Active Directory replication Event ID 1388 or 1988: A lingering object is detected

Эта статья поможет устранить неполадки с репликацией Active Directory Event ID 1388 и 1988.

Применяется к:   Windows Server 2012 R2
Исходный номер КБ:   4469619

Сводка

Если контроллер домена назначения в журналы Event ID 1388 или Event ID 1988,был обнаружен затяжной объект и существует одно из двух условий в контроллере домена назначения:

  • ID события 1388: репликация входящие объекты произошли на контроллере домена назначения.
  • Event ID 1988: репликация входящие раздел каталога затянутого объекта на контроллере домена назначения.

ID события 1388

Это событие указывает на то, что контроллер домена назначения, не включенный строгой последовательностью репликации, получил запрос на обновление объекта, не расположенного в локальной копии базы данных Active Directory. В ответ диспетчер домена назначения запросил полный объект у партнера репликации источника. Таким образом, затяжной объект был реплицирован в контроллер домена назначения. Таким образом, затяжной объект был повторно в каталог.

Важно!

Когда происходит код события 1388, если либо исходный контроллер домена (партнер репликации, который воспроизводит затяжной объект) или контроллер домена назначения (партнер репликации входящие, который сообщает event ID 1388) работает Windows 2000 Server, вы не можете использовать средство Repadmin для удаления затянутых объектов. Сведения о том, как удалить устаревшие объекты в этом случае, см. в примере Lingering objects may remain after you bring an out-of-date global catalog server back online. Процедуры и сведения в этой статье применяются к удалению сохраняющихся объектов с серверов глобального каталога, а также с контроллеров доменов, которые не являются глобальными серверами каталогов.

Текст события идентифицирует контроллер исходных доменов и устаревший (устаревший) объект. Ниже приводится пример текста события:

Имя журнала: служба каталогов
Источник: Microsoft-Windows-ActiveDirectory_DomainService
Дата: 5/3/2008 15:34:01
ID события: 1388
Категория задач: репликация
Уровень: ошибка
Ключевые слова: Классический
Пользователь: АНОНИМНЫЙ LOGON
Компьютер. Описание. Другой контроллер домена (DC) попытался реплицировать в этот dc объект, который не присутствует в локальной базе данных служб домена DC3.contoso.com Active Directory. Объект, возможно, был удален и уже собран мусор (срок службы надгробия или более прошло с момента удаления объекта) в этом DC. Набор атрибутов, включенный в запрос обновления, недостаточно для создания объекта. Объект будет повторно запрашиваться с полным набором атрибутов и повторно создан в этом DC.

Source DC (транспортный сетевой адрес):
4a8717eb-8e58-456c-995a-c92e4add7e8e._msdcs.contoso.com
Объект:
CN=InternalApps, CN=Users,DC=contoso,DC=com
GuID объекта: a21aa6d9-7e8a-4a8f-bebf-c3e38d0b733a
Раздел Каталога:
DC=contoso,DC=com
Самое высокое свойство назначения USN: 20510
Действие пользователя:
Проверка сохраняемого желания существования этого объекта. Чтобы прекратить повторное создание будущих аналогичных объектов, необходимо создать следующий ключ реестра.

Раздел реестра:
HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Strict Replication Consistency

Event ID 1988

Это событие указывает на то, что контроллер домена назначения с включенной строгой последовательностью репликации получил запрос на обновление объекта, который не существует в локальной копии базы данных Active Directory. В ответ диспетчер домена назначения заблокировал репликацию раздела каталога, содержащего этот объект из этого источника контроллера домена. Текст события идентифицирует контроллер исходных доменов и устаревший (устаревший) объект. Ниже приводится пример текста события:

Имя журнала: служба каталогов
Источник: Microsoft-Windows-ActiveDirectory_DomainService
Дата: 2/7/2008 8:20:11 ID события: 1988
Категория задач: репликация
Уровень: ошибка
Ключевые слова: Классический
Пользователь: АНОНИМНЫЙ LOGON
Компьютер: DC5.contoso.com
Описание:
Репликация доменных служб Active Directory столкнулась с наличием объектов в следующем разделе, удаленных из базы данных доменных служб active Directory. Не все прямые или транзитные партнеры репликации реплицированы в удалении до срока службы надгробия количество дней прошло. Объекты, удаленные и собранные из раздела Службы доменных служб Active Directory, но все еще существуют в writable разделах других DCs в том же домене или только для чтения разделов глобальных серверов каталога в других доменах в лесу, называются "устаревшими объектами".

Это событие регистрируется из-за того, что исходный dc содержит затяжной объект, который не существует в локальной базе данных доменных служб Active Directory. Эта попытка репликации заблокирована.

Наилучшим решением этой проблемы является определение и удаление всех затянутых объектов в лесу.

Source DC (транспортный сетевой адрес):
4a8717eb-8e58-456c-995a-c92e4add7e8e._msdcs.contoso.com
Объект: CN=InternalApps, CN=Users,DC=contoso,DC=com
GUID объекта:
a21aa6d9-7e8a-4a8f-bebf-c3e38d0b733a

Диагностика

Объект, который был окончательно удален из AD DS (то есть его надгробие было собрано мусором на всех подключенных контроллерах домена), остается на отключенном контроллере домена. Контроллер домена не получил прямую или транзитную репликацию удаления объекта, так как он был отключен (он отключен или испытывает сбой репликации входящие) от топологии репликации в течение периода, превышающих срок службы надгробного камня. Контроллер домена теперь подключен к топологии, и этот объект был обновлен на контроллере домена, в результате чего партнеру репликации было отощено уведомление о том, что обновление готово к репликации. Партнер репликации ответил в соответствии с его параметром согласованности репликации. Это уведомление применяется к попытке репликации объекта, который можно копировать. Копия сохраняемого объекта может также существовать на глобальном сервере каталогов.

Решение

При обнаружении репликации затянутого объекта можно удалить объект из AD DS, а также любые реплики объекта только для чтения, определяя контроллеры домена, которые могут хранить этот объект (в том числе серверы глобального каталога) и запуская команду repadmin для удаления затянутых объектов на этих серверах ( repadmin /removelingeringobjects ). Эта команда доступна для контроллеров доменов, которые работают Windows Server 2008. Он также доступен на контроллерах домена, которые не работают Windows Server 2008, но работают с версией Repadmin.exe, которая включена в Windows средства поддержки в Windows Server 2003.

Чтобы удалить затянутые объекты, сделайте следующее:

  1. Используйте текст события для определения следующих ниже.
    1. Раздел каталога объекта
    2. Контроллер исходных доменов, пытающийся повторить затяжной объект
  2. Используйте Repadmin для определения GUID авторитетного контроллера домена.
  3. Используйте Repadmin для удаления затянутых объектов.
  4. Включить строгую согласованность репликации,если это необходимо.
  5. Убедитесь, что длявновь продвигаемого контроллера домена включена строгая согласованность репликации, если это необходимо.

Использование Repadmin для определения GUID авторитетного контроллера домена

Чтобы выполнить процедуру удаления затянутых объектов, необходимо определить глобальный уникальный идентификатор (GUID) доступного контроллера домена, который имеет поддельную реплику раздела каталога, который содержит затяжной объект, о котором сообщалось. Раздел каталога определен в сообщении события. Объект GUID контроллера домена хранится в атрибуте objectGUID объекта NTDS Параметры.

Требования:

  • Членство в доменных администраторах в домене контроллера домена, GUID которого необходимо определить, является минимальным, необходимым для выполнения этой процедуры. Просмотрите сведения об использовании соответствующих учетных записей и членов групп в локальных и доменных группах по умолчанию.
  • Средство: Repadmin.exe

Действия по идентификации GUID контроллера домена

  1. В командную строку введите следующую команду и нажмите ВВОД:

    repadmin /showrepl <ServerName>
    
    Параметр Описание
    /showrepl Отображает состояние репликации, в том числе когда контроллер домена, указанный последней попыткой репликации входящие разделы <ServerName> Active Directory. Также отображается GUID указанного контроллера домена.
    <ServerName> Имя контроллера домена, GUID которого необходимо отобразить.
  2. В первом разделе вывода найдите запись objectGuid. Выберите и скопируйте значение GUID в текстовый файл, чтобы использовать его в другом месте.

Использование Repadmin для удаления затянутых объектов

Если контроллер домена назначения и контроллер исходных доменов работают Windows Server 2003 или Windows Server 2008, эту процедуру можно использовать для удаления затянутых объектов с помощью Repadmin. Если любой контроллер домена Windows сервере 2000, следуйте инструкциям в затяжных объектах может остаться после того, как вы приведете устаревший сервер глобального каталога обратно в Интернете.

Требования:

  • Членство в администраторах домена в домене контроллера домена с затянутыми объектами или Enterprise администраторов, если раздел каталога с затянутыми объектами является разделом конфигурации или каталога схемы, является минимальным, необходимым для завершения этой процедуры. Просмотрите сведения об использовании соответствующих учетных записей и членов групп в локальных и доменных группах по умолчанию.
  • Операционная система: Windows Server 2003 или Windows Server 2008 для <ServerName> и<ServerGUID>
  • Средство: Repadmin.exe

Действия по использованию Repadmin для удаления затянутых объектов

  1. Откройте командную подсказку в качестве администратора: в меню Пуск щелкните правой кнопкой мыши Командная подсказка и нажмите кнопку Выполнить в качестве администратора. Если появится диалоговое окно управления учетной записью пользователя, при необходимости Enterprise учетные данные администраторов домена и нажмите кнопку Продолжить.

  2. В командной строке введите следующую команду, а затем нажмите клавишу ВВОД:

    repadmin /removelingeringobjects <ServerName> <ServerGUID> <DirectoryPartition> /advisory_mode
    
    Параметр Описание
    /removelingeringobjects Удаляет затянутые объекты из контроллера домена, указанного для раздела <ServerName> каталога, указанного <DirectoryPartition> в .
    <ServerName> Имя контроллера домена с затянутыми объектами, как определено в сообщении события (Event ID 1388 или Event ID 1988). Можно использовать имя системы доменных имен (DNS) или отличительное имя, например, отличительное имя CN=DC5,OU=Domain Controllers,DC=contoso,DC=com или имя DNS DC5.contoso.com .
    <ServerGUID> GUID контроллера домена, который имеет поддельную копию раздела каталога, который содержит затяжной объект.
    <DirectoryPartition> Отличительное имя раздела каталога, которое определено в сообщении события, например:
    • Раздел каталога доменов продаж в contoso.com лесу: DC=sales,DC=contoso,DC=com
    • Раздел каталога конфигурации в contoso.com лесу: CN=configuration,DC=contoso,DC=com
    • Раздел каталога схемы в contoso.com лесу: CN=schema,CN=configuration,DC=contoso,DC=com
    /advisory_mode Журналы сохраняющихся объектов, которые будут удалены, чтобы вы могли просмотреть их, но не удалить их.
  3. Повторите шаг 2 без удаления выявленных затянутых объектов /advisory_mode из раздела каталога.

  4. Повторите шаги 2 и 3 для каждого контроллера домена, в который могут быть затянутые объекты.

Примечание

Параметр использует синтаксис DC_LIST для repadmin, который позволяет использовать * для всех контроллеров домена в лесу и gc: для всех глобальных серверов каталога в <ServerName> лесу. Чтобы увидеть синтаксис DC_LIST, введите repadmin /listhelp . Сведения о синтаксисе и /regkey /removelingeringobjects параметрах введите repadmin /experthelp .

Включить строгую согласованность репликации

Чтобы гарантировать, что затяжные объекты не могут быть реплицированы в случае их возникновения, в соответствии со строгой последовательностью репликации на всех контроллерах домена. Параметр согласованности репликации хранится в реестре на каждом контроллере домена. Однако на контроллерах домена, которые работают Windows Server 2003 с Пакет обновления 1 (SP1), Windows Server 2003 с Пакет обновления 2 (SP2), Windows Server 2003 R2 или Windows Server 2008, можно использовать Repadmin для обеспечения строгой согласованности репликации на одном или всех контроллерах домена.

На контроллерах домена Windows Server 2003 без SP1 или запуска любой версии Windows 2000 Server необходимо изменить реестр, чтобы включить параметр.

Использование Repadmin для обеспечения строгой последовательности репликации

Используйте эту процедуру для удаления затянутых объектов на контроллере домена, который работает Windows Server 2003 с SP1, Windows Server 2003 с SP2, Windows Server 2003 R2 или Windows Server 2008.

Членство в администраторах домена, или эквивалент, является минимальным, необходимым для завершения этой процедуры на одном контроллере домена. Членство в Enterprise администраторов— это минимум, необходимый для выполнения этой процедуры для всех контроллеров домена в лесу. Просмотрите сведения об использовании соответствующих учетных записей и членов групп в локальных и доменных группах по умолчанию.

Действия по использованию Repadmin для обеспечения строгой последовательности репликации
  1. Откройте командную подсказку в качестве администратора: в меню Пуск щелкните правой кнопкой мыши Командная подсказка и нажмите кнопку Выполнить в качестве администратора. Если появится диалоговое окно управления учетной записью пользователя, при необходимости Enterprise учетные данные администраторов домена и нажмите кнопку Продолжить.

  2. В командной строке введите следующую команду, а затем нажмите клавишу ВВОД:

    repadmin /regkey <DC_LIST> +strict
    
    Параметр Описание
    /regkey Включает (+) и отключает (-) значение для записи реестра строгой репликации в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters .
    <DC_LIST> Имя одного контроллера домена или * для применения изменения для всех контроллеров домена в лесу. Для имени контроллера домена можно использовать имя DNS, отличительное имя объекта компьютера контроллера домена или отличительное имя объекта сервера контроллера домена, например, отличительное имя CN=DC5,OU=Domain Controllers,DC=contoso,DC=com или имя DNS DC5.contoso.com .
    +strict Включает запись реестра строгой репликации.
  3. Если вы не используете * для применения изменения для всех контроллеров домена, повторите шаг 2 для каждого контроллера домена, на котором необходимо включить строгую согласованность репликации.

Примечание

Дополнительные параметры имен и сведения о синтаксисе параметра <DC_LIST>, в командной подсказке типа repadmin /listhelp . Сведения о синтаксисе и /regkey /removelingeringobjects параметрах введите repadmin /experthelp .

Использование Regedit для обеспечения строгой последовательности репликации

В качестве альтернативы использованию Repadmin можно включить строгую согласованность репликации, редактировать реестр напрямую. Метод реестра необходим для контроллера домена, который работает с версией Windows Server, которая является более ранней Windows Server 2003 с SP1. Параметр согласованности репликации хранится в записи Строгой последовательности HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters репликации.

Значения записи реестра строгой репликации:

  • Значение: 1 (0 для отключения)
  • По умолчанию: 1 (включено) в новом Windows Server 2003 или Windows Server 2008; в противном случае 0.
  • Тип данных: REG_DWORD

Требования:

  • Членство в группе "Администраторы домена"(или аналогичной) является минимальным необходимым условием для выполнения этой процедуры. Просмотрите сведения об использовании соответствующих учетных записей и членов групп в локальных и доменных группах по умолчанию).
  • Средство: Regedit.exe

Примечание

Рекомендуется не изменять реестр напрямую, если нет другой альтернативы. Изменения в реестре не проверяются редактором реестра или Windows до их применения, в результате чего могут храниться неправильные значения. Это может привести к невозвратным ошибкам в системе. Если это возможно, используйте групповую политику или другие Windows, например консоль управления Microsoft (MMC), для выполнения задач, а не непосредственного редактирования реестра. Если необходимо изменить реестр, используйте крайнюю осторожность.

Действия по использованию Regedit для обеспечения строгой согласованности репликации
  1. Откройте Regedit в качестве администратора: нажмите кнопку Начните, а затем в Начните поиск, введите regedit. В верхней части меню Пуск щелкните правой кнопкой мышиregedit.exe и нажмите кнопку Выполнить в качестве администратора. В диалоговом окне Управление учетной записью пользователя уканите учетные данные администраторов домена и нажмите кнопку ОК.

  2. Перейдите к записи Строгой последовательности репликации HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters в .

  3. Установите значение в записи Строгой последовательности репликации до 1.

Убедитесь, что для вновь продвигаемого контроллера домена включена строгая согласованность репликации

Если вы обновляете лес, который изначально был создан с помощью компьютера с Windows 2000 Server, необходимо убедиться, что лес настроен таким образом, чтобы обеспечить строгую согласованность репликации на вновь продвигаемых контроллерах домена, чтобы избежать затянутых объектов. После обновления леса, как описано в (Обновление доменов Active Directory доWindows Server 2008 и Windows Server 2008 R2 AD DS Domains),все новые контроллеры домена, которые вы впоследствии добавляете в лес, создаются с отключенной строгой последовательностью репликации. Однако можно реализовать изменение конфигурации леса, из-за этого новые контроллеры домена будут иметь строгую согласованность репликации. Чтобы новые контроллеры домена, добавленные в лес, были включены строгой последовательностью репликации, вы можете использовать средство Ldifde.exe для создания объекта в разделе каталога конфигурации леса. Этот объект отвечает за включение строгой последовательности репликации на любом контроллере домена Windows Server 2003 или Windows Server 2008, продвигаемом в лес.

Объект, который вы создаете, — это операционный GUID со следующим именем:

CN=94fdebc6-8eeb-4640-80de-ec52b9ca17fa,CN=Operations,CN=ForestUpdates,CN=Configuration,DC=<ForestRootDomain>

Чтобы добавить этот объект в раздел каталога конфигурации, можно использовать следующую процедуру на любом контроллере домена в лесу.

Членство в Enterprise или эквиваленте — это минимум, необходимый для выполнения этой процедуры. Просмотрите сведения об использовании соответствующих учетных записей и членов групп в локальных и доменных группах по умолчанию.

Действия по созданию объекта, обеспечиваемую строгой последовательностью репликации на новых контроллерах домена

  1. В текстовом редакторе, например Блокнот, создайте следующий текстовый файл:

    dn:
    CN=94fdebc6-8eeb-4640-80de-ec52b9ca17fa,CN=Operations,CN=ForestUpdates,CN=Configuration,DC=<ForestRootDomain>
    changetype: add
    objectClass: контейнер
    showInAdvancedViewOnly: TRUE
    имя: 94fdebc6-8eeb-4640-80de-ec52b9ca17fa
    objectCategory: CN=Container, CN=Schema,CN=Configuration,DC=<ForestRootDomain>

  2. Где содержатся все компоненты домена (DC=) корневого домена леса, например для <ForestRootDomain> contoso.com леса, DC=contoso,DC=com; для леса fineartschool.net DC=fineartschool,DC=net.

  3. Откройте командную подсказку в качестве администратора: в меню Пуск щелкните правой кнопкой мыши Командная подсказка и нажмите кнопку Выполнить в качестве администратора. Если появится диалоговое окно управления учетной записью пользователя, Enterprise учетные данные администраторов, если это необходимо, а затем нажмите кнопку Продолжить.

  4. В командной строке введите следующую команду, а затем нажмите клавишу ВВОД:

    ldifde -i -f <Path>\<FileName>
    
    Параметр Описание
    -i Указывает режим импорта. Если режим импорта не указан, режим по умолчанию экспортируется.
    -f Определяет имя импортного или экспортируемого файла.
    <Path>\<FileName> Путь и имя файла импорта, созданного на шаге 1, например C: \ldifde.txt.

    Сведения об использовании Ldifde см. в LDIFDE.