Active Directory 복제 오류 8606: 개체를 만들기 위한 특성이 부족함

  • 아티클

이 문서에서는 Active Directory 복제 오류 8606: 개체를 만들기 위해 특성이 부족하여 문제를 해결하는 데 도움이 됩니다.

적용 대상: Windows Server 2012 R2
원래 KB 번호: 2028495

참고

홈 사용자: 이 문서는 기술 지원 에이전트 및 IT 전문가만을 위한 것입니다. 문제에 대한 도움을 찾고 있는 경우 Microsoft 커뮤니티에 문의하세요.

요약

이 문서에서는 Active Directory 복제가 실패한 문제의 증상과 원인을 설명하고 오류 8606을 생성합니다. "개체를 만들기 위해 특성이 부족합니다. 이 개체는 삭제되었을 수 있으므로 존재하지 않을 수 있습니다." 이 문서에서는 이 문제에 대한 해결 방법도 설명합니다.

증상

증상 1

DCDIAG는 Active Directory 복제 테스트가 8606 오류와 함께 실패했다고 보고합니다. "개체를 만들기 위해 특성이 부족했습니다."

테스트 시작: 복제
[복제 확인, <대상 DC>] 최근 복제 시도가 실패했습니다.
원본 DC에서 <대상 DC>로 <>
명명 컨텍스트: <디렉터리 파티션 DN 경로>
복제로 인해 오류가 발생했습니다(8606).
개체를 만들기 위한 특성이 부족했습니다. 이 개체는 삭제되어 이미 가비지 수집되었을 수 있으므로 존재하지 않을 수 있습니다.
날짜><에 <오류가 발생했습니다.>
마지막 성공이 날짜><에 <발생했습니다.>

증상 2

Active Directory 사이트 및 서비스 스냅인 DSSITE의 지금 복제 명령에 의해 트리거되는 들어오는 복제입니다. MSC가 실패하고 "개체를 만들기 위해 특성이 부족합니다."라는 오류가 생성됩니다. 원본 DC에서 연결 개체를 마우스 오른쪽 단추로 클릭한 다음 지금 복제를 선택하면 복제가 실패하고 다음 오류가 발생합니다. "액세스가 거부되었습니다." 또한 다음과 같은 오류 메시지가 표시됩니다.

대화 상자 제목 텍스트: 지금 복제
대화 상자 메시지 텍스트: 도메인 컨트롤러 원본 DC에서 도메인 컨트롤러 <대상 DC로 명명 컨텍스트 <%active directory 파티션 이름%>을 동기화하는 동안 다음 오류가 발생했습니다.>><

개체를 만들기 위한 특성이 부족했습니다. 이 개체는 삭제되어 이미 가비지 수집되었을 수 있으므로 존재하지 않을 수 있습니다.

작업이 계속되지 않습니다.

증상 3

오류 8606으로 다양한 repadmin.exe 명령이 실패합니다. 이러한 명령은 다음을 포함하지만 이에 국한되지 않습니다.

repadmin /add repadmin /replsum
repadmin /showrepl repadmin /showrepl
repadmin /syncall

증상 4

이벤트 1988은 다음 이벤트 중 하나가 발생한 직후에 기록됩니다.

  • 포리스트의 첫 번째 도메인 컨트롤러가 배포됩니다.
  • 부분 특성 집합에 대한 모든 업데이트가 이루어집니다.

증상 5

NTDS 복제 이벤트 1988은 Active Directory를 인바운드 복제하려는 도메인 컨트롤러의 디렉터리 서비스 이벤트 로그에 기록될 수 있습니다.

다음과 같이 입력합니다. 오류
원본: NTDS 복제
범주: 복제
이벤트 ID: 1988년
사용자: NT AUTHORITY\ANONYMOUS LOGON
컴퓨터: <복제 시도에서 "대상" DC라고도 하는 이벤트를 기록한 DC의 호스트 이름>
설명: 로컬 도메인 컨트롤러가 다음 원본 도메인 컨트롤러에서 다음 개체를 복제하려고 했습니다. 이 개체는 삭제되고 이미 가비지 수집되었을 수 있으므로 로컬 도메인 컨트롤러에 없습니다.
원본 도메인 컨트롤러:
<원본 DC의 정규화된 단계별 CNAME>
개체:
<원본 DC에 있는 라이브 개체의 DN 경로>
개체 GUID:
<Active Directory의 원본 DC 복사본에 있는 개체의 개체 GUID>

원인

다음 조건이 충족되면 오류 8606이 기록됩니다.

  • 원본 도메인 컨트롤러는 대상 도메인 컨트롤러의 Active Directory 복사본에서 가비지 수집을 통해 이미 생성, 삭제 및 회수된 개체(원래 개체 만들기 대신)에 대한 업데이트를 보냅니다.
  • 대상 도메인 컨트롤러는 엄격한 복제 일관성에서 실행되도록 구성되었습니다.

대상 도메인 컨트롤러가 느슨한 복제 일관성을 사용하도록 구성된 경우 대상 도메인 컨트롤러의 디렉터리 복사본에서 개체가 "다시 애니메이션"되었을 것입니다. 오류를 일으킬 수 있는 특정 변형은 "추가 정보" 섹션에 설명된 8606입니다. 그러나 오류는 다음 중 하나로 인해 발생합니다.

  • 영구적으로 남아 있는 개체를 제거하려면 관리자 개입이 필요합니다.
  • 원본 도메인 컨트롤러가 다음 가비지 수집 정리를 수행할 때 자체적으로 수정되는 일시적인 느린 개체입니다. 기존 포리스트에 첫 번째 도메인 컨트롤러가 도입되고 부분 특성 집합에 대한 업데이트가 이 조건의 알려진 원인입니다.
  • 삭제 표시 수명 만료 시 삭제되지 않거나 복원된 개체입니다.

8606 오류를 해결할 때는 다음 사항을 고려해야 합니다.

  • 오류 8606은 대상 도메인 컨트롤러에 기록되지만 복제를 차단하는 문제 개체는 원본 도메인 컨트롤러에 있습니다. 또한 원본 도메인 컨트롤러 또는 원본 도메인 컨트롤러의 전이적 복제 파트너는 삭제된 삭제 표시 수명 기간(일)에 대한 인바운드 복제 지식이 없을 수 있습니다.

  • 느린 개체는 다음과 같은 상황에서 존재할 수 있습니다.

    • CNF 또는 충돌하는 "live" 개체 또는 원본 도메인 컨트롤러의 삭제된 개체 컨테이너에서 CNF 또는 충돌하는 얽힌 개체와 같은 "라이브" 개체
    • 스키마 파티션을 제외한 모든 디렉터리 파티션에서 느린 개체는 GC의 읽기 전용 도메인 파티션에서 가장 자주 찾을 수 있습니다. 느린 개체는 쓰기 가능한 도메인 파티션과 구성 파티션에도 있을 수 있습니다. 스키마 파티션은 삭제를 지원하지 않습니다.
    • 모든 개체 클래스에서(사용자, 컴퓨터, 그룹 및 DNS 레코드가 가장 일반적임)

  • 호스트 파티션 및 부모 컨테이너에 관계없이 개체를 찾을 수 있도록 개체 GUID 및 DN 경로별로 잠재적으로 느린 개체를 검색해야 합니다. objectguid로 검색하면 삭제된 개체 LDAP 컨트롤을 사용하지 않고 삭제된 개체 컨테이너에 있는 개체도 찾습니다.

  • NTDS 복제 1988 이벤트는 엄격한 모드 대상 도메인 컨트롤러에 의해 들어오는 복제를 차단하는 원본 도메인 컨트롤러의 현재 개체만 식별합니다. 1988년 이벤트에서 참조되는 개체의 "뒤에" 추가 개체가 있을 수 있습니다.

  • 원본 도메인 컨트롤러에 느린 개체가 있으면 엄격한 모드 대상 도메인 컨트롤러가 복제 큐에 남아 있는 개체 뒤에 존재하는 "좋은" 변경 내용을 인바운드 복제하지 못하도록 방지하거나 차단합니다.

  • 도메인 컨트롤러가 삭제된 개체 컨테이너에서 개체를 개별적으로 삭제하는 방식(각 도메인 컨트롤러가 마지막으로 시작된 시점부터 12시간마다 가비지 수집 디먼이 실행됨) 대상 도메인 컨트롤러에서 8606 오류를 일으키는 개체는 다음 가비지 수집 정리 실행에서 제거될 수 있습니다. 이 클래스의 느린 개체는 일시적이며 문제 시작부터 12시간 이내로 자신을 제거해야 합니다.

  • 문제의 느린 개체는 관리자 또는 애플리케이션에서 의도적으로 삭제한 개체일 수 있습니다. 이를 해결 계획에 적용하고 개체, 특히 의도적으로 삭제된 보안 주체를 다시 애니메이션하는 것을 조심하세요. 해결 방법

해결 방법

  1. 포리스트 전체 TombStoneLifeTime 설정의 현재 값을 식별합니다.

    repadmin /showattr "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=forest root domain,DC=TLD" /atts:tombstonelifetime

    Microsoft 기술 자료의 다음 문서에서 "삭제 표시 수명 및 삭제 복제" 섹션을 참조하세요.
    910205 Windows Server Active Directory 포리스트에 남아 있는 개체에 대한 정보입니다.

  2. 8606 오류를 기록하는 각 대상 도메인 컨트롤러에 대해 NTDS 복제 이벤트 1988에서 디렉터리 서비스 이벤트 로그를 필터링합니다.

  3. NTDS 복제 이벤트 1988에서 인용된 각 고유 개체에 대한 메타데이터를 수집합니다. 새 개체를 인용하는 대상 도메인 컨트롤러에 기록되는 각 1988년 이벤트에서 다음 표를 채웁니다.

    개체 DN 경로 개체 GUID 원본 DC 호스트 파티션 라이브 또는 삭제? LastKnownParent IsDeleted 값

    이 테이블의 열 1~5는 1988년 이벤트 또는 8606 복제 상태 로깅하는 대상 도메인 컨트롤러의 디렉터리 서비스 이벤트 로그에 기록된 NTDS 복제 1988 이벤트의 필드에서 직접 값을 읽어 채울 수 있습니다.

    LastKnownParent 및 IsDeleted 열의 날짜 스탬프는 NTDS 복제 1988 이벤트에서 인용된 개체의 objectguid를 실행하고 repadmin /showobjmeta 참조하여 확인할 수 있습니다. 그렇게 하려면 다음 구문을 사용합니다.

    repadmin /showobjmeta <fqdn of source DC from 1988 event> "<GUID=GUID of object cited in the 1988 event>"

    LastKnownParent의 날짜 스탬프는 개체가 삭제된 날짜를 식별합니다. IsDeleted의 날짜 스탬프는 개체가 마지막으로 삭제되거나 다시 애니메이션된 시기를 알려줍니다. 버전 번호는 마지막으로 수정한 개체가 삭제되었는지 또는 다시 애니메이션되었는지를 알려줍니다. IsDeleteted 값 1은 초기 삭제를 나타냅니다. 1보다 큰 홀수 값은 하나 이상의 삭제 후 다시 애니메이션을 나타냅니다. 예를 들어 isDeleted 값 2는 삭제된 개체(버전 1) 이후 삭제되지 않거나 다시 애니메이션(버전 2)된 개체를 나타냅니다. IsDeleted에 대한 이후의 짝수 번호 값은 나중에 개체의 애니메이션 또는 삭제 취소를 나타냅니다.

  4. 1988년 이벤트에 인용된 개체 메타데이터에 따라 적절한 작업을 선택합니다.

    오류 8606/NTDS 복제 이벤트 1988 이벤트는 도메인 컨트롤러가 포리스트에서 발생한 모든 삭제에 대한 인바운드 복제 지식을 방지할 수 있는 장기 복제 실패로 인해 가장 자주 발생합니다. 이로 인해 하나 이상의 원본 도메인 컨트롤러에 개체가 남아 있습니다.

    "해결" 섹션의 4단계에서 만든 테이블에 나열된 개체에 대한 메타데이터를 검토합니다.

    1988년 이벤트의 개체가 (원본 도메인 컨트롤러에 라이브) 그러나 (삭제 표시 수명 만료보다 오래 대상 도메인 컨트롤러에서 삭제됨)인 경우 "느린 개체 제거" 및 ""를 참조하세요. 이 조건의 개체는 관리자가 수동으로 제거해야 합니다.

    삭제된 개체는 시스템 시간이 대상 도메인 컨트롤러에서 시간이 지나면 삭제된 개체 컨테이너에서 조기에 제거되었을 수 있습니다. "시간 점프 확인" 섹션을 검토합니다.

    1988년 이벤트에서 인용된 개체가 원본 도메인 컨트롤러의 삭제된 개체 컨테이너에 있고 해당 삭제 날짜가 삭제 표시 수명 만료의 끝에 있는 경우 개체가 하나 이상의 대상 도메인 컨트롤러에 의해 가비지 수집에 의해 회수되고 원본 도메인 컨트롤러의 다음 가비지 수집 간격에 따라 가비지 수집에 의해 회수 되는 방식입니다. 느린 개체는 일시적임)을 선택할 수 있습니다. 다음 가비지 수집 실행이 개체를 삭제할 때까지 기다리거나 원본 도메인 컨트롤러에서 가비지 수집을 수동으로 트리거합니다. "수동으로 가비지 수집 시작"을 참조하세요. 첫 번째 도메인 컨트롤러가 도입되거나 부분 특성 집합이 변경되면 이 조건이 발생할 수 있습니다.

    1988년 이벤트에서 인용된 개체의 출력에 LastKnownParent 값이 1이면 repadmin /showobjmeta 개체가 삭제되었고 IsDeleted 값이 2 또는 일부 짝수 값 이고 IsDeleted에 대한 날짜 스탬프가 LastKnownParent의 날짜 스탬프 다른 묘비 수명 수의 cusp에 있음을 나타냅니다. 그런 다음 개체가 삭제된 후 삭제되지 않음/인증 복원된 후 원본 도메인 컨트롤러에 아직 라이브 상태였지만 대상 도메인 컨트롤러에 의해 가비지 수집에 의해 이미 회수되어 오류 8606/이벤트 1988이 기록되었습니다. TSL 만료의 끝에서 애니메이션을 참조하세요.

느린 개체를 제거하는 방법

느린 개체를 제거하는 많은 메서드가 있지만 일반적으로 사용되는 세 가지 기본 도구는 repadmin.exe, LoL(느린 개체 청산기) 및 repldiag입니다.

느린 개체 청산기(LoL)

느린 개체를 클린 가장 쉬운 방법은 LoL을 사용하는 것입니다. LoL 도구는 Active Directory 포리스트에 대한 정리 프로세스를 자동화하는 데 도움이 되도록 개발되었습니다. 이 도구는 GUI 기반이며 현재 Active Directory 포리스트를 검사하고 느린 개체를 검색하고 정리할 수 있습니다. 이 도구는 Microsoft 다운로드 센터에서 사용할 수 있습니다.

Repadmin

repadmin.exe 다음 두 명령은 디렉터리 파티션에서 느린 개체를 제거할 수 있습니다.

  • repadmin /removelingeringobjects
  • repadmin /rehost

명령을 repadmin /removelingeringobjects 사용하여 원본 도메인 컨트롤러의 쓰기 가능 및 읽기 전용 디렉터리 파티션에서 느린 개체를 제거할 수 있습니다. 구문은 다음과 같습니다.

repadmin /removelingeringobjects <Dest_DSA_LIST> <Source DSA GUID> <NC> [/ADVISORY_MODE]

여기서,
<> Dest_DSA_LIST 느린 개체(예: NTDS 복제 1988 이벤트에 인용된 원본 도메인 컨트롤러)가 포함된 도메인 컨트롤러의 이름입니다.

<원본 DSA GUID>는 Dest_DSA_LIST 도메인 컨트롤러에 네트워크 연결이 있는 느린 개체를 포함하는 디렉터리 파티션의 쓰기 가능한 복사본을 호스트하는 도메인 컨트롤러 <> 의 이름입니다. 정리할 DC(명령에 지정된 첫 번째 DC)는 디렉터리 파티션의 쓰기 가능한 복사본을 호스트하는 DC의 포트 389에 직접 연결할 수 있어야 합니다(명령에서 두 번째로 지정됨).

<NC> 는 1988년 이벤트에 지정된 파티션과 같이 느린 개체가 포함된 것으로 의심되는 디렉터리 파티션의 DN 경로입니다.

명령을 repadmin /rehost 사용하여 도메인 컨트롤러에서 도메인 디렉터리 파티션의 읽기 전용 복사본을 호스트하는 느린 개체 도메인 컨트롤러를 제거할 수 있습니다. 구문은 다음과 같습니다.

repadmin /rehost DSA <Naming Context> <Good Source DSA Address>

여기서,
DSA는 비로컬 도메인에 대한 읽기 전용 도메인 디렉터리 파티션을 호스트하는 도메인 컨트롤러의 이름입니다. 예를 들어 root.contoso.com GC는 child.contoso.com 읽기 전용 복사본을 다시 호스트할 수 있지만 root.contoso.com 다시 호스트할 수는 없습니다.

<명명 컨텍스트> 는 전역 카탈로그에 있는 읽기 전용 도메인 디렉터리 파티션의 DN 경로입니다.

<좋은 원본 DSA 주소>는 명명 컨텍스트>의 쓰기 가능한 복사본을 호스팅하는 도메인 컨트롤러의 <이름입니다. 도메인 컨트롤러는 DSA 컴퓨터에서 네트워크를 사용할 수 있어야 합니다.

1988년 이벤트에 보고된 느린 개체가 repadmin에 의해 제거되지 않은 경우 원본 도메인 컨트롤러의 개체가 USN 간격으로 만들어졌는지 또는 원본 도메인 컨트롤러의 최신 상태 벡터에 도메인 컨트롤러를 시작하는 개체가 없는지 여부를 평가합니다.

Repldiag

참고

느린 개체는 repldiag.exe사용하여 제거할 수도 있습니다. 이 도구는 프로세스를 자동화합니다 repadmin /removelingeringobjects . repldiag를 사용하여 포리스트에서 느린 개체를 제거하는 것은 를 실행하는 repldiag /removelingeringobjects것만큼 간단합니다. 그러나 일반적으로 더 큰 환경에서 프로세스를 제어하는 것이 가장 좋습니다. 옵션을 /OverRideReferenceDC 사용하면 정리에 사용되는 DC를 선택할 수 있습니다. /outputrepadmincommandlinesyntax 옵션을 사용하면 repadmin을 사용하여 포리스트 전체 정리의 모양을 확인할 수 있습니다.

이 및 기타 AD 복제 오류에 대한 단계별 문제 해결 방법을 보려면 다음 TechNet 주문형 랩을 시작합니다.

랩에서 repadmin과 repldiag.exe 모두 사용하여 느린 개체를 제거합니다.
Active Directory 복제 오류 문제 해결
이 랩에서는 일반적으로 발생하는 Active Directory 복제 오류의 문제 해결, 분석 및 구현 단계를 안내합니다. ADREPLSTATUS, repadmin.exe및 기타 도구의 조합을 사용하여 5개의 DC, 3개 도메인 환경 문제를 해결합니다. 랩에서 발생한 AD 복제 오류에는 -2146893022, 1256, 1908, 8453 및 8606이 포함됩니다."

매일 Active Directory 복제 상태 모니터링

도메인 컨트롤러가 마지막 삭제 표시 수명 일 수에서 Active Directory 변경 내용을 복제하지 못하여 오류 8606/이벤트 1988이 발생한 경우 Active Directory 복제 상태가 앞으로 매일 모니터링되고 있는지 확인합니다. 복제 상태는 전용 모니터링 애플리케이션을 사용하거나 Microsoft Excel과 같은 스프레드시트 애플리케이션에서 명령을 실행하는 repadmin /showrepl * /csv 저렴하지만 효과적인 옵션의 출력을 확인하여 모니터링할 수 있습니다. (Microsoft 기술 자료 문서 910205 "메서드 2: 명령줄을 사용하여 복제 모니터링"을 참조하세요 .

삭제 표시 수명 일 수의 50%에서 인바운드 복제되지 않은 도메인 컨트롤러는 복제를 작동하도록 우선 관리자의 주의를 받는 watch 목록에 배치해야 합니다. 성공적으로 복제할 수 없는 도메인 컨트롤러는 TSL의 90% 이내에 복제되지 않은 경우 강제로 강등되어야 합니다.

대상 도메인 컨트롤러에 나타나는 복제 실패는 대상 도메인 컨트롤러, 원본 도메인 컨트롤러 또는 기본 네트워크 및 DNS 인프라에 의해 발생할 수 있습니다.

시간 점프 확인

시간 점프가 발생했는지 여부를 확인하려면 다음에 대한 오류 8606/NTDS 복제 1988 이벤트를 로깅하는 대상 도메인 컨트롤러의 이벤트 및 진단 로그(이벤트 뷰어, repadmin /showreps, netlogon 로그, dcdiag 보고서)에서 날짜 스탬프를 검사.

  • 운영 체제의 릴리스 이전 날짜 스탬프(예: CY 2008에서 릴리스된 OS의 경우 CY 2003의 날짜 스탬프)
  • 포리스트에 운영 체제 설치를 앞둔 날짜 스탬프
  • 향후 날짜 스탬프
  • 지정된 날짜 범위에 기록된 이벤트가 없음

Microsoft 지원 팀은 프로덕션 도메인 컨트롤러의 시스템 시간이 과거와 미래의 시간, 일, 주, 년, 심지어 수십 년을 잘못 점프하는 것을 보았습니다. 시스템 시간이 정확하지 않은 것으로 확인되면 이를 수정한 다음 시간이 뛰어올랐던 이유와 앞으로 부정확한 시간을 방지하기 위해 수행할 수 있는 작업과 잘못된 시간을 수정하는 방법을 결정해야 합니다. 가능한 질문은 다음과 같습니다.

  • 외부 시간 원본을 사용하여 포리스트 루트 PDC가 구성되었나요?
  • 네트워크에서 참조 온라인 시간 원본을 사용할 수 있고 DNS에서 확인할 수 있나요?
  • Microsoft 또는 타사 시간 서비스가 실행 중이고 오류 없는 상태인가요?
  • 도메인 컨트롤러 역할 컴퓨터가 NT5DS 계층 구조를 사용하여 원본 시간으로 구성되나요?
  • Microsoft 기술 자료 문서에 설명된 시간 롤백 보호가 884776 ?
  • 시스템 클록은 가상 호스트 컴퓨터의 도메인 컨트롤러에 있는 BIOS에서 배터리와 정확한 시간을 가지고 있나요?
  • 호스팅 제조업체의 권장 사항에 따라 가상 호스트 및 게스트 컴퓨터가 원본 시간으로 구성되었나요?
    Microsoft 기술 자료 문서에서 도메인 컨트롤러를 "수신 대기"에서 잘못된 시간 샘플로 보호하는 데 도움이 되는 단계를 884776. MaxPosPhaseCorrection 및 MaxNegPhaseCorrection에 대한 자세한 내용은 W32Time 블로그 게시물 Windows Time Service에서 확인할 수 있습니다.

를 사용하여 repadmin /removelingeringobjects /advisorymode느린 개체를 확인한 다음 필요에 따라 제거합니다.

필요에 따라 "분기 및 손상된 파트너와의 복제 허용"을 완화합니다.

가비지 수집을 수동으로 시작하는 방법

특정 도메인 컨트롤러에서 가비지 수집을 수동으로 트리거하는 몇 가지 옵션이 있습니다.

"repadmin /setattr "" "" doGarbageCollection add 1" 실행

dobarbage.ldif에 텍스트가 포함된 LDIFDE /s <server> /i /f dogarbage.ldif를 실행합니다.

Dn:
changetype: modify
replace: DoGarbageCollection
dogarbagecollection: 1
-

참고

마지막 "-" 문자는 .ldif 파일의 필수 요소입니다.

TSL 만료의 절정에 있는 애니메이션

이 조건이 존재 repadmin /showobject "<GUID=object guid for object in 1988 event>" 하려면 대상 도메인 컨트롤러에서 개체를 "찾을 수 없음"이지만 원본 도메인 컨트롤러에 있으며 삭제되었거나 삭제되지 않은 개체임을 보고해야 합니다.

원본 도메인 컨트롤러에서 repadmin /showobjmeta 키 필드를 검토하면 다음이 true라고 보고해야 합니다. LastKnownParent의 값은 1이고 날짜 스탬프는 과거 TSL 일의 cusp에 있습니다. 날짜 스탬프는 개체의 삭제 날짜를 나타냅니다.

IsDeleted의 버전 번호는 2(또는 다른 짝수 번호 값)입니다. 여기서 버전 1은 원래 삭제를 정의하고 버전 2는 복원/다시 애니메이션입니다. "isDeleted=2"의 날짜 스탬프는 LastKnownParent의 마지막 변경 날짜보다 1일 이후의 ~ TSL 번호여야 합니다.

문제의 개체가 라이브 개체 또는 삭제된 개체로 남아 있어야 하는지 여부를 평가합니다. LastKnownParent의 값이 1이면 개체 또는 누군가가 개체를 삭제했습니다. 실수로 삭제되지 않은 경우 개체의 라이브 복사본이 있는 원본 도메인 컨트롤러에서 개체를 삭제해야 할 가능성이 높습니다.

개체가 모든 복제본에 있어야 하는 경우 옵션은 다음과 같습니다.

  • 개체가 없는 엄격한 모드 대상 도메인 컨트롤러에서 느슨한 복제를 사용하도록 설정합니다.
  • 개체를 이미 가비지 수집한 도메인 컨트롤러를 강제로 강등합니다.
  • 개체를 삭제한 다음 다시 만듭니다.

추가 정보

이 및 기타 AD 복제 오류에 대한 단계별 문제 해결 방법을 보려면 다음 TechNet 주문형 랩을 시작합니다.

Active Directory 복제 오류 문제 해결
이 랩에서는 일반적으로 발생하는 Active Directory 복제 오류의 문제 해결, 분석 및 구현 단계를 안내합니다. ADREPLSTATUS, repadmin.exe및 기타 도구의 조합을 사용하여 5개의 DC, 3개 도메인 환경 문제를 해결합니다. 랩에서 발생한 AD 복제 오류에는 -2146893022, 1256, 1908, 8453 및 8606이 포함됩니다."

느린 개체의 원인

원인 1: 원본 도메인 컨트롤러가 오프라인 상태이거나 TSL 경과된 일 수에 대한 복제에 실패했기 때문에 원본 도메인 컨트롤러가 대상 도메인 컨트롤러에서 가비지 수집에 의해 이미 회수된 개체에 대한 업데이트를 보냅니다.

도메인에는 CONTOSO.COM 동일한 도메인에 두 개의 도메인 컨트롤러가 포함되어 있습니다. 삭제 표시 수명 = 60일. 엄격한 복제는 두 도메인 컨트롤러에서 모두 사용하도록 설정됩니다. DC2에서 마더보드 오류가 발생합니다. 한편 DC1은 향후 90일 동안 부실한 보안 그룹에 대한 원래 삭제를 매일 만듭니다. 90일 동안 오프라인 상태이면 DC2는 대체 마더보드를 수신하고 전원을 켜고 모든 사용자 계정에서 DACL 또는 SACL 변경을 시작한 후 DC1에서 원래 삭제 에 대한 지식을 인바운드 복제합니다. DC1은 DC2가 오프라인 상태였던 처음 30일 동안 DC1에서 제거된 업데이트 보안 그룹에 대해 8606 오류를 기록합니다.

원인 2: 원본 DC는 엄격한 모드 대상 DC에서 가비지 수집에 의해 이미 회수된 TSL 만료의 끝에 있는 개체에 업데이트를 보냅니다.

도메인에는 CONTOSO.COM 동일한 도메인에 두 개의 도메인 컨트롤러가 포함되어 있습니다. 삭제 표시 수명 = 60일. 엄격한 복제는 두 도메인 컨트롤러에서 모두 사용하도록 설정됩니다. DC1 및 DC2는 24시간마다 복제됩니다. DC1은 매일 삭제됩니다. DC1이 현재 위치 업그레이드되었습니다. 이렇게 하면 구성 및 쓰기 가능한 도메인 파티션의 모든 개체에 새 특성이 스탬프됩니다. 여기에는 현재 삭제된 개체 컨테이너에 있는 개체가 포함됩니다. 그들 중 일부는 60 일 전에 삭제되었으며 지금은 삭제 표시 만료의 절정에 있습니다. DC2는 복제 일정이 DC2로 열리기 며칠 전에 삭제된 가비지 수집을 통해 일부 개체를 회수합니다. DC1이 가비지 수집을 통해 차단 개체를 회수할 때까지 오류 8606이 기록됩니다.

부분 특성 집합을 업데이트하면 원본 도메인 컨트롤러가 TSL 만료 시 삭제된 개체를 가비지 수집한 후(예: 기존 포리스트에 첫 번째 W2K8 R2 도메인 컨트롤러 추가) 임시 느린 개체가 지워질 수 있습니다.

원인 3: 대상 도메인 컨트롤러의 시간 점프로 인해 대상 도메인 컨트롤러에서 삭제된 개체의 가비지 수집 속도가 조기에 빨라지게 됩니다.

도메인에는 CONTOSO.COM 동일한 도메인에 두 개의 도메인 컨트롤러가 포함되어 있습니다. 삭제 표시 수명 = 60일. 엄격한 복제는 두 도메인 컨트롤러에서 모두 사용하도록 설정됩니다. DC1 및 DC2는 24시간마다 복제됩니다. DC1은 매일 삭제됩니다. DC1에서 사용하는 참조 시간 원본(DC2는 아님)이 2039년으로 롤아웃됩니다. 이로 인해 DC2는 CY2039에서도 시스템 시간을 사용합니다. 이로 인해 DC1은 삭제된 개체 컨테이너에서 현재 삭제된 개체를 조기에 삭제합니다. 한편 DC2는 DC2에 있지만 삭제되고 DC1에서 조기에 가비지 수집되는 사용자, 컴퓨터 및 그룹의 특성에 대한 변경 내용을 시작합니다. DC1은 다음으로 조기 삭제된 개체에 대한 변경 내용을 인바운드 복제할 때 오류 8606을 기록합니다.

원인 4: TSL 만료 시 개체가 다시 애니메이션됩니다.

도메인에는 CONTOSO.COM 동일한 도메인에 두 개의 도메인 컨트롤러가 포함되어 있습니다. 삭제 표시 수명 = 60일. 엄격한 복제는 두 도메인 컨트롤러에서 모두 사용하도록 설정됩니다. DC1 및 DC2는 24시간마다 복제됩니다. DC1은 매일 삭제됩니다. 사용자, 컴퓨터 및 그룹이 포함된 OU가 실수로 삭제됩니다. 과거에 TSL의 cusp에 만들어진 시스템 상태 백업은 DC2에서 인증 복원됩니다. 백업에는 DC2에 살고 있지만 DC1의 가비지 수집에 의해 이미 삭제되고 회수된 개체가 포함됩니다.

원인 5: USN 거품이 8606의 로깅을 트리거합니다.

대상 도메인 컨트롤러가 거품 때문에 개체를 "생각"하므로 아웃바운드 복제하지 않는 방식으로 USN 버블에 개체를 만든다고 가정해 봅시다. 이제 거품이 닫히면 변경 내용이 다시 복제되기 시작하면 원본 도메인 컨트롤러에서 해당 개체에 대한 변경 내용이 만들어지고 대상 도메인 컨트롤러에 느린 개체로 표시됩니다. 대상 컨트롤러는 이벤트 8606을 기록합니다.

원래 삭제에 대한 엔드 투 엔드 복제 지식에 대한 요구 사항

Active Directory 도메인 컨트롤러는 쓰기 가능한 파티션을 보유하는 모든 도메인 컨트롤러가 개체 또는 특성(값)의 생성, 변경 또는 삭제를 발생시킬 수 있는 다중 master 복제를 지원합니다. 개체/특성 삭제에 대한 지식은 원래 도메인 컨트롤러 및 들어오는 복제된 TSL 일 수의 삭제에 대한 지식이 있는 모든 도메인 컨트롤러에 의해 유지됩니다. (microsoft 기술 자료 문서 216996910205 참조)

Active Directory를 사용하려면 모든 파티션 소유자에서 종단 간 복제를 통해 모든 디렉터리 파티션에 대한 모든 원래 삭제를 모든 파티션 소유자에게 전이적으로 복제해야 합니다. 롤링 TSL 일 수에서 디렉터리 파티션을 인바운드 복제하지 못하면 개체가 남아 있습니다. 느린 개체는 하나 이상의 도메인 컨트롤러에 의해 의도적으로 삭제되었지만 모든 고유 삭제에 대한 일시적인 지식을 인바운드 복제하지 않은 대상 도메인 컨트롤러에 잘못 존재하는 개체입니다.

데이터 수집

Microsoft 지원의 지원이 필요한 경우 Active Directory 복제 문제에 TSS를 사용하여 정보 수집에 설명된 단계에 따라 정보를 수집하는 것이 좋습니다.