Errore di replica di Active Directory 8606: attributi insufficienti per creare un oggetto

Questo articolo fornisce assistenza per la risoluzione dell'errore di replica di Active Directory 8606: attributi insufficienti per creare un oggetto.

Si applica a: Windows Server 2012 R2
Numero KB originale: 2028495

Riepilogo

Questo articolo descrive i sintomi e le cause di un problema in cui la replica di Active Directory non riesce e genera l'errore 8606: "Attributi insufficienti per creare un oggetto. Questo oggetto potrebbe non esistere perché potrebbe essere stato eliminato." Questo articolo descrive anche una risoluzione per questo problema.

Sintomi

Sintomo 1

DCDIAG segnala che il test delle repliche di Active Directory non è riuscito con l'errore 8606: "Attributi insufficienti per creare un oggetto".

Test iniziale: repliche
[Controllo repliche, <Controller di dominio> di destinazione] Tentativo di replica recente non riuscito:
Dal <controller di> dominio di origine al controller di dominio di <destinazione>
Contesto di denominazione: <percorso DN della partizione di directory>
La replica ha generato un errore (8606):
Attributi insufficienti per creare un oggetto. Questo oggetto potrebbe non esistere perché potrebbe essere stato eliminato e già sottoposto a Garbage Collection
L'errore si è verificato in data <><e ora>
L'ultimo esito positivo si è verificato all'ora <della data><>

Sintomo 2

Replica in ingresso attivata dal comando Replica ora nello snap-in Siti e servizi di Active Directory DSSITE. MSC non riesce e genera l'errore "Attributi insufficienti per creare un oggetto". Quando si fa clic con il pulsante destro del mouse su un oggetto connessione da un controller di dominio di origine e quindi si seleziona Replica ora, la replica non riesce e genera l'errore seguente: "Accesso negato". Inoltre, viene visualizzato il messaggio di errore seguente:

Testo del titolo della finestra di dialogo: Replica ora
Testo del messaggio di dialogo: Si è verificato l'errore seguente durante il tentativo di sincronizzare il contesto <di denominazione %active directory partition name%> dal controller di dominio di origine> del controller <di dominio al controller di dominio di destinazione> del controller <di dominio:

Attributi insufficienti per creare un oggetto. Questo oggetto potrebbe non esistere perché potrebbe essere stato eliminato e già sottoposto a Garbage Collection.

L'operazione non continuerà

Sintomo 3

Vari comandirepadmin.exe hanno esito negativo con errore 8606. Questi comandi includono, a titolo esemplificarsi, i seguenti:

repadmin /add repadmin /replsum
repadmin /showrepl repadmin /showrepl
repadmin /syncall

Sintomo 4

L'evento 1988 viene registrato poco dopo uno degli eventi seguenti:

• Viene distribuito il primo controller di dominio nella foresta.
• Viene eseguito qualsiasi aggiornamento al set di attributi parziale.

Sintomo 5

L'evento di replica NTDS 1988 può essere registrato nel registro eventi del servizio directory dei controller di dominio che tentano di replicare Active Directory in ingresso.

digitare: Errore
Origine: replica NTDS
Categoria: Replica
ID evento: 1988
Utente: NT AUTHORITY\ANONYMOUS LOGON
Computer: <nome host del controller di dominio che ha registrato l'evento, ovvero il controller di dominio di "destinazione" nel tentativo di replica>
Descrizione: il controller di dominio locale ha tentato di replicare l'oggetto seguente dal controller di dominio di origine seguente. Questo oggetto non è presente nel controller di dominio locale perché potrebbe essere stato eliminato e già sottoposto a Garbage Collection.
Controller di dominio di origine:
<CNAME GUIDATO completo del controller di dominio di origine>
Oggetto:
<Percorso DN dell'oggetto live nel controller di dominio di origine>
GUID oggetto:
<GUID dell'oggetto nella copia dei controller di dominio di origine di Active Directory>

Causa

L'errore 8606 viene registrato quando si verificano le condizioni seguenti:

• Un controller di dominio di origine invia un aggiornamento a un oggetto (anziché a un oggetto di origine creato) che è già stato creato, eliminato e quindi recuperato da Garbage Collection dalla copia di Active Directory di un controller di dominio di destinazione.
• Il controller di dominio di destinazione è stato configurato per l'esecuzione in stretta coerenza di replica.

Se il controller di dominio di destinazione è stato configurato per l'uso della coerenza di replica sciolta, l'oggetto sarebbe stato "rianimato" nella copia della directory del controller di dominio di destinazione. Le varianti specifiche che possono causare errori sono 8606 documentate nella sezione "Altre informazioni". Tuttavia, l'errore è causato da uno dei seguenti:

• Oggetto permanentemente persistente la cui rimozione richiederà l'intervento dell'amministratore
• Oggetto temporaneo persistente che si correggerà quando il controller di dominio di origine esegue la successiva pulizia della Garbage Collection. L'introduzione del primo controller di dominio in una foresta esistente e gli aggiornamenti al set di attributi parziali sono cause note di questa condizione.
• Oggetto non eliminato o ripristinato al punto di scadenza della durata della rimozione definitiva

Quando si risolveno gli errori 8606, considerare i punti seguenti:

• Sebbene l'errore 8606 sia connesso al controller di dominio di destinazione, l'oggetto problema che blocca la replica risiede nel controller di dominio di origine. Inoltre, il controller di dominio di origine o un partner di replica transitiva del controller di dominio di origine potenzialmente non ha eseguito la replica in ingresso di un numero di giorni di durata di rimozione definitiva eliminato in passato.

• Gli oggetti persistenti possono esistere nelle circostanze seguenti:

  • Come oggetti "attivi", come oggetti "attivi" in CNF o in conflitto, come oggetti "attivi" o come oggetti CNF o in conflitto nel contenitore di oggetti eliminati del controller di dominio di origine
  • In qualsiasi partizione di directory, ad eccezione della partizione dello schema. Gli oggetti persistenti si trovano più frequentemente nelle partizioni di dominio di sola lettura nei controller di dominio. Gli oggetti persistenti possono esistere anche nelle partizioni di dominio scrivibili e nella partizione di configurazione. La partizione dello schema non supporta le eliminazioni.
  • In qualsiasi classe oggetto (utenti, computer, gruppi e record DNS sono più comuni).

• Ricordarsi di cercare oggetti potenzialmente persistenti in base al GUID dell'oggetto rispetto al percorso DN in modo che gli oggetti possano essere trovati indipendentemente dalla partizione host e dal contenitore padre. La ricerca in base a objectguid consentirà inoltre di individuare gli oggetti presenti nel contenitore degli oggetti eliminati senza usare il controllo LDAP degli oggetti eliminati.

• L'evento Replica NTDS 1988 identifica solo l'oggetto corrente nel controller di dominio di origine che blocca la replica in ingresso da parte di un controller di dominio di destinazione in modalità strict. Sono probabilmente presenti oggetti aggiuntivi "dietro" all'oggetto a cui si fa riferimento nell'evento del 1988 che è anche persistente.

• La presenza di oggetti persistenti in un controller di dominio di origine impedisce o impedisce ai controller di dominio di destinazione in modalità strict di replicare in ingresso le modifiche "valide" che si trovano dietro l'oggetto persistente nella coda di replica.

• A causa del modo in cui i controller di dominio eliminano singolarmente gli oggetti dai contenitori di oggetti eliminati (il daemon di Garbage Collection viene eseguito ogni 12 ore dall'ultima esecuzione di ogni controller di dominio), gli oggetti che causano errori 8606 nei controller di dominio di destinazione potrebbero essere soggetti alla rimozione nella successiva esecuzione della pulizia della Garbage Collection. Gli oggetti persistenti in questa classe sono temporanei e devono essere rimossi in non più di 12 ore dall'inizio del problema.

• È probabile che l'oggetto persistente in questione sia stato eliminato intenzionalmente da un amministratore o da un'applicazione. Considerare questo aspetto nel piano di risoluzione e prestare attenzione alla rianimazione degli oggetti, in particolare delle entità di sicurezza che sono state eliminate intenzionalmente. Risoluzione

Risoluzione

1. Identificare il valore corrente per l'impostazione TombStoneLifeTime a livello di foresta.

   repadmin /showattr "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=forest root domain,DC=TLD" /atts:tombstonelifetime  
   

   Vedere la sezione "Durata di rimozione definitiva e replica delle eliminazioni" nell'articolo seguente della Microsoft Knowledge Base:
   910205 Informazioni sugli oggetti persistenti in una foresta Windows Server Active Directory.

2. Per ogni controller di dominio di destinazione che registra l'errore 8606, filtrare il registro eventi del servizio directory sull'evento di replica NTDS 1988.

3. Raccogliere i metadati per ogni oggetto univoco citato nell'evento di replica NTDS 1988. Da ogni evento del 1988 connesso al controller di dominio di destinazione che cita un nuovo oggetto, popolare la tabella seguente:

   Percorso DN dell'oggetto	Object GUID	Controller di dominio di origine	Partizione host	Live o eliminato?	LastKnownParent	Valore IsDeleted

   Le colonne da 1 a 5 di questa tabella possono essere popolate leggendo i valori direttamente dai campi negli eventi di replica NTDS 1988 registrati nei log eventi del servizio directory dei controller di dominio di destinazione che stanno registrando l'evento 1988 o lo stato della replica 8606.

   Gli indicatori di data per le colonne LastKnownParent e IsDeleted possono essere determinati eseguendo repadmin /showobjmeta e facendo riferimento alla guida oggetti dell'oggetto citato nell'evento di replica NTDS 1988. A tal fine, utilizzare la sintassi seguente:

   repadmin /showobjmeta <fqdn of source DC from 1988 event> "<GUID=GUID of object cited in the 1988 event>"
   

   Il timestamp della data per LastKnownParent identifica la data in cui l'oggetto è stato eliminato. Il timestamp di data per IsDeleted indica quando l'oggetto è stato eliminato o rianimato per l'ultima volta. Il numero di versione indica se l'ultima modifica ha eliminato o rianimato l'oggetto. Un valore IsDeleteted pari a 1 rappresenta un'eliminazione iniziale. I valori con numero dispari maggiori di 1 indicano una rianimazione dopo almeno un'eliminazione. Ad esempio, un valore isDeleted pari a 2 rappresenta un oggetto eliminato (versione 1) e successivamente non eliminato o rianimato (versione 2). I valori con numerazione pari successivi per IsDeleted rappresentano rianimazioni o annullamenti successivi dell'oggetto.

4. Selezionare l'azione appropriata in base ai metadati dell'oggetto citati nell'evento del 1988.

   L'errore 8606/evento di replica NTDS 1988 è causato più frequentemente da errori di replica a lungo termine che impediscono ai controller di dominio di conoscere tutte le eliminazioni di origine nella foresta. Ciò comporta oggetti persistenti in uno o più controller di dominio di origine.

   Esaminare i metadati per l'oggetto elencato nella tabella creata nel passaggio 4 della sezione "Risoluzione".

   Se l'oggetto nell'evento 1988 è ((live nel controller di dominio di origine) ma (eliminato nel controller di dominio di destinazione per più tempo della scadenza della durata di rimozione definitiva), vedere "Rimozione di oggetti persistenti" e "." Gli oggetti in questa condizione devono essere rimossi manualmente da un amministratore.

   Gli oggetti eliminati potrebbero essere stati eliminati prematuramente dal contenitore degli oggetti eliminati se il tempo di sistema è passato in avanti nel controller di dominio di destinazione. Esaminare la sezione "Controlla i salti temporali".

   Se l'oggetto citato nell'evento 1988 esiste nel contenitore di oggetti eliminati del controller di dominio di origine e la relativa data di eliminazione è al punto di scadenza della durata della rimozione definitiva in modo che l'oggetto sia stato recuperato da Garbage Collection da uno o più controller di dominio di destinazione e venga recuperato da Garbage Collection al successivo intervallo di Garbage Collection nei controller di dominio di origine (ovvero, gli oggetti persistenti sono temporanei), si ha una scelta. Attendere che l'esecuzione successiva di Garbage Collection elimini l'oggetto oppure attivare manualmente la Garbage Collection nel controller di dominio di origine. Vedere "Avvio manuale di Garbage Collection". L'introduzione del primo controller di dominio o qualsiasi modifica nel set di attributi parziale può causare questa condizione.

   Se repadmin /showobjmeta l'output per l'oggetto citato nell'evento 1988 ha un valore LastKnownParent pari a 1, questo indica che l'oggetto è stato eliminato e un valore IsDeleted pari a 2 o a un altro valore numerato pari e tale indicatore di data per IsDeleted si trova nella cuspide del numero di durata della rimozione definitiva di giorni diverso dal timestamp per LastKnownParent, l'oggetto è stato quindi eliminato e quindi annullato/ripristinato mentre era ancora attivo nel controller di dominio di origine, ma già recuperato da Garbage Collection dai controller di dominio di destinazione che registrano l'errore 8606/ Evento 1988. Vedi Rianimazioni al punto di scadenza di TSL

Come rimuovere oggetti persistenti

Sebbene esistano molti metodi per rimuovere gli oggetti persistenti, sono disponibili tre strumenti principali comunemente usati: repadmin.exe, Lingering Object Liquidator (LoL) e repldiag.

Liquidatore di oggetti persistente (LoL)

Il metodo più semplice per pulire gli oggetti persistenti consiste nell'usare LoL. Lo strumento LoL è stato sviluppato per automatizzare il processo di pulizia in una foresta di Active Directory. Lo strumento è basato su GUI e può analizzare la foresta di Active Directory corrente e rilevare e pulire gli oggetti persistenti. Lo strumento è disponibile nell'Area download Microsoft.

Repadmin

I due comandi seguenti in repadmin.exe possono rimuovere oggetti persistenti dalle partizioni di directory:

• repadmin /removelingeringobjects
• repadmin /rehost

Il repadmin /removelingeringobjects comando può essere usato per rimuovere oggetti persistenti dalle partizioni di directory scrivibili e di sola lettura nei controller di dominio di origine. La sintassi è la seguente:

repadmin /removelingeringobjects <Dest_DSA_LIST> <Source DSA GUID> <NC> [/ADVISORY_MODE]

Dove:
<> Dest_DSA_LIST è il nome di un controller di dominio che contiene oggetti persistenti, ad esempio il controller di dominio di origine citato nell'evento NTDS Replication 1988.

<Il GUID> DSA di origine è il nome di un controller di dominio che ospita una copia scrivibile della partizione di directory che contiene oggetti persistenti a cui il controller di dominio in <Dest_DSA_LIST> ha connettività di rete. Il controller di dominio da pulire (primo controller di dominio specificato nel comando) deve essere in grado di connettersi direttamente alla porta 389 nel controller di dominio che ospita una copia scrivibile della partizione di directory (specificata seconda nel comando).

<NC> è il percorso DN della partizione di directory che si sospetta contenga oggetti persistenti, ad esempio la partizione specificata in un evento del 1988.

Il repadmin /rehost comando può essere usato per rimuovere i controller di dominio degli oggetti persistenti che ospitano una copia di sola lettura di una partizione di directory di dominio dai controller di dominio. La sintassi è la seguente:

repadmin /rehost DSA <Naming Context> <Good Source DSA Address>

Dove:
DSA è il nome di un controller di dominio che ospita una partizione di directory di dominio di sola lettura per un dominio non locale. Ad esempio, un gc in root.contoso.com può eseguire di nuovo il rehosting della copia di sola lettura di child.contoso.com, ma non può eseguire il rehosting di root.contoso.com.

<Contesto> di denominazione è il percorso DN di una partizione di directory di dominio di sola lettura che risiede in un catalogo globale.

<Indirizzo> DSA di origine valido è il nome di un controller di dominio che ospita una copia scrivibile di Contesto> di <denominazione. Il controller di dominio deve essere disponibile in rete per il computer DSA.

Se l'oggetto persistente segnalato nell'evento 1988 non viene rimosso da repadmin, valutare se l'oggetto nel controller di dominio di origine è stato creato nel gap USN o se gli oggetti che hanno origine controller di dominio non esistono nel vettore di aggiornamento del controller di dominio di origine.

Repldiag

Avviare il lab technet su richiesta seguente per la procedura guidata di risoluzione dei problemi relativi a questo e ad altri errori di replica di ACTIVE Directory:

Nel lab si usano sia repadmin che repldiag.exe per rimuovere gli oggetti persistenti
Risoluzione degli errori di replica di Active Directory
In questo lab verranno illustrate le fasi di risoluzione dei problemi, analisi e implementazione degli errori di replica di Active Directory comunemente rilevati. Si userà una combinazione di ADREPLSTATUS, repadmin.exee altri strumenti per risolvere i problemi di un ambiente a tre domini di cinque controller di dominio. Gli errori di replica di Active Directory rilevati nel lab includono -2146893022, 1256, 1908, 8453 e 8606.

Monitoraggio giornaliero dell'integrità della replica di Active Directory

Se l'errore 8606/Evento 1988 è stato causato dal fatto che il controller di dominio non riesce a replicare le modifiche di Active Directory nell'ultimo numero di giorni di durata della rimozione definitiva, assicurarsi che l'integrità della replica di Active Directory venga monitorata giorno per giorno in futuro. L'integrità della replica può essere monitorata usando un'applicazione di monitoraggio dedicata o visualizzando l'output da un'unica opzione economica ma efficace per eseguire repadmin /showrepl * /csv il comando in un'applicazione foglio di calcolo, ad esempio Microsoft Excel. Vedere "Metodo 2: Monitorare la replica usando una riga di comando" nell'articolo della Microsoft Knowledge Base 910205).

I controller di dominio che non hanno replicato in ingresso nel 50% del numero di giorni di durata della rimozione definitiva devono essere inseriti in un elenco di watch che ricevono l'attenzione dell'amministratore con priorità per rendere operativa la replica. I controller di dominio che non possono essere eseguiti per eseguire correttamente la replica devono essere sottoposti a abbassamento di livello forzato se non sono stati replicati entro il 90% di TSL.

Gli errori di replica visualizzati in un controller di dominio di destinazione possono essere causati dal controller di dominio di destinazione, dal controller di dominio di origine o dalla rete e dall'infrastruttura DNS sottostanti.

Verificare la presenza di salti temporali

Per determinare se si è verificato un salto di tempo, controllare gli indicatori di data nei log eventi e di diagnostica (Visualizzatore eventi, , repadmin /showrepslog netlogon, report dcdiag) nei controller di dominio di destinazione che stanno registrando gli eventi di errore 8606/REPLICA NTDS 1988 per quanto segue:

• Francobolli data precedenti al rilascio di un sistema operativo (ad esempio, francobolli data da CY 2003 per un sistema operativo rilasciato in CY 2008)
• Indicatori di data precedenti all'installazione del sistema operativo nella foresta
• Francobolli data in futuro
• Nessun evento registrato in un determinato intervallo di date

supporto tecnico Microsoft team hanno visto il tempo di sistema nei controller di dominio di produzione saltare erroneamente ore, giorni, settimane, anni e anche decine di anni nel passato e nel futuro. Se l'ora di sistema è risultata imprecisa, è necessario correggerla e quindi cercare di determinare il motivo per cui il tempo è saltato e cosa può essere fatto per evitare che il tempo impreciso vada avanti rispetto alla correzione del momento negativo. Le domande possibili includono quanto segue:

• Il controller di dominio primario radice della foresta è stato configurato usando un'origine ora esterna?
• Le origini ora online di riferimento sono disponibili nella rete e risolvibili in DNS?
• Il servizio ora microsoft o di terze parti era in esecuzione e in stato senza errori?
• I computer con ruolo controller di dominio sono configurati per l'uso della gerarchia NT5DS per l'ora di origine?
• La protezione del rollback del tempo descritta nell'articolo della Microsoft Knowledge Base 884776 in vigore?
• Gli orologi di sistema hanno batterie buone e un tempo accurato nel BIOS nei controller di dominio nei computer host virtuali?
• I computer guest e host virtuali sono configurati per l'ora di origine in base alle raccomandazioni del produttore dell'hosting?
  Articolo della Microsoft Knowledge Base 884776 documenti passaggi per proteggere i controller di dominio da "ascolto" a campioni di ora non validi. Altre informazioni su MaxPosPhaseCorrection e MaxNegPhaseCorrection sono disponibili nel blog W32Time post di Windows Time Service.

Verificare la presenza di oggetti persistenti usando repadmin /removelingeringobjects /advisorymodee quindi rimuoverli in base alle esigenze.

Ridurre "Consenti la replica con partner divergente e danneggiato" in base alle esigenze.

Come avviare manualmente la Garbage Collection

Esistono diverse opzioni per attivare manualmente la Garbage Collection in un controller di dominio specifico:

Eseguire "repadmin /setattr "" "" doGarbageCollection add 1"

Eseguire LDIFDE /s <server> /i /f dogarbage.ldif dove dobarbage.ldif contiene il testo:

Dn:
changetype: modify
replace: DoGarbageCollection
dogarbagecollection: 1
-

Rianimazioni al punto di scadenza di TSL

Affinché questa condizione esista, repadmin /showobject "<GUID=object guid for object in 1988 event>" deve segnalare che l'oggetto è "non trovato" nel controller di dominio di destinazione, ma è attivo nel controller di dominio di origine ed è un oggetto eliminato o non eliminato.

Una revisione dei campi chiave dal repadmin /showobjmeta controller di dominio di origine deve segnalare che sono vere le condizioni seguenti: LastKnownParent ha un valore pari a 1 e il relativo indicatore di data si trova al punto di arrivo dei giorni TSL del passato. Il relativo indicatore di data indica la data di eliminazione dell'oggetto.

IsDeleted ha un numero di versione di 2 (o un altro valore numerato pari), in cui la versione 1 ha definito l'eliminazione originale e la versione 2 è il ripristino/rianimazione. L'indicatore di data per "isDeleted=2" deve essere ~ numero TSL di giorni dopo l'ultima data di modifica per LastKnownParent.

Valutare se l'oggetto in questione deve rimanere un oggetto attivo o un oggetto eliminato. Se LastKnownParent ha un valore pari a 1, un elemento o un utente ha eliminato l'oggetto. Se non si tratta di un'eliminazione accidentale , è probabile che l'oggetto debba essere eliminato da qualsiasi controller di dominio di origine con una copia dinamica dell'oggetto.

Se l'oggetto deve esistere in tutte le repliche, le opzioni sono le seguenti:

• Abilitare la replica libera nei controller di dominio di destinazione in modalità strict che non hanno l'oggetto .
• Forzare l'abbassamento di livello dei controller di dominio che hanno già sottoposto a Garbage Collection l'oggetto.
• Eliminare l'oggetto e quindi ricrearlo.

Ulteriori informazioni

Avviare il lab technet su richiesta seguente per la procedura guidata di risoluzione dei problemi relativi a questo e ad altri errori di replica di ACTIVE Directory:

Risoluzione degli errori di replica di Active Directory
In questo lab verranno illustrate le fasi di risoluzione dei problemi, analisi e implementazione degli errori di replica di Active Directory comunemente rilevati. Si userà una combinazione di ADREPLSTATUS, repadmin.exee altri strumenti per risolvere i problemi di un ambiente a tre domini di cinque controller di dominio. Gli errori di replica di Active Directory rilevati nel lab includono -2146893022, 1256, 1908, 8453 e 8606.

Cause degli oggetti persistenti

Causa 1: il controller di dominio di origine invia gli aggiornamenti agli oggetti che sono già stati recuperati da Garbage Collection nel controller di dominio di destinazione perché il controller di dominio di origine era offline o la replica non è riuscita per il numero di giorni trascorso TSL

Il CONTOSO.COM dominio contiene due controller di dominio nello stesso dominio. Durata della rimozione definitiva = 60 giorni. La replica strict è abilitata in entrambi i controller di dominio. DC2 si verifica un errore della scheda madre. Nel frattempo, DC1 effettua eliminazioni di origine per i gruppi di sicurezza obsoleti ogni giorno nei prossimi 90 giorni. Dopo che è offline per 90 giorni, DC2 riceve una scheda madre sostitutiva, si accende e quindi origina una modifica DACL o SACL su tutti gli account utente prima di replicare in ingresso la conoscenza delle eliminazioni di origine da DC1. DC1 registra gli errori 8606 per i gruppi di sicurezza degli aggiornamenti eliminati in DC1 per i primi 30 giorni in cui DC2 era offline.

Causa 2: il controller di dominio di origine invia gli aggiornamenti agli oggetti al punto di scadenza di TSL che sono già stati recuperati da Garbage Collection da un controller di dominio di destinazione in modalità strict

Il CONTOSO.COM dominio contiene due controller di dominio nello stesso dominio. Durata della rimozione definitiva = 60 giorni. La replica strict è abilitata in entrambi i controller di dominio. DC1 e DC2 vengono replicati ogni 24 ore. DC1 origins-deletes daily. DC1 è aggiornato sul posto. Questo contrassegna il nuovo attributo in tutti gli oggetti nella configurazione e nelle partizioni di dominio scrivibili. Sono inclusi gli oggetti che si trovano attualmente nel contenitore di oggetti eliminati. Alcuni di loro sono stati eliminati 60 giorni fa e sono ora al punto di scadenza della lapide. DC2 recupera alcuni oggetti da Garbage Collection eliminati giorni fa prima dell'apertura della pianificazione della replica con DC2. L'errore 8606 viene registrato fino a quando DC1 non recupera gli oggetti di blocco tramite Garbage Collection.

Qualsiasi aggiornamento del set di attributi parziale può causare oggetti temporanei persistenti che si cancellano dopo che i controller di dominio di origine raccolgono oggetti eliminati al punto di scadenza di TSL (ad esempio, l'aggiunta del primo controller di dominio W2K8 R2 a una foresta esistente).

Causa 3: un salto temporale su un controller di dominio di destinazione accelera prematuramente la Garbage Collection degli oggetti eliminati in un controller di dominio di destinazione

Il CONTOSO.COM dominio contiene due controller di dominio nello stesso dominio. Durata della rimozione definitiva = 60 giorni. La replica strict è abilitata in entrambi i controller di dominio. DC1 e DC2 vengono replicati ogni 24 ore. DC1 origina le eliminazioni giornaliere. L'origine ora di riferimento usata da DC1 (ma non DC2) viene inoltrata all'anno di calendario 2039. In questo modo DC2 usa anche un'ora di sistema in CY2039. In questo modo DC1 elimina prematuramente gli oggetti che vengono eliminati oggi dal contenitore di oggetti eliminati. Nel frattempo, DC2 origina le modifiche apportate agli attributi di utenti, computer e gruppi attivi in DC2 ma eliminati e ora prematuri di Garbage Collection in DC1. DC1 registrerà l'errore 8606 quando replica in ingresso le modifiche per gli oggetti eliminati prematuramente.

Causa 4: un oggetto viene rianimato al punto di scadenza di TSL

Il CONTOSO.COM dominio contiene due controller di dominio nello stesso dominio. Durata della rimozione definitiva = 60 giorni. La replica strict è abilitata in entrambi i controller di dominio. DC1 e DC2 vengono replicati ogni 24 ore. DC1 origina le eliminazioni giornaliere. Un'unità organizzativa che contiene utenti, computer e gruppi viene eliminata accidentalmente. Un backup dello stato del sistema eseguito in passato alla cuspide di TSL viene ripristinato con l'autenticazione in DC2. Il backup contiene oggetti attivi in DC2 ma già eliminati e recuperati da Garbage Collection in DC1.

Causa 5: Una bolla USN viene attivata la registrazione dell'8606

Si supporvi di creare un oggetto in una bolla USN in modo che non venga replicato in uscita perché il controller di dominio di destinazione "pensa" che abbia l'oggetto a causa della bolla. A questo punto, dopo la chiusura della bolla e dopo l'avvio della replica delle modifiche, viene creata una modifica per tale oggetto nel controller di dominio di origine e viene visualizzata come oggetto persistente nel controller di dominio di destinazione. Il controller di destinazione registra l'evento 8606.

Requisiti per la conoscenza della replica end-to-end delle eliminazioni di origine

I controller di dominio Active Directory supportano la replica multimaster in cui qualsiasi controller di dominio (che contiene una partizione scrivibile) può originare una creazione, una modifica o un'eliminazione di un oggetto o di un attributo (valore). La conoscenza delle eliminazioni di oggetti/attributi viene resa persistente dal controller di dominio di origine e da qualsiasi controller di dominio con conoscenza replicata in ingresso di un'eliminazione di origine per il numero di giorni TSL. (Vedere gli articoli della Microsoft Knowledge Base 216996 e 910205)

Active Directory richiede la replica end-to-end da tutti i titolari di partizione per replicare in modo transitivo tutte le eliminazioni di origine per tutte le partizioni di directory in tutti i titolari di partizioni. Se non si esegue la replica in ingresso di una partizione di directory in un numero TSL in sequenza di giorni, si verificano oggetti persistenti. Un oggetto persistente è un oggetto che è stato eliminato intenzionalmente da almeno un controller di dominio, ma che esiste erroneamente nei controller di dominio di destinazione che non hanno replicato in ingresso la conoscenza temporanea di tutte le eliminazioni univoche.

Raccolta dei dati

Se è necessaria l'assistenza del supporto tecnico Microsoft, è consigliabile raccogliere le informazioni seguendo i passaggi indicati in Raccogliere informazioni usando TSS per i problemi di replica di Active Directory.