Domínio, ou equivalente, é o mínimo necessário para concluir esse procedimento. Examine os detalhes sobre como usar as contas apropriadas e as associações de grupo em Grupos Padrão local e de domínio.
  • Ferramenta: Regedit.exe

Observação

É recomendável que você não edite diretamente o registro, a menos que não haja outra alternativa. As modificações no registro não são validadas pelo editor do registro ou pelo Windows antes de serem aplicadas e, como resultado, valores incorretos podem ser armazenados. Isso pode resultar em erros irrecuperáveis no sistema. Quando possível, use Política de Grupo ou outras ferramentas do Windows, como o Microsoft Management Console (MMC), para realizar tarefas em vez de editar o registro diretamente. Se você precisar editar o registro, use extrema cautela.

Etapas para usar o Regedit para habilitar a consistência de replicação estrita

  1. Abra Regedit como administrador: clique em Iniciar e, em Iniciar Pesquisa, digite regedit. Na parte superior do menu Iniciar , clique com o botão direito do mouse emregedit.exee clique em Executar como administrador. Na caixa de diálogo Controle de Conta de Usuário , forneça credenciais de Administradores de Domínio e clique em OK.

  2. Navegue até a entrada de Consistência de Replicação Estrita em HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters.

  3. Defina o valor na entrada Consistência de Replicação Estrita como 1.

Verifique se a consistência de replicação estrita está habilitada para controladores de domínio recém-promovidos

Se você estiver atualizando uma floresta que foi originalmente criada usando um computador que executa o Windows 2000 Server, você deverá garantir que a floresta esteja configurada para permitir a consistência de replicação estrita em controladores de domínio recém-promovidos para ajudar a evitar objetos persistentes. Depois de atualizar a floresta conforme descrito em (Atualizando domínios do Active Directory para Windows Server 2008 e Windows Server 2008 R2 AD DS Domains), todos os novos controladores de domínio que você adiciona posteriormente à floresta são criados com consistência de replicação estrita desabilitada. No entanto, você pode implementar uma alteração de configuração de floresta que faz com que novos controladores de domínio tenham uma consistência de replicação estrita habilitada. Para garantir que os novos controladores de domínio que você adiciona à floresta tenham uma consistência de replicação estrita habilitada, você pode usar a ferramenta Ldifde.exe para criar um objeto na partição do diretório de configuração da floresta. Esse objeto é responsável por habilitar a consistência de replicação estrita em qualquer novo controlador de domínio promovido para a floresta.

O objeto que você cria é um GUID operacional com o seguinte nome:

CN=94fdebc6-8eeb-4640-80de-ec52b9ca17fa,CN=Operations,CN=ForestUpdates,CN=Configuration,DC=<ForestRootDomain>

Você pode usar o procedimento a seguir em qualquer controlador de domínio na floresta para adicionar esse objeto à partição do diretório de configuração.

A associação a administradores empresariais, ou equivalente, é o mínimo necessário para concluir esse procedimento. Examine os detalhes sobre como usar as contas apropriadas e as associações de grupo em Grupos Padrão local e de domínio.

Etapas para criar o objeto que garante consistência de replicação estrita em novos controladores de domínio

  1. Em um editor de texto, como o Bloco de Notas, crie o seguinte arquivo de texto:

    Dn:
    CN=94fdebc6-8eeb-4640-80de-ec52b9ca17fa,CN=Operations,CN=ForestUpdates,CN=Configuration,DC=<ForestRootDomain>
    changetype: add
    objectClass: contêiner
    showInAdvancedViewOnly: TRUE
    nome: 94fdebc6-8eeb-4640-80de-ec52b9ca17fa
    objectCategory: CN=Container,CN=Schema,CN=Configuration,DC=<ForestRootDomain>

  2. Onde <ForestRootDomain> contém todos os componentes de domínio (DC=) do domínio raiz da floresta, por exemplo, para a contoso.com floresta, DC=contoso,DC=com; para a fineartschool.net floresta, DC=fineartschool,DC=net.

  3. Abra um Prompt de Comando como administrador: no menu Iniciar , clique com o botão direito do mouse em Prompt de Comando e clique em Executar como administrador. Se a caixa de diálogo Controle de Conta de Usuário for exibida, forneça credenciais de administradores corporativos, se necessário, e clique em Continuar.

  4. No prompt de comando, digite o seguinte comando e pressione ENTER:

    ldifde -i -f <Path>\<FileName>
    Parâmetro Descrição
    -i Especifica o modo de importação. Se o modo de importação não for especificado, o modo padrão será exportado.
    -f Identifica o nome do arquivo de importação ou exportação.
    <Path>\<FileName> O caminho e o nome do arquivo de importação que você criou na etapa 1, por exemplo, C:\ldifde.txt.

    Para obter informações sobre como usar o Ldifde, consulte LDIFDE.

Coleta de dados

Se você precisar de ajuda do suporte da Microsoft, recomendamos coletar as informações seguindo as etapas mencionadas em Coletar informações usando problemas de replicação do TSS para Active Directory.