Active Directory レプリケーション エラー 8606: オブジェクトを作成するための属性が不十分でした

  • [アーティクル]

この記事では、Active Directory レプリケーション エラー 8606: オブジェクトの作成に不十分な属性が与えられた場合のトラブルシューティングに役立ちます。

適用対象: Windows Server 2012 R2
元の KB 番号: 2028495

注:

ホーム ユーザー: この記事は、テクニカル サポート エージェントと IT プロフェッショナルのみを対象としています。 問題のヘルプを探している場合は、 Microsoft コミュニティに問い合わせてください

概要

この記事では、Active Directory レプリケーションが失敗し、エラー 8606 が生成される問題の症状と原因について説明します。 このオブジェクトは削除された可能性があるため、存在しない可能性があります。この記事では、この問題の解決策についても説明します。

現象

現象 1

DCDIAG は、Active Directory レプリケーション テストがエラー 8606 で失敗したことを報告します。"オブジェクトを作成するための属性が不十分でした"。

テストの開始: レプリケーション
[レプリケーションチェック, <[宛先 DC>] 最近のレプリケーション試行が失敗しました。
ソース DC から<宛先 DC> へ<>
名前付けコンテキスト: <ディレクトリ パーティション DN パス>
レプリケーションでエラーが生成されました (8606)。
オブジェクトを作成するための属性が不足していました。 このオブジェクトは削除され、既にガベージ コレクションされているため、存在しない可能性があります
日付><時刻に<エラーが発生しました>
最後に成功した<日時><>

現象 2

Active Directory サイトとサービス スナップイン DSSITE の [今すぐレプリケート] コマンドによってトリガーされる受信レプリケーション。MSC が失敗し、"オブジェクトを作成するために属性が不足していました" というエラーが生成されます。ソース DC から接続オブジェクトを右クリックし、[今すぐレプリケート] を選択すると、レプリケーションは失敗し、"アクセスが拒否されました" というエラーが生成されます。さらに、次のエラー メッセージが表示されます。

ダイアログ タイトル テキスト: [今すぐレプリケート]
ダイアログ メッセージ テキスト: ドメイン コントローラーのソース DC からドメイン コントローラー<の宛先> DC> に名前付けコンテキスト <%active directory パーティション名%> を<同期しようとしたときに、次のエラーが発生しました。

オブジェクトを作成するための属性が不足していました。 このオブジェクトは削除され、既にガベージ コレクションされているため、存在しない可能性があります。

操作は続行されません

現象 3

エラー 8606 では、さまざまな repadmin.exe コマンドが失敗します。 これらのコマンドには、次のものが含まれますが、これらに限定されません。

repadmin /add repadmin /replsum
repadmin /showrepl repadmin /showrepl
repadmin /syncall

現象 4

イベント 1988 は、次のいずれかのイベントが発生した直後にログに記録されます。

  • フォレスト内の最初のドメイン コントローラーがデプロイされます。
  • 部分属性セットに対する更新が行われます。

症状 5

NTDS レプリケーション イベント 1988 は、Active Directory を受信レプリケートしようとしているドメイン コントローラーのディレクトリ サービス イベント ログに記録される場合があります。

型: エラー
ソース: NTDS レプリケーション
カテゴリ: レプリケーション
イベント ID: 1988
ユーザー: NT AUTHORITY\ANONYMOUS LOGON
コンピューター: <イベントを記録した DC のホスト名(レプリケーション試行の "宛先" DC とも呼ばれます)>
説明: ローカル ドメイン コントローラーは、次のソース ドメイン コントローラーから次のオブジェクトをレプリケートしようとしました。 このオブジェクトは、削除され、既にガベージ コレクションされている可能性があるため、ローカル ドメイン コントローラーには存在しません。
ソース ドメイン コントローラー:
<ソース DC の完全修飾ガイド付き CNAME>
オブジェクト:
<ソース DC 上のライブ オブジェクトの DN パス>
オブジェクト GUID:
<Active Directory のソース DC コピー上のオブジェクトのオブジェクト GUID>

原因

次の条件が満たされると、エラー 8606 が記録されます。

  • ソース ドメイン コントローラーは、既に作成、削除、およびコピー先ドメイン コントローラーの Active Directory のコピーからガベージ コレクションによって解放されたオブジェクト (元のオブジェクトの作成ではなく) に更新を送信します。
  • レプリケーション先のドメイン コントローラーは、厳密なレプリケーション整合性で実行するように構成されました。

移行先ドメイン コントローラーが緩やかなレプリケーション整合性を使用するように構成されている場合、オブジェクトは、宛先ドメイン コントローラーのディレクトリのコピーで "再アニメーション化" されます。 エラーを引き起こす可能性のある特定のバリエーションは、「詳細情報」セクションに記載されている 8606 です。 ただし、エラーは次のいずれかが原因で発生します。

  • 削除に管理者の介入が必要な永続的に残留オブジェクト
  • ソース ドメイン コントローラーが次のガベージ コレクション クリーンアップを実行するときに、それ自体を修正する一時的な残留オブジェクト。 既存のフォレストに最初のドメイン コントローラーを導入し、部分属性セットを更新することは、この条件の既知の原因です。
  • 廃棄ストーンの有効期間の有効期限が切れた時点で削除または復元されたオブジェクト

8606 エラーのトラブルシューティングを行うときは、次の点を考慮してください。

  • エラー 8606 は宛先ドメイン コントローラーに記録されますが、レプリケーションをブロックしている問題のあるオブジェクトは、ソース ドメイン コントローラーに存在します。 さらに、ソース ドメイン コントローラーまたは移行元ドメイン コントローラーの推移的なレプリケーション パートナーは、過去に削除された廃棄石の有効期間数に関する受信レプリケートの知識を持たなかった可能性があります。

  • 残留オブジェクトは、次の状況で存在する可能性があります。

    • "ライブ" オブジェクトとして、CNF オブジェクトまたは競合マングル オブジェクト "ライブ" オブジェクトとして、またはソース ドメイン コントローラーの削除されたオブジェクト コンテナー内の CNF オブジェクトまたは競合マングルオブジェクトとして
    • スキーマ パーティションを除く任意のディレクトリ パーティション内。 残留オブジェクトは、GC の読み取り専用ドメイン パーティションで最も頻繁に見つかります。 残留オブジェクトは、書き込み可能なドメイン パーティションと構成パーティションにも存在する場合があります。 スキーマ パーティションでは、削除はサポートされていません。
    • 任意のオブジェクト クラス (ユーザー、コンピューター、グループ、DNS レコードが最も一般的です)。

  • ホスト パーティションと親コンテナーに関係なくオブジェクトを見つけることができるように、オブジェクト GUID と DN パスで残留する可能性のあるオブジェクトを検索してください。 objectguid で検索すると、削除されたオブジェクト LDAP コントロールを使用せずに、削除されたオブジェクト コンテナー内のオブジェクトも検索されます。

  • NTDS Replication 1988 イベントは、厳密モードの宛先ドメイン コントローラーによる受信レプリケーションをブロックしているソース ドメイン コントローラー上の現在のオブジェクトのみを識別します。 1988 イベントで参照されるオブジェクトの背後には、残っているオブジェクトが追加されている可能性があります。

  • ソース ドメイン コントローラーに残留オブジェクトが存在すると、厳密モードの宛先ドメイン コントローラーが、レプリケーション キュー内の残留オブジェクトの背後に存在する "適切な" 変更を受信レプリケートできないようにまたはブロックします。

  • ドメイン コントローラーが削除されたオブジェクト コンテナーからオブジェクトを個別に削除する方法 (ガベージ コレクション デーモンは、前回のドメイン コントローラーの起動時から 12 時間ごとに実行されます)、移行先ドメイン コントローラーで 8606 エラーを引き起こしているオブジェクトは、次のガベージ コレクション クリーンアップ実行で削除される可能性があります。 このクラスの残留オブジェクトは一時的なもので、問題の開始から 12 時間以内に削除する必要があります。

  • 問題の残留オブジェクトは、管理者またはアプリケーションによって意図的に削除されたオブジェクトである可能性があります。 これを解決計画に組み込み、オブジェクト (特に意図的に削除されたセキュリティ プリンシパル) を再アニメーション化することに注意してください。 解決方法

解決方法

  1. フォレスト全体の TombStoneLifeTime 設定の現在の値を特定します。

    repadmin /showattr "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=forest root domain,DC=TLD" /atts:tombstonelifetime

    Microsoft サポート技術情報の次の記事の「Tombstone の有効期間と削除のレプリケーション」セクションを参照してください。
    910205 Windows Server Active Directory フォレスト内の残留オブジェクトに関する情報。

  2. 8606 エラーをログに記録している宛先ドメイン コントローラーごとに、NTDS レプリケーション イベント 1988 のディレクトリ サービス イベント ログをフィルター処理します。

  3. NTDS レプリケーション イベント 1988 で引用されている 一意 のオブジェクトごとにメタデータを収集します。 新しいオブジェクトを引用する宛先ドメイン コントローラーにログオンする 1988 年の各イベントから、次の表を設定します。

    オブジェクト DN パス オブジェクト GUID ソース DC ホスト パーティション ライブまたは削除しましたか? LastKnownParent IsDeleted 値

    このテーブルの列 1 から 5 は、1988 イベントまたは 8606 レプリケーションの状態のいずれかをログに記録しているターゲット ドメイン コントローラーのディレクトリ サービス イベント ログに記録される NTDS レプリケーション 1988 イベントのフィールドから値を直接読み取ることによって設定できます。

    LastKnownParent 列と IsDeleted 列の日付スタンプは、NTDS レプリケーション 1988 イベントで引用されているオブジェクトの objectguid を実行 repadmin /showobjmeta して参照することによって決定できます。 この設定を行うには、次の構文を使用します。

    repadmin /showobjmeta <fqdn of source DC from 1988 event> "<GUID=GUID of object cited in the 1988 event>"

    LastKnownParent の日付スタンプは、オブジェクトが削除された日付を識別します。 IsDeleted の日付スタンプは、オブジェクトが最後に削除または再アニメーション化された日時を示します。 バージョン番号は、最後の変更がオブジェクトを削除または再アニメーション化したかどうかを示します。 IsDeleteted 値 1 は、最初の削除を表します。 1 より大きい奇数の値は、少なくとも 1 つの削除後の再アニメーションを示します。 たとえば、 isDeleted 値 2 は、削除されたオブジェクト (バージョン 1) を表し、後で削除または再アニメーション化されたオブジェクト (バージョン 2) を表します。 IsDeleted の後の偶数の値は、オブジェクトの後の再アニメーションまたは削除を表します。

  4. 1988 イベントで引用されたオブジェクト メタデータに基づいて適切なアクションを選択します。

    エラー 8606/NTDS レプリケーション イベント 1988 イベントは、ドメイン コントローラーがフォレスト内のすべての元の削除に関する受信レプリケートの知識を妨げている長期的なレプリケーション エラーによって最も頻繁に発生します。 これにより、1 つ以上のソース ドメイン コントローラーにオブジェクトが残留します。

    「解決」セクションの手順 4 で作成したテーブルに一覧表示されているオブジェクトのメタデータを確認します。

    1988 イベントのオブジェクトが ((ソース ドメイン コントローラー上でライブ)、(廃棄ストーンの有効期間の有効期限より長い間宛先ドメイン コントローラーで削除) である場合は、「残留オブジェクトの削除」と「」を参照してください。この条件のオブジェクトは、管理者が手動で削除する必要があります。

    削除されたオブジェクトは、移行先ドメイン コントローラーでシステム時間が時間内にジャンプした場合に、削除されたオブジェクト コンテナーから途中で削除された可能性があります。 [時間ジャンプの確認] セクションを確認します。

    1988 イベントで引用されたオブジェクトがソース ドメイン コントローラーの削除済みオブジェクト コンテナーに存在し、その削除日が、1 つ以上の宛先ドメイン コントローラーによってガベージ コレクションによってオブジェクトが回収され、ソース ドメイン コントローラーの次のガベージ コレクション間隔でガベージ コレクションによって 解放されるように、 廃棄ストーンの有効期間の有効期限が切れた時点で正しい場合 (つまり、 残留オブジェクトは 一時的です)、選択できます。 次のガベージ コレクションの実行がオブジェクトを削除するのを待つか、ソース ドメイン コントローラーでガベージ コレクションを手動でトリガーします。 「ガベージ コレクションを手動で開始する」を参照してください。最初のドメイン コントローラーの導入、または部分属性セットの変更によって、この条件が発生する可能性があります。

    1988 イベントで引用されたオブジェクトの出力の LastKnownParent 値が 1 の場合repadmin /showobjmeta、これは、オブジェクトが削除され、IsDeleted 値が 2 または他の偶数の値であることを示、IsDeleted の日付スタンプが LastKnownParent の日付スタンプとは異なる廃棄ストーンの有効期間日数のカスプにあることを示します。 その後、オブジェクトは削除され、ソース ドメイン コントローラー上にまだ存在していたが、宛先ドメイン コントローラーによるガベージ コレクションによって既に解放されている間に、エラー 8606 /イベント 1988 が削除され、認証が復元されました。 TSL の有効期限が切れる時点での再アニメーションに関するページを参照してください

残留オブジェクトを削除する方法

残留オブジェクトを削除するには多くの方法が存在しますが、一般的に使用される主なツールは 、repadmin.exe、残留オブジェクトリキエーター (LoL)、repldiag の 3 つです。

残留オブジェクトリキテーター (LoL)

残留オブジェクトをクリーンする最も簡単な方法は、LoL を使用することです。 LoL ツールは、Active Directory フォレストに対するクリーンアップ プロセスを自動化するために開発されました。 このツールは GUI ベースであり、現在の Active Directory フォレストをスキャンし、残留オブジェクトを検出してクリーンアップできます。 このツールは 、Microsoft ダウンロード センターで入手できます。

Repadmin

repadmin.exe の次の 2 つのコマンドは、ディレクトリ パーティションから残留オブジェクトを削除できます。

  • repadmin /removelingeringobjects
  • repadmin /rehost

コマンドを repadmin /removelingeringobjects 使用すると、ソース ドメイン コントローラー上の書き込み可能なディレクトリ パーティションと読み取り専用ディレクトリ パーティションから残留オブジェクトを削除できます。 構文は次のようになります。

repadmin /removelingeringobjects <Dest_DSA_LIST> <Source DSA GUID> <NC> [/ADVISORY_MODE]

ここで、
<> Dest_DSA_LISTは、残留オブジェクト (NTDS レプリケーション 1988 イベントで引用されているソース ドメイン コントローラーなど) を含むドメイン コントローラーの名前です。

<ソース DSA GUID> は、Dest_DSA_LISTのドメイン コントローラーがネットワーク接続を持つ残留オブジェクトを含むディレクトリ パーティションの書き込み可能なコピーをホストするドメイン コントローラーの><名前です。 クリーンアップする DC (コマンドで指定された最初の DC) は、ディレクトリ パーティションの書き込み可能なコピー (コマンドで 2 番目に指定) をホストする DC のポート 389 に直接接続できる必要があります。

<NC> は、1988 イベントで指定されたパーティションなど、残留オブジェクトが含まれている可能性があるディレクトリ パーティションの DN パスです。

コマンドを repadmin /rehost 使用して、ドメイン コントローラーからドメイン ディレクトリ パーティションの 読み取り専用 コピーをホストする残留オブジェクト ドメイン コントローラーを削除できます。 構文は次のようになります。

repadmin /rehost DSA <Naming Context> <Good Source DSA Address>

ここで、
DSA は、非ローカル ドメインの読み取り専用ドメイン ディレクトリ パーティションをホストするドメイン コントローラーの名前です。 たとえば、root.contoso.com の GC は、child.contoso.com の読み取り専用コピーを再ホストできますが、root.contoso.com をリホストすることはできません。

<名前付けコンテキスト> は、グローバル カタログに存在する読み取り専用ドメイン ディレクトリ パーティションの DN パスです。

<適切なソース DSA アドレス>は、名前付けコンテキスト>の書き込み可能なコピーをホストするドメイン コントローラーの<名前です。 ドメイン コントローラーは、DSA コンピューターでネットワークで使用できる必要があります。

1988 イベントで報告された残留オブジェクトが repadmin によって削除されない場合は、ソース ドメイン コントローラー上のオブジェクトが USN ギャップで作成されたかどうか、またはソース ドメイン コントローラーの最新のベクトルに元のドメイン コントローラーが存在しないかどうかを評価します。

Repldiag

注:

残留オブジェクトは、 repldiag.exeを使用して削除することもできます。 このツールは、プロセスを自動化します repadmin /removelingeringobjects 。 repldiag を使用してフォレストから残留オブジェクトを削除するのは、 を実行 repldiag /removelingeringobjectsするのと同じくらい簡単です。 ただし、通常は、大規模な環境でプロセスを制御することをお勧めします。 オプション /OverRideReferenceDC を使用すると、クリーンアップに使用する DC を選択できます。 オプション /outputrepadmincommandlinesyntax を使用すると、repadmin を使用してフォレスト全体のクリーンアップがどのように表示されるかを確認できます。

このエラーとその他の AD レプリケーション エラーのガイド付きトラブルシューティング プラクティスについては、次の TechNet オンデマンド ラボを起動します。

ラボでは、repadmin と repldiag.exe の両方を使用して残留オブジェクトを削除します
Active Directory レプリケーション エラーのトラブルシューティング
このラボでは、一般的に発生する Active Directory レプリケーション エラーのトラブルシューティング、分析、実装の各フェーズについて説明します。 ADREPLSTATUS、 repadmin.exe、およびその他のツールを組み合わせて使用して、5 つの DC、3 ドメイン環境のトラブルシューティングを行います。 ラボで発生した AD レプリケーション エラーには、-2146893022、1256、1908、8453、8606 が含まれます。

Active Directory レプリケーションの正常性を毎日監視する

エラー 8606/イベント 1988 が、ドメイン コントローラーが過去の廃棄ストーンの有効期間日数で Active Directory の変更をレプリケートできなかったことが原因で発生した場合は、今後、Active Directory レプリケーションの正常性が日単位で監視されていることを確認してください。 レプリケーションの正常性は、専用の監視アプリケーションを使用するか、Microsoft Excel などのスプレッドシート アプリケーションでコマンドを実行 repadmin /showrepl * /csv するための安価で効果的なオプションからの出力を表示することによって監視できます。 (「方法 2: コマンド ラインを使用してレプリケーションを監視する」を参照してください(Microsoft サポート技術情報の記事 910205)。

廃棄ストーンの有効期間の日数の 50% で受信レプリケートされていないドメイン コントローラーは、レプリケーションを運用するために管理者の優先順位の注意を受けるwatchリストに配置する必要があります。 正常にレプリケートできないドメイン コントローラーは、TSL の 90% 以内にレプリケートしていない場合は強制的に降格する必要があります。

宛先ドメイン コントローラーに表示されるレプリケーション エラーは、移行先ドメイン コントローラー、ソース ドメイン コントローラー、または基になるネットワークと DNS インフラストラクチャによって発生する可能性があります。

時間ジャンプを確認する

タイム ジャンプが発生したかどうかを判断するには、次のイベントのエラー 8606/NTDS レプリケーション 1988 イベントをログに記録している宛先ドメイン コントローラーのイベント ログと診断ログ (イベント ビューアー、repadmin /showrepsnetlogon ログ、dcdiag レポート) に日付スタンプをチェックします。

  • オペレーティング システムのリリースより前の日付スタンプ (CY 2008 でリリースされた OS の CY 2003 の日付スタンプなど)
  • フォレストにオペレーティング システムをインストールする前の日付スタンプ
  • 将来の日付スタンプ
  • 特定の日付範囲に記録されるイベントがない

Microsoft サポートチームでは、運用ドメイン コントローラーのシステム時間が、過去と将来の数時間、日、週、年、さらには数十年にわたって誤ってジャンプしています。 システム時刻が不正確であることが判明した場合は、修正してから、時間がジャンプした理由と、今後の不正確な時間を防ぐために何ができるかを判断し、悪い時間を修正するだけです。 考えられる質問は次のとおりです。

  • フォレスト ルート PDC は、外部タイム ソースを使用して構成されましたか?
  • 参照オンラインのタイム ソースはネットワーク上で使用でき、DNS で解決できますか?
  • Microsoft またはサード パーティのタイム サービスが実行されていて、エラーのない状態でしたか?
  • ドメイン コントローラーの役割コンピューターは、NT5DS 階層を使用してソース時間を使用するように構成されていますか?
  • Microsoft サポート技術情報の記事に記載されている時間ロールバック保護 884776 実施されましたか?
  • システム クロックは、仮想ホスト コンピューター上のドメイン コントローラー上の BIOS で適切なバッテリーと正確な時間を持っていますか?
  • 仮想ホストとゲスト コンピューターは、ホスティングの製造元の推奨事項に従ってソース時間に構成されていますか?
    Microsoft サポート技術情報 884776 記事では、ドメイン コントローラーを "リッスン" から無効な時間サンプルに保護するための手順について説明します。 MaxPosPhaseCorrection と MaxNegPhaseCorrection の詳細については、 Windows タイム サービスの W32Time ブログ投稿を参照してください。

を使用 repadmin /removelingeringobjects /advisorymodeして残留オブジェクトを確認し、必要に応じて削除します。

必要に応じて、"ダイバージェントおよび破損したパートナーとのレプリケーションを許可する" をリラックスします。

ガベージ コレクションを手動で開始する方法

特定のドメイン コントローラーでガベージ コレクションを手動でトリガーするには、いくつかのオプションがあります。

"repadmin /setattr "" "" doGarbageCollection add 1" を実行する

LDIFDE /s <サーバー> /i /f dogarbage.ldif を実行します。dobarbage.ldif にはテキストが含まれています。

Dn:
changetype: modify
replace: DoGarbageCollection
dogarbagecollection: 1
-

注:

最後の "-" 文字は、.ldif ファイルの 必須 要素です。

TSL の有効期限が切れる時点での再アニメーション

この条件が存在するには、 repadmin /showobject "<GUID=object guid for object in 1988 event>" オブジェクトが移行先ドメイン コントローラーでは "見つかりません" が、ソース ドメイン コントローラー上に存在し、削除されたオブジェクトまたは非削除オブジェクトであることを報告する必要があります。

ソース ドメイン コントローラーのキー フィールド repadmin /showobjmeta のレビューでは、次のことが当てはまると報告する必要があります。LastKnownParent の値は 1 で、日付スタンプは過去の TSL 日のカスプにあります。 その日付スタンプは、オブジェクトの削除日を示します。

IsDeleted のバージョン番号は 2 (または別の偶数の値) で、バージョン 1 では元の削除が定義され、バージョン 2 は復元/再アニメーションになります。 "isDeleted=2" の日付スタンプは、LastKnownParent の最終変更日より後の日数から TSL までの日数にする必要があります。

対象のオブジェクトをライブ オブジェクトと削除済みオブジェクトのどちらを残すかを評価します。 LastKnownParent の値が 1 の場合、何かまたは誰かがオブジェクトを削除しました。 これが誤って削除されなかった場合は、オブジェクトのライブ コピーを持つソース ドメイン コントローラーからオブジェクトを削除する必要がある可能性があります。

オブジェクトがすべてのレプリカに存在する必要がある場合、オプションは次のとおりです。

  • オブジェクトを持たない厳密モードの宛先ドメイン コントローラーで緩やかなレプリケーションを有効にします。
  • オブジェクトが既にガベージ コレクションされているドメイン コントローラーを強制的に降格します。
  • オブジェクトを削除し、再作成します。

詳細

このエラーとその他の AD レプリケーション エラーのガイド付きトラブルシューティング プラクティスについては、次の TechNet オンデマンド ラボを起動します。

Active Directory レプリケーション エラーのトラブルシューティング
このラボでは、一般的に発生する Active Directory レプリケーション エラーのトラブルシューティング、分析、実装の各フェーズについて説明します。 ADREPLSTATUS、 repadmin.exe、およびその他のツールを組み合わせて使用して、5 つの DC、3 ドメイン環境のトラブルシューティングを行います。 ラボで発生した AD レプリケーション エラーには、-2146893022、1256、1908、8453、8606 が含まれます。

残留オブジェクトの原因

原因 1: ソース ドメイン コントローラーは、TSL 経過日数のレプリケーションがオフラインであったか失敗したため、移行先ドメイン コントローラーのガベージ コレクションによって既に解放されているオブジェクトに更新プログラムを送信します

ドメインには CONTOSO.COM 、同じドメイン内に 2 つのドメイン コントローラーが含まれています。 廃棄石の有効期間 = 60 日。 両方のドメイン コントローラーで厳密なレプリケーションが有効になっています。 DC2 でマザーボードの障害が発生します。 一方、DC1 は、古いセキュリティ グループに対して、次の 90 日間に毎日元の削除を行います。 90 日間オフラインの場合、DC2 は交換マザーボードを受け取り、電源を入れ、すべてのユーザー アカウントで DACL または SACL の変更を開始してから、DC1 からの削除の発生に関する知識を受信レプリケートします。 DC1 は、DC2 がオフラインだった最初の 30 日間、DC1 で消去された更新プログラム セキュリティ グループの 8606 エラーをログに記録します。

原因 2: ソース DC は、厳密モードの宛先 DC によってガベージ コレクションによって既に解放されている TSL の有効期限が切れた時点でオブジェクトに更新プログラムを送信します

ドメインには CONTOSO.COM 、同じドメイン内に 2 つのドメイン コントローラーが含まれています。 廃棄石の有効期間 = 60 日。 両方のドメイン コントローラーで厳密なレプリケーションが有効になっています。 DC1 と DC2 は 24 時間ごとにレプリケートされます。 DC1 は毎日発信-削除を行います。 DC1 はインプレース アップグレードされています。 これにより、構成および書き込み可能なドメイン パーティション内のすべてのオブジェクトに新しい属性がスタンプされます。 これには、現在削除されたオブジェクト コンテナー内にあるオブジェクトが含まれます。 そのうちのいくつかは60日前に削除され、現在は墓石の有効期限が切れている。 DC2 は、レプリケーション スケジュールが DC2 で開く前に TSL 日前に削除されたガベージ コレクションによって一部のオブジェクトを解放します。 エラー 8606 は、DC1 がガベージ コレクションによってブロックオブジェクトを解放するまでログに記録されます。

部分属性セットを更新すると、ソース ドメイン コントローラーが TSL の有効期限が切れた時点で削除されたオブジェクトをガベージ コレクションした後に一時的な残留オブジェクトがクリアされる可能性があります (たとえば、最初の W2K8 R2 ドメイン コントローラーを既存のフォレストに追加するなど)。

原因 3: 移行先ドメイン コントローラーでのタイム ジャンプにより、移行先ドメイン コントローラー上の削除されたオブジェクトのガベージ コレクションが早く高速化される

ドメインには CONTOSO.COM 、同じドメイン内に 2 つのドメイン コントローラーが含まれています。 廃棄石の有効期間 = 60 日。 両方のドメイン コントローラーで厳密なレプリケーションが有効になっています。 DC1 と DC2 は 24 時間ごとにレプリケートされます。 DC1 は毎日削除を開始します。 DC1 (DC2 ではなく) によって使用される参照タイム ソースは、暦年 2039 にロールフォワードされます。 これにより、DC2 は CY2039 でもシステム時刻を使用します。 これにより、DC1 は削除されたオブジェクト コンテナーから現在削除されたオブジェクトを途中で削除します。 一方、DC2 は、DC2 で稼働しているが削除され、DC1 でガベージ コレクションが途中で行われるユーザー、コンピューター、およびグループの属性に対する変更を発生させます。 DC1 は、エラー 8606 を次に受信して、削除された早すぎるオブジェクトの変更をレプリケートするときにログに記録します。

原因 4: TSL の有効期限が切れた時点でオブジェクトが再アニメーション化される

ドメインには CONTOSO.COM 、同じドメイン内に 2 つのドメイン コントローラーが含まれています。 廃棄石の有効期間 = 60 日。 両方のドメイン コントローラーで厳密なレプリケーションが有効になっています。 DC1 と DC2 は 24 時間ごとにレプリケートされます。 DC1 は毎日削除を開始します。 ユーザー、コンピューター、グループを含む OU が誤って削除されます。 過去に TSL のカスプで作成されたシステム状態バックアップは、DC2 で認証復元されます。 バックアップには、DC2 に存在するが、DC1 のガベージ コレクションによって既に削除および解放されているオブジェクトが含まれています。

原因 5: USN バブルが 8606 のログ記録をトリガーする

たとえば、ターゲット ドメイン コントローラーがバブルのためにオブジェクトを持っていることを "考える" ため、送信レプリケートを行わないような方法で、USN バブルにオブジェクトを作成するとします。 バブルが閉じられ、変更が再度レプリケートされた後、ソース ドメイン コントローラーでそのオブジェクトの変更が作成され、宛先ドメイン コントローラーへの残留オブジェクトとして表示されます。 宛先コントローラーは、イベント 8606 をログに記録します。

元の削除に関するエンド ツー エンドレプリケートナレッジの要件

Active Directory ドメイン コントローラーは、(書き込み可能なパーティションを保持する) ドメイン コントローラーがオブジェクトまたは属性 (値) の作成、変更、または削除を行うことができるマルチマスター レプリケーションをサポートします。 オブジェクト/属性の削除に関する知識は、送信元ドメイン コントローラーと、TSL の元の削除に関する受信レプリケートされた知識を持つドメイン コントローラーによって保持されます。日数。 (Microsoft サポート技術情報の記事 216996910205) を参照してください)

Active Directory では、すべてのパーティション 所有者からエンド ツー エンドのレプリケーションを行い、すべてのディレクトリ パーティションのすべての元の削除をすべてのパーティション 所有者に推移的にレプリケートする必要があります。 ローリング TSL 日数でディレクトリ パーティションを受信レプリケートできないと、オブジェクトが残留します。 残留オブジェクトは、少なくとも 1 つのドメイン コントローラーによって意図的に削除されたが、すべての一意の削除に関する一時的な知識を受信レプリケートしなかった宛先ドメイン コントローラーに誤って存在するオブジェクトです。

データ収集

Microsoft サポートからの支援が必要な場合は、「 Active Directory レプリケーションの問題に TSS を使用して情報を収集する」で説明されている手順に従って情報を収集することをお勧めします。