如何解决活动目录操作失败,出现错误 8606:"创建的对象提供足够的属性"

文章翻译 文章翻译
文章编号: 2028495 - 查看本文应用于的产品
展开全部 | 关闭全部

概要

本文介绍了症状以及在哪个 Active Directory 复制不成功,这种情况的原因,它将产生错误 8606:"创建的对象提供足够的属性。此对象可能存在因为它可能已被删除。本文还介绍了这种情况下的解决。

症状

1.DCDIAG 报告活动目录复制测试失败,出现错误 8606:"被给创建的对象没有足够的属性"。
开始测试: 复制
[复制复选,<destination dc="">] 最新的复制尝试失败:</destination>
<source dc="">若要 <destination dc=""></destination></source> 从
命名上下文:<directory partition="" dn="" path=""></directory>
在复制生成了一个错误 (8606):
若要创建一个对象被给与足够的属性。此对象可能不存在,因为它可能已被删除,并且已经作为垃圾回收
在出现故障<date> <time></time></date>
在发生上一次成功<date> <time></time></date>

2.传入复制由触发该立即复制副本在 Active Directory 站点和服务管理单元 DSSITE 中的命令。MSC 是不成功的并且它将生成以下错误:"被给创建的对象没有足够的属性"。和,连接对象从一个源 DC 上右键单击,然后选择"立即复制"不成功的并且它将生成以下错误:"访问被拒绝。在屏幕上错误消息文本的读取,如下所示:

对话框标题文本: 立即复制副本
对话框消息文本: 从域控制器 <source dc="">到域控制器: <destination dc="">:</destination></source> 同步命名上下文 < %active directory 分区名称 %&gt; 尝试过程中出现以下错误

若要创建一个对象被给与足够的属性。此对象可能不存在,因为它可能已被删除,并且经过了垃圾收集。

该操作将不会继续


3.各种 REPADMIN。EXE 命令都将失败,错误为 8606。这些命令包括但不是限于以下:

收起该表格展开该表格
repadmin / 添加repadmin /replsum
repadmin /showreplrepadmin /showrepl
repadmin /syncall


4.1988年被记录的事件不久后发生下列事件之一:
  1. 在目录林中第一个 Windows Server 2008 R2 域控制器进行部署。
  2. 由部分属性集的任何更新。
5.NTDS 复制事件 1988年可能会试图入站复制 Active Directory 域控制器的目录服务事件日志中记录。

类型: 错误
来源: NTDS 复制
类别: 复制
事件 ID: 1988年
用户: NT AUTHORITY\ANONYMOUS 登录
计算机:<hostname of="" dc="" that="" logged="" event,="" aka="" the="" "destination"="" dc="" in="" the="" replication="" attempt=""></hostname>
说明: 本地域控制器已尝试从以下源域控制器复制下列对象。此对象不存在于本地域控制器上,因为它可能已被删除并垃圾收集。
源域控制器:
<fully qualified="" guided="" cname="" of="" source="" dc=""></fully>
对象:
<dn path="" of="" live="" object="" on="" source="" dc=""></dn>
对象的 GUID:
<object guid="" of="" object="" on="" source="" dcs="" copy="" of="" active="" directory=""></object>

原因

源域控制器将更新发送给一个对象时,将记录 8606 错误 (而不是原始对象的创建) 的已创建、 删除,并从一个目标域控制器的复制 Active directory 的垃圾回收在目标域控制器被配置为在运行严格的复制一致性。

必须在目标域控制器配置为使用松散的复制一致性,对象只是会有被"恢复"在目标域控制器的复制目录。在"详细信息"部分中记录可能会导致 8606 错误的特定变化形式。但是,该错误是由下列内容之一引起的:

? 一个永久遗留的对象,该对象的删除将需要管理员干预的情况下
? 一个暂时的延迟对象,源域控制器执行其下一步的垃圾回收清理时将自动更正它。这种情况的原因是已知的第一个 Windows Server 2008 R2 域控制器在现有的树林和更新简介部分属性集。
? 已撤消或还原该尖点的逻辑删除生存期到期时的对象

在解决 8606 错误时,请记住如下:

? 即使在目标域控制器上记录 8606 错误,正在阻止复制问题对象驻留在源域控制器上。此外,源域控制器或可传递的复制伙伴的源域控制器可能未不入站复制已删除的逻辑删除生命周期数天,在过去的知识。

? 延迟对象可能存在以下情况:

1.根据"活"对象、 CNF 或冲突出错对象"活"对象,CNF 或冲突出错源域控制器的已删除的对象容器中的对象

2.在任何目录分区,包括应用程序分区不同之处在于在架构分区中。架构分区不支持删除。

3.在任何对象类 (用户、 计算机、 组和 DNS 记录是最常见的)。延迟对象最常见的几个 Gc 上的只读域分区及可写入的域中,可能会在配置分区中也发现。

? 请记住要搜索的可能,以便可以找到对象,而无需考虑的主分区及其父容器对象的 GUID 与 DN 路径通过延迟对象。按 objectguid 搜索还将查找而无需使用已删除的对象的 LDAP 控件在已删除的对象容器中的对象。

? NTDS 复制 1988年事件表示在严格模式下的目标域控制器正在阻止传入的复制源域控制器上当前对象。有背后 1988年事件中引用的对象也会延迟的可能是其他对象。

? 在源域控制器上的延迟对象的存在可以防止或阻止入站复制的"好"更改在复制队列延迟对象后面的严格模式下目标域控制器。

由于域控制器从其删除的对象容器 (在垃圾回收守护程序运行在上一次,每个域控制器上一次开始每隔 12 小时),8606 错误导致在目标域控制器上的对象的对象分别删除方式的 ?无法必须遵守执行下一步的垃圾回收清理过程中删除。在此类中的延迟对象是瞬态的应删除本身不能超过 12 小时内从问题开始。
? 所述的延迟对象是有可能被有意删除由管理员或应用程序。这对分辨率计划应考虑的因素,并注意的恢复特别是有意删除的安全主体的对象。

解决方案

1.识别当前目录林范围内的值TombStoneLifeTime设置

c:\>repadmin /showattr。"CN = CN 的目录服务 = 上述 CN = 服务,CN = 配置,DC = 目录林根域,DC = TLD &gt; /atts:tombstonelifetime

请参阅"逻辑删除存留时间和删除内容复制"部分下面 Microsoft 知识库中相应的文章:
910205在 Windows 服务器的 Active Directory 目录林中的延迟对象有关的信息。

2.对于每个目标域控制器,则记录 8606 错误、 NTDS 复制事件 1988年上对目录服务事件日志进行筛选。


3.每个收集的元数据唯一1988 NTDS 复制事件中被引用的对象。

从每个 1988年事件都记录在了一个新的对象在目标域控制器上的填写下表:

收起该表格展开该表格
DN 对象路径对象的 GUID源 DC主持分区实时或已删除吗?LastKnownParent在被删除的值

可以通过直接从 NTDS 复制 1988年 1988年事件或 8606 复制状态都记录在目标域控制器的目录服务事件日志中记录的事件中的字段读取的值填充 1 至 5,此表的列。

对于日期戳LastKnownParent在被删除可以通过运行"repadmin /showobjmeta"并引用该 objectguid NTDS 复制 1988年事件中被引用的对象的确定列。若要这样做可使用以下语法:

c:\>repadmin /showobjmeta <fqdn of="" source="" dc="" from="" 1988="" event="">"<guid=guid of="" object="" cited="" in="" the="" 1988="" event="">"</guid=guid></fqdn>

该日期戳LastKnownParent标识对象被删除的日期。该日期戳在被删除当对象已最后一次被删除或重新加进会告诉您。版本号将告诉您最近的修改是否已删除或恢复的对象。一个IsDeleteted值为 1 表示一个初始的删除。奇数编号大于 1 的值表示一个恢复后至少一个删除操作。例如对于一个在被删除值为 2 表示一个对象已被删除 (版本 1),然后稍后撤消或恢复的 (版本 2)。以后偶数的值在被删除表示更高版本 reanimations 或所谓的对象。


4.选择适当的操作根据 1988年事件中所引用的对象元数据。

错误 8606 / NTDS 复制事件 1988年事件最通常由长期正在阻止入站复制的域控制器的复制故障引起的树林中的所有源删除的知识。这将导致一个或多个源域控制器上的延迟对象。

查看"解决办法"部分中的步骤 4 中创建的表中列出的对象的元数据。

如果 1988年事件中的对象可以是任何一个 (实时源域控制器上 (删除目标域控制器的时间超过逻辑删除生存期过期),但),请参阅"删除延迟对象"和"。"在这种情况中的对象必须由管理员手动删除。

已删除的对象可能已经过早地清除已删除的对象容器中如果系统时间的时间向前跳到目标域控制器上。查看跳转"检查的时间"到部分中。

如果 1988年事件中引用的对象存在于源域控制器的已删除的对象容器,它删除的日期正好在尖点的一种通过垃圾回收回收对象已由一个或多个目标域控制器的逻辑删除生存期到期时,通过在源域控制器上下, 一步的垃圾回收间隔垃圾回收 (也就是延迟对象是过渡状态),您有两种选择。请等待下一步的垃圾回收执行删除对象,或手动触发垃圾回收源域控制器上。请参阅"手动启动垃圾回收"。引入的第一个在 Windows Server 2008 R2 域控制器或部分属性集中的任何更改可能会导致这种情况。

如果 repadmin /showobjmeta 输出为 1988年事件中被引用的对象都有一个LastKnownParent值为 1,这表明的对象已被删除,一个在被删除值的 2 个或某些其他的偶数值,为该日期戳在被删除在逻辑删除生存期的数天不同于该日期戳在尖点LastKnownParent然后该对象已被删除,然后撤消 / 授权还原时它是由目标域控制器日志记录错误 8606 但已回收垃圾回收在源域控制器上仍实时 / 1988 事件。请参阅Reanimations 在尖点处的逻辑删除生存过期


正在删除延迟对象

REPADMIN 中的两个命令。EXE 可从以下目录分区中删除延迟对象:
  • REPADMIN /REMOVELINGERINGOBJECTS
  • REPADMIN /REHOST

若要从 Windows Server 2003 源域控制器上的可写入和只读目录分区中删除延迟对象可以使用 REPADMIN /REMOVELINGERINGOBJCTS。语法如下所示:

c:\>repadmin /removelingeringobjects <dest_dsa_list> <source dsa="" guid=""> <nc>[/ ADVISORY_MODE]</nc></source></dest_dsa_list>

位置:
<dest_dsa_list>正在运行 Windows Server 2003 或更高版本的域控制器的名称,并包含延迟对象 (如 NTDS 复制 1988年事件中被引用的源域控制器)。</dest_dsa_list>
<source dsa="" guid="">正在运行 Windows Server 2003 或更高版本的域控制器的名称和存放的延迟对象所在的目录分区的可写副本的域控制器中 <dest_dsa_list>有网络连接性。</dest_dsa_list></source>
<nc>是被怀疑含有如 1988年事件中指定的分区的延迟对象的目录分区的 DN 路径。</nc>

若要删除延迟对象的域控制器的主机可以使用 REPADMIN /REHOST 一只能以只读方式从正在运行 Windows 2000 SP4 或更高版本的域控制器的域目录分区的副本。语法如下所示:

c:\>repadmin DSA /rehost<naming context=""> <good source="" dsa="" address=""></good></naming>

位置:
DSA 是正在运行 Windows 2000 SP4 或更高版本,该主机只读域目录分区为非本地的域的域控制器的名称。例如对于一个在 root.contoso.com 中的 GC 可以 rehost child.contoso.com 其只读副本,但不能 rehost root.contoso.com。

<naming context="">是只读的域目录分区的驻留在全局编录中的 DN 路径。</naming>

<good source="" dsa="" address="">正在运行 Windows 2000 SP4 或更高版本的域控制器的名称和存放的 <naming context="">的可写副本。域控制器必须是网络可供计算机 DSA。</naming></good>

如果不能消除 repadmin 1988 事件中报告的延迟对象,评估该对象在源域控制器上的创建 USN 的间隙中还是矢量的对象从源域控制器不存在于源域控制器的最新 dateness 的 Microsoft 知识库文章中所述948071。

请注意此外可以通过使用删除延迟对象repldiag.exe。此工具可以自动 repadmin /removelingeringobjects 进程。


每天监视 Active Directory 复制运行状况

如果错误 8606 / 事件 1988年由复制 Active Directory 中最后一个逻辑删除生存的天数的更改,请确保在 Active Directory 复制运行状况监视日常今后发生故障的域控制器的问题所导致。通过使用专门监视应用程序或查看一个廉价而有效选项来运行该输出可能受监视复制健康"repadmin /showrepl * /csv"命令在一个电子表格应用程序 (如 Microsoft Excel 中。(请参阅"方法 2: 使用命令行来监视复制"Microsoft 知识库文章中910205)。

具有不入站复制逻辑删除生存天数的 50%中的域控制器应放在收到要使复制操作的优先级管理关注一个监视点列表中。不能对成功地将复制的域控制器应强制-降级如果他们未复制中的逻辑删除生存的 90%。

由目标域控制器、 源的域控制器或底层网络和 DNS 基础结构,可能会导致出现在目标域控制器上的复制失败。


检查时间跳转

若要确定是否出现了一个时间跳跃,正在登录错误 8606 的目标域控制器上检查事件和诊断日志 (事件查看器,repadmin /showreps、 netlogon 日志、 dcdiag 报告) 中的日期时间戳 / NTDS 复制 1988年以下事件:

? 日期时间戳之前发布该版本的操作系统 (例如对于从 CY 2003 操作系统 CY 2008 年发布的日期戳) 的
? 日期时间戳之前发布的在树林中的操作系统安装的
? 日期时间戳在未来
? 有没有记录在给定的日期范围内的事件

Microsoft 技术支持团队已经看到了不正确跳转小时、 天、 星期、 年和甚至数十年,在过去和将来的生产域控制器上的系统时间。如果发现系统时间不准确所应更正它,然后尝试确定为什么时间的跳转,并且可以采取什么措施来防止今后与刚更正错误的时间不准确的时间。可能要询问的问题包括:

? 是林根 PDC 使用外部时间源配置吗?
? 是引用在网络上可用,并可在 DNS 解析的在线时间源吗?
? 是 Microsoft 或第三方时间服务正在运行,并在无错误的状态吗?
? 是域控制器角色计算机配置为使用 NT5DS 层次结构,源时间吗?
? 是 Microsoft 知识库文章中描述的时回滚保护884776在位置?
? 执行的操作的系统时钟有虚拟主机计算机上的域控制器 BIOS 中工作正常的电池和精确的时间吗?
? 是虚拟的主机和来宾计算机配置为根据源时间的宿主制造商的建议吗?

Microsoft 知识库文章884776文档措施来保护域控制器从"侦听"无效的时间的示例。有关 MaxPosPhaseCorrection 和 MaxNegPhaseCorrection 的详细信息会显示在该W32Time 博客开机自检配置时间服务: 最大值 [Pos/Neg] PhaseCorrection.Microsoft 知识库文章961027在策略中配置基于时间的设置时,描述了一些有用的精度更新。

通过使用 repadmin /removelingeringobjects /advisorymode 检查延迟对象,然后根据需要将其取出。

放松"允许与 Divergent 和损坏的伙伴复制"作为所需。

手动启动垃圾回收

若要手动触发垃圾回收在特定的域控制器上有以下选项:

运行"repadmin /setattr""""添加 doGarbageCollection 1"

运行 LDIFDE /s <server>/i /f dogarbage.ldif dobarbage.ldif 包含文本的位置:</server>

dn:
误差: 修改
替换: DoGarbageCollection
dogarbagecollection: 1
-
请注意最终"-"字符是一个所需.ldif 文件的元素。


Reanimations 在尖点处的逻辑删除生存过期

这种情况存在于 repadmin /showobject 为"<guid=object guid="" for="" object="" in="" 1988="" event="">"应该报告的对象是</guid=object>
"未找到"在目标域控制器上,但已实时源域控制器上,已删除或 nondeleted 的对象。

一项检查中 repadmin 源域控制器上的 /showobjmeta 字段应报告在以下情况成立:

LastKnownParent值为 1,并且其日期戳在的逻辑删除生存天数在过去在尖点。其日期戳指示对象的删除日期。

在被删除2 的版本号 (或另一个偶数的值),其中定义原始删除的版本 1,第 2 版是还原 / 恢复。该日期戳"在被删除 = 2"应该是 ~ 逻辑删除生存数天之后比最后一个日期更改为 LastKnownParent。

评估是否所讨论的对象应保持一个应用程序对象或已删除的对象。如果LastKnownParent某些东西的值为 1,或有人删除该对象。如果不是一个意外删除,可能性很应该从任何具有该对象的实时副本的源域控制器中删除的对象。

如果对所有副本,该对象应存在,选项如下:
  • 启用散落在严格模式下不具有该对象的目标域控制器上的复制。
  • 强制降级的域控制器,已经有垃圾收集该对象。
  • 删除该对象,然后再重新创建它。

更多信息

延迟对象的原因


原因 1: 源域控制器有已被垃圾回收操作回收目标域控制器上因为提供程序对象发送更新源域控制器这两处于脱机状态或逻辑删除生存的复制失败经过的天数。

CONTOSO 中。COM 域包含在同一个域中的两个域控制器。逻辑删除生存时间 = 60 天。这两个域控制器上启用了严格的复制。DC2 出现主板故障时。同时,DC1 对原始删除过时的安全组,每日在随后的 90 天。它在 90 天内处于脱机状态后,DC2 接收为的更换主板通电,然后产生一个所有用户帐户上的 ACL 更改之前其入站复制了解来自从 dc1,将其删除。DC1 记录程序清除在 DC1 上,DC2 处于离线第 30 天内更新安全组的 8606 错误。

原因 2: 源 DC 在逻辑删除生存过期的该尖点由垃圾回收已回收的对象发送更新在严格模式下目标域控制器。

CONTOSO 中。COM 域包含在同一个域中的两个域控制器。逻辑删除生存时间 = 60 天。这两个域控制器上启用了严格的复制。DC1 和 DC2 将复制每隔 24 小时。Dc1,将其作为来源-删除每日。DC1 是就地升级到 W2K8 R2。此配置和可写入的域分区中的所有对象上标记了新属性。这包括当前正在其中一些已删除的 60 天以上已删除的对象容器和现在已经处于该尖点的逻辑删除到期的对象。DC2 收回一些由垃圾回收回收对象的删除逻辑删除生存天之前打开复制计划,其中包含 DC2。8606 记录错误之前 DC1 回收阻塞的对象由垃圾回收。

部分属性集的任何更新,可能会导致将清除自身后源域控制器垃圾回收已删除的对象的逻辑删除生存过期 (例如对于第一个 W2K8 R2 域控制器到现有的目录林中添加) 将尖点处的临时延迟对象。

原因 3: 在目标域控制器上的一个时间跳跃过早地加快垃圾回收已删除对象的目标域控制器上。

CONTOSO 中。COM 域包含在同一个域中的两个域控制器。逻辑删除生存时间 = 60 天。这两个域控制器上启用了严格的复制。DC1 和 DC2 将复制每隔 24 小时。DC1 每天都源自删除。DC1 (但不是 DC2) 使用该参考时间源将日历年度 2039 11年向前滚动。这将导致 DC2 还采用 CY2039 中的某个系统时间。这将导致 DC1 过早删除从其已删除的对象容器中立即删除的对象。同时,DC2 出自上用户、 计算机,和实时 DC2 上但已删除的组的属性的更改,并且现在将过早地垃圾收集 DC1 上。DC1 将记录错误 8606 时它下一步入站复制过早的已删除对象的更改。

原因 4: 在逻辑删除生存过期的该尖点恢复对象

CONTOSO 中。COM 域包含在同一个域中的两个域控制器。逻辑删除生存时间 = 60 天。这两个域控制器上启用了严格的复制。DC1 和 DC2 将复制每隔 24 小时。DC1 每天都源自删除。包含用户、 计算机和组 OU 被意外删除。在过去所做的逻辑删除生存在尖点处的系统状态备份是 DC2 上授权还原。在备份包含 DC2 启用但已删除,并由垃圾回收 DC1 上的对象。

原因 5: USN 气泡会触发该 8606 的日志记录

您创建了一个对象在 USN 气泡以这样一种方式它不会不出站复制因为目标域控制器"认为"它具有该对象由于气泡。现在,气泡关闭后,并再次复制开始更改之后,更改为该对象在源域控制器上创建,并显示为一个延迟的对象,以在目标域控制器。在目标控制器日志 860 事件。


端到端的要求复制始发删除的知识

活动目录域控制器支持的多主机复制位置 (保存在可写的分区) 的任何域控制器可以发起创建,更改,或删除的对象或属性 (值)。知识的对象 / 属性删除通过从源域控制器并已传入复制的知识,如果一个源中删除逻辑删除生存天数的任何域控制器保持不变。(请参阅 Microsoft 知识库文章216996910205)

活动目录要求从间接将对所有目录分区的所有原始删除复制到所有分区持有者的所有分区持有者的端到端复制。入站复制目录分区中的天数的滚动 TSL 号码失败会导致延迟对象。延迟的对象是一个对象,至少一个域控制器被有意删除,但错误地存在未不入站复制所有唯一的删除操作的瞬时性知识的目标域控制器上。







属性

文章编号: 2028495 - 最后修改: 2011年2月4日 - 修订: 1.0
这篇文章中的信息适用于:
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 Standard
  • Microsoft Windows Server 2003 R2 Standard Edition (64-Bit x86)
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Server
关键字:?
kbmt KB2028495 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 2028495
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com