Erro de Replicação do Active Directory 8606: foram dados atributos insuficientes para criar um objeto

Este artigo fornece ajuda para solucionar problemas do erro de replicação do Active Directory 8606: atributos insuficientes foram dados para criar um objeto.

Aplica-se a: Windows Server 2012 R2
Número de KB original: 2028495

Resumo

Este artigo descreve os sintomas e as causas de um problema no qual a replicação do Active Directory não tem êxito e gera o erro 8606: "Atributos insuficientes foram dados para criar um objeto. Esse objeto pode não existir porque pode ter sido excluído." Este artigo também descreve uma resolução para este problema.

Sintomas

Sintoma 1

O DCDIAG informa que o teste replicações do Active Directory falhou com o erro 8606: "Atributos insuficientes foram dados para criar um objeto".

Teste inicial: Replicações
[Verificação de replicações, <>Dc de destino] Falha em uma tentativa de replicação recente:
De DC> de <origem para <DC de destino>
Contexto de Nomenclatura: <caminho DN de partição de diretório>
A replicação gerou um erro (8606):
Atributos insuficientes foram dados para criar um objeto. Esse objeto pode não existir porque pode ter sido excluído e já coletado lixo
A falha ocorreu na hora da <data><>
O último sucesso ocorreu na hora da <data><>

Sintoma 2

Replicação de entrada disparada pelo comando Replicar Agora no snap-in DSSITE de Sites e Serviços do Active Directory. O MSC não tem êxito e gera o erro "Atributos insuficientes foram dados para criar um objeto". Quando você clica com o botão direito do mouse em um objeto de conexão de um DC de origem e, em seguida, seleciona Replicar agora, a replicação não tem êxito e gera o seguinte erro: "O acesso é negado". Além disso, você receberá a seguinte mensagem de erro:

Texto do título da caixa de diálogo: Replicar Agora
Texto da mensagem de diálogo: O seguinte erro ocorreu durante a tentativa de sincronizar o contexto <de nomenclatura %active directory partition name%> da fonte do controlador <de domínio DC> para o destino do controlador de <domínio DC>:

Atributos insuficientes foram dados para criar um objeto. Esse objeto pode não existir porque pode ter sido excluído e já coletado lixo.

A operação não continuará

Sintoma 3

Vários comandosrepadmin.exe falham com o erro 8606. Esses comandos incluem, mas não se limitam ao seguinte:

repadmin /add repadmin /replsum
repadmin /showrepl repadmin /showrepl
repadmin /syncall

Sintoma 4

O evento 1988 é registrado logo após um dos seguintes eventos ocorrer:

• O primeiro controlador de domínio na floresta é implantado.
• Qualquer atualização para o conjunto de atributos parcial é feita.

Sintoma 5

O evento de replicação 1988 do NTDS pode ser registrado no log de eventos do Serviço de Diretório de controladores de domínio que estão tentando replicar o Active Directory de entrada.

Digite: Erro
Fonte: Replicação do NTDS
Categoria: Replicação
ID do evento: 1988
Usuário: NT AUTHORITY\ANONYMOUS LOGON
Computador: <nome do host de DC que registrou o evento, também conhecido como "destino" DC na tentativa de replicação>
Descrição: o controlador de domínio local tentou replicar o seguinte objeto do controlador de domínio de origem a seguir. Esse objeto não está presente no controlador de domínio local porque pode ter sido excluído e já coletado lixo.
Controlador de domínio de origem:
<CNAME guiada totalmente qualificada do DC de origem>
Objeto:
<Caminho DN do objeto vivo no DC de origem>
GUID do objeto:
<guid de objeto na cópia de DCs de origem do Active Directory>

Motivo

O erro 8606 é registrado quando as seguintes condições são verdadeiras:

• Um controlador de domínio de origem envia uma atualização para um objeto (em vez de uma criação de objeto de origem) que já foi criado, excluído e recuperado pela coleta de lixo da cópia de um controlador de domínio de destino do Active Directory.
• O controlador de domínio de destino foi configurado para ser executado com consistência de replicação estrita.

Se o controlador de domínio de destino foi configurado para usar a consistência de replicação solta, o objeto teria sido "reanimado" na cópia do diretório do controlador de domínio de destino. Variações específicas que podem causar erro são 8606 documentadas na seção "Mais Informações". No entanto, o erro é causado por um dos seguintes:

• Um objeto permanentemente persistente cuja remoção exigirá intervenção de administrador
• Um objeto persistente transitório que se corrigirá quando o controlador de domínio de origem executar sua próxima limpeza de coleta de lixo. A introdução do primeiro controlador de domínio em uma floresta existente e as atualizações para o conjunto de atributos parciais são causas conhecidas dessa condição.
• Um objeto que não foi selecionado ou restaurado à beira da expiração da vida útil da lápide

Ao solucionar 8606 erros, pense nos seguintes pontos:

• Embora o erro 8606 esteja registrado no controlador de domínio de destino, o objeto problema que está bloqueando a replicação reside no controlador de domínio de origem. Além disso, o controlador de domínio de origem ou um parceiro de replicação transitiva do controlador de domínio de origem potencialmente não replicava o conhecimento de entrada de um número de tempo de vida de lápide excluído no passado.

• Objetos persistentes podem existir sob as seguintes circunstâncias:

  • Como objetos "ao vivo", como objetos cnf ou conflitos mutilados objetos "ao vivo", ou como OBJETOS CNF ou conflito mutilados no contêiner de objetos excluídos do controlador de domínio de origem
  • Em qualquer partição de diretório, exceto na partição de esquema. Objetos persistentes são encontrados com mais frequência em partições de domínio somente leitura em GCs. Objetos persistentes também podem existir em partições de domínio graváveis, bem como na partição de configuração. A partição de esquema não dá suporte a exclusões.
  • Em qualquer classe de objeto (usuários, computadores, grupos e registros DNS são mais comuns).

• Lembre-se de pesquisar objetos potencialmente persistentes pelo caminho GUID versus DN do objeto para que os objetos possam ser encontrados independentemente da partição do host e do contêiner pai. Pesquisar por objectguid também localizará objetos que estão no contêiner de objetos excluídos sem usar o controle LDAP de objetos excluídos.

• O evento NTDS Replication 1988 identifica apenas o objeto atual no controlador de domínio de origem que está bloqueando a replicação de entrada por um controlador de domínio de destino de modo rigoroso. Provavelmente há objetos adicionais "atrás" do objeto que é referenciado no evento de 1988 que também é persistente.

• A presença de objetos persistentes em um controlador de domínio de origem impede ou bloqueia controladores de domínio de destino de modo rígido de replicação de entrada de alterações "boas" que existem atrás do objeto persistente na fila de replicação.

• Devido à maneira como os controladores de domínio excluem individualmente objetos de seus contêineres de objeto excluído (o daemon de coleta de lixo é executado a cada 12 horas a partir da última vez que cada controlador de domínio começou), os objetos que estão causando 8606 erros nos controladores de domínio de destino podem estar sujeitos à remoção na próxima execução de limpeza da coleta de lixo. Objetos persistentes nesta classe são transitórios e devem ser removidos em no máximo 12 horas após o início do problema.

• O objeto persistente em questão é provavelmente um que foi intencionalmente excluído por um administrador ou aplicativo. Considere isso em seu plano de resolução e cuidado com a reanimação de objetos, especialmente entidades de segurança que foram intencionalmente excluídas. Resolução

Resolução

1. Identifique o valor atual para a configuração TombStoneLifeTime em toda a floresta.

   repadmin /showattr "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=forest root domain,DC=TLD" /atts:tombstonelifetime  
   

   Confira a seção "Tempo de vida da Tombstone e replicação de exclusões" no artigo a seguir na Base de Dados de Conhecimento da Microsoft:
   910205 Informações sobre objetos persistentes em uma floresta Windows Server Active Directory.

2. Para cada controlador de domínio de destino que está registrando o erro 8606, filtre o log de eventos do Serviço de Diretório no evento NTDS Replication 1988.

3. Colete metadados para cada objeto exclusivo citado no evento NTDS Replication 1988. A partir de cada evento de 1988 registrado no controlador de domínio de destino que cita um novo objeto, preencha a seguinte tabela:

   Caminho DN do objeto	GUID do objeto	Origem DC	Partição de host	Ao vivo ou excluído?	LastKnownParent	Valor isDeleted

   As colunas 1 a 5 desta tabela podem ser preenchidas lendo valores diretamente de campos nos eventos NTDS Replication 1988 que são registrados nos logs de eventos do Serviço de Diretório dos controladores de domínio de destino que estão registrando o evento 1988 ou o status de replicação 8606.

   Os carimbos de data para colunas LastKnownParent e IsDeleted podem ser determinados executando repadmin /showobjmeta e fazendo referência ao guia de objeto do objeto citado no evento NTDS replication 1988. Para isso, use a seguinte sintaxe:

   repadmin /showobjmeta <fqdn of source DC from 1988 event> "<GUID=GUID of object cited in the 1988 event>"
   

   O carimbo de data para LastKnownParent identifica a data em que o objeto foi excluído. O carimbo de data de IsDeleted informa quando o objeto foi excluído ou reanimado pela última vez. O número da versão informa se a última modificação excluiu ou reanimou o objeto. Um valor IsDeleteted de 1 representa uma exclusão inicial. Valores numerados ímpares maiores que 1 indicam uma reanimação após pelo menos uma exclusão. Por exemplo, um valor isDeleted de 2 representa um objeto que foi excluído (versão 1) e depois não excluído ou reanimado (versão 2). Valores uniformes posteriores para IsDeleted representam reanimações posteriores ou undeletes do objeto.

4. Selecione a ação apropriada com base nos metadados de objeto citados no evento de 1988.

   O evento 1988 do evento Error 8606 / NTDS Replication é causado com mais frequência por falhas de replicação de longo prazo que impedem os controladores de domínio de replicarem o conhecimento de entrada de todas as exclusões originárias na floresta. Isso resulta em objetos persistentes em um ou mais controladores de domínio de origem.

   Examine os metadados do objeto listado na tabela que foi criada na etapa 4 da seção "Resolução".

   Se o objeto no evento de 1988 for ((ao vivo no controlador de domínio de origem), mas (excluído no controlador de domínio de destino por mais tempo que a expiração da vida útil da lápide)), consulte "Removendo objetos persistentes" e "". Objetos nessa condição devem ser removidos manualmente por um administrador.

   Objetos excluídos podem ter sido removidos prematuramente do contêiner de objetos excluídos se o tempo do sistema avançar a tempo no controlador de domínio de destino. Examine a seção "Verificar saltos de tempo".

   Se o objeto citado no evento de 1988 existir no contêiner de objetos excluídos do controlador de domínio de origem e sua data de exclusão estiver à beira da expiração da vida útil da lápide de tal forma que o objeto foi recuperado pela coleta de lixo por um ou mais controladores de domínio de destino e será recuperado pela coleta de lixo no próximo intervalo de coleta de lixo nos controladores de domínio de origem (ou seja, os objetos persistentes são transitórios), você tem uma opção. Aguarde a próxima execução da coleta de lixo para excluir o objeto ou acione manualmente a coleta de lixo no controlador de domínio de origem. Consulte "Iniciar manualmente a coleta de lixo". A introdução do primeiro controlador de domínio ou qualquer alteração no conjunto de atributos parciais pode causar essa condição.

   Se repadmin /showobjmeta a saída para o objeto citado no evento de 1988 tiver um valor LastKnownParent de 1, isso indica que o objeto foi excluído e um valor IsDeleted de 2 ou algum outro valor numerado uniforme, e esse carimbo de data para IsDeleted está à beira do número de tempo de vida da lápide de dias diferente do carimbo de data para LastKnownParent, em seguida, o objeto foi excluído e, em seguida, não selecionado/ restaurado enquanto ainda estava vivo no controlador de domínio de origem, mas já recuperado pela coleta de lixo pelos controladores de domínio de destino erro de registro em log 8606 / Evento 1988. Confira Reanimações à beira da expiração do TSL

Como remover objetos persistentes

Embora existam muitos métodos para remover objetos persistentes, há três ferramentas primárias comumente usadas: repadmin.exe, LoL (Liquidante de Objeto Persistente) e repldiag.

Síndico de objeto persistente (LoL)

O método mais fácil de limpo objetos persistentes é usar o LoL. A ferramenta LoL foi desenvolvida para ajudar a automatizar o processo de limpeza em uma Floresta do Active Directory. A ferramenta é baseada em GUI e pode examinar a Floresta do Active Directory atual e detectar e limpar objetos persistentes. A ferramenta está disponível no Centro de Download da Microsoft.

Repadmin

Os dois comandos a seguir no repadmin.exe podem remover objetos persistentes de partições de diretório:

• repadmin /removelingeringobjects
• repadmin /rehost

O repadmin /removelingeringobjects comando pode ser usado para remover objetos persistentes de partições de diretório graváveis e somente leitura em controladores de domínio de origem. A sintaxe é a seguinte:

repadmin /removelingeringobjects <Dest_DSA_LIST> <Source DSA GUID> <NC> [/ADVISORY_MODE]

Onde:
<> Dest_DSA_LIST é o nome de um controlador de domínio que contém objetos persistentes (como o controlador de domínio de origem citado no evento NTDS Replication 1988).

<Guid> DSA de origem é o nome de um controlador de domínio que hospeda uma cópia gravável da partição de diretório que contém objetos persistentes aos quais o controlador de domínio em <Dest_DSA_LIST> tem conectividade de rede. O DC a ser limpo (primeiro DC especificado no comando) deve ser capaz de se conectar diretamente à porta 389 no DC que hospeda uma cópia gravável da partição de diretório (especificada em segundo lugar no comando).

<NC> é o caminho DN da partição de diretório suspeita de conter objetos persistentes, como a partição especificada em um evento de 1988.

O repadmin /rehost comando pode ser usado para remover controladores de domínio de objetos persistentes que hospedam uma cópia somente leitura de uma partição de diretório de domínio de controladores de domínio. A sintaxe é a seguinte:

repadmin /rehost DSA <Naming Context> <Good Source DSA Address>

Onde:
DSA é o nome de um controlador de domínio que hospeda uma partição de diretório de domínio somente leitura para um domínio não local. Por exemplo, um GC em root.contoso.com pode refazer sua cópia somente leitura de child.contoso.com mas não pode refazer root.contoso.com.

<Contexto de Nomenclatura> é o caminho DN de uma partição de diretório de domínio somente leitura que reside em um catálogo global.

<Endereço> DSA de boa origem é o nome de um controlador de domínio que hospeda uma cópia gravável do Contexto de <Nomenclatura>. O controlador de domínio deve estar disponível em rede para o computador DSA.

Se o objeto persistente relatado no evento de 1988 não for removido pelo repadmin, avalie se o objeto no controlador de domínio de origem foi criado na lacuna USN ou se os objetos originários do controlador de domínio não existem no vetor atualizado do controlador de domínio de origem.

Repldiag

Inicie o seguinte laboratório sob demanda do TechNet para a prática de solução de problemas guiada deste e de outros erros de replicação do AD:

No laboratório, você usa repadmin e repldiag.exe para remover objetos persistentes
Solução de problemas de erros de replicação do Active Directory
Neste laboratório, você percorrerá as fases de solução de problemas, análise e implementação de erros de replicação do Active Directory comumente encontrados. Você usará uma combinação de ADREPLSTATUS, repadmin.exee outras ferramentas para solucionar problemas de um ambiente de três domínios e cinco DC. Os erros de replicação do AD encontrados no laboratório incluem -2146893022, 1256, 1908, 8453 e 8606".

Monitorando a integridade da replicação do Active Directory diariamente

Se o erro 8606 / Evento 1988 foi causado pela falha do controlador de domínio em replicar as alterações do Active Directory no último número de dias de tempo de vida da lápide, verifique se a integridade da replicação do Active Directory está sendo monitorada no dia a dia daqui para frente. A integridade da replicação pode ser monitorada usando um aplicativo de monitoramento dedicado ou exibindo a saída de uma opção barata, mas eficaz, para executar repadmin /showrepl * /csv o comando em um aplicativo de planilha, como o Microsoft Excel. (Consulte "Método 2: monitorar a replicação usando uma linha de comando" no artigo da Base de Dados de Conhecimento da Microsoft 910205).

Os controladores de domínio que não foram replicados em 50% do tempo de vida da lápide devem ser colocados em uma lista watch que recebem atenção de administrador prioritário para tornar a replicação operacional. Os controladores de domínio que não podem ser feitos para replicar com êxito devem ser rebaixados à força se não tiverem replicado dentro de 90% do TSL.

Falhas de replicação exibidas em um controlador de domínio de destino podem ser causadas pelo controlador de domínio de destino, pelo controlador de domínio de origem ou pela rede subjacente e pela infraestrutura DNS.

Verificar se há saltos de tempo

Para determinar se ocorreu um salto de tempo, marcar carimbos de data em logs de evento e diagnóstico (Visualizador de Eventos, repadmin /showrepslogs de netlogon, relatórios dcdiag) em controladores de domínio de destino que estão registrando o erro 8606 / NTDS Replication 1988 eventos para o seguinte:

• Carimbos de data que antecedem a versão de um sistema operacional (por exemplo, carimbos de data do CY 2003 para um sistema operacional lançado no CY 2008)
• Carimbos de data que antecedem a instalação do sistema operacional em sua floresta
• Carimbos de data no futuro
• Não ter eventos registrados em um determinado intervalo de datas

Suporte da Microsoft equipes viram o tempo do sistema em controladores de domínio de produção incorretamente saltar horas, dias, semanas, anos e até dezenas de anos no passado e no futuro. Se o tempo do sistema foi considerado impreciso, você deve corrigi-lo e, em seguida, tentar determinar por que o tempo saltou e o que pode ser feito para evitar o tempo impreciso daqui para frente versus apenas corrigir o momento ruim. As possíveis perguntas incluem o seguinte:

• O PDC raiz da floresta foi configurado usando uma fonte de tempo externa?
• As fontes de tempo online de referência estão disponíveis na rede e resolvíveis no DNS?
• O serviço de tempo da Microsoft ou de terceiros estava em execução e em um estado sem erros?
• Os computadores de função do controlador de domínio estão configurados para usar a hierarquia NT5DS para o tempo de origem?
• A proteção de reversão de tempo foi descrita no artigo da Base de Dados de Conhecimento da Microsoft 884776 em vigor?
• Os relógios do sistema têm baterias boas e tempo preciso no BIOS em controladores de domínio em computadores host virtuais?
• O host virtual e os computadores convidados estão configurados para o tempo de origem de acordo com as recomendações do fabricante de hospedagem?
  O artigo da Base de Dados de Conhecimento da Microsoft 884776 etapas de documentos para ajudar a proteger os controladores de domínio de "escuta" a exemplos de tempo inválidos. Mais informações sobre MaxPosPhaseCorrection e MaxNegPhaseCorrection estão disponíveis na postagem do Blog do W32Time do Windows Time Service.

Verifique se há objetos persistentes usando repadmin /removelingeringobjects /advisorymodee remova-os conforme necessário.

Relaxe "Permitir replicação com parceiro divergente e corrupto" conforme necessário.

Como iniciar manualmente a coleta de lixo

Existem várias opções para disparar manualmente a coleta de lixo em um controlador de domínio específico:

Execute "repadmin /setattr "" "" doGarbageCollection add 1"

Execute LDIFDE /s <server> /i /f dogarbage.ldif onde dobarbage.ldif contém o texto:

Dn:
changetype: modifique
substitua: DoGarbageCollection
dogarbagecollection: 1
-

Reanimações à beira da expiração do TSL

Para que essa condição exista, repadmin /showobject "<GUID=object guid for object in 1988 event>" deve relatar que o objeto "não foi encontrado" no controlador de domínio de destino, mas está em tempo real no controlador de domínio de origem e é um objeto excluído ou nãondeletado.

Uma revisão dos campos-chave do controlador de domínio de repadmin /showobjmeta origem deve relatar que o seguinte é verdadeiro: LastKnownParent tem um valor de 1, e seu carimbo de data está à beira de dias TSL no passado. Seu carimbo de data indica a data de exclusão do objeto.

IsDeleted tem um número de versão 2 (ou outro valor com numeração uniforme), em que a versão 1 definiu a exclusão original e a versão 2 é a restauração/reanimação. O carimbo de data para "isDeleted=2" deve ser ~ número TSL de dias depois da última data de alteração para LastKnownParent.

Avalie se o objeto em questão deve permanecer um objeto vivo ou um objeto excluído. Se LastKnownParent tiver um valor de 1, algo ou alguém excluiu o objeto. Se isso não foi uma exclusão acidental , as chances são boas de que o objeto deve ser excluído de todos os controladores de domínio de origem que tenham uma cópia ao vivo do objeto.

Se o objeto deve existir em todas as réplicas, as opções serão as seguintes:

• Habilite a replicação solta em controladores de domínio de destino de modo estrito que não têm o objeto.
• Demote à força os controladores de domínio que já recolheram o objeto.
• Exclua o objeto e, em seguida, recrie-o.

Mais informações

Inicie o seguinte laboratório sob demanda do TechNet para a prática de solução de problemas guiada deste e de outros erros de replicação do AD:

Solução de problemas de erros de replicação do Active Directory
Neste laboratório, você percorrerá as fases de solução de problemas, análise e implementação de erros de replicação do Active Directory comumente encontrados. Você usará uma combinação de ADREPLSTATUS, repadmin.exee outras ferramentas para solucionar problemas de um ambiente de cinco DC e três domínios. Os erros de replicação do AD encontrados no laboratório incluem -2146893022, 1256, 1908, 8453 e 8606".

Causas de objetos persistentes

Causa 1: O controlador de domínio de origem envia atualizações para objetos que já foram recuperados pela coleta de lixo no controlador de domínio de destino porque o controlador de domínio de origem estava offline ou falhou na replicação do TSL decorrido número de dias

O CONTOSO.COM domínio contém dois controladores de domínio no mesmo domínio. Vida útil de lápide = 60 dias. A replicação estrita está habilitada em ambos os controladores de domínio. O DC2 enfrenta uma falha na placa-mãe. Enquanto isso, o DC1 faz exclusões de origem para grupos de segurança obsoletos diariamente nos próximos 90 dias. Depois que ele fica offline por 90 dias, o DC2 recebe uma placa-mãe de substituição, alimenta e, em seguida, origina uma alteração DACL ou SACL em todas as contas de usuário antes de replicar o conhecimento de entrada de exclusões originárias do DC1. O DC1 registra 8606 erros para os grupos de segurança de atualizações que são limpos no DC1 nos primeiros 30 dias em que o DC2 estava offline.

Causa 2: O DC de origem envia atualizações para objetos à beira da expiração TSL que já foram recuperados pela coleta de lixo por um destino de modo rigoroso DC

O CONTOSO.COM domínio contém dois controladores de domínio no mesmo domínio. Vida útil de lápide = 60 dias. A replicação estrita está habilitada em ambos os controladores de domínio. DC1 e DC2 replicam a cada 24 horas. DC1 origina-exclui diariamente. O DC1 é atualizado no local. Isso carimba novo atributo em todos os objetos nas partições de domínio graváveis e de configuração. Isso inclui objetos que estão atualmente no contêiner de objetos excluídos. Alguns deles foram excluídos há 60 dias e agora estão à beira da expiração da lápide. O DC2 recupera alguns objetos por coleta de lixo que foram excluídos da TSL dias antes da abertura do cronograma de replicação com DC2. O erro 8606 é registrado até que o DC1 recupere os objetos de bloqueio por coleta de lixo.

Todas as atualizações do conjunto de atributos parciais podem causar objetos temporários persistentes que se limparão após os controladores de domínio de origem coletarem objetos excluídos à beira da expiração TSL (por exemplo, a adição do primeiro controlador de domínio W2K8 R2 a uma floresta existente).

Causa 3: um salto de tempo em um controlador de domínio de destino acelera prematuramente a coleta de lixo de objetos excluídos em um controlador de domínio de destino

O CONTOSO.COM domínio contém dois controladores de domínio no mesmo domínio. Vida útil de lápide = 60 dias. A replicação estrita está habilitada em ambos os controladores de domínio. DC1 e DC2 replicam a cada 24 horas. O DC1 é originado exclui diariamente. A fonte de tempo de referência usada pelo DC1 (mas não dc2) avança para o ano civil 2039. Isso faz com que o DC2 também use um tempo de sistema no CY2039. Isso faz com que o DC1 exclua prematuramente objetos que são excluídos hoje do contêiner de objetos excluídos. Enquanto isso, o DC2 origina alterações em atributos em usuários, computadores e grupos que estão em tempo real no DC2, mas excluídos e agora lixo prematuramente coletado no DC1. O DC1 registrará o erro 8606 quando ele replicar as próximas alterações de entrada para os objetos excluídos prematuros.

Causa 4: Um objeto é reanimado à beira da expiração TSL

O CONTOSO.COM domínio contém dois controladores de domínio no mesmo domínio. Vida útil de lápide = 60 dias. A replicação estrita está habilitada em ambos os controladores de domínio. DC1 e DC2 replicam a cada 24 horas. O DC1 é originado exclui diariamente. Uma OU que contém usuários, computadores e grupos é excluída acidentalmente. Um backup de estado do sistema que é feito à beira do TSL no passado é restaurado em DC2. O backup contém objetos que estão em tempo real no DC2, mas já excluídos e recuperados pela coleta de lixo no DC1.

Causa 5: uma bolha usn é disparada o registro em log do 8606

Digamos que você crie um objeto em uma bolha USN de tal forma que ele não seja replicado de saída porque o controlador de domínio de destino "pensa" que ele tem o objeto por causa da bolha. Agora, depois que a bolha fechar e depois que as alterações começarem a ser replicadas novamente, uma alteração é criada para esse objeto no controlador de domínio de origem e é exibida como um objeto persistente para o controlador de domínio de destino. O controlador de destino registra o evento 8606.

Requisitos para replicar de ponta a ponta o conhecimento de exclusões de origem

Os controladores de domínio do Active Directory dão suporte à replicação de várias master em que qualquer controlador de domínio (que contém uma partição gravável) pode originar uma criação, alteração ou exclusão de um objeto ou atributo (valor). O conhecimento das exclusões de objeto/atributo é persistente pelo controlador de domínio de origem e por qualquer controlador de domínio que tenha conhecimento replicado de entrada de uma exclusão de origem para o número de dias TSL. (Consulte artigos da Microsoft Knowledge Base 216996 e 910205)

O Active Directory requer a replicação de ponta a ponta de todos os titulares de partição para replicar transitivamente todas as exclusões originárias para todas as partições de diretório para todos os titulares de partição. A falha na replicação de entrada de uma partição de diretório em um número de dias de TSL rolando resulta em objetos persistentes. Um objeto persistente é um objeto que foi intencionalmente excluído por pelo menos um controlador de domínio, mas que existe incorretamente em controladores de domínio de destino que não replicaram de entrada o conhecimento transitório de todas as exclusões exclusivas.

Coleta de dados

Se você precisar de ajuda do suporte da Microsoft, recomendamos coletar as informações seguindo as etapas mencionadas em Coletar informações usando problemas de replicação do TSS para Active Directory.