Error de replicación de Active Directory 8606: No se proporcionaron atributos suficientes para crear un objeto

  • Artículo

En este artículo se proporciona ayuda para solucionar el error de replicación de Active Directory 8606: Se proporcionaron atributos insuficientes para crear un objeto.

Se aplica a: Windows Server 2012 R2
Número de KB original: 2028495

Nota:

Usuarios domésticos: Este artículo solo está pensado para agentes de soporte técnico y profesionales de TI. Si está buscando ayuda con un problema, pregunte a la comunidad de Microsoft.

Resumen

En este artículo se describen los síntomas y las causas de un problema en el que la replicación de Active Directory no se realiza correctamente y genera el error 8606: "Se han proporcionado atributos insuficientes para crear un objeto. Es posible que este objeto no exista porque es posible que se haya eliminado". En este artículo también se describe una solución para este problema.

Síntomas

Síntoma 1

El DCDIAG informa de que se produjo un error en la prueba de replicación de Active Directory con el error 8606: "Se proporcionaron atributos insuficientes para crear un objeto".

Inicio de la prueba: replicación
[Comprobación de las replicaciones, <Controlador de> dominio de destino] Error en un intento de replicación reciente:
Del controlador de dominio> de origen al <controlador de dominio de <destino>
Contexto de nomenclatura: <ruta de acceso DN de partición de directorio>
La replicación generó un error (8606):
Se proporcionaron atributos insuficientes para crear un objeto. Es posible que este objeto no exista porque es posible que se haya eliminado y ya se haya recopilado como elemento no utilizado.
El error se produjo en la <fecha><y hora>
El último éxito se produjo en la <fecha><y hora>

Síntoma 2

Replicación entrante desencadenada por el comando Replicar ahora en el complemento Sitios y servicios de Active Directory DSSITE. MSC no se ha realizado correctamente y genera el error "Se han proporcionado atributos insuficientes para crear un objeto". Al hacer clic con el botón derecho en un objeto de conexión de un controlador de dominio de origen y, a continuación, seleccionar Replicar ahora, la replicación no se realiza correctamente y genera el siguiente error: "Se deniega el acceso". Además, recibirá el siguiente mensaje de error:

Texto del título del cuadro de diálogo: Replicar ahora
Texto del mensaje de diálogo: se produjo el siguiente error durante el intento de sincronizar el contexto <de nomenclatura %active directory partition name%> del controlador> de dominio de origen del controlador <de dominio con el controlador> de dominio de destino del controlador <de dominio:

Se proporcionaron atributos insuficientes para crear un objeto. Es posible que este objeto no exista porque es posible que se haya eliminado y ya se haya recopilado como elemento no utilizado.

La operación no continuará

Síntoma 3

Varios comandos derepadmin.exe producen un error 8606. Estos comandos incluyen, entre otros, los siguientes:

repadmin /add repadmin /replsum
repadmin /showrepl repadmin /showrepl
repadmin /syncall

Síntoma 4

El evento 1988 se registra poco después de que se produzca uno de los siguientes eventos:

  • Se implementa el primer controlador de dominio del bosque.
  • Se realiza cualquier actualización del conjunto de atributos parcial.

Síntoma 5

El evento de replicación NTDS 1988 se puede registrar en el registro de eventos del servicio de directorio de los controladores de dominio que intentan replicar Active Directory de entrada.

Escriba: Error
Origen: Replicación NTDS
Categoría: Replicación
Identificador de evento: 1988
Usuario: NT AUTHORITY\ANONYMOUS LOGON
Equipo: <nombre de host del controlador de dominio que registró el evento, también conocido como controlador de dominio de "destino" en el intento de replicación.>
Descripción: el controlador de dominio local ha intentado replicar el siguiente objeto desde el siguiente controlador de dominio de origen. Este objeto no está presente en el controlador de dominio local porque es posible que se haya eliminado y ya se haya recopilado como elemento no utilizado.
Controlador de dominio de origen:
<CNAME GUIADO completo del controlador de dominio de origen>
Objeto:
<Ruta de acceso DN del objeto dinámico en el controlador de dominio de origen>
GUID del objeto:
<GUID de objeto del objeto en la copia de controladores de dominio de origen de Active Directory>

Causa

El error 8606 se registra cuando se cumplen las condiciones siguientes:

  • Un controlador de dominio de origen envía una actualización a un objeto (en lugar de crear un objeto de origen) que ya se ha creado, eliminado y, a continuación, reclamado por la recolección de elementos no utilizados desde la copia de Active Directory de un controlador de dominio de destino.
  • El controlador de dominio de destino se configuró para ejecutarse en coherencia estricta de replicación.

Si el controlador de dominio de destino se configuró para usar la coherencia de replicación flexible, el objeto se habría "reanimado" en la copia del controlador de dominio de destino del directorio. Las variaciones específicas que pueden provocar un error se documentan en la sección "Más información". Sin embargo, el error se debe a uno de los siguientes elementos:

  • Un objeto permanente cuya eliminación requerirá la intervención del administrador
  • Objeto transitorio persistente que se corregirá cuando el controlador de dominio de origen realice su siguiente limpieza de recolección de elementos no utilizados. La introducción del primer controlador de dominio en un bosque existente y las actualizaciones del conjunto de atributos parciales son causas conocidas de esta condición.
  • Objeto que se recuperó o restauró a la cúspide de la expiración de la duración del lápiz.

Al solucionar problemas de errores 8606, piense en los puntos siguientes:

  • Aunque el error 8606 se registra en el controlador de dominio de destino, el objeto de problema que bloquea la replicación reside en el controlador de dominio de origen. Además, el controlador de dominio de origen o un asociado de replicación transitiva del controlador de dominio de origen potencialmente no tenía conocimientos de replicación entrante de un número de duración de desecho eliminado de días en el pasado.

  • Los objetos persistentes pueden existir en las siguientes circunstancias:

    • Como objetos "activos", como objetos CNF o objetos de conflictos "activos", o como objetos CNF o objetos en conflictos en el contenedor de objetos eliminados del controlador de dominio de origen
    • En cualquier partición de directorio excepto la partición de esquema. Los objetos persistentes se encuentran con más frecuencia en particiones de dominio de solo lectura en los GCs. Los objetos persistentes también pueden existir en particiones de dominio grabables, así como en la partición de configuración. La partición de esquema no admite eliminaciones.
    • En cualquier clase de objeto (los usuarios, equipos, grupos y registros DNS son más comunes).

  • No olvide buscar objetos potencialmente persistentes por GUID de objeto frente a ruta de acceso DN para que los objetos se puedan encontrar independientemente de su partición de host y el contenedor primario. La búsqueda por objeto también buscará los objetos que se encuentran en el contenedor de objetos eliminados sin usar el control LDAP de objetos eliminados.

  • El evento NTDS Replication 1988 identifica solo el objeto actual en el controlador de dominio de origen que bloquea la replicación entrante mediante un controlador de dominio de destino de modo estricto. Es probable que haya objetos adicionales "detrás" del objeto al que se hace referencia en el evento de 1988 que también persiste.

  • La presencia de objetos persistentes en un controlador de dominio de origen impide o bloquea a los controladores de dominio de destino de modo estricto replicar de entrada los cambios "buenos" que existen detrás del objeto persistente en la cola de replicación.

  • Debido a la manera en que los controladores de dominio eliminan individualmente objetos de sus contenedores de objetos eliminados (el demonio de recolección de elementos no utilizados se ejecuta cada 12 horas desde la última vez que se inició cada controlador de dominio), los objetos que causan errores 8606 en los controladores de dominio de destino podrían estar sujetos a eliminación en la siguiente ejecución de limpieza de recolección de elementos no utilizados. Los objetos persistentes de esta clase son transitorios y deben quitarse ellos mismos en no más de 12 horas desde el inicio del problema.

  • El objeto persistente en cuestión es probablemente uno que un administrador o aplicación eliminó intencionadamente. Factorice esto en el plan de resolución y tenga cuidado con los objetos de reanimación, especialmente las entidades de seguridad que se eliminaron intencionadamente. Solución

Solución

  1. Identifique el valor actual de la configuración TombStoneLifeTime de todo el bosque.

    repadmin /showattr "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=forest root domain,DC=TLD" /atts:tombstonelifetime

    Consulte la sección "Duración y replicación de eliminaciones de Tombstone" en el siguiente artículo de Microsoft Knowledge Base:
    910205 Información sobre los objetos persistentes en un bosque de Windows Server Active Directory.

  2. Para cada controlador de dominio de destino que registre el error 8606, filtre el registro de eventos del servicio de directorio en el evento de replicación NTDS 1988.

  3. Recopile metadatos para cada objeto único que se cita en el evento de replicación de NTDS 1988. A partir de cada evento de 1988 que se registra en el controlador de dominio de destino que cita un nuevo objeto, rellene la tabla siguiente:

    Ruta de acceso de DN del objeto Objeto GUID Controlador de dominio de origen Partición de host ¿En directo o eliminado? LastKnownParent Valor IsDeleted

    Las columnas 1 a 5 de esta tabla se pueden rellenar leyendo valores directamente desde los campos de los eventos de replicación 1988 de NTDS que se registran en los registros de eventos del servicio de directorio de los controladores de dominio de destino que registran el evento 1988 o el estado de replicación 8606.

    Las marcas de fecha para las columnas LastKnownParent e IsDeleted se pueden determinar ejecutando repadmin /showobjmeta y haciendo referencia al objeto del objeto que se cita en el evento de replicación 1988 de NTDS. Para ello, utilice la siguiente sintaxis:

    repadmin /showobjmeta <fqdn of source DC from 1988 event> "<GUID=GUID of object cited in the 1988 event>"

    La marca de fecha de LastKnownParent identifica la fecha en la que se eliminó el objeto. La marca de fecha de IsDeleted indica cuándo se eliminó o reanimaron por última vez el objeto. El número de versión indica si la última modificación eliminó o reanimado el objeto. Un valor IsDeleteted de 1 representa una eliminación inicial. Los valores numerados impares mayores que 1 indican una reanimación después de al menos una eliminación. Por ejemplo, un valor isDeleted de 2 representa un objeto que se eliminó (versión 1) y, después, se desanima o reanima (versión 2). Los valores pares posteriores de IsDeleted representan reanimaciones o recuperaciones posteriores del objeto.

  4. Seleccione la acción adecuada en función de los metadatos del objeto citados en el evento de 1988.

    El evento 1988 del evento de replicación 8606/NTDS se debe con mayor frecuencia a errores de replicación a largo plazo que impiden que los controladores de dominio puedan replicar de entrada el conocimiento de todas las eliminaciones que se originen en el bosque. Esto da como resultado objetos persistentes en uno o varios controladores de dominio de origen.

    Revise los metadatos del objeto que aparece en la tabla que se creó en el paso 4 de la sección "Resolución".

    Si el objeto del evento de 1988 es ((vive en el controlador de dominio de origen) pero (se elimina en el controlador de dominio de destino durante más tiempo que la expiración de la duración de la lápida), vea "Eliminación de objetos persistentes" y "". Un administrador debe quitar manualmente los objetos de esta condición.

    Es posible que los objetos eliminados se hayan purgado prematuramente del contenedor de objetos eliminados si el tiempo del sistema ha ido avanzando en el tiempo en el controlador de dominio de destino. Revise la sección "Comprobar saltos de tiempo".

    Si el objeto que se cita en el evento de 1988 existe en el contenedor de objetos eliminados del controlador de dominio de origen y su fecha de eliminación está justo a la cúspide de la expiración de la duración de la piedra de desecho de forma que el objeto fue reclamado por la recolección de elementos no utilizados por uno o varios controladores de dominio de destino y será reclamado por la recolección de elementos no utilizados en el siguiente intervalo de recolección de elementos no utilizados en los controladores de dominio de origen (es decir, los objetos persistentes son transitorios), tiene una opción. Espere a que la siguiente ejecución de recolección de elementos no utilizados elimine el objeto o desencadene manualmente la recolección de elementos no utilizados en el controlador de dominio de origen. Consulte "Iniciar manualmente la recolección de elementos no utilizados". La introducción del primer controlador de dominio, o cualquier cambio en el conjunto de atributos parcial, puede provocar esta condición.

    Si repadmin /showobjmeta la salida del objeto que se cita en el evento de 1988 tiene un valor LastKnownParent de 1, esto indica que se eliminó el objeto y un valor IsDeleted de 2 o algún otro valor numerado par, y esa marca de fecha para IsDeleted está en la cúspide del número de vida de lápida de días diferente de la marca de fecha para LastKnownParent, a continuación, se eliminó el objeto y, a continuación, se recuperó o se restauró la autenticación mientras aún estaba vivo en el controlador de dominio de origen, pero ya reclamado por la recolección de elementos no utilizados por los controladores de dominio de destino que registraban el error 8606/ Evento 1988. Consulte Reanimaciones en la cúspide de la expiración de TSL

Eliminación de objetos persistentes

Aunque existen muchos métodos para quitar objetos persistentes, hay tres herramientas principales que se usan habitualmente: repadmin.exe, Lingering Object Liquidator (LoL) y repldiag.

Liquidador de objetos persistentes (LoL)

El método más fácil de limpiar Objetos persistentes es usar loL. La herramienta LoL se desarrolló para ayudar a automatizar el proceso de limpieza en un bosque de Active Directory. La herramienta se basa en guis y puede examinar el bosque de Active Directory actual y detectar y limpiar objetos persistentes. La herramienta está disponible en el Centro de descarga de Microsoft.

Repadmin

Los dos comandos siguientes de repadmin.exe pueden quitar objetos persistentes de particiones de directorio:

  • repadmin /removelingeringobjects
  • repadmin /rehost

El repadmin /removelingeringobjects comando se puede usar para quitar objetos persistentes de particiones de directorio grabables y de solo lectura en controladores de dominio de origen. La sintaxis es la siguiente:

repadmin /removelingeringobjects <Dest_DSA_LIST> <Source DSA GUID> <NC> [/ADVISORY_MODE]

Donde:
<> Dest_DSA_LIST es el nombre de un controlador de dominio que contiene objetos persistentes (como el controlador de dominio de origen que se cita en el evento NTDS Replication 1988).

<GUID de DSA> de origen es el nombre de un controlador de dominio que hospeda una copia grabable de la partición de directorio que contiene objetos persistentes a los que el controlador de dominio de <Dest_DSA_LIST> tiene conectividad de red. El controlador de dominio que se va a limpiar (primer controlador de dominio especificado en el comando) debe poder conectarse directamente al puerto 389 en el controlador de dominio que hospeda una copia grabable de la partición de directorio (especificada en segundo lugar en el comando).

<NC> es la ruta de acceso DN de la partición de directorio que se sospecha que contiene objetos persistentes, como la partición especificada en un evento de 1988.

El repadmin /rehost comando se puede usar para quitar controladores de dominio lingering-objects que hospedan una copia de solo lectura de una partición de directorio de dominio de los controladores de dominio. La sintaxis es la siguiente:

repadmin /rehost DSA <Naming Context> <Good Source DSA Address>

Donde:
DSA es el nombre de un controlador de dominio que hospeda una partición de directorio de dominio de solo lectura para un dominio no local. Por ejemplo, un GC en root.contoso.com puede rehospedar su copia de solo lectura de child.contoso.com, pero no puede volver a hospedar root.contoso.com.

<Contexto> de nomenclatura es la ruta de acceso DN de una partición de directorio de dominio de solo lectura que reside en un catálogo global.

<Buena dirección> DSA de origen es el nombre de un controlador de dominio que hospeda una copia grabable del contexto> de <nomenclatura. El controlador de dominio debe estar disponible en la red para el equipo DSA.

Si repadmin no quita el objeto persistente que se notifica en el evento de 1988, evalúe si el objeto en el controlador de dominio de origen se creó en la brecha USN o si los objetos que originan el controlador de dominio no existen en el vector de actualización del controlador de dominio de origen.

Repldiag

Nota:

Los objetos persistentes también se pueden quitar mediante repldiag.exe. Esta herramienta automatiza el repadmin /removelingeringobjects proceso. Quitar objetos persistentes de un bosque con repldiag es tan sencillo como ejecutar repldiag /removelingeringobjects. Sin embargo, normalmente es mejor ejercer cierto control sobre el proceso en entornos más grandes. La opción /OverRideReferenceDC permite seleccionar qué controlador de dominio se usa para la limpieza. La opción /outputrepadmincommandlinesyntax permite ver el aspecto de una limpieza en todo el bosque mediante repadmin.

Inicie el siguiente laboratorio de TechNet a petición para la práctica de solución de problemas guiada de este y otros errores de replicación de AD:

En el laboratorio, se usa repadmin y repldiag.exe para quitar objetos persistentes.
Solución de problemas de errores de replicación de Active Directory
En este laboratorio, le guiará por las fases de solución de problemas, análisis e implementación de errores de replicación de Active Directory habitualmente detectados. Usará una combinación de ADREPLSTATUS, repadmin.exey otras herramientas para solucionar problemas de un entorno de cinco controladores de dominio y tres dominios. Los errores de replicación de AD detectados en el laboratorio incluyen -2146893022, 1256, 1908, 8453 y 8606".

Supervisión diaria del estado de replicación de Active Directory

Si el error 8606/Evento 1988 se debe a que el controlador de dominio no puede replicar los cambios de Active Directory en el último número de días de duración del lápiz, asegúrese de que el estado de la replicación de Active Directory se está supervisando día a día en el futuro. El estado de la replicación se puede supervisar mediante una aplicación de supervisión dedicada o mediante la visualización de la salida de la única opción económica pero eficaz para ejecutar repadmin /showrepl * /csv el comando en una aplicación de hoja de cálculo como Microsoft Excel. (Consulte "Método 2: Supervisar la replicación mediante una línea de comandos" en el artículo de Microsoft Knowledge Base 910205).

Los controladores de dominio que no se hayan replicado de entrada en el 50 por ciento del número de días de duración de los objetos de desecho deben incluirse en una lista de watch que reciban atención de administración prioritaria para que la replicación sea operativa. Los controladores de dominio que no se pueden realizar para replicar correctamente deben reducirse por fuerza si no se han replicado dentro del 90 % de la TSL.

Los errores de replicación que aparecen en un controlador de dominio de destino pueden deberse al controlador de dominio de destino, al controlador de dominio de origen o a la red subyacente y a la infraestructura DNS.

Comprobación de saltos de tiempo

Para determinar si se produjo un salto de tiempo, compruebe las marcas de fecha en registros de eventos y diagnósticos (Visor de eventos, repadmin /showrepsregistros de netlogon, informes dcdiag) en controladores de dominio de destino que registran eventos de error 8606/NTDS Replication 1988 para lo siguiente:

  • Marcas de fecha que preceden al lanzamiento de un sistema operativo (por ejemplo, marcas de fecha de CY 2003 para un sistema operativo publicado en CY 2008)
  • Marcas de fecha anteriores a la instalación del sistema operativo en el bosque
  • Marcas de fecha en el futuro
  • No tener eventos que se registren en un intervalo de fechas determinado

Soporte técnico de Microsoft equipos han visto el tiempo del sistema en los controladores de dominio de producción saltar incorrectamente horas, días, semanas, años e incluso decenas de años en el pasado y el futuro. Si se ha detectado que la hora del sistema es inexacta, debe corregirla y, a continuación, intentar determinar por qué se ha saltado el tiempo y lo que se puede hacer para evitar tiempos inexactos en el futuro frente a simplemente corregir el mal momento. Entre las posibles preguntas se incluyen las siguientes:

  • ¿Se configuró el PDC raíz del bosque mediante un origen de hora externo?
  • ¿Los orígenes de hora en línea de referencia están disponibles en la red y se pueden resolver en DNS?
  • ¿Se estaba ejecutando el servicio de tiempo de Microsoft o de terceros y se encontraba en un estado sin errores?
  • ¿Están configurados los equipos de rol de controlador de dominio para usar la jerarquía NT5DS en la hora de origen?
  • ¿Se ha implementado la protección contra reversión de tiempo que se describe en el artículo de Microsoft Knowledge Base 884776?
  • ¿Los relojes del sistema tienen buenas baterías y una hora precisa en el BIOS en los controladores de dominio de los equipos host virtuales?
  • ¿Están configurados el host virtual y los equipos invitados para la hora de origen según las recomendaciones del fabricante de hospedaje?
    El artículo de Microsoft Knowledge Base 884776 pasos de documentos para ayudar a proteger los controladores de dominio de "escucha" a ejemplos de tiempo no válidos. Más información sobre MaxPosPhaseCorrection y MaxNegPhaseCorrection está disponible en la entrada de blog W32Time Servicio de hora de Windows.

Compruebe si hay objetos persistentes mediante repadmin /removelingeringobjects /advisorymodey, a continuación, quítelos según sea necesario.

Relaje "Permitir replicación con un asociado divergente y dañado" según sea necesario.

Inicio manual de la recolección de elementos no utilizados

Existen varias opciones para desencadenar manualmente la recolección de elementos no utilizados en un controlador de dominio específico:

Ejecute "repadmin /setattr "" "" doGarbageCollection add 1"

Ejecute LDIFDE /s <server> /i /f dogarbage.ldif donde dobarbage.ldif contiene el texto:

Dn:
changetype: modify
replace: DoGarbageCollection
dogarbagecollection: 1
-

Nota:

El carácter "-" final es un elemento necesario del archivo .ldif.

Reanimaciones a la cúspide de la expiración de TSL

Para que exista esta condición, repadmin /showobject "<GUID=object guid for object in 1988 event>" debe informar de que el objeto "no se encuentra" en el controlador de dominio de destino, pero está vivo en el controlador de dominio de origen y es un objeto eliminado o no recuperado.

Una revisión de los campos clave de repadmin /showobjmeta en el controlador de dominio de origen debe informar de que se cumplen las siguientes condiciones: LastKnownParent tiene un valor de 1 y su marca de fecha está a la cúspide de los días de TSL del pasado. Su marca de fecha indica la fecha de eliminación del objeto.

IsDeleted tiene un número de versión de 2 (u otro valor numerado par), donde la versión 1 definió la eliminación original y la versión 2 es la restauración o reanimación. La marca de fecha de "isDeleted=2" debe ser ~ número TSL de días posteriores a la fecha de último cambio de LastKnownParent.

Evalúe si el objeto en cuestión debe seguir siendo un objeto dinámico o un objeto eliminado. Si LastKnownParent tiene un valor de 1, algo o alguien eliminó el objeto. Si no se trata de una eliminación accidental , es probable que el objeto se elimine de cualquier controlador de dominio de origen que tenga una copia activa del objeto.

Si el objeto debe existir en todas las réplicas, las opciones son las siguientes:

  • Habilite la replicación flexible en controladores de dominio de destino de modo estricto que no tengan el objeto .
  • Forzar la degradación de los controladores de dominio que ya han recopilado el objeto como elemento no utilizado.
  • Elimine el objeto y vuelva a crearlo.

Más información

Inicie el siguiente laboratorio de TechNet a petición para la práctica de solución de problemas guiada de este y otros errores de replicación de AD:

Solución de problemas de errores de replicación de Active Directory
En este laboratorio, le guiará por las fases de solución de problemas, análisis e implementación de errores de replicación de Active Directory habitualmente encontrados. Usará una combinación de ADREPLSTATUS, repadmin.exey otras herramientas para solucionar problemas de un entorno de cinco controladores de dominio y tres dominios. Los errores de replicación de AD detectados en el laboratorio incluyen -2146893022, 1256, 1908, 8453 y 8606".

Causas de objetos persistentes

Causa 1: El controlador de dominio de origen envía actualizaciones a objetos que ya han sido reclamados por la recolección de elementos no utilizados en el controlador de dominio de destino porque el controlador de dominio de origen estaba sin conexión o se produjo un error en la replicación para el número de días transcurridos de TSL.

El CONTOSO.COM dominio contiene dos controladores de dominio en el mismo dominio. Duración de lápida = 60 días. La replicación estricta está habilitada en ambos controladores de dominio. DC2 experimenta un error en la placa base. Mientras tanto, DC1 realiza eliminaciones de origen para grupos de seguridad obsoletos diariamente durante los próximos 90 días. Después de que esté sin conexión durante 90 días, DC2 recibe una placa base de reemplazo, se activa y, a continuación, origina un cambio DACL o SACL en todas las cuentas de usuario antes de que entrante-replica el conocimiento de originar eliminaciones de DC1. DC1 registra errores 8606 para actualizar los grupos de seguridad que se purgan en DC1 durante los primeros 30 días que DC2 estaba sin conexión.

Causa 2: El controlador de dominio de origen envía actualizaciones a objetos a la cúspide de la expiración de TSL que ya han sido reclamadas por la recolección de elementos no utilizados por un controlador de dominio de destino de modo estricto

El CONTOSO.COM dominio contiene dos controladores de dominio en el mismo dominio. Duración de lápida = 60 días. La replicación estricta está habilitada en ambos controladores de dominio. DC1 y DC2 se replican cada 24 horas. DC1 origina-deletes diariamente. DC1 se ha actualizado localmente. Esto marca el nuevo atributo en todos los objetos de la configuración y las particiones de dominio grabables. Esto incluye los objetos que están actualmente en el contenedor de objetos eliminados. Algunos de ellos se eliminaron hace 60 días y ahora están a la cúspide de la expiración de la lápida. DC2 reclama algunos objetos por recolección de elementos no utilizados que se eliminaron hace días antes de que se abra la programación de replicación con DC2. El error 8606 se registra hasta que DC1 reclama los objetos de bloqueo por recolección de elementos no utilizados.

Cualquier actualización del conjunto de atributos parcial puede provocar objetos temporales persistentes que se borrarán después de que los controladores de dominio de origen recopilen objetos eliminados a la cúspide de la expiración de TSL (por ejemplo, la adición del primer controlador de dominio W2K8 R2 a un bosque existente).

Causa 3: Un salto de tiempo en un controlador de dominio de destino acelera prematuramente la recolección de elementos no utilizados de objetos eliminados en un controlador de dominio de destino

El CONTOSO.COM dominio contiene dos controladores de dominio en el mismo dominio. Duración de lápida = 60 días. La replicación estricta está habilitada en ambos controladores de dominio. DC1 y DC2 se replican cada 24 horas. DC1 origina eliminaciones diariamente. El origen de hora de referencia que usa DC1 (pero no DC2) se revierte al año natural 2039. Esto hace que DC2 también use una hora del sistema en CY2039. Esto hace que DC1 elimine prematuramente los objetos que se eliminan hoy de su contenedor de objetos eliminados. Mientras tanto, DC2 origina cambios en los atributos de los usuarios, equipos y grupos que están activos en DC2, pero eliminados y que ahora se recopilen prematuramente en DC1. DC1 registrará el error 8606 cuando la siguiente réplica entrante replique los cambios de los objetos eliminados prematuramente.

Causa 4: Se reanima un objeto en la cúspide de la expiración de TSL

El CONTOSO.COM dominio contiene dos controladores de dominio en el mismo dominio. Duración de lápida = 60 días. La replicación estricta está habilitada en ambos controladores de dominio. DC1 y DC2 se replican cada 24 horas. DC1 origina eliminaciones diariamente. Se elimina accidentalmente una unidad organizativa que contiene usuarios, equipos y grupos. Una copia de seguridad de estado del sistema que se realiza en la cúspide de TSL en el pasado se restaura mediante autenticación en DC2. La copia de seguridad contiene objetos que están activos en DC2 pero ya eliminados y reclamados por la recolección de elementos no utilizados en DC1.

Causa 5: Se desencadena una burbuja usn el registro del 8606

Supongamos que crea un objeto en una burbuja USN de tal manera que no se replica de salida porque el controlador de dominio de destino "piensa" que tiene el objeto debido a la burbuja. Ahora, una vez que se cierra la burbuja y después de que los cambios empiecen a replicarse de nuevo, se crea un cambio para ese objeto en el controlador de dominio de origen y se muestra como un objeto persistente en el controlador de dominio de destino. El controlador de destino registra el evento 8606.

Requisitos para el conocimiento de replicación de un extremo a otro de las eliminaciones de origen

Los controladores de dominio de Active Directory admiten la replicación multimaestro donde cualquier controlador de dominio (que contiene una partición grabable) puede originar una creación, cambio o eliminación de un objeto o atributo (valor). El controlador de dominio de origen y cualquier controlador de dominio que tenga conocimientos replicados entrantes de una eliminación de origen para el número de días de TSL conservarán el conocimiento de las eliminaciones de objetos o atributos. (Consulte los artículos de Microsoft Knowledge Base 216996 y 910205)

Active Directory requiere la replicación de un extremo a otro de todos los titulares de particiones para replicar transitivamente todas las eliminaciones de origen de todas las particiones de directorio en todos los titulares de particiones. El error al replicar de entrada una partición de directorio en un número gradual de días de TSL da como resultado objetos persistentes. Un objeto persistente es un objeto que al menos un controlador de dominio eliminó intencionadamente, pero que existe incorrectamente en controladores de dominio de destino que no replicaron de entrada el conocimiento transitorio de todas las eliminaciones únicas.

Recolección de datos

Si necesita ayuda del soporte técnico de Microsoft, le recomendamos que recopile la información siguiendo los pasos mencionados en Recopilación de información mediante TSS para problemas de replicación de Active Directory.